heise PlusAbo
Anzeige

Cloudflare will bis 2029 vollständig quantensicher sein

Cloudflare forciert die Umstellung auf Post-Quantum-Kryptografie und plant bis 2029 die vollständige Migration, inklusive Authentifizierung.

vorlesen Druckansicht
Eine isometrische Darstellung eines Servers mit Zahnrädern und binärem Code.

(Bild: heise medien)

Lesezeit: 2 Min.
iX Magazin
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Cloudflare beschleunigt seine Post-Quantum-Migration und plant bis 2029 die vollständige Umstellung – inklusive quantensicherer Authentifizierung. Das Unternehmen reagiert damit auf aktuelle Fortschritte in der Quantencomputer-Forschung, die den Zeitrahmen für die Bedrohung durch Quantenangriffe verkürzen.

Post-Quantum-Kryptografie bezeichnet Verfahren, die auch Angriffen durch Quantencomputer standhalten sollen. Weit verbreitete Public-Key-Verfahren wie RSA oder Elliptic Curve Cryptography (ECC) lassen sich mit Quantenalgorithmen wie Shor prinzipiell brechen. Sicherheitsforscher warnen zudem vor dem Szenario „Harvest now, decrypt later“ (HNDL): Angreifer könnten bereits heute verschlüsselte Daten abgreifen und sie später mit Quantencomputern entschlüsseln. Das macht eine frühzeitige Umstellung auf neue Verfahren dringlich.

VerschlĂĽsselung steht, Authentifizierung folgt

Im Kern setzt Cloudflare bereits seit 2022 auf hybride Verschlüsselung (Kyber + ECDHE), um HNDL-Angriffe zu verhindern. Sollte sich eines der beiden Verfahren künftig als unsicher erweisen, bleibt die Verbindung durch das jeweils andere geschützt. Gleichzeitig ermöglicht der Ansatz eine schrittweise Migration, ohne bestehende Infrastruktur zu brechen. Jetzt folgt die Umstellung der Authentifizierung auf das gitterbasierte Verfahren Dilithium.

Dabei greift Cloudflare auf Algorithmen aus dem Standardisierungsprozess des National Institute of Standards and Technology (NIST) zurück, allen voran das gitterbasierte Verfahren Kyber für den Schlüsselaustausch. Gitterbasierte Verfahren gelten als aussichtsreich, weil sie auf mathematischen Problemen beruhen, die auch Quantencomputer nicht effizient lösen können.

Videos by heise

Roadmap bis 2029 in mehreren Etappen

Die Post-Quantum-Verschlüsselung ist seit 2022 standardmäßig aktiv. Über 65 Prozent des menschlichen Datenverkehrs zu Cloudflare ist damit bereits post-quantum-verschlüsselt. Die Umstellung der Authentifizierung auf Dilithium erfolgt in mehreren Etappen: Mitte 2026 für Origin-Verbindungen, Mitte 2027 für Besucher-Verbindungen, Anfang 2028 für Enterprise-Netzwerke und vollständig bis 2029. Kunden müssen dafür keine Einstellungen ändern. Cloudflare unterstützt bereits hybride Verschlüsselung, aber Clients müssen Post-Quanten-Verfahren ebenfalls implementieren, um sie zu nutzen.

Für HTTPS bleibt klassische Kryptografie vorerst aktiv, um Kompatibilität zu wahren. Cloudflare nutzt Mechanismen wie PQ HSTS und Certificate Transparency, um Downgrade-Angriffe zu verhindern.

Weitere Informationen zur neuen Roadmap finden sich in der AnkĂĽndigung von Cloudflare.

Lesen Sie auch

(fo)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten