Новая постквантовая криптография в Google Chrome может нарушить TLS-соединения

Некоторые пользователи Google Chrome сообщают о проблемах с подключением к веб-сайтам, серверам и брандмауэрам после выхода на прошлой неделе Chrome 124 с новым механизмом инкапсуляции X25519Kyber768, устойчивым к квантованию, включенным по умолчанию.

Google начал тестировать механизм инкапсуляции ключей TLS после квантовой обработки в августе и теперь включил его в последней версии Chrome для всех пользователей.

Новая версия использует устойчивый к квантовым атакам алгоритм согласования ключей Kyber768 для соединений TLS 1.3 и QUIC, чтобы защитить TLS-трафик Chrome от квантового криптоанализа.

"После нескольких месяцев экспериментов по проверке совместимости и производительности мы запускаем гибридный постквантовый обмен ключами TLS для настольных платформ в Chrome 124", - поясняет команда Chrome Security Team.

Это защитит трафик пользователей от так называемых атак типа "храни сейчас, расшифруй потом", при которых будущий квантовый компьютер может расшифровать зашифрованный трафик, записанный сегодня".

Атаки типа "храни сейчас, расшифруй позже" - это атаки, при которых злоумышленники собирают зашифрованные данные и хранят их в будущем, когда могут появиться новые методы расшифровки, например, с помощью квантовых компьютеров, или станут доступны ключи шифрования.

Для защиты от будущих атак компании уже начали добавлять квантово-устойчивое шифрование в свой сетевой стек, чтобы предотвратить использование подобных стратегий дешифрования в будущем. Среди компаний, которые уже внедрили алгоритмы, устойчивые к квантовому шифрованию, - Apple, Signal и Google.

Однако, как сообщают системные администраторы в Интернете с тех пор, как на прошлой неделе на настольных платформах начали распространяться Google Chrome 124 и Microsoft Edge 124, некоторые веб-приложения, брандмауэры и серверы разрывают соединения после рукопожатия ClientHello TLS.

Проблема также затрагивает устройства безопасности, брандмауэры, сетевое промежуточное ПО и различные сетевые устройства от разных производителей (например, Fortinet, SonicWall, Palo Alto Networks, AWS).

"Похоже, что это нарушает рукопожатие TLS для серверов, которые не знают, что делать с дополнительными данными в сообщении приветствия клиента", - сказал один из администраторов.

"Та же проблема, начиная с версии 124 Edge, похоже, происходит сбой при расшифровке SSL в моем palo alto", - сказал другой администратор.

Эти ошибки вызваны не ошибкой в Google Chrome, а тем, что веб-серверы не могут правильно реализовать Transport Layer Security (TLS) и не в состоянии обрабатывать большие сообщения ClientHello для постквантовой криптографии.

Это заставляет их отклонять соединения, использующие квантово-устойчивый алгоритм согласования ключей Kyber768, вместо того чтобы переключиться на классическую криптографию, если они не поддерживают X25519Kyber768.

Сайт tldr.fail был создан для того, чтобы поделиться дополнительной информацией о том, как большие постквантовые сообщения ClientHello могут нарушать соединения в неисправных веб-серверах, а также подробностями о том, как разработчики могут исправить эту ошибку.

Администраторы сайтов также могут протестировать свои серверы, вручную включив функцию в Google Chrome 124 с помощью флага chrome://flags/#enable-tls13-kyber. После этого администраторы могут подключиться к своим серверам и проверить, не вызывает ли соединение ошибку "ERR_CONNECTION_RESET".

Как устранить проблемы с подключением
Пострадавшие пользователи Google Chrome могут устранить проблему, перейдя по адресу chrome://flags/#enable-tls13-kyber и отключив в Chrome поддержку TLS 1.3 hybridized Kyber.

Администраторы также могут отключить ее, выключив политику предприятия PostQuantumKeyAgreementEnabled в разделе Software > Policies > Google > Chrome или связавшись с поставщиками, чтобы получить обновление для серверов или промежуточных узлов в своих сетях, которые не готовы к постквантовому использованию.

Microsoft также опубликовала информацию о том, как контролировать эту функцию с помощью групповых политик Edge.

Однако важно отметить, что в долгосрочной перспективе постквантовые шифры будут необходимы в TLS, а корпоративная политика Chrome, позволяющая отключить их, в будущем будет удалена.

"Устройства, на которых неправильно реализован TLS, могут работать со сбоями, когда им будет предложена новая опция. Например, они могут отключиться в ответ на нераспознанные опции или появившиеся сообщения большего размера", - говорится в сообщении Google.

"Данная политика является временной мерой и будет удалена в будущих версиях Google Chrome. Она может быть включена, чтобы вы могли проверить наличие проблем, и может быть отключена на время решения проблем".