Q-Day 倒數中:池安量子資安揭企業啟動「後量子遷移」的 4 大關鍵步驟

專訪:沈貝怡
撰稿:李昀蔚

在 AI 大爆發、算力軍備競賽白熱化之外,科技界近年也提出一個重要警告:隨著量子運算逐漸成熟,足以破解現行加密方法的「Q-Day」可能比想像中更快到來。所謂 Q-Day,指的是量子電腦算力成熟到足以破解目前主流公鑰加密系統的那一天。一旦這一天來臨,過去被視為安全的密碼、電子簽章、金融交易驗證與機密通訊,都可能面臨瓦解。因此,影響範圍不只包含一般民眾的網路生活,也可能波及金融產業、企業機密、政府系統,甚至國防安全。

這樣的趨勢,也讓後量子資安不再只是科學界或資安圈的前瞻議題,更是企業與國家都必須提前面對的戰略問題。本集《全新一週》特別邀請池安量子資安共同創辦人暨副執行長陳柏維,解析 Q-Day 為何加速來臨、後量子密碼學如何成為國際合規趨勢,以及企業啟動量子安全遷移的關鍵策略。

量子電腦一旦成熟,現有公鑰加密將面臨崩潰風險

早在 1990 年代,學界就已經指出,只要有足夠算力的量子電腦,就可以破解 RSA、ECC 等現行幾個重要的加密演算法。陳柏維解釋,量子電腦不是一般人想像中「什麼都很會算」的通用電腦,而是 RSA 與 ECC 所依賴的數學問題,正好是量子電腦非常擅長處理的類型。

「當初我們認為 RSA 跟 ECC 是非常安全的算法,因為我們用傳統的電腦,可能要花十幾億年的時間才有辦法破解這樣的算法,但如果是使用量子電腦,破解可能就是幾分鐘的事情,因為算力、運算型態的差別,會造成量子電腦對現在用的密碼系統有巨大的破壞性,」陳柏維說。

Q-Day 沒有明確日期,但資安威脅已開始逼近

陳柏維指出,相較於 2000 年的千禧蟲危機有明確時間點,Q-Day 最大的不同,在於沒有明確日期。由於量子電腦何時具備足以破解現有加密系統的能力,受到技術發展速度、硬體突破、國際競爭等因素影響,因此時間點非常模糊。更重要的是,量子算力已經進入國際競爭層級,即使某些國家真的率先取得足夠成熟的量子能力,也未必會公開宣布。

這也讓企業無法等到量子電腦真正成熟才開始準備,因為量子運算帶來一個更迫切的潛在危機:「先收集,未來再解密」(Harvest Now, Decrypt Later,HNDL)。面對這樣的資安風險,「現在我們傳的每一則訊息,都會暴露在未來可能被解開的威脅底下,」陳柏維強調,現在防護的空窗期其實並不存在,因為企業每分每秒都已經在面臨這些威脅。

除了 HNDL,另一個重要概念是「現在信任,未來偽造」(Trust Now, Forge Later,TNFL)。如果 HNDL 對應的是機密資料未來被解開,TNFL 則關乎數位信任本身被破壞。例如金融交易、合約驗證、身分認證,都需要透過電子簽章確認「這份資料確實是本人簽署」,然而當量子電腦足以破解現有簽章機制後,信任體系將會崩塌,「等到有量子電腦的那一天,其實可以一直偽造這些讓我們分不出來到底是真的還是假的訊息,到時候就會陷入一片混亂。因為過去這些我們普遍相信不可被破解的電子簽章,都會面臨被偽造的風險,」陳柏維說。

科技巨頭加速量子布局,Q-Day 風險正在升高

雖然量子電腦仍面臨低溫環境、量子位元不穩定等挑戰,但陳柏維觀察,近年國際科技大廠的投入速度正在加快。例如 Google 的 Willow 量子晶片帶來新技術突破,IBM 也公布量子電腦發展期程,預計在 2029 年以前打造出算力大幅提升的新世代量子系統。

更值得企業關注的是,除了從「攻擊方」觀察量子算力發展,也可以從「防守方」的部署動作察覺危機感正在升高。陳柏維提到,Google 已將原本量子安全遷移完成時間從 2030 年提前到 2029 年,除了涵蓋所有雲端服務,也包含 Chrome、Android 等 Edge 端服務。當 Google 這類同時掌握雲端、瀏覽器、行動作業系統與大量使用者資料的科技巨頭,把量子遷移時程提前,代表它們很可能已經看到量子算力發展加速的徵兆,因此選擇提前準備。

企業迎戰 Q-Day 的四個關鍵步驟 

當國際合規的趨勢已經很明確,對企業來說,最現實的問題是:系統每天都在運作,金融服務、製造系統、供應鏈平台、雲端服務都不可能停下來重做,因此企業要如何在既有系統持續運行的同時,完成後量子資安遷移?

「第一點當然要先從盤點做起,就是我們具體使用到哪些設備或是哪些系統,這些系統裡使用哪些算法,都必須要全盤了解,」陳柏維建議,在盤點後,第二步才是風險分級,也就是依據資料機敏程度、系統暴露程度、遷移難度、是否掌握原始碼等因素排序。接下來,第三步是排定遷移計畫,最後則是導入方案與實際遷移,並評估效能是否受到影響。

Q-Day 倒數,金融業與 AI 資料中心成為後量子資安前線

談到未來發展機會,陳柏維指出,台灣目前動作最快的是金融業。在相關單位的推動下,金融業已經較早成立先導小組,投入後量子遷移的準備工作。許多銀行與金融機構今年也陸續開始關注這個主題,從盤點、風險評估,到後續升級規劃,都已經開始往下推進。

海外市場方面,陳柏維則看好 AI 資料中心的後量子資安需求。原因在於,AI 算力中心一旦建置完成,往往會服務 10 年以上,這段時間很可能跨越 Q-Day 到來的風險期。

因此,池安量子資安正在積極與 AI 資料中心的建置廠商合作,希望在資料中心規劃或建置早期,就將後量子資安的相關防護方案一併考量。如此一來,當資料中心未來 10 年、20 年持續運作時,即使遇到 Q-Day,也能具備足夠防禦能力。

Q-Day 或許還沒有確切日期,但對金融、國防、雲端、製造與 AI 資料中心來說,後量子資安的倒數計時,已經開始。

歡迎大家訂閱「科技報橘」YouTube 頻道,一起用《全新一週》節目,來迎接全新的一週!