周二,谷歌表示,由于研究员提交漏洞报告称有一些用户启用量子安全特性后,默认的网络中间件设备会导致异常的网站连接失败,因此将临时禁用该特性。
该量子特性被称为 CECPQ2,其背后的理念是改进 TLS 连接的加密能力,因此当量子计算机在未来广泛应用时,威胁行动者将无法解密历史的 HTTPS 流量并访问之前的安全通信。
CECPQ2是谷歌和 Cloudflare 公司在2016年共同开发的,于今年5月份在 Chrome 91 版本中启用。它会为以字母 “A” 开头的所有域名启用,以便谷歌工程师在操作时进行行为测试。
该特性通过将基于 isogeny 的密钥协议添加到 Chrome 的 TLS 谈判组件中加固已加密 HTTPS 连接的安全。
该 bug 产生的原因是 CECPQ2 创建了更大的 TLS 数据包。谷歌表示,某些中间件设备无法处理这些数据包,从而导致异常的连接失败或超时。
在发布 Chrome 93 版本时,谷歌表示已为所有用户临时禁用 CECPQ2,和中间件提供商协作,为受影响设备发布补丁。谷歌表示,CECPQ2 在 Chroem 93 和94 版本中将仍然禁用,不过还未确定是否会在 Chrome 95版本中重启该特性。
如用户仍然希望使用 CECPQ2,则可马上手动启用该特性,对于所有域名而言,需要将如下的 Chrome 标记切换为“启用“。
chrome://flags/#post-quantum-cecpq2上个月,美国按国家安全局发布报告称,尚未发现可破解当前加密算法的任何证据。
原文链接
https://therecord.media/google-pauses-quantum-security-feature-in-chrome-because-of-buggy-middleware/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
