TechSummary 2025-09-15
· 閱讀時間約 12 分鐘
GitHub SSH 存取引入後量子安全 🔒
Source: https://github.blog/engineering/platform-security/post-quantum-security-for-ssh-access-on-github/
- GitHub 將為其 SSH 端點新增一個後量子安全 SSH 金鑰交換演算法:
sntrup761x25519-sha512(或sntrup761x25519-sha512@openssh.com)。 - 此變更僅影響 SSH 存取,對 HTTPS 存取無影響,也不影響位於美國地區的 GitHub Enterprise Cloud 資料駐留。
- 目的是防範未來量子電腦可能進行的「先儲存,後解密」攻擊,確保資料的長期安全。
- 採用混合式方法,結合了 Streamlined NTRU Prime(一種新的後量子安全演算法)與經典的 Elliptic Curve Diffie-Hellman(使用 X25519 曲線),確保安全性不低於經典演算法。
- 此演算法將於 2025 年 9 月 17 日起在 GitHub.com 和非美國地區的 GitHub Enterprise Cloud 上啟用,並將包含在 GitHub Enterprise Server 3.19 中。
- 大多數現代 SSH 客戶端(例如 OpenSSH 9.0 或更新版本)將自動選擇新演算法,無需手動配置;舊版客戶端將回退到舊演算法。
- 您可以透過執行
ssh -Q kex來檢查 SSH 客戶端是否支援此演算法,�並使用ssh -v git@github.com exit 2>&1 | grep 'kex: algorithm:'來查看連接 GitHub 時所使用的金鑰交換演算法。