Os avanços na computação quântica ameaçam os mecanismos criptográficos usados há muito tempo pelo TLS. O Google acredita que a segurança da criptografia assimétrica usada no TLS pode ser quebrada por computadores quânticos já em 2029 se o progresso da pesquisa continuar no ritmo atual.
Para reduzir esse risco, os balanceadores de carga do Google Cloud oferecem suporte a recursos de troca de chaves pós-quântica, projetados para resistir às capacidades teóricas dos computadores quânticos. Esses algoritmos foram desenvolvidos e testados pelo Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês), e o uso deles em TLS está em conformidade com os padrões que estão sendo desenvolvidos pelo IETF.
Para saber mais, consulte Criptografia pós-quântica em Google Cloud.
Como a computação quântica ameaça a segurança do TLS
Os computadores quânticos relevantes para criptografia poderão permitir ataques contra dois componentes críticos da segurança TLS: troca de chaves e autenticação.
Ataques contra troca de chaves
Os computadores quânticos relevantes para criptografia poderão quebrar os algoritmos de troca de chaves usados durante o handshake de TLS, revelando as chaves simétricas que criptografam as sessões de TLS e expondo o tráfego da camada de aplicativo em texto simples. Isso é válido até mesmo para conexões TLS que usam métodos de troca de chaves de sigilo direto perfeito, como o ECDHE. Um invasor que gravar uma sessão TLS inteira hoje poderá descriptografá-la anos depois, quando os recursos de computação quântica estiverem disponíveis, em um ataque chamado coletar agora, descriptografar depois.
Ataques contra a autenticação
Os computadores quânticos criptograficamente relevantes poderão quebrar as chaves usadas em certificados TLS ou autoridades certificadoras, permitindo que um invasor declare falsamente a identidade de um cliente ou servidor. Usado com um ataque man-in-the-middle, isso pode permitir que um invasor veja e manipule o conteúdo de sessões criptografadas com TLS. Ao contrário dos ataques contra a troca de chaves, os ataques contra a autenticação não podem ser feitos retrospectivamente contra o tráfego gravado. No entanto, ataques contra a autenticação ameaçam significativamente a integridade da autenticação da Web.
As cifras simétricas não estão ameaçadas
As cifras criptográficas simétricas, como AES-128, AES-256 e ChaCha20, usadas para criptografar sessões TLS depois que o handshake e a autenticação são concluídos, não são ameaçadas pela computação quântica.
Troca de chaves pós-quântica
Para reduzir o risco de ataques de coleta agora, descriptografia depois, recomendamos ativar a troca de chaves pós-quântica para conexões entre clientes e balanceadores de carga.
A troca de chaves pós-quântica é compatível apenas com conexões TLS de front-end, ou seja, entre o cliente e o balanceador de carga.
A troca de chaves pós-quântica pode ser ativada para os seguintes balanceadores de carga:
- Balanceadores de carga de aplicativos externos globais
- Balanceadores de carga de aplicativo clássicos
- Balanceadores de carga de aplicativo externos regionais
- Balanceadores de carga de aplicativo internos entre regiões
- Balanceadores de carga de aplicativo internos regionais
- Balanceadores de carga de rede de proxy externo global
- Balanceadores de carga de rede de proxy clássicos
X25519MLKEM768 é a forma específica de troca de chaves pós-quântica compatível com balanceadores de carga Google Cloud . Esse é um método de troca de chaves híbrido, o que significa que ele é protegido por mecanismos criptográficos clássicos e pós-quânticos.
Quando a troca de chaves pós-quântica está ativada, o balanceador de carga a usa ao se conectar a clientes que anunciam suporte para TLS 1.3 e X25519MLKEM768.
As conexões com clientes que não são compatíveis com TLS 1.3 ou X25519MLKEM768 não são afetadas.
Quando a troca de chaves pós-quântica está ativada, o balanceador de carga a usa quando um
cliente de conexão anuncia suporte para TLS 1.3 e o mecanismo de troca de chaves X25519MLKEM768. As conexões de clientes que não oferecem suporte ao TLS 1.3 ou ao X25519MLKEM768 não são afetadas.
Ativar a troca de chaves pós-quântica
É possível ativar a troca de chaves pós-quântica no balanceador de carga usando a configuração
post-quantum-key-exchange em uma política de SSL. Para isso, anexe uma nova
política de SSL ao TargetHttpsProxy ou
TargetSslProxy
atual ou modifique uma política de SSL já anexada.
Para saber mais sobre como criar políticas de SSL com a configuração de troca de chaves pós-quântica, consulte Criar políticas de SSL.
Recomendamos que você ative a troca de chaves pós-quântica agora, porque ela oferece proteção imediata contra ataques de coleta agora, descriptografia depois. Não é esperado que clientes implementados corretamente tenham problemas. No entanto, se o aplicativo cliente for incompatível, defina post-quantum-key-exchange como DEFERRED. Isso permite adiar a ativação da troca de chaves pós-quântica até outubro de 2027, tempo para tornar o aplicativo compatível.
Implementação da troca de chaves pós-quântica
Como a proteção de segurança oferecida pela troca de chaves pós-quântica é importante, o Google Cloud vai começar a ativar por padrão em outubro de 2026. Isso vai afetar os balanceadores de carga que não têm uma política de SSL anexada ou que usam uma política de SSL sem uma configuração de troca de chaves pós-quântica. Se necessário, é possível adiar a ativação da troca de chaves pós-quântica até outubro de 2027 usando a configuração DEFERRED.
A linha do tempo a seguir mostra o lançamento planejado do suporte à troca de chaves pós-quântica para balanceadores de carga.
| Cronograma | Status da troca de chaves pós-quântica |
|---|---|
| Agora | Desativado por padrão, ativado apenas quando definido como ENABLED |
| Depois de outubro de 2026 | Ativado por padrão, desativado quando definido como DEFERRED |
| Depois de outubro de 2027 | Sempre ativado |