Para proteger contra ataques TLS usando computadores quânticos, o Chrome está mudando para a criptografia quântica ML-KEM.
O Google está atualizando a criptografia pós-quântica usada no navegador Chrome para proteger contra ataques TLS usando computadores quânticos e para mitigar ataques store-now-decrypt-later.
A próxima mudança trocará o Kyber usado em trocas de chaves híbridas por uma versão mais nova e ligeiramente modificada, renomeada como Module Lattice Key Encapsulation Mechanism (ML-KEM).
Chrome está mudando para a criptografia quântica ML-KEM
Sim. O Chrome está mudando para a criptografia quântica ML-KEM. Essa mudança ocorre aproximadamente cinco meses após o Google lançar o sistema de encapsulamento de chaves TLS seguro pós-quântico no Chrome estável para todos os usuários, o que também causou alguns problemas com trocas TLS.
A mudança do Kyber para o ML-KEM, no entanto, não está relacionada a esses problemas iniciais, que foram resolvidos logo após se manifestarem. Em vez disso, é uma escolha estratégica abandonar um sistema experimental por um mecanismo totalmente padronizado e aprovado pelo NIST.
O ML-KEM foi totalmente endossado pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) em meados de agosto, com a agência publicando as especificações técnicas completas da versão final na época.
O Google explica que, apesar das mudanças técnicas do Kyber para o ML-KEM serem pequenas, os dois são essencialmente incompatíveis, então uma troca teve que ser feita.
“As mudanças na versão final do ML-KEM o tornam incompatível com a versão previamente implantada do Kyber”, explica o Google.
“Como resultado, o ponto de código em TLS para troca de chaves pós-quânticas híbridas está mudando de 0x6399 para Kyber768+X25519 para 0x11EC para ML-KEM768+X25519.”
Abandonando o Kyber
O Google explica que o suporte ao Kyber tem que ser removido completamente porque a criptografia pós-quântica envolve tamanhos de dados muito maiores em comparação com algoritmos pré-quânticos.
Por exemplo, uma troca de chaves baseada em Kyber pode ocupar mais de 1.000 bytes, e assinaturas pós-quânticas como ML-DSA são ainda mais volumosas, resultando em mais de 14.000 bytes em um handshake típico.
Se o Google decidir manter o suporte para Kyber além do ML-KEM, o desempenho e a eficiência da rede no Chrome seriam seriamente prejudicados.
O Google observa que os operadores de servidores podem oferecer suporte temporário a ambos os padrões para manter a segurança para um conjunto mais amplo de clientes e ajudar a tornar a transição mais suave para clientes que ainda não atualizaram, mas o ML-KEM deve ser o alvo final para todas as partes interessadas.
Uma solução proposta (rascunho do IETF) para o longo prazo é que os servidores anunciem quais algoritmos criptográficos eles oferecem suporte via DNS, para que o cliente use a chave apropriada desde o início, evitando viagens de ida e volta extras durante o handshake.
A atualização deve ser implementada no Chrome 131 (a versão atual é 128), com lançamento previsto para 6 de novembro de 2024.
Usuários de canais de desenvolvimento como Chrome Canary, Beta e Dev devem ver o suporte ML-KEM mais cedo.