Cloudflare targets 2029 for full post-quantum security

原文链接

🔗 Cloudflare targets 2029 for full post-quantum security

翻译说明

本文翻译自Hacker News最新热门技术文章，内容仅供学习参考，版权归原作者所有。

完整翻译内容

免费开始|联系销售人员

[Cloudflare 博客]

Cloudflare 博客

订阅以接收新帖子的通知：

[放大镜图标]

[汉堡菜单]

人工智能

开发商

雷达

产品新闻

安全性

政策与法律

零信任

速度和可靠性

Cloudflare 的生活

合作伙伴

人工智能

开发商

雷达

产品新闻

安全性

政策与法律

零信任

速度和可靠性

Cloudflare 的生活

合作伙伴

[放大镜图标]

Cloudflare 的目标是 2029 年实现全面的后量子安全

2026-04-07

[巴斯韦斯特班] 巴斯韦斯特班

8 分钟阅读

[]

Cloudflare 正在加速其后量子路线图。我们现在的目标是在 2029 年实现完全后量子 (PQ) 安全，其中最重要的是后量子身份验证。

在 Cloudflare，我们坚信默认情况下应使互联网变得私有且安全。我们首先于 2014 年提供免费的通用 SSL 证书，于 2019 年开始准备后量子迁移，并于 2022 年为所有网站和 API 启用后量子加密，从而减轻“立即收获/稍后解密”攻击。虽然我们对 Cloudflare 超过 65% 的人流量都是后量子加密这一事实感到兴奋，但在身份验证也升级之前我们的工作还没有完成。可靠的新研究和快速的行业发展表明，迁移的最后期限比预期要早得多。这是任何组织都必须紧急应对的挑战，这就是我们加快内部 Q-Day 准备时间表的原因。

发生了什么？上周，谷歌宣布他们已经大幅改进了量子算法，以破解广泛用于保护互联网安全的椭圆曲线密码学。他们没有透露该算法，而是提供了零知识证明，证明他们拥有该算法。

这还不是最大的突破。同一天，Oratomic 发布了在中性原子计算机上破解 RSA-2048 和 P-256 的资源估算。对于 P-256，它只需要低得惊人的 10,000 个量子位。谷歌最近宣布在超导量子计算机之外也追求中性原子，其动机现在已经很清楚了。尽管 Oratomic 解释了他们的基本方法，但他们仍然故意遗漏了关键细节。

这些独立的进步促使谷歌将后量子迁移时间表加快到 2029 年。更重要的是，在他们的公告和其他会谈中，谷歌将量子安全身份验证置于减轻“立即收获/稍后解密”攻击的优先地位。正如我们接下来讨论的，这一优先事项表明谷歌担心 Q-Day 最早将于 2030 年到来。在宣布这一消息后，IBM Quantum Safe 的 CTO 更加悲观，不排除最早在 2029 年对高价值目标进行量子“登月攻击”。

量子威胁是众所周知的：Q-Day 是指足够强大的量子计算机能够破解当今用于保护数据和跨系统访问的基本密码学的日子。与密码相关的量子计算机（CRQC）尚不存在，但世界各地的许多实验室正在寻求不同的方法来构建一台计算机。直到最近，CRQC 的进展大部分已公开，但没有理由期望这种情况会持续下去。事实上，我们有充分的理由预期进展将离开公众的视线。正如量子计算机科学家 Scott Aaronson 在 2025 年底警告的那样：

在某种程度上，使用 Shor 算法详细估计需要多少物理量子位和门来破解实际部署的密码系统的人们将停止发布这些估计，如果没有其他原因，除了向对手提供太多信息的风险之外。事实上，据我们所知，这一点可能已经过去了。

现在这一点确实已经过去了。

为什么现在：在三个方面取得独立进展

我们想花一些时间来解释为什么很难预测量子计算的进展。即使一切都发生了，理解上的突然“量子”飞跃也可能发生，就像我们上周目睹的那样在公众眼中。简而言之，用量子计算机破解密码学需要在三个独立的领域进行工程设计：量子硬件、纠错和量子软件。每个方面的进步都会促进其他方面的进步。

硬件。有许多不同的竞争方法。我们提到了中性原子和超导量子位，但也有离子陷阱、光子学和拓扑量子位等登月计划。甚至可以组合互补的方法。大多数这些方法都是由世界各地的几个实验室所采用的。在扩大规模之前，它们都有自己独特的工程挑战和问题需要解决。几年前，他们都提出了一长串公开的挑战，目前尚不清楚其中任何一个是否能够扩大规模。今天，他们中的大多数人都取得了良好的进步。目前还没有一个项目被证明可以规模化：如果他们做到了，我们的时间就只剩下几年了。但这些方法现在更接近了，尤其是中性原子。要想忽视这一进展，你就必须相信每一种方法都会碰壁。

纠错。所有量子计算机都有噪音，需要纠错码才能执行有意义的计算。这会增加相当多的开销，尽管多少取决于架构。更多的噪声需要更多的纠错，但更有趣的是，改进的量子位连接性可以实现更高效的代码。对于规模感：超导量子计算机的一个逻辑量子位通常需要大约一千个物理量子位，这些计算机有噪声并且仅具有相邻量子位连接。我们知道“可重构量子位”（例如中性原子机器的量子位）可以实现更好的纠错码。令人惊讶的是，Oratomic 展示了更大的优势：每个逻辑量子位只需要大约 3-4 个物理中性原子量子位。

软件。最后，破解密码的量子算法可以得到改进。这是谷歌的突破：他们大幅加速了破解 P-256 的算法。最重要的是，Oratomic 展示了针对可重构量子位的进一步架构特定优化。

整体情况如下：到 2025 年，中性原子的可扩展性超出预期，而现在 Oratomic 找到了如何利用这种高度连接的量子位来实现更好的纠错码。最重要的是，破解 P-256 需要的工作要少得多。结果是 Q-Day 较典型的 2035 年以上时间线显着提前，其中中性原子处于领先地位，其他方法也紧随其后。

在之前的博客文章中，我们讨论了不同的量子计算机在物理量子位计数和保真度方面的比较，以及在超导量子位架构上破解 RSA-2048 的保守目标。这种分析让我们大致了解我们有多少时间，它当然比跟踪量子分解记录更好，但它错过了特定于架构的优化和软件改进。现在需要关注的是每种架构最终缺失的功能何时实现。

是时候关注身份验证了

从历史上看，业界对后量子密码学 (PQC) 的关注主要基于 PQ 加密，它可以阻止立即收获/稍后解密 (HNDL) 攻击。在 HNDL 攻击中，对手今天会收集敏感的加密网络流量并将其存储起来，直到将来可以使用强大的量子计算机来解密数据。当 Q-Day 还很遥远时，HNDL 攻击是主要威胁。这就是为什么我们迄今为止的重点一直是通过自 2022 年以来在我们的产品中默认采用后量子加密来减轻这种风险。今天，正如我们上面提到的，大多数 Cloudflare 产品都可以安全地抵御 HNDL 攻击，正如我们所说，我们正在努力升级其余产品。

另一类攻击是针对身份验证的：配备功能量子计算机的对手冒充服务器或伪造访问凭证。如果 Q-Day 还很遥远，authenticationi并不紧急：部署 PQ 证书和签名不会增加任何价值，只会增加努力。

即将到来的 Q-Day 颠覆了剧本：数据泄露很严重，但身份验证被破坏是灾难性的。任何被忽视的存在量子漏洞的远程登录密钥都是攻击者可以为所欲为的访问点，无论是敲诈、拿下还是窥探您的系统。任何自动软件更新机制都会成为远程代码执行向量。活跃的量子攻击者很容易——他们只需要找到一个受信任的量子脆弱密钥即可进入。

当构建量子计算机领域的专家开始修补身份验证系统时，我们都应该倾听。问题不再是“我们的加密数据什么时候会面临风险？”但是“多久之后攻击者就会带着量子伪造的钥匙走进前门？”

优先考虑最脆弱的系统

如果量子计算机在未来几年内问世，它们将变得稀缺且昂贵。攻击者将优先考虑高价值目标，例如解锁大量资产的长期密钥或持久访问，例如根证书、API 身份验证密钥和代码签名证书。如果攻击者能够破坏此类密钥，他们将保留无限期的访问权限，直到他们被发现或该密钥被撤销。

这表明应优先考虑长期存在的密钥。如果单个密钥的量子攻击既昂贵又缓慢，这当然是正确的，这对于第一代中性原子量子计算机来说是可以预料的。对于可扩展的超导量子计算机和下一代中性原子量子计算机来说，情况并非如此，它们可以更快地破解密钥。如此快速的 CRQC 再次翻转脚本，对手可能会纯粹专注于 HNDL 攻击，以便他们的攻击不会被发现。谷歌的 Sophie Schmieg 将这种情况与改变第二次世界大战方向的 Enigma 密码分析进行了比较。

添加对 PQ 加密技术的支持还不够。系统必须禁用对量子易受攻击的加密技术的支持，以防止降级攻击。在较大的系统中，尤其是网络等联合系统中，这是不可行的，因为并非每个客户端（浏览器）都支持后量子证书，并且服务器需要继续支持这些旧客户端。然而，使用“PQ HSTS”和/或证书透明度仍然可以实现 HTTPS 的降级保护。

禁用量子易受攻击的加密技术并不是最后一步：一旦完成，之前在量子易受攻击的系统中暴露的所有秘密（例如密码和访问令牌）都需要轮换。与需要大力推动的后量子加密不同，迁移到后量子身份验证具有很长的依赖链，更不用说第三方验证和欺诈监控了。这将需要数年，而不是数月。

对于阅读本文的组织来说，很自然地会急忙思考他们需要升级哪些内部系统。但这还不是故事的结局。 Q-day 威胁所有系统。因此，了解潜在的 Q-day 对第三方依赖关系的直接和间接影响非常重要。不仅是与您谈论密码学的第三方，还包括金融服务和公用事业等关键业务依赖项的任何第三方。

随着 Q 日的临近，后量子身份验证成为重中之重。应首先升级长期密钥。深层的依赖链以及每个人都有第三方供应商的事实意味着这项工作将需要数年而不是数月的时间。升级到后量子加密技术还不够：为了防止降级，还必须关闭量子脆弱的加密技术。

Cloudflare 实现全面后量子安全的路线图

如今，Cloudflare 为我们的大多数产品提供后量子加密，从而减少“立即收获/稍后解密”的情况。这是我们十多年前开始的工作成果，旨在保护我们的客户和整个互联网。我们的目标是全面的后质量ntum 安全性，包括到 2029 年对我们整个产品套件进行身份验证。在这里，我们分享我们设定的一些中间里程碑，这些里程碑可能会随着我们对风险和部署挑战的理解的发展而变化。

我们推荐什么

对于企业来说，我们建议将后量子支持作为任何采购的要求。常见的最佳实践（例如保持软件更新和自动颁发证书）很有意义，并且会让您走得更远。我们建议尽早评估关键供应商，了解他们不采取行动对您的业务意味着什么。

对于监管机构和政府来说：迄今为止，通过制定早期时间表来引领整个行业的进步至关重要。我们现在处于一个关键位置，司法管辖区之间和内部标准和工作的分散可能会危及进展。我们建议各国政府指定并授权一个牵头机构，以在明确的时间表上协调迁移，保持安全重点，并促进现有国际标准的使用。政府不必惊慌，而是可以充满信心地引导移民。

对于 Cloudflare 客户，对于我们的服务，您无需采取任何缓解措施。我们正在密切关注量子计算的最新进展，并采取积极措施来保护您的数据。正如我们过去所做的那样，我们将默认开启后量子安全，无需切换任何开关。我们无法控制的是另一面：浏览器、应用程序和源站需要升级。 Cloudflare 上的企业网络流量无需担心：Cloudflare One 在通过我们的后量子加密基础设施传输流量时提供端到端保护。

隐私和安全是互联网的赌注。这就是为什么我们构建的每一个后量子升级都将继续向所有客户提供每个计划的免费服务。将后量子安全作为默认设置是大规模保护互联网的唯一方法。

免费 TLS 帮助加密网络。免费的后量子密码学将有助于确保接下来的安全。

Cloudflare 的连接云可以保护整个企业网络，帮助客户高效构建互联网规模的应用程序，加速任何网站或互联网应用程序，抵御 DDoS 攻击，阻止黑客入侵，并可以帮助您迈向零信任之旅。从任何设备访问 1.1.1.1 即可开始使用我们的免费应用程序，让您的互联网更快、更安全。要详细了解我们帮助建立更好的互联网的使命，请从这里开始。如果您正在寻找新的职业方向，请查看我们的空缺职位。

后量子安全

关注 X

巴斯韦斯特班|@bwesterb

Cloudflare|@cloudflare

Cloudflare targets 2029 for full post-quantum security | 海外技术热榜