Некоторые пользователи Google Chrome сообщили о проблемах с подключением к сайтам, серверам и брандмауэрам, начавшимся после выхода Chrome 124 на прошлой неделе. Эта версия браузера оснащена новым квантово-устойчивым механизмом инкапсуляции X25519Kyber768, включенным по умолчанию.
Google начала тестировать новый квантово-устойчивый механизм инкапсуляции ключей TLS в августе прошлого года, а в последней версии Chrome активировала его для всех пользователей браузера. Новая версия Chrome использует алгоритм согласования ключей Kyber768 для соединений TLS 1.3 и QUIC, чтобы защитить TLS-трафик Chrome от будущих постквантовых атак.
«После нескольких месяцев экспериментов, связанных с совместимостью и производительностью, мы запускаем гибридный постквантовый обмен ключами TLS для десктопов в Chrome 124, — писали специалисты Chrome Security Team. — Это защитит трафик пользователей от атак типа “храни сейчас, расшифруешь потом”, при которых будущий квантовый компьютер сможет расшифровать зашифрованный трафик, записанный уже сегодня».
Атаки «храни сейчас, расшифруешь потом» предполагают, что злоумышленники соберут зашифрованные данные и сохранят их на будущее, до тех времен, когда в их распоряжении появятся новые методы расшифровки, например, с помощью квантовых компьютеров (или попросту станут доступны ключи шифрования).
Для защиты от таких атак в будущем компании (включая Apple, Signal и Google) уже начали добавлять в свой стек квантово-устойчивое шифрование, чтобы предотвратить использование подобных тактик.
Однако после релиза Google Chrome 124 и Microsoft Edge 124 некоторые веб-приложения, брандмауэры и серверы разрывают соединения после TLS-хендшейка ClientHello. Проблема также затрагивает защитное оборудование, брандмауэры, промежуточное сетевое ПО и прочие сетевые устройства разных производителей (например, Fortinet, SonicWall, Palo Alto Networks, AWS).
«Похоже, это нарушает хендшейк TLS для серверов, которые не знают, что делать с дополнительными данными в сообщении client hello», — говорит один из пострадавших от этой проблемы администраторов.
«Та же проблема, начиная с версии 124 Edge, похоже, что-то идет не так при расшифровке SSL у моего PaloAlto», — пишет другой админ.
Судя по всему, эти сбои обусловлены не багом в Chrome, а тем, что веб-серверы не могут правильно имплементировать TLS и не в состоянии обработать увеличившиеся сообщения ClientHello, необходимые для квантово-устойчивой защиты. В итоге они отклоняют соединения, использующие квантово-устойчивый алгоритм Kyber768, вместо перехода на классическую криптографию, если X25519Kyber768 не поддерживается.
Издание Bleeping Computer отмечает, что для сбора и распространения информации об этой проблеме уже создан сайт tldr.fail.
Так, администраторам сайтов предлагается протестировать свои серверы, вручную активировав новую функцию в Google Chrome 124 с помощью флага chrome://flags/#enable-tls13-kyber. После включения функции администраторы могут подключиться к своим серверам и проверить, не провоцирует ли это ошибку «ERR_CONNECTION_RESET».
Затронутые пользователи Chrome могут устранить проблему, перейдя по адресу chrome://flags/#enable-tls13-kyber и отключив поддержку TLS 1.3 hybridized Kyber в браузере.
Администраторы также могут отключить эту функцию с помощью политики PostQuantumKeyAgreementEnabled через Software -> Policies -> Google -> Chrome или связавшись с поставщиками для получения обновлений для оборудования, которое не готово к постквантовой защите.
Компания Microsoft уже опубликовала подробную инструкцию по управлению этой функцией с помощью групповых политик Edge.
При этом журналисты отмечают, что в долгосрочной перспективе постквантовая защита будет необходима TLS, а корпоративная политика Chrome, позволяющая отключить эту функциональность, будет удалена в будущем.
«Устройства, на которых некорректно имплементирован TLS, могут работать со сбоями, когда столкнутся с новой опцией. Например, они могут разрывать соединение в ответ на нераспознанные опции или появляющиеся при этом сообщения большего размера, — сообщает Google. — Данная политика является временной мерой и будет удалена в будущих версиях Google Chrome. Она может быть включена, чтобы вы могли проверить наличие проблем, а также может быть отключена на время их решения».