在過去的十二個月裡,我們一直在談論網際網路加密的新基線:後量子加密。去年生日週期間,我們宣布 Kyber 測試版可供測試,並且 Cloudflare Tunnel 可以透過後量子加密技術啟用。今年早些時候,我們明確表明了我們的立場:這項基礎技術應該永遠免費提供給所有人。
今天,經過六年的時間和發表 31 篇部落格文章 之後,我們達到了一個里程碑:我們的後量子加密支援開始對我們的客戶、服務和內部系統普遍可用1,這將在下文進行更詳細的描述。這包括用於來源連線的 Pingora、1.1.1.1、R2、Argo Smart Routing、Snippets 等產品。
這是網際網路的一個里程碑。我們還不知道量子電腦何時才能擁有足夠的規模來打破當今的密碼學,但現在升級到後量子加密的好處是顯而易見的。由於 Cloudflare、Google、Mozilla、美國國家標準與技術研究院、網際網路工程任務推動小組和眾多學術機構所取得的進步,快速連線和面向未來的安全性如今已成為可能
普遍可用是什麼意思?2022 年 10 月,我們為透過 Cloudflare 提供服務的所有網站和 API 啟用了 X25519+Kyber 作為測試版。然而,一個巴掌拍不響:只有當瀏覽器也支援後量子加密技術時,連線才是安全的。從 2023 年 8 月開始,Chrome 正在慢慢預設啟用 X25519+Kyber。
使用者的請求透過 Cloudflare 的網路 (2) 路由。我們已經升級了許多內部連線以使用後量子加密技術,並預計在 2024 年底之前完成所有內部連線的升級。這使得我們和_來源伺服器_之間的連線 (3) 成為最終連結。
我們很高興地宣布,我們正在為大多數輸入和輸出連線推出對 X25519+Kyber 的支援,代表該功能已普遍可用,適用對象包括_來源伺服器_和 Cloudflare Workers fetch()
。
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
Plan | Support for post-quantum outbound connections |
---|---|
Free | Started roll-out. Aiming for 100% by the end of the October. |
Pro and business | Aiming for 100% by the end of year. |
Enterprise | Roll-out begins February 2024. 100% by March 2024. |
方案
對後量子輸出連線的支援
免费方案
開始推出。目標是 10 月底達到 100%。
1.1.1.1 |
AMP |
API Gateway |
Argo Smart Routing |
Auto Minify |
Automatic Platform Optimization |
Automatic Signed Exchange |
Cloudflare Egress |
Cloudflare Images |
Cloudflare Rulesets |
Cloudflare Snippets |
Cloudflare Tunnel |
Custom Error Pages |
Flow Based Monitoring |
Health checks |
Hermes |
Host Head Checker |
Magic Firewall |
Magic Network Monitoring |
Network Error Logging |
Project Flame |
Quicksilver |
R2 Storage |
Request Tracer |
Rocket Loader |
Speed on Cloudflare Dash |
SSL/TLS |
Traffic Manager |
WAF, Managed Rules |
Waiting Room |
Web Analytics |
Pro 和商業方案
目標是年底前達到 100%。
Cloudflare Gateway |
Cloudflare DNS |
Cloudflare Load Balancer |
Cloudflare Access |
Always Online |
Zaraz |
Logging |
D1 |
Cloudflare Workers |
Cloudflare WARP |
Bot Management |
Enterprise 方案
將於 2024 年 2 月開始推出。到 2024 年 3 月達到 100%。
對於我們的企業方案客戶,我們將在接下來的六個月內定期傳送更多資訊,以幫助您為推出做好準備。Pro 方案、商業方案和企業方案客戶可以跳過部署並立即在您的區域內選擇加入,或使用我們的配套部落格文章中所述的 API 提前選擇退出。在 2024 年 2 月為企業方案推出該 API 之前,我們將在儀表板上新增一個用於選擇退出的切換按鈕。
如果您對此感到興奮,並想要立即開始,請查看我們的部落格,瞭解技術詳細資訊,並透過 API 開啟後量子加密支援!
包含內容以及後續計畫
對於如此大規模的升級,我們希望首先關注我們最常用的產品,然後向外擴展以覆蓋我們的邊緣情況。基於此,我們在此次推出中包含了以下產品和系統:
1.1.1.1
AMP
API 閘道
Argo Smart Routing
Auto Minify
自動平台最佳化
Automatic Signed Exchange
Cloudflare 輸出
Cloudflare Images
Cloudflare 規則集
Cloudflare Snippets
Cloudflare Tunnel
自訂錯誤頁面
基於流程的監控
健康情況檢查
Hermes
Host Head Checker
Magic Firewall
Magic Network Monitoring
網路錯誤記錄
Flame 專案
Quicksilver
R2 儲存空間
Request Tracer
Rocket Loader
Cloudflare Dash 上的速度
SSL/TLS
流量管理員
WAF、受管理規則
Waiting Room
Web Analytics
如果您使用的產品或服務未在此列出,則表示我們尚未開始為其推出後量子加密技術。我們正在積極推出對所有產品和服務的後量子加密支援,包括我們的 Zero Trust 產品。在我們的所有系統中實現後量子加密支援之前,我們將在每個 Innovation Week 發布更新部落格,介紹我們已推出後量子加密的產品、下一步將支援的產品以及未來的計畫。
我們將在不久後為以下產品提供後量子加密支援:
Cloudflare Gateway
Cloudflare DNS
Cloudflare Load Balancer
Cloudflare Access
Always Online
Zaraz
記錄
D1
Cloudflare Workers
Cloudflare WARP
機器人管理
為什麼現在要推出這項服務?
正如我們今年早些時候宣布的那樣,後量子加密技術將免費包含在所有支援它的 Cloudflare 產品和服務中。最好的加密技術應該可供所有人免費使用,以幫助支援全球的隱私和人權。
正如我們在三月提到的:
「曾經的實驗性前沿已經變成了現代社會的基礎結構。它在我們最關鍵的基礎設施中執行,例如電力系統、醫院、機場和銀行。我們將最珍貴的記憶託付給它。我們把祕密託付給它。這就是為什麼網際網路需要預設是私密的,需要預設是安全的。」
我們對後量子加密技術的研究是基於這樣一個論點,即量子電腦可以破解傳統加密,產生類似「千年蟲」(Year 2000) 的漏洞。我們知道未來會出現一個問題,可能會為使用者、企業甚至國家帶來災難性的後果。這次的差別在於,我們不知道這種運算範式的突破將會在何年何月發生。更糟糕的是,今天擷取的任何流量在未來可能會被解密。我們今天就需要為應對這種威脅做好準備。
我們很高興每個人都能在他們的系統中採用後量子加密。要瞭解我們部署後量子加密和第三方用戶端/伺服器支援的最新進展,請造訪 pq.cloudflareresearch.com 並關注此部落格。
***
1我們正在使用 Kyber(NIST 選擇的後量子金鑰協議)的初步版本。Kyber 尚未最終定稿。我們預計最終標準將在 2024 年以 ML-KEM 的名稱發布,屆時我們將迅速採用該標準,並停止支援 X25519Kyber768Draft00。