Pripravite svoje omrežje za kvantno varno šifriranje v protokolu TLS

Preberite več o kvantno varnem šifriranju v protokolu TLS in o tem, kako lahko preverite, ali so spletni strežniki organizacije pripravljeni.

V sistemih iOS 26, iPadOS 26, macOS Tahoe 26 in visionOS 26 bodo povezave, zaščitene s protokolom TLS, samodejno oglaševale podporo za hibridno, kvantno varno izmenjavo ključev v protokolu TLS 1.3. To omogoča pogajanje o kvantno varnem algoritmu za izmenjavo ključev s strežniki TLS 1.3, ki ga podpirajo, hkrati pa ohranja združljivost s strežniki, ki še ne podpirajo tega novega algoritma. Uporaba kvantno varnega šifriranja, ki se imenuje tudi »post-kvantno šifriranje«, je zasnovana tako, da napadalcu prepreči beleženje prometa s povezavo TLS in pozneje uporabo prihodnjega kvantnega računalnika za dešifriranje vsebine.

Sporočilo ClientHello iz naprav s sistemom iOS 26, iPadOS 26, macOS Tahoe 26 in visionOS 26 vsebuje X25519MLKEM768 v razširitvi supported_groups (glejte register) in ustrezno izmenjavo ključev v razširitvi key_share. Strežniki lahko izberejo algoritem X25519MLKEM768, če ga podpirajo, ali uporabijo drugo skupino, ki je oglaševana v sporočilu ClientHello.

Preverite, ali spletni strežnik podpira kvantno varno šifriranje

Od sistema macOS Tahoe 26 lahko z uporabo naslednjega ukaza preverite, ali vaš strežnik HTTPS podpira algoritem za izmenjavo ključev X25519MLKEM768:

nscurl --tls-diagnostics https://test.example

Strežniki, ki podpirajo kvantno varno šifriranje, vrnejo naslednje sporočilo:

Dogovorjena različica protokola TLS (kodna točka): 0x0304

Dogovorjena skupina za izmenjavo ključev protokola TLS (ime): X25519MLKEM768

Dogovorjen nabor algoritmov TLS (kodna točka): 0x1302

Strežniki, ki ne podpirajo kvantno varnega šifriranja, bodo med rokovanjem s TLS izbrali druge podprte skupine, da bodo naprave s sistemom iOS 26, iPadOS 26, macOS Tahoe 26 in visionOS 26 lahko vzpostavile povezavo.

Odpravljanje težav s povezavo

Naprave s sistemom iOS 26, iPadOS 26, macOS Tahoe 26 in visionOS 26 morda ne bodo vzpostavile povezave z nekaterimi starejšimi strežniki zaradi nepravilne izvedbe protokola TLS, ki ne prebere velikih sporočil ClientHello. Več informacij o tej težavi s strežnikom je na voljo tukaj.

Če morate iOS 26, iPadOS 26, macOS Tahoe 26 in visionOS 26 povezati s strežnikom ali omrežno napravo, na katero vpliva ta težava, lahko pred odpravo težave začasno omogočite združljivostni način, da omogočite poskuse ponovne vzpostavitve povezave brez oglaševalske podpore za kvantno varno šifriranje. Upoštevajte, da je to začasen združljivostni način, ki ne bo na voljo v prihodnji različici sistemov iOS, iPadOS, macOS in visionOS.

Uporabite ta ukaz, da omogočite ta združljivostni način v sistemu macOS Tahoe 26:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Konfiguracijski profili, ki omogočajo ta združljivostni način v sistemih iOS 26, iPadOS 26, macOS Tahoe 26 in visionOS 26 s storitvijo za upravljanje naprav, so na voljo na strani z viri AppleSeed za IT.