全部產品
Search

搜尋本產品

    Edge Security Acceleration:ESA後量子加密

    文件中心

    Edge Security Acceleration:ESA後量子加密

    更新時間:Apr 23, 2026

    隨著量子計算的發展,“先收集,後解密”(Harvest Now, Decrypt Later)攻擊已成為現實威脅。邊緣安全加速 ESA 原生整合後量子密碼(Post-Quantum Cryptography, PQC)能力,通過混合金鑰交換演算法 X25519MLKEM768 為用戶端到邊緣節點之間的傳輸鏈路提供抗量子計算攻擊保護。該能力全站預設開啟,無需配置即可保護長期敏感的通訊資料。

    後量子加密概述

    當前廣泛使用的 RSA、ECDSA 等公開金鑰加密演算法基於大整數分解和離散對數等數學難題。這些演算法在傳統電腦上需要數萬年才能破解,但理論上可在大規模量子電腦上通過 Shor 演算法在極短時間內被攻破。

    後量子密碼(Post-Quantum Cryptography, PQC)是指能夠抵禦量子電腦攻擊的密碼編譯演算法體系。它不依賴量子電腦運行,而是在現有經典電腦上執行,使用的數學問題即使在量子計算環境下也難以求解。NIST(美國國家標準與技術研究院)於 2022 年至 2024 年間陸續發布了首批後量子密碼標準,包括 FIPS 203(密鑰封裝機制 ML-KEM)、FIPS 204(數位簽章 ML-DSA)和 FIPS 205(數位簽章 SLH-DSA)。

    說明

    即使量子電腦尚未成熟,“先收集,後解密”攻擊已經構成現實威脅。攻擊者可以在當前截獲並儲存加密通訊資料,待量子電腦成熟後再行解密。對於需要長期保密的敏感性資料(如金融交易、病歷、政府通訊),應開啟後量子加密保護。

    適用情境

    ESA 後量子加密全站預設開啟,以下情境建議重點關注和驗證:

    • 金融與支付:交易資料具有長期保密價值,是"先收集,後解密"攻擊的首要目標。

    • 醫學健康:患者隱私資料受嚴格法規保護,且敏感性不會隨時間遞減。

    • 政企與關鍵基礎設施:涉及國家安全和公用服務的系統,合規要求最為迫切。

    • SaaS 與 API 服務:承載大量客戶資料的平台,需要向客戶證明安全投入的前瞻性。

    • 跨國業務:面對不同地區差異化的合規時間表,提前部署後量子加密可以一次性滿足多地要求。

    ESA 後量子加密能力

    ESA 在全球邊緣節點原生整合後量子密碼能力,為用戶端到邊緣節點之間的傳輸鏈路提供抗量子攻擊保護。

    混合金鑰交換

    ESA 採用 X25519MLKEM768 混合金鑰交換演算法,將傳統 X25519(橢圓曲線 Diffie-Hellman)與 ML-KEM-768(基於模格的密鑰封裝機制)結合。混合方案確保:

    • 即使 ML-KEM-768 被發現存在未知漏洞,X25519 仍能提供傳統安全保護

    • 即使未來量子電腦攻破 X25519ML-KEM-768 仍能提供後量子安全保護

    X25519 提供完美前向保密(Perfect Forward Secrecy, PFS),確保單次工作階段金鑰泄露不影響其他會話;ML-KEM-768 在此基礎上增加抗量子攻擊能力。

    支援 TLS 1.3 和 QUIC 協議

    ESA 後量子金鑰交換同時支援以下協議:

    • TLS 1.3:基於 IETF draft-ietf-tls-ecdhe-mlkem 草案實現,相容所有支援 TLS 1.3 的用戶端

    • QUIC:基於 IETF RFC 9000,在 QUIC 握手階段協商後量子金鑰交換,為 HTTP/3 流量提供保護

    全站預設開啟

    ESA 後量子加密能力全站預設開啟,無需修改配置、更換認證或調整加密套件。所有接入 ESA 的網域名稱自動啟用後量子金鑰交換。不支援後量子演算法的用戶端仍可正常建立 TLS 串連,不會因升級導致相容性中斷。

    重要

    此功能沒有控制台對應的開關或配置,是預設開啟的能力。所有接入 ESA 的網域名稱自動啟用後量子金鑰交換,無需手動設定。

    支援的演算法與標準

    能力

    演算法 / 標準

    說明

    密鑰封裝

    ML-KEM-768(FIPS 203)

    NIST 標準化後量子密鑰封裝機制

    混合金鑰交換

    X25519MLKEM768

    X25519 + ML-KEM-768 混合方案,兼顧傳統安全與後量子安全

    傳輸協議

    TLS 1.3 / QUIC

    同時覆蓋 HTTPS 和 HTTP/3

    用戶端支援

    Chrome 131+、Edge 131+、Firefox 132+

    主流瀏覽器已預設支援

    驗證後量子加密生效

    前提條件

    驗證後量子加密生效前,請確認滿足以下條件:

    • 若使用瀏覽器驗證:需Chrome 131 或更高版本。在瀏覽器地址欄輸入 chrome://version 查看目前的版本。

    • 若使用curl驗證curl 搭配 OpenSSL 3.5+ 或帶有 oqs-provider 的 OpenSSL。

    • 已在 ESA 接入網站,且 HTTPS 正常工作。

    通過 Chrome 開發人員工具驗證

    1. 使用 Chrome 瀏覽器訪問已通過 ESA 加速的網域名稱。

    2. F12 或 滑鼠右鍵 開啟開發人員工具,切換到安全(Security)面板。

    3. 串連(Connection)地區查看金鑰交換(Key exchange)欄位,若顯示 X25519MLKEM768,則後量子加密已生效。image

    通過 curl 命令驗證

    在終端執行以下命令,檢查 TLS 握手使用的金鑰交換演算法:

    curl -vso /dev/null https://your-domain.com 2>&1 | grep -i mlkem

    如果輸出中包含金鑰交換組為 X25519MLKEM768,則說明後量子加密已生效。