其他
今天,谷歌Chrome浏览器部署抗量子密码
谷歌已开始部署混合密钥封装机制(KEM),以保护在建立安全的 TLS 网络连接时共享对称加密机密。
8月10日,Chrome 浏览器安全技术项目经理Devon O’Brien解释说,从 8 月 15 日发布的 Chrome 浏览器 116 开始,谷歌浏览器将支持 X25519 Kyber768。
新的后量子加密技术被称为X25519Kyber768 ,它是一种混合机制,结合了两种加密算法的输出来加密传输层安全(TLS) 会话。X25519是一种椭圆曲线算法,目前用于建立安全TLS连接的密钥协议过程;Kyber-768是一种抗量子的KEM,去年获得了NIST对后量子加密技术的认可。
KEM 是一种在双方间建立共享秘密值的方法,这样通信端的两个人就可以使用对称密钥加密进行保密通信。它是通过网络进行安全信息交换的先导仪式。
之所以这样做,是因为许多人相信,量子计算机总有一天至少能破解某些传统加密方案。正是这种信念促使美国技术机构 NIST 在 2016 年呼吁采用面向未来的加密算法。
量子计算机虽然讨论得很多,但由于需要大量纠错和数倍的量子比特,因此尚未显示出太大的实用价值。
谷歌在 2019 年表示,它已经进行了一项实验,证明了量子优越性——即量子计算机可以超越经典计算机。但随后,中国科学院理论物理研究所张潘教授领导的团队成功打破了谷歌的“量子霸权”;IBM 的研究人员当时也表示,同样的实验“可以在经典系统上用 2.5 天完成,而且保真度要高得多”。因此,对于量子产业的发展来说,这并不算什么胜利。
然而,今年 6 月,IBM 的研究人员在《自然》杂志上发表了一项研究,称一个 127 量子比特的处理器在处理一个特定的物理问题时,只要有足够的误差缓解措施,其性能就能超越经典计算机。虽然依旧面临学术质疑,不过这一研究结果一旦得到更多科学家的证实,那么实用的量子计算机将有可能成为现实。
此次公告中,谷歌的O’Brien也解释了这一变动:“人们相信,能够破解现代经典密码学的量子计算机在5年、10年甚至50年内都不会出现,那么为什么今天就必须开始保护信息流呢?”
——答案是,密码学的某些用途很容易受到一种名为“现在收获,稍后解密”的攻击。即现在收集和存储数据,一旦密码分析能力提高,就可以稍后再进行解密。
然而,部署 X25519Kyber768 引入了一个新的考虑因素,如博客文章中详细介绍的:它向 TLS ClientHello 消息添加了额外的数据。根据该帖子,谷歌的初步测试表明与大多数 TLS 实现兼容。为了促进无缝过渡,管理员可以使用 Chrome 116 中提供的 Post Quantum Key Agreement Enabled 企业策略暂时禁用 X25519Kyber768。此措施旨在作为行业适应新的加密环境时的权宜之计。
链接:https://chromeenterprise.google/policies/#PostQuantumKeyAgreementEnabled
谷歌对该技术的早期部署对网络管理员也有实用价值,因为新的混合 KEM 方案在 TLS ClientHello 消息中增加了超过一千字节的额外数据。当这家互联网巨头用 CECPQ2 进行类似实验时,一些 TLS 中间件无法处理流量,因为它们对消息大小有硬编码限制。
Kyber 是一种 IND-CCA2 安全密钥封装机制(KEM),其安全性基于解决模块网格上的容错学习(LWE)问题的难度。此次谷歌chrome使用的Kyber-768 的安全性大致相当于 AES-192。
Kyber 已被集成到行业库和系统中,用户涵盖物流、互联网等各个行业:
- Cloudflare 将 Kyber 与其他 PQ 算法集成到 Cloudflare 可互操作、可重复使用的密码库 CIRCL 中;- 亚马逊现在支持在其 AWS 密钥管理服务中使用 Kyber 的混合模式;- IBM 已于 2019 年发布了使用 Kyber 和 Dilithium 的“全球首款量子计算安全磁带驱动器”。
Kyber 的最终草案预计将于 2024 年完成。
谷歌正在 Chrome 浏览器中部署这两种算法的混合版本,以便这家网络巨头、其技术用户以及 Cloudflare 等其他网络提供商可以测试后量子算法,同时保持现有的保护措施。
约翰·霍普金斯大学密码学教授Matthew Green也评论道:“我认为这是一个很好的发展。”
“量子计算机可能至少还需要 15 年的时间,甚至更长。但原则上,今天发送的任何加密信息都可以保存到这些计算机最终建成为止。”
“通过在今天的连接中加入后量子加密,这种威胁就被消除了。此外,这还为我们提供了一个很好的机会,在真正需要之前测试一些新的加密系统。”
QuSecure公司联合创始人兼首席产品官Rebecca Krauthamer在一封电子邮件中也表示,虽然这项技术听起来很未来,但由于以下两个原因,它在今天是有用和必要的。
“首先,今天的数据正在被截取,以便日后解密,这就是所谓的‘先收获后解密’攻击。”
“通过基于浏览器的通信共享的数据有很多形式,这些数据现在很有价值,将来也会继续有价值,包括私人电子邮件通信、电子健康记录、银行账户信息等等。”
Krauthamer认为,未来需要保护的数据现在就应该用量子弹性加密技术来保护。她还指出,拜登总统去年签署了H.R.7535《量子计算网络安全准备法案》,要求美国政府机构开始向量子弹性加密技术迈进。
“谷歌在帮助用户保护其通信方面迈出了精彩的一步。”
其次,Krauthamer说,我们不应该把有能力的量子计算机的到来看作是一个具体的、迫在眉睫的日期,而应该把它看作是一种毫无征兆就会到来的东西。
“这意味着我们无法知道它何时会上线,但它很可能会在我们不知情的情况下发生,我们现在就必须部署这种防御技术,以免被人抓住把柄。”
参考链接:[1]https://www.theregister.com/2023/08/12/google_chrome_kem/[2]https://www.congress.gov/bill/117th-congress/house-bill/7535/text[3]https://www.csoonline.com/article/649480/google-readies-chrome-for-distant-quantum-attacks-with-new-support.html[4]https://pq-crystals.org/kyber/index.shtml[5]https://www.ietf.org/archive/id/draft-tls-westerbaan-xyber768d00-02.html