Google telah mengumumkan akan beralih dari KYBER ke ML-KEM di peramban web Chrome sebagai bagian dari upaya berkelanjutan untuk mempertahankan diri terhadap risiko yang ditimbulkan oleh komputer kuantum relevan secara kriptografi (CRQC).
“Chrome akan menawarkan prediksi pembagian kunci untuk ML-KEM hibrida (titik kode 0x11EC),” kata David Adrian, David Benjamin, Bob Beck, dan Devon O'Brien dari Tim Chrome. “Bendera PostQuantumKeyAgreementEnabled dan kebijakan perusahaan akan berlaku untuk Kyber dan ML-KEM.”
Perubahan tersebut diharapkan berlaku pada Chrome versi 131, yang rencananya akan dirilis pada awal November 2024. Google mencatat bahwa dua pendekatan pertukaran kunci pascakuantum hibrida tersebut pada dasarnya tidak kompatibel satu sama lain, sehingga mendorongnya untuk meninggalkan KYBER.
“Perubahan pada versi final ML-KEM membuatnya tidak kompatibel dengan versi Kyber yang digunakan sebelumnya,” kata perusahaan tersebut. “Akibatnya, titik kode dalam TLS untuk pertukaran kunci pascakuantum hibrida berubah dari 0x6399 untuk Kyber768+X25519, menjadi 0x11EC untuk ML-KEM768+X25519.”
Perkembangan ini terjadi tak lama setelah Institut Standar dan Teknologi Nasional AS (NIST) menerbitkan versi final dari tiga algoritma enkripsi baru — untuk mengamankan sistem saat ini terhadap serangan di masa mendatang menggunakan teknologi kuantum, menandai puncak upaya delapan tahun dari lembaga tersebut.
Algoritma yang dimaksud adalah FIPS 203 (alias ML-KEM), FIPS 204 (alias CRYSTALS-Dilithium atau ML-DSA), dan FIPS 205 (alias Sphincs+ atau SLH-DSA) yang ditujukan untuk enkripsi umum dan perlindungan tanda tangan digital. Algoritma keempat, FN-DSA (awalnya disebut FALCON), dijadwalkan untuk dirampungkan akhir tahun ini.
ML-KEM, kependekan dari Module-Lattice-based Key-Encapsulation Mechanism, berasal dari versi putaran ketiga CRYSTALS-KYBER KEM dan dapat digunakan untuk membuat kunci rahasia bersama antara dua pihak yang berkomunikasi melalui saluran publik.
Microsoft, pada bagiannya, juga bersiap untuk dunia pasca-kuantum dengan mengumumkan pembaruan pada pustaka kriptografi SymCrypt dengan dukungan untuk ML-KEM dan eXtended Merkle Signature Scheme (XMSS).
“Menambahkan dukungan algoritma pascakuantum ke mesin kripto yang mendasarinya adalah langkah pertama menuju dunia yang aman bagi kuantum,” kata pembuat Windows tersebut, yang menyatakan transisi ke kriptografi pascakuantum (PQC) adalah “proses yang rumit, bertahun-tahun, dan berulang” yang memerlukan perencanaan yang cermat.
Pengungkapan tersebut juga menyusul penemuan kelemahan kriptografi pada mikrokontroler keamanan Infineon SLE78, Optiga Trust M, dan Optiga TPM yang dapat memungkinkan ekstraksi kunci pribadi Elliptic Curve Digital Signature Algorithm (ECDSA) dari perangkat autentikasi perangkat keras YubiKey.
Kelemahan kriptografi dalam pustaka yang disediakan Infineon diyakini tidak diketahui selama 14 tahun dan sekitar 80 evaluasi sertifikasi Kriteria Umum tingkat tertinggi.
Serangan saluran samping, dijuluki KEBOCORAN EUKLEAK (CVE-2024-45678, skor CVSS: 4.9) oleh Thomas Roche dari NinjaLab, memengaruhi semua mikrokontroler keamanan Infineon yang menanamkan pustaka kriptografi dan perangkat YubiKey berikut –
- Versi YubiKey Seri 5 sebelum 5.7
- YubiKey 5 Seri FIPS sebelum 5.7
- YubiKey 5 Seri CSPN sebelum 5.7
- Seri Bio YubiKey versi sebelum 5.7.2
- Seri Kunci Keamanan semua versi sebelum 5.7
- YubiHSM 2 versi sebelum 2.4.0
- YubiHSM 2 versi FIPS sebelum 2.4.0
“Penyerang harus memiliki YubiKey, Kunci Keamanan, atau YubiHSM secara fisik, mengetahui akun yang ingin mereka targetkan, dan perlengkapan khusus untuk melakukan serangan yang diperlukan,” kata Yubico, perusahaan di balik YubiKey, dalam sebuah nasihat terkoordinasi.
“Tergantung pada kasus penggunaan, penyerang mungkin juga memerlukan pengetahuan tambahan termasuk nama pengguna, PIN, kata sandi akun, atau [YubiHSM] kunci otentikasi.”
Namun karena perangkat YubiKey yang ada dengan versi firmware yang rentan tidak dapat diperbarui – pilihan desain yang disengaja dimaksudkan untuk memaksimalkan keamanan dan menghindari munculnya kerentanan baru – perangkat tersebut secara permanen rentan terhadap EUCLEAK.
Perusahaan tersebut sejak itu mengumumkan rencana untuk menghentikan dukungan terhadap pustaka kriptografi Infineon dan mendukung pustaka kriptografinya sendiri sebagai bagian dari versi firmware YubiKey f5.7 dan YubiHSM 2.4.
Serangan saluran samping serupa terhadap kunci keamanan Google Titan ditunjukkan oleh Roche dan Victor Lomne pada tahun 2021, yang berpotensi memungkinkan pelaku jahat mengkloning perangkat dengan mengeksploitasi saluran samping elektromagnetik dalam chip yang tertanam di dalamnya.
“Itu [EUCLEAK] “Serangan ini memerlukan akses fisik ke elemen aman (beberapa akuisisi saluran samping elektromagnetik lokal, yaitu beberapa menit, sudah cukup) untuk mengekstrak kunci rahasia ECDSA,” kata Roche. “Dalam kasus protokol FIDO, ini memungkinkan untuk membuat tiruan perangkat FIDO.”