top of page

我們距離 Q-Day 還有多久時間? 我該做哪些準備?



我們距離 Q-Day 還有多久時間? 該做那些準備? 國內有廠商可以協助嗎? 以上大哉問,前師大校長、前 IBM 全球電商副總暨全球服務群知識管理長,現任為亞洲大學講座教授,也是池安量子資安顧問黃光彩,於昨日資安大會演講分別細說明,出精彩內容分享給大家。

 

Q-Day 指的是 Quantum Day,當量子電腦的能力成熟到可以輕易破解目前全球主流的加密技術的那一天,進入量子威脅 (Quantum Threat) 的時代,全球網路世界又將會是一場大變革,由於算力更強亦或破解密碼的速度更快,威脅更大。根據報導預測這一天可能最快於 2025 年到來,屆時,量子電腦將會讓當前加密方法失去作用,若沒我們有做好事前的準備,想要及時阻擋與挽救似乎是困難,也令人措手不及。

 

啟動量子安全 從核心系統著手

近年主宰全球的幾個強國,例如美、歐、日、韓等均以國安等級的關注力與高標準的法令正視著量子技術與安全的防禦議題。黃教授說 NIST (美國國家標準暨技術研究院) 2020 年 8 月公布 「SP 800-207 零信任架構」 (Zero Trust Architecture, ZTA)已是全球多國組織與企業所遵循且落實應用在資安防禦,NIST 更進一步於今年四月中旬位於馬里蘭州 Rockville 舉辦的第五屆 NIST PQC(Post Quantum Cryptography,後量子密碼學)標準化會議上,NIST Division Chief,Matt Scholl 表示接下來五到六年(2024 至 2030),我們必須升級到抗量子演算法,且今年(2024)下半年 NIST 將會敲板定案最終的 PQC 標準。

 

黃教授進一步具體的舉例,假設我們輕忽 Q-Day 的來臨,對我們日常生活的影響將會更為全面且直接觸及安全危機,包括個人醫療和銀行記錄數據被揭露,破壞隱私保護;商務數據、銀行交易、供應鏈管理資訊被竊取或篡改;自駕車、網路安全和國家安全訊息面臨風險;甚至可能會對全球的軍事和經濟安全造成顛覆。因此當我們面對即將來臨 Q-Day 之前的安全挑戰,需要保持警覺並採取積極的應對措施,因此我們應有的動作就是 ‟事先防禦”從核心系統、從重要資料開始著手準備。


ZTA+PQC 聯手防禦攻擊的威脅

企業該做哪些準備呢? 企業可能會遇到的量子加密攻擊的狀況,現在竊取,之後解密的攻擊(Data Risk); 未經授權的程式碼執行(Software Risk); TLS 協議轉換(Devices Risk); 主動保護正在使用的數據和程式碼(Digital identities Risk)這四個挑戰,黃教授建議企業可作為事前的風險評估與準備的標的。他進一步補充說明,ZTA(Zero Trust Architecture,零信任架構)的核心原則之一是「從不信任,總是驗證」。在 ZTA 的最小權限原則中,用戶和設備只能訪問其完成任務所必需的資源,PQC 後量子加密(Post-Quantum Cryptography,PQC)則可以提供更強的身份驗證和授權機制,以確保只有經過嚴格驗證的用戶和設備才能使用資源,另外 ZTA 強調內部網絡的安全,但是邊界安全仍然是重要的一環,PQC 後量子加密也同樣的可以協助強化邊界安全的防禦,抵抗來自外部的量子攻擊。

 

PQSM後量子遷移 協助企業Q-Day過渡期

黃教授呼籲企業心態與行動將要開始準備進入 Q-Day 過渡期了,現在就要提高加密的基本知識和安全意識;評估其現有的加密技術,確定哪些算法容易受到量子計算機攻擊,包括傳統的 RSA、DHKE、ECC、ECDSA 和ECDH 等算法;進行盤點、風險評估、考慮遷移到抗量子加密策略及技術、並且持續的觀察改進,這一系列措施,一般叫做 PQSM(Post Quantum Safe Migration)後量子遷移,讓企業一旦正式全面進入 Q-Day 時代,你將是無縫接軌,不受影響的持續營運。PQSM 後量子遷移是一個嚴謹密實的過程,涉及多樣態步驟和策略,旨在保護系統免受未來量子威脅,需要時間來規劃和執行,以確保與即將發佈的後量子加密(PQC)標準的兼容性,因此進行 PQSM 後量子遷移是一個長期且密集的群體努力,需要政府和產業界之間的廣泛合作,除了防禦來臨的量子威脅資安高風險外,同時還可讓企業機敏關鍵的資產和系統,提前制定安全遷移計劃、應用新的抗量子加密技術作準備,實為雙效益最佳保護方式。

 

我們回到國內產業來看,企業準備迎接量子電腦時代,不論從關鍵基礎設施(CI)、通訊網路、區塊鏈數位資產等,雙重保護是必要也是必須,國內已經有少數廠商開始啟動服務企業,有數個實際企業案例導入量子安全專案,且同時落實零信任架構,符合 NIST SP 800-207 要求的三大 ZTA 零信任架構,同時專長為企業量身客製化安全規劃的廠商以 Chelpis 池安量子資安,為最具專業成熟的技術與服務。

 

最後,新政府即將在 520 上任,根據黃顧問與產業界的互動,演講中他也表示企業為了應對量子威脅及推動零信任架構,期待透過台灣政府繼續「資安即國安」的戰略,運用台灣半導體及 AI Server 算力的優勢,通過政策的制定與實施、國際合作與交流、安全認證與評估等,能帶動商用解決方案(包括軟硬體)的發展,讓國內資安產業在全球抗量子密碼技術風潮中擁有一席之地。


後續還有更多精彩的內容,我們將持續分享給大家。

Comments


bottom of page