Criptografía poscuántica de Google Chrome puede romper las conexiones TLS

Iniciado por AXCESS, Abril 29, 2024, 06:11:52 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 29, 2024, 06:11:52 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Algunos usuarios de Google Chrome informan que han tenido problemas para conectarse a sitios web, servidores y firewalls después del lanzamiento de Chrome 124 la semana pasada con el nuevo mecanismo de encapsulación X25519Kyber768 resistente a los cuánticos habilitado de forma predeterminada.

Google comenzó a probar el mecanismo de encapsulación de claves TLS seguro poscuántico en agosto y ahora lo ha habilitado en la última versión de Chrome para todos los usuarios.

La nueva versión utiliza el algoritmo de acuerdo de clave resistente a lo cuántico Kyber768 para conexiones TLS 1.3 y QUIC para proteger el tráfico TLS de Chrome contra el criptoanálisis cuántico.

"Después de varios meses de experimentación sobre los impactos en la compatibilidad y el rendimiento, estamos lanzando un intercambio de claves TLS poscuántico híbrido para plataformas de escritorio en Chrome 124", explica el equipo de seguridad de Chrome.

"Esto protege el tráfico de los usuarios de los ataques llamados 'almacenar ahora y descifrar después', en los que una futura computadora cuántica podría descifrar el tráfico cifrado registrado hoy".

Los ataques de almacenar ahora, descifrar más tarde son cuando los atacantes recopilan datos cifrados y los almacenan para el futuro, cuando puedan haber nuevos métodos de descifrado, como el uso de computadoras cuánticas o claves de cifrado disponibles.

Para protegerse contra futuros ataques, las empresas ya han comenzado a agregar cifrado resistente a los cuánticos a su pila de red para evitar que este tipo de estrategias de descifrado funcionen en el futuro. Algunas empresas que ya han introducido algoritmos resistentes a los cuánticos son Apple, Signal y Google.

Sin embargo, como los administradores del sistema han compartido en línea desde que Google Chrome 124 y Microsoft Edge 124 comenzaron a implementarse en plataformas de escritorio la semana pasada, algunas aplicaciones web, firewalls y servidores interrumpirán las conexiones después del protocolo de enlace ClientHello TLS.

El problema también afecta a los dispositivos de seguridad, firewalls, middleware de red y varios dispositivos de red de múltiples proveedores (por ejemplo, Fortinet, SonicWall, Palo Alto Networks, AWS).

"Esto parece romper el protocolo de enlace TLS para los servidores que no saben qué hacer con los datos adicionales en el mensaje de saludo del cliente", dijo un administrador.

"El mismo problema aquí desde la versión 124 de Edge, parece que falla con el descifrado SSL de mi Palo Alto", dijo otro administrador.

Estos errores no se deben a un error en Google Chrome, sino a que los servidores web no implementaron correctamente la Seguridad de la capa de transporte (TLS) y no pudieron manejar mensajes ClientHello más grandes para la criptografía poscuántica.

Esto hace que rechacen conexiones que utilizan el algoritmo de acuerdo de clave resistente a cuánticos Kyber768 en lugar de cambiar a la criptografía clásica si no son compatibles con X25519Kyber768.

Se creó un sitio web llamado No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para compartir información adicional sobre cuán grandes los mensajes ClientHello post-cuánticos pueden interrumpir conexiones en servidores web con errores, con detalles sobre cómo los desarrolladores pueden corregir el error.

Los administradores de sitios web también pueden probar sus propios servidores habilitando manualmente la función en Google Chrome 124 usando la bandera No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Una vez habilitado, los administradores pueden conectarse a sus servidores y ver si la conexión causa un error "ERR_CONNECTION_RESET".
Cómo solucionar problemas de conexión

Los usuarios de Google Chrome afectados pueden mitigar el problema accediendo a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y desactivando la compatibilidad con Kyber híbrido TLS 1.3 en Chrome.

Los administradores también pueden desactivarlo desactivando la política empresarial PostQuantumKeyAgreementEnabled en Software > Políticas > Google > Chrome o comunicándose con los proveedores para obtener una actualización para los servidores o middleboxes en sus redes que no están listos para post-quantum.

Microsoft también ha publicado información sobre cómo controlar esta función a través de las políticas de grupo de Edge.

Sin embargo, es importante tener en cuenta que se requerirán cifrados seguros poscuánticos a largo plazo en TLS, y la política empresarial de Chrome que permite deshabilitarlo se eliminará en el futuro.

"Los dispositivos que no implementan TLS correctamente pueden funcionar mal cuando se les ofrece la nueva opción. Por ejemplo, pueden desconectarse en respuesta a opciones no reconocidas o los mensajes más grandes resultantes", dice Google.

"Esta política es una medida temporal y se eliminará en futuras versiones de Google Chrome. Puede habilitarse para permitirle realizar pruebas de problemas y puede deshabilitarse mientras se resuelven los problemas".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario