오늘은 구글에서 제공하는 브라우저인 구글 크롬(Google Chrome)에서는 일부 Google Chrome(구글 크롬) 사용자는 새로운 양자 방지 X25519Kyber768 캡슐화 메커니즘이 기본적으로 활성화된 구글 크롬 124가 지난주 출시되고 웹사이트 서버 및 방화벽에 연결하는 데 문제가 있다고 보고되었습니다.
포스트퀀텀 보안 TLS 키 캡슐화 메커니즘을 테스트하기 시작했으며 Google(구글)은 8월부터 이제 모든 사용자를 위해 최신 구글 크롬 버전에서 이를 활성화
새 버전은 TLS 1.3 및 QUIC 연결을 위한 Kyber768 양자 방지 키 계약 알고리즘을 활용하여 양자 암호화 분석으로부터 Chrome TLS 트래픽을 보호
구글 크롬 보안 팀은 호환성 및 성능 영향에 대한 수개월간의 실험 끝에 구글 크롬 124의 데스크톱 플랫폼에 대한 하이브리드 포스트퀀텀 TLS 키 교환을 출시할 예정
미래의 양자 컴퓨터가 오늘 기록된 암호화된 트래픽을 해독할 수 있는 소위 지금 저장하고 나중에 해독하는 공격으로부터 사용자의 트래픽을 보호합니다.
지금 저장하고 나중에 암호 해독하는 공격은 공격자가 암호화된 데이터를 수집하고 양자 컴퓨터나 암호화 키를 사용하는 등 새로운 암호 해독 방법이 나올 수 있는 미래를 위해 이를 저장하는 것입니다.
즉 향후 이런 공격인 양자 컴퓨터 공격에 대비하기 위해서 Apple,Signal,Google이 네트워크 스택에 양자 저항 암호화를 추가하기 시작을 했습니다.
지난주 Google Chrome 124 및 Microsoft Edge 124가 데스크톱 플랫폼에 출시되기 시작한 이후 시스템 관리자가 온라인으로 공유했기 때문에 일부 웹 애플리케이션, 방화벽 및 서버는 ClientHello TLS 핸드셰이크 후에 연결을 끊겼으며 해당 문제는 여러 공급업체(예: Fortinet, SonicWall, Palo Alto Networks, AWS)의 보안 어플라이언스, 방화벽, 네트워킹 미들웨어 및 다양한 네트워크 장치에도 영향을 주게 됩니다.
오류는 Google Chrome의 버그로 말미암아 발생하는 것이 아니라 웹 서버가 TLS(전송 계층 보안)를 제대로 구현하지 못하고 포스트퀀텀 암호화를 위한 더 큰 ClientHello 메시지를 처리할 수 없어서 발생
이로 말미암아 X25519Kyber768을 지원하지 않는 경우 클래식 암호화로 전환하는 대신 Kyber768 양자 저항 키 계약 알고리즘을 사용하는 연결을 거부하게 됩니다.
연결 문제를 해결하는 방법
chrome://flags/#enable-tls13-kyber 에서 TLS 1.3 hybridized Kyber support을 확인을 할 수가 있으며 해당 TLS 1.3 hybridized Kyber support을 활성화하면 확인을 할 수가 있습니다.
This option enables a combination of X25519 and Kyber in TLS 1.3. – Mac, Windows, Linux, ChromeOS, Android, Fuchsia, Lacros
#enable-tls13-kyber
TLS 1.3 하이브리드 Kyber 지원을 비활성화를 하며 완화를 할 수가 있습니다.
관리자는 서버에 연결하여 연결로 인해 "ERR_CONNECTION_RESET" 오류가 발생하는지 확인할 수 있으며 만약에 확인이 되면 관리자 분들은 마이크로소프트 엣지 Microsoft는 Edge 그룹 정책 및 구글 크롬 브라우저 그룹 정책을 참고 하시면 됩니다.
TLS를 올바르게 구현하지 않는 장치는 새 옵션이 제공될 때 오작동할 수 있습니다. 예를 들어 인식할 수 없는 옵션이나 그에 따른 더 큰 메시지에 대한 응답으로 연결이 끊어질 수 있음
앞으로 정책은 임시 조치이며 앞으로 Google Chrome 버전에서 제거될 예정 이며 문제를 테스트하기 위해 활성화될 수도 있고, 문제가 해결되는 동안 비활성화될 수도 있습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
넷플릭스 피싱 사이트-renewserviceaccount(2024.5.8) (0) | 2024.05.14 |
---|---|
정품 인증되지 않은 윈도우 11 Microsoft Edge 설정 액세스 차단 (0) | 2024.05.13 |
VPN TunnelVision 공격 익명성 을 파괴하고 암호화를 우회 (0) | 2024.05.09 |
탈세제보로 위장한 Konni(코니) 에서 만든 악성코드-첨부1_소명자료 목록(탈세제보)(2024.4.5) (0) | 2024.05.06 |
IBK기업은행을 타겟으로 하고 있는 피싱 메일-견적요청(2024.4.26) (0) | 2024.05.01 |
신용 조회 차단 및 명의도용차단서비스 나이스 지키미(NICE 지킴) (2) | 2024.04.26 |
북한 해킹 단체 김수키(Kimsuky)에서 만든 피싱 메일 도구-MailSending(Phishing mail tool,2024.4.19) (4) | 2024.04.22 |
모질라 파이어폭스 125.1 보안 업데이트 및 PDF 텍스트 강조 표시 등 업데이트 (0) | 2024.04.20 |