Sagatavojiet tīklu kvantizturīgai šifrēšanai TLS protokolā

Uzziniet par kvantizturīgo šifrēšanu TLS protokolā un kā pārbaudīt, vai organizācijas tīmekļa serveri ir sagatavoti šifrēšanai.

Operētājsistēmās iOS 26, iPadOS 26, macOS Tahoe 26 un visionOS 26 TLS aizsargāti savienojumi automātiski informēs par atbalstu hibrīdai, kvantizturīgai atslēgu apmaiņai TLS 1.3 protokolā. Tas ļauj vienoties par kvantizturīgu atslēgu apmaiņas algoritmu ar TLS 1.3 serveriem, kas to atbalsta, kā arī palīdz saglabāt saderību ar serveriem, kas vēl neatbalsta šo jauno algoritmu. Kvantizturīgā šifrēšana (pēckvantu šifrēšana) ir izstrādāta, lai novērstu uzbrucējam iespēju ierakstīt TLS savienojuma datplūsmu un nākotnē izmantot kvantu datoru satura atšifrēšanai.

ClientHello ziņojums operētājsistēmu iOS 26, iPadOS 26, macOS Tahoe 26 un visionOS 26 ierīcēs iekļaus X25519MLKEM768 supported_groups paplašinājumā (skatiet the registry), kā arī atbilstošu atslēgas daļu key_share paplašinājumā. Serveri var atlasīt X25519MLKEM768, ja to atbalsta, vai izmantot citu grupu, kas norādīta ClientHello ziņojumā.

Pārbaudiet, vai tīmekļa serveris atbalsta kvantizturīgu šifrēšanu

Sākot no operētājsistēmas macOS Tahoe 26, varat pārbaudīt, vai HTTPS serveris atbalsta X25519MLKEM768 atslēgu apmaiņas algoritmu, izmantojot šādu komandu:

nscurl --tls-diagnostics https://test.example

Serveri, kas atbalsta kvantizturīgu šifrēšanu, parādīs kādu no ziņojumiem:

Negotiated TLS version (codepoint): 0x0304

Negotiated TLS key exchange group (name): X25519MLKEM768

Negotiated TLS ciphersuite (codepoint): 0x1302

Serveri, kas neatbalsta kvantizturīgu šifrēšanu, TLS izaicinājumrokasspiediena laikā atlasīs citas atbalstītās grupas, lai varētu izveidot savienojumu ar operētājsistēmu iOS 26, iPadOS 26, macOS Tahoe 26 un visionOS 26 ierīcēm.

Savienojuma izveides traucējummeklēšana

Operētājsistēmu iOS 26, iPadOS 26, macOS Tahoe 26 un visionOS 26 ierīcēm var neizdoties savienojuma izveidošana ar dažiem mantotajiem serveriem nepareizas TLS ieviešanas dēļ, nespējot nolasīt liela izmēra ClientHello ziņojumus. Papildinformācija par šo servera problēmu ir pieejama šeit.

Ja pirms šīs problēmas atrisināšanas operētājsistēmu iOS 26, iPadOS 26, macOS Tahoe 26 un visionOS 26 ierīcēm ir nepieciešams izveidot savienojumu ar problēmas ietekmēto serveri vai tīkla aprīkojumu, varat īslaicīgi iespējot saderības režīmu, lai atļautu atkārtoti mēģināt savienojuma izveidošanu, neinformējot par kvantizturīgas šifrēšanas atbalstu. Ņemiet vērā, ka šis ir pagaidu saderības režīms, kas nebūs pieejams turpmākajās operētājsistēmu iOS, iPadOS, macOS un visionOS versijās.

Lai iespējotu šo saderības režīmu operētājsistēmā macOS Tahoe 26, izmantojiet šo komandu:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Konfigurācijas profili šī saderības režīma iespējošanai operētājsistēmās iOS 26, iPadOS 26, macOS Tahoe 26 un visionOS 26, izmantojot ierīču pārvaldības pakalpojumu, ir pieejami programmas AppleSeed for IT resursu lapā.