隨著量子科技近年獲得突破進展,其足以顛覆現代加密技術的強大潛力,早已引發資安領域專家的普遍擔憂,更進一步導致國防、電信、金融等關鍵基礎建設,未來都可能面臨前所未有的資訊安全風險。
而未來某一天量子電腦將破解當代加密技術的概念,即是資安業界近來高度熱議的「Q-day」。
換句話說,當一台算力足夠強大的量子電腦終於誕生,而且足以破解現代所有加密演算法的那一天,不法份子將能輕易發動間諜行動,竊取任何企業或組織的機密資料。
「先收集、後解密」的急迫威脅
儘管量子運算專家預估,第一台具備破解密碼能力的量子電腦(CRQC),可能還需要 10 到 30 年才會問世;然而,一個更加迫切的威脅卻已悄然浮現:那就是「先收集、後解密」(Harvest Now, Decrypt Later)的攻擊模式。
在「先收集、後解密」的攻擊模式下,有心人士正在大量蒐集當前無法破解的加密資料,等待未來透過量子電腦一一解鎖,這種立即性的資安威脅,亦促使全球企業不得不採取手段積極應對。
根據智庫機構 Capgemini Research Institute 近期所發表,一份橫跨全世界 13 個國家、涵蓋 13 種產業,針對 1,000 家年營收至少 10 億美元大型企業所進行的調查,高達 70% 的企業和組織表明,自己正在研究或計劃於未來 5 年之內,部署量子安全相關的解決方案。
其中,多達 65% 的受訪企業坦言,他們十分擔憂「先收集、後解密」攻擊模式的崛起。
迎接 Q-day,企業比專家更悲觀
此外,企業界對 Q-day 的到來也普遍比專家更為悲觀;大約六分之一的組織擔心,Q-day 將會在未來 5 年之內發生;更有 60% 企業認為,大約 10 年之內 Q-day 的衝擊就會影響全世界。
若從產業類別來看,涉及國家安全、金融和基礎設施的企業,對於 Q-day 的整體反應最為積極。報告指出,高達 90% 的國防領域組織、86% 的銀行機構及 76% 的電信公司,皆已著手研究應對量子威脅的先進方法。
相較之下,那些以消費性產品和零售為主的產業,例如製造、零售方面,對於量子科技進步所帶來的資安威脅,整體壓力感受相對較少。
PQC 逐漸成為新世代資安顯學
為了應對即將到來的量子安全衝擊,「後量子密碼學」(Post-Quantum Cryptography, PQC)就成為了企業積極轉向的目標。
在傳統電腦與量子電腦的雙重攻擊風險下,PQC 正逐漸成為資安領域的顯學,多數組織亦嘗試跟上這股難以抵擋的趨勢,智庫報告即指出,已有 70% 的受訪企業,開始透過混合使用 PQC 演算法保護旗下系統。
舉例來說,跨國電信巨頭 Vodafone 已開始將 PQC 標準應用於現有的加密演算法中,以保護使用者透過手機網路傳輸的敏感資訊,並希望藉此取得市場上的領先優勢。
預算、法規、培訓帶來的挑戰
然而,通往量子安全的道路也並非一帆風順。
根據報告分析,目前企業在量子安全轉型過程中面臨的主要障礙,包括缺乏專業培訓、實踐資訊不足、預算限制,以及因 Q-day 到來時間點的高度不確定性,進而帶來的觀望心態。
此外,量子安全的另一個關鍵挑戰則來自「法規」。儘管許多監管機構已開始引進 PQC 相關條文,鼓勵企業發起轉型,但高達 70% 的企業仍將「合規」列為採納 PQC 的首要考量。
換句話說,企業因此陷入了兩難,一邊擔心量子科技威脅公司安全,但另一邊又擔心目前投入的解決方案,未來可能不符合最終的官方標準,從而導致在推動量子安全轉型上裹足不前。
資安專家分析,上述情況意味著政府或監管機構,未來有必要於關鍵時刻介入,引導企業順利向後量子時代進行過渡,以免為時已晚。
管理「不可逆風險」比時間重要
資科服務與管顧公司 Capgemini 網路安全全球主管 Marco Pereira 強調,現今業界討論 Q-day 議題的意義,重點並不在於預測出一個確切的日期,而是企業必須從現在開始,學會管理這個即將到來且不可逆轉的資安風險。
Marco Pereira 直言,在「先收集、後解密」的威脅下,若企業延遲導入 PQC 等量子防護措施,今日的每一份加密資產,都可能成為明日遭到洩漏的資料。
Marco Pereira 說,唯有及早意識到上述事實的企業與組織,才能夠有能力以最佳姿態,保護自己免受未來即將發生的網路與資安攻擊。
【推薦閱讀】
◆ 傳統密碼面臨失效危機,IBM 推「後量子密碼」避免加密法遭量子電腦破解
◆ 量子電腦會攻破比特幣嗎?一旦破解全球金融將受空前挑戰
◆ 亞馬遜推量子晶片 Ocelot 降低糾錯成本 90%,加速量子電腦實用化
*本文開放合作夥伴轉載,參考資料:《TechRadar》、《DIGIT》,首圖來源:Pixabay
(責任編輯:鄒家彥)
