后量子密码技术延迟随数据量增加而降低

后量子密码技术延迟随数据量增加而降低

使用时间到最后字节而非时间到第一字节来评估数据密集型TLS 1.3对实际连接的影响，能获得更令人鼓舞的结果。

后量子密码学

TLS 1.3是传输层安全协议的最新版本，用于协商和建立安全通道，加密和验证客户端与服务器之间传输的数据。TLS 1.3广泛应用于众多网络应用中，包括电子银行和流媒体。

非对称加密算法的安全性依赖于离散对数或整数分解问题的难度，而密码分析相关的量子计算机可以高效解决这些问题。美国国家标准与技术研究院一直在努力标准化抗量子算法，并选择ML-KEM用于密钥交换，同时选择ML-DSA用于签名或密码认证。

由于这些算法具有千字节大小的公钥、密文和签名，而现有算法的尺寸仅为50到400字节，它们会扩大TLS握手过程中交换的数据量。许多研究比较了使用传统TLS 1.3密钥交换和认证与使用后量子密钥交换和认证的握手时间。

这些比较有助于量化每种新算法对时间到第一字节或握手协议完成时间的开销。但它们忽略了安全连接上的数据传输时间，这部分时间与握手时间共同构成应用程序开始处理数据前的总延迟。相比之下，从连接开始到数据传输结束的总时间是时间到最后字节。可接受的TTLB减速程度高度依赖于应用程序。

实验

实验设计模拟了各种网络条件，测量了传统和后量子算法在TLS 1.3连接中的TTLB，其中客户端发出小请求，服务器响应数百千字节数据。在Ubuntu 22.04虚拟机实例中使用Linux命名空间，命名空间通过虚拟以太网接口互连。为模拟命名空间之间的"网络"，使用Linux内核的netem工具，可在客户端和服务器之间引入可变网络延迟、带宽波动和数据包丢失。

实验包含多个可配置参数，用于比较稳定、不稳定、快速和慢速网络条件下PQ算法对TTLB的影响：

• TLS密钥交换机制
• 对应于传统RSA或ML-DSA证书的TLS证书链大小
• TCP初始拥塞窗口
• 客户端与服务器之间的网络延迟或往返时间
• 客户端与服务器之间的带宽
• 每数据包丢失概率
• 从服务器传输到客户端的数据量

结果

测试结果在论文中进行了全面分析。基本上表明，由于后量子公钥、密文和签名导致的TLS 1.3握手中的几KB额外数据，在传输数百KB或更多数据的连接中不会明显察觉。传输少于10-20KB数据的连接可能更受新的数据密集型握手影响。

图1显示了在1Mbps带宽、0%、1%、3%和10%丢失概率以及35毫秒和200毫秒RTT条件下，为聚合数据集收集的第50、75和90百分位数的TLS 1.3握手持续时间百分比增加。可以看到ML-DSA大小证书链花费的时间几乎是8KB链的两倍。这意味着如果能够保持ML-DSA认证数据量较低，将显著有利于低带宽连接中后量子握手的速度。

图2显示了在0%丢失概率和1Gbps带宽下，所有百分位数和不同数据大小的后量子握手相对于现有算法的持续时间百分比增加。可以观察到，虽然从服务器传输0KiB数据时的减速较低，但随着服务器数据增加，减速进一步下降。在第90百分位数，减速略低。

图3显示了在1Mbps带宽、200ms RTT和0%丢失概率条件下，每个百分位数从服务器传输0-200KiB数据的现有和后量子TLS 1.3连接之间TTLB的百分比增加。可以看到三个百分位数的增加几乎相同。从服务器传输0KiB数据时开始较高，但随着从服务器传输的数据大小增加，它们下降到约6%，因为握手数据大小在连接中被分摊。

图4显示了在1Mbps带宽、200ms RTT和10%丢失概率条件下，每个百分位数从服务器传输0-200KiB数据的现有和后量子TLS 1.3连接之间TTLB的百分比增加。显示在10%丢失情况下，所有百分位数的TTLB增加稳定在20-30%之间。虽然20-30%的增加可能看起来很高，但请注意，由于场景的一般网络不稳定性，重新运行实验有时可能导致更小或更高的百分比增加。

图5显示了在0%丢失概率和从服务器传输0-200KiB数据大小条件下，现有和后量子TLS 1.3连接之间TTLB的百分比增加。为模拟高波动性RTT，使用均值为35ms和35/4ms抖动的帕累托正态分布。可以看到后量子连接TTLB的增加在服务器数据为0KiB时开始较高，然后下降到4-5%。与之前的实验一样，丢失概率越高，百分比越不稳定，但总体结果表明，即使在"波动网络条件"下，随着传输数据量增加，TTLB也会下降到可接受水平。

为确认不稳定网络条件下的波动性，使用后量子TLS 1.3连接传输200KiB服务器数据的TTLB累积分布函数。观察到在所有类型的波动条件下，TTLB在实验测量样本中很早就增加，这表明总连接时间高度波动。在不稳定网络条件下对TLS 1.3握手时间也做了相同观察。

结论

这项工作证明了数据密集型后量子算法对TLS 1.3连接的实际影响低于它们对握手本身的影响。低丢失、低或高带宽连接在传输大量数据时，受后量子握手的影响很小。还表明尽管PQ握手的影响在具有较高丢失率或高可变性延迟的不稳定条件下可能变化，但它们保持在一定限度内，并随着传输数据总量增加而下降。此外，看到不稳定连接本身提供较差的完成时间；由于后量子握手导致的少量延迟增加不会使它们比之前更不适用。这并不意味着减少握手数据量是不可取的，特别是当发送的应用程序数据相对于握手消息大小较小时。

有关更多详细信息，请参阅论文。