GitHub 为 SSH 访问引入了一种混合后量子安全密钥交换算法,,这标志着开发者平台为抵御未来密码威胁迈出了第一步。
根据公司工程博客的说法,sntrup761x25519-sha512 算法于 2025 年 9 月 17 日在 GitHub.com 和美国以外的大多数企业云区域启用。
这一推广是分阶段进行的,一些用户报告说,在区域更新结束时,他们的 SSH 连接仍在协商遗留算法。美国区域仍受 FIPS 合规要求的约束,预计将稍后跟进。
对于开发者来说,这一变化只适用于 SSH 远程操作,不影响 HTTPS 操作。GitHub 表示,现有的密钥交换方法在今天仍然是安全的,但未来可能会被大规模量子计算机破解。混合模型将成熟的 X25519 椭圆曲线交换与流线型 NTRU Prime 算法配对,以对抗它所描述的“现在存储,以后解密”的风险。
这种担忧并非 GitHub 独有。信息系统审计与控制协会警告说,“许多组织低估了量子计算的快速发展及其破解现有加密的潜力”。毕马威(KPMG)的一份报告同样强调了越来越多的企业担忧,即量子技术可能会在未来几年内淘汰当前的加密技术。
尽管大规模量子攻击仍然是理论上的,但其数学原理是显而易见的。像 RSA 和 ECC 这样的公钥系统依赖于像分解或离散对数这样的问题,量子算法如 Shor 的算法可以高效解决这些问题。在 SSH 领域,从业者已经在引用“现在获取,以后解密”的策略作为早期行动的理由,正如SSH通信安全所指出的。
对于大多数 GitHub 用户来说,这种转变是无缝的。运行 OpenSSH 9.0 或更高版本的客户端自动协商新算法,无需任何配置更改。旧客户端继续运行,但不获得后量子保护。
一些用户注意到旧 SSH 实现显示的警告。Atlassian 社区论坛上的一篇帖子报告了一条消息,称“连接未使用后量子密钥交换算法”,因此可能容易受到“现在存储,以后解密”攻击的影响,这表明一些客户端仍在依赖传统的交换。
除了 GitHub,其他组织也在尝试量子抗性协议。Open Quantum Safe项目维护库和测试实现,包括混合 SSH 密钥交换支持,以帮助组织为后量子过渡做好准备。
GitHub 的推广展示了后量子准备如何从理论转向生产系统。虽然量子计算机尚未破解加密,但向密码灵活性的转变正在积聚动力。对于管理长期代码或敏感数据的组织来说,现在进行调整对于在未来几十年保持这些信息的安全性至关重要。
原文链接:
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论