Компания Google анонсировала важные изменения в области постквантовой криптографии, которые затронут браузер Chrome. Ранее компания экспериментировала с гибридным ключевым обменом, совмещающим устаревший алгоритм X25519 и постквантовый алгоритм Kyber. Этот эксперимент охватил 100% пользователей Chrome на настольных устройствах, хотя алгоритм Kyber в то время не был завершён и стандартизирован.
Теперь Kyber прошёл финальные этапы стандартизации, получил незначительные технические изменения и новое название – механизм инкапсуляции ключей модульных решёток (ML-KEM). Google уже внедрила этот алгоритм в свою криптографическую библиотеку BoringSSL, что позволит его использовать всем сервисам, зависящим от этой библиотеки.
С новыми изменениями ML-KEM стал несовместим с ранее применяемым Kyber. В связи с этим в протоколе TLS будет изменён код, отвечающий за гибридный постквантовый ключевой обмен: вместо 0x6399 для Kyber768+X25519 будет использоваться 0x11EC для ML-KEM768+X25519. Эти изменения вступят в силу с релизом Chrome 131, после чего браузер больше не будет поддерживать Kyber, полностью переключившись на ML-KEM. Кроме того, Chrome предложит прогноз ключевого обмена для гибридного ML-KEM.
Такое решение принято по нескольким причинам. Во-первых, Kyber был лишь экспериментом, и продолжение его поддержки могло бы привести к закреплению нестандартных алгоритмов. Во-вторых, использование сразу двух предсказаний ключевого обмена для постквантовой криптографии оказалось слишком сложной задачей. Тем не менее, операторы серверов смогут временно поддерживать оба алгоритма, чтобы обеспечить совместимость с более широким кругом клиентов в процессе обновления.
Переход на ML-KEM позволит избежать ухудшения безопасности клиентов, а отсрочка изменений до выпуска Chrome 131 даст операторам серверов время для адаптации своих систем.
В долгосрочной перспективе Google планирует устранить проблему совместимости постквантовых алгоритмов с помощью новой черновой спецификации IETF для предсказания ключевого обмена. Этот подход позволит серверам передавать поддерживаемые алгоритмы через DNS, что сократит лишние задержки при использовании крупных постквантовых алгоритмов.