Cloudflare strebt bis 2029 vollständige Post-Quantum-Sicherheit an

 (blog.cloudflare.com)
5 Punkte von GN⁺ 22 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Cloudflare hat sich das Ziel gesetzt, bis 2029 Authentifizierung und Verschlüsselung in allen Produkten auf Post-Quantum-Sicherheit umzustellen, und beschleunigt den Zeitplan zur Vorbereitung auf den Q-Day (den Zeitpunkt, an dem Quantencomputer heutige Kryptografie brechen können)
  • Derzeit nutzen mehr als 65 % des Traffics Post-Quantum-Verschlüsselung, doch Cloudflare stellt klar, dass vollständiger Schutz nicht möglich ist, wenn die Authentifizierung nicht quantensicher ist
  • Studien von Google und Oratomic zeigen, dass sich die Fähigkeiten von Quantencomputern zur Kryptanalyse schneller verbessern als erwartet, wodurch die Möglichkeit aufkommt, dass der Q-Day vor 2030 eintreten könnte
  • Cloudflare macht die Absicherung von Authentifizierungssystemen gegen Quantenangriffe zur obersten Priorität und treibt mit schrittweisen Meilensteinen die Sicherheitsumstellung des gesamten Produktportfolios voran
  • Alle Post-Quantum-Upgrades werden unabhängig vom Tarif kostenlos bereitgestellt, womit Cloudflare seine Mission eines „besseren Internets“ weiter stärkt

Cloudflares Ziel einer vollständigen Post-Quantum-Sicherheit bis 2029

  • Cloudflare hat das Ziel gesetzt, bis 2029 das gesamte Produktportfolio auf Post-Quantum-(PQ)-Sicherheit umzustellen, einschließlich des Bereichs Authentifizierung (Authentication)
  • Beginnend mit kostenlosen SSL-Zertifikaten im Jahr 2014 bereitete das Unternehmen ab 2019 den Übergang zu Post-Quantum vor und führte 2022 Post-Quantum-Verschlüsselung für alle Websites und APIs ein
  • Derzeit nutzen mehr als 65 % des Cloudflare-Traffics Post-Quantum-Verschlüsselung, doch das Unternehmen stellt klar, dass vollständiger Schutz unmöglich ist, wenn die Authentifizierung nicht quantensicher ist
  • Neuere Studien von Google und Oratomic zeigen, dass sich die Entwicklung der Kryptoanalyse-Fähigkeiten von Quantencomputern schneller als erwartet vollzieht, wodurch die Möglichkeit aufkommt, dass der Q-Day (der Tag, an dem Quantencomputer heutige Kryptografie brechen) vor 2030 eintreten könnte
  • Deshalb beschleunigt Cloudflare intern den Zeitplan zur Vorbereitung auf den Q-Day und treibt eine sicherheitsseitige Umstellung mit Fokus auf Authentifizierungssysteme voran

Fortschritte beim Quantencomputing und die Beschleunigung des Q-Day

  • Google gab bekannt, die Leistung eines Quantenalgorithmus zum Brechen elliptischer Kurvenkryptografie (ECC) deutlich verbessert zu haben, veröffentlichte den Algorithmus selbst jedoch nicht und belegte seine Existenz per Zero-Knowledge Proof
  • Am selben Tag veröffentlichte Oratomic Schätzungen des Ressourcenbedarfs zum Brechen von RSA-2048 und P-256 auf einem neutral-atom-basierten Quantencomputer und gab an, dass für P-256 nur 10.000 Qubits ausreichen könnten
  • Damit wurde klarer, warum Google parallel auch den Neutral-Atom-Ansatz entwickelt, während Oratomic einige Details bewusst nicht offenlegte
  • Google zog daraufhin sein eigenes Ziel für die Post-Quantum-Umstellung auf 2029 vor, und der CTO von IBM Quantum Safe erklärte, dass ein „Moonshot-Angriff“ auf hochwertige Ziele um 2029 nicht ausgeschlossen werden könne
  • Scott Aaronson warnte Ende 2025, dass der Zeitpunkt gekommen sei, an dem Ressourcenschätzungen für Quanten-Kryptoanalyse nicht länger öffentlich gemacht würden; Cloudflare bewertet dies mit den Worten: „Dieser Zeitpunkt ist bereits vorbei.“

Drei Achsen des Fortschritts bei Quantencomputern

  • Hardware: Mehrere Ansätze wie Neutral Atoms, Supraleiter, Ionenfallen, Photonik und topologische Qubits werden parallel verfolgt; die meisten Forschungslabore entwickeln mehrere davon gleichzeitig
    • Früher gab es Zweifel an der Skalierbarkeit, doch zuletzt macht vor allem der Neutral-Atom-Ansatz die schnellsten Fortschritte
    • Eine großskalige Umsetzung ist noch nicht bewiesen, doch mehrere Ansätze nähern sich einem kritischen Punkt
  • Error Correction: Alle Quantencomputer sind stark verrauscht, daher sind Fehlerkorrekturcodes unverzichtbar
    • Beim supraleitenden Ansatz werden für ein logisches Qubit etwa 1.000 physische Qubits benötigt, während laut Oratomic beim Neutral-Atom-Ansatz 3 bis 4 genügen könnten
  • Software: Google hat die Geschwindigkeit des Algorithmus zum Brechen von P-256 deutlich gesteigert, Oratomic präsentierte zusätzliche Optimierungen für rekonfigurierbare Qubits
  • Durch gleichzeitige Fortschritte auf diesen drei Achsen verkürzt sich der erwartete Zeitpunkt des Q-Day von nach 2035 auf vor 2030

Warum ein sicherheitsseitiger Wechsel mit Fokus auf Authentifizierung nötig ist

  • Die bisherige Post-Quantum-Strategie der Branche konzentrierte sich überwiegend auf Verschlüsselung (Encryption) und auf die Abwehr von Harvest-Now/Decrypt-Later-(HNDL)-Angriffen
  • Bei HNDL-Angriffen werden Daten heute gesammelt, um sie später mit Quantencomputern zu entschlüsseln; das ist die wichtigste Bedrohung, solange der Q-Day noch fern ist
  • Rückt der Q-Day jedoch näher, wird die Authentifizierung zum größeren Risiko, da Angreifer Server oder Zugangsnachweise fälschen könnten
  • Bereits die Preisgabe eines einzigen quantenanfälligen Authentifizierungsschlüssels kann das gesamte System kompromittieren, und automatische Update-Systeme werden zum Pfad für Remote Code Execution (RCE)
  • Deshalb wird die wichtigere Frage nicht mehr „Wann werden verschlüsselte Daten gefährdet?“ sein, sondern „Wann dringen Angreifer mit quantengefälschten Schlüsseln ein?

  • Priorisierung der verwundbarsten Systeme

    • Frühe Quantencomputer werden teuer und knapp sein, daher werden Angreifer zuerst auf langlebige Hochwert-Schlüssel wie Root-Zertifikate, API-Schlüssel und Code-Signing-Zertifikate zielen
    • Bei langlebigen Schlüsseln steigt die Priorität mit den Angriffskosten, doch sobald schnelle CRQCs erscheinen, werden HNDL-Angriffe wieder attraktiver
    • Googles Sophie Schmieg vergleicht dies mit dem strategischen Wandel beim Brechen der Enigma im Zweiten Weltkrieg

  • Schutz vor Downgrade-Angriffen

    • Es reicht nicht, nur PQ-Verschlüsselung zu unterstützen; quantenanfällige Kryptografie muss vollständig deaktiviert werden
    • In Umgebungen wie dem Web mit sehr vielfältigen Clients ist eine vollständige Deaktivierung schwierig
    • Bei HTTPS ist ein teilweiser Schutz durch PQ HSTS oder Certificate Transparency möglich
    • Nachdem alle quantenanfälligen Verfahren entfernt wurden, müssen bereits offengelegte Passwörter, Tokens und andere Geheimnisse ersetzt werden
    • Die Umstellung der Authentifizierung ist wesentlich komplexer als die der Verschlüsselung und erfordert mehrjährige Übergangsphasen

  • Berücksichtigung von Drittanbieter-Abhängigkeiten

    • Der Q-Day betrifft alle Systeme, daher müssen nicht nur direkt angebundene Partner, sondern auch indirekte Abhängigkeiten wie Finanz- und Infrastrukturdienste bewertet werden
    • Nötig sind ein vorrangiger Austausch langlebiger Schlüssel, Zusammenarbeit mit Drittanbietern und ein zeitgleicher Übergang des gesamten Ökosystems

Cloudflares Post-Quantum-Roadmap

  • Derzeit setzt Cloudflare in den meisten Produkten standardmäßig Post-Quantum-Verschlüsselung ein und entschärft damit HNDL-Angriffe
  • Bis 2029 strebt das Unternehmen vollständige Post-Quantum-Sicherheit für das gesamte Produktportfolio einschließlich Authentifizierung an
  • Je nach Risikobewusstsein und Schwierigkeit der Ausrollung werden schrittweise Zwischenmeilensteine gesetzt, die bei Bedarf angepasst werden sollen

Empfehlungen für verschiedene Organisationen

  • Unternehmen

    • Es wird empfohlen, Post-Quantum-Unterstützung in Beschaffungsanforderungen aufzunehmen
    • Grundlegende Sicherheitspraktiken wie aktuelle Software und automatische Zertifikatsausstellung bleiben wichtig
    • Die geschäftlichen Auswirkungen unzureichender Reaktionen zentraler Lieferanten sollten frühzeitig bewertet werden

  • Regierungen und Regulierungsbehörden

    • Klare Zeitpläne und die Benennung federführender Stellen beschleunigen die Umstellung in der gesamten Branche
    • Unterschiedliche nationale Standards sind ein Risikofaktor; erforderlich ist ein konsistentes Vorgehen auf Basis internationaler Standards
    • Wichtiger als Angst ist vertrauensbasierte, proaktive Führungsrolle beim Übergang

  • Cloudflare-Kunden

    • Cloudflare aktiviert Post-Quantum-Sicherheit automatisch standardmäßig, daher sind keine gesonderten Maßnahmen nötig
    • Allerdings kann es nötig sein, externe Komponenten wie Browser, Anwendungen und Origin-Server zu aktualisieren
    • Cloudflare One bietet über Tunneling Ende-zu-Ende-Schutz durch Post-Quantum-Verschlüsselung

Cloudflares Philosophie und die Politik kostenloser Bereitstellung

  • Privatsphäre und Sicherheit sind grundlegende Elemente des Internets; alle Post-Quantum-Upgrades werden allen Kunden unabhängig vom Tarif kostenlos bereitgestellt
  • So wie kostenloses TLS früher die Verbreitung von Web-Verschlüsselung beschleunigte, soll kostenlose Post-Quantum-Verschlüsselung die nächste Generation der Internetsicherheit vorantreiben
  • Cloudflares Connectivity Cloud unterstützt beim Schutz von Unternehmensnetzwerken, beim Aufbau großer Anwendungen, bei der Beschleunigung der Web-Performance, bei der DDoS-Abwehr und bei der Umsetzung von Zero Trust
  • Über die App 1.1.1.1 können Nutzer ein schnelleres und sichereres Internet verwenden
  • Auf Basis seiner Mission, „ein besseres Internet zu schaffen“, will Cloudflare die Sicherheit im Post-Quantum-Zeitalter anführen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 22 일 전
Hacker-News-Kommentare

  • Es wäre interessant, die Einführung von PQ-(quantenresistenter) Kryptografie mit der früheren Verbreitung von HTTPS zu vergleichen
    Cloudflare ist in einer Position, diesen Übergang leicht voranzutreiben, weil sich dort die Upgrade-Zyklen von Browsern bzw. Endgeräten der Nutzer von Backend-Upgrades entkoppeln lassen
    Ich denke, es wird so laufen, dass PQ zunächst auf einigen Websites optional eingesetzt und dann schrittweise verpflichtend wird, wobei Browser die Nutzer über Warnungen oder UX-basierte Lenkung zum Wechsel bewegen
    Früher dachte ich, das Risiko eines übereilten Upgrades sei größer als das Risiko eines Quantenangriffs, aber nach den jüngsten Informationen hat sich die Einschätzung eher zugunsten eines schnellen Umstiegs verschoben
    Website-Updates dürften viel einfacher sein als Anpassungen in anderen Systemen, besonders bei Bitcoin, gespeicherten Daten, Hardware usw.

    • Falls echte Belege für einen Quantencomputer auftauchen, könnten Browser nicht-PQ-Kryptografie als „nicht sicher“ markieren und so die Umstellung von Websites erzwingen
      Vielleicht wäre das innerhalb von 2–3 Jahren möglich, indem man in neuen Versionen wie TLS 1.4 oder QUIC 2 nur die Krypto-Spezifikation austauscht
      Das Problem ist, dass alte Geräte ohne Firmware-Updates die neuen Protokolle nicht unterstützen würden und dann massenhaft Verbindungen abbrechen könnten
    • Wenn man jetzt wartet, muss man später umso hektischer handeln
      Cloudflare Radar hat Statistiken zur PQ-Unterstützung von Origin-Servern hinzugefügt; sie liegen zwar unter den Browser-Werten, sind aber besser als erwartet
      Bis zur Lösung von Authentifizierungsproblemen und Ähnlichem ist es allerdings noch ein weiter Weg
    • Als System, das noch schwieriger zu aktualisieren ist als Websites, darf man auch die IPv6-Umstellung nicht vergessen

  • In unserem Dienst qi.rt.ht kann man PQ-Abfragen direkt ausprobieren
    Damit lässt sich prüfen, für welche Domains bereits PQ-Sicherheit aktiv ist

    • Ich finde, das ist wirklich eine wunderschöne API

  • Laut den Ergebnissen von Cloudflares Post-Quantum-TLS-Test verwendet news.ycombinator.com:443 X25519 und ist damit nicht PQ-gesichert
    Hoffentlich gibt es dafür bereits einen Migrationsplan
    Dank moderner Tools dürfte die Umstellung nicht allzu schwierig sein. Weiß jemand, welchen Stack HN verwendet?

    • Überraschend ist, dass die Browser-Unterstützungsrate deutlich besser ist als gedacht

  • Mozilla hat kürzlich den Leitfaden für serverseitige TLS-Konfiguration aktualisiert und empfiehlt nun den PQ-Schlüsselaustausch X25519MLKEM768
    Laut der offiziellen Dokumentation wurde das Kompatibilitätsprofil für alte Clients entfernt, ebenso der Fallback für IE11/Win7, sodass jetzt Win10 oder neuer die Mindestanforderung ist

  • Ich frage mich, ob es tatsächlich schon Fälle gibt, in denen Quantensysteme Kryptografie gebrochen haben

    • Unter Kryptografen hat sich die Stimmung in den letzten zwei Monaten tatsächlich stark verändert
      Mehrere Papers und Gerüchte haben zusammen dazu geführt, dass sich ein Konsens herausbildet, wonach das Auftauchen eines echten CRQC (cryptanalytisch relevanten Quantencomputers) viel näher sein könnte als bisher gedacht
      Einige Experten halten ihn sogar für „unmittelbar bevorstehend“
    • Bisher ist das alles noch theoretisch
      Allerdings warnen Forscher frühzeitig, weil sie befürchten, dass Behörden wie die NSA möglicherweise heimlich bereits über einen Quantencomputer verfügen könnten
      Wenn man auf eindeutige Beweise wartet, könnte es schon zu spät sein
    • Es ist weiterhin theoretisch, aber es zeichnet sich ein Konsens ab, dass praktisch angreifbare Quantensysteme früher kommen könnten als erwartet
      Filippo Valsorda, Maintainer des Golang-Kryptopakets, hat dazu eine Zusammenfassung veröffentlicht; das Fazit lautet: „Bis 2029 muss man vorbereitet sein“
    • Noch wurde nichts gebrochen, aber wenn Daten heute gesammelt werden, können sie später mit Quantencomputern entschlüsselt werden, deshalb muss man sich schon jetzt vorbereiten
    • Auch die Sicherheitsprüfung der PQ-Algorithmen selbst ist noch nicht vollständig abgeschlossen

  • Ich frage mich, ob künftige CPUs PQC-Hardwarebeschleunigung unterstützen werden
    Falls PQC zum Standard wird, könnten ältere Geräte langsamer werden

    • PQC wird nur für asymmetrische Kryptografie benötigt, also in der Handshake-Phase
      Die anschließende symmetrische Kryptografie (AES, ChaCha20 usw.) ist von Quantenangriffen weit weniger betroffen und wird daher vorerst nicht ersetzt
      Allgemeine CPUs haben ohnehin normalerweise keine Beschleunigung für asymmetrische Kryptografie, daher dürfte der Unterschied nicht groß sein
    • Tatsächlich lässt sich das auch ohne Hardwarebeschleunigung mit Vektoroperationen schnell genug verarbeiten
      Die neuen Algorithmen basieren meist auf modularer linearer Algebra, sodass es viel Raum für Optimierungen gibt

  • Ich frage mich, ob man SSH-Schlüssel jetzt auf PQ-Kryptografie umstellen sollte

    • OpenSSH unterstützt seit 2022 den PQ-Schlüsselaustausch
      Ab Version 10.1 (Oktober 2025) wird eine Warnung angezeigt, wenn kein PQ verwendet wird
      Neue Schlüssel müssen nicht erzeugt werden; es reicht, die Software auf beiden Seiten zu aktualisieren
      Erst beim Wechsel auf PQ-Signaturen ist ein Schlüsseltausch nötig, aber das ist nicht dringend

  • Ich frage mich, ob es Nachteile beim Umstieg auf PQ-Algorithmen gibt
    Selbst wenn Quantencomputer am Ende scheitern sollten: Gibt es einen Grund, sie nicht einfach trotzdem zu verwenden?

    • Tatsächlich wurden PQ-Algorithmen noch gründlicher geprüft als die bisherigen Verfahren
      Allerdings haben elliptische Kurven (ECC) den Vorteil kleiner Schlüssel und Signaturen, was bei der Bandbreite effizienter ist, und auch das Vertrauen in die mathematische Schwierigkeit ist hoch
      Andererseits sind PQ-Algorithmen in der Implementierung einfacher, wodurch unsichere Implementierungen weniger wahrscheinlich sind und man schwerer versehentlich eine schwache Instanz auswählt
      ML-DSA und ML-KEM gelten als stabil und sind zudem schnell
    • PQ-Zertifikate sind derzeit deutlich länger als heutige Zertifikate
      Ich kenne keine genauen Zahlen, aber Speicherbedarf und Datenübertragung steigen dadurch
    • PQ-Algorithmen sind im Vergleich zu herkömmlicher ECC langsamer und erzeugen mehr Datenaustausch, bieten aber dasselbe Sicherheitsniveau

  • Mullvad unterstützt bereits PQ-Verschlüsselung
    Persönlich würde ich das Unternehmen mit 10 von 10 Punkten empfehlen

  • Noch eine andere Frage
    Wenn alle auf quantenresistente Kryptografie umgestellt haben, wofür wären Quantencomputer dann eigentlich noch gut?
    Momentan geht es immer nur um das Knacken von Kryptografie, aber lägen andere Anwendungen dann eher im Forschungsbereich, etwa Proteinfaltung oder Logistikoptimierung?
    Selbst wenn es einen 10-Millionen-Dollar-Quantencomputer gäbe, der pro Stunde einen 256-Bit-Schlüssel knacken kann, wäre das nur ein destruktives Werkzeug, sobald alle Systeme auf PQ umgestellt haben
    ECC zu brechen hilft der Menschheit nicht weiter
    Deshalb bleibt die Frage, wofür Quantencomputer danach eingesetzt werden könnten