Użytkownicy przeglądarki Google Chrome zgłosili problemy z połączeniem się ze stronami internetowymi, serwerami i zaporami sieciowymi po wydaniu w zeszłym tygodniu przeglądarki Chrome 124 z odpornym na kwantowe szyfrowanie X25519Kyber768.
Szukaj X stwierdził, że problem jest problemem powszechnym I że wielu użytkowników miało również problem z włączeniem dźwięku do odtwarzania muzyki i filmów, nawet po ponownym uruchomieniu i ponownej instalacji.
Tę najświeższą wiadomość rozeszła się po ekipie bezpieczeństwa Google Zgłosiłem się pod koniec zeszłego tygodnia Po kilku miesiącach testów pod kątem kompatybilności i wydajności, został on uruchomiony Post-kwantowa hybrydowa wymiana kluczy TLS Na platformy komputerowe w przeglądarce Chrome 124.
Google twierdzi, że celem wprowadzenia tej usługi jest ochrona ruchu użytkowników przed tak zwanymi atakami „przechowuj teraz, odszyfruj później”, dzięki którym przyszły komputer kwantowy będzie mógł odszyfrować zaszyfrowany ruch zarejestrowany dzisiaj. Ataki „Przechowuj teraz, odszyfruj później” mają miejsce, gdy atakujący zbierają zaszyfrowane dane i przechowują je do wykorzystania w przyszłości, gdy mogą zostać opracowane nowe metody deszyfrowania z wykorzystaniem komputerów kwantowych lub kluczy szyfrujących.
Systemy często muszą zachować kompatybilność ze starszym sprzętem i oprogramowaniem, które może nie obsługiwać najnowszych wersji TLS lub nowszych algorytmów szyfrowania, wyjaśnił Jason Sorocco, starszy wiceprezes ds. produktu w Sectigo. Aby zapewnić szerszą dostępność, Soroko powiedział, że niektóre systemy mogą nadal obsługiwać starsze, mniej bezpieczne wersje protokołu TLS.
„Większe rozmiary kluczy związane z algorytmami postkwantowymi nie są tym, czego oczekują niektóre z tych starszych systemów, a to prowadzi do zerwania połączeń TLS” – powiedział Soroko. „To uwydatnia jedną z głównych trudności, przed którymi staniemy, jeśli chodzi o bezpieczeństwo systemów w świecie postkwantowym. Nie powinniśmy pozwolić, aby ten problem utrudniał postęp. Zamiast tego powinniśmy pozwolić, aby uświadomił nam, jaka część systemów desperacko potrzebuje aktualizacja.”
Tom Siu, dyrektor ds. bezpieczeństwa informacji w Inversion6, dodał, że aktualizacje oparte na przeglądarce to koniec łańcucha poprawek, a aktualizacje na serwerze powinny być przeprowadzone wcześniej. Ponieważ Google testuje to ulepszenie szyfrowania w Chrome od sierpnia, Siu stwierdził, że widzimy nieuniknioną próbę nadrobienia zaległości przez administratorów serwerów i organizacje posiadające zależności od starszego oprogramowania.
„Nie jestem pewien, jak podatne są przechowywane zaszyfrowane sesje na postkwantowe ataki operacyjne, ponieważ wymagają one od atakujących posiadania dobrze ugruntowanego indeksowania dużego ruchu przechowywanego w ramach sesji” – powiedział Siu. „Temat „bezpieczeństwa opartego na czasie” ma zastosowanie, ponieważ wrażliwość danych zmniejsza się z biegiem czasu. Dlatego też wszelkie przyszłe ataki związane z odtwarzaniem i potencjalne odszyfrowanie mogą skutkować mniejszą przepustowością danych śledzoną przez miesiące lub lata po zarejestrowaniu sesji zaszyfrowanych kluczem.
Lionel Leite, starszy inżynier bezpieczeństwa w Menlo Security, dodał, że zerwane połączenia nie są zbyt niepokojące, ponieważ wprowadzanie zmian w TLS często wiąże się z podobnymi awariami i z czasem zostaje rozwiązane.
„Dostawcy i administratorzy systemów muszą teraz wykonać swoją część, odpowiednio wydając poprawki do swojego oprogramowania i wdrażając je” – powiedział Leite. „Chociaż nie ma powodu do paniki, im szybciej wdrożymy algorytmy postkwantowe na dużą skalę, tym lepiej”.
„Lekarz gier. Fanatyk zombie. Studio muzyczne. Kawiarni ninja. Miłośnik telewizji. Miły fanatyk alkoholik.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25255990/246965_vision_pro_AKrales_0178.jpg)