Постквантовая подпись весит в 38 раз больше. Интернет сказал: нет, спасибо. Google ищет компромисс

Переход интернета на квантово-устойчивую криптографию оказался не похож на обычное обновление стандарта. Google предупредила, что для защиты HTTPS от будущих квантовых атак мало заменить алгоритмы в сертификатах. Команде Chrome пришлось запускать отдельную программу и обсуждать перестройку всей схемы, потому что новые подписи слишком тяжелые для привычной архитектуры веба.

Главная причина упирается в размер. Постквантовая подпись ML-DSA-44 занимает 2420 байт, тогда как широко используемая подпись ECDSA P-256 требует всего 64 байта. Разница выглядит технической деталью только на бумаге. В реальной инфраструктуре HTTPS крупные подписи проходят через цепочки X.509-сертификатов и попадают в TLS-рукопожатие, а значит каждый заход на сайт получает лишний объем данных еще до загрузки страницы.

Для пользователя такой рост оборачивается задержкой на старте соединения. Сильнее всего просадка заметна на мобильных сетях и в регионах с медленным интернетом, где каждый лишний килобайт влияет на скорость открытия сайта. Google прямо признает, что простая замена «старых» подписей на постквантовые в текущей модели может дать ощутимый удар по производительности.

Поэтому Chrome не планирует в ближайшее время добавлять в хранилище корневых сертификатов традиционные X.509-сертификаты с постквантовыми подписями в текущем виде. Вместо такого шага Google вместе с партнерами продвигает другой подход, Merkle Tree Certificates. Схема должна уменьшить нагрузку на TLS и сделать переход к постквантовой защите более практичным для массового веба.

По сути, речь идет уже не о «замене одного алгоритма», а о пересборке механики доверия в HTTPS. Google запускает долгий переходный этап заранее, пока квантовые компьютеры еще не научились ломать современную криптографию в реальных веб-сценариях. Такой запас по времени нужен, чтобы интернет успел получить квантово-устойчивую защиту без штрафа в виде медленных страниц и раздутого трафика.