网络服务与安全厂商Cloudflare宣布，其IPsec后量子加密功能正式上线，这是该公司加速后量子安全准备布局的最新进展。Cloudflare此前已宣布，目标是在2029年全面实现后量子安全；4月30日，公司进一步将防护范围扩展至企业站点对站点广域网（site-to-site WAN）连接。

互联网协议安全（Internet Protocol Security，IPsec）是一套用于建立加密网络通道的通信协议，广泛应用于企业数据中心、分支机构与云环境之间的安全连接。Cloudflare IPsec是该公司提供的广域网即服务（WAN Network-as-a-Service），可让企业通过加密的IPsec通道，连接数据中心、分支机构、云VPC，以及Cloudflare One安全访问服务边缘（Secure Access Service Edge，SASE）平台。

Cloudflare IPsec新增支持的后量子加密功能，采用混合的模块格基密钥封装机制（Module-Lattice-Based Key-Encapsulation Mechanism，ML-KEM），结合传统Diffie-Hellman密钥交换与后量子算法，降低未来量子计算机破解现行公钥密码体系的风险。Cloudflare表示，该功能已完成与两种网络安全设备平台的互操作性测试，支持Cisco 8000系列Secure Routers 26.1.1及以上版本，以及Fortinet FortiOS 7.6.6及后续版本。企业可通过符合版本要求的现有分支机构设备，建立后量子Cloudflare IPsec通道。

Cloudflare强调，此类部署主要为防范“先截获、后解密”（harvest-now-decrypt-later）攻击，即攻击者现在拦截并保存加密流量，待未来量子计算机具备破解能力后再进行解密。这一时间节点通常被称为Q-Day。

由于量子计算进展可能使Q-Day比预期更早到来，Cloudflare认为，后量子加密不仅应应用于TLS流量，也需延伸至企业WAN等网络基础设施。