報告：量子風險時代開始，企業應建立「密碼學敏捷性」

網路威脅聯盟（Cyber Threat Alliance）的最新報告警告，量子風險時代已經開始，資安團隊不應再將其視為未來才需面對的問題。

該報告《接近量子黎明：在為時已晚前縮小資安準備差距》（Approaching Quantum Dawn: Closing the Cybersecurity Readiness Gap Before It's Too Late）敦促企業為未來量子電腦可能破解當今加密技術的世界做好準備。然而，情況並非完全悲觀。報告強調現在可採取的行動：首先建立所謂的密碼學敏捷性（Ｃryptographic Ａgility）。 然而，這裡存在一個問題。對許多組織而言，特別是在金融和醫療等受嚴格監管的產業，遵循固定的密碼學標準是必要的常態，而這些法規通常不允許太多靈活性。

密碼學敏捷性面臨法規遵循挑戰

網路威脅聯盟表示，這意味著在設計系統時，不應將組織限制為未來十年僅能使用單一加密方案。相反地，報告作者敦促企業採用模組化架構，使系統能在最小干擾下支援加密演算法的變更。密碼學敏捷性應被視為一種策略性能力，它使組織能夠符合法規標準，同時為威脅演變或標準轉變時的快速調整做好準備。

這種隨時準備調整的概念是報告的核心訊息。量子運算可能仍需數年才能大規模破解現有加密技術，但攻擊者並不會坐等這一天到來。「現在收集，未來解密」(Harvest Now, Decrypt Later)等攻擊手法涉及當下竊取加密資料，待量子能力提升時再進行破解。這使得醫療紀錄、智慧財產權和機密文件等長期敏感資料現在就面臨風險，而非未來才需擔憂的問題。

QKD 聽起來前景可期，但對多數組織而言尚不可行

量子金鑰分發（QKD）經常出現在量子資安討論中。它運用量子物理原理來保護資料並偵測竊聽行為。該報告肯定其潛力，但也提醒需審慎評估。

網路威脅聯盟指出，儘管 QKD 在理論上提供極具吸引力的優勢，但它仍受到嚴重的可擴展性、基礎設施和系統整合限制。QKD 不應被視為後量子密碼學的替代方案，而應被定位為適用於特定高安全性場景的補充技術。

QKD 技術雖令人期待，但尚未做好廣泛應用的準備。它成本高昂、難以擴展，且與多數現有系統整合困難，使其目前不適合大多數組織採用，至少在現階段如此。

後量子準備工作始於實務步驟

那麼，資安長應該將焦點放在哪裡？報告指出，後量子密碼學（PQC）解決方案，特別是混合式方案，為量子韌性提供了更實用且廣泛可部署的路徑。這些方案結合傳統與後量子演算法，無需全面替換現有資訊基礎架構就能提供更強健的防護。

該報告建議從試點部署著手，建立對加密技術使用位置的可視性，如透過加密材料清單(CBOMs），並將密碼學敏捷性視為風險管理的核心元素，而非僅是一個流行術語。

雖然量子干擾雖不會在一夜之間發生，但現在正是採取行動的關鍵時刻。

本文轉載自 HelpNetSecurity。