邁向後量子時代：為什麼演算法盤點是資安轉型的第一步？

後量子時代的隱藏風險，你看得見嗎？

在企業的資安檢測流程中，強度不夠的密碼、惡意軟體、漏洞掃描，大家已經很熟悉。但有一個常被忽略的風險，隨著量子電腦的開發進度，也漸漸浮上檯面 - 目前系統裡用的加密演算法有哪些？它們真旳安全嗎？

大部份人覺得量子電腦還需很久的時間才會問市，但美國新創公司 PsiQuantum 的共同創辦人兼技術長 Pete Shadbolt 在 2025 年 2 月中出席《華爾街日報》主辦的資訊長峰會時指出，具備商業價值的量子電腦最快在 2027 年就能推出。

等到那時，你現在用的系統、API、傳輸通訊用的演算法，還安全嗎？

問題一：你真的知道你的系統在用什麼加密嗎？

• 很多企業的應用程式、伺服器、甚至 SaaS 平台，仍使用 TLS 1.2 搭配 RSA 或 ECC。

• 這些演算法在今天仍然安全，但一旦量子電腦成熟，RSA 與 ECC 都會瞬間失效。

• 問題是：您知道這些演算法藏在哪裡嗎？是 API 傳輸？是網路通訊傳輸？還是開發人員上傳的原始碼？

問題二：量子電腦的倒數計時

IBM 在 2025 年 6 月公布未來四年的量子電腦發展藍圖，最終目標是推出運算能力預計將達到現有量子電腦的 2 萬倍，命名為「Quantum Starling」的大型容錯量子電腦。為了因應這波量子電腦的發展，NIST 早在 2024 年就正式標準化後量子密碼學 (PQC)，並強烈建議各國政府與金融單位開始制定轉換計畫。這代表：

• 不支援 PQC 的系統，未來將無法通過法規或稽核。

• 延遲轉換的企業，可能在量子電腦普及後瞬間暴露。

  
  

為什麼需要「演算法盤點系統」？

美國前總統-拜登政府在 2024 年 7 月發佈的「REPORT ON POST-QUANTUM CRYPTOGRAPHY 」第一步便明確指出「完整且持續更新的加密演算法盤點，是順利導入後量子密碼學（PQC）的關鍵基礎。^註1 」。而演算法盤點，光靠人工檢查或憑印象，根本無法全面掌握。

以金融業為例，它們使用的系統種類繁多：從交易平台、風控模組、網銀、第三方支付接口，到各分行與總行的內部系統，每一個環節都可能使用不同的加密演算法。

如果靠人工檢查，不僅耗時耗力，還很容易漏掉隱藏在程式碼、封包或檔案裡的加密協定。舉例來說：

• 每個分行伺服器使用的 TLS 設定可能不同

• 客戶端 APP 與第三方 API 的加密協定不一

• 內部程式碼與第三方函式庫可能呼叫不同的演算法

  
  

在這種情況下，人工盤點不可能做到全面掌握，風險難以評估，只要有一個環節漏掉，都有可能帶來致命的傷害。

池安解決方案 - PQScan

池安作為台灣首家以後量子密碼學（PQC）為核心的資安公司，為因應量子威脅，推出了演算法盤點解決方案 - PQScan。PQScan 解決企業人工盤點演算法的痛苦，可以一鍵完成全面掃描，提供完整的安全檢視。包含以下功能：

• 掃描 IP / URL → 即時檢測伺服器與網站使用的 TLS 演算法

• 解析通訊封包 → 找出傳輸過程中的加密協定，確認安全性

• 分析上傳檔案 → 包括 PDF、DOCX 以及憑證檔案中的加密資訊

• 檢視原始碼 → 偵測API、APP等使用的原始碼，判斷是否支援 PQC

  
  

此外，PQScan 可以自動產生清晰易懂的報告，讓企業可以快速掌握：

• 系統中使用了哪些加密演算法

• 哪些演算法屬於高風險（過時或不安全）

• 哪些已支援後量子演算法，哪些尚需升級

  
  

最重要的是，這份報告可以直接作為 資安稽核、法規遵循、PQC 升級規劃的依據。

在後量子時代，最大的風險不是「沒加密」，而是「以為安全，實際上早已過時」。而演算法盤點，是企業升級 PQC 的第一步。PQScan 讓企業能更清楚掌握現有系統的加密狀態，為後量子升級做好準備。

註1: 取自 REPORT ON POST-QUANTUM CRYPTOGRAPHY as required by the Quantum Computing Cybersecurity Preparedness Act, Public Law No: 117-260