Ondersteuning voor post-kwantumcryptografie in webbrowsers

Introductie

Moderne internetbeveiliging is sterk afhankelijk van cryptografische algoritmen met publieke sleutels, zoals Rivest-Shamir-Adleman (RSA) en Elliptische-curve cryptografie (ECC)Deze algoritmen beschermen alles, van websites en online bankieren tot software-updates en versleutelde communicatie. De snelle vooruitgang in kwantumcomputing heeft echter zorgen doen rijzen over de veiligheid van deze traditionele cryptografische systemen op de lange termijn. Cryptografisch relevante kwantumcomputers (CRQC's) Zijn kwantumcomputers krachtig genoeg om algoritmen zoals het algoritme van Shor uit te voeren, waarmee grote gehele getallen kunnen worden ontbonden en discrete logaritme-problemen exponentieel sneller kunnen worden opgelost dan met klassieke computers? Omdat veel cryptografische systemen met publieke sleutels afhankelijk zijn van de rekenkundige moeilijkheid van deze problemen, zou een voldoende krachtige kwantumcomputer deze veelgebruikte encryptiealgoritmen kunnen kraken, wat een aanzienlijke bedreiging vormt voor de huidige internetbeveiliging.

Om deze dreiging aan te pakken, is het vakgebied van Post-kwantumcryptografie (PQC) PQC verwijst naar cryptografische algoritmen die ontworpen zijn om veilig te blijven, zelfs in aanwezigheid van deze CRQC's. In tegenstelling tot traditionele cryptografie, die gebaseerd is op wiskundige problemen die door kwantumcomputers kunnen worden opgelost, is PQC gebaseerd op wiskundige problemen waarvan wordt aangenomen dat ze moeilijk op te lossen zijn voor zowel klassieke als kwantumcomputers, terwijl ze wel implementeerbaar zijn op klassieke computersystemen met bepaalde rekenkundige en implementatievereisten.

Onderzoek naar kwantumresistente cryptografie is al decennia aan de gang, maar de inspanningen werden geïntensiveerd toen het National Institute of Standards and Technology (NIST) in 2016 het PQC-standaardisatieproject lanceerde. Na verschillende evaluatierondes met onderzoekers van over de hele wereld selecteerde NIST een reeks algoritmen voor standaardisatie. Een van de belangrijkste algoritmen die gekozen werden voor sleutelinkapseling is CRYSTALS-Kyber, dat later werd gestandaardiseerd als Module-Lattice-based Key Encapsulation Mechanism (ML-KEM). Naast sleutelinkapselingsmechanismen omvat PQC ook algoritmen voor digitale handtekeningen voor authenticatie en integriteit, zoals ML-DSA (CRYSTALS-Dilithium), FN-DSA (FALCON) en SLH-DSA (SPHINCS+).

Waarom is PQC noodzakelijk?

De implementatie van publieke-sleutelcryptografie (PQC) wordt steeds belangrijker voor de algehele beveiligingsinfrastructuur van organisaties, aangezien veel kritieke systemen afhankelijk zijn van publieke-sleutelcryptografie om gevoelige gegevens, communicatie en digitale identiteiten te beschermen. Publieke-sleutelcryptografie wordt veelvuldig gebruikt in toepassingen zoals beveiligde communicatieprotocollen, software-updates, authenticatiesystemen en digitale certificaten die het vertrouwen op internet waarborgen. Als deze cryptografische systemen kwetsbaar worden, kan dit de vertrouwelijkheid, integriteit en authenticiteit van organisatiegegevens en -diensten in gevaar brengen. Naarmate de dreiging van kwantumcomputers toeneemt, moeten organisaties zich voorbereiden om kwetsbare cryptografische mechanismen te vervangen door kwantumresistente alternatieven. 

De overgang naar PQC is met name belangrijk voor internetbeveiligingsprotocollen zoals Transport Layer Security (TLS), die webbrowsers gebruiken om veilige HTTPS-verbindingen met websites tot stand te brengen. TLS maakt momenteel gebruik van veelgebruikte publieke-sleutelalgoritmen zoals RSA en ECC voor sleuteluitwisseling en authenticatie. Hoewel deze algoritmen veilig zijn tegen klassieke computers, zijn ze kwetsbaar voor kwantumaanvallen die in de toekomst door voldoende krachtige kwantumcomputers zouden kunnen worden uitgevoerd.

Een van de grootste zorgen in verband met deze dreiging is de nu oogsten, later decoderen (HNDL) scenario. In dit scenario kunnen tegenstanders vandaag nog versleuteld internetverkeer onderscheppen en opslaan met de bedoeling het later te decoderen zodra kwantumcomputers op grote schaal beschikbaar komen. Dit brengt risico's met zich mee voor de vertrouwelijkheid op de lange termijn van gevoelige gegevens zoals financiële transacties, persoonlijke communicatie, intellectueel eigendom en overheidsdocumenten.

Om dit opkomende risico aan te pakken, integreert de industrie geleidelijk post-kwantum cryptografische algoritmen in bestaande protocollen. Moderne webbrowsers experimenteren met hybride sleuteluitwisselingsmechanismen die traditionele cryptografische methoden, zoals elliptische-kromme Diffie-Hellman, combineren met kwantumresistente algoritmen zoals ML-KEMHybride benaderingen garanderen achterwaartse compatibiliteit en bieden tegelijkertijd extra bescherming tegen potentiële kwantumaanvallen.

Tegenwoordig bieden grote webbrowsers zoals Mozilla Firefox, Google Chrome en Microsoft Edge ondersteuning voor post-kwantum cryptografische mechanismen. Het inschakelen van PQC-ondersteuning in deze browsers is een belangrijke stap om webbeveiliging voor te bereiden op de uitdagingen van kwantumcomputing. Naarmate kwantumcomputing zich verder ontwikkelt, wordt het steeds belangrijker om cryptografische algoritmen te gebruiken die bestand zijn tegen kwantumaanvallen. Dit draagt ​​bij aan de beveiliging van gevoelige gegevens en online communicatie op de lange termijn.

Door PQC-ondersteuning in moderne browsers in te schakelen, kunnen gebruikers en organisaties hun systemen voorbereiden op de volgende generatie cryptografie. In deze blog leren we hoe je PQC-ondersteuning inschakelt in populaire webbrowsers en begrijpen we hoe dit de beveiliging van webcommunicatie versterkt.

PQC-ondersteuning inschakelen in webbrowsers

In dit gedeelte wordt uitgelegd hoe u PQC-ondersteuning kunt inschakelen of verifiëren. Google Chrome, Microsoft Edgeen Mozilla Firefox.

Chrome en Edge

Zowel Chrome als Edge zijn gebouwd op de Chromium-browserengine. Door deze gedeelde architectuur is de procedure voor het inschakelen of controleren van PQC-ondersteuning in beide browsers vrijwel hetzelfde. Hieronder vindt u de stappen om PQC-ondersteuning te controleren of in te schakelen, afhankelijk van de browserversie.

Voor nieuwere versies

In nieuwere versies van op Chromium gebaseerde browsers is ondersteuning voor post-quantum hybride sleuteluitwisseling direct in de browser geïntegreerd. Dit betekent dat handmatige configuratie via experimentele vlaggen mogelijk niet langer nodig is. Moderne versies van Chrome en Edge proberen dit automatisch. hybride TLS-sleuteluitwisseling (bijvoorbeeld X25519 gecombineerd met ML-KEM) bij het verbinden met servers die PQC ondersteunen.

Om de browserversie te controleren, opent u de volgende pagina's in de adresbalk:

Voor Chrome: 

chrome: // versie

Voor rand:

edge://versie

Als u een recente versie van deze browsers gebruikt, is de PQC-functionaliteit mogelijk al intern ingebouwd en wordt deze automatisch ingeschakeld tijdens TLS-handshakes.

Voor oudere versies

In oudere versies van op Chromium gebaseerde browsers was PQC-ondersteuning beschikbaar als een functie die via browserinstellingen kon worden ingeschakeld. Hieronder volgen de stappen om dit in te schakelen.

1. Open de Chrome- of Edge-browser.
2. Typ het volgende in de adresbalk en druk op Enter:
   • Voor Chrome:
     Kopiëren

     chrome: // flags

   • Voor rand:
     Kopiëren

     edge: // flags

3. Gebruik de zoekbalk op de vlaggenpagina om te zoeken naar het trefwoord. Kyber.
4. Zoek de experimentele optie die ermee verband houdt TLS 1.3 hybride Kyber-ondersteuning or post-kwantum sleuteluitwisseling.
5. Wijzig de instelling van Standaard naar ingeschakeld.
6. Klik relaunch De browser opnieuw opstarten en de wijzigingen toepassen.

Na het herstarten zal de browser proberen een hybride TLS-handshake tot stand te brengen met behulp van Kyber en compatibele servers.

Mozilla Firefox

In tegenstelling tot browsers die op Chromium gebaseerd zijn, biedt Mozilla Firefox via geavanceerde configuratie-instellingen toegang tot verschillende experimentele cryptografische functies. Hieronder volgen de stappen om PQC-ondersteuning in Firefox in te schakelen.

1. Open de Firefox-browser.
2. Typ het volgende in de adresbalk:
   Kopiëren

   about: config

3. Zoek in de zoekbalk naar de volgende voorkeur:
   Kopiëren

   security.tls.enable_kyber

4. Wijzig de waarde naar waar.
5. Start de Firefox-browser opnieuw op.
6. Na het opnieuw opstarten zal Firefox een hybride verbinding proberen. TLS-handdrukken Kyber of ML-KEM gebruiken bij het verbinden met servers die PQC ondersteunen.

Controleren of PQC wordt ondersteund in webbrowsers

Nadat je PQC-ondersteuning in je browser hebt ingeschakeld, is de volgende stap te controleren of de browser tijdens de TLS-handshake een post-quantum sleuteluitwisseling onderhandelt.

Via Cloudflare

Een van de eenvoudigste manieren om dit te testen is door gebruik te maken van de PQC-testpagina die wordt aangeboden door CloudflareHieronder volgen de stappen om te controleren of PQC ondersteuning biedt.

1. Open uw browser.
2. Ga naar de volgende website:  https://pq.cloudflareresearch.com
3. Zodra de pagina geladen is, wordt het sleuteluitwisselingsmechanisme weergegeven dat gebruikt wordt tijdens de TLS-handshake tussen uw browser en de server.

Als PQC succesvol is ingeschakeld en door uw browser wordt ondersteund, kan de testpagina van Cloudflare een bericht weergeven zoals: "U gebruikt X25519MLKEM768, wat post-quantum beveiligd is." Dit geeft aan dat de TLS-verbinding tussen uw browser en de server gebruikmaakt van een hybride post-kwantum sleuteluitwisselingsmechanisme.

Via browser

Je kunt ook rechtstreeks in de browser controleren welke versleuteling er voor een verbinding wordt gebruikt. De stappen worden hieronder beschreven.

1. Lancering Google Chrome.
2. Open de URL van de website die je wilt testen.
3. Klik op de ellips (drie puntjes) in de rechterbovenhoek van de browser.
4. Navigeer naar Meer tools → Ontwikkelaarstools.
5. Open de Privacy en Beveiliging or Security tabblad in het paneel Ontwikkelaarstools.
6. In de Aansluiting Bekijk de details in dit gedeelte om te zien wat er aan de hand is. protocol en cijfersuite gebruikt voor de beveiligde verbinding.

Het algoritme X25519MLKEM768 combineert twee cryptografische technieken: X25519, wat een klassiek Diffie-Hellman-sleuteluitwisselingsalgoritme met elliptische krommen is, dat veelvuldig wordt gebruikt in moderne TLS-implementaties, en ML-KEM-768, wat een post-kwantum sleutelinkapselingsmechanisme is.

Hybride cryptografie Het wordt gebruikt omdat het beveiliging biedt tegen zowel huidige als toekomstige bedreigingen. De klassieke component (X25519) zorgt voor compatibiliteit en bescherming tegen huidige aanvallers, terwijl de post-kwantumcomponent (ML-KEM-768) is ontworpen om veilig te blijven, zelfs in de aanwezigheid van grootschalige kwantumcomputers. Tijdens de TLS-handshake wordt het gedeelde geheim afgeleid van beide algoritmen, wat betekent dat de verbinding veilig blijft zolang ten minste één van de algoritmen intact blijft.

Als PQC niet is ingeschakeld of ondersteund door de browser, kan de pagina in plaats daarvan een klassiek sleuteluitwisselingsalgoritme zoals X25519 weergeven. In dat geval is de verbinding nog steeds beschermd door traditionele cryptografische methoden, maar nog niet door post-quantumbeveiliging.

Dit benadrukt echter ook de overgangsfase waarin moderne cryptografie zich bevindt. Veel omgevingen werken tegenwoordig in hybride of fallback-modi, afhankelijk van de mogelijkheden van de client en de server. Daarom wordt het, naarmate organisaties kwantumresistente mechanismen introduceren, van cruciaal belang om compatibiliteit tussen browsers, bibliotheken en infrastructuur te waarborgen.

PQC-migratie en uitdagingen

Migreren naar PQC Dit is een belangrijke stap in de richting van het beschermen van digitale infrastructuur tegen de toekomstige risico's van kwantumcomputing. De overgang van traditionele cryptografische systemen met publieke sleutels naar kwantumresistente alternatieven brengt echter diverse technische, operationele en organisatorische uitdagingen met zich mee. Deze uitdagingen moeten zorgvuldig worden aangepakt om een ​​veilig en efficiënt migratieproces te garanderen. Enkele daarvan worden hieronder genoemd:

Cryptografische ontdekking en inventarisatie

Een van de eerste uitdagingen bij PQC-migratie is het identificeren van de plaatsen waar cryptografie wordt gebruikt binnen de infrastructuur van een organisatie. Cryptografische componenten zijn vaak diep ingebed in applicaties, API's, netwerkprotocollen, databases en hardware. Zonder een volledig overzicht van cryptografische assets, zoals sleutels, certificaten, algoritmen en afhankelijkheden, is het moeilijk te bepalen welke systemen kwetsbaar zijn en gemigreerd moeten worden.

Compatibiliteit met bestaande systemen

Veel bestaande systemen en protocollen zijn ontworpen rond klassieke cryptografische algoritmen zoals RSA en elliptische-curve-cryptografie. Het integreren van PQC-algoritmen in deze omgevingen kan wijzigingen vereisen in protocollen, bibliotheken en infrastructuurcomponenten. Het waarborgen van achterwaartse compatibiliteit met oudere systemen, terwijl tegelijkertijd kwantumresistente mechanismen worden geïntroduceerd, kan complex zijn.

Prestaties en overheadkosten

Veel PQC-algoritmen introduceren grotere sleutelgroottes, versleutelde teksten of handtekeningen in vergelijking met klassieke algoritmen. Dit kan leiden tot hogere rekenkosten, meer geheugengebruik en een grotere netwerkbandbreedte. Systemen met beperkte resources, zoals embedded apparaten of IoT-systemen, kunnen extra beperkingen ondervinden bij de implementatie van PQC.

Protocol- en infrastructuurupdates

Beveiligingsprotocollen zoals TLS en infrastructuren voor digitale certificaten moeten worden bijgewerkt om PQC-algoritmen te ondersteunen. Dit houdt vaak in dat cryptografische bibliotheken, certificeringsinstanties en authenticatiesystemen moeten worden geüpgraded. Het coördineren van deze updates over gedistribueerde systemen en services kan een complexe operationele taak zijn.

Migratieplanning en risicomanagement

Naast technische integratie moeten organisaties zorgvuldig plannen hoe en wanneer ze overstappen op PQC. Bij migratiebeslissingen moet rekening worden gehouden met factoren zoals de kritische aard van het systeem, de gevoeligheid van de gegevens en de verwachte levensduur van de beschermde informatie. Gegevens die bijvoorbeeld jarenlang vertrouwelijk moeten blijven, vereisen mogelijk een eerdere migratie vanwege potentiële risico's op het niet naleven van de wet. Organisaties zouden tijdens de overgangsperiode een gefaseerde of hybride aanpak moeten hanteren om een ​​balans te vinden tussen verbeteringen in de beveiliging en operationele stabiliteit, en om verstoringen van bestaande diensten tot een minimum te beperken.

Hoe kan Encryption Consulting helpen?

Encryption Consulting is uw vertrouwde partner bij het bereiken van kwantumveilige beveiligingWij begeleiden u door elke fase, van de eerste kennismaking tot de uiteindelijke migratie, met duidelijkheid, vertrouwen en bewezen expertise. 

1. Cryptografische ontdekking en inventarisatie: De eerste stap in de voorbereiding op kwantumcomputing is het uitvoeren van een uitgebreide inventarisatie van de cryptografische activa van een organisatie. Vervolgens brengen we uw volledige cryptografische landschap in kaart. Dit omvat het identificeren van alle systemen (on-premise, cloud, hybride) die gebruikmaken van cryptografische sleutels, certificaten, algoritmen en afhankelijkheden in applicaties, API's, netwerken en databases.
2. PQC-effectbeoordeling: Vervolgens evalueren we kwetsbaarheden voor kwantumbedreigingen door cryptografische activa te analyseren die gebruikmaken van RSA, ECC en vergelijkbare algoritmen. We beoordelen uw PKI, HSM'sen toepassingen voor PQC-gereedheid en een geprioriteerd rapport opstellen waarin de gebieden met een hoog risico en de migratiebehoeften worden belicht. 
3. PQC-strategie en -routekaart: Nadat we de risico's in kaart hebben gebracht, creëren we een op maat gemaakte, gefaseerde migratiestrategie die is afgestemd op uw bedrijfs-, compliance- en technische doelen. Dit omvat beleidsupdates, een flexibel ontwerp van algoritmen en een duidelijke roadmap met de fasen van pilot, hybride implementatie en volledige implementatie. 
4. Leveranciersevaluatie en proof of concept: Wij helpen u bij het selecteren en testen van PQC-geschikte oplossingen. We helpen u bij het definiëren van technische en zakelijke eisen voor RFI/RFP, het uitvoeren van PoC's om het aanbod van leveranciers te evalueren en het leveren van een vergelijkingsmatrix en een aanbevelingsrapport om de optimale technologiekeuze voor uw omgeving te garanderen. 
5. Pilottesten en opschaling: Voordat we volledig implementeren, valideren we PQC-modellen in pilotomgevingen om interoperabiliteit te garanderen en verstoringen te minimaliseren. Feedback van technische en zakelijke teams optimaliseert de uitrol voor schaalbaarheid en efficiëntie. 
6. PQC-implementatie: Ten slotte voeren we grootschalige uitvoering uit. migratieHet integreren van PQC in uw live omgeving met behoud van compliance, continuïteit en ondersteuning voor hybride algoritmen. Het uitrollen van PQC-ondersteuning voor uw PKI, applicaties, infrastructuur, cloudservices en API's. Het bieden van praktische training aan uw teams, samen met gedetailleerde technische documentatie voor doorlopend onderhoud. Het opzetten van monitoringsystemen en lifecyclemanagementprocessen om de cryptografische status te bewaken, afwijkingen te detecteren en toekomstige upgrades te ondersteunen. 

De overstap naar PQC is complex, maar u hoeft het niet alleen te doen. Encryption Consulting zorgt voor een soepele en veilige overgang. Neem contact met ons op via info@encryptionconsulting.com en laten we een op maat gemaakt stappenplan opstellen dat aansluit bij de specifieke behoeften van uw organisatie.    

Conclusie

De overgang naar post-kwantumbeveiliging wordt geleidelijk aan een prioriteit voor het moderne internetecosysteem. PQC verwijst naar cryptografische algoritmen die ontworpen zijn om zowel tegen klassieke als tegen kwantumcomputers veilig te blijven. Deze algoritmen zijn bedoeld om de huidige publieke-sleutelsystemen te vervangen of aan te vullen, die kwetsbaar zouden kunnen worden zodra grootschalige kwantumcomputers praktisch bruikbaar worden.

Terwijl onderzoekers en organisaties zich blijven voorbereiden op de potentiële impact van kwantumcomputing, worden technologieën zoals PQC geïntegreerd in alledaagse platforms en tools. Grote browsers zoals Google Chrome, Microsoft Edge en Mozilla Firefox ondersteunen al hybride cryptografische mechanismen die klassieke algoritmen combineren met kwantumresistente technieken.

Door PQC-ondersteuning in browsers in te schakelen en te verifiëren via testplatforms, kunnen ontwikkelaars, beveiligingsteams en onderzoekers beter begrijpen hoe deze nieuwe cryptografische mechanismen in de praktijk werken. Deze kleine stappen helpen organisaties zich beter voor te bereiden op de lange termijn, met name op de overgang naar een kwantumveilig internet.