谷歌抗量子加密惹祸，大量防火墙TLS连接中断

作为后量子时代的谷歌标志性产品  ，谷歌首个抗量子加密浏览器Chrome 124的抗量发布意外引发了网络安全业界的骚乱。

该Chrome版本默认启用全新的加密抗量子安全传输层安全(TLS)密钥封装机制X25519Kyber768，用于保护用户免受即将到来的惹祸量子破解威胁 。然而  ，大量这项新技术却由于兼容性问题导致TLS连接中断，防火很多用户无法正常连接访问网站、连接服务器和多家安全厂商的中断防火墙。

“先存储，谷歌后解密”攻击

早在去年8月 ，抗量谷歌就开始测试代号“Kyber768”的免费模板加密抗量子密钥协商算法 ，并计划将其整合至最新的惹祸Chrome版本中。理论上，大量Kyber768可以保护基于TLS 1.3和QUIC连接的防火Chrome流量，使其免遭未来量子计算机的连接破解 。

“经过数月的兼容性和性能影响测试，我们决定在Chrome 124桌面版本中启用混合式抗量子TLS密钥交换
，”谷歌Chrome安全团队解释道 ：“这项技术可以保护用户流量免受‘先存储，后解密’（黑客大量收集囤积加密的网络流量数据 ，等未来量子计算机成熟后进行解密）攻击的威胁
。亿华云”

“先存储，后解密”攻击是数据安全面临的一个巨大潜在威胁 。为了防范此类攻击，许多企业已经开始在其网络架构中加入抗量子加密技术
。苹果 、Signal和谷歌等科技巨头均已率先采用了抗量子算法。

大量防火墙、服务器、网络设备产生兼容问题

然而 ，根据系统管理员们的反馈，自上周Google Chrome 124和微软Edge 124桌面版推出以来 ，一些网络应用 、防火墙和服务器产品在执行Client Hello TLS握手时会断开连接。模板下载

“该问题似乎影响了服务器处理客户端问候消息中的额外数据的能力 ，”一位管理员表示：“同样的问题也出现在了新版Edge浏览器上，似乎与派拓网络（Palo Alto Networks）防火墙产品的的SSL解密功能存在冲突
。”

据报道，该兼容性问题的影响面非常大 ，多个供应商（例如Fortinet、SonicWall、Palo Alto Networks 、AWS）的安全设备、香港云服务器防火墙、网络中间件和各种网络设备都遭遇了类似的兼容性问题。

值得注意的是，这些错误并非源于Google Chrome本身的漏洞，而是由于部分网站服务器和网络设备未能正确实现传输层安全(TLS)协议 ，无法处理用于抗量子加密的更大ClientHello消息 。

这些不支持X25519Kyber768算法的网络设备，不会尝试降级至经典加密方案，而是高防服务器直接拒绝使用Kyber768算法建立的连接。

TLS连接中断问题的解决方法

一个名为tldr.fail的网站专门分享了有关抗量子ClientHello消息如何导致服务器连接错误的信息，并为开发者提供了修复漏洞的指南。

网站管理员也可以通过在Chrome浏览器中启用“chrome://flags/#enable-tls13-kyber”标记来手动测试服务器的兼容性。启用后 ，管理员可以尝试连接到自己的服务器，并查看是否会产生“ERR_CONNECTION_RESET”错误 。

受影响的建站模板Google Chrome用户可以访问“chrome://flags/#enable-tls13-kyber”并禁用混合式Kyber支持来暂时规避该问题。

系统管理员还可以通过以下方式进行修复：在“软件>策略>Google>Chrome”路径下禁用“PostQuantumKeyAgreementEnabled”企业策略；或者联系网络设备供应商
，获取适用于其服务器或中间件的更新补丁，以使其兼容抗量子加密标准。

微软也发布了相关信息，指导用户如何通过Edge浏览器组策略控制此功能。

需要注意的是 ，从长远来看 ，TLS协议终究需要采用抗量子安全密码。谷歌未来也将移除Chrome企业策略中禁用混合式Kyber支持的选项。