Seria: Przejście po kwantowe · Część 3 · 27 maja 2026 r.
Część 3 serii o transformacji postkwantowej. W poprzednich wydaniach mówiliśmy o „dlaczego” ( ryzyko „zbierz teraz”, odszyfruj później i oś czasu NIST) i „co” (to, Normy FIPS 203/204/205Tutaj dochodzimy do punktu, w którym „to już się dzieje”: obliczenia postkwantowe wkroczyły do infrastruktury PKI przedsiębiorstw, z której wiele osób korzysta na co dzień.
Kamień milowy: usługa AD CS wydała certyfikaty ML-DSA.
W maju 2026 roku Microsoft wydał aktualizację. KB5087539 (Windows Server 2025, kompilacja 26100.32860), która dodaje obsługę ML-DSA (Algorytm podpisu cyfrowego oparty na siatce modułowej, znormalizowany przez NIST jako FIP 204) do Usługi certyfikatów Active Directory (AD CS).
W praktyce oznacza to, że Urząd Certyfikacji (CA) systemu Windows może teraz podpisywać certyfikaty za pomocą algorytmu odpornego na obliczenia kwantowe. Aktualizacja włącza wszystkie trzy zestawy parametrów ML-DSA:
| Zestaw | Poziom bezpieczeństwa NIST | Rozmiar podpisu |
|---|---|---|
| ML-DSA-44 | Poziom 2 | 2.420 bajtów |
| ML-DSA-65 | Poziom 3 | 3.309 bajtów |
| ML-DSA-87 | Poziom 5 | 4.627 bajtów |
Usługa AD CS obsługuje algorytm ML-DSA jako podpisywanie dla urzędów certyfikacji głównych, podrzędnych, korporacyjnych i samodzielnych, a także szablonów certyfikatów (TLS, uwierzytelnianie użytkownika/komputera, podpisywanie kodu) i protokołu OCSP. ML-DSA to algorytm oparty wyłącznie na podpisie – nie wykonuje szyfrowania ani wymiany kluczy – a urzędy certyfikacji ML-DSA muszą zostać zainstalowane od podstaw, bez migracji w miejscu z istniejącego urzędu certyfikacji RSA/ECDSA.
Nie wzięło się to znikąd: system Windows ma funkcję PQC od 2024 r.
Obsługa usługi AD CS to szczyt drabiny, którą Microsoft buduje od niemal dwóch lat:
Wrzesień 2024 – Podstawy kryptograficzne
Microsoft dodał ML-KEM (enkapsulację kluczy) i XMSS (sygnatury oprogramowania układowego) do SymCrypt, inicjując integrację PQC z podstawową biblioteką kryptograficzną systemu Windows. W kolejnych miesiącach w SymCrypt wprowadzono obsługę ML-DSA.
Maj 2025 – ujawniono interfejsy API
Usługa PQC jest już dostępna w programach Windows Insider i Linux, a dostęp do niej jest możliwy za pośrednictwem interfejsów API CNG (Cryptography API: Next Generation).
Listopad 2025 – Ogólna dostępność
Interfejsy API PQC (ML-KEM i ML-DSA za pośrednictwem CNG i funkcji certyfikatów) stały się ogólnie dostępne (GA) w systemach Windows Server 2025 i Windows 11, a obsługa PQC została wprowadzona także w środowisku .NET 10.
Maj 2026 – ML-DSA w AD CS
KB5087539: Protokół ML-DSA przenosi się z warstwy biblioteki/API do roli AD CS, zamykając drogę do wydawania certyfikatów post-kwantowych w środowisku produkcyjnym.
W przypadku odbiorców certyfikatów wymagania wstępne zostały również rozszerzone: klienci muszą mieć system Windows 11 24H2/25H2 z aktualizacją KB5067036 (2025-10) lub nowszy, aby móc weryfikować i używać certyfikatów ML-DSA.
Kryptus ma PQC w HSM i już integruje się z AD CS.
Podczas gdy Microsoft przygotowywał system operacyjny, Kryptus wprowadzał postkwantowość do korzeni zaufania. Od 2024 roku moduły HSM Kryptus obsługują algorytmy postkwantowe, umożliwiając generowanie i ochronę kluczy ML-DSA (i innych rodzin PQC) w bezpiecznym sprzęcie.
Łącznikiem łączącym tę możliwość z ekosystemem Windows jest dostawca CNG (KSP) firmy Kryptus kNETUjawnia HSM jako natywnego dostawcę pamięci masowej systemu Windows. Ten CNG jest już kompatybilny z usługą Active Directory (AD CS) w zakresie wydawania certyfikatów post-kwantowych.
Efekt jest podwójny: uzyskujesz jednocześnie odporność kwantową ML-DSA i sprzętową ochronę klucza, a prywatny klucz urzędu certyfikacji nigdy nie opuszcza urządzenia.
Dalej: kompletny przewodnik konfiguracji krok po kroku
Kryptus publikuje notatkę aplikacyjną, w której szczegółowo opisano aktualizację i zamieszczono kompletny przewodnik krok po kroku, jak ją odtworzyć w swoim środowisku:
Aktualizacja systemu Windows Server 2025
Zastosuj poprawkę KB5087539, aby włączyć obsługę ML-DSA w usłudze AD CS (kompilacja 26100.32860 lub nowsza).
Zainstaluj dostawcę Kryptus CNG (KSP).
Nawiąż połączenie między systemem Windows a ASI-HSM AHX5 kNET za pośrednictwem natywnego dostawcy przechowywania kluczy.
Utwórz urząd certyfikacji ML-DSA
Skonfiguruj urząd certyfikacji w usłudze AD CS przy użyciu protokołu ML-DSA z kluczem zapisanym i chronionym w module HSM.
Walidacja emisji i łańcucha postkwantowego
Zweryfikuj łańcuch certyfikatów, szablony ML-DSA i sprzętowo podpisane listy LRC (CRL).
Oficjalne linki firmy Microsoft
- Kryptografia odporna na ataki kwantowe firmy Microsoft jest już dostępna – SymCrypt, 2024
- Kryptografia postkwantowa trafia do użytkowników Windows Insider i Linux - 2025
- Interfejsy API kryptografii postkwantowej są teraz powszechnie dostępne na platformach Microsoft
- Na czym polega obsługa ML-DSA w usłudze AD CS? – Microsoft Learn
- Skonfiguruj urząd certyfikacji do korzystania z protokołu ML-DSA – Microsoft Learn
- Konfigurowanie szablonów certyfikatów dla ML-DSA – Microsoft Learn
- Aktualizacja KB5087539 12 maja 2026 r., kompilacja 26100.32860
Pobierz pełną notatkę aplikacyjną:
Seria „Post-Quantum Transition” – Kryptus. To część 3. Zobacz również poprzednie części dotyczące ryzyka kwantowego i standardów NIST (FIPS 203/204/205).
Kryptografia postkwantowa przestała być tematem akademickim i stała się priorytetem: Czytaj więcej
Jeśli słyszałeś, że komputery kwantowe złamią zabezpieczenia internetowe i Czytaj więcej