AdGuard DNS 支持后量子加密(PQC)
版本 2.19 标志着我们在强化未来网络安全方面迈出的又一重要步伐:AdGuard DNS 再次领先一步,成为首个引入客户端后量子加密的 DNS 服务,并跻身该技术的早期采用者之列,仅次于 Google 和 Cloudflare。
我们已在 VPN 博客的一篇文章中解释过后量子加密的工作原理。在此,我们将简要回顾其核心概念,并说明这项技术在 AdGuard DNS 中的具体实现方式。
后量子加密如何保护个人数据安全
为确保 DNS 流量的安全,加密技术不仅要保护数据本身,还必须保护客户端与服务器之间交换加密密钥的方式。尽管现代算法极其强大,但未来的量子计算机将能破解当今的密钥交换方法,从而使加密连接变得脆弱。
后量子加密通过使用能够抵御量子攻击的算法来解决这一风险。对于 DNS 而言,这意味着为 DoT、DoH 和 DoQ 等客户端与服务器连接,以及 DNSSEC 等关键基础设施组件提供更强大的保护,从而确保 DNS 隐私长期可靠。
工作原理
AdGuard DNS 采用了一种名为 X25519MLKEM768 的混合加密方法,这与 Chrome 及其他基于 Chromium 的浏览器所采用的方法相同。
X25519提供标准的加密算法。ML-KEM768增加了后量子安全性。
这意味着什么?
- 这极大地增强保护,因为来自两种算法的组合密钥几乎不可能被破解,即使量子计算机也难以攻破。
- 即使在后量子算法
ML-KEM768中发现漏洞,可靠的X25519算法仍能提供安全保障。
如何开始使用
从版本 2.19 开始,AdGuard DNS 默认启用后量子加密。不过,要使用此功能,用户必须通过 AdGuard 应用程序之一连接到 DNS 服务器,因为大多数操作系统本身并不支持该技术。我们仍在进行应用程序的全面兼容性适配,目前正处于测试阶段。如果有用户想立即尝试,可以下载最新的 Nightly 每夜构建版本。请注意,这些版本可能不够稳定:
- AdGuard Windows版 v8.0.0 Nightly 22
- AdGuard Android版 v4.14 Nightly 23
- AdGuard Mac版 v2.18.0.2090 Nightly
通过 AdGuard VPN 应用程序连接 DNS 服务器时,此功能尚不可用,但即将推出。一旦上线,当您在应用中开启后量子加密时,它将自动启用。
要确认后量子加密是否已激活,请访问我们的测试页面并向下滚动至 AdGuard DNS 部分。当状态显示为「PQC: 已启用」时,即表明您已获得全面保护。
