Clasificare document: Specificație tehnică publică
Domeniu: Arhitectură criptografică a stratului de transport
Politică de revizie: Actualizat la evoluția standardelor criptografice
Document de poziție formal privind securitatea
Arhitectura de transport segmentat
post-cuantic
Prezentare generală arhitectură
Fig. 1 — Enclavă de transport post-cuantic segmentat. Compatibilitate clasică la margine; aplicare strictă doar PQ în interiorul limitei.
1.Terminologie și limbaj normativ
Cuvintele cheie MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD, SHOULD NOT și MAY din acest document sunt interpretate conform RFC 2119.
Secțiuni normative
Cerințe arhitecturale obligatorii
Secțiuni informative
Temei de proiectare și comentarii operaționale
2.Clasificare arhitecturală
3.Cerințe normative
3.1Protocol de transport
3.1.1Margine publică
- ▸MUST acceptă doar TLS 1.3
- ▸MUST NOT acceptă TLS 1.2 sau anterior
- ▸MUST NOT activează suite de cifruri vechi
- ▸MAY acceptă mecanisme clasice de schimb de chei pentru compatibilitate
Temei: limitările ecosistemului actual de browsere exclud endpoint-uri externe doar PQ.
3.1.2Segment intern post-cuantic
- ▸MUST operează exclusiv pe TLS 1.3
- ▸MUST impune ML-KEM (mlkem768) ca singur grup de schimb de chei permis
- ▸MUST NOT permite X25519, P-256 sau orice grup clasic
- ▸MUST cere verificare de semnătură bazată pe ML-DSA
- ▸MUST închide handshake-ul la nepotrivire de grup
- ▸MUST închide handshake-ul la nepotrivire de semnătură
- ▸MUST închide handshake-ul la încercare de downgrade de protocol
3.2Rezistență la downgrade
În interiorul enclavei PQ:
- ▸Fallback clasic de schimb de chei MUST NOT există
- ▸Negocierea suitei de cifruri MUST NOT include alternative clasice
- ▸Negocierea versiunii de protocol MUST respinge orice versiune altă decât TLS 1.3
- ▸Eșecul handshake-ului MUST este logat și tratat ca eveniment de securitate
3.3Limită criptografică
Limita criptografică SHALL este definită între Edge (nginx) și PQ Gate. Tot transportul peste această limită MUST respectă politica de aplicare doar PQ.
4.Model de amenințări (formalizat)
Capabilități
- •Interceptare pasivă
- •Arhivare trafic
- •Încercare viitoare de decriptare cuantică
Obiectiv de mitigare
Transportul intern MUST este protejat cu ML-KEM pentru siguranță înainte rezistentă la cuantă.
Capabilități
- •Interferență la negocierea TLS
- •Manipulare cifruri
- •Substituție grup
Obiectiv de mitigare
Încercările de downgrade MUST duc la terminarea handshake-ului.
Capabilități
- •Sniffing pasiv
- •Acces parțial la rețea
Obiectiv de mitigare
Tot traficul inter-componente peste limită MUST rămâne criptat sub transport doar PQ.
5.Secțiune informativă — Temei de proiectare
5.1De ce segmentare în loc de PQ complet
În 2026, browserele mainstream nu acceptă ML-KEM, iar componentele ecosistemului (baze de date, cache-uri, straturi service mesh) nu au TLS nativ PQ. Un endpoint extern doar PQ ar duce la pierdere totală de compatibilitate.
Aplicare operațională PQ
Compatibilitate cu versiunile anterioare
Evaluare reală a performanței
Tranziție criptografică controlată
6.Metrici de performanță (observate)
Valorile reprezintă comportament măsurat în implementarea curentă; actualizate periodic.
6.1Overhead handshake
~8–15%
Creștere latență față de X25519
~2–4×
Creștere dimensiune certificate (ML-DSA vs ECDSA)
Niciuna observată
Degradare serviciu sub sarcină
6.2Impact pe debit
- ▸Performanța transferului în bloc neschimbată (AES-GCM simetric este neschimbat)
- ▸Overhead izolat la faza de handshake
- ▸Overhead-ul transportului PQ este în față și amortizat pe conexiuni persistente
6.3Caracteristici de eșec
- ▸Respingere explicită a handshake-ului la încercare de grup clasic
- ▸Eșec explicit la nepotrivire a algoritmului de semnătură
- ▸Niciun fallback silențios observat
7.Anexă configurare criptografică
7.1Configurare segment PQ intern
Activat
Dezactivat
7.2Rezumat configurare margine
Activat
Dezactivat
8.Strategie de migrare (formalizată)
Fază 1CURENT
Margine publică hibridă + enclavă PQ internă strictă
Stare operațională curentă.
Fază 2
Suport extern hibrid
Când browserele implementează KEM hibrid:
Marginea externă SHOULD activează KEM hibrid.
Aplicarea PQ internă SHALL rămâne strictă.
Fază 3
Endpoint opțional doar PQ
Când ecosistemul de browsere se stabilizează:
Endpoint extern doar PQ MAY poate fi introdus.
Endpoint de compatibilitate MAY poate rămâne temporar.
Fază 4
Adopție PQ extinsă
Când ecosistemul suportă:
Transport PQ serviciu-la-serviciu.
Conexiuni la baze de date cu suport PQ.
Service mesh conștient de PQ.
9.Principii de guvernanță a securității
Fără revendicări exagerate de imunitate cuantică
Fără mecanisme de fallback silențios
Fără excepții hibride nedocumentate
Politică explicită de downgrade
Definire explicită a limitei de încredere
Aplicare criptografică măsurabilă
10.Declarație de poziționare arhitecturală
Acest sistem nu revendică expunere internet post-cuantică completă.
Operează o enclavă de transport post-cuantică, aplicată în producție și rezistentă la downgrade, într-un ecosistem extern constrâns de compatibilitate.
Arhitectura reflectă o strategie deliberată de tranziție criptografică, nu aliniere la marketing.
Istoric versiuni
Descărcare
Același conținut ca această pagină, în format PDF.
PDF-ul este disponibil doar în limba engleză.