Apple因应未来量子电脑对当前加密协定带来的风险,将全面虽然当前市面上的通讯软体,不少使用RSA、椭圆曲线和Diffie-Hellman金钥交换等经典的公钥加密技术,在装置间建立端对端加密连线,而这些演算法也都被证明为困难的数学问题,要解开这些数学问题所需要的运算量,超越古典电脑的能力范围。不过这个情况将在量子电脑时代改变,一台足够强大的量子电脑,其理论运算速度足以威胁当前加密通讯的安全性。
虽然目前拥有这种能力的量子电脑还没被开发出来,但是资源丰富的攻击者,可以先大量收集加密资料和档案,待未来强大的量子电脑出现,就能进行破解读取加密的内容。
为了降低未来量子电脑带来的风险,密码学界一直在研究不需要量子电脑,就能够执行的后量子加密演算法,也就是可以在当前古典电脑上运作,同时也能够免受未来已知量子电脑威胁的协定。在去年9月的时候,Signal率先宣布加入对PQXDH协定,成为第一个拥有后量子安全性的大型通讯应用。
Apple持续强化iMessage的安全性,从2011年开始预设提供端到端加密,在2019年Apple将iMessage原本所使用的RSA加密协定,升级到更安全的椭圆曲线加密方法,并透过安全区(Secure Enclave)保护装置上的加密金钥,而现在Apple也要在iMessage加入后量子安全性,使其成为加密安全性等级三的通讯应用程式。
Apple指出,Signal支援PQXDH协定为安全性等级二的通讯软体。等级二代表在提供端到端加密之外,应用程式还添加后量子安全性,但是其后量子加密技术仅用于初始金钥建立的过程,而这代表在建立通讯连接时使用的金钥,的确足以抵抗量子运算攻击,但是一旦连接建立,后续的通讯不一定受同等级的保护,因此当对话的金钥材料泄漏或是没有更换,攻击者便可能利用泄漏的金钥解密过去或是未来的通讯内容。
Apple强调,他们并非只是以新演算法取代现有演算法,而是重建了iMessage的加密协定。iMessage在采用PQ3协定之后,将成为加密安全性等级三的通讯软体,该等级要求通讯软体不仅在初始金钥建立需要使用后量子加密,在之后的讯息交换过程也必须受后量子加密保护,确保即便金钥泄露,也不会影响整个对话的安全性。
此外,等级三的后量子金钥需要定期更新,防止泄漏的金钥被大量用来解密大量通讯内容,而这样的设计能够对抗目前最先进的攻击者,即便在未来量子电脑时代,也能确保通讯的安全性。在通讯过程,装置会定期产生新的加密金钥,新金钥无法从过去的加密金钥计算出来,此设计能够有效防止泄漏的金钥,被攻击者用于解密过去或是未来的讯息。
PQ3采用混合式设计结合后量子演算法和当前使用的椭圆曲线演算法,这种设计提供双重保障,即便后量子演算法存在漏洞或是被破解,仍有椭圆曲线演算法提供保护,确保PQ3提供的安全性不低于现有的椭圆曲线演算法。而且PQ3能够平衡讯息大小,避免因为增加安全性而额外产生过多的运算开销,并使用形式验证(Formal Verification)方法,保证新协定的安全与强健。
在PQ3协定中,每台装置都会在本地生成一组公钥,并将这些公钥传送到Apple伺服器进行iMessage注册。在初始金钥建立阶段,发送方装置会获取接收方装置的公钥,并且对第一则讯息生成后量子加密金钥。PQ3采用名为Kyber的后量子公钥演算法,该演算法经过全球密码学社群的严谨检查,并