Google Chrome stapt over op ML-KEM voor post-kwantumcryptografieverdediging

Google heeft aangekondigd dat het in zijn Chrome-webbrowser overstapt van KYBER naar ML-KEM. Dit is onderdeel van zijn voortdurende inspanningen om zich te verdedigen tegen de risico’s die cryptografisch relevante quantumcomputers (CRQC’s) met zich meebrengen.

“Chrome biedt een key share prediction voor hybride ML-KEM (codepoint 0x11EC)”, aldus David Adrian, David Benjamin, Bob Beck en Devon O’Brien van het Chrome Team. “De PostQuantumKeyAgreementEnabled-vlag en het enterprise-beleid zijn van toepassing op zowel Kyber als ML-KEM.”

De wijzigingen worden naar verwachting doorgevoerd in Chrome-versie 131, die naar verwachting begin november 2024 uitkomt. Google merkte op dat de twee hybride post-quantum sleuteluitwisselingsbenaderingen in wezen onverenigbaar zijn met elkaar, wat ertoe heeft geleid dat het bedrijf KYBER heeft laten vallen.

“De wijzigingen in de definitieve versie van ML-KEM maken het onverenigbaar met de eerder geïmplementeerde versie van Kyber”, aldus het bedrijf. “Als gevolg hiervan verandert het codepunt in TLS voor hybride post-quantum sleuteluitwisseling van 0x6399 voor Kyber768+X25519 naar 0x11EC voor ML-KEM768+X25519.”

De ontwikkeling vond plaats kort nadat het Amerikaanse National Institute of Standards and Technology (NIST) de definitieve versies van de drie nieuwe encryptie-algoritmen publiceerde. Deze moeten huidige systemen beveiligen tegen toekomstige aanvallen met behulp van quantumtechnologieën. Dit markeert het hoogtepunt van acht jaar werk van het agentschap.

De algoritmes in kwestie zijn FIPS 203 (ook bekend als ML-KEM), FIPS 204 (ook bekend als CRYSTALS-Dilithium of ML-DSA) en FIPS 205 (ook bekend als Sphincs+ of SLH-DSA) en zijn bedoeld voor algemene encryptie en het beschermen van digitale handtekeningen. Een vierde algoritme, FN-DSA (oorspronkelijk FALCON genoemd), staat gepland voor finalisatie later dit jaar.

ML-KEM, de afkorting van Module-Lattice-based Key-Encapsulation Mechanism, is afgeleid van de ronde-drie-versie van de CRYSTALS-KYBER KEM en kan worden gebruikt om een ​​gedeelde geheime sleutel vast te stellen tussen twee partijen die via een openbaar kanaal communiceren.

Microsoft bereidt zich op zijn beurt ook voor op een post-kwantumwereld door een update aan te kondigen voor zijn SymCrypt cryptografische bibliotheek met ondersteuning voor ML-KEM en eXtended Merkle Signature Scheme (XMSS).

“Het toevoegen van ondersteuning voor post-kwantumalgoritmen aan de onderliggende crypto-engine is de eerste stap naar een kwantumveilige wereld”, aldus de Windows-maker. Volgens hem is de overgang naar post-kwantumcryptografie (PQC) een “complex, meerjarig en iteratief proces” dat zorgvuldige planning vereist.

De openbaarmaking volgt ook op de ontdekking van een cryptografisch gebrek in de beveiligingsmicrocontrollers Infineon SLE78, Optiga Trust M en Optiga TPM, waarmee privésleutels van het Elliptic Curve Digital Signature Algorithm (ECDSA) uit YubiKey-hardwareauthenticatieapparaten kunnen worden gehaald.

Er wordt aangenomen dat het cryptografische lek in de door Infineon geleverde bibliotheek 14 jaar lang onopgemerkt is gebleven en dat het ongeveer 80 certificeringsevaluaties op het hoogste niveau van de Common Criteria heeft ondergaan.

De zijkanaalaanval, ook wel bekend als EUCLEAK (CVE-2024-45678, CVSS-score: 4,9) van Thomas Roche van NinjaLab, heeft invloed op alle Infineon-beveiligingsmicrocontrollers die de cryptografische bibliotheek inbedden en de volgende YubiKey-apparaten:

  • YubiKey 5-serie versies vóór 5.7
  • YubiKey 5 FIPS-serie vóór 5.7
  • YubiKey 5 CSPN-serie vóór 5.7
  • YubiKey Bio Series-versies vóór 5.7.2
  • Security Key Series alle versies vóór 5.7
  • YubiHSM 2 versies vóór 2.4.0
  • YubiHSM 2 FIPS-versies vóór 2.4.0

“De aanvaller moet fysiek in het bezit zijn van de YubiKey, de beveiligingssleutel of de YubiHSM, moet weten welke accounts hij wil aanvallen en moet over gespecialiseerde apparatuur beschikken om de benodigde aanval uit te voeren”, aldus Yubico, het bedrijf achter YubiKey, in een gecoördineerd advies.

“Afhankelijk van het gebruiksscenario kan de aanvaller ook aanvullende kennis nodig hebben, zoals gebruikersnaam, pincode, accountwachtwoord of (YubiHSM)-authenticatiesleutel.”

Maar omdat bestaande YubiKey-apparaten met kwetsbare firmwareversies niet kunnen worden bijgewerkt (een bewuste ontwerpkeuze om de beveiliging te maximaliseren en te voorkomen dat er nieuwe kwetsbaarheden worden geïntroduceerd), zijn ze permanent vatbaar voor EUCLEAK.

Het bedrijf heeft inmiddels plannen aangekondigd om de ondersteuning voor de cryptografische bibliotheek van Infineon te beëindigen ten gunste van zijn eigen cryptografische bibliotheek als onderdeel van firmwareversies YubiKey f5.7 en YubiHSM 2.4.

Roche en Victor Lomne demonstreerden in 2021 een soortgelijke side-channel-aanval tegen de beveiligingssleutels van Google Titan. Hiermee konden kwaadwillenden de apparaten klonen door gebruik te maken van een elektromagnetisch side-channel in de chip die erin was verwerkt.

“De (EUCLEAK)-aanval vereist fysieke toegang tot het beveiligde element (enkele lokale elektromagnetische zijkanaalacquisities, d.w.z. enkele minuten, zijn voldoende) om de geheime ECDSA-sleutel te extraheren,” aldus Roche. “In het geval van het FIDO-protocol maakt dit het mogelijk om een ​​kloon van het FIDO-apparaat te maken.”

Thijs Van der Does