隨著量子運算(Quantum Computing)技術的迅速發展,網路安全面臨前所未有的挑戰。量子運算擁有超越傳統超級電腦的運算能力,使得目前被廣泛使用的加密技術,將在不久的未來變得不堪一擊,特別是對金融機構而言。這種變化可能導致機敏資料外洩和資金竊取,從而撼動整個金融體系的穩定性。為了應對即將到來的危機,企業必須積極了解能夠應對量子運算的安全加密技術,及早加強網路防護措施。
先竊取後解密 數位資產的安全挑戰
雖然目前量子運算仍存在許多不穩定因素,距離真正普及還有一段時間,但數位資產交易公司 DFX Lab 董事及首席營運長 Simon Au Yeung 卻提醒大家「寒冬將至(Winter is coming)」。他指出:「雖然現在駭客還無法或需要花費極長時間才能破解現有的加密演算法(如 SHA、RSA 等),不過我們最擔心的是他們會以「先竊取,後解密(Harvest now, Decrypt later)」的方法,先盜取企業或機構的資料,留待日後用量子運算技術破解。」根據當前科技發展的速度,他預測量子運算會在未來 5 年內趨於成熟,因此絕不能低估它的威脅,企業管理階層應立即積極準備,迎接量子運算時代的挑戰。
美國國家標準暨技術研究院(NIST)自 2016 年起就一直致力於研究針對後量子密碼學的全新抗量子加密方法(quantum-resistant methods of encryption),並在 2024 年夏季發布了第一套加密標準,代表美國聯邦機構將按照《美國量子運算網路安全準備法》( the US Quantum Computing Cybersecurity Preparedness Act)的要求,正式制定移轉加密標準的計畫,並全面進入一年的倒數計時。
身為正在向香港證券及期貨事務監察委員會(證監會)申請「虛擬資產交易平台」牌照的公司之一,Simon 表示:「雖然在證監會發出的指引內並未明確要求申請公司需具備應對量子運算的措施,但在申請過程中仍會詢問是否有相關規劃,以及專門用於儲存客戶私鑰的硬體安全模組(Hardware Security Module)是否已通過美國 NIST 相關等級認證,甚至具備後量子密碼學(Post-Quantum Cryptography, PQC)等技術。由此可見,監管機構具有高度前瞻性,對量子運算也抱持著高度警戒的態度。」
確保資料安全 四步驟打造後量子加密策略
Thales 資料安全業務銷售總監(大中華區及韓國)Wayne 指出,量子運算對現有各種加密演算法構成極大威脅,特別是金融交易、信用卡以及身份認證等日常應用中。他強調,企業應盡早展開後量子密碼學(PQC)規劃,以降低量子運算可能帶來的資安風險。他提出以下四個關鍵步驟:
- 評估導入影響:企業需全面評估導入 PQC 解決方案對內部基礎設施或資安架構的影響,並找出現有系統可能存在的漏洞。
- 制定移轉策略:企業需清楚規劃從傳統加密演算法轉換到後量子演算法的順序及途徑,不單是技術層面的更新,還需確保新技術能夠安全地整合進現有系統。Wayne 特別指出,這個過程可能需要耗費大量時間與成本,但為了確保未來的資訊安全,這仍是不可或缺的準備工作。
- 執行 POC 驗證(Proof of Concept):這一階段包含新舊系統的整合測試,企業需確保移轉過程的安全性,並防止駭客利用舊系統漏洞進行攻擊。
- 保有加密靈活性(Crypto Agility):確保過渡期內資安策略能隨科技發展迅速調整。
根據 IT 研究及顧問公司 Info-Tech Research Group 所發布的《2025 年科技趨勢》(Tech Trends 2025)報告發現,33% 的媒體、電信和高科技企業正在投資量子運算,緊隨在後的是公共部門的 27%,以及金融服務的 20%。這說明了量子運算已跳脫理論探索階段,開始進行真實世界的實務驗證。
Wayne 最後提到,Thales 所提供的 PQC 啟動套件及 Luna HSM 都已具備後量子加密技術,可協助企業在既有 PKI 公鑰基礎設施(Public Key Infrastructure)及網路基礎設施中實現平穩移轉,有效抵禦量子運算帶來的挑戰。Simon 及 Wayne 雙方一致認為,隨著量子運算技術的快速發展,情勢已刻不容緩,企業在硬體與軟體層面應儘速做好準備,以確保現有加密措施不會因技術老化而失效。
參考來源:香港經濟日報 HKET