Nella sua più recente versione, Google Chrome ha introdotto una nuova funzionalità di sicurezza basata sulla crittografia post-quantistica che ha portato a problemi di connessione a Internet per alcuni utenti.
Nel dettaglio, il rilascio della versione 124 di Chrome ha implementato un meccanismo di incapsulamento X25519Kyber768 resistente all’analisi quantistica e progettato per proteggere il traffico TLS (Transport Layer Security) dalla potenziale crittoanalisi quantistica.
Ricordiamo che il protocollo TLS viene utilizzato per proteggere la navigazione online crittografando i dati e proteggendo le informazioni.
Indice degli argomenti
Il problema con la crittografia Kyber768 in Coogle Chrome
La nuova funzionalità di sicurezza di Chrome utilizza l’algoritmo a chiave Kyber768 per le connessioni TLS 1.3 e QUIC, mirando a prevenire gli attacchi “store now decrypt later”, in cui i dati crittografati vengono archiviati per essere decifrati in futuro con l’ausilio di computer quantistici o nuove tecniche di decrittografia.
Tuttavia, alcuni utenti hanno segnalato problemi di connessione a siti web, server e firewall dopo l’aggiornamento.
Si è scoperto, però, che il problema non risiede in un malfunzionamento di Chrome, ma nell’implementazione non corretta del protocollo Transport Layer Security da parte dei server web.
Alcuni di questi ultimi, in particolare, non sono in grado di gestire messaggi ClientHello più grandi, necessari per la crittografia post-quantistica, e rifiutano la connessione causando gli errori riscontrati dagli utenti.
La mitigazione del disservizio
In risposta a queste problematiche, è stato creato il sito web tldr.fail per fornire informazioni dettagliate su come risolvere il problema. Gli sviluppatori possono correggere il bug nei loro server web difettosi, mentre gli amministratori di sistema possono testare i propri server abilitando manualmente la funzione in Chrome 124 e verificare se la connessione causa un errore “ERR_CONNECTION_RESET”.
Per mitigare il problema, gli utenti di Google Chrome possono disabilitare il supporto Kyber ibrido TLS 1.3 nelle impostazioni di Chrome, mentre gli amministratori possono disabilitarlo tramite policy aziendali o aggiornamenti forniti dai fornitori di server o middlebox.
Anche Microsoft ha fornito istruzioni su come controllare questa funzionalità tramite le policy di gruppo per Edge.
Tuttavia, Google avverte che le misure temporanee per disabilitare questa funzionalità saranno rimosse nelle versioni future di Chrome (ovviamente per questioni di sicurezza). È quindi importante che i server implementino correttamente TLS per garantire la compatibilità con le future crittografie sicure post-quantiche.
Cosa impariamo
In definitiva, mentre l’introduzione di nuove tecnologie di sicurezza è fondamentale per proteggere il traffico online, è altrettanto cruciale garantire che tali cambiamenti non compromettano l’accessibilità e la connettività per gli utenti anche solo responsabilizzando gli amministratori di server Web.
Il mondo della ricerca e dell’innovazione sta compiendo grandi balzi in avanti per proteggere gli utenti con tecniche sempre più avanzate.
Questo stesso mondo si sta però scontrando con anni di amministrazioni di sistema sufficienti, sicuramente poco performanti e del tutto lontane ancora dalla capacità di supportare tale innovazione.
Difficilmente può arrivare una grande innovazione, senza fare danni, se “il vecchio” non è consolidato e privo di dubbi.
