Cloudflare wil zijn volledige platform uiterlijk 2029 volledig post-quantum-secure hebben, inclusief authenticatiesystemen. De herziene tijdlijn volgt op nieuwe ontwikkelingen in quantumcomputing die suggereren dat bestaande cryptografische standaarden eerder kunnen worden gekraakt dan verwacht.
De aanleiding is concreet. Onderzoek van Google en Oratomic laat zien dat algoritmen en hardware in staat zijn om veelgebruikte versleutelingsmethoden te breken, waaronder RSA-2048 en elliptic curve cryptography. Cloudflare ziet dit als bewijs dat de komst van ‘Q-day’, het moment waarop quantum computers huidige encryptie kunnen kraken, dichterbij komt. Sommige projecties plaatsen dat moment al aan het einde van dit decennium.
Cloudflare wijst op vooruitgang op drie parallelle fronten: quantum hardware, error correction en quantum-algoritmen. Verbeteringen in onder meer neutral atom-architecturen en efficiëntere foutcorrectie verlagen de benodigde middelen om encryptie te breken. Vooruitgang van algoritmes verlaagt tegelijkertijd de computationcomplexiteit. De combinatie van die drie maakt het dreigingslandschap volgens het bedrijf sneller gevaarlijk dan eerder gedacht.
Authenticatie als nieuwe prioriteit
Lange tijd lag de focus op het beschermen van versleutelde data tegen ‘harvest now, decrypt later’-aanvallen. Maar nu de tijdlijn verkort, verschuift het risico naar authenticatie. Quantum-aanvallers zouden dan inloggegevens kunnen vervalsen en direct toegang tot systemen kunnen krijgen. Dat maakt het probleem concreter dan ooit.
Migreren naar post-quantum authenticatie is daarbij complexer dan het uitrollen van post-quantum encryptie, vanwege afhankelijkheden van langlevende sleutels, systemen van derden en certificate-infrastructuur. Cloudflare benadrukt ook dat legacy cryptografische systemen volledig uitgeschakeld moeten worden om downgrade-aanvallen te voorkomen.
Het bedrijf heeft al post-quantum encryptie uitgerold over een groot deel van zijn netwerk. Meer dan de helft van het menselijk verkeer dat Cloudflare verwerkt, maakt inmiddels gebruik van post-quantum key agreement. Ondersteuning voor post-quantum authenticatie volgt in 2026, met bredere uitrol via het platform in 2028. Tegen 2029 moeten alle diensten standaard post-quantum-secure zijn, zonder extra kosten voor klanten.