Bereite dein Netzwerk auf die quantensichere Verschlüsselung in TLS vor

Erfahre mehr über die quantensichere Verschlüsselung in TLS und wie du überprüfen kannst, ob die Webserver deines Unternehmens bereit sind.

In iOS 26, iPadOS 26, macOS Tahoe 26 und visionOS 26 werden TLS-geschützte Verbindungen in TLS 1.3 automatisch für den hybriden, quantensicheren Schlüsselaustausch unterstützt. Dies ermöglicht die Aushandlung eines quantensicheren Schlüsselaustauschalgorithmus mit TLS 1.3-Servern, die ihn unterstützen, und gleichzeitig die Kompatibilität mit Servern aufrechtzuerhalten, die diesen neuen Algorithmus noch nicht unterstützen. Die Verwendung von quantensicherer Verschlüsselung, auch „Post-Quantenverschlüsselung“ genannt, soll verhindern, dass ein Angreifer den TLS-Verbindungsverkehr aufzeichnet und später einen zukünftigen Quantencomputer verwendet, um den Inhalt zu entschlüsseln.

Die ClientHello-Nachricht von iOS 26, iPadOS 26, macOS Tahoe 26 und visionOS 26-Geräten enthält X25519MLKEM768 in der supported_groups-Erweiterung (siehe das Register) sowie eine entsprechende Schlüsselfreigabe in der key_share-Erweiterung. Server können X25519MLKEM768 auswählen, wenn sie es unterstützen, oder eine andere Gruppe verwenden, die in der Nachricht ClientHello beworben wird.

Überprüfe, ob ein Webserver quantensichere Verschlüsselung unterstützt

Ab macOS Tahoe 26 kannst du überprüfen, ob dein HTTPS-Server den Schlüsselaustauschalgorithmus X25519MLKEM768 unterstützt, indem du den folgenden Befehl verwendest:

nscurl --tls-diagnostics https://test.example

Server, die eine quantensichere Verschlüsselung unterstützen, geben Folgendes zurück:

Vereinbarte TLS-Version (Codepunkt): 0x0304

Vereinbarte TLS-Schlüsselaustauschgruppe (Name): X25519MLKEM768

Vereinbarte TLS-Chiffrensuite (Codepunkt): 0x1302

Server, die keine quantensichere Verschlüsselung unterstützen, wählen während des TLS-Handshakes andere unterstützte Gruppen aus, um die Verbindung von iOS 26, iPadOS 26, macOS Tahoe 26 und visionOS 26-Geräten zu ermöglichen.

Fehlerbehebung bei Verbindungsproblemen

Geräte mit iOS 26, iPadOS 26, macOS Tahoe 26 und visionOS 26 können aufgrund einer falschen TLS-Implementierung, die große ClientHello-Nachrichten nicht lesen kann, keine Verbindung zu einigen älteren Servern herstellen. Weitere Informationen zu diesem Serverproblem sind hier verfügbar.

Wenn du iOS 26, iPadOS 26, macOS Tahoe 26 und visionOS 26 mit einem Server oder einem Netzwerkgerät verbinden möchtest, die von diesem Problem betroffen sind, kannst du, bevor du es behebst, vorübergehend einen Kompatibilitätsmodus aktivieren, um Verbindungen erneut zu versuchen, ohne die Unterstützung für die quantensichere Verschlüsselung zu bewerben. Beachte, dass dies ein temporärer Kompatibilitätsmodus ist, der in zukünftigen Versionen von iOS, iPadOS, macOS und visionOS nicht verfügbar sein wird.

Verwende den folgenden Befehl, um diesen Kompatibilitätsmodus unter macOS Tahoe 26 zu aktivieren:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Konfigurationsprofile zur Aktivierung dieses Kompatibilitätsmodus auf iOS 26, iPadOS 26, macOS Tahoe 26 und visionOS 26 mit einem Geräteverwaltungsdienst sind auf der Ressourcen-Seite AppleSeed for IT verfügbar.