一場針對 PQC 當前落實程度進行深度研討的論壇,匯聚了產、官觀點,金融業在後量子密碼遷移,從盤點、安全防禦到系統自然演進的歷程進行對談。不僅是技術升級,更是資安治理思維革新。
採訪/施鑫澤‧文/彥琳
歷經兩年的扎根,後量子資安產業聯盟(PQC-CIA)於今年五月舉行「後量子密碼遷移:金融資安治理與實務論壇」,匯集了政府、產業與金融界專家,探討金融業面對量子密碼遷移的準備與落地實務。
從「預備式」轉向「現在進行式」
與會專家達成一致共識:後量子密碼遷移已不再是未來的預備課題,而是「現在進行式」。資訊工業策進會執行長范俊逸指出,量子電腦足以破解現行加密演算法的 Q-Day 預計將提前至 2030 年左右。凡涉及非對稱加密或數位簽章的系統,均可能在受威脅影響的範圍之列。他強調,企業應立即重新檢視密碼協定,視時機啟動遷移規劃,例如將不需簽章處改為對稱式加密(Symmetric Encryption)。
金融業的挑戰:架構複雜與碎片化
金融業因涉及大量資金與高度敏感隱私,其系統架構遠比一般產業複雜,且面臨新舊系統並存的挑戰。普鴻資訊資深架構師唐資生指出,金融業過去的加密機制隨業務系統分散建置,缺乏整體性規劃,這使得 PQC 遷移工程極其龐大。此外,部分舊系統所依賴的技術或廠商已不復存在,更增加了遷移的困難度。
[ 加入 CIO Taiwan 官方 LINE、Facebook 與 LinkedIn,與全球 CIO 同步獲取精華見解 ]
為了應對這些挑戰,唐資生建議企業建立加密敏捷性(Cryptographic Agility)評估指標,強化系統切換演算法的能力。此外,企業應落實加密物料清單(CBOM),在清單中詳列加密遷移狀態與優先權。針對無法更動的舊系統,可採技術服務層「包裹」一層 PQC 防護,作為遷移前的過渡手段。
風險管理與 AI 加劇的威脅
後量子資安產業聯盟召集人李維斌,同時也是此次論壇主持人,他指出 PQC 遷移的核心本質是一項關於風險管理的長期抗戰,原因在於 PQC 演算法相對較新,其安全性仍存有未知的變數與複雜性。他強調遷移(Migration)不只是更換一個數學演算法或一台設備,而是涉及整個系統結構的變動,並且還有不中斷服務的挑戰。他進一步指出,這項遷移工程的影響不僅限於企業內部,還會擴及整個外部溝通生態鏈。
面對人工智慧浪潮,資安威脅日益加劇。AI 不僅能大幅縮短從發現弱點到產出攻擊程式的時間,李維斌更強調,這種自動化攻擊能力,將極大壓縮企業在量子電腦商用化到來前、進行密碼遷移的準備緩衝期。因此,他建議政府應優先推動基礎設施轉型,例如 PKI(公開金鑰基礎建設)的 PQC 遷移;一旦底層信任根源完備,個別金融機構在完成內部系統遷移後,上層應用便能順利進行跨機構的身份驗證與服務互通。
實務路徑:盤點、防禦與自然演進

金管會資訊服務處處長林裕泰指出,金管會自 2023 年 7 月召集金融機構成立先導小組以來,已歷經三年的逐步探索,從盤點、風險評估到規劃路徑累積了許多經驗。他以此提醒企業,應盡速加強防禦,例如在非對稱加密外增設一層對稱加密,以「混合加密系統」強化資安防禦。
對於具體的遷移路徑,林裕泰建議企業可優先將網路傳輸提升至 TLS 1.3,作為遷移前的關鍵佈局。在資產盤點方面,不必執著於一次到位,應優先鎖定高風險場景(例如「先攔截、後解密」HNDL)。針對現階段的例行採購與系統改版,則可直接納入 PQC 要求,落實「自然更換」。同時他也強調,應同步建立密碼材料清單(CBOM)並將零散的加密機制模組化,以避免未來面對第二、第三次遷移時,還需重複經歷盤點流程。
座談會上,星展銀行資訊安全部主管暨銀行公會代表李嘉銘指出,得益於金管會自 2023 年起的前導推動,目前金融業已初步盤點出受影響的關鍵環節,例如「金融電子資料交換(FEDI)」。此外,考量到密碼遷移工程往往需規劃 5~15 年,李嘉銘建議,企業可採取循序自然演進的策略,配合設備的生命週期逐步汰換,以避免對內部預算造成過大衝擊。
公私協力邁向長期安全
這場論壇,標誌著後量子密碼遷移已從理論研究進入可落地的實踐階段。儘管仍有許多模糊地帶與挑戰,但在政府政策支持、廠商技術協作以及企業主動治理的共識下,全體穩步構建具備韌性的數位基礎建設,確保長期的數位安全,我們指日可待。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















