Mullvad 使用 Kyber 的方式不受 KyberSlash 的影响

Mullvad 使用 Kyber 不受 KyberSlash 影响

2024年1月4日 新闻 应用程式安全性

近期有一些 Kyber 实作的漏洞被 披露，Kyber 是一种抗量子密码学的密钥封装机制。Mullvad 的抗量子隧道不受此漏洞的影响，也不受任何类似漏洞的影响。

这两种名为 KyberSlash1 和 KyberSlash2 的基于时间的攻击利用了某些 Kyber 实作未能以恒定时间执行关键操作的事实。如果服务允许攻击者针对相同的密钥对请求多次此类操作，攻击者便可以测量时间差异并逐步推算出秘密金钥。

这类基于时间的漏洞在密码学中相对常见。因此，Mullvad 的抗量子隧道协议设计成可避免这类漏洞的利用。

Mullvad 应用程式为每个抗量子隧道连接计算一组全新的密钥对。秘密键材料在两个隧道或两个不同用户之间不会重复使用。因此，每个秘密键仅用于一次封装操作，这样便不存在可以测量时间差异的情境。因此，无论 Mullvad 应用程式和伺服器所使用的 Kyber 实作是否存在 KyberSlash1 和 KyberSlash2 的漏洞，均不影响其安全性。

在 Mullvad 的设置中，量子抗性共享密钥交换的密钥对在 客户端 上生成，并且只有与客户端建立连接的 WireGuard 伺服器可以将密文发送到客户端。这样便没有任何可公开暴露的端点可以请求密钥封装操作，也没有潜在攻击者可以接触的地方。所有操作都在客户端和 WireGuard 伺服器之间的加密 WireGuard 隧道内进行。

作为一层额外的安全保障，我们的抗量子隧道不仅依赖 Kyber。我们使用两种量子安全的密钥封装机制Kyber 和 Classic McEliece并混合来自两者的秘密。这意味著，必须同时存在两个算法的 可利用 漏洞，VPN 隧道的安全性才可能受到影响。