O Google anunciou recentemente que começou a testar uma nova classe de certificados HTTPS resistentes a quantum no navegador Chrome. O objetivo é “reforçar a base” das comunicações pela Internet antes que a computação quântica ameace verdadeiramente o sistema de criptografia existente. O atual poder da computação quântica não é suficiente para quebrar os principais protocolos de criptografia da Internet, mas a indústria de segurança, incluindo o Google, está geralmente preocupada com o fato de que, assim que surgirem computadores quânticos para aplicações práticas em grande escala, os algoritmos criptográficos que atualmente garantem a segurança do HTTPS enfrentarão o risco de serem rapidamente quebrados.
O que o Google introduziu no Chrome desta vez é um sistema de certificados projetado desde o início para lidar com ameaças quânticas. Ela espera fornecer aos navegadores e sites uma solução de backup “segura quântica” sem diminuir significativamente o carregamento da página da web.
Para compreender o significado desta mudança, primeiro você precisa revisar os fundamentos dos atuais mecanismos de segurança da web. Quando um usuário visita um site, o navegador verifica o certificado digital fornecido pela outra parte para confirmar se o usuário está se conectando a um site genuíno e não a um site de phishing ou nó de invasor disfarçado por um intermediário. Estes certificados baseiam-se em problemas matemáticos complexos que são difíceis de serem resolvidos pelos computadores convencionais num prazo razoável, garantindo que os atacantes não possam falsificar a identidade do website ou desencriptar o conteúdo transmitido num prazo previsível. No entanto, as capacidades paralelas dos computadores quânticos e as vantagens de algoritmos específicos subverterão esta premissa. Os algoritmos quânticos representados pelo algoritmo de Shor podem, teoricamente, decompor grandes números inteiros com eficiência e quebrar o sistema de criptografia de chave pública atualmente amplamente implantado, tornando o sistema de certificados existente "apenas no nome" na era quântica.
A contramedida intuitiva da indústria é introduzir algoritmos criptográficos antiquânticos que são considerados “difíceis” para a computação quântica. Mas o problema é que as chaves e assinaturas desse tipo de algoritmo costumam ser muito mais “gordas” que as soluções tradicionais. No formato de certificado X.509 comumente usado atualmente, o volume de dados relevante é de aproximadamente 64 bytes. Uma vez substituído por uma solução de segurança quântica equivalente, o tamanho dos dados se expandirá para aproximadamente 2,5 KB, aproximadamente 40 vezes o tamanho original. Esses certificados precisam ser transmitidos pela rede sempre que uma conexão HTTPS for estabelecida. Se todos os sites mudarem para certificados resistentes a quantum que aumentam muito de tamanho, a quantidade de transmissão de dados durante a fase de handshake aumentará significativamente e os usuários sentirão pessoalmente o aumento na resposta do primeiro pacote e nos atrasos no carregamento das páginas da web. Para os usuários comuns, uma vez que existe um conflito óbvio entre as medidas de segurança e a experiência, eles preferem diminuir o nível de segurança do que aceitar um acesso significativamente mais lento às páginas da web.
Para resolver esta contradição entre “segurança versus desempenho”, o Google optou por introduzir uma estrutura criptográfica chamada árvore Merkle e, com base nisso, projetou os chamados Certificados Merkle Tree (MTC). O Google explicou em um blog de segurança que o MTC substitui a estrutura concatenada e volumosa da cadeia de assinaturas na infraestrutura de chave pública (PKI) tradicional por um certificado de árvore Merkle compacto. Neste modo, a Autoridade Certificadora (CA) não assina mais cada certificado individualmente, mas apenas assina uma “Cabeça de Árvore” que representa a “árvore inteira”, que pode abranger milhões de registros de certificados. O "certificado" recebido pelo navegador durante o handshake não é mais uma cadeia completa de certificados de site único, mas um "certificado de contenção" de um determinado site nesta árvore Merkle. A quantidade de dados pode, portanto, ser mantida próxima ao nível de um certificado tradicional de 64 bytes, levando em conta as capacidades de segurança quântica e a sobrecarga da rede.
De forma mais intuitiva, o MTC concentra a “pesada carga” da assinatura de certificados em uma árvore mantida pela CA. O que o navegador do usuário obtém é um certificado de caminho curto e verificável, em vez de um enorme conjunto de certificados independentes e cadeias de certificados intermediários. Para a CA, isso significa que apenas um cabeçalho de árvore precisa ser assinado para cobrir uma enorme coleção de certificados; para o navegador, os dados necessários para verificar um caminho Merkle curto são muito menores do que um certificado completo, o que também ajuda a controlar o atraso na fase de handshake. Sob a premissa de que os algoritmos de segurança quântica expandem inevitavelmente o tamanho de uma única assinatura, através de "processamento em lote" e compressão a nível estrutural, o Google está tentando evitar o uso da experiência de rede para "pagar" pelo reforço de segurança.
Atualmente, o Chrome começou a trabalhar com a Cloudflare para realizar testes online desses novos certificados baseados em árvores Merkle. O Google revelou que existem atualmente cerca de 1.000 certificados em execução neste novo sistema, e todas as conexões carregam certificados tradicionais como backup quando são estabelecidas. Em outras palavras, mesmo que haja problemas de compatibilidade ou implementação no lado do MTC, o navegador ainda pode recorrer ao processo de verificação de certificado existente para evitar afetar o acesso do usuário ou causar falhas em grande escala. Este mecanismo de “teste paralelo” reserva espaço suficiente para a execução da nova solução e também fornece dados práticos para a subsequente expansão gradual do escopo de implantação.
De acordo com o plano do Google, a promoção abrangente deste sistema de certificados resistentes a quânticos continuará até 2027. Até então, o Google planeja lançar um armazenamento confiável resistente a quânticos dedicado que funcionará em paralelo com o armazenamento de certificados raiz existente do Chrome. Isso significa que os navegadores manterão tanto as cadeias de confiança PKI tradicionais quanto as cadeias de confiança resistentes a quantum, fornecendo caminhos diferenciados de gerenciamento e verificação para diferentes tipos de certificados de sites. Na janela de tempo em que a ameaça da computação quântica ainda é "previsível, mas ainda não chegou", esta arquitetura paralela ajuda a completar gradualmente a migração ecológica e a evitar os riscos de compatibilidade e operação e manutenção causados por "uma etapa".
É importante notar que a introdução dos certificados da árvore Merkle também tem um importante “efeito colateral”: a transparência do certificado (Certificate Transparency) passa de opcional para obrigatória. Uma vez que a geração de novos certificados deve basear-se numa estrutura de registo publicamente verificável, a existência de qualquer certificado MTC será naturalmente registada no registo público, tornando difícil a sua emissão ou abuso "silenciosamente". Para invasores ou abusadores internos, será mais difícil realizar ataques man-in-the-middle falsificando certificados sob tal mecanismo; e para os investigadores de segurança e agências reguladoras, isto também melhora a auditabilidade e a rastreabilidade de todo o ecossistema de certificados.
Na verdade, o Google começou a explorar como construir uma linha de defesa para navegadores e sistemas de Internet contra ataques de computação quântica já há dez anos. Anteriormente, o Google conduziu várias rodadas de tentativas e testes no protocolo experimental, nos candidatos ao algoritmo de criptografia e nos níveis de implementação do navegador. A promoção da aplicação combinada de certificados HTTPS resistentes a quantum e estruturas de árvore Merkle no Chrome pode ser considerada como outra implementação chave do seu "roteiro de segurança quântica": antes que a ameaça quântica seja verdadeiramente percebida, os potenciais pontos de alto risco devem ser "reforçados" antecipadamente através de atualizações de protocolo e infraestrutura para estabelecer as bases para a segurança da rede nas próximas décadas.