Chrome adota ML-KEM contra criptografia pós-quântica
18 de Setembro de 2024

O Google anunciou que irá transitar de KYBER para ML-KEM no seu navegador web Chrome, como parte dos seus esforços contínuos para defender contra o risco representado por computadores quânticos criptograficamente relevantes (CRQCs).

"O Chrome oferecerá uma previsão de compartilhamento de chave para o ML-KEM híbrido (codepoint 0x11EC)", disseram David Adrian, David Benjamin, Bob Beck e Devon O'Brien da Equipe Chrome.

A flag PostQuantumKeyAgreementEnabled e a política empresarial serão aplicadas tanto para Kyber quanto para ML-KEM.

As mudanças devem entrar em vigor na versão 131 do Chrome, que está prevista para lançamento no início de novembro de 2024.

O Google observou que as duas abordagens de troca de chave pós-quânticas híbridas são essencialmente incompatíveis uma com a outra, levando-o a abandonar KYBER.

"As mudanças para a versão final do ML-KEM o tornam incompatível com a versão anteriormente implantada do Kyber", disse a empresa.

Como resultado, o codepoint em TLS para troca de chave pós-quântica híbrida está mudando de 0x6399 para Kyber768+X25519, para 0x11EC para ML-KEM768+X25519.

Este desenvolvimento ocorre logo após o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) publicar as versões finais dos três novos algoritmos de criptografia para proteger os sistemas atuais contra ataques futuros usando tecnologias quânticas, marcando a conclusão de um esforço de oito anos da agência.

Os algoritmos em questão são FIPS 203 (conhecido como ML-KEM), FIPS 204 (conhecido como CRYSTALS-Dilithium ou ML-DSA) e FIPS 205 (conhecido como Sphincs+ ou SLH-DSA) são destinados à criptografia geral e proteção de assinaturas digitais.

Um quarto algoritmo, FN-DSA (originalmente chamado FALCON), está previsto para finalização ainda este ano.

ML-KEM, abreviação de Mecanismo de Encapsulamento de Chave baseado em Lattices Modulares, é derivado da versão de terceira rodada do KEM CRYSTALS-KYBER e pode ser usado para estabelecer uma chave secreta compartilhada entre duas partes que se comunicam por um canal público.

A Microsoft, por sua vez, também está se preparando para um mundo pós-quântico, anunciando uma atualização para sua biblioteca criptográfica SymCrypt com suporte para ML-KEM e eXtended Merkle Signature Scheme (XMSS).

"Adicionar suporte ao algoritmo pós-quântico ao motor cripto subjacente é o primeiro passo em direção a um mundo seguro contra quantum", disse o fabricante do Windows, afirmando que a transição para criptografia pós-quântica (PQC) é um "processo complexo, de vários anos e iterativo" que requer um planejamento cuidadoso.

A divulgação também segue a descoberta de uma falha criptográfica nos microcontroladores de segurança Infineon SLE78, Optiga Trust M e Optiga TPM que poderia permitir a extração de chaves privadas do Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA) de dispositivos de autenticação de hardware YubiKey.

Acredita-se que a falha criptográfica dentro da biblioteca fornecida pela Infineon permaneceu despercebida por 14 anos e cerca de 80 avaliações de certificação de Critérios Comuns de nível mais alto.

O ataque de canal lateral, batizado de EUCLEAK ( CVE-2024-45678 , pontuação CVSS: 4.9) por Thomas Roche da NinjaLab, afeta todos os microcontroladores de segurança da Infineon que incorporam a biblioteca criptográfica e os seguintes dispositivos YubiKey:

YubiKey 5 Series versões anteriores à 5.7
YubiKey 5 FIPS Series antes da 5.7
YubiKey 5 CSPN Series antes da 5.7
YubiKey Bio Series versões antes da 5.7.2
Security Key Series todas as versões antes da 5.7
YubiHSM 2 versões até a 2.4.0
YubiHSM 2 FIPS versões até a 2.4.0

"O atacante precisaria ter posse física do YubiKey, Security Key ou YubiHSM, conhecimento das contas que deseja alvo e equipamento especializado para realizar o ataque necessário", disse a Yubico, a empresa por trás do YubiKey, em um aviso coordenado.

Dependendo do caso de uso, o atacante também pode requerer conhecimento adicional, incluindo nome de usuário, PIN, senha da conta ou chave de autenticação [YubiHSM].

Mas como os dispositivos YubiKey existentes com versões de firmware vulneráveis não podem ser atualizados — uma escolha de design intencional feita para maximizar a segurança e evitar a introdução de novas vulnerabilidades — eles estão permanentemente suscetíveis ao EUCLEAK.

A empresa anunciou desde então planos para depreciar o suporte para a biblioteca criptográfica da Infineon em favor de sua própria biblioteca criptográfica como parte das versões de firmware YubiKey f5.7 e YubiHSM 2.4.

Os resultados seguem um ataque de canal lateral semelhante contra as chaves de segurança Google Titan que foi demonstrado por Roche e Victor Lomne em 2021, potencialmente permitindo que atores mal-intencionados clonassem os dispositivos explorando um canal lateral eletromagnético no chip embutido neles.

"O ataque [EUCLEAK] requer acesso físico ao elemento seguro (poucas aquisições de canal lateral eletromagnético local, ou seja, poucos minutos, são suficientes) para extrair a chave secreta ECDSA", disse Roche.

No caso do protocolo FIDO, isso permite criar um clone do dispositivo FIDO.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...