在Cloudflare��,幫助建設(shè)更好的互聯(lián)網(wǎng)不僅僅是一句口號(hào)�����。我們致力于長(zhǎng)期的標(biāo)準(zhǔn)發(fā)展過(guò)程���。我們熱愛(ài)這項(xiàng)工作:推動(dòng)互聯(lián)網(wǎng)基礎(chǔ)技術(shù)��,以每個(gè)人都能使用的方式向前發(fā)展����。
在Cloudflare���,幫助建設(shè)更好的互聯(lián)網(wǎng)不僅僅是一句口號(hào)�����。我們致力于長(zhǎng)期的標(biāo)準(zhǔn)發(fā)展過(guò)程�����。我們熱愛(ài)這項(xiàng)工作:推動(dòng)互聯(lián)網(wǎng)基礎(chǔ)技術(shù)��,以每個(gè)人都能使用的方式向前發(fā)展��。今天���,我們?yōu)檫@一承諾增添了更多實(shí)質(zhì)性內(nèi)容�。我們的核心信念之一是���,隱私是一項(xiàng)人權(quán)����。我們相信����,為了實(shí)現(xiàn)這一權(quán)利�����,最先進(jìn)的加密需要永遠(yuǎn)免費(fèi)提供給每個(gè)人�����。今天�,我們宣布我們的后量子密碼學(xué)實(shí)現(xiàn)將滿足這一標(biāo)準(zhǔn):對(duì)所有人開(kāi)放,并且永久免費(fèi)����。
我們有引以為豪的歷史����,就是采用付費(fèi)加密產(chǎn)品并免費(fèi)大規(guī)模發(fā)布到互聯(lián)網(wǎng)上�����。即使會(huì)帶來(lái)短期和長(zhǎng)期收入損失��,我們也堅(jiān)信這是正確的做法���。2014年,我們通過(guò)Universal SSL向所有Cloudflare客戶免費(fèi)提供SSL�。今天�,我們宣布后量子加密(PQC)永遠(yuǎn)免費(fèi),這樣做是本著首個(gè)重大公告的精神:
"擁有尖端的加密技術(shù)對(duì)一個(gè)小博客來(lái)說(shuō)似乎并不重要����,但它對(duì)于推動(dòng)互聯(lián)網(wǎng)默認(rèn)加密的未來(lái)至關(guān)重要。每一個(gè)字節(jié)�����,無(wú)論看起來(lái)多么平凡�����,在互聯(lián)網(wǎng)上加密流動(dòng),都會(huì)讓那些希望攔截���、限制或?qū)彶榫W(wǎng)絡(luò)的人更加困難��。換句話說(shuō)�,確保你的個(gè)人博客可以通過(guò)HTTPS訪問(wèn)��,使得世界各地的人權(quán)組織或社交媒體服務(wù)或獨(dú)立記者也能被訪問(wèn)����。齊心協(xié)力�����,我們可以成就偉大事業(yè)���。"
希望其他人也能跟進(jìn)�����,使其PQC實(shí)現(xiàn)免費(fèi)��,從而讓我們創(chuàng)造一個(gè)安全和私密的互聯(lián)網(wǎng)��,無(wú)需支付“量子附加費(fèi)”�。
自20世紀(jì)90年代和SSL面世以來(lái),互聯(lián)網(wǎng)已經(jīng)發(fā)展成熟����。曾經(jīng)的實(shí)驗(yàn)性前沿已經(jīng)變成了現(xiàn)代社會(huì)的基本結(jié)構(gòu)。它運(yùn)行在我們最關(guān)鍵的基礎(chǔ)設(shè)施中�,例如電力系統(tǒng)、醫(yī)院��、機(jī)場(chǎng)和銀行���。我們將最珍貴的記憶托付給它�。我們把秘密托付給它�。這就是為什么互聯(lián)網(wǎng)默認(rèn)是私密的。它需要默認(rèn)是安全的���。這就是為什么我們致力于確保任何人和每個(gè)人都可以免費(fèi)實(shí)現(xiàn)后量子安全�����,并從今天開(kāi)始大規(guī)模進(jìn)行部署�����。
我們對(duì)PQC技術(shù)的研究是基于這樣一個(gè)論點(diǎn)����,即量子計(jì)算機(jī)可以破解傳統(tǒng)密碼學(xué),產(chǎn)生類(lèi)似于“千年蟲(chóng)”的問(wèn)題����。我們知道未來(lái)會(huì)出現(xiàn)一個(gè)問(wèn)題,可能會(huì)給用戶�、企業(yè)甚至國(guó)家?guī)?lái)災(zāi)難性的后果。這次的不同之處在于���,我們不知道計(jì)算機(jī)運(yùn)作范式的這一突破將在何時(shí)發(fā)生���。我們今天就需要為應(yīng)對(duì)這種威脅做好準(zhǔn)備��。
為此���,自2018年以來(lái)��,我們一直在為這一過(guò)渡做準(zhǔn)備�����。當(dāng)時(shí)�,我們擔(dān)心其他大型協(xié)議轉(zhuǎn)換(如TLS 1.3)給我們的客戶帶來(lái)的實(shí)現(xiàn)問(wèn)題,并希望走在它前面���。在過(guò)去的幾年里����,Cloudflare Research已經(jīng)成為這個(gè)想法的領(lǐng)導(dǎo)者和擁護(hù)者:PQC安全不是明天的追悔���,而是今天需要解決的現(xiàn)實(shí)問(wèn)題��。我們已經(jīng)與Google和Mozilla等業(yè)界伙伴進(jìn)行合作�����,通過(guò)參與IETF為開(kāi)發(fā)做出了貢獻(xiàn)�����,甚至推出了一個(gè)開(kāi)源實(shí)驗(yàn)性密碼學(xué)套件來(lái)幫助推動(dòng)這一進(jìn)程���。我們已經(jīng)努力與每個(gè)想要參與這個(gè)過(guò)程的人合作,并在這個(gè)過(guò)程中展示我們的工作進(jìn)展及所取得的成果。
當(dāng)我們與業(yè)界和學(xué)術(shù)界的伙伴合作�����,幫助我們和互聯(lián)網(wǎng)為后量子未來(lái)做好準(zhǔn)備時(shí)�����,我們對(duì)一種新興趨勢(shì)感到沮喪�。越來(lái)越多的供應(yīng)商想要利用緊張的高管、隱私倡導(dǎo)者和政府領(lǐng)導(dǎo)人對(duì)量子計(jì)算破壞傳統(tǒng)加密的合理?yè)?dān)憂來(lái)賺錢(qián)�����。這些供應(yīng)商提供含糊的解決方案���,這些解決方案基于未經(jīng)驗(yàn)證的技術(shù)���,例如“量子密鑰分發(fā)”或“后量子安全”庫(kù),其中包含未經(jīng)公開(kāi)審查的非標(biāo)準(zhǔn)算法����,并像RSA在20世紀(jì)90年代那樣標(biāo)上高價(jià)�。他們經(jīng)常喜歡拋出“人工智能”和“后量子”這樣的短語(yǔ),卻沒(méi)有真正展示他們的的系統(tǒng)實(shí)際是如何運(yùn)行的�����。安全和隱私是現(xiàn)代互聯(lián)網(wǎng)的籌碼,任何人都不應(yīng)該僅僅為了獲得我們當(dāng)代世界所需的基本保護(hù)而付費(fèi)�����。
今天就啟動(dòng)您的PQC過(guò)渡
在現(xiàn)代網(wǎng)絡(luò)中測(cè)試和采用后量子密碼學(xué)不必是難事���!事實(shí)上��,Cloudflare客戶今天就可以在他們的系統(tǒng)中測(cè)試PQC����。
目前��,我們支持Kyber作為任何使用TLS 1.3(包括HTTP/3)的流量的密鑰協(xié)商�。(如果想深入了解我們的實(shí)現(xiàn),請(qǐng)查看我們?nèi)ツ昵锾煨紲y(cè)試版的博客���。)為了幫助您通過(guò)這些新的密鑰協(xié)商方法測(cè)試到Cloudflare域的流量���,我們提供了適用于BoringSSL、Go和quic-go的開(kāi)源分支。對(duì)于BoringSSL和Go�,請(qǐng)查看這里的示例代碼。
如果您通過(guò)cloudflared使用Tunnels�,那么升級(jí)到PQC非常簡(jiǎn)單。確保版本不低于2022.9.1�,然后只需運(yùn)行`cloudflared--post-quantum`。
在測(cè)試了Cloudflare如何幫助您在網(wǎng)絡(luò)中實(shí)現(xiàn)PQC之后�,是時(shí)候開(kāi)始為在所有系統(tǒng)中過(guò)渡到PQC做準(zhǔn)備了。第一步的編目和識(shí)別對(duì)于順利推出是至關(guān)重要的�����。我們對(duì)此有切身體會(huì)�����,因?yàn)槲覀円呀?jīng)對(duì)自己所有的系統(tǒng)進(jìn)行了廣泛的評(píng)估����,以獲得我們的FedRAMP授權(quán)認(rèn)證,我們正在再次進(jìn)行類(lèi)似的評(píng)估��,將我們所有的內(nèi)部系統(tǒng)過(guò)渡到PQC�。
我們?nèi)绾螢榱孔佑?jì)算的未來(lái)做好準(zhǔn)備
我們正在進(jìn)行為完全保護(hù)Cloudflare自身免受量子計(jì)算機(jī)密碼學(xué)威脅的開(kāi)發(fā),以下為路徑的預(yù)覽���。我們可以將路徑為三個(gè)部分:內(nèi)部系統(tǒng)�����、Zero Trust和開(kāi)源貢獻(xiàn)��。
Cloudflare全面采用PQC路徑的第一部分涉及我們所有的連接。您和Cloudflare之間的連接只是更大連接路徑的一部分�����。在我們的內(nèi)部系統(tǒng)中���,我們將在2023年實(shí)施兩項(xiàng)重大升級(jí),以確保它們也是PQC安全的���。
首先���,我們的大量的連接都使用BoringSSL。我們目前使用我們的分支�����,我們很高興對(duì)Kyber的上游支持正在進(jìn)行中�。使用不同加密系統(tǒng)的其他內(nèi)部連接也正在升級(jí)���。我們正在進(jìn)行的第二個(gè)主要升級(jí)是將剩余的使用TLS 1.2的內(nèi)部連接轉(zhuǎn)換為T(mén)LS 1.3。Kyber和TLS 1.3的組合將使我們的內(nèi)部連接更快�����、更安全�,即使我們混合使用經(jīng)典和后量子安全加密。這是速度和安全的雙贏���。由于Cloudflare Research和Google的開(kāi)創(chuàng)性工作��,我們?cè)诔^(guò)三年半前就證明了這種強(qiáng)大的組合可以提供這樣的速度和安全性�。
該路徑的下一部分是關(guān)于將PQC和Zero Trust作為搭檔一起使用��。當(dāng)我們考慮到未來(lái)的安全態(tài)勢(shì)是基于PQC時(shí)����,我們必須看看今天正在實(shí)現(xiàn)的另一個(gè)關(guān)鍵的安全范式:Zero Trust。如今�����,Zero Trust市場(chǎng)上充斥著不支持常見(jiàn)協(xié)議(如IPv6和TLS 1.2)的產(chǎn)品���,更不用說(shuō)支持PQC的下一代協(xié)議(如TLS 1.3和QUIC)了���。因此許多中間設(shè)備在當(dāng)前現(xiàn)代協(xié)議的負(fù)載下苦苦掙扎。它們以檢查流量的名義導(dǎo)致連接速度下降并破壞最終用戶安全��,因?yàn)樗鼈儧](méi)有更好的解決方案���。大大小小的組織都在勉力支持那些想要盡可能高性能和安全性的客戶���,同時(shí)又要保證他們的業(yè)務(wù)安全,因?yàn)檫@些供應(yīng)商抵制適應(yīng)現(xiàn)代標(biāo)準(zhǔn)���。我們不想重復(fù)過(guò)去的錯(cuò)誤�����。我們正在計(jì)劃和評(píng)估所有Zero Trust產(chǎn)品所需的升級(jí)�,提供開(kāi)箱即用的PQC��。我們相信Zero Trust和PQC彼此并不矛盾���,而是共同構(gòu)成了未來(lái)的安全標(biāo)準(zhǔn)���。
最后��,僅僅為我們自己和我們的客戶這樣做是不夠的����?��;ヂ?lián)網(wǎng)的強(qiáng)大程度取決于將我們連接在一起的連接鏈中最薄弱的環(huán)節(jié)�����?�;ヂ?lián)網(wǎng)上的每一個(gè)連接都需要盡可能強(qiáng)大的加密���,以確保企業(yè)的安全,以及日常用戶的隱私�。我們認(rèn)為,這項(xiàng)核心技術(shù)應(yīng)該與供應(yīng)商無(wú)關(guān)����,并向所有人開(kāi)放。為了幫助實(shí)現(xiàn)這一目標(biāo)��,我們路徑的最后一部分就是為開(kāi)源項(xiàng)目做貢獻(xiàn)。我們已經(jīng)專注于向CIRCL發(fā)布版本�����。CIRCL(Cloudflare可互操作�����、可重用密碼學(xué)庫(kù))是一個(gè)用Go編寫(xiě)的密碼學(xué)原語(yǔ)集合����。該庫(kù)的目標(biāo)是用作后量子加密算法實(shí)驗(yàn)部署的工具���。
今年晚些時(shí)候���,我們將以開(kāi)源的形式發(fā)布一套易于采用、與供應(yīng)商無(wú)關(guān)的路線圖����,以幫助您升級(jí)自己的系統(tǒng),能夠在今天做好應(yīng)對(duì)未來(lái)的安全防護(hù)準(zhǔn)備���。我們希望后量子密碼學(xué)所創(chuàng)造的安全和隱私向每個(gè)人免費(fèi)提供���。
立即登錄���,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
