양자 저항 키 캡슐화 메커니즘인 Kyber의 일부 구현에서 취약점이 최근 공개되었습니다. Mullvad의 양자 저항 터널은 이 취약점이나 동일한 종류의 취약점의 영향을 받지 않습니다.

KyberSlash1과 KyberSlash2라는 두 가지 타이밍 기반 공격은 일부 Kyber 구현이 일정한 시간에 중요한 작업을 수행하지 않는다는 사실을 기반으로 합니다. 서비스에서 공격자가 동일한 키 쌍에 대해 이러한 작업을 많이 요청할 수 있도록 허용하는 경우 공격자는 타이밍 차이를 측정하고 비밀 키를 천천히 계산할 수 있습니다.

이러한 유형의 타이밍 기반 취약점은 암호화에서 매우 일반적입니다. 이것이 바로 Mullvad의 양자 저항 터널 프로토콜이 이 모든 종류의 취약점이 악용되지 않도록 설계된 이유입니다.

Mullvad 앱은 각 양자 저항 터널 연결에 대해 완전히 새로운 키 쌍을 계산합니다. 두 터널 또는 두 명의 서로 다른 사용자 간에 비밀 키 메터럴(material)이 재사용되지 않습니다. 따라서 각 비밀 키는 단일 캡슐화 작업에만 사용되므로 타이밍 차이를 측정할 수 있는 시나리오는 존재하지 않습니다. 결과적으로 Mullvad 앱과 서버에서 사용하는 Kyber구현이 KyberSlash1 및 KyberSlash2에 취약한지 여부는 중요하지 않으며 이를 악용할 수 있는 시나리오는 존재하지 않습니다.

양자 저항 공유 비밀 교환을 위한 키 쌍은 Mullvad 설정의 클라이언트 에서 생성되며, 클라이언트가 연결을 설정하는 WireGuard 서버에만 암호문을 보낼 수 있습니다. 따라서 키 캡슐화 작업을 요청할 수 있는 엔드포인트는 공개적으로 노출되거나 잠재적인 공격자가 도달할 수 있는 엔드포인트가 없습니다. 모든 작업은 클라이언트와 WireGuard 서버 사이의 암호화된 WireGuard 터널 내에서 발생합니다.

추가 보안 계층으로, 저희의 양자 내성 터널은 Kyber에만 의존하지 않습니다. 두 가지 양자 보안 키 캡슐화 메커니즘(Kyber와 Classic McEliece)를 사용하며 두 알고리즘의 비밀을 혼합합니다. 즉, 두 알고리즘 모두에 악용 가능한 취약점이 있어야 VPN 터널의 보안이 영향을 받을 수 있습니다.

원본: https://mullvad.net/en/blog/mullvads-usage-of-kyber-is-not-affected-by-kyberslash