Apple 作業系統中的量子保安加密技術
概覽
歷來通訊協定均使用傳統的公用密鑰加密技術(例如 RSA、橢圓曲線 Diffie-Hellman 密鑰交換和橢圓曲線簽署),在裝置之間或裝置和伺服器之間建立安全連線。所有這些演算法均基於數學問題,長期以來,即使考慮到摩爾定律,電腦仍認為這些問題的運算強度過高,難以解決。然而,量子運算的興起可能會改變這個局面。足夠強大的量子電腦可以用截然不同的方式解決這些傳統數學問題,而且理論上其運算速度快到足以威脅點對點加密通訊的保安。
雖然具備此能力的量子電腦尚未出現,但資源極其豐富的攻擊者已可利用現代資料儲存成本大幅下降的優勢,為其出現做好準備。前提很簡單:攻擊者可以收集大量現今的加密資料,並將其全部存檔以供日後參考。即使他們目前無法解密這些資料,但仍可將其保留,直到未來獲得能夠解密的量子電腦為止;這種攻擊情境稱為「先竊取,後解密」。
為了減輕未來量子電腦帶來的風險,加密編譯社群一直在研究後量子加密技術(PQC):這種新的公用密鑰演算法為量子保安通訊協定提供了不需要量子電腦即可執行的基礎構成要素:可以在現有的傳統非量子電腦上運作的通訊協定,但這些通訊協定仍可抵禦由未來量子電腦所構成的已知威脅。
Apple 對量子保安加密技術的處理方法
部署量子保安加密技術時,Apple 採用了混合加密技術,將傳統演算法與新的後量子演算法結合,讓系統的保安在更新後不會低於原有水平。混合加密技術非常關鍵,因為它讓 Apple 能繼續利用經過實地測試的傳統演算法實作,而 Apple 已針對在演算法執行期間利用 CPU 訊號進行的密鑰還原攻擊(例如從旁攻擊)加強了這些實作的防禦。
Apple 已在多種通訊協定中部署量子保安加密技術,並優先處理攻擊者可大規模收集加密通訊內容,涉及敏感用户資料的應用程式:
iMessage:Apple 在 iOS 17.4、iPadOS 17.4、macOS 14.4 和 watchOS 10.4 中部署了 iMessage PQ3,這提升了大規模量子保安訊息傳送的最先進技術水平。如需更多資料,請參閲 Apple 保安網誌中的使用 PQ3 的 iMessage:大規模量子保安訊息傳送領域中最新的最先進技術。
TLS 和 HTTPS:Apple 在 iOS 26、iPadOS 26、macOS 26、tvOS 26 和 watchOS 26 的開發者網絡 API
URLSession和Network架構中,支援 TLS 的量子保安加密。系統預設會為所有使用這些 API 的系統服務和 App 啟用此功能。這是一項特別重要的通訊協定,因為它可保護大量個人資料(例如互聯網瀏覽記錄和電郵),在網絡傳輸過程中免遭攻擊者竊取資料。如需更多資料,請前往:TLS 保安。VPN:Apple 在原生 VPN 用户端支援以及開發者 IKEv2 API 中增加了量子保安加密,這也可以讓第三方 VPN 解決方案能輕容易配合 iOS 26、iPadOS 26、macOS 26、tvOS 26 和 watchOS 26 啟用量子保安加密。如需更多資料,請前往:虛擬專用網絡(VPN)保安。
SSH:Apple 在 macOS 26 中透過量子保安加密密鑰交換,升級了此通訊協定(在 Mac 上常用於遙距登入和傳送檔案)。如需更多資料,請參閲「Mac 使用手冊」中的允許遙距電腦取用 Mac。
Apple Watch:Apple 透過加入使用 ML-KEM 的額外密鑰交換,在 iOS 26 和 watchOS 26 中啟用了在 iPhone 和 Apple Watch 之間的量子保安加密。如需更多資料,請前往:watchOS 的系統保安。
開發者加密編譯 API:為了讓開發者能利用 Apple 的原生實作,並將其自己的通訊協定轉移至後量子加密技術,Apple 已在 iOS 26、iPadOS 26、macOS 26、tvOS 26 和 watchOS 26 的 Apple CryptoKit 架構中增加支援。針對安全加密,ML-KEM 提供兩個參數:ML-KEM 768 和 ML-KEM 1024。針對量子保安認證,開發者可以使用 ML-DSA-65 和 ML-DSA-87。雖然這些演算法在獨立運作時非常強大,但開發者必須在經過充份分析的通訊協定中使用它們,以確保正確使用和結合這些演算法,從而滿足應用程式的保安需求。如需更多資料,請參閲 Apple 開發者網站中的 Apple CryptoKit。
重要事項:系統只會在連接到支援的伺服器時才會支援該量子加密。