Pregătirea rețelei pentru criptarea cu securitate cuantică în TLS
Află mai multe despre criptarea cu securitate cuantică în TLS și despre cum poți verifica dacă serverele web ale organizației tale sunt pregătite.
Acest articol este destinat administratorilor rețelelor companiilor și ale instituțiilor de învățământ.
În iOS 26, iPadOS 26, macOS Tahoe 26 și visionOS 26, conexiunile protejate prin TLS vor anunța automat compatibilitatea cu schimbul de chei hibrid, cu securitate cuantică, în TLS 1.3. Acest lucru permite negocierea unui algoritm de schimb de chei cu securitate cuantică cu serverele TLS 1.3 care îl acceptă, contribuind în același timp la menținerea compatibilității cu serverele care nu acceptă încă acest algoritm nou. Utilizarea criptării cu securitate cuantică, denumită și „criptare post-cuantică”, este concepută pentru a împiedica un atacator să înregistreze traficul conexiunii TLS și să utilizeze ulterior un viitor computer cuantic pentru a decripta conținutul.
Mesajul ClientHello din iOS 26, iPadOS 26, macOS Tahoe 26 și visionOS 26 va include X25519MLKEM768 în extensia supported_groups (vezi registrul), împreună cu o cheie partajată corespunzătoare în extensia key_share. Serverele pot selecta X25519MLKEM768 dacă îl acceptă sau pot utiliza un alt grup anunțat în mesajul ClientHello.
Verifică dacă un server web acceptă criptarea cu securitate cuantică
Începând cu macOS Tahoe 26, poți verifica dacă serverul tău HTTPS acceptă algoritmul de schimb de chei X25519MLKEM768 folosind următoarea comandă:
nscurl --tls-diagnostics https://test.example
Serverele care acceptă criptarea cu securitate cuantică vor returna următoarele:
Negotiated TLS version (codepoint): 0x0304
Negotiated TLS key exchange group (name): X25519MLKEM768
Negotiated TLS ciphersuite (codepoint): 0x1302
Serverele care nu acceptă criptarea cu securitate cuantică vor selecta alte grupuri acceptate în timpul dialogului handshake TLS pentru a permite dispozitivelor iOS 26, iPadOS 26, macOS Tahoe 26 și visionOS 26 să se conecteze.
Depanarea problemelor legate de conectare
Este posibil ca dispozitivele cu iOS 26, iPadOS 26, macOS Tahoe 26 și visionOS 26 să nu reușească să se conecteze la unele servere vechi din cauza unei implementări TLS incorecte care nu poate citi mesajele ClientHello mari. Mai multe informații despre această problemă legată de server sunt disponibile aici.
Dacă trebuie să conectezi iOS 26, iPadOS 26, macOS Tahoe 26 și visionOS 26 la un server sau aparat de rețea afectat de această problemă înainte de a o rezolva, poți activa temporar un mod de compatibilitate pentru a permite reluarea conexiunilor fără a anunța compatibilitatea cu criptarea cu securitate cuantică. Reține că acesta este un mod de compatibilitate temporar care nu va fi disponibil într-o versiune viitoare de iOS, iPadOS, macOS și visionOS.
Folosește comanda următoare pentru a activa acest mod de compatibilitate pe macOS Tahoe 26:
defaults write com.apple.network.tls AllowPQTLSFallback -bool true
Profilurile de configurare pentru activarea acestui mod de compatibilitate pe iOS 26, iPadOS 26, macOS Tahoe 26 și visionOS 26 folosind un serviciu de gestionare a dispozitivelor sunt disponibile pe pagina de resurse AppleSeed pentru IT.