Võrgu ettevalmistamine kvantturvaliseks krüptimiseks TLS‑is

Tutvuge lisateabega kvantturvalise krüptimise kohta TLS‑is ja saage teada, kuidas kontrollida, kas teie asutuse veebiserverid on valmis.

TLS-turvatud ühendused annavad operatsioonisüsteemides iOS 26, iPadOS 26, macOS Tahoe 26 ja visionOS 26 automaatselt teada hübriidse kvantturvalise võtmekehtestuse toest protokollis TLS 1.3. See võimaldab luua seda toetavate TLS 1.3 serveritega kvantturvalise võtmekehtestuse algoritmi kooskõlastust, aidates samal ajal säilitada ühilduvust serveritega, mis seda uut algoritmi veel ei toeta. Kvantturvalise krüptimise (tuntud ka kui postkvant-krüptimine) kasutamine on välja töötatud, takistamaks ründajat TLS-ühenduse liiklust salvestamast ja hiljem sisu tulevase kvantarvutiga dekrüptimast.

ClientHello, mis on saadetud operatsioonisüsteemiga iOS 26, iPadOS 26, macOS Tahoe 26 või visionOS 26 seadmest, sisaldub X25519MLKEM768 laiendis supported_groups (vt registrit) koos vastava võtme osakuga laiendis key_share. Serveritel on võimalik valida X25519MLKEM768, kui nad seda toetavad, või kasutada mõnda muud rühma, millest ClientHello on teada antud.

Kontrollimine, kas veebiserver toetab kvantturvalist krüptimist

Alates operatsioonisüsteemist macOS Tahoe 26 on teil võimalik kontrollida, kas teie HTTPS-server toetab võtmekehtestuse algoritmi X25519MLKEM768, kasutades järgmist käsku:

nscurl --tls-diagnostics https://test.example

Kvantturvalist krüptimist toetavad serverid annavad vastuseks alljärgneva

Kooskõlastatud TLS-i versioon (koodipunkt): 0x0304

Kooskõlastatud TLS‑i võtmekehtestuse rühm (nimi): X25519MLKEM768

Kooskõlastatud TLS‑i šifrikomplekt (koodipunkt): 0x1302

Serverid, mis kvantturvalist krüptimist ei toeta, valivad TLS‑i kätluse ajal muud toetatud rühmad, võimaldamaks operatsioonisüsteemiga iOS 26, iPadOS 26, macOS Tahoe 26 ja visionOS 26 seadmetel ühenduda.

Ühendusprobleemide tõrkeotsingu tegemine

Seadmed, milles töötab operatsioonisüsteem iOS 26, iPadOS 26, macOS Tahoe 26 või visionOS 26, ei pruugi väära TLS-teostuse, mis ei suuda suuri ClientHello lugeda, tõttu mõne pärandserveriga ühendust luua. Rohkem teavet selle serveriprobleemi kohta on leitav siit.

Kui peate ühendama operatsioonisüsteemi iOS 26, iPadOS 26, macOS Tahoe 26 või visionOS 26 sellest probleemist mõjutatud serveri või võrguseadmega enne probleemi lahendamist, saate ajutiselt lubada ühilduvusrežiimi, võimaldamaks ühenduste uuesti proovimist kvantturvalise võtmekehtestuse toest teada andmata. Pange tähele, et see on ajutine ühilduvusrežiim, mis pole saadaval operatsioonisüsteemide iOS, iPadOS, macOS ja visionOS tulevastes versioonides.

Selle ühilduvusrežiimi lubamiseks operatsioonisüsteemis macOS Tahoe 26 kasutage järgmist käsku:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Konfiguratsiooniprofiilid selle ühilduvusrežiimi lubamiseks operatsioonisüsteemides iOS 26, iPadOS 26, macOS Tahoe 26 ja visionOS 26 seadmehaldusteenust kasutades on saadaval programmi AppleSeed for IT ressursside lehel.