Apple 作業系統中的量子安全密碼技術
概覽
從歷史上來看,通訊協定一直使用傳統的公用密鑰加密編譯技術,例如 RSA、橢圓曲線 Diffie-Hellman 密鑰交換,以及橢圓曲線簽章,用來在裝置之間,或在裝置與伺服器之間建立安全連線。這些演算法全都建立在數學問題之上,而長期以來,即使考量到摩爾定律,電腦也被認為無法以可行的計算成本解決這些問題。然而,量子運算的興起正在改變這個前提。一台具備足夠運算能力的量子電腦,可能以根本不同的方式解決這些傳統數學問題,並且在理論上,速度快到足以威脅端對端加密通訊的安全性。
雖然目前尚未出現具備這種能力的量子電腦,但資源極為充足的攻擊者,已經能夠利用現代資料儲存成本大幅下降的趨勢,提前為它們的到來做準備。其概念其實很簡單:攻擊者可以蒐集大量當今仍處於加密狀態的資料,並將這些資料保存起來,以備未來使用。即使他們現在無法解密這些資料,也可以一直保留,直到取得能夠解密它們的量子電腦為止,這種攻擊情境被稱為「先竊取,後解密」。
為了降低未來量子電腦帶來的風險,密碼學界一直致力於發展後量子密碼技術(PQC),也就是新的公開金鑰演算法,作為量子安全通訊協定的基礎,這些通訊協定不需要量子電腦即可運作,而是能在目前使用的傳統、非量子電腦上執行,同時仍可抵禦未來量子電腦所帶來的已知威脅。
Apple 對量子安全密碼技術的作法
在部署量子安全密碼技術時,Apple 採用混合式密碼技術,將傳統演算法與新的後量子演算法結合,確保更新不會讓系統的安全性比原本更低。混合式密碼技術至關重要,因為它能讓 Apple 繼續利用經過實際驗證的傳統演算法實作,而這些實作已被 Apple 強化,以抵禦在演算法執行期間,利用 CPU 訊號進行的密鑰復原攻擊,例如側通道攻擊。
Apple 已在多種通訊協定中部署量子安全密碼技術,並優先應用於涉及敏感使用者資訊的情境,因為這些情境中,攻擊者可能大規模蒐集加密通訊內容:
iMessage:Apple 在 iOS 17.4、iPadOS 17.4、macOS 14.4 與 watchOS 10.4 中部署了 iMessage PQ3,將大規模量子安全即時通訊的技術水準推進到新的里程碑。如需更多資訊,請參閱 Apple Security 部落格文章 iMessagePQ3:大規模量子安全通訊的新技術標準。
TLS 與 HTTPS:Apple 在 iOS 26、iPadOS 26、macOS 26、tvOS 26 與 watchOS 26 中,於
URLSession與Network架構這兩個開發者網路 API 內支援 TLS 的量子安全加密。這些 API 會為所有使用它們的系統服務與 App 預設啟用量子安全加密。這是一項特別重要的通訊協定,因為它保護了大量個人資料,例如網路瀏覽內容與電子郵件,而這些資料在經過網路傳輸時,可能成為攻擊者蒐集的目標。如需更多資訊,請參閱:TLS 安全性。VPN:Apple 在原生 VPN 用戶端支援以及開發者可用的 IKEv2 API 中加入了量子安全加密,這也讓第三方 VPN 解決方案能夠在 iOS 26、iPadOS 26、macOS 26、tvOS 26 與 watchOS 26 上,輕鬆啟用量子安全加密。如需更多資訊,請參閱:虛擬專用網路(VPN)安全性。
SSH:Apple 在 macOS 26 中採用量子安全加密的密鑰交換機制,升級了此通訊協定(通常用於在 Mac 上進行遠端登入與檔案傳輸)。如需更多資訊,請參閱「Mac 使用手冊」中的允許遠端電腦取用你的 Mac。
Apple Watch:Apple 在 iOS 26 與 watchOS 26 中,透過加入以 ML-KEM 為基礎的額外密鑰交換機制,啟用了 iPhone 與 Apple Watch 之間的量子安全加密。如需更多資訊,請參閱:watchOS 的系統安全性。
開發者加密編譯 API:為了讓開發者能運用 Apple 的原生實作,並將自有通訊協定轉換為後量子密碼技術,Apple 在 iOS 26、iPadOS 26、macOS 26、tvOS 26 與 watchOS 26 中,於 Apple CryptoKit 架構內加入了相關支援。在安全加密方面,ML-KEM 提供兩種參數選項:ML-KEM 768 與 ML-KEM 1024。在量子安全驗證方面,開發者可以使用 ML-DSA-65 與 ML-DSA-87。儘管這些演算法本身具有高度的安全性,開發者仍必須在經過充分分析的通訊協定中使用它們,確保能正確運用並組合這些演算法,以滿足應用程式的安全需求。如需更多資訊,請參閱 Apple 開發者網站上的 Apple CryptoKit。
【重要事項】系統只有在連線到支援的伺服器時,才會支援量子加密。