作為后量子時代的標志性產品，谷歌首個抗量子加密瀏覽器Chrome 124的發布意外引發了網絡安全業界的騷亂。

該Chrome版本默認啟用全新的抗量子安全傳輸層安全(TLS)密鑰封裝機制X25519Kyber768，用于保護用戶免受即將到來的量子破解威脅。然而，這項新技術卻由于兼容性問題導致TLS連接中斷，很多用戶無法正常連接訪問網站、服務器和多家安全廠商的防火墻。

“先存儲，后解密”攻擊

早在去年8月，谷歌就開始測試代號“Kyber768”的抗量子密鑰協商算法，并計劃將其整合至最新的Chrome版本中。理論上，Kyber768可以保護基于TLS 1.3和QUIC連接的Chrome流量，使其免遭未來量子計算機的破解。

“經過數月的兼容性和性能影響測試，我們決定在Chrome 124桌面版本中啟用混合式抗量子TLS密鑰交換，”谷歌Chrome安全團隊解釋道：“這項技術可以保護用戶流量免受‘先存儲，后解密’（黑客大量收集囤積加密的網絡流量數據，等未來量子計算機成熟后進行解密）攻擊的威脅。”

“先存儲，后解密”攻擊是數據安全面臨的一個巨大潛在威脅。為了防范此類攻擊，許多企業已經開始在其網絡架構中加入抗量子加密技術。蘋果、Signal和谷歌等科技巨頭均已率先采用了抗量子算法。

大量防火墻、服務器、網絡設備產生兼容問題

然而，根據系統管理員們的反饋，自上周Google Chrome 124和微軟Edge 124桌面版推出以來，一些網絡應用、防火墻和服務器產品在執行Client Hello TLS握手時會斷開連接。

“該問題似乎影響了服務器處理客戶端問候消息中的額外數據的能力，”一位管理員表示：“同樣的問題也出現在了新版Edge瀏覽器上，似乎與派拓網絡（Palo Alto Networks）防火墻產品的的SSL解密功能存在沖突。”

據報道，該兼容性問題的影響面非常大，多個供應商（例如Fortinet、SonicWall、Palo Alto Networks、AWS）的安全設備、防火墻、網絡中間件和各種網絡設備都遭遇了類似的兼容性問題。

值得注意的是，這些錯誤并非源于Google Chrome本身的漏洞，而是由于部分網站服務器和網絡設備未能正確實現傳輸層安全(TLS)協議，無法處理用于抗量子加密的更大ClientHello消息。

這些不支持X25519Kyber768算法的網絡設備，不會嘗試降級至經典加密方案，而是直接拒絕使用Kyber768算法建立的連接。

TLS連接中斷問題的解決方法

一個名為tldr.fail的網站專門分享了有關抗量子ClientHello消息如何導致服務器連接錯誤的信息，并為開發者提供了修復漏洞的指南。

網站管理員也可以通過在Chrome瀏覽器中啟用“chrome://flags/#enable-tls13-kyber”標記來手動測試服務器的兼容性。啟用后，管理員可以嘗試連接到自己的服務器，并查看是否會產生“ERR_CONNECTION_RESET”錯誤。

受影響的Google Chrome用戶可以訪問“chrome://flags/#enable-tls13-kyber”并禁用混合式Kyber支持來暫時規避該問題。

系統管理員還可以通過以下方式進行修復：在“軟件>策略>Google>Chrome”路徑下禁用“PostQuantumKeyAgreementEnabled”企業策略；或者聯系網絡設備供應商，獲取適用于其服務器或中間件的更新補丁，以使其兼容抗量子加密標準。

微軟也發布了相關信息，指導用戶如何通過Edge瀏覽器組策略控制此功能。

需要注意的是，從長遠來看，TLS協議終究需要采用抗量子安全密碼。谷歌未來也將移除Chrome企業策略中禁用混合式Kyber支持的選項。