金管會 PQC 遷移指引正式發布：金融機構的量子安全倒數，今天開始

池安量子（Chelpis）解讀《金融業後量子密碼遷移參考指引》，並提供金融機構可立即啟動的落地方案

指引發布，量子風險正式進入金融機構的治理議程

金融監督管理委員會於 2026 年 6 月正式發布《金融業後量子密碼遷移參考指引》。這份指引的意義很明確：量子安全不再是技術部門私下評估的議題，而是即將被納入金融機構正式治理框架的監理方向。

對於每天要對董事會、對主管機關、對客戶負責的金融機構而言，指引發布後的第一個工作天，正是該問自己幾個問題的時候：

• 我們對量子風險的曝險範圍，現在說得出來嗎？

• 如果監理單位或董事會明天就要求一份「目前進度報告」，我們手上有數字嗎？

• 指引建議的七大策略，我們從哪一項開始最務實？

池安量子長期深耕後量子密碼學（PQC）技術，並已將解決方案實際導入金融相關場域。趁著指引剛發布、各機構正在規劃下一步的此刻，我們想分享：這份指引到底在要求什麼，以及金融機構可以怎麼立即著手。

指引點出的核心威脅，金融業感受最深

指引特別強調兩種量子威脅，而這兩種威脅恰好都直指金融業的命脈：

• HNDL（先攔截、日後解密）：攻擊者現在就能竊取並儲存加密資料，等到量子電腦成熟再回頭解密。客戶個資、交易明細、保單與理賠資料、授信資料——這些長效期機敏資料，今天的安全等級，決定了十年後是否還安全。

• TNFL（現在信任、稍後偽造）：一旦數位簽章被量子電腦破解，今天視為合法的交易指令、憑證與電子存證，未來都可能被偽造回溯。這直接衝擊金融交易最根本的「可信任性」。

指引使用國際時間表作為參照：雲端安全聯盟以 2030 年 4 月作為量子風險推估的關鍵節點；Google 已將自身遷移目標提前至 2029 年；SWIFT 規劃 2030 年終止對 RSA 的支援。換言之，留給金融機構「準備」的時間，遠比想像中短。

七大策略，指引量子安全未來監管方向

指引最有參考價值的地方，是它沒有要求金融機構「立刻全面升級」，而是提出一套風險導向、分期分流的做法，從治理架構、加密資產盤點、加密敏捷性，到供應鏈管理與營運韌性，共整理出七大策略。

這樣的設計貼近金融機構實際情況：系統數量多、架構複雜、上下游介接關係密切，不可能用單一方案一次解決所有問題。指引真正提供的，是一條可以逐步展開、持續追蹤，也能對內部治理與外部監理交代的推動路徑。

因此，指引發布後的第一步，不是急著採購新技術，而是先盤點現況：哪些系統使用可能受量子風險影響的加密機制？哪些資料或交易流程需要優先保護？哪些場景可以先試辦，再逐步擴大？

池安量子能立即提供的協助

針對指引發布後金融機構最迫切需要回答的問題——「我們的曝險範圍是什麼」——池安量子的 PQScan 可以在不需大規模部署代理程式的前提下，對機構內部的加密資產進行盤點，並參考 NIST PQC 標準與 ETSI 遷移指引，辨識現有加密機制的量子風險，區分需優先汰換之傳統公開金鑰、待評估加密資產，以及已具後量子安全能力之系統。這份報告可作為董事會、風險管理委員會或資安治理會議進行量子風險匯報時的依據，協助機構展開後續遷移規劃。

對於指引中提到「將加密邏輯模組化、優先清除密碼反模式」的加密敏捷性目標，池安量子的CPQC 提供標準 OpenSSL Provider 介面，讓既有系統不需大規模重構就能逐步導入 PQC 運算能力；對於指引特別點名的「遺留系統與長尾介接」難題，PQTunnel 則能透過端點代理，讓無法升級的老舊主機與終端設備也能被納入零信任的 PQC 加密通道。

池安量子持續以技術驗證強化產品可信度，包括 NIST CAVP 官方認證與 CC EAL1 國際標準佐證。指引發布後，機構勢必會在供應商評選中要求「可查核的國際標準認證」，以符合後續監管、稽核與供應鏈管理需求，這正是我們已經準備好的部分。

指引刻畫量子安全未來路徑，現在正是啟動的最好時機

每一份監理指引發布後，都會有一段「觀望期」與「先行者」的差距。指引給出的時程是分階段的——從現在到 2027 年是準備與規劃期，重點在建立治理架構與完成首輪盤點。這意味著金融機構不需要在這個工作天就拿出完整的遷移計畫，但確實該開始問：我們的第一份 CBOM，什麼時候能有?

池安量子願意成為金融機構在這條路上的第一個夥伴——從盤點現況開始，陪您一起把指引裡的七大策略變成可執行、可追蹤、可對監理機關交代的具體進度。

指引已經發布，倒數已經開始。您的機構，準備好邁出第一步了嗎？