行业新闻与博客

如果您一直在等待使用抗量子加密来保护您组织的基础设施和数据，那么您的等待就结束了。Chrome 在 8 月 15 日的最新版本（版本 116）中推出了量子混合密钥协商机制。

8 月 10 日，Chromium 项目在 Devon O'Brien 的博客文章中宣布为 Chrome 和 Google 服务器采用混合加密算法 (X25519Kyber768)。目标是帮助全球组织保护其数据免受未来基于量子计算的威胁，同时确保安全免受当今的加密威胁。

2022 年 12 月，美国国会通过立法，鼓励联邦机构采用抗量子密码技术。Amazon Web Services (AWS)、Cloudflare 和 IBM 等公司已在使用一些量子计算 (QC) 算法。虽然量子计算机在被善意的人使用时会得到广泛采用，但如果该技术落入坏人之手，它也会构成重大威胁。

从组织安全的角度来看，谷歌的举动代表了用户第一次真正有机会在 HTTPS 上使用后量子加密 (PQC) 。但这对于您的业务以及您受托保护其数据的客户和用户的安全意味着什么？

Google 正在测试新的 PQC 算法，作为其为 PQC 未来做好准备的多年目标的一部分。从 Chrome 版本 116 正式开始，该浏览器添加了对名为 X25519Kyber768 的抗量子算法的支持。

正如 Google 所解释的那样，该算法是一种“混合机制”，“结合两种加密算法的输出来创建用于加密大部分 TLS 连接的会话密钥”。使用的两种算法是 X25519（已在使用的椭圆曲线算法）和 Kyber-768（NIST PQC 竞赛的获胜者）。

谷歌几年前进行了一次测试，他们向有限的 Chrome Canary（Chrome 的实验版本）用户推出了另一种量子计算混合算法 CECPQ1 ，但这是第一个普遍使用的算法。

PQC 现在可用于客户端和服务器

我们谈论后量子加密已经有一段时间了，这是常用客户端（浏览器）和服务器支持的第一个算法。

除了 Google Chrome 的支持之外：

• Google 宣布他们还将向 Google 服务器推出对 X25519Kyber768 的支持。
• Cloudflare 此前宣布，他们已在“通过 Cloudflare 提供服务的所有网站和 API”上增加了对 Kyber 的支持。

当然，我们不想夸大这里发生的事情 - 这只是一个客户端和几个服务器提供商支持的一种算法。将互联网迁移到后量子密码学（例如抗量子数字签名）还需要许多其他步骤，但这是这一过程中非常切实的里程碑。

如果您想了解有关量子密码学的更多详细信息、混合算法有何变化以及为什么这是明智之举，请继续阅读。但首先，我们想要解决如何检查您当前正在使用哪些加密安全措施以及如何在 Chrome 中启用它们。

如何判断您是否在 Chrome 中启用了 PQC 混合算法

想看看您的 Chrome 版本是否设置为启用后量子安全？您可以使用 Cloudflare Research PQC 密钥协议检查工具轻松完成此操作：

否则，您可以在 Chrome 开发者工具中检查 Chrome 对特定网站连接使用的加密算法。

要访问此屏幕，请单击 Chrome 的菜单（浏览器窗口右上角的三个堆叠点。然后导航到更多工具>开发人员工具并选择安全选项卡）：

以下是客户端和 / 或服务器未启用 Kyber 时 Chrome 显示的示例（我们使用 TheSSLstore.com 作为示例）：

这告诉我 SSL Store 使用 X25519 密钥协商算法并启用了 TLS 1.3。但是，如果您想继续启用 X25519Kyber768 该怎么办？

现在是时候探索如何在 Chrome 中启用这种混合抗量子算法了。

如何在 Google Chrome 116 中启用 Kyber 客户端支持

注意：以下说明也适用于 Google Chrome 115（在标志后面）。

打开浏览器并在网址栏中输入以下内容：Chrome://flags。 

这将打开一个名为“实验”的新窗口，您可以在其中选择启用或禁用实验功能。在顶部搜索栏中，开始输入TLS 1.3 Hybridized Kyber support，您应该会立即看到弹出的搜索结果。

如果您的浏览器设置为“默认”，请将其更改为“已启用”：

然后，Chrome 会通知您，一旦您重新启动浏览器，更改就会生效。（别担心，它会很快，并且会立即重新加载所有现有的选项卡。）

这是启用 Kyber 后的样子：

让我们回到基础：什么是量子密码学？

以防万一您对量子计算机不是很熟悉，让我们快速回顾一下它们是什么以及它们如何工作。量子计算机是目前仅存在于实验室环境中的超级计算机，它使用称为叠加的量子力学原理来处理与经典（现代）计算机不同的信息。

现在，我们感觉到您的眼睛可能开始变得呆滞，所以让我们稍微简化一下：  

• 现代计算机单独处理位（1 或 0）。传统计算机以两种状态之一查看数据位（值 1 或 0）。因此，它将每一位数据独立地处理为 1或0。这需要更高的计算成本和更慢的处理速度。
• 量子计算机使用量子位（称为“量子位”）以不同的方式处理它们，它可以同时表示 1 和 0 。量子计算机将每一位数据视为同时存在于两种状态（即，它可以同时为 1 和 0）。这种方法的改变成倍地提高了处理能力并缩短了处理时间。

这是来自 Natasha Hanacek/NIST 的精美图形动画插图，它以简单的方式说明了这个概念：

量子计算的概念自 20 世纪 70 年代以来就已存在，但对这项新技术对数据安全意味着什么的担忧在 80 年代和 90 年代初才真正受到关注。就在那时，数学家彼得·肖尔分享了他的开创性算法，第一台量子计算机诞生了。

（注：如果您想深入了解叠加的本质以及量子计算机如何处理数据，请查看 Schor 2022 年秋季讲义中的笔记。）

为了应对量子计算机明显更快的处理速度，网络安全专家的工具箱中需要有新的工具。这就是抗量子密码算法和密钥协商函数发挥作用的地方。

输入 X25519Kyber768，一种混合密钥协商算法

尽管本节的标题看起来类似于您在高中数学课上必须解决的数学问题，但我可以保证这是非常不同的。X25519Kyber768 是两种后量子密码 (PQC) 密钥相关安全机制的组合：

• X25519 — 这是我们今天使用的基于椭圆曲线加密 (ECC) 的现代密钥协商算法。密钥协商功能使两方能够就共享秘密达成一致，他们可以使用该共享秘密在开放连接中安全地进行通信。该密钥是使用特定类型的椭圆曲线 (Curve25519) 上的点生成的。
• Kyber-768 — Kyber 是美国国家标准与技术研究所 (NIST) 选择的入围后量子公钥密钥封装方法 (KEM) 和加密方案之一。这是一种保护数据机密性并提供身份验证来代替需要较少计算能力的加密签名的方法。Kyber-786 就其提供的数据安全性（即加密）而言大致相当于 AES-192。

密钥封装方法 (KEM) 涉及使用两种算法：封装和解封装。那么，让我们花点时间考虑一下这会是什么样子。

• 本质上，客户端将为会话创建一个新的对称密钥（即 X25519 密钥）来加密数据并将其转换为密文。
• 在使用之前，对称密钥将使用 Kyber-768 KEM 封装算法与服务器的公钥一起封装（简称“encap”）。（可以将其想象为将钥匙放入盒子内并将其锁定；这样做可以通过提供额外的安全层来保护运输过程中的钥匙。）
• 当服务器收到消息时，它使用其相应的私钥和解封装算法（“decap”）来解密共享密钥数据。

快速浏览一下这个过程是如何工作的：

尽管 Kyber 仍处于草案阶段，并且要到 2024 年才会标准化，但随着越来越多的公司增加对 PQC 的支持，谷歌正在做的早期实施被认为可以促进更大的互操作性。

为什么使用混合方法有利于现在和未来的数据安全

归根结底，就是保护数据免受我们今天面临的攻击和我们明天（或者更现实地说，几年后）将面临的量子计算攻击。这可以确保即使其中一种密钥协商方法被破坏，连接仍然安全。

Chrome Security 的技术项目经理 Devon O'Brien 在他的 Chromium 博客文章中对此进行了更多解释：“X25519Kyber768 等混合机制提供了部署和测试新的抗量子算法的灵活性，同时确保连接仍受到现有技术的保护。安全算法。”

但为什么这一切都是必要的呢？奥布莱恩表示，这与被称为“立即收获，稍后解密”（HNDL）攻击的密码分析攻击有关。在这些攻击中，坏人现在存储了公司的大量加密数据，这样他们就可以在几年后当更强大的量子技术出现时解密这些数据。

无论不良行为者是单独行动的网络犯罪分子，还是具有更黑暗议程的民族国家行为者，很容易看出 HNDL 攻击令人担忧的原因。

德勤 2022 年的一项调查显示，超过 50% 的组织受访者认为他们面临 HNDL 攻击的风险；另外 29% 表示他们不知道。

某些类型的数据比其他类型的数据具有更长的生命周期

考虑一下。尽管您的信用卡和登录凭据可能不方便更改，但它们的生命周期很短，因为攻击者知道，当出现问题时，您的帐户信息可以相对较快地更改。但某些类型的个人数据（下面突出显示）的寿命要长得多，因为它们特别难以（如果不是不可能的话）更改 - 例如，您的姓名、社会安全号码、出生日期等。

现在，让我们从您的组织的角度来考虑这个问题。如果您像大多数组织一样，那么您拥有一个需要负责保护的数据宝库：

• 员工的个人身份信息 (PII)、
• 客户的 PII 和帐户相关信息，
• 商业秘密（例如，可口可乐的配方或肯德基的鸡肉香料混合物），以及
• 国家机密（例如间谍身份或核武器设计图）  

现在，想象一下信息落入坏人之手。HNDL 攻击的想法类似于海盗埋藏黄金以便稍后返回的方式。如果攻击者窃取了您的敏感数据，并且这些数据没有通过混合 PQC 算法进行保护，那么他们所要做的就是坐拥这些数据，直到量子技术可用为止。然后他们将能够使用该技术进行身份盗窃和大量其他攻击。

这就是在组织的 IT 环境中尽早实施 PQC 混合算法会有所帮助的地方。

Google 实施 PQC 以保护现在的数据免受未来的解密攻击

约翰·霍普金斯大学密码学教授马修·格林 (Matthew Green) 在一封电子邮件中告诉 The Register，“[...] 今天发送的任何加密消息都可以存储，直到这些计算机最终建成为止。” “通过在当今的连接中添加后量子加密，这种威胁就被消除了。”

那么，使用抗量子密码学到底对这种情况有什么帮助呢？在现代 SSL/TLS 连接中，我们依靠公钥加密来使客户端和服务器能够就共享（对称）会话密钥达成一致，它们可以使用它们在会话的其余部分进行安全通信。但这里存在一些问题：

• 公钥加密依赖于像 RSA 这样使用大素数的密码，这些素数可以被分解和破解（拉肖尔算法）。
• 虽然对称密码被认为是安全的，但我们现在依赖的生成对称密钥的方法对于 PQC 来说并不安全。

谷歌的目标是用抗量子会话密钥取代业界现有的对称密钥协商方法。这里的思考过程是，通过保护组织和企业现在使用这些 PQC 密钥传输敏感信息的连接，即使量子计算机可用，攻击者也将无法解密他们之前收获的数据。