A Cloudflare, a vezető DDoS-mérséklő szolgáltatás, jelentős lépést tett az online kommunikáció jövőbeli kvantumfenyegetésekkel szembeni védelme felé azáltal, hogy posztkvantum kriptográfiai (PQC) védelmet integrált a Zero Trust platformjába.
Ez a fejlesztés lehetővé teszi a szervezetek számára, hogy megvédjék vállalati hálózati forgalmukat a potenciális kvantumszámítástechnikai támadásoktól anélkül, hogy minden egyes alkalmazást vagy rendszert külön kellene frissíteniük.
Ez a kezdeményezés a Cloudflare szélesebb körű stratégiájának része, amelynek célja, hogy szolgáltatásait jövőbiztossá tegye a kvantumszámítástechnika által jelentett potenciális kockázatokkal szemben. Míg a szakértők úgy vélik, hogy a klasszikus titkosítás feltörésére képes gyakorlati kvantumszámítógépek még évekre, vagy akár évtizedekre lesznek, a vállalat proaktívan felkészül erre a változó helyzetre.
A Nemzeti Szabványügyi és Technológiai Intézet (NIST) azt tanácsolta a magánszektornak és más szervezeteknek, hogy kezdjék meg a régebbi titkosításuk lecserélésének fáradságos folyamatát. A cél az, hogy 2030-ra digitális adataink és eszközeink nagy részét posztkvantum algoritmusok védjék. Az ilyen titkosítás bevezetése a nagyobb szolgáltatók, mint például a Cloudflare által, fontos eleme ennek a migrációs stratégiának. A We3Techs 2022-es adatai szerint a Cloudflare szolgáltatásait minden ötödik weboldal használja, míg a Netcraft szerint az internet millió legforgalmasabb weboldalának közel 20%-a használta. A világ legnagyobb weboldalai közül sok a Cloudflare szolgáltatásaira támaszkodik a DDoS-támadások elleni védekezésben.
A NIST több mint egy évtizede fejleszt stratégiákat az érzékeny adatok jövőbeli kvantumfenyegetésekkel szembeni védelmére. Az ügynökség öt új titkosítási algoritmust hagyott jóvá, és széles körű elterjedésüket sürgeti. A sürgősség abból az aggodalomból fakad, hogy az ellenfelek ma titkosított adatokat halmozhatnak fel, és azt tervezik, hogy visszafejtik azokat, amint a kvantumtechnológia kiforrottá válik.
Egyes szakértők a „technológiai meglepetés” kockázatára is figyelmeztetnek, amikor a kvantumáttörések a vártnál hamarabb történnek, így a felkészületlen szervezetek sebezhetővé válnak. Ez a bizonytalanság arra késztetett sok vállalkozást, hogy mérlegelje, milyen gyorsan és agresszívan térjen át a posztkvantum biztonságra.
2017 óta a Cloudflare aktívan fejleszt posztkvantum biztonsági megoldásokat, összhangban a Nemzeti Szabványügyi és Technológiai Intézet (NIST) erőfeszítéseivel, amelyek a hagyományos kriptográfiai algoritmusokról való átállást célozzák. 2024 novemberében a NIST bejelentette az RSA és az elliptikus görbe kriptográfia (ECC) fokozatos kivonásának tervét, a teljes elavulást 2035-re tűzték ki. A Cloudflare azonban proaktívan bevezeti a PQC-t ezen ütemterv előtt, hogy biztosítsa az ügyfelek védelmét jóval azelőtt, hogy a kvantumszámítástechnika valódi fenyegetést jelentene.
Jelenleg a Cloudflare-en áthaladó nem bot HTTPS forgalom több mint 35%-a már PQC-vel van védve. Ezenkívül a szervezetek mostantól kihasználhatják a Cloudflare Zero Trust platformját a vállalati hálózati forgalom végponttól végpontig történő titkosítására posztkvantum kriptográfiával. Ez a fejlesztés kiküszöböli a vállalkozások belső alkalmazásainak manuális frissítésének szükségességét, így azonnali védelmet nyújt a kvantumfenyegetésekkel szemben.
A PQC legfontosabb felhasználási esetei a Cloudflare Zero Trust platformján:
Kliens nélküli hozzáférés: A Cloudflare Zero Trust Network Access (ZTNA) megoldása mostantól minden, a vállalati alkalmazásokhoz intézett HTTPS-kérést PQC-vel véd, biztosítva a kvantum-rezisztens böngészőkapcsolatokat.
WARP Device Client: 2025 közepére a WARP kliens minden forgalmat – protokolltól függetlenül – titkosít egy PQC-vel védett kapcsolaton keresztül, biztosítva a vállalati eszközöket, és lehetővé téve a privát útvonaltervezést a Cloudflare globális hálózatán keresztül.
Secure Web Gateway (SWG): A Cloudflare Gateway-en áthaladó TLS-forgalom mostantól PQC-vel titkosított, ami fokozza a biztonságot, miközben megfelel a kvantum-biztonságos titkosítási szabványoknak.
A HTTPS-en túl a Cloudflare prioritásként kezeli a VPN-helyettesítők és más kritikus hálózati funkciók biztonságát. A vállalat aktívan együttműködik bankokkal, internetszolgáltatókkal és kormányokkal a PQC-megoldások telepítésében, enyhítve a „learat most, decrypt later” támadásokat – ahol a támadók titkosított adatokat gyűjtenek, hogy visszafejthessék őket, amint a kvantum-számítástechnika életképessé válik.
A Cloudflare hosszú távú stratégiája a TLS 1.3 protokoll PQC-re való átállítására összpontosít, mind a kulcsfontosságú megállapodási mechanizmusokat, mind a digitális aláírásokat figyelembe véve. Míg a kulcsfontosságú megállapodások migrálása az ML-KEM protokollal halad előre, a digitális aláírások bevezetése teljesítménybeli kihívásokat jelent, és még korai szakaszban van.
DDoS-támadások áttekintése
Az elosztott szolgáltatásmegtagadási (DDoS) támadások három fő típusba sorolhatók: volumetrikus támadások, protokoll támadások és erőforrás réteg támadások.
Volumetrikus támadás: Az ilyen típusú támadás célja a hálózat elárasztása olyan forgalommal, amely kezdetben legitimnek tűnik. A volumetrikus támadások a leggyakoribb DDoS-támadások. Gyakori példa a DNS (Domain Name Server) erősítés, amely a nyitott DNS-kiszolgálókat használja ki, hogy egy célpontot egy exc-vel elárasszon.
