Cloudflare宣布：对后量子时代加密技术永久免费

在Cloudflare，帮助建设更好的互联网不仅仅是一句口号。我们致力于长期的标准发展过程。我们热爱这项工作：推动互联网基础技术，以每个人都能使用的方式向前发展。今天，我们为这一承诺增添了更多实质性内容。我们的核心信念之一是，隐私是一项人权。我们相信，为了实现这一权利，最先进的加密需要永远免费提供给每个人。今天，我们宣布我们的后量子密码学实现将满足这一标准：对所有人开放，并且永久免费。

我们有引以为豪的历史，就是采用付费加密产品并免费大规模发布到互联网上。即使会带来短期和长期收入损失，我们也坚信这是正确的做法。2014年,我们通过Universal SSL向所有Cloudflare客户免费提供SSL。今天，我们宣布后量子加密（PQC）永远免费，这样做是本着首个重大公告的精神：

“拥有尖端的加密技术对一个小博客来说似乎并不重要，但它对于推动互联网默认加密的未来至关重要。每一个字节，无论看起来多么平凡，在互联网上加密流动，都会让那些希望拦截、限制或审查网络的人更加困难。换句话说，确保你的个人博客可以通过HTTPS访问，使得世界各地的人权组织或社交媒体服务或独立记者也能被访问。齐心协力，我们可以成就伟大事业。”

希望其他人也能跟进，使其PQC实现免费，从而让我们创造一个安全和私密的互联网，无需支付“量子附加费”。

自20世纪90年代和SSL面世以来，互联网已经发展成熟。曾经的实验性前沿已经变成了现代社会的基本结构。它运行在我们最关键的基础设施中，例如电力系统、医院、机场和银行。我们将最珍贵的记忆托付给它。我们把秘密托付给它。这就是为什么互联网默认是私密的。它需要默认是安全的。这就是为什么我们致力于确保任何人和每个人都可以免费实现后量子安全，并从今天开始大规模进行部署。

我们对PQC技术的研究是基于这样一个论点，即量子计算机可以破解传统密码学，产生类似于“千年虫”的问题。我们知道未来会出现一个问题，可能会给用户、企业甚至国家带来灾难性的后果。这次的不同之处在于，我们不知道计算机运作范式的这一突破将在何时发生。我们今天就需要为应对这种威胁做好准备。

为此，自2018年以来，我们一直在为这一过渡做准备。当时，我们担心其他大型协议转换（如TLS 1.3）给我们的客户带来的实现问题，并希望走在它前面。在过去的几年里，Cloudflare Research已经成为这个想法的领导者和拥护者：PQC安全不是明天的追悔，而是今天需要解决的现实问题。我们已经与Google和Mozilla等业界伙伴进行合作，通过参与IETF为开发做出了贡献，甚至推出了一个开源实验性密码学套件来帮助推动这一进程。我们已经努力与每个想要参与这个过程的人合作，并在这个过程中展示我们的工作进展及所取得的成果。

当我们与业界和学术界的伙伴合作，帮助我们和互联网为后量子未来做好准备时，我们对一种新兴趋势感到沮丧。越来越多的供应商想要利用紧张的高管、隐私倡导者和政府领导人对量子计算破坏传统加密的合理担忧来赚钱。这些供应商提供含糊的解决方案，这些解决方案基于未经验证的技术，例如“量子密钥分发”或“后量子安全”库，其中包含未经公开审查的非标准算法，并像RSA在20世纪90年代那样标上高价。他们经常喜欢抛出“人工智能”和“后量子”这样的短语，却没有真正展示他们的的系统实际是如何运行的。安全和隐私是现代互联网的筹码，任何人都不应该仅仅为了获得我们当代世界所需的基本保护而付费。

今天就启动您的PQC过渡

在现代网络中测试和采用后量子密码学不必是难事！事实上，Cloudflare客户今天就可以在他们的系统中测试PQC。

目前，我们支持Kyber作为任何使用TLS 1.3（包括HTTP/3）的流量的密钥协商。（如果想深入了解我们的实现，请查看我们去年秋天宣布测试版的博客。）为了帮助您通过这些新的密钥协商方法测试到Cloudflare域的流量，我们提供了适用于BoringSSL、Go和quic-go的开源分支。对于BoringSSL和Go，请查看这里的示例代码。

如果您通过cloudflared使用Tunnels，那么升级到PQC非常简单。确保版本不低于2022.9.1，然后只需运行`cloudflared–post-quantum`。

在测试了Cloudflare如何帮助您在网络中实现PQC之后，是时候开始为在所有系统中过渡到PQC做准备了。第一步的编目和识别对于顺利推出是至关重要的。我们对此有切身体会，因为我们已经对自己所有的系统进行了广泛的评估，以获得我们的FedRAMP授权认证，我们正在再次进行类似的评估，将我们所有的内部系统过渡到PQC。

我们如何为量子计算的未来做好准备

我们正在进行为完全保护Cloudflare自身免受量子计算机密码学威胁的开发，以下为路径的预览。我们可以将路径为三个部分：内部系统、Zero Trust和开源贡献。

Cloudflare全面采用PQC路径的第一部分涉及我们所有的连接。您和Cloudflare之间的连接只是更大连接路径的一部分。在我们的内部系统中，我们将在2023年实施两项重大升级，以确保它们也是PQC安全的。

首先，我们的大量的连接都使用BoringSSL。我们目前使用我们的分支，我们很高兴对Kyber的上游支持正在进行中。使用不同加密系统的其他内部连接也正在升级。我们正在进行的第二个主要升级是将剩余的使用TLS 1.2的内部连接转换为TLS 1.3。Kyber和TLS 1.3的组合将使我们的内部连接更快、更安全，即使我们混合使用经典和后量子安全加密。这是速度和安全的双赢。由于Cloudflare Research和Google的开创性工作，我们在超过三年半前就证明了这种强大的组合可以提供这样的速度和安全性。

该路径的下一部分是关于将PQC和Zero Trust作为搭档一起使用。当我们考虑到未来的安全态势是基于PQC时，我们必须看看今天正在实现的另一个关键的安全范式：Zero Trust。如今，Zero Trust市场上充斥着不支持常见协议（如IPv6和TLS 1.2）的产品，更不用说支持PQC的下一代协议（如TLS 1.3和QUIC）了。因此许多中间设备在当前现代协议的负载下苦苦挣扎。它们以检查流量的名义导致连接速度下降并破坏最终用户安全，因为它们没有更好的解决方案。大大小小的组织都在勉力支持那些想要尽可能高性能和安全性的客户，同时又要保证他们的业务安全，因为这些供应商抵制适应现代标准。我们不想重复过去的错误。我们正在计划和评估所有Zero Trust产品所需的升级，提供开箱即用的PQC。我们相信Zero Trust和PQC彼此并不矛盾，而是共同构成了未来的安全标准。

最后，仅仅为我们自己和我们的客户这样做是不够的。互联网的强大程度取决于将我们连接在一起的连接链中最薄弱的环节。互联网上的每一个连接都需要尽可能强大的加密，以确保企业的安全，以及日常用户的隐私。我们认为，这项核心技术应该与供应商无关，并向所有人开放。为了帮助实现这一目标，我们路径的最后一部分就是为开源项目做贡献。我们已经专注于向CIRCL发布版本。CIRCL（Cloudflare可互操作、可重用密码学库）是一个用Go编写的密码学原语集合。该库的目标是用作后量子加密算法实验部署的工具。

今年晚些时候，我们将以开源的形式发布一套易于采用、与供应商无关的路线图，以帮助您升级自己的系统，能够在今天做好应对未来的安全防护准备。我们希望后量子密码学所创造的安全和隐私向每个人免费提供。

相关推荐: 如何降低亚马逊订单缺陷率？订单缺陷率过高怎么办

卖家处理A -to-Z要比一般的退换货问题棘手。订单缺陷率(ODR)是亚马逊关闭卖家店铺的主要参考标准。ODR如果超过1%，就被认为太高了。但如果店铺被封，那ODR可能是超过1.19%。如何降低亚马逊订单缺陷率？订单缺陷率过高怎么办 解决订单缺陷率(ODR)问…