Компания Google сообщила о включении в кодовую базу, на основе которой сформирован выпуск Chrome 116, новой реализации механизма инкапсуляции ключей (KEM, Key Encapsulation Mechanism), в которой задействован гибридный алгоритм X25519Kyber768, устойчивый к подбору на квантовых компьютерах. Для создания сессионных ключей, применяемых для шифрования данных внутри TLS-соединений, теперь может использоваться комбинация из механизма обмена ключами X25519, основанного на эллиптических кривых и ныне применяемого в TLS, c алгоритмом Kyber-768, использующим методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах. Спецификации расширения TLS 1.3, использующего X25519Kyber768 при обмене ключами, передана в комитет IETF (Internet Engineering Task Force) для дальнейшего утверждения в качестве интернет-стандарта.

Так как включение нового алгоритма может привести к несовместимости с существующим программным обеспечением, его внедрение планируют производить поэтапно, наращивая охват в браузерах Chrome и на серверах Google. X25519Kyber768 планируют применять как для соединений на базе протокола TCP, так и для протокола QUIC, работающего поверх UDP. Новый алгоритм также может использоваться при подключении к сторонним сервисам с его поддержкой, таким как сеть доставки контента Cloudflare. Конечное утверждение X25519Kyber768 в качестве базового алгоритма обмена ключами будет зависеть от результатов его тестового внедрения.

Ранее в Chrome 91 уже была добавлена экспериментальная поддержка
метода согласования ключей, стойкого к подбору на квантовых компьютерах, основанного на использовании в TLSv1.3 расширения CECPQ2 (Combined Elliptic-Curve and Post-Quantum 2), комбинирующего X25519 со схемой HRSS, использующей алгоритм NTRU Prime, разработанный для постквантовых криптосистем. Но из-за выявленных несовместимостей с некоторыми устройствами поддержка данного алгоритма была отключена в Chrome 93. X25519Kyber768 рассматривается как более перспективный алгортим, так как он прошёл проверку и объявлен Национальным институтом стандартов и технологий США (NIST) победителем конкурса криптоалгоритмов, стойких к подбору на квантовом компьютере.

Из недостатков X25519Kyber768 отмечается увеличение размера данных в сообщениях ClientHello, передаваемых в процессе согласования соединений, примерно на 1 КБ. Прошлый эксперимент с CECPQ2 показал, что большинство реализаций TLS корректно обрабатывают сообщения ClientHello увеличенного размера, за исключением отдельных случаев, в которых возникали сбои из-за жёстко заданных лимитов на размер.

Необходимость внедрения новых криптоалгоритмов обусловлена тем, что активно развивающиеся последнее время квантовые компьютеры кардинально быстрее решают задачи разложения натурального числа на простые множители (RSA, DSA) и дискретного логарифмирования точек эллиптической кривой (ECDSA), которые лежат в основе современных асимметричных алгоритмов шифрования по открытым ключам и эффективно не решаемы на классических процессорах. На текущем этапе развития возможностей квантовых компьютеров пока недостаточно для взлома актуальных классических алгоритмов шифрования и цифровых подписей на базе открытых ключей, таких как ECDSA, но предполагается, что ситуация может измениться в течение 10 лет и необходимо подготовить базу для перевода криптосистем на новые стандарты. В качестве наиболее оптимальных для дальнейшего внедрения в браузерах рассматриваются комбинированные схемы, которые сочетают алгоритмы, стойкие к подбору на обычных и квантовых ПК.

Источник: http://www.opennet.ru/opennews/art.shtml?num=59596