Get ahead with quantum-secure cryptography
System Services 进阶 1m

提前应对量子安全加密

Get ahead with quantum-secure cryptography

2025年6月9日

在 Apple 官方观看视频

一句话判断

量子计算还没来,但”先收集后解密”攻击已经在发生——iOS 26 默认开启量子安全 TLS,CryptoKit 新增后量子加密 API,你没借口再拖了。

这场 Session 讲了什么

核心信息很直接:量子计算机快要实用化了,现有的公钥加密体系(RSA、ECC)会被指数级加速破解。有两个层面的威胁:

  1. Harvest Now, Decrypt Later(先收集后解密):攻击者现在就在收集加密流量,等量子计算机到手后解密。这是现在就存在的威胁,影响所有网络传输的数据。
  2. 主动攻击:量子计算机破解签名算法,伪造身份认证。这是未来威胁,但需要提前准备。

Apple 的应对:

  • 对称加密:把 key size 翻倍(AES-128 -> AES-256),量子计算机只能带来常数级削弱。
  • 公钥加密:迁移到后量子混合方案(Post-quantum HPKE + ML-KEM),结合经典和后量子算法,两层都要破解才行。
  • TLS 1.3 量子安全加密:iOS 26 对 URLSession 和 Network.framework 默认启用。iMessage 已经在 iOS 17.4 迁移到 PQ3 协议。
  • CryptoKit 新 API:Post-quantum HPKE、X-Wing KEM、ML-KEM、ML-DSA,全部有 Secure Enclave 支持和形式化验证实现。

值得深挖的点

  1. “现在就存在的威胁”是重点。很多开发者觉得量子计算是”以后的事”,但 harvest now decrypt later 攻击说明你的加密流量现在就可以被截获存储。如果你处理敏感数据(健康、位置、金融),这是紧迫的安全问题。

  2. 混合加密是推荐方案。Apple 没有激进地只用后量子算法,而是用 hybrid construction(经典 + 后量子),只有两层都被破解才会失败。这是务实的安全策略。

  3. Swift Crypto 服务器端兼容。所有量子安全 API 都有对应的 Swift Crypto 实现,服务器端用 Swift 的可以无缝对接。不一定要用 Swift,任何标准兼容库都行。

  4. ML-KEM 比经典算法 encryption size overhead 更大,但性能相当甚至更好。这是迁移时需要考虑的带宽影响。

代码片段

用 Post-quantum HPKE 做端到端加密:

import CryptoKit

// 发送方和接收方定义后量子 HPKE 密码套件
let ciphersuite = HPKE.Ciphersuite.XWing

// 接收方生成密钥对
let recipientPrivateKey = XWing.KeyAgreement.PrivateKey()
let recipientPublicKey = recipientPrivateKey.publicKey

// 发送方加密
let sender = try HPKE.Sender(
    recipientPublicKey: recipientPublicKey,
    ciphersuite: ciphersuite
)
let ciphertext = try sender.seal(
    sensitiveUserData,    // 健康数据、位置、照片等
    authenticating: metadata
)

// 接收方解密
let recipient = try HPKE.Recipient(
    privateKey: recipientPrivateKey,
    ciphersuite: ciphersuite,
    encapsulatedKey: sender.encapsulatedKey
)
let plaintext = try recipient.open(ciphertext, authenticating: metadata)

最佳实践

  • 第一步:检查你的 TLS 配置。如果用的是 URLSession/Network.framework,iOS 26 已经默认启用量子安全 TLS。但服务器端也需要启用,大多数 CDN/云服务商已支持。
  • 迁离 Secure Transport,这个 legacy API 不会支持量子安全 TLS。
  • 自定义加密协议必须用 CryptoKit 的新 API。用 Post-quantum HPKE 替换经典 HPKE,改动很小——只需换 ciphersuite 和 key type。
  • Server 端用 Swift Crypto 做 API 兼容,或者任何支持标准后量子算法的库。
  • ML-DSA 支持 Secure Enclave,签名操作可以硬件隔离执行。

还有什么值得关注

  • iMessage PQ3 协议的详细设计在 Apple Security Blog 上,是后量子消息加密的工业级参考。
  • CryptoKit 的 ML-KEM 实现是形式化验证的(proven functionally equivalent to FIPS 203)。
  • Apple 系统服务(CloudKit、APNs、iCloud Private Relay)都在启用量子安全 TLS。
  • 如果你在做自研的端到端加密(比如自定义同步协议),这是必须立即行动的领域。
系统服务 隐私与安全