Cloudflare внедрил новый стандарт пост-квантового IPsec, заменив устаревшие шифры на гибридный механизм обмена ключами ML-KEM. Это важно для обеспечения безопасности сетевого трафика еще до 2030 года, когда компании должны отказаться от уязвимых алгоритмов RSA и Эллиптической кривой.
Предыстория изменений
Согласно требованиям NIST, к 2030 году все организации должны перейти на квантово-устойчивые алгоритмы, что делает Cloudflare одним из первых крупных игроков, внедривших такие технологии. Ранее компания сталкивалась с проблемами, связанными с использованием множества шифров, что негативно сказывалось на производительности.
Ожидается, что Cloudflare обеспечит пользователей конечной защитой от атак, называемых "собрать сейчас, расшифровать позже", когда злоумышленники получают эти уже сейчас, зная, что в будущем их может расшифровать мощный квантовый компьютер.
Технические детали
Гибридный ML-KEM работает параллельно с классическим алгоритмом Диффи-Хеллмана, что создает надежный "ремень с подвязками": первый защищает от квантовых атак, второй — от классических. Этот алгоритм реализует новую спецификацию draft-ietf-ipsecme-ikev2-mlkem.
Cloudflare провел тесты нового решения на своем IKEv2 Responder и успешно интегрировал обновления для своего устройства Cloudflare One Appliance 11 февраля. Обновление проверено на совместимость с реализацией strongSwan, что добавляет уверенности пользователям.
Практическая значимость
Для разработчиков и ИТ-специалистов это изменение сигнализирует о необходимости задумываться о будущем кибербезопасности. Если ваша организация использует IPsec, переход на новые механизмы защиты станет критически важным шагом для обеспечения безопасности этих в условиях растущих угроз от квантовых атак.
Cloudflare планирует совместимость с третьими сторонами, что обещает расширение применения пост-квантовых технологий и для других поставщиков. Пользователям стоит ожидать окончательного выхода новых технологий и стандартизации к концу 2024 года.
