11 min. de leitura
Durante a Security Week 2025, lançamos o primeiro Gateway seguro da web (SWG) pós-quântico nativo em nuvem do setor e uma solução Zero Trust, um grande passo para proteger o tráfego de rede corporativo enviado de dispositivos de usuários finais para redes públicas e privadas.
Mas isso é apenas parte da equação. Para realmente proteger o futuro das redes corporativas, você precisa de um Serviço de acesso seguro de norda (SASE) completo.
Hoje, completamos a equação: o Cloudflare One é a primeira plataforma SASE a oferecer suporte à criptografia pós-quântica (PQ) compatível com os padrões modernos em nosso Gateway seguro da web, e em casos de uso de Zero Trust e redes de longa distância (WANs). Mais especificamente, o Cloudflare One agora oferece ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism) híbrido pós-quântico em todas as principais vias de acesso e de saída.
Para completar a equação, adicionamos suporte para criptografia pós-quântica ao nosso Cloudflare IPsec (nossa WAN como serviço nativa de nuvem) e ao Cloudflare One Appliance (nosso dispositivo de WAN físico ou virtual que estabelece conexões Cloudflare IPsec). O Cloudflare IPsec usa o protocolo IPsec para estabelecer túneis criptografados da rede de um cliente para a rede global da Cloudflare, enquanto o IP Anycast é usado para rotear automaticamente esse túnel para o data center da Cloudflare mais próximo. O IPsec da Cloudflare simplifica a configuração e oferece alta disponibilidade. Se um data center específico se tornar indisponível, o tráfego será redirecionado automaticamente para o data center íntegro mais próximo. O Cloudflare IPsec é executado na escala de nossa rede global e oferece suporte entre sites em uma WAN, bem como conexões de saída para a internet.
A atualização do Cloudflare One Appliance está em disponibilidade geral a partir da versão do dispositivo 2026.2.0. A atualização do IPsec da Cloudflare está em beta fechado, e você pode solicitar acesso adicionando seu nome à nossa lista de beta fechado.
Criptografia pós-quântica é importante agora
As ameaças quânticas não são um problema da "próxima década". Veja por que nossos clientes estão priorizando a criptografia pós-quântica (PQC) hoje:
O prazo está se aproximando. No final de 2024, o Instituto Nacional de Padrões e Tecnologia (NIST) enviou um sinal claro (que foi repetido por outras agências): a era da criptografia clássica de chave pública está chegando ao fim. O NIST estabeleceu o prazo até 2030 para descontinuar o RSA e a Elliptic Curve Cryptography (ECC) e fazer a transição para a PQC, que não pode ser quebrada por computadores quânticos poderosos. As organizações que ainda não iniciaram sua migração correm o risco de ficar fora de conformidade e vulneráveis à medida que o prazo se aproxima.
Historicamente, as atualizações têm sido complicadas. Embora 2030 possa parecer distante, atualizar algoritmos criptográficos é notoriamente difícil. A história nos mostrou que a descontinuação da criptografia pode levar décadas. Encontramos exemplos de problemas causados pelo MD5 vinte anos após sua descontinuação. Essa falta de agilidade criptográfica, a capacidade de trocar facilmente algoritmos criptográficos, é um grande gargalo. Ao integrar a criptografia PQ diretamente ao Cloudflare One, nossa plataforma SASE, oferecemos agilidade criptográfica integrada, simplificando a forma como as organizações oferecem acesso remoto e conectividade entre sites.
Os dados podem já estar em risco. Por fim, "colher agora, descriptografar depois" é uma ameaça presente e persistente, em que os invasores coletam tráfego de rede sensível hoje e o armazenam até que os computadores quânticos se tornem poderosos o suficiente para descriptografá-lo. Se seus dados tiverem uma vida útil de mais do que alguns anos (por exemplo, informações financeiras, dados de saúde, segredos de estado), eles já estão em risco, a menos que sejam protegidas pela criptografia PQ.
As duas migrações no caminho para a segurança quântica: acordo de chaves e assinaturas digitais
A transição do tráfego de rede para a criptografia pós-quântica (PQC) requer uma revisão de dois fundamentos criptográficos: acordo de chaves e assinaturas digitais.
Migração 1: estabelecimento de chave. O acordo de chaves permite que duas partes estabeleçam um segredo partilhado através de um canal inseguro. O segredo compartilhado é então usado para criptografar o tráfego de rede, resultando em criptografia pós-quântica. O setor convergiu amplamente para o ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism) como o protocolo padrão de acordo de chaves PQ.
O ML-KEM foi amplamente adotado para uso em TLS, geralmente implantado junto com o clássico Elliptic Curve Diffie Hellman (ECDHE), onde a chave usada para criptografar o tráfego de rede é derivada da combinação dos resultados dos acordos de chaves ML-KEM e ECDHE. (Isto também é conhecido como “ML-KEM híbrido”). Mais de 60% do tráfego TLS gerado por humanos para a rede da Cloudflare é atualmente protegido por ML-KEM híbrido. A transição para o ML-KEM híbrido foi bem-sucedida porque:
Como o ML-KEM é executado em paralelo com o ECDHE clássico, não há redução na segurança e na conformidade em comparação com a abordagem ECDHE clássica.
Migração 2: assinaturas digitais. Enquanto isso, as assinaturas digitais e os certificados protegem a autenticidade, impedindo que adversários ativos se passem pelo servidor para o cliente. Infelizmente, as assinaturas de PQ são atualmente maiores em tamanho do que os algoritmos de ECC clássicos, o que retarda sua adoção. Felizmente, a migração para assinaturas PQ é menos urgente, porque elas são projetadas para impedir adversários ativos armados com computadores quânticos poderosos, que ainda não são conhecidos. Assim, embora a Cloudflare esteja contribuindo ativamente para a padronização e implementação de assinaturas digitais PQ, a atualização atual do IPsec da Cloudflare se concentra na atualização do estabelecimento de chaves para o ML-KEM híbrido.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA reconheceu a natureza dessas duas migrações em sua publicação de janeiro de 2026, “Product Categories for Technologies That Use Post-Quantum Cryptography Standards”.
Para obter um SASE totalmente protegido com criptografia pós-quântica, atualizamos nossos produtos Cloudflare IPsec para oferecer suporte ao ML-KEM híbrido no protocolo IPsec.
A jornada da comunidade IPsec em direção à criptografia pós-quântica tem sido muito diferente da do TLS. O TLS é o padrão de fato para criptografar o tráfego da internet pública na camada 4, por exemplo, de um navegador para uma rede de distribuição de conteúdo (CDN), portanto, segurança e interoperabilidade entre fornecedores são prioridades em seu design. Enquanto isso, o IPsec é um protocolo de camada 3 que geralmente conecta dispositivos desenvolvidos pelo mesmo fornecedor (por exemplo, dois roteadores), portanto, historicamente, a interoperabilidade tem sido uma preocupação menor. Com isso em mente, vamos dar uma olhada na jornada do IPsec rumo ao futuro quântico.
Chaves pré-compartilhadas? Distribuição de chaves quânticas?
A RFC 8784, publicada em maio de 2020, foi concebida como a atualização pós-quântica do IPsec Internet Key Exchange v2 (IKEv2), usado para estabelecer as chaves simétricas utilizadas na criptografia do tráfego de rede IPsec. A RFC 8784 sugere a utilização de chaves pré-compartilhadas (PSK) de longa duração ou distribuição quântica de chaves (QKD). Nenhuma dessas abordagens é muito aceitável.
A RFC 8784 propõe a combinação de uma PSK com uma chave derivada da Diffie Hellman Exchange (DHE), essencialmente executando a PSK em um modo híbrido com a DHE. Essa abordagem protege contra invasores do tipo "colher agora, descriptografar depois", mas não oferece sigilo de encaminhamento contra adversários quânticos.
O sigilo de encaminhamento é um requisito padrão dos protocolos de acordo de chaves. Ele garante que um sistema permaneça seguro mesmo se a chave de longa duração for vazada. A abordagem PSK na RFC 8784 é vulnerável a um adversário do tipo "colher agora, descriptografar depois" que também obtém uma cópia da PSK de longa duração e pode descriptografar o tráfego no futuro (quebrando o acordo de chaves DHE) assim que computadores quânticos poderosos estiverem disponíveis.
Para resolver este problema de sigilo de encaminhamento, a RFC 8.784 pode ser usada para combinar a chave da DHE clássica com uma chave gerada recentemente derivada de um protocolo de QKD.
A QKD usa a mecânica quântica para estabelecer uma chave criptográfica secreta e compartilhada entre duas partes. É importante ressaltar que para a QKD funcionar, as partes devem ter hardware especializado ou estar conectadas por uma conexão física dedicada. Esta é uma limitação significativa, tornando a QKD inútil para casos de uso comuns da Internet, como conectar um laptop a um servidor distante por Wi-Fi. Essas limitações também são o motivo pelo qual nunca investimos na implantação da QKD para o Cloudflare IPsec. A Agência de Segurança Nacional (NSA) dos EUA, o BSI da Alemanha e o Centro Nacional de Segurança Cibernética do Reino Unido também alertaram contra confiar apenas na QKD.
Mas e quanto à interoperabilidade?
A RFC 9370 foi lançada em maio de 2023, especificando o uso de um acordo de chaves híbrido em vez de PSK ou QKD. Mas, diferentemente do TLS, que só é compatível com o uso de ML-KEM pós-quântico em paralelo com a DHE clássica, esse padrão IPsec permite o uso de até sete acordos de chaves diferentes para serem executados simultaneamente em paralelo com a Diffie Helman clássica. Além disso, não especifica detalhes sobre quais devem ser esses acordos-chave, deixando a cargo dos fornecedores a escolha de seus algoritmos e implementações. A Palo Alto Networks, por exemplo, levou isso a sério e criou suporte para mais de sete conjuntos de cifras de PQC diferentes em seu next generation firewall (NGFW), a maioria dos quais não interopera com outros fornecedores e alguns dos quais ainda não foram padronizados pelo NIST.
Ao longo dos anos, o TLS foi na direção oposta, reduzindo o número de conjuntos de cifras registrados de centenas no TLS 1.2 para cerca de cinco no TLS 1.3. Essa filosofia de reduzir o "inchaço do conjunto de cifras" também está alinhada com o SP 800 52 do NIST de 2019. A justificativa para reduzir o "inchaço do conjunto de cifras" inclui:
Interoperabilidade aprimorada entre fornecedores e regiões
Menor risco de ataques que exploram versões mais fracas do conjunto de cifras
Menor risco de problemas de segurança devido a configurações incorretas
Menor risco de falhas de implementação, reduzindo o tamanho da base de código.
É por isso que inicialmente não criamos compatibilidade com a RFC 9370.
Padrões que, finalmente, estão no caminho certo
É também por isso que ficamos animados quando a comunidade IPsec apresentou o draft-ietf-ipsecme-ikev2-mlkem. Este internet-draft padroniza a troca de PQ para IPsec da mesma forma que a troca de chaves PQ tem sido amplamente implantada para TLS: ML-KEM híbrido. A nova versão preliminar preenche as lacunas da RFC 9370, especificando como executar o ML-KEM como troca de chaves adicional em paralelo com a Diffie-Hellman clássica no IKEv2.
Agora que essa especificação está disponível, avançamos na compatibilidade com o IPsec pós-quântico em nossos produtos Cloudflare IPsec.
O Cloudflare IPsec agora é pós-quântico
O Cloudflare IPsec é uma solução WAN de rede como serviço que substitui arquiteturas de rede privada legadas conectando data centers, filiais e VPCs em nuvem à rede Anycast global da Cloudflare.
Com o Cloudflare IPsec, a rede da Cloudflare atua como o IKEv2 Responder, aguardando solicitações de conexão de um iniciador de IPsec, que é um dispositivo conector de filiais na rede do cliente. O Cloudflare IPsec é compatível com sessões IPsec iniciadas por conectores de filiais que incluem nosso próprio Cloudflare One Appliance, além de conectores de filiais de um conjunto diversificado de fornecedores, incluindo Cisco, Juniper, Palo Alto Networks, Fortinet, Aruba e outros.
Implementamos o suporte híbrido de produção ML-KEM no Cloudflare IPsec IKEv2 Responder, conforme especificado em draft-ietf-ipsecme-ikev2-mlkem. O esboço requer uma primeira troca de chaves para ser executada usando uma troca de chaves Diffie Helman clássica. A chave derivada é usada para criptografar uma segunda troca de chaves que é executada usando ML-KEM. Por fim, as chaves derivadas das duas trocas são combinadas e o resultado é usado para proteger o tráfego do plano de dados no modo IPsec ESP (Encapsulating Security Payload). O modo ESP usa criptografia simétrica e, portanto, já é seguro em relação ao quântico sem nenhuma atualização adicional. Testamos nossa implementação em relação ao IPsec Initiator na implementação de referência strongswan.
Você pode ver o conjunto de cifras usado na negociação IKEv2 visualizando os logs do Cloudflare IPsec.
Optamos por implementar o ML-KEM híbrido em vez do ML-KEM "puro", ou seja, apenas ML-KEM sem DHE executada em paralelo, por dois motivos. Em primeiro lugar, usamos ML-KEM híbrido em todos os nossos outros produtos da Cloudflare, já que essa é a abordagem adotada em toda a comunidade TLS. Em segundo lugar, ele fornece uma segurança reforçada: o ML-KEM fornece proteção contra ataques quânticos "colher agora, descriptografar depois", enquanto a DHE fornece um algoritmo testado e comprovado contra adversários não quânticos.
Um convite à interoperabilidade
O valor total desta implementação pode ser alcançado apenas por meio da interoperabilidade. Por esse motivo, estamos convidando outros fornecedores que estão desenvolvendo compatibilidade com IPsec Initiators em seus conectores de filiais, conforme draft-ietf-ipsecme-ikev2-mlkem, para testar nossa implementação do Cloudflare IPsec. Os clientes da Cloudflare que desejam testar a interoperabilidade com conectores de filiais de terceiros enquanto estamos no beta fechado podem se inscrever aqui. Planejamos lançar a disponibilidade geral e desenvolver a interoperabilidade com outros fornecedores à medida que mais deles começarem a ficar on-line com compatibilidade com draft-ietf-ipsecme-ikev2-mlkem.
Hardware seguro em relação ao quântico: o Cloudflare One Appliance
Muitos de nossos clientes adquirem seus conectores de filiais (hardware ou virtualizados) da Cloudflare, em vez de um fornecedor terceirizado. É por isso que o Cloudflare One Appliance, nosso dispositivo plug-and-play que conecta sua rede local ao Cloudflare One, também foi atualizado com criptografia pós-quântica.
O Cloudflare One Appliance não usa o IKEv2 para acordos de chaves ou estabelecimento de sessões, optando, em vez disso, por confiar no TLS. O dispositivo inicia periodicamente um handshake TLS com a borda da Cloudflare, compartilha um segredo simétrico sobre a conexão TLS resultante e, em seguida, injeta esse segredo simétrico na camada ESP do IPsec, que criptografa e autentica o tráfego do plano de dados IPsec. Esse design nos permitiu evitar a criação de lógica do IKEv2 Initiator e facilita a manutenção do conector usando nossas bibliotecas TLS existentes.
Assim, atualizar o Cloudflare One Appliance para criptografia PQ foi apenas uma questão de atualizar o TLS 1.2 para o TLS 1.3 com ML-KEM híbrido, algo que fizemos muitas vezes em diferentes produtos na Cloudflare.
Como faço para ativar essa opção? E quanto custa?
Como sempre, essa atualização para o Cloudflare IPsec não tem nenhum custo extra para nossos clientes. Como acreditamos que uma internet segura e privada deve ser acessível a todos, estamos em uma missão de incluir a PQC em todos os nossos produtos, sem hardware especializado, e sem custo adicional para nossos clientes e usuários finais.
Os clientes que usam o Cloudflare One Appliance obtiveram essa atualização para a PQC na versão 2026.2.0 (lançada em 11/02/2026). A atualização é implementada automaticamente (sem necessidade de ação do cliente) de acordo com a janela de interrupção configurada para cada dispositivo.
Para clientes que usam o Cloudflare IPsec com dispositivos de conexão de filiais de outro fornecedor, a interoperabilidade ocorrerá assim que o suporte para o draft-ietf-ipsecme-ikev2-mlkem estiver on-line. Você também pode entrar em contato conosco diretamente para obter acesso ao beta fechado e solicitar que interoperemos com o conector de filiais de um fornecedor específico.
O panorama completo: SASE pós-quântico
A proposta de valor para um SASE pós-quântico é clara: as organizações podem obter proteção imediata de ponta a ponta para seu tráfego de rede privada enviando-o por meio de túneis protegidos por ML-KEM híbrido. Isso protege o tráfego de ataques do tipo "colher agora, descriptografar depois", mesmo que os aplicativos individuais na rede corporativa ainda não tenham sido atualizados para a PQC.
O diagrama acima mostra como o ML-KEM híbrido pós-quântico é oferecido em várias configurações de rede do Cloudflare One. Ele inclui as seguintes vias de acesso:
e as seguintes vias de saída:
O diagrama abaixo destaca um exemplo de configuração de rede que usa a via de acesso do Cloudflare One Client para conectar um dispositivo a um servidor atrás de uma via de saída do Cloudflare One Appliance. O dispositivo do usuário final se conecta à rede da Cloudflare (link 1) usando MASQUE com ML-KEM híbrido. Em seguida, o tráfego viaja pela rede global da Cloudflare por meio de TLS 1.3 com ML-KEM híbrido (link 2). Em seguida, o tráfego sai da rede da Cloudflare por meio de um link Cloudflare IPsec pós-quântico (link 3) que termina em um dispositivo Cloudflare One Appliance. Por fim, ele se conecta a um servidor dentro do ambiente do cliente. O tráfego é protegido por criptografia pós-quântica enquanto viaja pela internet pública, mesmo que o próprio servidor não seja compatível com a criptografia pós-quântica.
Por fim, observamos que o tráfego que acessa o Cloudflare One e, em seguida, sai para a internet pública também pode ser protegido por nosso Cloudflare Gateway pós-quântico, nosso Gateway seguro da web (SWG). Aqui está um diagrama mostrando como o SWG funciona:
Conforme discutido em um post anterior no blog, nosso SWG já é compatível com o ML-KEM híbrido no tráfego do SWG para o servidor de origem (desde que a origem seja compatível com o ML-KEM híbrido) e no tráfego do cliente para o SWG (se o cliente for compatível com o ML-KEM híbrido, que é o caso da maioria dos navegadores modernos). É importante ressaltar que qualquer tráfego que acesse o SWG por meio de um dispositivo que tenha o Cloudflare One Client instalado ainda está protegido com ML-KEM híbrido, mesmo que o próprio navegador web ainda não seja compatível com criptografia pós-quântica. Isso se deve ao túnel MASQUE pós-quântico que o Cloudflare One Client estabelece para a rede global da Cloudflare. O mesmo se aplica ao tráfego que acessa o SWG por meio de um túnel Cloudflare IPsec pós-quântico.
Em resumo, o Cloudflare One agora oferece criptografia pós-quântica em nossas vias de acesso e de saída TLS, MASQUE e IPsec, para tráfego de rede privada e para o tráfego que sai para a Internet pública por meio de nosso SWG.
O futuro está seguro em relação ao quântico
Ao completar a equação SASE pós-quântica com o Cloudflare IPsec e o Cloudflare One Appliance, estendemos a criptografia pós-quântica a todas as nossas principais vias de acesso e de saída. Escolhemos intencionalmente o caminho da interoperabilidade e da simplicidade, a abordagem híbrida ML-KEM que o IETF e o NIST defenderam, em vez de prender nossos clientes em implementações proprietárias, "inchaço do conjunto de cifras" ou atualizações de hardware desnecessárias.
Esta é a promessa do Cloudflare One, uma plataforma SASE que não é apenas mais rápida e confiável do que as arquiteturas legadas que substitui, mas que fornece criptografia pós-quântica. Seja para proteger o navegador de um funcionário remoto ou um link de data center de vários gigabits, agora você pode fazer isso com a confiança de que seus dados estão protegidos contra ataques de "colher agora, descriptografar depois" e outras ameaças futuras.
Inscreva-se aqui para obter uma demonstração completa de nossos recursos pós-quânticos na plataforma SASE Cloudflare One, ou registre-se aqui para entrar na lista do beta fechado do Cloudflare IPsec. Temos orgulho de liderar o setor nesta nova era da criptografia e convidamos você a se juntar a nós na construção de uma internet escalável, compatível com padrões e pós-quântica.