Квантово-устойчивая криптография в операционных системах Apple
Обзор
Исторически в протоколах связи для установления защищенных соединений между устройствами или между устройством и сервером использовались классические методы криптографии с открытым ключом, такие как RSA, обмен ключами Диффи — Хеллмана на эллиптических кривых и подпись на основе эллиптических кривых. Все эти алгоритмы основаны на математических задачах, которые долгое время считались слишком ресурсоемкими для решения с помощью компьютеров, даже с учетом закона Мура. Однако развитие квантовых вычислений грозит изменить эту ситуацию. Достаточно мощный квантовый компьютер сможет решать эти классические математические задачи принципиально иными способами и теоретически способен делать это достаточно быстро, чтобы поставить под угрозу безопасность сквозного шифрования данных.
Хотя квантовых компьютеров с такими возможностями пока не существует, злоумышленники, обладающие значительными ресурсами, уже сейчас могут подготовиться к их появлению, используя резкое снижение стоимости современных систем хранения данных. Замысел злоумышленников прост: собрать большие объемы данных, зашифрованных сегодня, и сохранить их для использования в будущем. Хотя сегодня такие данные невозможно взломать, их можно сохранить до тех пор, пока появится квантовый компьютер, который будет способен расшифровать их в будущем. Этот сценарий атаки известен как «Собрать сейчас, расшифровать потом».
Чтобы компенсировать риски от будущих квантовых компьютеров, криптографическое сообщество работает над технологиями постквантовой криптографии (PQC) — новыми алгоритмами с открытым ключом, которые станут основой для квантово-устойчивых протоколов, не требующих квантового компьютера. Эти протоколы способны работать на классических неквантовых компьютерах, используемых сегодня, но останутся защищенными и от известных угроз, которые возникнут от квантовых компьютеров в будущем.
Подход Apple к квантово-устойчивой криптографии
Внедряя квантово-устойчивую криптографию, Apple применяет гибридные системы, объединяющие в себе классические алгоритмы и новые постквантовые алгоритмы. Поэтому обновления не могут сделать такие криптографические системы менее надежными. Гибридная криптография критически важна, поскольку она позволяет Apple продолжать пользоваться проверенными классическими алгоритмами, которые были усилены Apple против атак на восстановление ключей, задействующих сигналы ЦП во время исполнения алгоритмов, например атак по сторонним каналам.
Специалисты Apple внедрили квантово-устойчивую криптографию в широкий спектр протоколов, уделяя особое внимание приложениям, работающим с конфиденциальной информацией пользователей, где злоумышленники могут собирать большие объемы зашифрованных данных.
iMessage. Apple задействует протокол iMessage PQ3 в iOS 17.4, iPadOS 17.4, macOS 14.4 и watchOS 10.4 — передовые квантово-защищенные технологии применяются для обмена сообщениями на всех этих платформах. Подробная информация приведена в статье iMessage с PQ3: широкомасштабное применение квантово-защищенных технологий для обмена сообщениями в блоге Apple о безопасности.
TLS и HTTPS. Квантово-защищенное шифрование в рамках протокола TLS поддерживается в сетевых API Apple для разработчиков
URLSessionиNetworkв iOS 26, iPadOS 26, macOS 26, tvOS 26 и watchOS 26. Эти API по умолчанию включают такое шифрование во всех использующих их системных сервисах и приложениях. Протокол TLS особенно важен, так как он защищает большие объемы персональных данных, например при использовании сайтов и обмене электронной почтой. Злоумышленники могут собирать такие данные при их передаче по сетям. Подробнее см. в разделе Безопасность TLS.VPN. Поддержка квантово-защищенного шифрования добавлена в нативный VPN‑клиент Apple, а также в API для разработчиков IKEv2, что также позволяет включать квантово-защищенное шифрование в сторонних VPN‑решениях для iOS 26, iPadOS 26, macOS 26, tvOS 26 и watchOS 26. Подробнее см. в разделе Безопасность виртуальной частной сети (VPN).
SSH. Компания Apple обновила этот протокол (обычно используемый на Mac для удаленного входа и переноса файлов), добавив поддержку квантово-защищенного обмена ключами шифрования в macOS 26. Подробная информация приведена в разделе Предоставление доступа к компьютеру Mac с удаленного компьютера в Руководстве пользователя Mac.
Apple Watch. Квантово-защищенное шифрование используется при обмене данными между iPhone и Apple Watch в iOS 26 и watchOS 26: для этого внедрен дополнительный обмен ключами по алгоритму ML‑KEM. Подробнее см. в разделе Безопасность системы watchOS.
Криптографические API для разработчиков. Чтобы разработчики могли задействовать нативную реализацию Apple и перевести собственные протоколы на постквантовую криптографию, ее поддержка была добавлена в платформу Apple CryptoKit в iOS 26, iPadOS 26, macOS 26, tvOS 26 и watchOS 26. Для надежного шифрования в ML‑KEM предлагаются два параметра: ML‑KEM 768 и ML‑KEM 1024. Для квантово-защищенной аутентификации разработчики могут использовать алгоритмы ML‑DSA‑65 и ML‑DSA‑87. Хотя эти алгоритмы достаточно надежны сами по себе, разработчики должны использовать их в тщательно проанализированных протоколах, чтобы правильно применять и комбинировать их в соответствии с потребностями приложения. Подробнее см. на странице Apple CryptoKit сайта для разработчиков Apple.
Важно! Системы поддерживают квантовое шифрование только при подключении к поддерживающим его серверам.