Більшість даних, які обробляються на наших Mac і пристроях, захищені шифруванням. Це зроблено для того, щоб забезпечити стійкість шифрування до злому як сучасними, так і майбутніми обчислювальними потужностями. Наприклад, для розшифрування даних, зашифрованих за допомогою 256-бітного AES, звичайному комп’ютеру знадобилися б тисячі років, тому раніше це вважалося повністю безпечним.
Загроза
Протягом останніх 50 років дослідники працювали над квантовими комп’ютерами, які можуть докорінно змінити ситуацію. Замість звичайних бітів зі значеннями 0 і 1, у квантових комп’ютерах використовуються кубіти, що вимірюються ймовірностями, а отже, є недетермінованими. Це змінює принципи їхньої роботи: деякі складні задачі у бінарному світі можуть виконуватись у рази швидше, і за наявності достатньо потужного квантового комп’ютера їх можна вирішити за дуже короткий час. Вже зараз це дозволяє значно скоротити час пошуку у великих масивах даних і потенційно може зламати більшість сучасних видів шифрування.
Хоча прогрес у створенні достатньо потужних квантових комп’ютерів, здатних розшифрувати дані, зашифровані класичними методами, був повільним, зараз ми наближаємось до етапу, коли це стане можливим у найближчі рік-два. Саме зараз настав час впроваджувати більш сучасні методи шифрування, щоб захистити наші дані від нових загроз.
Дані в процесі передачі
У лютому минулого року Apple оголосила про перехід iMessage на протоколи, стійкі до квантових атак, і вже наступного місяця ці протоколи з’явилися у macOS 14.4, iOS та iPadOS 17.4 і watchOS 10.4. Коли через кілька місяців вийдуть macOS 26 Tahoe та відповідні ОС, вони принесуть ще більше важливих кроків до повністю захищеного шифрування, зокрема у зашифрованих мережевих з’єднаннях із використанням квантово-захищених механізмів у TLS 1.3.
Класичне шифрування найбільш вразливе під час обміну ключами через Інтернет, і системи з відкритим ключем можуть бути повністю зламані квантовими методами. Тому перші зміни Apple спрямовані на захист даних у процесі передачі, які можуть бути перехоплені й збережені для подальшого дешифрування на квантовому комп’ютері. Захист iMessage — важливий початок, а нові функції Tahoe та споріднених ОС розширюють такий захист і на інші типи передачі даних.
Операційні системи Apple забезпечують підтримку шифрування та пов’язаних технологій через CryptoKit, роблячи квантово-захищені методи доступними й для сторонніх застосунків. У версії OS 26 CryptoKit отримує модульно-решітковий механізм інкапсуляції ключів (ML-KEM), що є частиною основного стандарту FIPS 203 для загального шифрування. Для підписів додається модульно-решітковий алгоритм цифрового підпису (ML-DSA), який входить до FIPS 204.
Дані на носіях
Якщо системи криптографії з відкритим ключем можуть бути повністю зламані квантовими атаками, то для симетричних схем, як-от FileVault чи шифрування APFS, ситуація значно краща. Хоча квантові комп’ютери зможуть швидше зламувати класичні методи, це все одно буде складно й не так швидко.
На Mac з процесорами Intel і чіпами T2, а також на Mac із Apple Silicon, ключі шифрування захищені Secure Enclave: вони ніколи не покидають цей модуль і не потрапляють у головний процесор. Спроби отримати доступ через Secure Enclave мають серйозні захисні механізми: наприклад, Secure Enclave Processor дозволяє лише 5 спроб введення пароля до збільшення інтервалу між спробами, а після 30 невдалих спроб пристрій повністю блокується й потребує повного скидання.
Спроба вилучити внутрішній накопичувач також не дає переваги зловмиснику. Хоча внутрішній диск називається SSD, його не можна просто витягти й встановити в інший комп’ютер — більшість функцій контролера диска виконується частинами основного чіпа, зокрема Secure Enclave. Навіть такі моделі, як Mac Studio із змінними накопичувачами, не спрощують задачу: якщо витягти спеціальний модуль SSD, він не працюватиме в іншому Studio без повного скидання, що знищує ключі та вміст.
Стратегія Apple щодо захисту зашифрованих внутрішніх накопичувачів спрямована на блокування доступу на всіх рівнях, щоб навіть у разі появи квантового злому через кілька років це мало мінімальний вплив. Стандартний метод шифрування — AES-256 у режимі XTS — можливо, доведеться переглянути, якщо квантові атаки стануть реальністю, і Apple вже рекомендує подвоїти розмір ключа, щоб забезпечити достатню стійкість до квантового злому.
