הכנת הרשת להצפנה קוונטית מאובטחת ב-TLS

קבלו מידע על הצפנה קוונטית מאובטחת ב-TLS ועל אופן הבדיקה אם שרתי האינטרנט של הארגון מוכנים.

מאמר זה מיועד למנהלי רשתות בארגונים ובמוסדות חינוך.

ב-iOS 26, ב-iPadOS 26, ב-macOS Tahoe 26 וב-visionOS 26, חיבורים המוגנים באמצעות TLS יפרסמו באופן אוטומטי תמיכה בהחלפת מפתחות היברידיים עם הצפנה קוונטית מאובטחת ב-TLS 1.3. זה מאפשר משא ומתן של אלגוריתם החלפת מפתחות עם הצפנה קוונטית מאובטחת עם שרתי TLS 1.3 שתומכים בו, תוך שמירה על תאימות לשרתים שעדיין לא תומכים באלגוריתם החדש הזה. שימוש בהצפנה קוונטית מאובטחת, המכונה גם "הצפנה פוסט-קוונטית", נועד למנוע מתוקף לתעד תעבורת חיבור TLS ואילך באמצעות מחשב קוונטי עתידי כדי לפענח את התוכן.

הודעת ClientHello ממכשירי iOS 26‏, iPadOS 26‏, macOS Tahoe 26‏ ו-visionOS 26 תכלול את X25519MLKEM768 בהרחבה supported_groups (ראו את המאגר), ביחד עם שיתוף מפתח מתאים בהרחבה key_share. שרתים יכולים לבחור ב-X25519MLKEM768 אם הם תומכים בו, או להשתמש בקבוצה אחרת שפורסמה בהודעת ClientHello.

בדקו אם שרת אינטרנט תומך בהצפנה קוונטית מאובטחת

החל מ-macOS Tahoe 26, תוכלו לבדוק אם שרת ה-HTTPS תומך באלגוריתם החלפת המפתחות X25519MLKEM768 באמצעות הפקודה הבאה:

nscurl --tls-diagnostics https://test.example

שרתים שתומכים בהצפנה קוונטית מאובטחת יחזירו את הפרטים הבאים:

Negotiated TLS version (codepoint): 0x0304

Negotiated TLS key exchange group (name): X25519MLKEM768

Negotiated TLS ciphersuite (codepoint): 0x1302

שרתים שאינם תומכים בהצפנה קוונטית מאובטחת יבחרו בקבוצות נתמכות אחרות במהלך לחיצת היד של TLS כדי לאפשר חיבור של מכשירי iOS 26‏, iPadOS 26‏, macOS Tahoe 26 ו-visionOS 26.

פתרון בעיות חיבור

ייתכן שמכשירים עם iOS 26‏, iPadOS 26‏, macOS Tahoe 26 ו-visionOS 26 יחוו כשל בהתחברות לשרתים מדור קודם מסוימים עקב הטמעת TLS שגויה שלא קוראת הודעות ClientHello גדולות. מידע נוסף על בעיית שרת זו זמין כאן.

אם עליכם לחבר את iOS 26‏, iPadOS 26‏, macOS Tahoe 26 ו-visionOS 26 לשרת או למכשיר רשת המושפעים מבעיה זו לפני הטיפול בה, תוכלו להפעיל באופן זמני מצב תאימות כדי לאפשר לחיבורים לנסות שוב ללא תמיכה בפרסום עבור הצפנה קוונטית מאובטחת. שימו לב שזהו מצב תאימות זמני שלא יהיה זמין בגרסה עתידית של iOS‏, iPadOS‏, macOS ו-visionOS.

השתמשו בפקודה הבאה כדי להפעיל מצב תאימות זה ב-macOS Tahoe 26:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

פרופילי תצורה להפעלת מצב תאימות זה ב-iOS 26, ב-iPadOS 26, ב-macOS Tahoe 26 וב-visionOS 26 באמצעות שירות ניהול מכשירים זמינים בעמוד המשאבים AppleSeed for IT.

פורסם בתאריך: