Preparar a sua rede para encriptação com proteção quântica no TLS

Saiba mais sobre a encriptação com proteção quântica no TLS e como verificar se os servidores web da sua organização estão prontos.

No iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26, as ligações protegidas por TLS anunciarão automaticamente o suporte para troca de chaves híbrida com proteção quântica no TLS 1.3. Isto permite a negociação de um algoritmo de troca de chaves com proteção quântica com os servidores TLS 1.3 que suportam esta funcionalidade, ao mesmo tempo que ajuda a manter a compatibilidade com servidores que ainda não suportam este novo algoritmo. A utilização de encriptação com proteção quântica, também chamada "encriptação pós-quântica", foi concebida para impedir que um atacante registe o tráfego da ligação TLS e, em seguida, utilize um computador quântico futuro para desencriptar o conteúdo.

A mensagem ClientHello dos dispositivos iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 incluirá X25519MLKEM768 na extensão supported_groups (consulte o registo), juntamente com uma partilha de chaves correspondente na extensão key_share. Os servidores podem selecionar X25519MLKEM768 se suportarem esta funcionalidade, ou utilizar outro grupo anunciado na mensagem ClientHello.

Verificar se um servidor web suporta encriptação com proteção quântica

A partir do macOS Tahoe 26, é possível verificar se um servidor HTTPS suporta o algoritmo de troca de chaves X25519MLKEM768 utilizando o seguinte comando:

nscurl --tls-diagnostics https://test.example

Os servidores que suportam encriptação com proteção quântica irão devolver o seguinte:

Negotiated TLS version (codepoint): 0x0304

Negotiated TLS key exchange group (name): X25519MLKEM768

Negotiated TLS ciphersuite (codepoint): 0x1302

Os servidores que não suportem encriptação com proteção quântica selecionarão outros grupos suportados durante o handshake de TLS, para permitir que os dispositivos iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 estabeleçam ligação.

Resolver problemas de ligação

Os dispositivos com o iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 podem não conseguir estabelecer ligação a alguns servidores antigos devido a uma implementação incorreta do TLS que não consegue ler mensagens ClientHello de grandes dimensões. Estão disponíveis mais informações sobre este problema dos servidores aqui.

Se necessitar de ligar um dispositivo iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 a um servidor ou dispositivo de rede afetado por este problema antes de proceder à resolução do mesmo, poderá ativar temporariamente um modo de compatibilidade para permitir que as ligações sejam tentadas sem anunciar o suporte para encriptação com proteção quântica. Note que este é um modo de compatibilidade temporário, que não estará disponível em versões futuras do iOS, iPadOS, macOS e visionOS.

Utilize o comando seguinte para ativar este modo de compatibilidade no macOS Tahoe 26:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Estão disponíveis perfis de configuração para ativar este modo de compatibilidade no iOS 26, iPadOS 26, macOS Tahoe 26 e visionOS 26 através de um serviço de gestão de dispositivos na página de recursos do programa AppleSeed destinado a profissionais de TI.