Chrome 124 is veiliger dan ooit, maar levert daardoor ook problemen voor de infrastructuur van websites. Een nieuwe quantumveilige encryptie staat voortaan standaard aan. Hierdoor breken verschillende connecties tussen applicaties, servers en firewalls direct af.
De encryptiemethode, bekend onder de naam X25519Kyber768 (of simpelweg “Kyber”), beschermt tegen “store now decrypt later”-aanvallen. Met andere woorden: versleutelde data zou weliswaar door een kwaadwillende kunnen worden opgepikt, maar zou zelfs met een quantumcomputer in de toekomst onkraakbaar zijn.
TLS-problemen
Vandaag de dag blijkt de webinfrastructuur gedeeltelijk onvoorbereid op deze versleuteling. Door een misconfiguratie verwachten beide TLS-kanten een bepaalde hoeveelheid data die afwijkt van de daadwerkelijke gegevens. Allerlei netwerkapparatuur heeft een patch nodig om standaard probleemloos met Chrome en (het eveneens op Chromium gebaseerde) Edge te communiceren.
Het probleem ontstaat bij de zogeheten “ClientHello”-handshake, die plaatsvindt op basis van TLS (Transport Layer Security). De TLS-handshake geldt als de basis voor het moderne internet, waarbij allerlei componenten elkaar verifiëren. Onder meer bepalen de twee communicerende entiteiten welke cryptografische methode wordt gehanteerd.
Oplossingen
Het is mogelijk om de securityfeature uit te schakelen in Chrome of Edge. Echter is traffic dan niet op de nieuwe manier versleuteld, waardoor aanvallers mogelijk in de toekomst oudere encrypties kunnen breken.
Wie daar alsnog voor kiest, kan als admin ervoor zorgen dat alles weer naar behoren werkt via een policy. PostQuantumKeyAgreementEnabled wordt in dat geval uitgezet in Chrome. In Edge is er tevens een group policy aan te maken die het probleem verhelpt. Dit is volgens zowel Google als Microsoft een tijdelijke oplossing, want op den duur zouden patches problemen moeten verhelpen.
Lees ook: Het stokoude SMTP blijft nieuwe phishing-technieken opleveren