Устаревший алгоритм Kyber уступает место передовым технологиям защиты.
Компания Google анонсировала важные изменения в области постквантовой криптографии, которые затронут браузер Chrome. Ранее компания экспериментировала с гибридным обменом ключами, совмещающим устаревший алгоритм X25519 и постквантовый алгоритм Kyber. Этот эксперимент охватил 100% пользователей Chrome на настольных устройствах, хотя алгоритм Kyber в то время не был завершён и стандартизирован.
Теперь Kyber прошёл финальные этапы стандартизации, получил незначительные технические изменения и новое название — механизм инкапсуляции ключей модульных решёток (ML-KEM). Google уже внедрила этот алгоритм в свою криптографическую библиотеку BoringSSL, что позволит его использовать всем сервисам, зависящим от этой библиотеки.
С новыми изменениями ML-KEM стал несовместим с ранее применяемым Kyber. В связи с этим в протоколе TLS будет изменён код, отвечающий за гибридный постквантовый обмен ключами: вместо 0x6399 для Kyber768+X25519 будет использоваться 0x11EC для ML-KEM768+X25519. Эти изменения вступят в силу с релизом Chrome 131, после чего браузер больше не будет поддерживать Kyber, полностью переключившись на ML-KEM. Кроме того, Chrome предложит прогноз обмена ключами для гибридного ML-KEM.
Такое решение принято по нескольким причинам. Во-первых, Kyber был лишь экспериментом, и продолжение его поддержки могло бы привести к закреплению нестандартных алгоритмов. Во-вторых, использование сразу двух методов прогноза для обмена ключами в постквантовой криптографии оказалось слишком сложной задачей. Тем не менее, операторы серверов смогут временно поддерживать оба алгоритма, чтобы обеспечить совместимость с более широким кругом клиентов в процессе обновления.
Переход на ML-KEM позволит избежать ухудшения безопасности клиентов, а отсрочка изменений до выпуска Chrome 131 даст операторам серверов время для адаптации своих систем.
В долгосрочной перспективе Google планирует устранить проблему совместимости постквантовых алгоритмов с помощью новой черновой спецификации IETF для прогноза обмена ключами. Этот подход позволит серверам передавать поддерживаемые алгоритмы через DNS, что сократит лишние задержки при использовании крупных постквантовых алгоритмов.
Ладно, не доказали. Но мы работаем над этим