量子時代的資安挑戰與對策

隨著量子運算快速發展，現有加密技術面臨前所未有的挑戰。Gartner 將後量子密碼學（post-quantum cryptography；PQC）列為 2025 年十大策略性技術趨勢之一，突顯其重要性。

編譯／Nica

2023 年，全球發起多項重要的 PQC 舉措，Google、IBM 和 NIST 等機構亦積極參與，推動後量子密碼學技術的發展和應用。IBM 高層 Chris Hockings 對網路安全的未來表示樂觀，相信技術進步將帶來更安全的網路環境。然而，資安長仍需及早準備因應量子運算帶來的威脅，制定策略並規劃遷移到 PQC 。

Gartner 的 2025 年十大科技趨勢報告中，分析師預測將在未來幾年對科技產業產生重大影響，建議企業密切關注，積極應對，保持競爭優勢的十大趨勢分別為：AI 代理（Agentic AI）、AI 治理平台、防範假訊息的工具、邁向後量子密碼學、環境無線標籤和感測器、探索節能運算、採用混合運算、透過空間運算增強現實、多工機器人與神經增強技術。IT 領導者需要決定現在要採用哪些技術、要監控哪些、要忽略哪些。就「邁向後量子密碼學」而言，Gartner 報告指出，近期已發佈後量子密碼學標準，預計未來兩到三年內將成為重要議題。資訊長很快就需要將所有加密方式替換成後量子演算法，這種演算法不會被傳統電腦或量子電腦破解。後量子密碼學被列為企業需要密切關注的重點技術之一，量子運算的快速發展對現有加密技術絕對構成威脅，它強大的計算能力可能破解當前的加密演算法，危及敏感資料。

為應對量子運算帶來的挑戰，2023 年全球發起 11 項重要的 PQC 舉措：Chrome 鎖定 PQC（支援 ML-KEM）、NIST 核准後量子加密標準、Linux 基金會成立 PQC 聯盟（PQCA）、科技業發起 PQC 聯盟、CISA/NSA/NIST 發佈 PQC 遷移資源、Google 採用抗量子加密讓 Chrome 為未來攻擊做準備、X9 宣布制定 PQC 評估指南、PQShield 支援 PQC 遷移與進階旁路安全實作、NCCoE 準備採用新 PQC 演算法、QuSecure 和埃森哲（Accenture）成功採用 PQC 保護的多軌道資料通訊測試、QuSecure 率先透過太空實現即時衛星量子復原力（quantum-resilient）加密通信連結。這些舉措涵蓋標準制定、技術研發、產業應用和國際合作多面向，共同推動 PQC 技術進步和應用。其中，Google、IBM 和 NIST 等機構在推動 PQC 方面發揮了重要作用：Google 宣布 Chrome 瀏覽器將支持 PQC 演算法，IBM 將 PQC 整合到自己的產品裡，而 NIST 則核准 PQC 演算法標準。這些舉措顯示業界對量子威脅的重視與積極應對。

IBM 亞太區技術長 Chris Hockings 在與 TechRepublic 的訪談中，表達對網路安全的未來抱持樂觀態度，認為隨著密碼金鑰、數位身分、深偽防禦和量子密碼學等技術的進步，網路未來五年將比現在安全。Hockings 在訪談中強調，數位身分系統，可以顯著降低資料外洩的風險，因為能有效消除使用者帳戶被盜用的可能性。深偽技術威脅正在升溫，但透過新技術，可以建立系統過濾不可靠的內容。他認為雖然量子運算要到 2029 年才會成為現實，但企業組織必須開始為量子運算做好準備，特別是在資安方面，不應等到事情發生才做出反應。並強調，量子運算的強大威力可能會被用於「暴力破解」攻擊，這種攻擊有可能破解現今使用的 2048 位元加密技術。IBM 正在積極尋找解決方案，預計 2029 年推出首個量子錯誤修正系統。

資安長應體認到量子運算帶來的威脅，及早開始準備遷移到抗量子密碼學。美國國家標準與技術研究院（NIST）已選定三種抗量子密碼學演算法，涵蓋一般加密和數位簽章，建立 PQC 策略。儘管量子運算仍處於起步階段，但考量未來攻擊技術和挑戰，CISO 應盡快開始部署這些演算法。時下廣泛使用的加密協定，尤其是 RSA 等公開金鑰系統，在未來強大的量子電腦出現時，將面臨破解風險。針對後量子密碼學，資訊長/資安長可採取行動建議如下：

一、制定「密碼敏捷性策略(cryptographic agility strategy）」：