后量子证书链大小对TLS部署中首字节时间(TTFB)的网络影响
后量子密码学(PQC)是一项快速发展的部署挑战,因为与密码学相关的量子计算机(CRQC)不断进步,使得X.509中使用的传统加密算法容易受到攻击。然而,PQC在现实网络中的部署引入了重大挑战,其握手大小相比经典算法增加了5倍到20倍以上。在这项工作中,该团队评估了以CDN为中心的TLS条件下的首字节时间(TTFB),以表征将现有互联网基础设施过渡到量子安全证书方案的延迟成本。该工作观察到,当证书链大小超过传输层数据飞行限制时,TTFB会出现离散式增长。为了隔离证书链的影响,该团队评估了基于ECDSA和ML-DSA的证书方案,通过控制添加证书扩展来生成大小相似的证书链。此外,该工作还研究了CDN属性(如会话恢复、证书大小优化和地理分布)如何减少延迟惩罚。该团队利用通过高性能计算系统(NCSA)监控的Zeek TLS流量(该系统在全国范围内拥有TB级网络连接)来量化现实世界中的会话恢复率。该工作将CDN驱动的尺寸优化与默克尔树证书(MTC)进行比较,以研究尺寸缩减如何使证书链保持在飞行限制阈值以下。该团队发现,MTC允许可支持的证书链大小增加2到3倍,而基于CDN的优化带来的缩减较为有限,仅支持大约1.6倍的证书链大小增加。
