Cloudflare chính thức hỗ trợ mã hóa hậu lượng tử (Post-quantum) cho IPsec
Cloudflare vừa công bố hỗ trợ rộng rãi mã hóa hậu lượng tử cho IPsec, giúp các doanh nghiệp bảo vệ mạng WAN trước nguy cơ tấn công 'thu thập dữ liệu hôm nay, giải mã trong tương lai' mà không cần...
Trong khi phần lớn lưu lượng truy cập TLS trên mạng lưới Cloudflare đã được bảo vệ bởi mật mã hậu lượng tử (post-quantum cryptography), thì lĩnh vực kết nối mạng site-to-site (IPsec) vẫn còn là một thách thức. Sau nhiều năm nỗ lực cân bằng giữa khả năng tương tác ở quy mô Internet và các yêu cầu khắt khe của phần cứng chuyên dụng, Cloudflare đã chính thức đưa mã hóa hậu lượng tử vào dịch vụ IPsec của mình.
Table Of Content
Bảo vệ mạng WAN khỏi nguy cơ ‘Harvest-now-decrypt-later’
Cloudflare đã đẩy nhanh mục tiêu đạt chuẩn bảo mật hậu lượng tử toàn diện lên năm 2029 trước những tiến bộ nhanh chóng của máy tính lượng tử. Việc triển khai này sử dụng bản dự thảo IETF cho chuẩn hybrid ML-KEM (FIPS 203), giúp ngăn chặn các cuộc tấn công kiểu harvest-now-decrypt-later (thu thập dữ liệu hiện tại để giải mã sau này khi máy tính lượng tử đủ mạnh xuất hiện).
Điểm ưu việt của ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism) là nó không yêu cầu phần cứng đặc biệt hay các liên kết vật lý chuyên dụng. Thay vào đó, nó được thiết kế để chạy trên các bộ vi xử lý tiêu chuẩn, cho phép mã hóa lưu lượng mạng một cách hiệu quả.
Cơ chế Hybrid IPsec Handshake
Cloudflare sử dụng phương thức hybrid, kết hợp sự bảo mật đã được kiểm chứng của Diffie-Hellman cổ điển với tính bảo mật hậu lượng tử của ML-KEM trong cùng một handshake. Cụ thể, một tiến trình Diffie-Hellman sẽ chạy trước, sau đó khóa được tạo ra sẽ mã hóa cho tiến trình ML-KEM tiếp theo. Kết quả của cả hai sẽ được trộn lẫn để tạo ra các session keys bảo mật cho dữ liệu IPsec thông qua giao thức ESP (Encapsulating Security Payload).
Khả năng tương tác với Cisco và Fortinet
Sau giai đoạn thử nghiệm closed beta, Cloudflare đã xác nhận khả năng tương tác thành công của chuẩn này với các thiết bị từ những nhà cung cấp lớn:
- Cisco: Hỗ trợ trên các dòng Secure Router 8000 Series (phiên bản 26.1.1 trở lên).
- Fortinet: Hỗ trợ trên FortiOS 7.6.6 trở lên.
Việc thống nhất theo chuẩn draft-ietf-ipsecme-ikev2-mlkem là bước tiến quan trọng để tránh tình trạng phân mảnh ciphersuite, vốn từng gây khó khăn cho việc triển khai các giải pháp bảo mật trước đây.
Tại sao không phải là QKD?
Cloudflare khẳng định chiến lược của họ tập trung vào mật mã hậu lượng tử thay vì QKD (Quantum Key Distribution). QKD đòi hỏi phần cứng chuyên dụng và liên kết vật lý riêng biệt, không thể mở rộng ở quy mô Internet, đồng thời thiếu khả năng xác thực. Các cơ quan an ninh lớn như NSA (Mỹ), BSI (Đức) và NCSC (Anh) cũng đã cảnh báo về việc không nên chỉ dựa vào QKD.
Với việc bổ sung hỗ trợ cho IPsec, Cloudflare tiếp tục củng cố cam kết xây dựng một Internet an toàn, sẵn sàng cho kỷ nguyên hậu lượng tử mà không gây thêm chi phí hay gánh nặng phần cứng cho người dùng.
Nguồn tham khảo: Cloudflare Blog
No Comment! Be the first one.