近日，Chromium博客上发表的一篇博文称，为了加强网络安全，应对迫在眉睫的量子计算机威胁，谷歌各个团队密切合作，为网络向抗量子密码学的过渡做好准备。

谷歌的Chrome团队在博客中写道，该项目涉及修订技术标准、实施和评估新的抗量子算法以及与更广泛的技术社区合作，以确保无缝衔接。

作为该量子网络安全计划的一部分，谷歌Chrome，也被称为谷歌浏览器，将依赖一种新方法在传输层安全（Transport Layer Security，TLS）连接中建立对称秘密。从Chrome 116版本的浏览器开始，将支持X25519Kyber768混合抗量子密码协议，用于创建会话密钥来加密大量TLS连接。

博客文章中提到，X25519是当今TLS密钥协议中流行的椭圆曲线算法，它与 Kyber-768结合，Kyber-768是一种抗量子密钥封装方法，也是美国国家标准与技术研究院（NIST）抗（后）量子密码学（PQC）通用加密奖的获得者。

这种开创性的混合机制结合了两种算法的输出来制作关键的会话密钥，使数据传输能够安全地抵御潜在的量子攻击。

谷歌的分阶段方法包括通过TCP和QUIC协议向Chrome和谷歌服务器严格推出X25519Kyber768。在推出期间，谷歌积极审查可能出现的任何兼容性差异。Chrome在连接到Cloudflare等第三方服务器时也可能会采用此更新的密钥协议，因为它们也集成了支持。

博客文章提到这种量子驱动的密码学转变的动机在于面对不断变化的网络威胁。量子计算机虽然预计几年内不会实用，但有可能破坏现有的非对称加密方法。这种潜在的威胁使得迫切需要采用加密协议来抵御未来可能的量子攻击。

然而，向抗量子密码学的过渡并非没有挑战。正如博客文章中所强调的，抗量子算法不仅必须抵御量子密码分析，还必须抵御经典密码分析技术。这些算法需要在商用硬件上高效执行，这也使得这项工作进一步复杂化。

这一发展还解决了“现在收获，稍后解密”（Harvest Now, Decrypt Later ）的威胁，其中一旦量子密码分析变得更加强大，今天截获的数据就可以被解密。虽然当前的对称加密算法仍然具有弹性，但创建对称密钥的方法需要升级。通过在Chrome的TLS中采用抗量子会话密钥，该浏览器旨在增强用户的网络流量以抵御未来的量子威胁。

此外，部署X25519Kyber768引入了一个新的考虑因素，如博客文章中详细介绍，它向TLS ClientHello消息添加了额外的数据。根据该帖子，谷歌的初步测试表明与大多数TLS实现兼容。为了促进无缝过渡，管理员可以使用 Chrome 116中提供的PostQuantumKeyAgreementEnabled企业策略暂时禁用X25519Kyber768。此措施旨在作为行业适应新的加密环境时的权宜之计。

博文中提到X25519Kyber768和Kyber规范仍处于草案形式，可能会发生变化。Chrome的实现可能会随之发展以适应任何规范更新。

随着谷歌继续在抗量子网络安全方面开辟道路，这种量子驱动的转变强调了谷歌致力于保护用户数据免受不断变化的网络威胁的承诺。

参考链接：

https://blog.chromium.org/2023/08/protecting-chrome-traffic-with-hybrid.html