Devon O'Brien, Giám đốc kỹ thuật về bảo mật của Chrome cho biết, bắt đầu từ phiên bản Chrome 116 được ra mắt ngày 15/8/2023, trình duyệt của Google sẽ bao gồm hỗ trợ thuật toán X25519Kyber768 để thiết lập mã hóa đối xứng trong TLS.
Kyber đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chọn làm ứng cử viên mã hóa chung trong nỗ lực giải quyết các cuộc tấn công mạng trong tương lai trước sự xuất hiện của điện toán lượng tử. Kyber-768 gần tương đương với bảo mật của AES-192. Thuật toán mã hóa đã được áp dụng bởi Cloudflare, Amazon Web Services và IBM.
X25519Kyber768 là kết hợp đầu ra của hai thuật toán mật mã để tạo khóa phiên được sử dụng để mã hóa phần lớn kết nối TLS, bao gồm: X25519, một thuật toán đường cong elliptic được sử dụng rộng rãi cho thỏa thuận khóa trong TLS ngày nay; thứ hai là Kyber-768 để tạo khóa phiên mạnh nhằm mã hóa các kết nối TLS. Kyber-768 là một phương pháp KEM kháng lượng tử vào năm ngoái đã giành được sự chấp thuận của NIST cho mã hóa hậu lượng tử.
KEM là một cách để thiết lập một giá trị bí mật được chia sẻ giữa hai thực thể để họ có thể trao đổi thông tin bí mật bằng cách sử dụng mã hóa khóa đối xứng. Các cơ chế kết hợp như X25519Kyber768 mang lại sự linh hoạt để triển khai và thử nghiệm các thuật toán kháng lượng tử mới, đồng thời đảm bảo rằng các kết nối vẫn được bảo vệ bằng thuật toán bảo mật hiện có.
O'Brien cho biết: “Trong TLS, mặc dù các thuật toán mã hóa đối xứng bảo vệ dữ liệu trong quá trình truyền được coi là an toàn trước phân tích mật mã lượng tử, nhưng cách mà các khóa đối xứng được tạo ra thì không. Điều này có nghĩa là trong Chrome, chúng tôi càng sớm cập nhật TLS để sử dụng các khóa phiên kháng lượng tử thì có thể bảo vệ lưu lượng truy cập mạng của người dùng trước hoạt động phân tích mật mã lượng tử trong tương lai”.
Các tổ chức gặp phải sự cố không tương thích với thiết bị mạng sau khi triển khai nên tắt X25519Kyber768 trong Chrome bằng cách sử dụng chính sách (policy) có tên là “PostQuantumKeyAgreementEnabled”, có sẵn từ phiên bản Chrome 116 như một biện pháp tạm thời.
Sự phát triển diễn ra ngay khi Google cho biết họ đang thay đổi thời gian phát hành các bản cập nhật bảo mật Chrome, từ hai tuần một lần thành hàng tuần nhằm giảm thiểu thời gian tấn công và giải quyết các lỗ hổng ngày càng tăng, cho phép các tác nhân đe dọa có nhiều thời gian hơn để vũ khí hóa các lỗ hổng n-day và zero-day đã công bố.
Nhà nghiên cứu Amy Ressler từ Nhóm bảo mật Chrome cho biết: “Các tin tặc có thể có thể lợi dụng khả năng hiển thị của các bản sửa lỗi này và phát triển các khai thác để áp dụng cho những người dùng trình duyệt chưa nhận được vá. Đó là lý do tại sao chúng tôi tin rằng điều thực sự quan trọng là phải gửi các bản sửa lỗi bảo mật càng sớm càng tốt, để giảm thiểu lỗ hổng”.
Hữu Tài
13:00 | 21/09/2023
10:00 | 05/10/2023
10:00 | 31/01/2024
15:00 | 16/10/2023
15:00 | 26/10/2023
10:00 | 20/07/2023
15:00 | 24/10/2023
09:00 | 08/08/2023
15:00 | 03/09/2023
18:00 | 22/09/2023
14:00 | 22/06/2023
17:00 | 15/11/2022
10:00 | 13/05/2024
NSA và FBI cảnh báo rằng nhóm tin tặc có tên APT43 (có mối liên hệ với Triều Tiên) đã khai thác các chính sách Tuân thủ và báo cáo xác thực thư dựa trên tên miền (DMARC) để che giấu các cuộc tấn công lừa đảo.
10:00 | 10/04/2024
Bộ Y tế Hoa Kỳ đã đưa ra cảnh báo rằng tin tặc hiện đang sử dụng các chiến thuật lừa đảo để nhắm mục tiêu vào các bộ phận trợ giúp công nghệ thông tin (CNTT) trong lĩnh vực Chăm sóc sức khỏe và Y tế Công cộng.
11:00 | 08/04/2024
Cục An toàn thông tin, Bộ TT&TT vừa công bố cẩm nang một số biện pháp phòng chống, giảm thiểu rủi ro từ tấn công mã hóa tống tiền (ransomware) cho các cơ quan, tổ chức, doanh nghiệp.
14:00 | 01/03/2024
Trong thời đại kỹ thuật số, dữ liệu cá nhân và bí mật công ty luôn là mục tiêu tấn công của tội phạm mạng. Tuy nhiên, khi hệ thống phòng thủ ngày càng tinh vi thì chiến thuật của tin tặc cũng vậy. Năm 2023 cho thấy sự giằng co không ngừng nghỉ, ghi nhận một số vụ xâm phạm dữ liệu gây hậu quả nặng nề. Dưới đây là 10 vụ xâm phạm dữ liệu hàng đầu trong năm 2023 ảnh hưởng đến hơn 100 triệu cá nhân theo ghi nhận của tổ chức phi lợi nhuận Trung tâm Tài nguyên trộm cắp danh tính Mỹ (ITRC).
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 15/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 7/5, ByteDance kiện lên Tòa án liên bang Hoa Kỳ nhằm tìm cách ngăn chặn một đạo luật do Tổng thống Joe Biden ký nhằm buộc ByteDance phải thoái vốn khỏi ứng dụng video ngắn TikTok nếu không sẽ bị cấm tại Mỹ.
09:00 | 15/05/2024