升级PQC后，「谷歌浏览器」却频频报错......

上周Chrome 124发布后，默认启用了新的抗量子X25519Kyber768封装机制，不过，一些谷歌Chrome用户在使用后反应说，新版本的浏览器在连接网站、服务器和防火墙时出现了问题。

谷歌在8月份开始测试后量子安全TLS密钥封装机制，现在已经在最新的Chrome版本中为所有用户启用了该机制。

新版本利用Kyber768量子抗密钥协议算法为TLS 1.3和QUIC连接，以保护Chrome TLS流量免受量子密码分析。

Kyber是一种IND-CCA2安全密钥封装机制（KEM），其安全性基于解决模块格上的错误学习（LWE）问题的难度。Kyber是NIST后量子密码学项目的决赛入围者之一。

提交的内容列出了针对不同安全级别的三种不同的参数集。具体来说，Kyber-512的目标是大致相当于AES-128的安全性，Kyber-768的目标是大致相当于AES-192的安全性，Kyber-1024 的目标是大致相当于AES-256的安全性。

对于使用Kyber的用户，研究人员建议以所谓的混合模式结合已建立的“前量子”安全性使用Kyber；例如与椭圆曲线Diffie-Hellman结合。

此外，Kyber-768参数集是更受推荐的，根据非常保守的分析，它可以针对所有已知的经典和量子攻击实现超过128位的安全性。

Kyber的设计源于Regev基于LWE的开创性加密方案。自Regev的原创工作以来，LWE加密方案的实际效率得到了提高，因为观察到LWE中的秘密可以来自与噪声相同的分布，并且还注意到可以通过使用平方（而不是比矩形）矩阵作为公钥。另一个改进是应用最初在NTRU 密码系统中使用的想法来定义使用多项式环而不是整数的Ring-LWE和Module-LWE问题。CCA安全的KEM Kyber构建在基于Module-LWE硬度的CPA安全加密系统之上。

IBM早在2019年就使用Kyber和Dilithium宣传了“世界上第一个量子计算安全磁带驱动器”。

Amazon现在支持在其AWS Key Management Service中涉及Kyber的混合模式。

“在对兼容性和性能影响进行了几个月的实验后，我们在Chrome 124中推出了一种混合后量子TLS密钥交换，”Chrome安全团队解释说，“这可以保护用户的流量免受所谓的‘现在存储，以后解密’攻击，未来的量子计算机可以解密今天记录的加密流量。”

先存储，后解密攻击是指攻击者收集加密数据并将其存储以备将来可能出现新的解密方法时使用，例如使用量子计算机或加密密钥。

为了防止未来的攻击，公司已经开始在他们的网络堆栈中添加抗量子加密，以防止这些类型的解密策略在未来发挥作用。苹果、Signal和谷歌等公司已经推出了抗量子算法。

TLS等现代网络协议将加密技术用于多种目的，包括保护信息（机密性）和验证网站身份（身份验证）。这种密码学的强度用攻击者破坏这些属性中的一个或多个属性的难度来表示。密码学中有一个常见的格言，即攻击只会变得更好，而不是更糟，这突显了随着攻击的进展和改进而转向更强大算法的重要性。

抗量子密码学还必须能够抵御量子和经典密码分析技术。X25519Kyber768等混合机制提供了部署和测试新的抗量子算法的灵活性，同时确保连接仍受到现有安全算法的保护。

然而，自从上周Google Chrome 124和Microsoft Edge 124开始在桌面平台上推出以来，一些网络应用程序、防火墙和服务器将在ClientHello TLS握手后断开连接。

一位管理员说：“从Edge的124版开始，同样的问题，我的palo alto的SSL解密似乎出了问题。”这意味着，该问题还影响安全设备、防火墙、网络中间件和来自多个供应商的各种网络设备（例如，Fortinet、SonicWall、Palo Alto Networks、AWS）。

这些错误不是由Google Chrome中的错误引起的，而是由web服务器未能正确实现传输层安全（TLS）以及无法处理后量子加密的更大的ClientHello消息引起的。

这导致它们拒绝使用Kyber768抗量子密钥协议算法的连接，而不是在不支持X25519Kyber768的情况下切换到经典加密。

创建了一个名为tldr.fail的网站，以分享有关后量子ClientHello消息有多大会破坏有缺陷的Web服务器中的连接的更多信息，以及开发人员如何修复该错误的详细信息。

网站管理员也可以通过在Google Chrome 124中使用Chrome://flags/#enable-tls13-kyber标志手动启用该功能来测试自己的服务器。一旦启用，管理员就可以连接到他们的服务器，并查看连接是否会导致“ERR_CONNECTION_RESET”错误。

受影响的谷歌Chrome用户可以通过访问Chrome://flags/#enable-tls13-kyber并在Chrome中禁用TLS 1.3联合Kyber支持来缓解此问题。

管理员也可以通过在软件>策略>谷歌> Chrome下关闭PostQuantumKeyAgreementEnabled企业策略来禁用它，或者联系供应商以获得其网络上未准备好后量子的服务器或中间设备的更新。

微软还发布了关于如何通过Edge组策略控制此功能的信息。

然而，值得注意的是，TLS将需要长期的后量子安全密码，并且允许禁用它的Chrome企业策略将在未来被删除。

没有正确实现TLS的设备在提供新选项时可能会出现故障。例如，他们可能会因为无法识别的选项或由此产生的更大的信息而断开连接，”谷歌方面表示，“这项政策是一项临时措施，将在未来版本的谷歌Chrome浏览器中删除。它可能被启用以允许您测试问题，也可能在问题正在解决时被禁用。”

尽管Google Chrome 124版本的发布带来了一些兼容性挑战，但这些问题凸显了向后量子加密技术过渡的必要性和紧迫性。采用Kyber等后量子算法对于保护未来的通信安全至关重要。目前，用户和管理员可以采取临时措施来解决连接问题，但长期目标是确保所有网络设备和服务器都能够支持后量子加密技术。

[1]https://www.bleepingcomputer.com/news/security/google-chromes-new-post-quantum-cryptography-may-break-tls-connections/

[2]https://blog.chromium.org/2023/08/protecting-chrome-traffic-with-hybrid.html

[3]https://pq-crystals.org/kyber/index.shtml