Гибридный TLS на Quros: как работает X25519 + ML-KEM-768

Гибридный TLS — это TLS 1.3, в котором key_share содержит и классическую группу (X25519), и пост-квантовую (ML-KEM-768). Премастер-секрет получается конкатенацией двух shared secrets и подаётся в HKDF. Quros реализует это через расширение TLS-стека на базе OpenSSL 3.3 и oqs-provider.

Размеры и trade-off

• ML-KEM-768 public key: 1184 байта (X25519: 32 байта).
• ML-KEM-768 ciphertext: 1088 байт.
• ClientHello растёт с ~512 байт до ~2 КБ — может пересечь MTU.
• Handshake latency +5–15% при правильной настройке.

Как работает обмен ключами

Клиент отправляет в ClientHello два key_share: классический и пост-квантовый. Сервер генерирует свои публичные ключи, вычисляет два shared secret и комбинирует их через HKDF-Extract. Если злоумышленник сможет сломать только один примитив, итоговый ключ остаётся защищённым.

Интеграция в продакшен

1. Сборка nginx/envoy с oqs-provider или включение Quros TLS-сайдкара.
2. Конфигурация ciphersuite list с гибридными группами (X25519MLKEM768).
3. Настройка ALPN и SNI — без изменений.
4. Включение TLS keylog для отладки в стейджинге.
5. A/B-тест с долей трафика 5% → 50% → 100%.

Совмещение с ГОСТ

В 1IT мы реализуем тройные гибриды: ГОСТ Р 34.10-2012 + X25519 + ML-KEM. Это удовлетворяет требованиям регулятора и одновременно даёт пост-квантовую защиту. Производительность падает на 20–25%, что приемлемо для большинства корпоративных нагрузок.