I progressi nel computing quantistico minacciano i meccanismi crittografici utilizzati da tempo da TLS. Google ritiene che la sicurezza della crittografia asimmetrica utilizzata in TLS potrebbe essere compromessa dai computer quantistici già nel 2029 se i progressi della ricerca continueranno al ritmo attuale.
Per mitigare questo rischio, Google Cloud i bilanciatori del carico supportano le funzionalità di scambio di chiavi post-quantistico, progettate per resistere alle capacità teoriche dei computer quantistici. Questi algoritmi sono stati sviluppati e verificati dal National Institute of Standards and Technology (NIST) e il loro utilizzo in TLS è conforme agli standard in fase di sviluppo nell'ambito dell'IETF.
Per saperne di più, consulta Crittografia post-quantistica in Google Cloud.
In che modo il computing quantistico minaccia la sicurezza di TLS
I computer quantistici rilevanti dal punto di vista crittografico saranno in grado di consentire attacchi contro due componenti critiche della sicurezza di TLS: lo scambio di chiavi e l'autenticazione.
Attacchi contro lo scambio di chiavi
I computer quantistici rilevanti dal punto di vista crittografico saranno in grado di violare gli algoritmi di scambio di chiavi utilizzati durante l'handshake TLS, rivelando le chiavi simmetriche che criptano le sessioni TLS ed esponendo il traffico a livello di applicazione in testo non crittografato. Questo vale anche per le connessioni TLS che utilizzano metodi di scambio di chiavi con segretezza perfetta in avanti, come ECDHE. Un aggressore che registra un'intera sessione TLS oggi potrebbe persino decriptarla negli anni a venire, quando le funzionalità di computing quantistico saranno disponibili, in quello che viene chiamato attacco di tipo "Harvest Now, Decrypt Later".
Attacchi contro l'autenticazione
I computer quantistici rilevanti dal punto di vista crittografico saranno in grado di violare le chiavi utilizzate nei certificati TLS o nelle autorità di certificazione, consentendo a un aggressore di affermare falsamente l'identità di un client o di un server. Se utilizzato con un attacco man-in-the-middle, questo potrebbe consentire a un aggressore di visualizzare e manipolare i contenuti delle sessioni criptate con TLS. A differenza degli attacchi contro lo scambio di chiavi, gli attacchi contro l'autenticazione non possono essere eseguiti retrospettivamente sul traffico registrato. Tuttavia, gli attacchi contro l'autenticazione minacciano in modo significativo l'integrità dell'autenticazione web.
Le cifrature simmetriche non sono minacciate
Le cifrature crittografiche simmetriche, come AES-128, AES-256 e ChaCha20, utilizzate per criptare le sessioni TLS una volta completati l'handshake e l'autenticazione, non sono minacciate dal computing quantistico.
Scambio di chiavi post-quantistico
Per mitigare il rischio di attacchi di tipo "Harvest Now, Decrypt Later", ti consigliamo di attivare lo scambio di chiavi post-quantistico per le connessioni tra client e bilanciatori del carico.
Lo scambio di chiavi post-quantistico è supportato solo per le connessioni TLS frontend, ovvero per le connessioni tra il client e il bilanciatore del carico.
Lo scambio di chiavi post-quantistico può essere attivato per i seguenti bilanciatori del carico:
- Bilanciatori del carico delle applicazioni esterni globali
- Bilanciatori del carico delle applicazioni classici
- Bilanciatori del carico delle applicazioni esterni regionali
- Bilanciatori del carico delle applicazioni interni tra regioni
- Bilanciatori del carico delle applicazioni interni regionali
- Bilanciatori del carico di rete proxy esterni globali
- Bilanciatori del carico di rete proxy classici
X25519MLKEM768 è la forma specifica di
scambio di chiavi post-quantistico supportata nei Google Cloud bilanciatori del carico. Si tratta di un metodo di scambio di chiavi ibrido, il che significa che è protetto da meccanismi crittografici classici e post-quantistici.
Quando lo scambio di chiavi post-quantistico è attivato, il bilanciatore del carico lo utilizza quando si connette ai client che pubblicizzano il supporto per TLS 1.3 e X25519MLKEM768.
Le connessioni ai client che non supportano TLS 1.3 o X25519MLKEM768 non sono interessate.
Quando lo scambio di chiavi post-quantistico è attivato, il bilanciatore del carico lo utilizza quando un client di connessione pubblicizza il supporto per TLS 1.3 e il meccanismo di scambio di chiavi X25519MLKEM768. Le connessioni dai client che non supportano TLS 1.3 o X25519MLKEM768 non sono interessate.
Attivare lo scambio di chiavi post-quantistico
Puoi attivare lo scambio di chiavi post-quantistico sul bilanciatore del carico utilizzando l'
post-quantum-key-exchange in una policy SSL, collegando una nuova
policy SSL al TargetHttpsProxy o al
TargetSslProxy,
oppure modificando una policy SSL già collegata.
Per saperne di più su come creare policy SSL con l'impostazione di scambio di chiavi post-quantistico, consulta Creare policy SSL.
Ti consigliamo di attivare subito lo scambio di chiavi post-quantistico, in quanto fornisce una protezione immediata contro gli attacchi di tipo "Harvest Now, Decrypt Later". Non è previsto che i client implementati correttamente riscontrino problemi. Tuttavia, se l'applicazione client non è compatibile, puoi impostare post-quantum-key-exchange su DEFERRED, il che ti consente di ritardare l'attivazione dello scambio di chiavi post-quantistico fino a ottobre 2027, dandoti il tempo di rendere compatibile la tua applicazione.
Implementazione dello scambio di chiavi post-quantistico
Poiché la protezione di sicurezza offerta dallo scambio di chiavi post-quantistico
è importante, Google Cloud inizierà ad attivarlo per impostazione predefinita a
ottobre 2026. Ciò influirà sui bilanciatori del carico a cui non è collegata alcuna policy SSL o che utilizzano una policy SSL senza impostazione di scambio di chiavi post-quantistico. Se necessario, puoi posticipare l'attivazione dello scambio di chiavi post-quantistico fino a ottobre 2027 utilizzando l'impostazione DEFERRED.
La seguente cronologia mostra l'implementazione pianificata del supporto dello scambio di chiavi post-quantistico per i bilanciatori del carico.
| Timeline | Stato dello scambio di chiavi post-quantistico |
|---|---|
| Ora | Disattivato per impostazione predefinita, attivato solo se impostato su ENABLED |
| Dopo ottobre 2026 | Attivato per impostazione predefinita, disattivato se impostato su DEFERRED |
| Dopo ottobre 2027 | Sempre attivo |