התפתחויות בתחום המחשוב הקוונטי מאיימות על המנגנונים הקריפטוגרפיים שנעשה בהם שימוש ב-TLS במשך זמן רב. Google מאמינה שאפשר לפרוץ את האבטחה של הצפנה אסימטרית שמשמשת ב-TLS באמצעות מחשבים קוונטיים כבר בשנת 2029, אם קצב ההתקדמות במחקר יימשך בקצב הנוכחי.
כדי לצמצם את הסיכון הזה,מאזני העומסים תומכים ביכולות של החלפת מפתחות עמידה למחשוב קוונטי, שנועדו לעמוד בפני היכולות התיאורטיות של מחשבים קוונטיים. Google Cloud האלגוריתמים האלה פותחו ונבדקו על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST), והשימוש בהם ב-TLS תואם לתקנים שפותחו במסגרת IETF.
מידע נוסף זמין במאמר בנושא הצפנה פוסט-קוונטית (PQC) ב- Google Cloud.
איך מחשוב קוונטי מאיים על אבטחת TLS
מחשבים קוונטיים רלוונטיים מבחינה קריפטוגרפית יוכלו לאפשר מתקפות נגד שני רכיבים קריטיים באבטחת TLS: חילופי מפתחות ואימות.
התקפות נגד חילופי מפתחות
מחשבים קוונטיים רלוונטיים מבחינה קריפטוגרפית יוכלו לפרוץ את האלגוריתמים של חילופי המפתחות שמשמשים במהלך לחיצת היד ב-TLS, ולחשוף את המפתחות הסימטריים שמצפינים סשנים ב-TLS ואת התנועה בשכבת האפליקציה בטקסט רגיל. הדבר נכון גם לגבי חיבורי TLS שמשתמשים בשיטות להחלפת מפתחות של סודיות העברה מושלמת, כמו ECDHE. פורץ שמקליט היום סשן TLS שלם יכול אפילו לפענח אותו בעתיד, כשיכולות המחשוב הקוונטי יהיו זמינות. זה נקרא מתקפת איסוף עכשיו, פענוח אחר כך.
התקפות נגד אימות
מחשבים קוונטיים רלוונטיים מבחינה קריפטוגרפית יוכלו לפרוץ את המפתחות שמשמשים באישורי TLS או ברשויות אישורים, וכך לאפשר לתוקף לטעון באופן שקרי זהות של לקוח או שרת. אם משתמשים ב-handler הזה בהתקפת אדם בתווך, התוקף יכול לראות את התוכן של סשנים מוצפנים ב-TLS ולשנות אותו. בניגוד להתקפות נגד החלפת מפתחות, אי אפשר לבצע התקפות נגד אימות באופן רטרוספקטיבי על תנועה מתועדת. עם זאת, התקפות על אימות מהוות איום משמעותי על השלמות של אימות אתרים.
אין איום על צפנים סימטריים
הצפנות קריפטוגרפיות סימטריות, כמו AES-128, AES-256 ו-ChaCha20, שמשמשות להצפנת סשנים של TLS אחרי השלמת הלחיצת יד והאימות, לא נמצאות בסכנה בגלל מחשוב קוונטי.
חילופי מפתחות פוסט-קוונטיים
כדי לצמצם את הסיכון למתקפות מסוג 'איסוף עכשיו, פענוח אחר כך', מומלץ להפעיל החלפת מפתחות פוסט-קוונטית לחיבורים בין לקוחות ומאזני עומסים.
החלפת מפתחות פוסט-קוונטית נתמכת רק בחיבורי TLS של חזית האתר, כלומר בחיבורים בין הלקוח לבין מאזן העומסים.
אפשר להפעיל החלפת מפתחות פוסט-קוונטית במאזני העומסים הבאים:
- מאזני עומסים גלובליים חיצוניים של אפליקציות (ALB)
- מאזני עומסים קלאסיים של אפליקציות (ALB)
- מאזני עומסים חיצוניים אזוריים של אפליקציות (ALB)
- מאזני עומסים פנימיים של אפליקציות (ALB) חוצי-אזורים
- מאזני עומסים פנימיים אזוריים של אפליקציות (ALB)
- מאזני עומסי רשת גלובליים חיצוניים לשרת proxy
- מאזני עומסי רשת קלאסיים בשרת proxy
X25519MLKEM768 הוא הצורה הספציפית של חילופי מפתחות פוסט-קוונטיים שנתמכת במאזני עומסים. Google Cloud זוהי שיטה היברידית לחילופי מפתחות, כלומר היא מאובטחת על ידי מנגנונים קריפטוגרפיים קלאסיים ופוסט-קוונטיים.
כשמופעל פרוטוקול מפתח עם מנגנון פוסט-קוונטי, מאזן העומסים משתמש בו כשהוא מתחבר ללקוחות שמפרסמים תמיכה ב-TLS 1.3 וב-X25519MLKEM768.
החיבורים ללקוחות שלא תומכים ב-TLS 1.3 או ב-X25519MLKEM768 לא מושפעים.
כשמפעילים חילופי מפתחות פוסט-קוונטיים, מאזן העומסים משתמש בהם כשלקוח מתחבר ומפרסם תמיכה ב-TLS 1.3 ובמנגנון X25519MLKEM768 לחילופי מפתחות. החיבורים מלקוחות שלא תומכים ב-TLS 1.3 או ב-X25519MLKEM768 לא מושפעים.
הפעלת החלפת מפתחות עם מנגנון פוסט-קוונטי
כדי להפעיל החלפת מפתחות פוסט-קוונטית במאזן העומסים, צריך להשתמש בהגדרה post-quantum-key-exchange במדיניות SSL. אפשר לעשות זאת על ידי צירוף מדיניות SSL חדשה ל-TargetHttpsProxy או ל-TargetSslProxy הקיימים, או על ידי שינוי מדיניות SSL שכבר צורפה.
מידע נוסף על יצירת מדיניות SSL עם הגדרת החלפת מפתחות פוסט-קוונטית זמין במאמר בנושא יצירת מדיניות SSL.
מומלץ להפעיל עכשיו את החלפת המפתחות העמידה למחשוב קוונטי, כי היא מספקת הגנה מיידית מפני התקפות מסוג 'איסוף עכשיו, פענוח אחר כך'. לא צפויות בעיות ללקוחות שהטמיעו את הלקוחות בצורה נכונה. עם זאת, אם אפליקציית הלקוח לא תואמת, אפשר להגדיר את post-quantum-key-exchange לערך DEFERRED, וכך לדחות את ההפעלה של חילופי מפתחות פוסט-קוונטיים עד אוקטובר 2027. כך יהיה לכם זמן להפוך את האפליקציה לתואמת.
השקת חילופי מפתחות פוסט-קוונטיים
ההגנה על האבטחה שמוצעת על ידי החלפת מפתחות פוסט-קוונטית חשובה,ולכן Google Cloud נתחיל להפעיל אותה כברירת מחדל באוקטובר 2026. ההגדרה הזו תשפיע על מאזני עומסים שלא מצורפת אליהם מדיניות SSL, או על מאזני עומסים שמשתמשים במדיניות SSL ללא הגדרה של החלפת מפתחות פוסט-קוונטית. אם צריך, אפשר לדחות את ההפעלה של החלפת מפתחות פוסט-קוונטית עד אוקטובר 2027 באמצעות ההגדרה DEFERRED.
ציר הזמן הבא מציג את ההשקה המתוכננת של תמיכה בהחלפת מפתחות פוסט-קוונטית למאזני עומסים.
| ציר הזמן | הסטטוס של חילופי מפתחות עם מנגנון פוסט-קוונטי |
|---|---|
| עכשיו | ההגדרה מושבתת כברירת מחדל, ומופעלת רק אם הערך שלה הוא ENABLED |
| אחרי אוקטובר 2026 | מופעל כברירת מחדל, מושבת כשמוגדר כ-DEFERRED |
| אחרי אוקטובר 2027 | מופעל תמיד |