Хотя более двух третей генерируемого людьми TLS-трафика, направленного в Cloudflare, уже защищено постквантовой криптографией, мир сетей «сайт-сайт» представлял собой иную картину. Долгие годы сообщество IPsec оставалось зажатым между высокой планкой интернет-масштабируемой совместимости и нишевыми требованиями специализированного оборудования. Этот разрыв сейчас сокращается.
Ранее в этом месяце мы объявили, что Cloudflare перенесла свою цель по полной постквантовой безопасности на 2029 год, чему способствовали недавние достижения в области квантовых вычислений. Для достижения этой цели мы сделали постквантовое шифрование в Cloudflare IPsec общедоступным.
Используя новый проект IETF для гибридного ML-KEM (FIPS 203), мы успешно протестировали совместимость с филиальными соединителями от Fortinet и Cisco — это означает, что вы можете уже сегодня начать защищать свою глобальную сеть (WAN) от атак типа «собери сейчас, расшифруй позже», используя уже имеющееся оборудование.
В этом посте объясняется, как мы реализовали новое гибридное рукопожатие IPsec, почему оно появилось на четыре года позже своего TLS-аналога и как отрасль наконец консолидируется вокруг стандарта, работающего в масштабе Интернета.
Cloudflare IPsec
Cloudflare IPsec — это WAN как услуга (Network-as-a-Service), которая заменяет устаревшие сетевые архитектуры, подключая центры обработки данных, филиалы и облачные VPC к глобальной сети IP Anycast от Cloudflare. Клиенты получают упрощенную настройку, высокую доступность (если центр обработки данных становится недоступным, трафик автоматически перенаправляется в ближайший исправный) и масштаб глобальной сети Cloudflare. Это достигается с помощью зашифрованных IPsec-туннелей, которые поддерживают как WAN «сайт-сайт», исходящие интернет-подключения, так и связь с SASE-платформой Cloudflare One.
Постквантовое шифрование в IPsec
Cloudflare IPsec теперь использует постквантовое шифрование с гибридным ML-KEM (FIPS 203) для предотвращения атак типа «собери сейчас, расшифруй позже». Это атаки, при которых злоумышленник собирает данные сегодня, а расшифровывает их позже, после Q-Day, когда появятся мощные квантовые компьютеры, способные взломать классическую криптографию с открытым ключом, используемую в Интернете. Атаки «собери сейчас, расшифруй позже» становятся проблемой для все большего числа организаций, поскольку Q-Day приближается быстрее, чем ожидалось.
ML-KEM (механизм инкапсуляции ключей на основе модульных решеток) — это алгоритм постквантовой криптографии, основанный на математических допущениях, которые, как известно, не уязвимы для атак с помощью квантовых компьютеров. Он не требует специального оборудования или выделенной физической линии между отправителем и получателем. ML-KEM намеренно спроектирован для реализации в программном обеспечении на стандартных процессорах, чтобы обеспечить постквантовое шифрование сетевого трафика.
Draft-ietf-ipsecme-ikev2-mlkem определяет постквантовое шифрование для IPsec с использованием гибридного ML-KEM, который объединяет хорошо изученную безопасность классического Diffie-Hellman и постквантовую безопасность ML-KEM в едином, соответствующем стандартам рукопожатии. В частности, сначала выполняется классический обмен Diffie-Hellman, его производный ключ шифрует второй обмен, выполняющий ML-KEM, а выходные данные обоих смешиваются в сеансовые ключи, которые защищают трафик плоскости данных IPsec, передаваемый с использованием протокола ESP (Encapsulating Security Payload).
Наша совместимая реализация
Ранее мы объявили о закрытом бета-тестировании нашей реализации draft-ietf-ipsecme-ikev2-mlkem в производственной среде нашего продукта Cloudflare IPsec и протестировали ее с эталонной реализацией (strongswan). Теперь, когда мы сделали эту реализацию общедоступной, мы также подтвердили совместимость с несколькими другими поставщиками, включая Cisco и Fortinet, что является большой победой для этого нового стандарта.
Cisco: Клиенты, использующие защищенные маршрутизаторы Cisco серии 8000 после версии 26.1.1 в качестве филиального соединителя, теперь также могут устанавливать постквантовые туннели Cloudflare IPsec в соответствии с draft-ietf-ipsecme-ikev2-mlkem.
Fortinet: Клиенты, использующие Fortinet FortiOS 7.6.6 и более поздние версии в качестве филиального соединителя, теперь могут устанавливать постквантовые туннели Cloudflare IPsec к глобальной сети Cloudflare в соответствии с draft-ietf-ipsecme-ikev2-mlkem.
Важность совместимости
Учитывая, что обновление криптографии сложно и может занять годы, наша целевая дата 2029 года для полного перехода на постквантовую криптографию потребует сосредоточенных усилий. Именно поэтому мы надеемся, что сообщество IPsec продолжит сосредотачиваться на разработке совместимых стандартов, таких как draft-ietf-ipsecme-ikev2-mlkem.
Позвольте нам объяснить, почему эти стандарты жизненно важны. Полная спецификация для гибридного ML-KEM в IPsec, draft-ietf-ipsecme-ikev2-mlkem, стала доступна только в конце 2025 года. Это примерно через четыре года после того, как поддержка гибридного ML-KEM появилась в TLS. (Фактически, Cloudflare включила гибридное постквантовое согласование ключей в TLS в 2022 году, еще до того, как NIST завершила стандартизацию ML-KEM, потому что сообщество TLS быстро сошлось на едином совместимом подходе и внедрило его в производство. Сегодня более двух третей генерируемого людьми TLS-трафика, направленного в сеть Cloudflare, защищено с помощью гибридного ML-KEM.)
Четырехлетняя задержка, вероятно, отчасти связана с сохраняющимся интересом сообщества IPsec к квантовому распределению ключей (QKD), закрепленному в RFC 8784, опубликованном в 2020 году. Мы писали ранее о том, почему QKD не является частью нашей постквантовой стратегии: QKD требует специализированного оборудования и выделенной физической линии между двумя сторонами, что принципиально означает, что он не будет работать в масштабе Интернета. Кроме того, QKD не обеспечивает аутентификацию, поэтому вам все равно нужна постквантовая криптография для защиты от активных атакующих. Трудно найти реализации QKD, которые были бы совместимы между разными поставщиками.
NSA США, BSI Германии и NCSC Великобритании предостерегли от использования только QKD. Постквантовая криптография, напротив, работает на уже имеющемся у вас оборудовании, аутентифицирует стороны на обоих концах и работает «из конца в конец» через Интернет.
RFC 9370, опубликованный в 2023 году, открыл дверь для постквантовой криптографии в IPsec, разрешив выполнять до семи обменов ключами параллельно с классическим Diffie-Hellman. Однако RFC 9370 не определял, какие наборы шифров следует использовать в этих параллельных обменах ключами. В отсутствие такой спецификации некоторые поставщики выпустили ранние реализации на основе RFC 9370 до того, как стал доступен проект гибридного ML-KEM, определяя собственные наборы шифров, включая некоторые, не стандартизированные NIST. Это именно тот вид «раздувания наборов шифров», против которого предупреждал NIST SP 800-52r2. И риски для совместимости проявились на практике: Cloudflare IPsec пока не совместим с реализацией Palo Alto Networks на основе RFC 9370, поскольку она была запущена до того, как стал доступен draft-ietf-ipsecme-ikev2-mlkem.
К счастью, теперь у нас есть draft-ietf-ipsecme-ikev2-mlkem, который заполняет пробелы в RFC 9370, определяя гибридный ML-KEM как один из механизмов обмена ключами, которые могут работать параллельно с классическим Diffie-Hellman. Мы надеемся добавить Palo Alto Networks в список совместимых постквантовых филиальных соединителей по мере того, как отрасль продолжает консолидироваться вокруг draft-ietf-ipsecme-ikev2-mlkem.
Но путешествие к совместимым постквантовым стандартам IPsec еще не закончено. В то время как draft-ietf-ipsecme-ikev2-mlkem поддерживает постквантовое шифрование, нам все еще нужны стандарты IPsec для постквантовой аутентификации, чтобы мы могли остановить атаки квантовых противников на действующие системы после Q-Day. Учитывая сокращенные сроки полной постквантовой готовности, мы надеемся, что сообщество IPsec продолжит сосредотачиваться на совместимых реализациях PQC, а не отвлекаться на нишевые варианты использования с QKD.