苹果正在加强iMessage的加密，以保护其免受尚不存在的威胁。

苹果已经在其安全的iMessage平台中包含了端到端加密。但是虽然像联系人密钥验证这样的元素可以帮助用户免受当前计算机威胁的安全保护，但对抗量子计算可能会变得困难。

为了在量子计算变得更加普遍使用时防止攻击，苹果不会等到它们到来才增强其安全性。

根据苹果在周三的一篇技术博客文章中描述的内容，苹果希望通过引入一种名为PQ3的新的密码协议来保护当前正在进行的通信免受未来威胁的侵害。

加密依赖于数学问题和算法来保持安全性，复杂的模型通过加密破解的方式提供更高的安全性。如果恶意用户无法获取破解加密的密钥，他们就必须依靠对每个潜在密钥组合进行穷举以击败算法。

对于当前的计算机来说，耗费时间和资源来穷举每个可能性，直到找到正确的密钥是一项耗时的任务。但是，量子计算机可以快速进行相同的计算，从而破解加密。

然而，由于量子计算机仍未商用且仍在研究中，所以目前不是个问题，但在未来的某个时间点可能会成为问题。

基于量子计算机在将来可能变得更加普遍的概率，恶意用户仍然保存着它们无法立即访问的加密数据，希望可以在未来解密这些数据。这是一种被称为现在收集，以后解密的攻击方式，更多依赖于廉价存储而不是昂贵的穷举破解安全的方式。

现在收集，以后解密的理论意味着当前所有的加密通信都有可能受到未来完全收集通信的风险，因为攻击者相信使用量子计算机进行解密将会更容易。

为了尽量减小量子计算的风险，密码学家一直致力于后量子密码学（PQC）。这包括新的公钥算法，成为量子安全协议的基础，即在当前非量子计算机上使用但在面对量子计算机时仍然安全的协议。

苹果在一种分层方法中描述了消息应用程序中的量子密码学状态，级别数越高，安全性越高。级别0和级别1被认为是没有量子安全性的传统密码学，而级别2及更高被归类为使用PQC的密码学。

苹果在消息平台上对量子安全密码学的分类

级别0是指没有使用任何量子安全性的消息系统，也没有默认使用端到端加密。包括Skype、QQ、Telegram和微信在内的服务采用了这种级别。

级别1仍然不被认为是量子安全的，但它包括默认使用端到端加密。使用此服务的应用包括Line、Viber、WhatsApp和之前版本的iMessage。

在进入PQC级别之后，Signal成为首个并且唯一被归类为级别2的大规模消息应用程序，它支持后量子扩展Diffie-Hellman(PQXDH)密钥协议。这个协议使用公钥来实现双方在会话开始时进行互相认证。

然而，根据苹果的说法，即使是级别2也存在问题，因为只有在会话密钥没有被破坏的情况下才提供量子安全性。攻击者有可能有手段破坏加密密钥，从而可以访问加密会话，直到密钥被更换。

通过定期更换密钥，攻击者只能看到会话的一部分，如果密钥被破坏，无论是获取密钥访问还是尝试量子处理。

基于此思路，苹果表示应用程序应该努力实现级别3的安全性，在通信中使用PQC来保护初始密钥的建立以及持续的消息交换。级别3还应包括自动恢复密码安全的能力，即使密钥被破坏。

苹果的宣布是它开发了一种名为PQ3的新的密码协议，将其纳入iMessage中。这个改变使iMessage成为第一个也是唯一一个支持级别3安全性的应用程序。

PQ3的推出将从iOS 17.4、iPadOS 17.4、macOS 14.4和watchOS 10.4的公共版本开始，并已经纳入了开发者预览和测试版本中。可以支持PQ3的现有iMessage设备之间的通信将自动切换到新的协议。

苹果补充说，随着对iMessage的PQ3在全球范围内的大规模运营经验的积累，到2024年底，PQ3将取代所有支持的会话中的现有密码协议。

苹果对PQ3的有效性已经进行了广泛的正式验证，包括由苹果的安全工程和架构的多学科团队进行的全面审查，以及密码学领域的顶级专家。

由苏黎世联邦理工学院信息安全组组长大卫·巴辛和滑铁卢大学的道格拉斯·斯特比拉教授领导的一个团队研究了互联网协议的后量子安全性。每个人都采用了不同的数学方法来证明只要底层的密码学算法足够强大，PQ3将保持安全。

苹果还聘请了一家领先的第三方安全咨询公司对PQ3的源代码进行了独立评估，未发现安全问题。

PQ3在设备生成的公钥中使用了一种新的后量子加密密钥，这些密钥会被发送到苹果的服务器上进行iMessage注册。这个过程允许发送者设备获取接收者的公钥，并从第一条消息和初始密钥建立中生成后量子加密密钥，即使接收者处于离线状态。

对话中还包含了一种”定期后量子重建机制”，可以自动修复由密钥破坏引起的安全问题。与对话一起发送的新密钥用于创建新的加密密钥，通过分析之前的密钥无法计算出来，进一步维护安全性。

攻击者还需要突破混合设计，将椭圆曲线和后量子元素结合在一起，用于初始密钥建立和重建密钥。

重建过程中，新的椭圆曲线Diffie-Hellman（ECDH）的公钥材料与设备之间正在交换的加密信息一起传输。由于后量子密钥比当前的现有协议要大得多，苹果通过定期进行重建过程来减小其大小的影响，而不是每一条消息都进行重建。

重新建立并传输的条件是试图在会话中平衡消息的大小、具有有限连接能力的用户体验和保持基础设施性能的需要。苹果补充说，如果未来需要的话，软件更新可以增加重建频率，同时保持与所有支持PQ3的硬件向后兼容。

在实施PQ3之后，iMessage将继续使用传统的密码算法来验证发送者并验证联系人密钥的联系方式，因为苹果表示这些机制无法被未来的量子计算机后期攻击。

要在iMessage对话中插入自己，攻击者需要拥有一台在通信发生之前或同时能够破解认证密钥的量子计算机。苹果声称这样做可以阻止现在收集、以后解密的场景，因为它需要量子计算机能够在通信发生时执行攻击。

苹果认为攻击这个新协议的能力”还有很多年才会到来”，但它的安全团队坚持将继续评估后量子认证的需求，以打败未来的攻击。