OpenSSH Post-Quantum Cryptography

OpenSSH с 9.0 (2022) включает постквантовые алгоритмы согласования ключей:

sntrup761x25519-sha512
mlkem768x25519-sha256 (по умолчанию с 10.0)

В 10.1 появится предупреждение при использовании «квантово-уязвимых» схем; отключить его можно опцией WarnWeakCrypto.

Почему это важно

Квантовый компьютер способен решать задачи, недоступные классическим, и сломать современные алгоритмы Диффи–Хеллмана и ЭЦП. Ожидаемый срок появления — середина 2030-х. Атака «собери сейчас — расшифруй потом» позволяет сохранять трафик и расшифровывать его позже.

Что делать, если вы видите предупреждение

Обновите сервер до OpenSSH ≥ 9.0 (или другой реализации с поддержкой mlkem768x25519-sha256/sntrup761x25519-sha512).
Проверьте, что KexAlgorithms не запрещает новые алгоритмы.
Если обновить нельзя, временно отключите предупреждение:
```
Match host unsafe.example.com
    WarnWeakCrypto no
```

Подписи

RSA/ECDSA тоже уязвимы, но «store-now-decrypt-later» для подписей невозможен; достаточно заменить ключи до появления квантовых компьютеров. Поддержка постквантовых подписей появится позже.

Надёжность новых алгоритмов

Используются гибридные схемы: постквантовый + классический алгоритм.
Выбраны с большим запасом прочности; даже при обнаружении слабостей останутся пригодными.

Комментарии (114)

OpenSSH уже реализует гибридные KEX-алгоритмы (mlkem768×25519 и sntrup761×25519), которые сочетают пост-квантовую и классическую криптографию.
Главная причина спешки — «store-now-decrypt-later»: трафик, перехваченный сегодня, могут расшифровать через 10–20 лет.
Размеры ключей PQ-алгоритмов действительно больше, но для редкого обмена ключами это приемлемо; подписи пока не меняют.
FIPS-совместимость возможна, если весь криптомодуль сертифицирован; гибридные KEM NIST одобряет.
На macOS Secure Enclave пока не умеет PQ, но скоро может поддержать ML-KEM, что откроет путь для Secretive.