谷歌已开始部署混合密钥封装机制（KEM），以保护在建立安全的 TLS 网络连接时共享对称加密机密。

8月10日，Chrome 浏览器安全技术项目经理Devon O’Brien解释说，从 8 月 15 日发布的 Chrome 浏览器 116 开始，谷歌浏览器将支持 X25519 Kyber768。

“使用混合 Kyber KEM 保护 Chrome 数据流”

新的后量子加密技术被称为X25519Kyber768 ，它是一种混合机制，结合了两种加密算法的输出来加密传输层安全(TLS) 会话。X25519是一种椭圆曲线算法，目前用于建立安全TLS连接的密钥协议过程；Kyber-768是一种抗量子的KEM，去年获得了NIST对后量子加密技术的认可。

KEM 是一种在双方间建立共享秘密值的方法，这样通信端的两个人就可以使用对称密钥加密进行保密通信。它是通过网络进行安全信息交换的先导仪式。

之所以这样做，是因为许多人相信，量子计算机总有一天至少能破解某些传统加密方案。正是这种信念促使美国技术机构 NIST 在 2016 年呼吁采用面向未来的加密算法。

量子计算机虽然讨论得很多，但由于需要大量纠错和数倍的量子比特，因此尚未显示出太大的实用价值。

谷歌在 2019 年表示，它已经进行了一项实验，证明了量子优越性——即量子计算机可以超越经典计算机。但随后，中国科学院理论物理研究所张潘教授领导的团队成功打破了谷歌的“量子霸权”；IBM 的研究人员当时也表示，同样的实验“可以在经典系统上用 2.5 天完成，而且保真度要高得多”。因此，对于量子产业的发展来说，这并不算什么胜利。

然而，今年 6 月，IBM 的研究人员在《自然》杂志上发表了一项研究，称一个 127 量子比特的处理器在处理一个特定的物理问题时，只要有足够的误差缓解措施，其性能就能超越经典计算机。虽然依旧面临学术质疑，不过这一研究结果一旦得到更多科学家的证实，那么实用的量子计算机将有可能成为现实。

此次公告中，谷歌的O’Brien也解释了这一变动：“人们相信，能够破解现代经典密码学的量子计算机在5年、10年甚至50年内都不会出现，那么为什么今天就必须开始保护信息流呢？”

——答案是，密码学的某些用途很容易受到一种名为“现在收获，稍后解密”的攻击。即现在收集和存储数据，一旦密码分析能力提高，就可以稍后再进行解密。

“在TLS中，即使保护传输中的数据的对称加密算法被认为对量子密码分析是安全的，但创建对称密钥的方式却不是。这意味着在Chrome中，我们越早更新TLS以使用后量子会话密钥，我们就能越早保护用户网络流量免受未来量子密码分析的影响。”

然而，部署 X25519Kyber768 引入了一个新的考虑因素，如博客文章中详细介绍的：它向 TLS ClientHello 消息添加了额外的数据。根据该帖子，谷歌的初步测试表明与大多数 TLS 实现兼容。为了促进无缝过渡，管理员可以使用 Chrome 116 中提供的 Post Quantum Key Agreement Enabled 企业策略暂时禁用 X25519Kyber768。此措施旨在作为行业适应新的加密环境时的权宜之计。

链接：

https://chromeenterprise.google/policies/#PostQuantumKeyAgreementEnabled

谷歌对该技术的早期部署对网络管理员也有实用价值，因为新的混合 KEM 方案在 TLS ClientHello 消息中增加了超过一千字节的额外数据。当这家互联网巨头用 CECPQ2 进行类似实验时，一些 TLS 中间件无法处理流量，因为它们对消息大小有硬编码限制。

Kyber 是一种 IND-CCA2 安全密钥封装机制（KEM），其安全性基于解决模块网格上的容错学习（LWE）问题的难度。此次谷歌chrome使用的Kyber-768 的安全性大致相当于 AES-192。

Kyber-768 参数集，根据非常保守的分析，该参数集可实现超过 128 比特的安全性，可抵御所有已知的经典和量子攻击。

Kyber 已被集成到行业库和系统中，用户涵盖物流、互联网等各个行业：

- Cloudflare 将 Kyber 与其他 PQ 算法集成到 Cloudflare 可互操作、可重复使用的密码库 CIRCL 中；

- 亚马逊现在支持在其 AWS 密钥管理服务中使用 Kyber 的混合模式；

- IBM 已于 2019 年发布了使用 Kyber 和 Dilithium 的“全球首款量子计算安全磁带驱动器”。

Kyber 的最终草案预计将于 2024 年完成。

谷歌正在 Chrome 浏览器中部署这两种算法的混合版本，以便这家网络巨头、其技术用户以及 Cloudflare 等其他网络提供商可以测试后量子算法，同时保持现有的保护措施。

约翰·霍普金斯大学密码学教授Matthew Green也评论道：“我认为这是一个很好的发展。”

“量子计算机可能至少还需要 15 年的时间，甚至更长。但原则上，今天发送的任何加密信息都可以保存到这些计算机最终建成为止。”

“通过在今天的连接中加入后量子加密，这种威胁就被消除了。此外，这还为我们提供了一个很好的机会，在真正需要之前测试一些新的加密系统。”

QuSecure公司联合创始人兼首席产品官Rebecca Krauthamer在一封电子邮件中也表示，虽然这项技术听起来很未来，但由于以下两个原因，它在今天是有用和必要的。

“首先，今天的数据正在被截取，以便日后解密，这就是所谓的‘先收获后解密’攻击。”

“通过基于浏览器的通信共享的数据有很多形式，这些数据现在很有价值，将来也会继续有价值，包括私人电子邮件通信、电子健康记录、银行账户信息等等。”

Krauthamer认为，未来需要保护的数据现在就应该用量子弹性加密技术来保护。她还指出，拜登总统去年签署了H.R.7535《量子计算网络安全准备法案》，要求美国政府机构开始向量子弹性加密技术迈进。

H.R.7535法案中指出，用于鼓励联邦政府信息技术系统向后量子加密技术迁移，并用于其他目的。

“谷歌在帮助用户保护其通信方面迈出了精彩的一步。”

其次，Krauthamer说，我们不应该把有能力的量子计算机的到来看作是一个具体的、迫在眉睫的日期，而应该把它看作是一种毫无征兆就会到来的东西。

“这意味着我们无法知道它何时会上线，但它很可能会在我们不知情的情况下发生，我们现在就必须部署这种防御技术，以免被人抓住把柄。”

参考链接：

[1]https://www.theregister.com/2023/08/12/google_chrome_kem/

[2]https://www.congress.gov/bill/117th-congress/house-bill/7535/text

[3]https://www.csoonline.com/article/649480/google-readies-chrome-for-distant-quantum-attacks-with-new-support.html

[4]https://pq-crystals.org/kyber/index.shtml

[5]https://www.ietf.org/archive/id/draft-tls-westerbaan-xyber768d00-02.html