因中间件问题重重,谷歌暂停Chrome的量子安全功能
编译:代码卫士
该量子特性被称为 CECPQ2,其背后的理念是改进 TLS 连接的加密能力,因此当量子计算机在未来广泛应用时,威胁行动者将无法解密历史的 HTTPS 流量并访问之前的安全通信。
CECPQ2是谷歌和 Cloudflare 公司在2016年共同开发的,于今年5月份在 Chrome 91 版本中启用。它会为以字母 “A” 开头的所有域名启用,以便谷歌工程师在操作时进行行为测试。
该特性通过将基于 isogeny 的密钥协议添加到 Chrome 的 TLS 谈判组件中加固已加密 HTTPS 连接的安全。
该 bug 产生的原因是 CECPQ2 创建了更大的 TLS 数据包。谷歌表示,某些中间件设备无法处理这些数据包,从而导致异常的连接失败或超时。
在发布 Chrome 93 版本时,谷歌表示已为所有用户临时禁用 CECPQ2,和中间件提供商协作,为受影响设备发布补丁。谷歌表示,CECPQ2 在 Chroem 93 和94 版本中将仍然禁用,不过还未确定是否会在 Chrome 95版本中重启该特性。
如用户仍然希望使用 CECPQ2,则可马上手动启用该特性,对于所有域名而言,需要将如下的 Chrome 标记切换为“启用“。
chrome://flags/#post-quantum-cecpq2上个月,美国按国家安全局发布报告称,尚未发现可破解当前加密算法的任何证据。
杀毒产品和中间件削弱了HTTPS连接的安全性
https://therecord.media/google-pauses-quantum-security-feature-in-chrome-because-of-buggy-middleware/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。