后量子密码学对TLS 1.3性能的影响

量子计算机可能破解当前广泛使用的加密标准，这促使业界努力标准化抗量子算法并将其引入TLS 1.3等传输加密协议。算法选择自然会影响TLS 1.3性能。现有研究主要关注建立抗量子加密连接所需的"握手时间"(首字节时间)，但未全面评估后量子密码学对实际TLS 1.3连接的影响。

在2024年网络测量、攻击和防御研讨会(MADweb)上，我们提出使用时间到最后字节(TTLB)作为评估指标。研究表明，对于传输大量数据的实际连接，ML-KEM和ML-DSA等抗量子算法带来的净影响将远低于对TLS 1.3握手本身的影响。

实验设计与方法

实验模拟了多种网络条件，测量传统算法与后量子算法在TLS 1.3连接中的TTLB。实验环境包括：

• 使用Ubuntu 22.04虚拟机实例
• 通过Linux命名空间和虚拟以太网接口构建网络拓扑
• 利用netem工具模拟网络延迟、带宽波动和数据包丢失

实验参数包括：

• TLS密钥交换机制(传统ECDH或ECDH+ML-KEM混合)
• 证书链大小(RSA或ML-DSA证书)
• TCP初始拥塞窗口(initcwnd)
• 网络延迟(RTT)
• 带宽
• 数据包丢失率
• 服务器传输数据量

关键发现

1. 低带宽连接：ML-DSA证书链(16KB)的握手时间几乎是8KB链的两倍。保持ML-DSA认证数据量较低可显著提升低带宽连接中的握手速度。

2. 高带宽连接：在1Gbps带宽、0%丢包率条件下，后量子握手带来的延迟增加从3%(0KiB数据)降至1%(数据传输增加时)。

3. 不稳定网络：在10%丢包率条件下，TTLB增加稳定在20-30%之间。虽然比例看似较高，但传统连接本身已因网络问题存在97-331%的性能下降，额外20-30%的影响相对有限。

4. 数据量影响：当服务器传输数据量达到200KiB时，后量子连接带来的延迟增加可降至6%左右(1Mbps带宽、200ms RTT、0%丢包)。

结论

研究表明：

• 数据传输量较大时，后量子算法对TLS 1.3连接的实际影响低于对握手阶段的影响
• 低丢包率、高低带宽连接在传输大量数据时受影响较小
• 不稳定网络条件下，影响虽存在波动但会随数据量增加而降低
• 网络条件本身对连接时间的影响远大于后量子握手带来的额外延迟

这项研究为后量子密码学在实际网络环境中的部署提供了重要参考。详细研究成果请参阅我们的论文。