Google testează împreună cu Cloudflare protecția HTTPS împotriva atacurilor cuantice

Google a făcut un progres semnificativ în securizarea comunicațiilor pe internet prin implementarea criptografiei rezistente la atacuri cuantice în protocoalele sale HTTPS.

Semnăturile criptografice tradiționale care stau la baza HTTPS pot fi sparte de un computer cuantic suficient de puternic, amenințând modelul de încredere al conexiunilor securizate.

Pentru a ajuta la protejarea împotriva acestei amenințări, Google lansează o actualizare majoră a Secure HTTP în browserul său Chrome. Într-o postare pe blog, echipa Chrome Secure Web and Networking a prezentat un nou program pentru a face certificatele TLS rezistente la viitoare atacuri cuantice, fără a impune penalizări semnificative de performanță asupra ecosistemului web, potrivit ArsTechnica.

Provocarea principală este de a permite tranziția fără încetinirea navigării pe Internet

Google a dezvăluit planul său pentru browserul Chrome de a securiza certificatele HTTPS împotriva atacurilor computerelor cuantice fără a afecta internetul.

Obiectivul este unul ambițios. Datele criptografice rezistente la atacuri cuantice necesare pentru publicarea transparentă a certificatelor TLS sunt de aproximativ 40 de ori mai mari decât materialul criptografic clasic utilizat în prezent. Certificatele X.509 actuale au o dimensiune de aproximativ 64 de octeți și cuprind șase semnături cu curbe eliptice și două chei publice EC. Acest material poate fi spart prin algoritmul Shor bazat pe tehnologia cuantică. Certificatele care conțin material criptografic rezistent la tehnologia cuantică au o dimensiune de aproximativ 2,5 kilobyți. Toate aceste date trebuie transmise atunci când un browser se conectează la un site.

„Cu cât certificatul este mai mare, cu atât handshake-ul este mai lent și cu atât mai multe persoane rămân în urmă”, a declarat Bas Westerbaan, inginer principal de cercetare la Cloudflare, care colaborează cu Google în cadrul tranziției. „Problema noastră este că nu vrem să lăsăm oamenii în urmă în această tranziție.” Vorbind cu Ars, el a spus că oamenii vor dezactiva probabil noua criptare dacă aceasta le încetinește navigarea. El a adăugat că creșterea masivă a dimensiunii poate degrada și „cutii intermediare”, care se află între browsere și site-ul final.

Pentru a ocoli acest blocaj, companiile apelează la Merkle Trees, o structură de date care utilizează hash-uri criptografice și alte calcule matematice pentru a verifica conținutul unor cantități mari de informații, utilizând o mică parte din materialul folosit în procesele de verificare tradiționale din infrastructura cheilor publice.

Transparența o cerință importantă

Google și alți producători de browsere solicită ca toate certificatele TLS să fie publicate în registre publice transparente, care sunt registre distribuite numai pentru adăugare. Proprietarii de site-uri web pot verifica jurnalele în timp real pentru a se asigura că nu au fost emise certificate frauduloase pentru domeniile pe care le utilizează. Programele de transparență au fost implementate ca răspuns la atacul cibernetic din 2011 asupra DigiNotar, cu sediul în Olanda, care a permis emiterea a 500 de certificate falsificate pentru Google și alte site-uri web, unele dintre acestea fiind utilizate pentru a spiona utilizatorii de internet din Iran.

Odată ce va fi viabil, algoritmul lui Shor ar putea fi utilizat pentru a falsifica semnăturile de criptare clasice și pentru a sparge cheile publice de criptare clasice ale registrelor de certificate. În cele din urmă, un atacator ar putea falsifica marcajele de timp ale certificatelor semnate utilizate pentru a dovedi unui browser sau sistem de operare că un certificat a fost înregistrat, când de fapt nu este așa.

Pentru a exclude această posibilitate, Google adaugă material criptografic din algoritmi rezistenți la cuantică, precum ML-DSA. Această adăugare ar permite falsificări numai dacă un atacator ar sparge atât criptarea clasică, cât și cea post-cuantică. Tehnologia va completa implementările din Chrome pe care compania le-a făcut începând cu 2022.

Comunicațiile utilizează Merkle Trees pentru a oferi garanții rezistente la cuantică că un certificat a fost publicat fără a fi necesar să se adauge majoritatea cheilor și hash-urilor lungi. Utilizând alte tehnici pentru a reduce dimensiunea datelor, cheile criptografice vor avea aproximativ aceeași lungime de 64 de octeți ca și acum, a spus Westerbaan.

Noul sistem a fost deja implementat în Chrome

Deocamdată, Cloudflare înregistrează aproximativ 1.000 de certificate TLS pentru a testa cât de bine funcționează noua tehnologie. Pentru moment, Cloudflare este cea care generează registrul distribuit. Planul este ca CA-urile (Autoritățile de Certificare) să îndeplinească în cele din urmă acest rol. Organismul de standardizare Internet Engineering Task Force a format recent un grup de lucru numit PKI, Logs, And Tree Signatures, care coordonează împreună cu alți actori cheie dezvoltarea unei soluții pe termen lung.

„Considerăm adoptarea MTC-urilor și a unui depozitar rădăcină rezistent la cuantică ca o oportunitate critică pentru a asigura robustețea fundamentului ecosistemului actual”, se arată în postarea de vineri a Google pe blog. „Prin proiectarea pentru cerințele specifice ale unui internet modern și agil, putem accelera adoptarea rezilienței post-cuantice pentru toți utilizatorii web.”

Sursa: Google Blog, Ars Technica