OpenSSH Post-Quantum Cryptography 🔥 Горячее
OpenSSH с 9.0 (2022) включает постквантовые алгоритмы согласования ключей:
sntrup761x25519-sha512mlkem768x25519-sha256(по умолчанию с 10.0)
В 10.1 появится предупреждение при использовании «квантово-уязвимых» схем; отключить его можно опцией WarnWeakCrypto.
Почему это важно
Квантовый компьютер способен решать задачи, недоступные классическим, и сломать современные алгоритмы Диффи–Хеллмана и ЭЦП. Ожидаемый срок появления — середина 2030-х. Атака «собери сейчас — расшифруй потом» позволяет сохранять трафик и расшифровывать его позже.
Что делать, если вы видите предупреждение
- Обновите сервер до OpenSSH ≥ 9.0 (или другой реализации с поддержкой
mlkem768x25519-sha256/sntrup761x25519-sha512). - Проверьте, что
KexAlgorithmsне запрещает новые алгоритмы. - Если обновить нельзя, временно отключите предупреждение:
Match host unsafe.example.com WarnWeakCrypto no
Подписи
RSA/ECDSA тоже уязвимы, но «store-now-decrypt-later» для подписей невозможен; достаточно заменить ключи до появления квантовых компьютеров. Поддержка постквантовых подписей появится позже.
Надёжность новых алгоритмов
- Используются гибридные схемы: постквантовый + классический алгоритм.
- Выбраны с большим запасом прочности; даже при обнаружении слабостей останутся пригодными.
Комментарии (114)
- OpenSSH уже реализует гибридные KEX-алгоритмы (mlkem768×25519 и sntrup761×25519), которые сочетают пост-квантовую и классическую криптографию.
- Главная причина спешки — «store-now-decrypt-later»: трафик, перехваченный сегодня, могут расшифровать через 10–20 лет.
- Размеры ключей PQ-алгоритмов действительно больше, но для редкого обмена ключами это приемлемо; подписи пока не меняют.
- FIPS-совместимость возможна, если весь криптомодуль сертифицирован; гибридные KEM NIST одобряет.
- На macOS Secure Enclave пока не умеет PQ, но скоро может поддержать ML-KEM, что откроет путь для Secretive.