谷歌抗量子加密惹祸,大量防火墙TLS连接中断

安全 应用安全
作为后量子时代的标志性产品,谷歌首个抗量子加密浏览器Chrome 124的发布意外引发了网络安全业界的骚乱。

作为后量子时代的标志性产品,谷歌首个抗量子加密浏览器Chrome 124的发布意外引发了网络安全业界的骚乱。

该Chrome版本默认启用全新的抗量子安全传输层安全(TLS)密钥封装机制X25519Kyber768,用于保护用户免受即将到来的量子破解威胁。然而,这项新技术却由于兼容性问题导致TLS连接中断,很多用户无法正常连接访问网站、服务器和多家安全厂商的防火墙。

“先存储,后解密”攻击

早在去年8月,谷歌就开始测试代号“Kyber768”的抗量子密钥协商算法,并计划将其整合至最新的Chrome版本中。理论上,Kyber768可以保护基于TLS 1.3和QUIC连接的Chrome流量,使其免遭未来量子计算机的破解。

“经过数月的兼容性和性能影响测试,我们决定在Chrome 124桌面版本中启用混合式抗量子TLS密钥交换,”谷歌Chrome安全团队解释道:“这项技术可以保护用户流量免受‘先存储,后解密’(黑客大量收集囤积加密的网络流量数据,等未来量子计算机成熟后进行解密)攻击的威胁。”

“先存储,后解密”攻击是数据安全面临的一个巨大潜在威胁。为了防范此类攻击,许多企业已经开始在其网络架构中加入抗量子加密技术。苹果、Signal和谷歌等科技巨头均已率先采用了抗量子算法。

大量防火墙、服务器、网络设备产生兼容问题

然而,根据系统管理员们的反馈,自上周Google Chrome 124和微软Edge 124桌面版推出以来,一些网络应用、防火墙和服务器产品在执行Client Hello TLS握手时会断开连接。

“该问题似乎影响了服务器处理客户端问候消息中的额外数据的能力,”一位管理员表示:“同样的问题也出现在了新版Edge浏览器上,似乎与派拓网络(Palo Alto Networks)防火墙产品的的SSL解密功能存在冲突。”

据报道,该兼容性问题的影响面非常大,多个供应商(例如Fortinet、SonicWall、Palo Alto Networks、AWS)的安全设备、防火墙、网络中间件和各种网络设备都遭遇了类似的兼容性问题。

值得注意的是,这些错误并非源于Google Chrome本身的漏洞,而是由于部分网站服务器和网络设备未能正确实现传输层安全(TLS)协议,无法处理用于抗量子加密的更大ClientHello消息。

这些不支持X25519Kyber768算法的网络设备,不会尝试降级至经典加密方案,而是直接拒绝使用Kyber768算法建立的连接。

TLS连接中断问题的解决方法

一个名为tldr.fail的网站专门分享了有关抗量子ClientHello消息如何导致服务器连接错误的信息,并为开发者提供了修复漏洞的指南。

网站管理员也可以通过在Chrome浏览器中启用“chrome://flags/#enable-tls13-kyber”标记来手动测试服务器的兼容性。启用后,管理员可以尝试连接到自己的服务器,并查看是否会产生“ERR_CONNECTION_RESET”错误。

受影响的Google Chrome用户可以访问“chrome://flags/#enable-tls13-kyber”并禁用混合式Kyber支持来暂时规避该问题。

系统管理员还可以通过以下方式进行修复:在“软件>策略>Google>Chrome”路径下禁用“PostQuantumKeyAgreementEnabled”企业策略;或者联系网络设备供应商,获取适用于其服务器或中间件的更新补丁,以使其兼容抗量子加密标准。

微软也发布了相关信息,指导用户如何通过Edge浏览器组策略控制此功能。

需要注意的是,从长远来看,TLS协议终究需要采用抗量子安全密码。谷歌未来也将移除Chrome企业策略中禁用混合式Kyber支持的选项。

责任编辑:华轩 来源: GoUpSec
相关推荐

2011-03-04 09:30:56

PureFTPdTLS防火墙

2009-12-09 11:43:31

2009-10-10 16:50:35

2010-09-30 16:57:32

2010-12-21 18:04:26

2010-09-14 13:08:52

2010-12-08 09:29:27

下一代防火墙

2021-02-19 11:10:10

数据库

2010-05-24 17:49:56

2011-06-27 13:31:21

2021-06-25 18:31:37

云防火墙

2011-03-25 11:18:51

2010-09-09 17:22:36

2009-09-24 13:53:53

2010-08-03 13:14:10

路由器配置

2013-07-04 10:16:24

2010-09-29 11:01:46

2013-09-11 20:09:08

下一代防火墙NGFW

2014-02-27 13:46:32

华为防火墙USG9580

2022-09-20 16:38:08

数据安全数据泄露安全
点赞
收藏

51CTO技术栈公众号