作為后量子時代的標(biāo)志性產(chǎn)品，谷歌首個抗量子加密瀏覽器Chrome 124的發(fā)布意外引發(fā)了網(wǎng)絡(luò)安全業(yè)界的騷亂。

該Chrome版本默認(rèn)啟用全新的抗量子安全傳輸層安全(TLS)密鑰封裝機(jī)制X25519Kyber768，用于保護(hù)用戶免受即將到來的量子破解威脅。然而，這項新技術(shù)卻由于兼容性問題導(dǎo)致TLS連接中斷，很多用戶無法正常連接訪問網(wǎng)站、服務(wù)器和多家安全廠商的防火墻。

“先存儲，后解密”攻擊

早在去年8月，谷歌就開始測試代號“Kyber768”的抗量子密鑰協(xié)商算法，并計劃將其整合至最新的Chrome版本中。理論上，Kyber768可以保護(hù)基于TLS 1.3和QUIC連接的Chrome流量，使其免遭未來量子計算機(jī)的破解。

“經(jīng)過數(shù)月的兼容性和性能影響測試，我們決定在Chrome 124桌面版本中啟用混合式抗量子TLS密鑰交換，”谷歌Chrome安全團(tuán)隊解釋道：“這項技術(shù)可以保護(hù)用戶流量免受‘先存儲，后解密’（黑客大量收集囤積加密的網(wǎng)絡(luò)流量數(shù)據(jù)，等未來量子計算機(jī)成熟后進(jìn)行解密）攻擊的威脅?！?/p>

“先存儲，后解密”攻擊是數(shù)據(jù)安全面臨的一個巨大潛在威脅。為了防范此類攻擊，許多企業(yè)已經(jīng)開始在其網(wǎng)絡(luò)架構(gòu)中加入抗量子加密技術(shù)。蘋果、Signal和谷歌等科技巨頭均已率先采用了抗量子算法。

大量防火墻、服務(wù)器、網(wǎng)絡(luò)設(shè)備產(chǎn)生兼容問題

然而，根據(jù)系統(tǒng)管理員們的反饋，自上周Google Chrome 124和微軟Edge 124桌面版推出以來，一些網(wǎng)絡(luò)應(yīng)用、防火墻和服務(wù)器產(chǎn)品在執(zhí)行Client Hello TLS握手時會斷開連接。

“該問題似乎影響了服務(wù)器處理客戶端問候消息中的額外數(shù)據(jù)的能力，”一位管理員表示：“同樣的問題也出現(xiàn)在了新版Edge瀏覽器上，似乎與派拓網(wǎng)絡(luò)（Palo Alto Networks）防火墻產(chǎn)品的的SSL解密功能存在沖突?！?/p>

據(jù)報道，該兼容性問題的影響面非常大，多個供應(yīng)商（例如Fortinet、SonicWall、Palo Alto Networks、AWS）的安全設(shè)備、防火墻、網(wǎng)絡(luò)中間件和各種網(wǎng)絡(luò)設(shè)備都遭遇了類似的兼容性問題。

值得注意的是，這些錯誤并非源于Google Chrome本身的漏洞，而是由于部分網(wǎng)站服務(wù)器和網(wǎng)絡(luò)設(shè)備未能正確實現(xiàn)傳輸層安全(TLS)協(xié)議，無法處理用于抗量子加密的更大ClientHello消息。

這些不支持X25519Kyber768算法的網(wǎng)絡(luò)設(shè)備，不會嘗試降級至經(jīng)典加密方案，而是直接拒絕使用Kyber768算法建立的連接。

TLS連接中斷問題的解決方法

一個名為tldr.fail的網(wǎng)站專門分享了有關(guān)抗量子ClientHello消息如何導(dǎo)致服務(wù)器連接錯誤的信息，并為開發(fā)者提供了修復(fù)漏洞的指南。

網(wǎng)站管理員也可以通過在Chrome瀏覽器中啟用“chrome://flags/#enable-tls13-kyber”標(biāo)記來手動測試服務(wù)器的兼容性。啟用后，管理員可以嘗試連接到自己的服務(wù)器，并查看是否會產(chǎn)生“ERR_CONNECTION_RESET”錯誤。

受影響的Google Chrome用戶可以訪問“chrome://flags/#enable-tls13-kyber”并禁用混合式Kyber支持來暫時規(guī)避該問題。

系統(tǒng)管理員還可以通過以下方式進(jìn)行修復(fù)：在“軟件>策略>Google>Chrome”路徑下禁用“PostQuantumKeyAgreementEnabled”企業(yè)策略；或者聯(lián)系網(wǎng)絡(luò)設(shè)備供應(yīng)商，獲取適用于其服務(wù)器或中間件的更新補(bǔ)丁，以使其兼容抗量子加密標(biāo)準(zhǔn)。

微軟也發(fā)布了相關(guān)信息，指導(dǎo)用戶如何通過Edge瀏覽器組策略控制此功能。

需要注意的是，從長遠(yuǎn)來看，TLS協(xié)議終究需要采用抗量子安全密碼。谷歌未來也將移除Chrome企業(yè)策略中禁用混合式Kyber支持的選項。