隨著量子運算快速發展,現有加密技術面臨前所未有的挑戰。Gartner 將後量子密碼學(post-quantum cryptography;PQC)列為 2025 年十大策略性技術趨勢之一,突顯其重要性。
編譯/Nica
2023 年,全球發起多項重要的 PQC 舉措,Google、IBM 和 NIST 等機構亦積極參與,推動後量子密碼學技術的發展和應用。IBM 高層 Chris Hockings 對網路安全的未來表示樂觀,相信技術進步將帶來更安全的網路環境。然而,資安長仍需及早準備因應量子運算帶來的威脅,制定策略並規劃遷移到 PQC 。
Gartner 的 2025 年十大科技趨勢報告中,分析師預測將在未來幾年對科技產業產生重大影響,建議企業密切關注,積極應對,保持競爭優勢的十大趨勢分別為:AI 代理(Agentic AI)、AI 治理平台、防範假訊息的工具、邁向後量子密碼學、環境無線標籤和感測器、探索節能運算、採用混合運算、透過空間運算增強現實、多工機器人與神經增強技術。IT 領導者需要決定現在要採用哪些技術、要監控哪些、要忽略哪些。就「邁向後量子密碼學」而言,Gartner 報告指出,近期已發佈後量子密碼學標準,預計未來兩到三年內將成為重要議題。資訊長很快就需要將所有加密方式替換成後量子演算法,這種演算法不會被傳統電腦或量子電腦破解。後量子密碼學被列為企業需要密切關注的重點技術之一,量子運算的快速發展對現有加密技術絕對構成威脅,它強大的計算能力可能破解當前的加密演算法,危及敏感資料。
為應對量子運算帶來的挑戰,2023 年全球發起 11 項重要的 PQC 舉措:Chrome 鎖定 PQC(支援 ML-KEM)、NIST 核准後量子加密標準、Linux 基金會成立 PQC 聯盟(PQCA)、科技業發起 PQC 聯盟、CISA/NSA/NIST 發佈 PQC 遷移資源、Google 採用抗量子加密讓 Chrome 為未來攻擊做準備、X9 宣布制定 PQC 評估指南、PQShield 支援 PQC 遷移與進階旁路安全實作、NCCoE 準備採用新 PQC 演算法、QuSecure 和埃森哲(Accenture)成功採用 PQC 保護的多軌道資料通訊測試、QuSecure 率先透過太空實現即時衛星量子復原力(quantum-resilient)加密通信連結。這些舉措涵蓋標準制定、技術研發、產業應用和國際合作多面向,共同推動 PQC 技術進步和應用。其中,Google、IBM 和 NIST 等機構在推動 PQC 方面發揮了重要作用:Google 宣布 Chrome 瀏覽器將支持 PQC 演算法,IBM 將 PQC 整合到自己的產品裡,而 NIST 則核准 PQC 演算法標準。這些舉措顯示業界對量子威脅的重視與積極應對。
IBM 亞太區技術長 Chris Hockings 在與 TechRepublic 的訪談中,表達對網路安全的未來抱持樂觀態度,認為隨著密碼金鑰、數位身分、深偽防禦和量子密碼學等技術的進步,網路未來五年將比現在安全。Hockings 在訪談中強調,數位身分系統,可以顯著降低資料外洩的風險,因為能有效消除使用者帳戶被盜用的可能性。深偽技術威脅正在升溫,但透過新技術,可以建立系統過濾不可靠的內容。他認為雖然量子運算要到 2029 年才會成為現實,但企業組織必須開始為量子運算做好準備,特別是在資安方面,不應等到事情發生才做出反應。並強調,量子運算的強大威力可能會被用於「暴力破解」攻擊,這種攻擊有可能破解現今使用的 2048 位元加密技術。IBM 正在積極尋找解決方案,預計 2029 年推出首個量子錯誤修正系統。
資安長應體認到量子運算帶來的威脅,及早開始準備遷移到抗量子密碼學。美國國家標準與技術研究院(NIST)已選定三種抗量子密碼學演算法,涵蓋一般加密和數位簽章,建立 PQC 策略。儘管量子運算仍處於起步階段,但考量未來攻擊技術和挑戰,CISO 應盡快開始部署這些演算法。時下廣泛使用的加密協定,尤其是 RSA 等公開金鑰系統,在未來強大的量子電腦出現時,將面臨破解風險。針對後量子密碼學 ,資訊長/資安長可採取行動建議如下:
一、制定「密碼敏捷性策略(cryptographic agility strategy)」:
- 識別敏感資料所在:找出企業組織內高機敏性資料存放位置,例如哪些系統、應用程式或資料庫儲存這些資料。
- 評估現有加密措施:檢視目前使用的加密演算法和金鑰長度,評估它們面對量子攻擊時的安全性。
- 確保系統順暢升級:現有系統和基礎架構是否能夠順利升級至後量子演算法,並與舊系統保持互通性。
二、開始進行 PQC 遷移:
- 風險評估:評估企業組織面臨的量子威脅,確定哪些系統和資料最容易受攻擊。
- 建立系統清單:盤點所有使用加密技術的系統、應用程式和設備,準備日後升級。
- 關注 PQC 標準和最佳實作方式:持續關注 NIST 和其他標準機構發佈的 PQC 相關標準和最佳實作,積極參與相關研討會和活動。
三、與技術供應商合作:
- 了解 PQC 解決方案:與現有技術供應商聯繫,了解他們的 PQC 解決方案,例如量子安全 VPN、加密軟體和硬體等。
- 評估供應鏈安全性:評估供應鏈各個環節對加密技術的依賴程度,確保供應商能夠及時應對量子威脅。
四、採用混合解決方案:
- 採用混合 PQC 產品和服務:現階段可以開始採用結合傳統加密和 PQC 的混合解決方案,例如 Google Chrome 116 版開始支援「X25519Kyber768」演算法。
- 優先考量關鍵系統與資料:PQC 應先用於保護最關鍵的系統和資料,例如金融交易、醫療記錄和政府機密等。
五、提升企業組織內部 PQC 意識和技能:
- 培訓員工:對 IT 人員和安全團隊進行 PQC 相關培訓,理解量子威脅和應對措施。
- 推廣 PQC 知識:企業組織內部推廣 PQC 相關知識,提升員工量子安全意識。
雖然目前量子電腦尚未達到足以破解現有加密演算法的程度,但及早準備應對量子威脅至關重要。CISO/CSO 應積極採取行動,制定 PQC 遷移計畫、與技術供應商合作、採用混合解決方案,並提升企業組織內部 PQC 意識和技能,才能在「Q 時代(Q-day)」來臨時保護企業組織的資料安全。
(本文授權非營利轉載,請註明出處:CIO Taiwan)