Il computer quantistico minaccia l'HTTPS? Google cambia tutto in Chrome

Google ha avviato una fase di evoluzione per la sicurezza HTTPS in Google Chrome, con l'introduzione dei Merkle Tree Certificates (MTC), un formato di certificato TLS progettato per resistere a futuri attacchi basati su computer quantistici. L'obiettivo è rafforzare l'infrastruttura crittografica del Web senza compromettere compatibilità e prestazioni.

Oggi la sicurezza delle connessioni HTTPS si basa su certificati digitali in formato X.509, che impiegano firme a curva ellittica e chiavi pubbliche di dimensioni contenute (nell'ordine di poche decine di byte ciascuna). L'intera catena di certificazione tipica occupa circa 4 kB e viene trasmessa durante la fase di handshake TLS.

Questo schema, tuttavia, è teoricamente vulnerabile all'algoritmo di fattorizzazione di Shor, un algoritmo quantistico che, una volta eseguito su hardware sufficientemente potente, potrebbe fattorizzare grandi numeri e compromettere gli attuali sistemi di firma e scambio chiavi. Sebbene i computer quantistici non siano ancora in grado di rompere la crittografia su larga scala, il settore si sta muovendo in ottica preventiva.

Il passaggio a primitive crittografiche post-quantum comporta però un incremento significativo delle dimensioni dei materiali crittografici: le alternative resistenti al quantum possono essere fino a 40 volte più grandi rispetto agli equivalenti classici. Un aumento diretto delle dimensioni dei certificati avrebbe un impatto sull'handshake TLS, con possibili rallentamenti nelle connessioni e problemi di compatibilità con dispositivi e infrastrutture intermedie ("middlebox").

Per evitare che l'adozione della crittografia post-quantum penalizzi l'esperienza utente, Google sta introducendo i Merkle Tree Certificates, basati sulla struttura dati nota come Merkle tree.

In questo modello, una Certification Authority (CA) non firma più ogni singolo certificato in modo seriale. Viene invece firmata una "Tree Head" che rappresenta potenzialmente milioni di certificati. Il browser riceve quindi una prova compatta di inclusione (proof of inclusion) nel Merkle tree, anziché l'intera catena di firme tradizionale.

Il risultato è che, nonostante l'integrazione di algoritmi post-quantum come ML-DSA, le dimensioni complessive del certificato trasmesso al client rimangono nell'ordine dei 4 kB attuali. In questo modo si mantiene un livello di compatibilità analogo a quello odierno, evitando impatti sensibili sui tempi di caricamento delle pagine.

Un ulteriore aspetto riguarda la trasparenza dei certificati. Dopo l'incidente del 2011 che coinvolse DigiNotar - con l'emissione di centinaia di certificati fraudolenti - i browser hanno imposto la pubblicazione dei certificati TLS in log pubblici append-only (proprietà per cui è possibile aggiungere nuovi dati all'archiviazione, ma i dati esistenti sono immutabili).

Nel nuovo scenario, la protezione deve estendersi anche a questi registri: un attaccante dotato di capacità quantistiche potrebbe tentare di falsificare firme o timestamp per simulare la registrazione di un certificato mai realmente pubblicato. Per mitigare questo rischio, Chrome integra materiale crittografico post-quantum nel proprio ecosistema di fiducia, rendendo necessaria la compromissione simultanea di algoritmi classici e post-quantum per riuscire in un attacco.

Un effetto collaterale rilevante è che, con i MTC, la pubblicazione nei log di trasparenza diventa di fatto strutturale: non è possibile emettere un certificato secondo il nuovo schema senza che sia incluso in un registro verificabile pubblicamente.

I Merkle Tree Certificates sono già implementati in Chrome in modalità di test. Cloudflare sta collaborando al progetto, coinvolgendo circa 1.000 certificati TLS in una fase sperimentale. Attualmente ogni connessione utilizza ancora un certificato tradizionale in parallelo, come meccanismo di sicurezza e compatibilità.

La roadmap prevede un'estensione graduale fino al 2027, quando Google intende introdurre un quantum-resistant root store dedicato, destinato ad affiancare il Chrome Root Store lanciato nel 2022. Parallelamente, l'Internet Engineering Task Force ha istituito un gruppo di lavoro (PKI, Logs, and Tree Signatures) per definire standard condivisi a lungo termine.