Google Chrome: nova criptografia compromete conexões TLS
29 de Abril de 2024

Usuários do Google Chrome relatam problemas ao se conectar a sites, servidores e firewalls após o lançamento, na semana passada, do Chrome 124 com o novo mecanismo de encapsulamento resistente a quantum, X25519Kyber768, ativado por padrão.

O Google começou a testar o mecanismo de encapsulamento de chave TLS seguro pós-quântico em agosto e agora o ativou na última versão do Chrome para todos os usuários.

A nova versão utiliza o algoritmo de acordo de chaves resistente a quantum, Kyber768, para conexões TLS 1.3 e QUIC, protegendo o tráfego TLS do Chrome contra criptoanálise quântica.

"Após vários meses de experimentação para compatibilidade e impacto no desempenho, estamos lançando uma troca de chaves TLS híbrida pós-quântica para plataformas desktop no Chrome 124", explica a equipe de segurança do Chrome.

Isso protege o tráfego dos usuários contra ataques do tipo 'armazenar agora, decifrar depois', nos quais um futuro computador quântico poderia decifrar tráfego criptografado gravado hoje.

Ataques do tipo armazenar agora, decifrar depois ocorrem quando atacantes coletam dados criptografados e os armazenam para o futuro, quando podem existir novos métodos de decifração, como o uso de computadores quânticos ou chaves de criptografia se tornarem disponíveis.

Para proteger contra ataques futuros, empresas já começaram a adicionar criptografia resistente a quantum ao seu stack de rede para impedir que essas estratégias de decifração funcionem no futuro.

Algumas empresas que já introduziram algoritmos resistentes a quantum incluem Apple, Signal e Google.

Contudo, como administradores de sistema compartilharam online desde que o Google Chrome 124 e o Microsoft Edge 124 começaram a ser distribuídos em plataformas desktop na semana passada, algumas aplicações web, firewalls e servidores estão interrompendo conexões após o handshake TLS ClientHello.

O problema afeta também appliances de segurança, firewalls, middleware de rede e diversos dispositivos de rede de vários fornecedores (por exemplo, Fortinet, SonicWall, Palo Alto Networks, AWS).

"Isto parece quebrar o handshake TLS para servidores que não sabem o que fazer com os dados extras na mensagem client hello", disse um administrador.

"Mesmo problema aqui desde a versão 124 do Edge, parece dar errado com a decifração SSL do meu palo alto", comentou outro administrador.

Esses erros não são causados por um bug no Google Chrome, mas sim por servidores web falhando em implementar adequadamente o Transport Layer Security (TLS) e não sendo capazes de lidar com mensagens ClientHello maiores para criptografia pós-quântica.

Isso faz com que eles rejeitem conexões que usem o algoritmo de acordo de chaves resistente a quantum Kyber768 em vez de mudar para criptografia clássica, caso não suportem X25519Kyber768.

Um site chamado tldr.fail foi criado para compartilhar informações adicionais sobre como grandes mensagens post-quantum ClientHello podem quebrar conexões em servidores web com erros, com detalhes sobre como os desenvolvedores podem corrigir o bug.

Administradores de site também podem testar seus próprios servidores habilitando manualmente o recurso no Google Chrome 124 usando a flag chrome://flags/#enable-tls13-kyber.

Uma vez habilitado, administradores podem se conectar a seus servidores e ver se a conexão causa um erro "ERR_CONNECTION_RESET".

Usuários afetados do Google Chrome podem mitigar o problema indo para chrome://flags/#enable-tls13-kyber e desativando o suporte a Kyber hibridizado TLS 1.3 no Chrome.

Administradores também podem desabilitá-lo alternando a política empresarial PostQuantumKeyAgreementEnabled em Software > Políticas > Google > Chrome ou contatando os fornecedores para obter uma atualização para servidores ou middleboxes em suas redes que não estejam prontos para o pós-quântico.

A Microsoft também divulgou informações sobre como controlar esse recurso por meio das políticas de grupo do Edge.

No entanto, é importante notar que, a longo prazo, cifras seguras pós-quânticas serão necessárias no TLS, e a política empresarial do Chrome que permite desabilitá-lo será removida no futuro.

"Dispositivos que não implementam corretamente o TLS podem funcionar mal quando oferecida a nova opção.Por exemplo, eles podem desconectar em resposta a opções não reconhecidas ou as mensagens maiores resultantes", diz o Google.

Esta política é uma medida temporária e será removida em versões futuras do Google Chrome.

Ela pode ser habilitada para permitir que você teste problemas e pode ser desabilitada enquanto os problemas estão sendo resolvidos.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...