後量子時代的加密策略

量子運算技術的快速發展正在改變網路安全的遊戲規則。雖然具備密碼學破解能力的量子電腦尚未出現，但攻擊者已經開始收集加密資料，準備在量子技術成熟時進行解密。這種「現在收集，未來解密」的策略對企業構成了前所未有的長期威脅。

然而，解決方案已經存在且可行。後量子密碼學（Post-Quantum Cryptography, PQC）能在現有硬體上運行，提供對抗未來量子威脅的保護。企業無需購買昂貴的量子設備，而是應該立即開始規劃向 PQC 的遷移。早期準備者不僅能避免未來的安全風險，更能在競爭中建立技術領導地位。

量子威脅的真實面貌

量子運算如何威脅現有加密

要理解量子威脅，我們首先需要認識量子運算與傳統運算的根本差異。傳統電腦使用位元（bits）進行運算，每個位元只能是 0 或 1。量子電腦則使用量子位元（qubits），由於量子力學的疊加原理，qubits 可以同時處於 0 和 1 的狀態，這讓量子電腦能夠平行處理大量可能性。

這種特性使得兩個關鍵的量子演算法成為現有加密技術的致命威脅。Shor 演算法能夠以指數級的速度解決整數因式分解問題，這正是 RSA 加密演算法安全性的數學基礎。當量子電腦能夠快速分解大數時，RSA 私鑰就能從公鑰中推導出來，整個加密系統將崩潰。

同樣地，橢圓曲線密碼學（ECC）所依賴的離散對數問題也會被 Shor 演算法攻破。這意味著目前廣泛使用的公鑰密碼學系統，包括 HTTPS 網站加密、電子郵件安全、數位簽章和 VPN 連線，都將變得脆弱不堪。

相對而言，Grover 演算法對對稱加密的威脅較為溫和。它能將暴力破解的速度提升四倍，實際上是將對稱金鑰的有效長度減半。例如，AES-128 在量子攻擊下的安全性相當於傳統的 64 位元加密，而 AES-256 則保持約 128 位元的安全強度。因此，對稱加密只需要將金鑰長度加倍即可維持安全性。

威脅時間軸的不確定性

預測具有密碼學破解能力的量子電腦（Cryptographically Relevant Quantum Computer, CRQC）何時出現是一個充滿挑戰的問題。不同的專家和機構提供了差異很大的預測時間軸。

保守的估計認為，破解 RSA-2048 需要數百萬個高品質的量子位元，考慮到目前的技術限制和錯誤率問題，可能需要到 2040 年代才能實現。然而，較為積極的預測指出，隨著量子錯誤修正技術的突破，這個時間點可能提前到 2029 年或 2030 年代初期。

更重要的是，量子技術的發展具有突破性的特質。正如同傳統電腦運算能力的指數級增長，量子運算也可能出現意想不到的技術飛躍。一個關鍵的工程突破或演算法改進，就可能大幅縮短達到 CRQC 的時間。

這種不確定性正是企業不能採取觀望態度的原因。等待「更確定的時間軸」實際上是在賭博，賭注是企業所有的加密資料和客戶信任。歷史告訴我們，技術突破往往比預期來得更快，而且通常是由那些擁有最多資源的國家或組織率先實現。

當前攻擊者策略：現在收集，未來解密

HNDL 威脅的規模化

「現在收集，未來解密」（Harvest Now, Decrypt Later, HNDL）策略代表了一種全新的攻擊模式。攻擊者不再需要立即破解加密資料，而是可以耐心地收集和儲存，等待量子技術成熟後再進行解密。

這種策略的規模令人震驚。根據 IBM 的估算，2023 年平均每次資料洩露事件涉及 435 萬筆記錄，其中 83% 包含加密資料。以此推算，全球每年可能有超過 100 億筆加密記錄被竊取。這些資料正在某處的伺服器上安靜地等待，等待量子電腦能夠將它們解密的那一天。

更讓人擷心的是，儲存成本的持續下降使得長期保存大量資料變得經濟可行。一個 PB（petabyte）的儲存空間現在只需要幾萬美元，對於國家級的攻擊者或有組織的犯罪集團來說，這是一筆微不足道的投資，卻可能換來未來巨大的情報或經濟利益。

暗網市場的存在進一步證實了這種策略的可行性。目前，不同類型的竊取資料在暗網上有著明確的價格體系：個人資料檔案售價 10-100 美元，信用卡等金融資料 5-120 美元，企業資料庫 500-100,000 美元，政府證件可達 500-3,000 美元。這個市場的存在表明，即使是加密的資料也具有投資價值，攻擊者願意為了未來的潛在收益而承擔儲存成本。

高價值目標識別

並非所有被竊取的資料都具有相同的長期價值。理解哪些資料類型最容易成為 HNDL 攻擊的目標，有助於企業制定更有針對性的防護策略。

長期價值資料是攻擊者最感興趣的目標。政府機密文件、軍事策略、外交通訊等國家安全相關資訊在數十年後仍可能具有重大價值。企業的智慧財產權，如專利技術、研發資料、商業機密等，同樣具有持久的競爭價值。個人資料如身份證號碼、生物特徵資訊、醫療記錄等，也可能在多年後仍然有用於身份盜用或詐騙。

相對而言，某些資料的價值會隨時間遞減。信用卡號碼和密碼會定期更換，即時通訊內容可能很快就失去相關性。然而，即使是這些「短期價值」的資料，在量子解密後也可能透露行為模式、人際關係或其他可用於社會工程攻擊的資訊。

企業需要誠實地評估自己擁有哪些類型的資料。如果企業處理客戶的個人資料、擁有重要的智慧財產權，或者在關鍵基礎設施領域運營，那麼就應該假設自己已經是 HNDL 攻擊的目標。

解決方案評估：技術選擇與迷思破解

後量子密碼學：唯一可行解

面對量子威脅，後量子密碼學是目前唯一經過廣泛驗證的解決方案。PQC 的核心概念是使用即使對量子電腦也很困難的數學問題作為安全基礎。

與 RSA 和 ECC 不同，PQC 演算法基於格密碼學、雜湊函數、編碼理論等數學領域的困難問題。以格密碼學為例，它依賴於在高維度空間中尋找最短向量的困難性，這個問題被認為即使對量子電腦也沒有有效的解決方法。

PQC 的一個重要優勢是它能在現有硬體上運行。企業無需購買特殊的量子設備或進行大規模的硬體升級。實際上，許多 PQC 演算法的效能甚至優於傳統加密。例如，CRYSTALS-Kyber 在某些情況下比 RSA 更快，而且需要的頻寬也更少。

美國國家標準與技術研究院（NIST）經過多年的國際競賽和專家評估，已於 2024 年正式發布了首批 PQC 標準。這些標準包括用於金鑰交換的 ML-KEM（CRYSTALS-Kyber）和用於數位簽章的 ML-DSA（CRYSTALS-Dilithium）。這些演算法已經在實際環境中進行了大規模測試，證明了它們的可靠性和實用性。

量子硬體迷思破解

許多供應商宣稱企業需要購買量子硬體才能對抗量子威脅，這是一個需要澄清的重大迷思。事實上，量子硬體既不是必要的，也不足以提供完整的安全防護。

量子金鑰分發（QKD）技術經常被包裝為量子安全的解決方案。然而，QKD 面臨著根本性的擴展問題。它要求通訊雙方之間有直接的物理連接，這在網際網路規模的應用中是不可能的。想像一下，如果每個需要安全通訊的設備都必須與其他所有設備建立專用的光纖連接，這將是多麼不現實的場景。

更重要的是，QKD 無法提供身份驗證。即使 QKD 能夠檢測到竊聽，它也無法防止中間人攻擊。攻擊者可以分別與通訊雙方建立 QKD 連接，然後在中間讀取和轉發所有訊息。要防止這種攻擊，仍然需要使用傳統的公鑰密碼學進行身份驗證，而這正是量子威脅要攻擊的目標。

量子隨機數產生器（QRNG）是另一個被過度推銷的技術。雖然 QRNG 可能產生品質較高的隨機數，但它並不是對抗量子威脅的必要工具。量子電腦並不會對現有的高品質隨機數產生器構成特殊威脅。企業投資 QRNG 的決策應該基於對隨機數品質的需求，而不是對量子威脅的擔憂。

混合式部署策略

在向 PQC 完全遷移的過程中，混合式方案提供了一個實用的過渡策略。PQ/T（Post-Quantum/Traditional）混合方案同時使用後量子演算法和傳統演算法，確保即使其中一種演算法被攻破，系統仍然保持安全。

混合方案的主要優勢在於相容性和風險緩解。在一個大型網路中，不可能同時將所有系統升級到 PQC。混合方案允許支援 PQC 的新系統與仍在使用傳統加密的舊系統互通。同時，由於 PQC 是相對較新的技術，混合方案提供了額外的安全保障，即使 PQC 實作出現問題，傳統加密仍能提供一定程度的保護。

然而，混合方案也帶來了額外的複雜性。它需要更多的運算資源、更大的頻寬，以及更複雜的密鑰管理。更重要的是，混合方案意味著企業需要進行兩次遷移：首先從傳統加密遷移到混合方案，然後再從混合方案遷移到純 PQC。

因此，混合方案應該被視為一個過渡性的解決方案，而不是長期目標。企業在採用混合方案時，應該確保其架構具有足夠的彈性，能夠在未來輕鬆地移除傳統加密組件。

企業準備策略：英國 NCSC 實務指導

三階段用戶分類與對應策略

英國國家網路安全中心（NCSC）提供了一個清晰的框架，根據不同類型的用戶制定相應的準備策略。這種分類方法有助於企業理解自己的位置和需要採取的行動。

對於一般企業用戶，也就是主要使用商業軟體和標準作業系統的組織，量子安全的轉換應該是相對無痛的。這些組織的主要任務是與供應商保持溝通，了解他們的 PQC 支援計畫和時間軸。企業應該詢問供應商何時會在其產品中整合 PQC 支援，以及升級過程會是什麼樣子。同時，確保所有系統都有完善的軟體更新機制，這樣當 PQC 支援可用時，就能及時獲得更新。

建立密碼學資產清單是所有企業都應該進行的基礎工作。這包括識別組織中所有使用加密技術的系統、應用程式和設備。許多企業會驚訝地發現，加密技術在他們的 IT 環境中無處不在，從網路通訊協定到資料庫加密，從行動裝置管理到雲端服務。

對於擁有客製化系統的組織，準備工作會更加複雜。這些企業需要深入了解 PQC 演算法的技術細節，並做出具體的實作決策。NCSC 建議對大多數用途使用 ML-KEM-768 進行金鑰交換和 ML-DSA-65 進行數位簽章。這些參數集在安全性和效能之間提供了良好的平衡，適合大部分企業應用。

特殊應用場景可能需要不同的選擇。對於資源受限的設備，可能需要使用較小的參數集以減少運算和儲存需求。對於處理高度敏感資料或需要長期保護的系統，可能需要選擇更大的參數集以獲得更高的安全邊際。

雜湊式簽章演算法如 SLH-DSA、LMS 和 XMSS 適用於特定場景，主要是韌體和軟體簽章。這些演算法的簽章較大且運算較慢，但提供了不同的安全假設。對於 LMS 和 XMSS，狀態管理是一個關鍵挑戰，必須確保一次性金鑰永遠不會被重複使用。

實作路線圖

成功的 PQC 遷移需要一個分階段的方法，每個階段都有明確的目標和可交付成果。

第一階段的重點是評估和規劃，這個階段應該立即開始。密碼學資產盤點是這個階段的核心任務。企業需要系統性地檢查所有的系統和應用程式，識別它們使用了哪些加密演算法、在哪裡使用，以及如何使用。這個過程往往會發現一些意想不到的加密使用場景，例如嵌入式設備中的硬編碼證書或遺留系統中的過時協定。

風險分級是另一個重要的活動。不是所有的系統都需要同等的緊急處理。處理高敏感資料、具有長期價值或者對業務運營至關重要的系統應該獲得優先處理。企業需要考慮資料的敏感度、系統的生命週期，以及在量子威脅實現時可能面臨的風險。

供應商溝通應該是一個持續的過程。企業需要了解關鍵供應商的 PQC 路線圖，包括他們計劃何時發布支援 PQC 的產品版本、升級過程會是什麼樣子，以及是否需要額外的成本。這些資訊對於制定企業自己的遷移時間表至關重要。

第二階段是混合部署階段，預計在未來 1-2 年內開始。這個階段的策略是優先保護最關鍵的系統，同時為全面遷移奠定基礎。混合式加密方案在這個階段特別有用，因為它們可以在保持與現有系統相容性的同時提供量子安全保護。

在這個階段，企業應該特別注意協定的選擇。NCSC 強烈建議等待正式的 RFC（Request for Comments）標準發布，而不是使用仍在草稿階段的 Internet Draft。雖然等待可能意味著稍晚開始部署，但使用標準化的協定可以避免未來的相容性問題。

第三階段是完全轉換，目標是在 3-5 年內建立純 PQC 架構。這個階段涉及移除所有傳統加密演算法，完成向量子安全環境的轉換。這個階段的挑戰在於確保所有系統都能正常運作，同時建立持續的監控和更新機制。

持續監控包括追蹤新的威脅發展、標準更新和最佳實務變化。量子技術和後量子密碼學都是快速發展的領域，企業需要保持警覺並準備根據新的資訊調整策略。

建立密碼學敏捷性

密碼學敏捷性是企業在量子時代生存的關鍵能力。它指的是快速和輕鬆地切換加密演算法的能力，而不需要對整個系統進行重大改造。

模組化設計是實現密碼學敏捷性的基礎。系統應該將加密功能封裝在獨立的模組中，這些模組可以在不影響其他系統組件的情況下進行更新或替換。這需要在系統設計階段就考慮到未來演算法變更的可能性。

治理機制同樣重要。企業應該建立密碼學決策委員會或指定專門的負責人來監督加密政策和實務。這個角色需要跟上密碼學領域的最新發展，評估新威脅和解決方案，並制定企業的加密策略。

變更管理程序需要適應密碼學更新的特殊需求。加密演算法的更新可能涉及安全考量，需要快速部署，但同時也需要充分的測試以確保不會破壞現有功能。企業需要建立能夠平衡速度和謹慎的程序。

培訓和教育是建立密碼學敏捷性的另一個重要方面。技術團隊需要了解不同加密演算法的特點和適用場景，管理層需要理解密碼學決策的業務影響。這種理解有助於在面臨新威脅時做出快速而明智的決策。

結論：機會與挑戰並存

量子威脅確實存在，而且其影響可能比我們想像的更深遠。攻擊者已經在收集加密資料，等待量子技術成熟後進行解密。這種威脅的長期性和不可逆性使得預防變得至關重要。

然而，我們並非毫無防備。後量子密碼學提供了一個可行的解決方案，而且這個解決方案在今天就可以開始部署。企業無需等待更多的確定性或購買昂貴的量子設備，而是可以利用現有的硬體和基礎設施開始建立量子安全的防護。

早期準備者將在多個方面獲得優勢。從技術角度來看，提前開始遷移可以避免在時間壓力下匆忙行動可能造成的錯誤和安全漏洞。從商業角度來看，展現前瞻性的安全態度可以增強客戶和合作夥伴的信任。從競爭角度來看，在同業中率先實現量子安全可以成為重要的差異化優勢。

現在行動比等待更多確定性更明智。量子技術的發展具有突破性的特質，等待可能意味著錯過準備的最佳時機。而且，向 PQC 的遷移本身就是一個複雜的過程，需要時間來規劃、測試和實施。

最重要的是，後量子時代代表著企業展現技術領導力的機會。那些能夠成功導航這個轉換過程的組織將不僅保護了自己的資料和客戶，也為整個產業的安全進步做出了貢獻。在一個越來越依賴數位信任的世界中，這種領導力將成為寶貴的資產。

量子威脅是真實的，但它並不是世界末日。透過理解威脅的本質、評估可用的解決方案，並制定周全的準備策略，企業可以在量子時代不僅生存，而且繁榮發展。關鍵是現在就開始行動，因為在網路安全領域，預防永遠比修復更有效、更經濟。

參考資料

Next steps in preparing for post-quantum cryptography
You don’t need quantum hardware for post-quantum security