Cloudflare 最近实施了一种新的标准化方法来处理后量子 IPsec,摒弃了之前的“密码套件膨胀”,转而采用混合 ML-KEM 交换。这一举措标志着广域网(WAN)在不要求专用硬件的情况下,将如何满足 NIST 2030 年抗量子加密的最后期限。
该公司将混合模块化格基密钥封装机制(ML-KEM)引入 Cloudflare IPsec 和 Cloudflare One 设备,完成了 Cloudflare 所称的“后量子 SASE 方程”,使组织能够最终锁定私有网络流量的端到端安全,抵御“现在收集,以后解密”的攻击,即恶意行为者今天抓取加密数据并保存起来,直到量子计算机足够强大再破解它。
Cloudflare 的首席执行官兼联合创始人 Matthew Prince直言不讳地表示:
保护互联网免受未来威胁不应该是一个复杂的负担。自 2017 年以来,我们一直在努力将后量子标准直接融入我们的网络结构。通过将这种保护扩展到我们的整个 SASE 平台,我们正在使后量子安全成为默认设置——不需要硬件升级,不需要复杂的配置,也不需要增加成本。
早些时候,NIST 设定了一个严格的2030年最后期限,要求放弃 RSA 和椭圆曲线加密,转而采用抗量子算法。2024 年底,明确信号表明经典公钥加密的日子已经屈指可数。德国的BSI和英国的NCSC一直在说同样的话。
Cloudflare 的方法遵循了draft-ietf-ipsecme-ikev2-mlkem草案,该草案以与 TLS 相同的方式标准化了 IPsec 的后量子密钥交换。混合设置与经典 Diffie-Hellman 并行运行 ML-KEM。可以将其视为一种双重安全:ML-KEM 处理量子威胁,Diffie-Hellman 覆盖经典攻击。
IPsec 走向后量子的道路与 TLS 的旅程截然不同。早期尝试RFC 8784依赖于预共享密钥或量子密钥分发,这两种方法在实践中都不太有效。预共享密钥不提供针对量子对手的前向保密。QKD 需要专用硬件,这对于大多数部署来说是不可行的。然后RFC 9370出现了,允许同时运行多达七种不同的算法。Cloudflare 称这为“密码套件膨胀”。Palo Alto Networks 全力以赴,采用了七种以上的PQC密码套件,其中大多数与其他供应商不兼容。
draft-ietf-ipsecme-ikev2-mlkem 规范最终使 IPsec 与 TLS 的运作方式保持一致。Cloudflare 在其 IPsec IKEv2 响应器中构建了混合 ML-KEM 的生产支持,并针对 strongSwan 参考实现进行了测试,以确保其正常工作。
Cloudflare One Appliance 在 2 月 11 日自动升级至 2026.2.0 版本。由于该设备使用 TLS 而不是 IKEv2,更新相当直接——只需从 TLS 1.2 升级到 TLS 1.3,并内置混合 ML-KEM。
Cloudflare IPsec 仍在封闭测试中,同时公司正在与第三方分支连接器供应商合作以实现互操作性。Security Brief Australia指出,Cloudflare 的全球网络中加入了高可用性路由,如果数据中心宕机,可以自动重新路由流量。
现在,完整的画面包括了 TLS、MASQUE 和 IPsec 的后量子加密入站和出站。根据Cloudflare Radar的数据,超过 60%的人为生成的 TLS 流量已经使用混合 ML-KEM。
所有这些都不额外收费。CISA 在其2026年 1 月的出版物中承认了密钥协议和数字签名迁移之间的分歧。Cloudflare 目前的推动重点是通过混合 ML-KEM 建立密钥。数字签名的紧迫性较小,因为它们旨在阻止拥有量子计算机的活跃对手,而这样的对手目前还不存在。
原文链接:
https://www.infoq.com/news/2026/03/cloudflare-post-quantum-ipsec/
