2026 年 4 月,Cloudflare 正式宣布将后量子密码(PQC)全量迁移的时间节点从此前推测的 2030 年代中期大幅提前至 2029 年。这一决策直接源于 Google 公布的新型量子算法突破以及 Oratomic 关于中性原子量子计算机破解椭圆曲线密码的资源估算 —— 后者仅需约 10,000 个量子比特即可攻破 P-256 曲线。对于运营全球最大 CDN 与边缘计算网络之一的 Cloudflare 而言,这一时间表的压缩意味着其工程团队必须在未来三年内完成从加密层到认证层的全栈后量子化改造。本文深入解析该路线图的技术里程碑、核心工程挑战与可落地的迁移参数。
从加密到认证:为何 2029 年成为新拐点
Cloudflare 自 2019 年启动后量子密码准备计划,2022 年为所有网站和 API 启用后量子加密,目前超过 65% 的人类流量已获得后量子加密保护。然而,该公司强调,真正的全量后量子安全必须包含认证(Authentication)层面的升级。加密解决的是「现在存储、未来解密」的 HNDL(Harvest-Now-Decrypt-Later)攻击,而认证解决的是量子计算机直接伪造身份凭证、冒充服务器或劫持会话的问题。当 Q-Day(量子计算突破密码学的临界点)被认为远在 2035 年之后时,认证升级的紧迫性确实有限;但随着 Google 与 Oratomic 的研究将时间线压缩至 2030 年前后,认证迁移已成为最优先事项。
Google 的 Sophie Schmieg 在近期演讲中直接将量子攻击场景比作二战时期的 Enigma 密码战 —— 当攻击者拥有足够算力时,目标是保持隐蔽而非制造明显破坏。这意味着即便 HNDL 攻击在量子算力初期仍具吸引力,高价值目标的长期密钥(如根证书、API 认证密钥、代码签名证书)将成为首批攻击目标。Cloudflare 的 2029 时间表正是对这一威胁模型的直接响应。
技术路线图:四阶段里程碑详解
第一阶段:2026 年下半年 — ML-DSA 认证支持启动
Cloudflare 计划在 2026 年下半年向 Cloudflare 至源站(origin)的连接引入基于 ML-DSA(Module-Lattice-Based Digital Signature Algorithm)的后量子认证。ML-DSA 是 NIST 后量子密码标准中的核心签名算法,采用模块格(Module-Lattice)结构,具备对抗量子计算攻击的能力。此阶段的核心工程挑战在于兼容性处理:源站服务器必须支持 ML-DSA 证书,而当前主流 Web 服务器(如 Nginx、Apache)的后量子支持仍在逐步完善中。Cloudflare 建议客户在此阶段开始评估源站的 PQC 就绪状态,并准备证书轮换计划。
第二阶段:2027 年中期 — Merkle Tree Certificates 端到端认证
2027 年中期,Cloudflare 计划通过 Merkle Tree Certificates(MTC)实现访客至 Cloudflare 边缘节点的后量子认证。MTC 是一种基于哈希树结构的证书机制,能够在保持传统 X.509 兼容性的同时引入后量子安全属性。相比简单的证书替换,MTC 的优势在于支持渐进式部署 —— 旧版客户端仍可使用传统证书,而支持 PQC 的客户端自动升级。此阶段的关键参数包括:证书透明度日志(CT Log)必须支持 MTC 格式,且浏览器与客户端需完成相应的根证书信任链更新。Cloudflare 预计此时将面临最大规模的客户端兼容性测试。
第三阶段:2028 年初 — Cloudflare One SASE 全量后量子化
2028 年初,Cloudflare One SASE(Secure Access Service Edge)套件将完成其后量子认证升级。这意味着企业用户通过 Cloudflare One 建立的零信任连接将在端到端层面实现量子安全。SASE 场景的特殊性在于其涉及身份 provider、设备状态评估、流量加密与访问策略的多个环节,任何一个环节的量子脆弱性都可能成为攻击入口。Cloudflare 建议企业在此阶段前完成现有 SASE 策略的审计,识别所有依赖传统 RSA/ECDSA 签名的组件,并制定分阶段替换路线。
第四阶段:2029 年 — 全产品线默认后量子
2029 年,Cloudflare 整个产品矩阵将实现默认开启的后量子安全和认证。此处的「默认开启」意味着传统量子脆弱的密码套件将被逐步禁用。Cloudflare 明确指出,仅添加 PQC 支持并不足以保证安全 —— 必须同步关闭对传统算法的支持,以防止降级攻击(Downgrade Attack)。然而,在面向公众的 Web 服务中,完全禁用传统密码需要考虑浏览器兼容性问题。Cloudflare 提出了 PQ HSTS(后量子严格传输安全)和证书透明度日志作为补充保护手段,确保即使客户端不支持 PQC,服务器也能通过策略强制或日志记录的方式降低风险。
核心工程挑战:认证迁移的依赖链困境
相比加密迁移,后量子认证的复杂度呈指数级上升。Cloudflare 在博客中指出了三个核心工程挑战:
依赖链冗长。 加密可以单次推送完成 —— 一旦 TLS 握手升级为 PQC 密码套件,所有数据自动获得保护。但认证涉及证书签发、密钥轮换、信任链验证、第三方依赖等多个环节。以代码签名为例,签名前的构建系统、签名服务、发布平台、终端验证逻辑均需同步支持 PQC,任何一处断裂都会导致构建失败或发布不可用。Cloudflare 估计这一依赖链的完成周期为「以年计」而非「以月计」。
长周期密钥优先原则。 如果量子计算机在早期阶段仍属稀缺资源,攻击者必然优先锁定高价值目标。根证书、代码签名密钥、长期 API Token 等生命周期超过一年的密钥应优先升级。Cloudflare 建议安全团队立即盘点所有有效期超过 12 个月的密钥,并将其标记为 PQC 迁移的最高优先级。
降级防护与密钥轮换。 禁用传统密码套件后,所有在此之前通过量子脆弱通道暴露的密钥(如密码、访问令牌、Session ID)均需重新生成。Cloudflare 警告,这一轮换过程在大型组织中可能涉及数百万级别的凭证更新,且需要与欺诈监控、内部审计系统同步配合,否则可能出现安全间隙。
可落地参数清单
针对计划启动后量子迁移的安全团队,以下是关键监控指标与配置建议:密钥盘点应以生命周期 12 个月为阈值建立优先级队列;源站 PQC 支持状态需在 2026 年第三季度前完成首轮审计;SASE 策略审计应覆盖所有依赖传统签名的身份 provider;密钥轮换计划应预留至少 6 个月的灰度窗口期;降级攻击防护需部署 PQ HSTS 策略并接入支持 MTC 格式的 CT Log。
Cloudflare 明确表示,所有后量子安全升级将向所有付费计划的用户免费提供,不设高级版限制。这一策略与该公司当年免费提供 Universal SSL 的逻辑一脉相承 —— 安全升级的普及速度取决于边际成本,而边缘网络的规模效应使其成为可能。对于依赖 Cloudflare 基础设施的企业客户而言,这意味着可以在不增加采购成本的前提下获得量子级安全保护,但前提是确保自身端的客户端与源站能够跟上 2029 年的默认升级节奏。
资料来源: Cloudflare 官方博客《Cloudflare targets 2029 for full post-quantum security》(2026 年 4 月 7 日)。