Nueva criptografía poscuántica de Google Chrome v124 puede "romper" conexiones TLS

Algunos usuarios de Google Chrome informan que han tenido problemas para conectarse a sitios web, servidores y firewalls después del lanzamiento de Chrome 124 la semana pasada con el nuevo mecanismo de encapsulación X25519Kyber768 resistente a ataques cuánticos y habilitado de forma predeterminada.

Google comenzó a probar el mecanismo de encapsulación de claves TLS seguro poscuántico en agosto y ahora lo ha habilitado en la última versión de Chrome para todos los usuarios. La nueva versión utiliza el algoritmo de acuerdo de clave Kyber768 quantum-resistant para conexiones TLS 1.3 y QUIC para proteger el tráfico TLS de Chrome contra el criptoanálisis cuántico.

Incluso The Linux Foundation ha anunciado la puesta en funcionamiento de la Post-Quantum Cryptography Alliance (PQCA), una nueva iniciativa colaborativa creada con el fin de impulsar el avance y la adopción de la criptografía poscuántica (post-quantum cryptography).

"Después de varios meses de experimentación sobre los impactos en la compatibilidad y el rendimiento, estamos lanzando un intercambio de claves TLS poscuántico híbrido para plataformas de escritorio en Chrome 124", explica el equipo de seguridad de Chrome.

Chrome comenzó a admitir X25519Kyber768 para establecer secretos simétricos en TLS, comenzando en Chrome 116. Este mecanismo híbrido combina la salida de dos algoritmos criptográficos para crear la clave de sesión utilizada para cifra la mayor parte de la conexión TLS:

• X25519: un algoritmo de curva elíptica ampliamente utilizado para el intercambio de de claves en TLS en la actualidad.
• Kyber-768: un método de encapsulación de claves resistente a ataques post-cuánticos y ganador del PQC del NIST para cifrado general.

"Esto protege el tráfico de los usuarios de los ataques llamados 'almacenar ahora y descifrar después' (Store Now, Decrypt Later - SNDL), en los que una futura computadora cuántica podría descifrar el tráfico cifrado registrado hoy".

Los ataques de "almacenar ahora, descifrar más tarde" son cuando los atacantes recopilan datos cifrados y los almacenan para el futuro, cuando puedan haber nuevos métodos de descifrado, como el uso de computadoras cuánticas o claves de cifrado disponibles.

Para protegerse contra futuros ataques, las empresas ya han comenzado a agregar cifrado resistente a ataques post-cuánticos a su pila de red para evitar que este tipo de estrategias de descifrado funcionen en el futuro. Algunas empresas que ya han introducido algoritmos resistentes a los cuánticos son Apple, Signal, y Google.

"Hoy en día, casi el dos por ciento de todas las conexiones TLS 1.3 establecidas con Cloudflare están protegidas con criptografía poscuántica. Esperamos ver una adopción de dos dígitos para finales de 2024. Apple anunció en febrero de 2024 que protegerá iMessage con criptografía poscuántica antes de fin de año, y los chats de Signal ya están protegidos. Lo que alguna vez fue el tema de las demostraciones de tecnología futurista pronto será la nueva base de seguridad para Internet."

El uso de X25519Kyber768 agrega más de un kilobyte de datos adicionales al mensaje TLS ClientHello debido a la adición del material de clave encapsulado en Kyber. Los experimentos anteriores con CECPQ2 demostraron que la gran mayoría de las implementaciones de TLS son compatibles con este aumento de tamaño; sin embargo, en ciertos casos limitados, los middleboxes TLS fallaron debido a restricciones codificadas incorrectamente en el tamaño del mensaje.

Sin embargo, luego del lanzamiento Google Chrome 124 y Microsoft Edge 124, algunas aplicaciones web, firewalls y servidores interrumpían las conexiones después del protocolo de enlace ClientHello TLS. El problema también afecta a los dispositivos de seguridad, firewalls, middleware de red y varios dispositivos de red de múltiples proveedores (por ejemplo, Fortinet, SonicWall, Palo Alto Networks, AWS).

"Esto parece romper el protocolo de enlace TLS para los servidores que no saben qué hacer con los datos adicionales en el mensaje de saludo del cliente", dijo un administrador.

Estos errores no se deben a un error en Google Chrome, sino a que los servidores web no implementan correctamente la seguridad de la capa de transporte (TLS) y no pueden manejar mensajes ClientHello más grandes para la criptografía poscuántica. Esto hace que rechacen conexiones que utilizan el algoritmo de intercambio de clave Kyber768 en lugar de cambiar a la criptografía clásica si no son compatibles con X25519Kyber768.

Se creó un sitio web llamado tldr.fail para compartir información adicional sobre cuán grandes los mensajes ClientHello post-cuánticos pueden interrumpir conexiones en servidores web con errores, con detalles sobre cómo los desarrolladores pueden corregir el error.

Los administradores de sitios web también pueden probar sus propios servidores habilitando manualmente la función en Google Chrome 124 usando la bandera chrome://flags/#enable-tls13-kyber. Una vez habilitado, los administradores pueden conectarse a sus servidores y ver si la conexión causa un error "ERR_CONNECTION_RESET".

Cómo solucionar problemas de conexión

Los usuarios de Google Chrome afectados pueden mitigar el problema accediendo a chrome://flags/#enable-tls13-kyber y desactivando la compatibilidad con Kyber híbrido TLS 1.3 en Chrome.

Los administradores también pueden desactivarlo a través de la política empresarial PostQuantumKeyAgreementEnabled en Software > Políticas > Google > Chrome o comunicándose con los proveedores para obtener una actualización para los servidores o middleboxes en sus redes que no están listos para post-quantum.

Microsoft también ha publicado información sobre cómo controlar esta función a través de las políticas de grupo de Edge.

Sin embargo, es importante tener en cuenta que se requerirán cifrados seguros poscuánticos a través de TLS, y la política empresarial de Chrome que permite deshabilitarlo se eliminará en el futuro.

"Los dispositivos que no implementan TLS correctamente pueden funcionar mal cuando se les ofrece la nueva opción. Por ejemplo, pueden desconectarse en respuesta a opciones no reconocidas o los mensajes más grandes resultantes", dice Google. "Esta política es una medida temporal y se eliminará en futuras versiones de Google Chrome. Puede habilitarse para permitirle realizar pruebas de problemas y puede deshabilitarse mientras se resuelven los problemas".

Fuente: BC | CloudFlare

Suscríbete a nuestro Boletín