Die Browserhersteller haben den aktuellen TLS-Standard bereits erweitert, um der derzeit größten Quantengefahr zu begegnen: den sogenannten “Store now, decrypt later”-Angriffen (SNDL), bei denen ein Angreifer verschlüsselte Daten stiehlt, um sie später mit Hilfe von Quantenrechnern auszuwerten. Alle modernen Browser unterstützen dafür den Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM), den das US-amerikanische NIST als FIPS 203 standardisiert hat. Laut Cloudflare Radar nutzen inzwischen zwei Drittel des von Cloudflare verarbeiteten Nicht-Bot-Verkehrs TLS mit Post-Quanten-Verschlüsselung – vor einem Jahr waren es noch 38 Prozent.
Dieser Schlüsselaustausch schützt jedoch ausschließlich vor SNDL-Angriffen. Sobald ein CRQC existiert, ließe sich das System weiterhin nutzen, um Websites zu imitieren – wogegen ein anderer Schutz nötig wird. Hier setzen Merkle-Tree-Zertifikate an. In einem Merkle- oder Hash-Baum werden Daten in Blöcke zerlegt, deren Hashes in Blattknoten gespeichert werden; die übergeordneten Knoten enthalten die Hashes ihrer Kindknoten. So lässt sich schnell feststellen, ob und in welchem Block Daten verändert wurden.
Das zentrale Problem gängiger quantensicherer Verfahren ist der Datenoverhead. Laut Brian Trzupek, Senior Vice President of Product bei der Zertifizierungsstelle DigiCert, erfordert das Laden eines Zertifikats pro Verbindung derzeit 3,1 KB; mit dem Algorithmus ML-DSA würde dies auf 14,7 KB pro Verbindung anwachsen. MTCs benötigen dagegen nur etwa 840 Byte pro Seitenaufruf – effizienter als selbst vorquanten-Zertifikate. Da die meisten Seiten Ressourcen von zahlreichen Domains beziehen – Dark Reading etwa von 21 verschiedenen TLS-Domains –, summiert sich der Mehraufwand rasch. “Das verlangsamt das Laden von Seiten und überlastet Netzwerke”, so Trzupek.
Valenta verwies auf eine Einschätzung der Chrome-Sicherheitsteams: Ein typischer TLS-Handshake überträgt zwei öffentliche Schlüssel und fünf Signaturen, was mit klassischer Verschlüsselung rund 1,2 KB benötigt und mit ML-DSA-44 auf etwa 14,7 KB anwächst. Mehr als 7 KB zusätzliche Daten würden das Web überfordern und Probleme für Nutzer und Infrastruktur verursachen. Google hat angekündigt, MTCs in Chrome unterstützen zu wollen, und arbeitet mit Cloudflare an einer Machbarkeitsstudie.
Der Entwurf unterscheidet zwei Arten von Zertifikaten: Landmark-Zertifikate, die das Vorladen von Hash-Ketten-Informationen je Zertifizierungsstelle voraussetzen, und Standalone-Zertifikate, die ohne aktuelle Landmarks heruntergeladen werden und mehr Daten erfordern. Google befindet sich nach eigenen Angaben in Phase 1 und testet MTCs zunächst mit konventioneller Kryptografie – einem Worst-Case-Szenario. “Trotzdem sind die experimentellen MTCs durchgängig schneller und übertragen weniger Bytes als ihre herkömmlichen Gegenstücke”, erklärten die Google-Forscher gegenüber Dark Reading; mit Post-Quanten-Signaturalgorithmen in den Phasen 2 und 3 erwarte man einen deutlich größeren Vorsprung.
In den Pilotversuchen umfassen die Landmark-Dateien 168 Landmarks aus jeweils wenigen Hashes, was den clientseitigen Speicherbedarf erhöht. “Es gibt definitiv einen Kompromiss bei mehr Speicher auf der Client-Seite”, sagte Valenta; derzeit würden Landmarks stündlich erzeugt, künftig vielleicht eher täglich. Auch die Zertifikatstransparenz fällt mit MTCs faktisch kostenlos an, weil sie Teil des Ausstellungsprozesses ist; zugleich müssen Infrastrukturanbieter aber die Indizes von Millionen Zertifikaten verwalten und sicherstellen, dass keine geheimen Schlüssel wiederverwendet werden. Da die Schlüssel-Hashes kleiner sind, schrumpfen die Logs laut IETF-Entwurf um zwei Größenordnungen, und abgelaufene Einträge lassen sich verwerfen, ohne die Logs ungültig zu machen.
Für Anbieter erfordert der Umstieg Software-Updates und gründliche Tests, damit “Middle Boxes” wie Application Gateways, Load Balancer und Intrusion-Detection-Systeme MTCs nicht blockieren – diese scheitern Cloudflare zufolge oft an den größeren Zertifikatsketten. Für Browsernutzer soll der Übergang dagegen unsichtbar bleiben. “Unsere Einführungsstrategie stellt sicher, dass die Übernahme von MTCs für Websites keine Störungen verursacht, selbst wenn sie nicht aktiv tätig werden”, so die Google-Forscher.
