Los usuarios de Google Chrome informaron problemas para conectarse a sitios web, servidores y firewalls después del lanzamiento de Chrome 124 la semana pasada con cifrado X25519Kyber768 resistente a cuánticos.
buscar X descubrió que el problema era un problema generalizado. Y que muchos usuarios también enfrentaron un problema al permitir que el sonido reproduzca música y videos incluso después de reiniciar y reinstalar.
Esta última noticia surgió después de que el equipo de seguridad de Google Informé a fines de la semana pasada Después de varios meses de pruebas de compatibilidad y efectos de rendimiento, se lanzó Intercambio de claves TLS híbridas poscuánticas A plataformas de escritorio en Chrome 124.
Google dijo que el objetivo del lanzamiento es proteger el tráfico de usuarios de los ataques llamados «almacenar ahora, descifrar después», mediante los cuales una futura computadora cuántica podría descifrar el tráfico cifrado registrado hoy. Los ataques de “almacenar ahora, descifrar después” ocurren cuando los atacantes recopilan y almacenan datos cifrados para su uso futuro cuando se puedan desarrollar nuevos métodos de descifrado que utilicen computadoras cuánticas o claves de cifrado.
Los sistemas a menudo necesitan mantener la compatibilidad con hardware y software heredados que pueden no ser compatibles con las últimas versiones de TLS o algoritmos de cifrado más nuevos, explicó Jason Sorocco, vicepresidente senior de producto de Sectigo. Para garantizar una accesibilidad más amplia, Soroko dijo que algunos sistemas pueden seguir admitiendo versiones más antiguas y menos seguras de TLS.
«Los tamaños de clave más grandes asociados con los algoritmos poscuánticos no son lo que algunos de estos sistemas heredados esperan, y esto conduce a conexiones TLS rotas», dijo Soroko. “Esto pone de relieve una de las principales dificultades que enfrentaremos para proteger los sistemas en un mundo poscuántico. No debemos permitir que este problema obstaculice el progreso, sino que debemos permitir que nos informe sobre qué proporción de sistemas necesitan desesperadamente una solución. mejora.»
Tom Siu, director de seguridad de la información de Inversion6, agregó que las actualizaciones basadas en navegador son el final de la cadena de parches y que las actualizaciones basadas en servidor deberían haberse realizado antes. Dado que Google ha estado probando esta mejora de cifrado de Chrome desde agosto, Siu dijo que lo que estamos viendo es una inevitable jugada de recuperación para los administradores de servidores y las organizaciones con dependencias de software heredadas.
«No estoy seguro de cuán vulnerables son las sesiones cifradas almacenadas a los ataques operativos post-cuánticos, porque requieren que los atacantes tengan una indexación bien establecida del gran tráfico de sesiones almacenadas», dijo Siu. “El tema de la 'seguridad basada en el tiempo' se aplica, ya que la sensibilidad de los datos disminuye con el tiempo, por lo tanto, cualquier ataque operativo futuro y posible descifrado daría como resultado un menor rendimiento de los datos que se rastrearían meses o años después de que se registraran las sesiones clave cifradas. «
Lionel Leite, ingeniero de seguridad senior de Menlo Security, agregó que las conexiones rotas no son demasiado preocupantes porque la implementación de cambios en TLS a menudo conlleva fallas similares y se resuelven con el tiempo.
«Los proveedores y administradores de sistemas ahora deben hacer su parte, emitiendo correcciones para su software e implementando esas correcciones respectivamente», dijo Leite. «Si bien no hay necesidad de entrar en pánico, cuanto antes implementemos algoritmos poscuánticos a gran escala, mejor».
«Fanático del café. Amable aficionado a los zombis. Devoto practicante de la cultura pop. Malvado defensor de los viajes. Organizador típico».