查看原文
其他

因中间件问题重重,谷歌暂停Chrome的量子安全功能

Catalin Cimpanu 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

周二,谷歌表示,由于研究员提交漏洞报告称有一些用户启用量子安全特性后,默认的网络中间件设备会导致异常的网站连接失败,因此将临时禁用该特性。


该量子特性被称为 CECPQ2,其背后的理念是改进 TLS 连接的加密能力,因此当量子计算机在未来广泛应用时,威胁行动者将无法解密历史的 HTTPS 流量并访问之前的安全通信。

CECPQ2是谷歌和 Cloudflare 公司在2016年共同开发的,于今年5月份在 Chrome 91 版本中启用。它会为以字母 “A” 开头的所有域名启用,以便谷歌工程师在操作时进行行为测试。

该特性通过将基于 isogeny 的密钥协议添加到 Chrome 的 TLS 谈判组件中加固已加密 HTTPS 连接的安全。

该 bug 产生的原因是 CECPQ2 创建了更大的 TLS 数据包。谷歌表示,某些中间件设备无法处理这些数据包,从而导致异常的连接失败或超时。

在发布 Chrome 93 版本时,谷歌表示已为所有用户临时禁用 CECPQ2,和中间件提供商协作,为受影响设备发布补丁。谷歌表示,CECPQ2 在 Chroem 93 和94 版本中将仍然禁用,不过还未确定是否会在 Chrome 95版本中重启该特性。

如用户仍然希望使用 CECPQ2,则可马上手动启用该特性,对于所有域名而言,需要将如下的 Chrome 标记切换为“启用“。

chrome://flags/#post-quantum-cecpq2


上个月,美国按国家安全局发布报告称,尚未发现可破解当前加密算法的任何证据。






推荐阅读
博通芯片中间件被曝严重漏洞,数亿台电缆调制解调器易受攻击
杀毒产品和中间件削弱了HTTPS连接的安全性




原文链接

https://therecord.media/google-pauses-quantum-security-feature-in-chrome-because-of-buggy-middleware/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存