Apple 操作系统中的量子安全加密技术
概览
历史上,通信协议一直使用 RSA、椭圆曲线迪菲-赫尔曼密钥交换和椭圆曲线签名等经典公钥加密系统,在设备之间或设备与服务器之间建立安全连接。所有这些算法都依赖于一些数学问题,即便考虑到摩尔定律,它们的计算量一直以来仍过于庞大,使用计算机也难以求解。然而,量子计算的兴起可能会改变这一局面。一台性能足够强大的量子计算机能够以在根本上截然不同的方式求解这些经典数学问题,而且从理论上讲,其速度可快到足以威胁端对端加密通信的安全性。
尽管具备这种能力的量子计算机尚未问世,但资源极其丰富的攻击者已经可以通过利用现代数据存储成本的急剧下降来为其到来做好准备。其思路很简单:攻击者可以收集当下大量的加密数据,并将其全部归档以备将来使用。虽然攻击者目前无法解密这类数据,但其可以先行保留,直到未来获得能够用于解密的量子计算机,这种攻击过程称为“先窃取,后解密”。
为减轻未来量子计算机带来的风险,密码学界一直致力于研究后量子密码学 (PQC):这是一类为量子安全协议提供基石的全新公钥算法,其本身无需依赖量子计算机。这类协议可在现今使用的经典非量子计算机上运行,同时仍能抵御未来量子计算机构成的已知威胁。
Apple 采用的量子安全加密技术方法
在部署量子安全加密技术时,Apple 采用了混合加密技术,即将经典算法与新型后量子算法结合,从而确保相关更新不会降低系统原有的安全性。混合加密技术至关重要,因为该技术让 Apple 能够继续利用经过实践检验的经典算法实现,这类实现已由 Apple 强化,可抵御在算法执行期间利用 CPU 信号发起的密钥恢复攻击(例如侧信道攻击)。
Apple 已在广泛的协议中部署了量子安全加密技术,优先保护涉及敏感用户信息的应用程序,防止攻击者大规模窃取加密通信:
iMessage 信息:Apple 在 iOS 17.4、iPadOS 17.4、macOS 14.4 和 watchOS 10.4 中部署了 iMessage PQ3,此举大规模提升了量子安全信息收发的前沿水平。有关更多信息,请参阅 Apple Security Blog 中的 iMessage with PQ3: The new state of the art in quantum-secure messaging at scale。
TLS 和 HTTPS:Apple 在 iOS 26、iPadOS 26、macOS 26、Apple tvOS 26 和 watchOS 26 的开发者联网 API
URLSession和Network框架中支持为 TLS 使用量子安全加密,并默认对使用这些 API 的所有系统服务和 App 启用。这是一项尤为重要的协议,因为它保护了互联网浏览和电子邮件等大量个人数据在跨网络传输时不被攻击者窃取。有关更多信息,请参阅 TLS 安全性。VPN:Apple 在原生 VPN 客户端支持以及开发者 IKEv2 API 中增加了量子安全加密,这使得第三方 VPN 解决方案也能够轻松在 iOS 26、iPadOS 26、macOS 26、Apple tvOS 26 和 watchOS 26 中启用量子安全加密。有关更多信息,请参阅虚拟专用网络 (VPN) 安全性。
SSH:Apple 在 macOS 26 中将此协议(通常在 Mac 上用于远程登录和传输文件)升级为采用量子安全加密密钥交换。有关更多信息,请参阅《Mac 使用手册》中的允许远程电脑访问你的 Mac。
Apple Watch:Apple 在 iOS 26 和 watchOS 26 中通过使用 ML-KEM 添加额外的密钥交换实现了 iPhone 和 Apple Watch 之间的量子安全加密。有关更多信息,请参阅 watchOS 系统安全性。
开发者加密 API:为了让开发者利用 Apple 的原生实现方式并将其自有协议转换到后量子密码学,Apple 在 iOS 26、iPadOS 26、macOS 26、Apple tvOS 26 和 watchOS 26 的 CryptoKit 框架中增加了相关支持。为实现安全加密,ML-KEM 提供了两个参数:ML-KEM 768 和 ML-KEM 1024。若要实现量子安全认证,开发者可使用 ML-DSA-65 和 ML-DSA-87。尽管这类算法本身足够稳健,但开发者必须将其用于经过详尽分析的协议中,以确保正确使用和组合,从而满足应用程序的安全性需求。有关更多信息,请参阅 Apple 开发者网站上的 Apple CryptoKit。
【重要事项】系统仅在连接支持的服务器时支持量子加密。