InfoQ
·
GitHub新增后量子安全SSH密钥交换以保护传输中的Git数据
内容提要
GitHub推出了一种混合后量子安全密钥交换算法sntrup761x25519-sha512,以保护SSH访问。该算法结合后量子密码学与经典曲线X25519,旨在抵御未来量子计算机的威胁。更新将于2025年9月17日实施,影响Git数据的SSH连接,尽管尚未获得FIPS认证,但设计上不弱于现有方法,确保SSH流量安全。
关键要点
-
GitHub推出了一种混合后量子安全密钥交换算法sntrup761x25519-sha512,以保护SSH访问。
-
该算法结合了后量子密码学与经典曲线X25519,旨在抵御未来量子计算机的威胁。
-
更新将于2025年9月17日实施,影响Git数据的SSH连接,非HTTPS连接。
-
美国地区初期不包括在内,因为适用更严格的FIPS加密标准,且新算法尚未获得FIPS认证。
-
后量子密码学(PQC)是针对量子计算机攻击的新型密码算法。
-
现有的公钥算法如RSA和ECC可能会被量子计算机在几秒钟内破解,威胁到安全通信的机密性和完整性。
-
研究人员和组织正在开发抗量子攻击的算法,并将其集成到现实系统中,通常以混合模式提供当前互操作性和未来安全性。
-
用户的工作流程大部分不会改变,支持新算法的SSH客户端将自动协商并优先使用新算法。
-
此举旨在应对“现在存储,未来解密”的威胁,确保SSH流量即使在量子计算机强大后也能保持安全。
-
新算法设计上不弱于现有的经典密钥交换方法,GitHub计划监测后量子密码学的发展并扩展支持更多量子安全密钥交换算法。
-
OpenSSH自9.0版本以来已开始采用后量子密码算法,GitHub的举措与此相呼应。
-
SSH.com的Tectia Quantum-Safe Edition和TinySSH也在向混合PQC密钥交换模型迈进,提供兼容性和未来安全性。
延伸解读
后量子密码学的必要性
随着量子计算技术的发展,传统的公钥算法如RSA和ECC面临被破解的风险。后量子密码学(PQC)应运而生,旨在提供对抗量子计算攻击的安全保障。GitHub的新算法正是为了应对这一潜在威胁,确保未来的SSH连接能够抵御量子计算机的攻击。
更新实施的区域限制
GitHub的新密钥交换算法将在2025年9月17日实施,但美国地区初期不包括在内,原因是该地区适用更严格的FIPS加密标准。用户在选择使用新算法时需注意这一地区限制,确保其SSH客户端支持相应的加密方式。
用户工作流程的影响
大多数用户的工作流程不会受到显著影响,支持新算法的SSH客户端将自动协商并优先使用新算法。然而,用户仍需确认其SSH客户端版本,以确保能够利用后量子安全的密钥交换功能,避免潜在的安全隐患。
延伸问答
GitHub的新算法如何保护SSH访问?
GitHub推出的sntrup761x25519-sha512算法结合了后量子密码学与经典曲线X25519,旨在抵御未来量子计算机的威胁,保护SSH访问的安全性。
新算法的实施时间是什么时候?
该更新将于2025年9月17日实施。
为什么美国地区初期不包括在内?
美国地区初期不包括在内是因为适用更严格的FIPS加密标准,而新算法尚未获得FIPS认证。
后量子密码学的定义是什么?
后量子密码学(PQC)是针对量子计算机攻击的新型密码算法,旨在抵御量子计算机的破解威胁。
用户在使用新算法时工作流程会有变化吗?
大部分用户的工作流程不会改变,支持新算法的SSH客户端将自动协商并优先使用新算法。
GitHub未来对后量子密码学的计划是什么?
GitHub计划监测后量子密码学的发展,并扩展支持更多量子安全密钥交换算法,特别是符合FIPS要求的算法。
