Algunos usuarios de Google Chrome informan que han tenido problemas para
conectarse a sitios web, servidores y firewalls después del lanzamiento de
Chrome 124 la semana pasada con el nuevo mecanismo de encapsulación
X25519Kyber768 resistente a ataques cuánticos y habilitado de forma
predeterminada.
Google comenzó a probar el mecanismo de encapsulación de claves TLS seguro
poscuántico en agosto y ahora lo ha habilitado en la última versión de Chrome
para todos los usuarios. La nueva versión utiliza el algoritmo de acuerdo de
clave Kyber768 quantum-resistant para conexiones TLS 1.3 y QUIC para
proteger el tráfico TLS de Chrome contra el criptoanálisis cuántico.
Incluso The Linux Foundation
ha anunciado la puesta en funcionamiento
de la Post-Quantum Cryptography Alliance (PQCA),
una nueva iniciativa colaborativa creada con el fin de impulsar el avance y la
adopción de la criptografía poscuántica (post-quantum cryptography).
«Después de varios meses de experimentación sobre los impactos en la
compatibilidad y el rendimiento, estamos lanzando un intercambio de claves
TLS poscuántico híbrido para plataformas de escritorio en Chrome 124»,
explica el equipo de seguridad de Chrome.
Chrome comenzó a admitir X25519Kyber768 para establecer secretos
simétricos en TLS, comenzando en Chrome 116. Este mecanismo híbrido combina la
salida de dos algoritmos criptográficos para crear la clave de sesión
utilizada para cifra la mayor parte de la conexión TLS:
X25519: un algoritmo de curva elíptica ampliamente utilizado para el intercambio
de de claves en TLS en la actualidad.
Kyber-768: un método de
encapsulación de claves resistente a ataques post-cuánticos
y ganador del
PQC del NIST para cifrado general.
«Esto protege el tráfico de los usuarios de los ataques llamados
‘almacenar ahora y descifrar después’, en los que una futura computadora cuántica podría descifrar el tráfico
cifrado registrado hoy».
Los ataques de «almacenar ahora, descifrar más tarde» son cuando los atacantes
recopilan datos cifrados y los almacenan para el futuro, cuando puedan haber
nuevos métodos de descifrado, como el uso de computadoras cuánticas o claves
de cifrado disponibles.
Para protegerse contra futuros ataques, las empresas ya han comenzado a
agregar cifrado resistente a ataques post-cuánticos a su pila de red para
evitar que este tipo de estrategias de descifrado funcionen en el futuro.
Algunas empresas que ya han introducido algoritmos resistentes a los cuánticos
son Apple,
Signal,
y Google.
«Hoy en día, casi el dos por ciento de todas las
conexiones TLS 1.3 establecidas con Cloudflare
están protegidas con criptografía poscuántica. Esperamos ver una adopción de
dos dígitos para finales de 2024. Apple anunció en febrero de 2024 que
protegerá iMessage con criptografía poscuántica antes de fin de año, y los
chats de Signal ya están protegidos. Lo que alguna vez fue el tema de las
demostraciones de tecnología futurista pronto será la nueva base de
seguridad para Internet.»
El uso de X25519Kyber768 agrega más de un kilobyte de datos adicionales
al mensaje TLS ClientHello debido a la adición del material de clave
encapsulado en Kyber. Los
experimentos anteriores con CECPQ2
demostraron que la gran mayoría de las implementaciones de TLS son compatibles
con este aumento de tamaño; sin embargo, en ciertos casos limitados, los
middleboxes TLS fallaron debido a restricciones codificadas incorrectamente en
el tamaño del mensaje.
Sin embargo, luego del lanzamiento Google Chrome 124 y Microsoft Edge 124,
algunas aplicaciones web, firewalls y servidores interrumpían las conexiones
después del protocolo de enlace ClientHello TLS. El problema también
afecta a los dispositivos de seguridad, firewalls, middleware de red y varios
dispositivos de red de múltiples proveedores (por ejemplo, Fortinet,
SonicWall, Palo Alto Networks, AWS).
«Esto parece romper el protocolo de enlace TLS para los servidores que no
saben qué hacer con los datos adicionales en el mensaje de saludo del
cliente»,
dijo un administrador.
Estos errores no se deben a un error en Google Chrome, sino a que los
servidores web no implementan correctamente la seguridad de la capa de
transporte (TLS) y no pueden manejar mensajes ClientHello más grandes
para la criptografía poscuántica. Esto hace que rechacen conexiones que
utilizan el algoritmo de intercambio de clave Kyber768 en lugar de
cambiar a la criptografía clásica si no son compatibles con
X25519Kyber768.
Se creó un sitio web llamado
tldr.fail
para compartir información adicional sobre cuán grandes los mensajes
ClientHello post-cuánticos pueden interrumpir conexiones en servidores web con
errores, con detalles sobre cómo los desarrolladores pueden corregir el error.
Los administradores de sitios web también pueden probar sus propios servidores
habilitando manualmente la función en Google Chrome 124 usando la bandera
chrome://flags/#enable-tls13-kyber. Una vez habilitado, los
administradores pueden conectarse a sus servidores y ver si la conexión causa
un error «ERR_CONNECTION_RESET».
Cómo solucionar problemas de conexión
Los usuarios de Google Chrome afectados pueden mitigar el problema accediendo
a
chrome://flags/#enable-tls13-kyber
y desactivando la compatibilidad con Kyber híbrido TLS 1.3 en Chrome.
Los administradores también pueden desactivarlo a través de la política
empresarial
PostQuantumKeyAgreementEnabled
en Software > Políticas > Google > Chrome
o comunicándose con los proveedores para obtener una actualización para los
servidores o middleboxes en sus redes que no están listos para
post-quantum.
Microsoft también ha publicado información sobre cómo controlar esta función a
través de las
políticas de grupo de Edge.
Sin embargo, es importante tener en cuenta que se requerirán cifrados seguros
poscuánticos a través de TLS, y la política empresarial de Chrome que permite
deshabilitarlo se eliminará en el futuro.
«Los dispositivos que no implementan TLS correctamente pueden funcionar mal
cuando se les ofrece la nueva opción. Por ejemplo, pueden desconectarse en
respuesta a opciones no reconocidas o los mensajes más grandes
resultantes», dice Google.
«Esta política es una medida temporal y se eliminará en futuras versiones
de Google Chrome. Puede habilitarse para permitirle realizar pruebas de
problemas y puede deshabilitarse mientras se resuelven los problemas».
Fuente:
BC
|
CloudFlare
