必须发展国密 MTC 证书,打造自主可控、量子安全的下一代国密 SSL 证书体系
#行业资讯 ·2026-05-08 16:34:24
一、为什么要做国密 MTC
国际 MTC(默克尔树证书)已验证可行:
- 谷歌、Cloudflare 2025.10 启动实验,覆盖 1000 + 真实网站、Chrome Beta 约 50% 流量。
- 地标模式使 TLS 握手延迟中位数降约 9%,第 90 百分位降约 8%。
- 传统 SSL 是 “单件签名”,难扛后量子签名尺寸暴涨、高频签发;MTC 是 “批量认证”,CA 对默克尔树根签名,一个根认证整批证书,验证极快。
结论:国密 SSL 必须同步升级,走国密 MTC路线。
二、国密 MTC 核心技术路线
1. 总体架构(全自主国密组件)
- 哈希:SM3 替代 SHA-256
- 签名:当前SM2,未来平滑升级国产后量子密码(PQC)
- 根证书:国家根 + CA 独立根的国密根证书库
- 日志:国密证书透明(CT)日志,SM3_SM2 签发 SCT
2. 双模式设计(高效 + 兼容)
- 国密地标模式:无签名,仅带 “包含证明”;客户端预置可信地标哈希,证书约 1.5–2KB,极致轻量化、验证超快。
- 国密独立模式:带 SM2 签名,兼容旧浏览器,确保业务不中断。
3. 算法分层演进(立足 SM2,迈向 PQC)
- 当前(2026–2027):SM2 为主,支持国密混合 PQC 算法SM2MLKEM768。
- 过渡(2027–2028):引入国际 PQC 签名作为可选能力。
- 未来(2028 后):全面替换为国产 PQC,实现量子安全。
4. 平滑过渡三阶段
沿用 TLS 1.3 国密、国密 CT 成功经验,新旧兼容、业务不中断,分阶段完成生态切换。
5. 核心优势
- 证书更小、连接更快、带宽更省
- 验证可审计,运营更安全
- 面向未来,无缝适配国密后量子密码
总结与倡议
国密 MTC 是我国国密 SSL代际跃迁的关键,可实现自主可控、高效安全、量子就绪。我们呼吁 CA、厂商、用户协同,抢占下一代互联网安全先机。