Защита будущего: Cloudflare внедряет квантово-устойчивые алгоритмы

Cloudflare активно развивает меры защиты интернет-коммуникаций от потенциальных угроз, связанных с развитием квантовых вычислений. Для этого компания внедряет постквантовую криптографию (PQC) в свою платформу Zero Trust. Это позволяет организациям защищать сетевой трафик без необходимости обновлять каждое приложение или систему в отдельности.

Работа над защитой от квантовых атак ведётся Cloudflare с 2017 года. Эти усилия согласуются с рекомендациями Национального института стандартов и технологий США (NIST), который разработал стратегию перехода от традиционных криптографических алгоритмов. В ноябре 2024 года NIST представил план постепенного отказа от RSA и эллиптической криптографии (ECC), с полным прекращением их использования к 2035 году. Однако Cloudflare стремится обеспечить защиту своих клиентов задолго до появления реальных квантовых угроз.

Уже сейчас более 35% HTTPS-трафика, проходящего через инфраструктуру Cloudflare, зашифровано с использованием постквантовой криптографии. Благодаря Zero Trust платформе компании могут применять сквозное шифрование корпоративного трафика, что избавляет от необходимости сложных обновлений внутренних систем и обеспечивает мгновенную защиту.

Cloudflare выделяет три основных направления внедрения PQC в Zero Trust-платформу:

1. Бесклиентский доступ — решение Zero Trust Network Access (ZTNA) теперь защищает каждый HTTPS-запрос к корпоративным приложениям с помощью PQC, обеспечивая устойчивость соединений к квантовым атакам.
2. Клиент WARP — к середине 2025 года весь трафик, проходящий через этот клиент, независимо от протокола, будет зашифрован с использованием PQC. Это позволит защитить корпоративные устройства и маршрутизацию данных.
3. Безопасный веб-шлюз (SWG) — трафик TLS, проходящий через Cloudflare Gateway, теперь шифруется с применением PQC, что соответствует новым стандартам защиты и предотвращает потенциальные угрозы.

Помимо HTTPS, Cloudflare работает над внедрением постквантовой защиты в решения, заменяющие VPN, и другие важные сетевые функции. Компания сотрудничает с банками, интернет-провайдерами и государственными организациями, чтобы предотвратить угрозы типа HNDL (собери сейчас, расшифруй позже). В таких атаках злоумышленники перехватывают зашифрованные данные, чтобы расшифровать их в будущем с помощью мощных квантовых компьютеров.

В долгосрочной перспективе Cloudflare планирует перевести протокол TLS 1.3 на постквантовые алгоритмы, модернизировав механизмы согласования ключей и цифровых подписей. Если первая задача уже решается с использованием ML-KEM, то интеграция постквантовых цифровых подписей требует дополнительных оптимизаций и пока находится на ранней стадии внедрения.