量子计算机正在积极开发中,最终将有能力破解我们用于保护现代通讯的加密技术。量子计算近期取得的突破凸显了传统密码学面对这些攻击时的脆弱性。自 2017 年以来,Cloudflare 一直处于进行后量子密码技术开发、标准化和实施的最前沿,旨在抵御量子计算机的攻击。
我们的使命很简单:希望每一位 Cloudflare 客户拥有实现量子安全的清晰路径。Cloudflare 深知其紧迫性,因此致力于管理升级加密算法的复杂过程,让您无需担心。我们绝不仅是说说而已。如今,超过 35% 到达 Cloudflare 网络的非机器人 HTTPS 流量是后量子安全的。
美国国家标准与技术研究院(NIST) 也认识到这一过渡的紧迫性。2024 年 11 月 15 日,NIST 发布了一个具有里程碑意义的公告,设定逐步淘汰 RSA 和椭圆曲线加密(ECC)的时间表。这两种传统加密算法几乎支撑着当今互联网的每一个部分。根据 NIST 的公告,这些算法将在 2030 年被弃用,并于 2035 年完全禁止使用。
在 Cloudflare,我们并不打算等到 2035 年,甚至 2030 年。我们认为隐私是一项基本人权,高级加密技术应该对每个人可用,无需妥协。没有人应该为后量子安全支付额外费用。这就是为什么任何访问者在使用 Chrome、Edge 或 Firefox 等主流浏览器访问Cloudflare 保护的网站时都受益于后量子加密技术。(并且,我们很高兴在 Cloudflare Radar 数据中看到少量的(移动)Safari 浏览器流量。)目前通过Cloudflare 的人类流量中有超过三分之一已经享受到这种增强的安全性,随着更多浏览器和客户端升级到支持后量子加密技术,我们预计这个比例将进一步增加。
虽然在保护人类 Web 流量方面已经取得了巨大进步,但并非每个应用都是 Web 应用。每个组织都有不支持后量子加密技术的内部应用(包括 Web 应用和其他应用))。
组织应如何升级其敏感的企业网络流量以支持后量子加密技术?
这就是今天公告的意义所在。隆重宣布,我们的 Zero Trust 平台进入端到端量子就绪第一阶段,允许客户使用后量子加密技术保护其企业网络流量。组织可以使用 Cloudflare 的 Zero Trust 平台建立隧道以传输其企业网络流量,保护其免受使用量子技术的对手攻击,而无需单独升级每个企业应用、系统或网络连接。
更具体地说,组织可以(通过 Web 浏览器或 Cloudflare 的 WARP 设备客户端)使用我们的 Zero Trust 平台路由来自终端用户设备的通信,保护使用 Cloudflare Tunnel 连接的应用,获得端到端的量子安全性,包括如下用例:
Cloudflare 无客户端 Access:我们的无客户端 Zero Trust 网络访问(ZTNA) 解决方案为 Web 浏览器发送到企业应用的每个 HTTPS 请求验证用户身份和设备上下文。无客户端的 Access 现已通过后量子加密技术实现端到端保护。
Cloudflare 的 WARP 设备客户端:到 2025 年中,使用 WARP 设备客户端的客户所有流量(无论使用什么协议)都通过受后量子加密技术保护的连接进行隧道传输。WARP 客户端通过将企业设备的流量私密路由至 Cloudflare 的全球网络,然后由 Gateway 应用高级 Web 过滤,Access 执行安全访问应用的策略,从而有效保护企业设备。
Cloudflare Gateway : 我们的安全 Web 网关(SWG) 旨在检查和过滤 TLS 流量,以阻止威胁和未经授权的通信,该产品现在通过后量子加密技术支持 TLS。
在本文的后续章节中,我们将探讨量子计算带来的威胁,以及组织在向后量子密码学过渡过程中面临的挑战。我们还将深入探讨目前 Zero Trust 平台如何支持后量子密码学的技术细节,并分享一些未来规划。
为什么要过渡到后量子密码学?为什么是现在?
现在采用后量子密码学有两个主要原因:
1.弃用加密技术所面临的挑战
历史表明,从生产系统中更新或移除过时的加密算法极其困难。例如,尽管 MD5 哈希函数早在 2004 年就被认定不安全并被废弃,但直至 2024 年仍在 RADIUS 企业身份认证协议中使用。2024 年 7 月, Cloudflare 参与的研究披露了一次利用对 MD5 的依赖对 RADIUS 发动的攻击。这个示例凸显了更新遗留系统所面临的巨大挑战,即实现加密敏捷性的困难,在过渡到后量子密码学时,这一这个问题带来同样严峻的挑战。因此,现在就开始这个过程是合情合理的。
2. “先收集再解密”威胁
尽管当前量子计算机尚未拥有足够的量子比特来破解传统密码学,但对手可以收集并存储加密通信,或窃取数据集,意图在量子技术成熟后进行解密。如果您今天的加密数据可能在 10 到 15 年后成为负担,那么为后量子未来进行规划至关重要。因此,我们已经开始与世界上一些最具创新性的银行、ISP 和政府合作,帮助他们启动实现量子安全的过程。
美国政府已经在着手应对这些风险。2025 年 1 月 16 日,白宫发布了关于加强和促进国家网络安全创新的第 14144 号行政命令。该命令要求政府机构“定期更新支持后量子密码学(PQC)产品广泛可用的产品类别清单……在某一产品类别被列入清单后的 90 天内,机构应采取措施,在该类别的任何产品采购中增加产品支持 PQC 的要求。”
自 2017 年以来,Cloudflare 一直致力于后量子密码学的研究、开发和标准化。我们的策略很简单:
只需将您的流量通过 Cloudflare 的量子安全连接进行隧道传输,就能立即防范“先收集后解密”攻击,而无需自行升级每一个加密库。
让我们深入了解 Cloudflare 后量子密码学迁移的发展。
后量子密码学的两阶段迁移
Cloudflare 主要专注于将TLS (Transport Layer Security)1.3 协议迁移到后量子密码学。TLS 主要用于保护 Web 应用的通信安全,同时广泛应用于保护电子邮件、即时通讯、VPN 连接、DNS 和其他多种协议。这使 TLS 成为迁移到后量子密码学时值得关注的理想协议。
迁移涉及更新 TLS 1.3 的两个关键组件:证书中使用的数字签名和密钥协商机制。我们在密钥协商方面取得了重大进展,但向后量子数字签名的迁移仍处于早期阶段。
第一阶段:迁移密钥协商
密钥协商使得双方能够安全地建立共享密钥,以用于保护和加密通信。如今,供应商已基本统一将 TLS 1.3 迁移至支持被称为 ML-KEM(基于模块格的密钥封装机制标准)的后量子密钥交换协议。优先迁移密钥协商机制主要有两个理由:
性能: ML-KEM 在 TLS 1.3 协议中性能良好,即使是短暂的网络连接也是如此。
安全性 : 传统的加密技术易受“先收集再解密”攻击。在这种威胁模型中,攻击者先拦截并存储加密通信,并在日后利用量子计算机推导出密钥,从而危及通信安全。截至 2025 年 3 月,到达 Cloudflare 网络的人类 Web 流量中,远超三分之一受到采用混合 ML-KEM 密钥交换机制的 TLS 1.3 保护,免受这些攻击的影响。

2024 年 3 月 1 日至 2025 年 3 月 1 日,Cloudflare 通过Cloudflare Radar观察到的人类 HTTPS 请求流量中,受后量子加密部分所占比例。(截图日期:2025年3月13日。)
以下是检查您的 Chrome 浏览器在访问网站时是否使用 ML-KEM 进行密钥协商的步骤:首先,检查页面,然后打开安全选项卡,最后查看是否显示 X25519MLKEM768:

这表明您的浏览器正在使用结合 ML-KEM 密钥协商协议和基于 X25519 曲线的椭圆曲线密码学的方式进行加密。这种方案同时提供了经过验证的传统密码学(X25519)以及新兴的后量子密钥协商(ML-KEM)的安全防护。
第二阶段:迁移数字签名
TLS 证书中使用数字签名来验证连接的真实性——以便客户端确定它是真正与服务器通信,而不是冒充服务器的对手。
然而,后量子数字签名远远大于目前的数字签名,因此速度也更慢。这种性能影响减缓了后量子签名技术的推广,特别是因为它们拖慢了短暂 TLS 连接。
幸运的是,防止“先收集后解密”攻击不需要后量子签名。相反,这一技术主要防范利用量子计算机破坏实时 TLS 连接的攻击。距离量子计算机具备这一能力还有一些时间,因此迁移数字签名的紧迫性较低。
尽管如此,Cloudflare 正积极参与 TLS 证书后量子签名标准化工作。我们还在试验将它们部署在长时间的 TLS 连接上,并探索在不牺牲性能的情况下实现后量子身份验证的新方法。我们的目标是,确保在量子计算机能够积极攻击实时 TLS 连接时,后量子数字签名已做好大规模应用的准备。
Cloudflare Zero Trust + PQC:面向未来的安全性
Cloudflare Zero Trust 平台以 Cloudflare 全球网络取代传统的企业安全边界,使世界各地的团队更快、更安全地访问互联网和企业资源。今天,我们很高兴地宣布,Cloudflare Zero Trust 平台可在您的数据通过公共互联网传输时保护其免受量子威胁。在这个量子就绪的第一阶段,我们的 Zero Trust 平台支持三个关键的量子安全用例。
量子安全无客户端 Access
无客户端 Cloudflare Access 现在可以保护组织发送到内部 Web 应用的互联网流量免受量子威胁,即使应用本身尚未迁移到后量子密码学。(“无客户端访问”是一种无需在用户设备上安装专用客户端应用即可访问网络资源的方法。用户通过 Web 浏览器连接和访问信息。)

下面介绍其目前的工作方式:
经由浏览器的 PQ 连接:(图中标记为 (1)。) 只要用户的 Web 浏览器支持后量子密钥协商,就可以通过采用后量子密钥协商机制的 TLS 1.3 保护从设备到 Cloudflare 网络的连接。
Cloudflare 全球网络内的 PQ: (图中标记为 (2)) 如果用户和源服务器在地理上相距遥远,则用户的流量将在 Cloudflare 全球网络中的一个地理节点(例如Frankfurt)进入,并在另一个节点(例如旧金山)退出。流量在 Cloudflare 全球网络内部的数据中心之间移动时,这些网络跳转将通过支持后量子密钥协商的 TLS 1.3 受到保护。
PQ Cloudflare Tunnel : (图中标记为 (3)) 客户建立一个 Cloudflare Tunnel ,从其数据中心或公共云(托管公司 Web 应用处)到 Cloudflare 网络。这个隧道使用具备后量子密钥协商机制的 TLS 1.3 保护,以免受“先收集后解密”攻击。
总结一下,无客户端 Access 为访问企业 HTTPS 应用提供端到端的量子安全防护,无需客户升级企业 Web 应用的安全性。
量子安全 Zero Trust,采用 Cloudflare 的 WARP 客户端到隧道配置(作为 VPN 替代品)
到 2025 年中期,组织将能够通过 Cloudflare Zero Trust 平台使用后量子密码技术保护任何协议,而不再限于 HTTPS,从而在流量跨越互联网从终端用户设备到企业办公室/数据中心/云环境的整个过程中提供量子安全保护。
Cloudflare 的 Zero Trust 平台非常适合替代传统 VPN,并实现采用现代身份验证和授权策略的 Zero Trust 架构。Cloudflare 的 WARP 客户端到隧道是我们 Zero Trust 平台的一种流行网络配置:组织在其最终用户设备上部署 Cloudflare 的 WARP 设备客户端,然后使用 Cloudflare Tunnel 连接到公司办公室、云或数据中心环境。

以下为详细介绍:
通过 WARP客户端的 PQ 连接(2025 年中推出): (图中标记为 (1)) WARP 客户端使用 MASQUE 协议 从设备连接到 Cloudflare 全球网络。我们正在努力支持通过采用后量子密钥协商机制的 TLS 1.3 建立 MASQUE 连接,目标完成时间为 2025 年中。
Cloudflare 全球网络中的 PQ: (图中标记为 (2)) 当流量在 Cloudflare 全球网络内从一个数据中心移动到另一个数据中心时,通过 Cloudflare 网络的每个跃点都已经通过采用后量子密钥协商机制的 TLS 1.3 进行保护。
PQ Cloudflare Tunnel: (图中标记为 (3)) 如上所述,Cloudflare Tunnel已经支持后量子密钥协商。
一旦 WARP 设备客户端的后量子增强功能完成,客户将能够流量封装在量子安全隧道中,无需逐一升级网络或应用,即可有效缓解“先收集后解密”攻击风险。而且这为通过这些隧道传输的任何协议提供全面的安全防护,不限于 HTTPS!
量子安全 SWG (访问第三方 Web 应用的端到端 PQC)
使用安全 Web 网关(SWG ) 通过拦截和检查 TLS 流量来保护对公共互联网上第三方网站的访问。
Cloudflare Gateway 现已成为适用于 HTTPS 流量的量子安全 SWG 。只要被检查的第三方网站支持后量子密钥协商,Cloudflare 的 SWG 也将支持后量子密钥协商。无论客户使用什么方式接入 Cloudflare 网络均如此(接入方式包括 Web 浏览器,WARP 设备客户端,WARP Connector,Magic WAN),并且仅要求使用支持后量子密钥协商的浏览器。

Cloudflare Gateway 的 HTTPS SWG 功能涉及两个后量子 TLS 连接,即:
经浏览器的 PQ 连接:(图中标记为 (1)) 从用户浏览器向 Cloudflare 网络中执行 TLS 检查的数据中心发起 TLS 连接。只要用户的 Web 浏览器支持后量子密钥协商,此连接将通过支持后量子密钥协商的 TLS 1.3 进行安全保护。
到源服务器的PQ 连接 :(图中标记为 (2)) 从 Cloudflare 网络中某个数据中心发起到源服务器的 TLS 连接 ,其中源服务器通常由第三方控制。从 Cloudflare SWG 进行的连接目前支持后量子密钥协商,前提是第三方的源服务器也已经支持后量子密钥协商。您可以立即测试此功能,方式是使用 https://pq.cloudflareresearch.com/ 作为第三方源服务器。
总体而言,Cloudflare 的 SWG 已量子就绪,可支持安全地访问目前或未来任何量子就绪的第三方网站。无论最终用户的流量通过什么方式接入 Cloudflare 的全球网络,都是如此!
后量子未来:Cloudflare 的 Zero Trust 平台领先一步
保护客户以防新兴量子威胁不仅仅是我们的优先事项,更是我们的责任。自 2017 年以来, 通过在我们的产品生态系统中进行研究、标准化和战略性实施,Cloudflare 一直在后量子密码学领域保持领先地位。
今天是一个里程碑: 为我们的 Zero Trust 平台推出第一阶段的量子安全保护。量子安全的无客户端 Access 和安全 Web 网关立即可用,WARP 客户端到隧道网络配置将在 2025 年中推出。随着我们继续推进后量子密码学技术向前发展,我们对持续创新的承诺将确保您的组织领先于未来的威胁。让我们负责加密敏捷性,以便您无需担忧。
要进一步了解 Cloudflare 的内置加密敏捷性如何为您的业务提供面向未来的防护,请访问我们的后量子密码学页面。