当前,互联网正逐步向后量子密码学 (PQC) 过渡,以应对“Q 日”的到来——即量子计算机破解支撑现代计算机系统运行的传统密码体系的日子。美国国家标准与技术研究院 (NIST) 深刻认识到这一转型的紧迫性,已正式宣布:传统密码算法(包括 RSA 和 Elliptic Curve Cryptography (ECC))必须在 2030 年前逐步淘汰,并于 2035 年全面禁用。
Cloudflare 远远领先于 NIST 的计划。如今,发送到 Cloudflare 网络的人为生成的互联网流量中,超过 45% 已经经过后量子加密。我们坚信安全私密的互联网应该免费且人人可用,因此我们致力于将 PQC 纳入我们所有的产品中,无需专门的硬件,并且不会给我们的客户和最终用户带来额外成本。
正因如此,我们自豪地宣布:Cloudflare WARP 客户端现已全面支持后量子密钥协议——这一突破性技术已同时集成至免费的消费者 WARP 客户端 1.1.1.1,以及企业 WARP 客户端 Cloudflare One Agent。
此次将 WARP 客户端升级至支持后量子密钥协议,能为用户当前的互联网流量提供即时防护,有效抵御先窃取后解密攻击。其价值主张十分清晰:通过 WARP 客户端的后量子 MASQUE 隧道传输互联网流量,您的所有网络流量都能立即获得后量子加密保护。即便通过该隧道传输的单个连接尚未升级至后量子密码学技术,也同样能享受这种保护。
其工作方式如下。
当 Cloudflare One Agent(我们的企业级 WARP 客户端)作为 Cloudflare One Zero Trust 平台的一部分,将员工连接到企业内部资源时,它现在能为网络流量提供端到端量子加密保护。如下图所示,来自 WARP 客户端的流量会被封装在采用后量子加密技术的 MASQUE(即基于 QUIC 加密的多路复用应用底层协议)隧道中,发送至 Cloudflare 的全球网络(链路 1)。随后,Cloudflare 全球网络会通过另一组后量子加密隧道(链路 2)转发该流量,最终通过建立在企业内网资源附近(通过安装 cloudflared 代理实现)的 Cloudflare Tunnel,以后量子加密方式将流量送达目标内部资源(链路 3)。
我们已将 Cloudflare One Agent 升级到后量子密钥协议,从而为发往企业内部资源的流量提供端到端的后量子加密保护。
当最终用户安装消费者版 WARP 客户端 (1.1.1.1) 时,WARP 客户端会将最终用户的网络流量封装在后量子加密的 MASQUE 隧道中。如下图所示,MASQUE 隧道保护着通往 Cloudflare 全球网络(链路 (1))的流量。Cloudflare 的全球网络随后使用后量子加密隧道,使流量尽可能接近其最终目的地(链路 (2))。最后,流量通过公共互联网转发到源服务器(即其最终目的地)。而最后一段连接(链路 (3) )是否采用后量子加密 (PQ) 则取决于具体情况。如果源服务器不支持 PQ,则连接没有采用后量子加密。如果 (a) 源服务器升级到 PQC,并且 (b) 最终用户通过支持 PQC 的客户端(例如 Chrome、Edge 或 Firefox)进行连接,则连接将采用后量子加密。将来,只要源服务器位于 Cloudflare 后面并支持 PQ 连接(即使您的浏览器不支持),Automatic SSL/TLS 将确保您的整个连接都采用后量子加密。
消费者 WARP 客户端 (1.1.1.1) 现已升级至后量子密钥协议
在详细介绍升级 WARP 客户端之前,我们先回顾一下迁移到 PQC 过程中涉及的不同加密原语。
密钥协议是一种允许两方或多方在不安全的通信信道上建立共享密钥的方法。该共享密钥随后可用于加密和验证后续通信。Transport Layer Security (TLS) 中的经典密钥协议通常使用 Elliptic Curve Diffie Hellman Diffie-Hellman (ECDH) 加密算法,该算法的安全性可被量子计算机使用 Shor 算法破解。
我们当下就需要部署后量子密钥协议,以抵御先窃取后解密攻击——这类攻击中,黑客会先行收集加密数据,待未来量子计算机技术成熟时再进行解密。任何处理十年后仍具价值数据的机构(如政府机关、金融机构、医疗机构等),都应部署后量子密钥协议来防范此类攻击。
这就是我们将 WARP 客户端升级到后量子密钥协议的原因。
后量子密钥协议已相当成熟且性能优异。我们的实验表明:在 TLS 1.3 协议中采用混合模式(即并行使用基于格的后量子模块化密钥封装机制 (ML-KEM) 算法与传统 ECDH 算法),其实际性能表现甚至优于采用传统密码学技术的 TLS 1.2 协议。
我们的网络中,超过三分之一的人类生成流量采用了支持混合后量子密钥交换的 TLS 1.3 协议(如上方屏幕截图所示,该协议在网络层显示为 X25519MLKEM768 组合);实际上,如果您正在使用 Chrome、Edge 或 Firefox 浏览器访问本博客,此刻您很可能正通过一个后量子加密连接进行阅读。
相比之下,后量子数字签名与证书在 TLS 协议及互联网公钥基础设施 (PKI) 中的应用仍处在标准化制定阶段。后量子签名与证书主要用于防御这样一种主动攻击:攻击者利用量子计算机伪造数字证书或签名,继而冒充可信服务器,借此解密或篡改通信内容。就我们目前所知,这类攻击者尚未出现,这也解释了为何后量子签名与证书尚未在互联网上大规模部署。我们尚未对 WARP 客户端进行升级以支持后量子签名与证书,但计划尽快落实。
一个独特的挑战:WARP 客户端中的 PQC 升级
尽管 Cloudflare 始终站在 PQC 转型的最前沿,但在升级 WARP 客户端时,我们面临了一个截然不同的挑战。与那些我们能完全掌控并能随时进行热修复的服务器不同,WARP 客户端直接在终端用户的设备上运行。事实上,它在数百万台我们无法控制的终端用户设备上运行。这一根本差异意味着,每次更新 WARP 客户端时,我们的版本发布必须一次成功,容不得半点差错。
更棘手的是,我们不仅需要让 WARP 客户端兼容五大操作系统(Windows、macOS、Linux、iOS 以及 Android/ChromeOS),还要确保面向消费者的 1.1.1.1 WARP 客户端和 Cloudflare One Agent 这两款产品都具备一致性和可靠性。此外,由于 WARP 客户端依赖的是相对较新的 MASQUE 协议(该协议直到 2022 年 8 月才实现行业标准化),我们在升级至后量子密钥协议技术时,必须格外谨慎,以防暴露出 MASQUE 协议本身潜藏的漏洞或不稳定因素。
所有这些挑战都表明,在 WARP 客户端中向 PQC 的过渡需要缓慢而谨慎,同时仍要为那些希望立即启用 PQC 的客户提供支持。。为了实现这一目标,我们使用了三种技术:
临时 PQC 降级;
逐步向我们的 WARP 客户端群体推出;以及
一个移动设备管理 (MDM) 覆盖。
让我们逐一进行深入探讨。
当我们将 MASQUE 中的 PQ 密钥协议功能推广到 WARP 客户端时,我们希望确保 WARP 客户端不会因为 PQC 迁移引发的错误、中间件或潜在的实现缺陷而难以连接。实现这种稳健性的一种方法是,如果客户端无法协商 PQ 连接,则将其降级为经典加密连接。
为了真正理解这一策略,我们需要回顾一下加密降级的概念。在密码学中,降级攻击是一种网络攻击,攻击者迫使系统放弃安全的加密算法,转而采用较旧、安全性较低甚至未加密的算法,从而得以窥探通信内容的恶意行为。因此,在新推出 PQ 加密时,标准做法是确保:如果客户端和服务器都支持 PQ 加密,则攻击者无法将其连接降级为传统加密。
因此,为防止降级攻击,我们必须确保:当客户端与服务器双方均支持 PQC 技术,但未能协商建立 PQC 连接时,该连接将直接中断。不过,虽然这种方法能有效防范降级攻击,但同时也会对系统稳健性造成影响。
我们无法同时兼顾稳健性(即客户端在 PQC 失败时能够降级到传统连接)和安全性(即客户端一旦支持 PQC 就被禁止降级到传统加密)。我们必须选择其一。因此,我们选择了分阶段的方法。
第一阶段:自动化 PQC 降级。我们优先保障系统稳定性,暂不提供针对降级攻击的防护。本阶段启用自动化 PQC 降级功能,即若客户端无法协商建立 PQC 连接,将自动回退至传统加密方式。通过这种设计,当 PQC 引入程序错误或其他不稳定因素时,客户端会自动切换至传统加密模式,确保终端用户不受任何影响。(注意:由于 MASQUE 协议仅在用户登录时建立单一长周期 TLS 连接,终端用户通常不会察觉到降级情况。)
第二阶段:具备防降级安全性的 PQC。之后,一旦部署稳定,并且我们确信不存在任何干扰 PQC 的问题,我们将优先考虑防降级攻击的安全性,而非稳健性。在此阶段,如果客户端无法协商 PQC 连接,则连接将直接断开,从而提供防降级攻击的安全性。
为了实施这种分阶段的方法,我们引入了一个 API 标志,客户端用它来确定应如何发起 TLS 握手。此标志有三种状态:
No PQC:客户端仅使用传统加密技术发起 TLS 握手。
允许 PQC 降级:客户端使用后量子密钥协议发起 TLS 握手。如果 PQC 握手协商失败,客户端会降级到传统加密。此标志支持我们部署方案的第一阶段。
仅限 PQC:客户端使用后量子密钥协议加密技术发起 TLS 握手。如果 PQC 握手协商失败,则连接失败。此标志支持我们部署方案的第二阶段。
WARP 桌面版本 2025.5.893.0、iOS 版本 1.11 和 Android 版本 2.4.2 均支持后量子密钥协议以及此 API 标志。
基于这一框架,接下来的问题是:这种分阶段推进方式,怎样的时间安排才最为合理?
为了限制由 PQC 迁移引发的错误或潜在实施错误的风险,我们逐步在 WARP 客户群中推出 PQC。
在我们方案部署的第一阶段,我们优先保障系统稳定性而非防范降级攻击。为此,我们首先将全体客户端群体的 API 标识设为“禁用 PQC”,随后再逐步为不同客户端分组启用“允许 PQC 降级”功能。在此过程中,我们会持续监测是否存在客户端从后量子密码学 (PQC) 回退至传统加密方式的情况。截至本文撰写时,我们已完成面向所有消费级 WARP (1.1.1.1) 客户端的第一阶段部署。预计到 2025 年底前,将完成 Cloudflare One Agent 的第一阶段部署工作。
第一阶段预计不会出现降级。事实上,降级表明可能存在需要我们修复的潜在问题。如果您正在使用 WARP 客户端,并且遇到您认为可能与 PQC 相关的问题,您可以使用 WARP 客户端界面中的反馈按钮(点击 WARP 客户端应用程序右上角的错误图标)告知我们。Enterprise 计划用户也可以提交 Cloudflare One Agent 的支持工单。
我们计划在 2026 年年中的夏季进入第二阶段——届时将把 API 标识设置为“仅 PQC”,从而为系统提供针对降级攻击的安全防护。
最后,我们了解到部分客户可能不愿等待我们完成这一审慎的 PQC 升级。因此,这些客户现在就可以自行启用 PQC 功能。
我们为 Cloudflare One Agent 构建了一套移动设备管理 (MDM) 覆盖机制。MDM 能让企业集中管理、监控并保护接入公司资源的移动设备,且其应用范围不仅限于移动设备,还支持多种类型的终端设备。针对 Cloudflare One Agent 的 MDM 覆盖机制,允许具备设备管理权限的管理员开启 PQC。若要使用 MDM 后量子覆盖功能,只需将“enable_post_quantum”MDM 标志设置为 true 即可。该标志的优先级高于我们前文所述的 API 标志信号,它将直接激活后量子密码学功能且不会触发降级。启用此设置后,客户端将仅协商后量子密码学连接。若后量子密码学协商失败,连接也将随之中断,从而有效防范降级攻击。
联邦风险和授权管理计划 (FedRAMP) 是美国政府用于保护云中联邦数据的标准。Cloudflare 已获得 FedRAMP 认证,这要求我们对 FIPS 边界内的某些产品使用符合 FIPS(联邦信息处理标准)的加密密码套件。
由于 WARP 客户端位于 Cloudflare 的 FIPS 边界内(用于我们的 FedRAMP 认证),因此我们必须确保其使用符合 FIPS 标准的加密技术。针对该 FIPS 边界内的内部链路(即 Cloudflare 可控连接两端的情况),我们目前使用一种混合密钥协议机制:它由采用 P256 椭圆曲线的 FIPS 合规 EDCH 算法,与 ML-KEM-768 的早期版本(我们在 ML-KEM 标准最终确定前就开始使用该版本)并行运行构成,该密钥协议名为 P256Kyber768Draft00。要在您的 WARP 客户端中观察此密码套件的运行情况,您可以使用 warp-cli tunnel stats 实用程序。以下是我们启用PQC后得到的示例结果:
下面是一个未启用 PQC 功能的示例:
我们坚信,PQC 应当惠及所有人,无需依赖专用硬件,也无需支付额外费用。为此,我们倍感自豪地肩负起推动互联网向 PQC 升级的时代重任。
一个强有力的策略是:采用后量子密钥协议保护的隧道,对互联网流量进行批量防护,有效抵御“先窃取后解密”攻击——即便通过该隧道传输的单个连接尚未升级至 PQC。最终,我们将为这些隧道升级支持后量子签名与证书功能,从而在 Q 日之后,有效阻断配备量子计算机的攻击者发起的主动攻击。
这种分阶段推进方式与互联网标准同步演进。通过采用隧道技术,我们为客户和终端用户提供了内置的密码敏捷性,使其能够轻松适应密码学领域的演进变化,而无需对整体架构进行重大改造。
Cloudflare 的 WARP 客户端是我们升级到后量子密钥协议的最新隧道技术。您可以立即在个人设备上使用我们免费的消费者版 WARP 客户端 1.1.1.1 免费试用,也可以在公司设备上使用我们面向 50 位用户以下团队的免费 Zero Trust 服务或付费的 Enterprise Zero Trust 或 SASE 订阅。只需在您的 Windows、Linux、macOS、iOS、Android/ChromeOS 设备上下载并安装客户端,即可开始使用 PQC 保护您的网络流量。