Prepare sua rede para criptografia resistente a ataques quânticos em TLS
Saiba mais sobre criptografia resistente a ataques quânticos em TLS e como verificar se os servidores da web da sua organização estão prontos.
Este artigo é destinado a administradores de redes corporativas e educacionais.
No iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26, as conexões protegidas por TLS anunciarão automaticamente suporte para troca de chaves híbridas resistente a ataques quânticos em TLS 1.3. Isso permite a negociação de um algoritmo de troca de chaves resistente a ataques quânticos com servidores TLS 1.3 que o aceitam, enquanto ajuda a manter a compatibilidade com servidores que ainda não são compatíveis com esse novo algoritmo. O uso de criptografia resistente a ataques quânticos, também chamada de “criptografia pós-quântica”, é projetado para impedir que um invasor grave o tráfego de conexão TLS e, posteriormente, use um futuro computador quântico para descriptografar o conteúdo.
A mensagem ClientHello dos dispositivos iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 incluirá X25519MLKEM768 na extensão supported_groups (consulte o registro), juntamente com um compartilhamento de chave correspondente na extensão key_share. Os servidores podem selecionar X25519MLKEM768 caso sejam compatíveis, ou usar outro grupo anunciado na mensagem ClientHello.
Verifique se um servidor da web é compatível com criptografia resistente a ataques quânticos
A partir do macOS Tahoe 26, você pode verificar se o seu servidor HTTPS é compatível com o algoritmo de troca de chaves X25519MLKEM768 usando o seguinte comando:
nscurl --tls-diagnostics https://test.example
O servidores compatíveis com criptografia com resistencia a ataques quânticos retornarão o seguinte:
Versão TLS negociada (ponto de código): 0x0304
Grupo de troca de chaves TLS negociado (nome): X25519MLKEM768
Conjunto de criptografia TLS negociado (ponto de código): 0x1302
Os servidores que não aceitam criptografia resistente a ataques quânticos selecionarão outros grupos compatíveis durante o aperto de mão TLS para permitir que os dispositivos iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 se conectem.
Solução de problemas de conexão
Dispositivos com iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 podem não conseguir se conectar a alguns servidores legados devido a uma implementação TLS incorreta que não consegue ler grandes mensagens ClientHello. Mais informações sobre este problema do servidor estão disponíveis aqui.
Se precisar conectar o iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 a um servidor ou dispositivo de rede afetado por esse problema antes de resolvê-lo, você pode ativar temporariamente um modo de compatibilidade para permitir que as conexões tentem novamente sem anunciar suporte para criptografia resistente a ataques quânticos. Observe que este é um modo de compatibilidade temporária que não estará disponível em uma versão futura do iOS, iPadOS, macOS e visionOS.
Use o seguinte comando para ativar este modo de compatibilidade no macOS Tahoe 26:
defaults write com.apple.network.tls AllowPQTLSFallback -bool true
Perfis de configuração para ativar esse modo de compatibilidade no iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 usando um serviço de gerenciamento de dispositivos estão disponíveis na página de recursos do AppleSeed for IT.