Devon O'Brien, Giám đốc kỹ thuật về bảo mật của Chrome cho biết, bắt đầu từ phiên bản Chrome 116 được ra mắt ngày 15/8/2023, trình duyệt của Google sẽ bao gồm hỗ trợ thuật toán X25519Kyber768 để thiết lập mã hóa đối xứng trong TLS.
Kyber đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chọn làm ứng cử viên mã hóa chung trong nỗ lực giải quyết các cuộc tấn công mạng trong tương lai trước sự xuất hiện của điện toán lượng tử. Kyber-768 gần tương đương với bảo mật của AES-192. Thuật toán mã hóa đã được áp dụng bởi Cloudflare, Amazon Web Services và IBM.
X25519Kyber768 là kết hợp đầu ra của hai thuật toán mật mã để tạo khóa phiên được sử dụng để mã hóa phần lớn kết nối TLS, bao gồm: X25519, một thuật toán đường cong elliptic được sử dụng rộng rãi cho thỏa thuận khóa trong TLS ngày nay; thứ hai là Kyber-768 để tạo khóa phiên mạnh nhằm mã hóa các kết nối TLS. Kyber-768 là một phương pháp KEM kháng lượng tử vào năm ngoái đã giành được sự chấp thuận của NIST cho mã hóa hậu lượng tử.
KEM là một cách để thiết lập một giá trị bí mật được chia sẻ giữa hai thực thể để họ có thể trao đổi thông tin bí mật bằng cách sử dụng mã hóa khóa đối xứng. Các cơ chế kết hợp như X25519Kyber768 mang lại sự linh hoạt để triển khai và thử nghiệm các thuật toán kháng lượng tử mới, đồng thời đảm bảo rằng các kết nối vẫn được bảo vệ bằng thuật toán bảo mật hiện có.
O'Brien cho biết: “Trong TLS, mặc dù các thuật toán mã hóa đối xứng bảo vệ dữ liệu trong quá trình truyền được coi là an toàn trước phân tích mật mã lượng tử, nhưng cách mà các khóa đối xứng được tạo ra thì không. Điều này có nghĩa là trong Chrome, chúng tôi càng sớm cập nhật TLS để sử dụng các khóa phiên kháng lượng tử thì có thể bảo vệ lưu lượng truy cập mạng của người dùng trước hoạt động phân tích mật mã lượng tử trong tương lai”.
Các tổ chức gặp phải sự cố không tương thích với thiết bị mạng sau khi triển khai nên tắt X25519Kyber768 trong Chrome bằng cách sử dụng chính sách (policy) có tên là “PostQuantumKeyAgreementEnabled”, có sẵn từ phiên bản Chrome 116 như một biện pháp tạm thời.
Sự phát triển diễn ra ngay khi Google cho biết họ đang thay đổi thời gian phát hành các bản cập nhật bảo mật Chrome, từ hai tuần một lần thành hàng tuần nhằm giảm thiểu thời gian tấn công và giải quyết các lỗ hổng ngày càng tăng, cho phép các tác nhân đe dọa có nhiều thời gian hơn để vũ khí hóa các lỗ hổng n-day và zero-day đã công bố.
Nhà nghiên cứu Amy Ressler từ Nhóm bảo mật Chrome cho biết: “Các tin tặc có thể có thể lợi dụng khả năng hiển thị của các bản sửa lỗi này và phát triển các khai thác để áp dụng cho những người dùng trình duyệt chưa nhận được vá. Đó là lý do tại sao chúng tôi tin rằng điều thực sự quan trọng là phải gửi các bản sửa lỗi bảo mật càng sớm càng tốt, để giảm thiểu lỗ hổng”.