量子運算技術的進步,對 TLS 長期使用的加密機制構成威脅。Google 認為,如果研究進展維持目前的速度,量子電腦最快在 2029 年就能破解 TLS 中使用的非對稱加密技術。
為降低這項風險, Google Cloud 負載平衡器支援後量子金鑰交換功能,可抵禦量子電腦的理論能力。這些演算法是由美國國家標準與技術研究院 (NIST) 開發及審查,在 TLS 中使用這些演算法符合 IETF 開發的標準。
詳情請參閱「 Google Cloud中的後量子密碼編譯」。
量子運算如何威脅 TLS 安全性
與密碼學相關的量子電腦將能對傳輸層安全標準 (TLS) 安全性的兩項重要元件發動攻擊:金鑰交換和驗證。
針對金鑰交換的攻擊
與密碼學相關的量子電腦將能破解 TLS 握手期間使用的金鑰交換演算法,揭露用於加密 TLS 工作階段的對稱金鑰,並以純文字形式公開應用程式層流量。即使是使用 ECDHE 等完美前向保密金鑰交換方法的 TLS 連線,也無法避免這種情況。如果攻擊者今天記錄了整個 TLS 工作階段,即使在多年後量子運算能力問世時,他們仍可解密,這就是所謂的「先收集,再解密」攻擊。
針對驗證發動的攻擊
與密碼編譯相關的量子電腦將能破解 TLS 憑證或憑證授權單位使用的金鑰,讓攻擊者能偽造用戶端或伺服器身分。如果搭配中間人攻擊,攻擊者就能查看及操控 TLS 加密工作階段的內容。與針對金鑰交換的攻擊不同,針對驗證的攻擊無法對記錄的流量進行回溯。不過,針對驗證的攻擊會嚴重威脅網路驗證的完整性。
對稱密碼不會受到威脅
握手和驗證完成後,用於加密 TLS 工作階段的對稱密碼編譯密碼 (例如 AES-128、AES-256 和 ChaCha20) 不會受到量子運算的威脅。
後量子金鑰交換
為降低日後遭到擷取並解密攻擊的風險,建議您為用戶端與負載平衡器之間的連線啟用後量子金鑰交換。
後量子金鑰交換僅適用於前端 TLS 連線,也就是用戶端與負載平衡器之間的連線。
後量子金鑰交換功能適用於下列負載平衡器:
- 全域外部應用程式負載平衡器
- 傳統版應用程式負載平衡器
- 區域性外部應用程式負載平衡器
- 跨區域內部應用程式負載平衡器
- 區域性內部應用程式負載平衡器
- 全域外部 Proxy 網路負載平衡器
- 傳統版 Proxy 網路負載平衡器
X25519MLKEM768 是 Google Cloud 負載平衡器支援的特定後量子金鑰交換形式。這是混合式金鑰交換方法,也就是說,這項方法同時受到傳統和後量子密碼編譯機制保護。
啟用後量子金鑰交換後,負載平衡器會與公告支援 TLS 1.3 和 X25519MLKEM768 的用戶端連線時使用這項功能。與不支援 TLS 1.3 或 X25519MLKEM768 的用戶端連線時,則不會受到影響。
啟用後量子金鑰交換機制後,如果連線用戶端宣傳支援 TLS 1.3 和 X25519MLKEM768 金鑰交換機制,負載平衡器就會使用這項機制。不支援 TLS 1.3 或 X25519MLKEM768 的用戶端連線不會受到影響。
啟用後量子金鑰交換
如要在負載平衡器上啟用後量子金鑰交換,請在 SSL 政策中使用 post-quantum-key-exchange 設定,方法是將新的 SSL 政策附加至現有的 TargetHttpsProxy 或 TargetSslProxy,或是修改已附加的 SSL 政策。
如要進一步瞭解如何使用後量子金鑰交換設定建立 SSL 政策,請參閱「建立 SSL 政策」。
建議您立即啟用後量子金鑰交換,因為這項功能可立即防範「先竊取,後解密」攻擊。正確導入的用戶端應不會遇到問題。不過,如果您的用戶端應用程式不相容,可以將 post-quantum-key-exchange 設為 DEFERRED,這樣就能延後啟用後量子金鑰交換,直到 2027 年 10 月為止,讓您有時間調整應用程式,使其相容於這項功能。
後量子金鑰交換推出
由於後量子金鑰交換提供的安全防護機制十分重要, Google Cloud 將於 2026 年 10 月開始預設啟用這項功能。這會影響未附加 SSL 政策,或使用沒有後量子金鑰交換設定的 SSL 政策的負載平衡器。如有需要,您可以使用 DEFERRED 設定,將啟用後量子金鑰交換的時間延後至 2027 年 10 月。
下表顯示負載平衡器支援後量子金鑰交換的預計推出時間。
| 時間軸 | 後量子金鑰交換狀態 |
|---|---|
| 現在 | 預設為停用,只有在設為 ENABLED 時才會啟用 |
| 2026 年 10 月後 | 預設為啟用,設為 DEFERRED 時會停用 |
| 2027 年 10 月後 | 一律啟用 |