Cloudflare hat heute die Integration von Post-Quantum-Kryptografie in seine gesamte Cloudflare One SASE-Plattform abgeschlossen und ist damit der erste Anbieter, der umfassende quantenresistente Verschlüsselung für Unternehmensnetzwerke bereitstellt. Die Neuerung schützt vor künftigen „Harvest Now, Decrypt Later“-Angriffen durch Quantencomputer, steht allen Kunden ohne Aufpreis zur Verfügung und erfordert für die meisten Nutzer keine manuelle Konfiguration.
Die Implementierung umfasst alle Kernkomponenten der Cloudflare SASE-Plattform, einschließlich des Secure Web Gateway, der Zero-Trust-Dienste und der kürzlich ergänzten WAN-as-a-Service-Angebote, wie das Unternehmen in einem Blogbeitrag mitteilte. Dies schafft eine Ende-zu-Ende-verschlüsselte Umgebung, die Daten schützt, während sie von Endgeräten über das Cloudflare-Netzwerk zu privaten Ressourcen übertragen werden, selbst wenn die Zielserver noch über keine quantenresistenten Fähigkeiten verfügen.
Das System nutzt ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism), jenen kryptografischen Standard, der vom U.S. National Institute of Standards and Technology ausgewählt wurde, wie Cloudflare bekannt gab. Das Unternehmen verfolgt einen hybriden Ansatz, der Post-Quantum-Verschlüsselung parallel zu traditionellen Algorithmen wie ECDHE einsetzt, um Schutz sowohl gegen aktuelle als auch künftige Bedrohungen zu gewährleisten, während die Kompatibilität mit älteren Systemen gewahrt bleibt.
Phasenweise Bereitstellungsstrategie
Cloudflare setzt auf eine zweistufige Einführung, um die Stabilität innerhalb seiner Kundenbasis zu sichern. Die erste Phase, deren Abschluss das Unternehmen für Verbraucher-WARP-Clients bis September 2025 anstrebt und für Unternehmenskunden bis Ende 2025 erwartet, testet quantenresistente Verbindungen, greift bei Bedarf jedoch auf klassische Verschlüsselung zurück.
Die zweite Phase, geplant für Mitte 2026, wird ausschließlich Post-Quantum-Verbindungen erzwingen und jede Verbindung kappen, die keine quantenresistente Verschlüsselung aushandeln kann, um laut Cloudflares Ankündigung Downgrade-Angriffe zu unterbinden. Unternehmensadministratoren können diese strengeren Sicherheitsvorkehrungen über MDM-Konfigurationseinstellungen sofort aktivieren.
Marktauswirkungen
Dieser Schritt positioniert Cloudflare stark gegenüber Wettbewerbern im Umgang mit Bedrohungen durch Quantencomputing. Sicherheitsexperten warnen davor, dass diese heute verschlüsselte Daten kompromittieren könnten, sobald Quantencomputer leistungsfähig genug sind. Das Unternehmen hebt ausdrücklich seinen standardbasierten Ansatz hervor – im Gegensatz zur Einführung diverser nicht-standardisierter Cipher-Suites bei Wettbewerbern, was laut Cloudflare zu Interoperabilitätsproblemen führen könnte.
Cloudflare argumentiert, dass seine Implementierung eine praktikable Alternative zur Quantum Key Distribution (QKD) darstellt, welche das Unternehmen für eine breite Internet-Bereitstellung als unpraktisch erachtet. Die Integration erstreckt sich über Layer 3, Layer 4 und MASQUE-Protokolle und bietet eine umfassende Abdeckung für diverse Netzwerkkonfigurationen.
Während Cloudflare nur geringe Leistungseinbußen durch die neue Verschlüsselung meldet, wurden bisher keine konkreten Benchmarks veröffentlicht. Das Unternehmen gibt an, dass sich künftige Updates mit digitalen Post-Quantum-Signaturen für die Authentifizierung befassen werden, was jedoch als weniger dringend angesehen wird als der Schutz von Daten während der Übertragung.
Sources
- Cloudflare
