Ciberseguridad 360 | Nueva criptografía poscuántica de Chrome puede romper las conexiones TLS

Algunos usuarios de Google Chrome informan de que tienen problemas para conectarse a sitios web, servidores y cortafuegos despu�s de que Chrome 124 se lanzara la semana pasada con el nuevo mecanismo de encapsulaci�n X25519Kyber768 resistente a la cu�ntica activado por defecto.

Google empez� a probar el mecanismo de encapsulaci�n de claves TLS seguro post-cu�ntico en agosto y ahora lo ha habilitado en la �ltima versi�n de Chrome para todos los usuarios.

La nueva versi�n utiliza el algoritmo de acuerdo de claves Kyber768 resistente a la cu�ntica para conexiones TLS 1.3 y QUIC con el fin de proteger el tr�fico TLS de Chrome contra el criptoan�lisis cu�ntico.

"Tras varios meses de experimentaci�n para comprobar la compatibilidad y el impacto en el rendimiento, lanzamos un intercambio de claves TLS postcu�ntico h�brido a las plataformas de escritorio en Chrome 124", explica el equipo de seguridad de Chrome.

"Esto protege el tr�fico de los usuarios de los llamados ataques 'store now decrypt later', en los que un futuro ordenador cu�ntico podr�a descifrar el tr�fico cifrado registrado hoy".

Los ataques de "almacenar ahora, descifrar despu�s" se producen cuando los atacantes recopilan datos cifrados y los almacenan para el futuro, cuando pueda haber nuevos m�todos de descifrado, como el uso de ordenadores cu�nticos o las claves de cifrado est�n disponibles.

Para protegerse de futuros ataques, las empresas ya han empezado a a�adir cifrado resistente a la cu�ntica a su pila de red para evitar que este tipo de estrategias de descifrado funcionen en el futuro. Algunas de las empresas que ya han introducido algoritmos resistentes a la tecnolog�a cu�ntica son Apple, Signal y Google.

Sin embargo, como los administradores de sistemas han compartido en l�nea desde que Google Chrome 124 y Microsoft Edge 124 comenzaron a desplegarse en plataformas de escritorio la semana pasada, algunas aplicaciones web, firewalls y servidores interrumpir�n las conexiones despu�s del apret�n de manos TLS ClientHello.

El problema tambi�n afecta a dispositivos de seguridad, cortafuegos, middleware de red y diversos dispositivos de red de varios proveedores (por ejemplo, Fortinet, SonicWall, Palo Alto Networks, AWS).

"Esto parece romper el protocolo TLS para los servidores que no saben qu� hacer con los datos adicionales en el mensaje de bienvenida del cliente", dijo un administrador.

"El mismo problema aqu� desde la versi�n 124 de Edge, parece que va mal con el descifrado SSL de mi palo alto", dijo otro admin.

Estos errores no se deben a un fallo de Google Chrome, sino a que los servidores web no implementan correctamente la seguridad de la capa de transporte (TLS) y no pueden gestionar mensajes ClientHello de mayor tama�o para la criptograf�a poscu�ntica.

Esto hace que rechacen las conexiones que utilizan el algoritmo de acuerdo de claves resistente al quantum Kyber768 en lugar de cambiar a la criptograf�a cl�sica si no son compatibles con X25519Kyber768.

Se ha creado un sitio web llamado tldr.fail para compartir informaci�n adicional sobre c�mo los mensajes ClientHello post-cu�nticos de gran tama�o pueden romper conexiones en servidores web con fallos, con detalles sobre c�mo los desarrolladores pueden solucionar el fallo.

Los administradores de sitios web tambi�n pueden probar sus propios servidores activando manualmente la funci�n en Google Chrome 124 mediante el indicador chrome://flags/#enable-tls13-kyber. Una vez habilitada, los administradores pueden conectarse a sus servidores y comprobar si la conexi�n provoca un error "ERR_CONNECTION_RESET".

C�mo solucionar problemas de conexi�n

Los usuarios de Google Chrome afectados pueden mitigar el problema accediendo a chrome://flags/#enable-tls13-kyber y desactivando la compatibilidad con TLS 1.3 hybridized Kyber en Chrome.

Los administradores tambi�n pueden desactivarlo desactivando la pol�tica de empresa PostQuantumKeyAgreementEnabled en Software > Policies > Google > Chrome o poni�ndose en contacto con los proveedores para obtener una actualizaci�n de los servidores o middleboxes de sus redes que no est�n preparados para PostQuantum.

Microsoft tambi�n ha publicado informaci�n sobre c�mo controlar esta funci�n a trav�s de las pol�ticas de grupo de Edge.

Sin embargo, es importante tener en cuenta que a largo plazo, los cifrados seguros post-quantum ser�n necesarios en TLS, y la pol�tica de empresa de Chrome que permite desactivarlo se eliminar� en el futuro.

"Los dispositivos que no implementen correctamente TLS pueden funcionar mal cuando se les ofrezca la nueva opci�n. Por ejemplo, pueden desconectarse en respuesta a opciones no reconocidas o a los mensajes m�s grandes resultantes", afirma Google.

"Esta pol�tica es una medida temporal y se eliminar� en futuras versiones de Google Chrome. Puede estar Habilitada para permitirte probar si hay problemas, y puede estar Deshabilitada mientras se resuelven los problemas."

Fuente: bleepingcomputer