隨著量子運算技術快速發展,企業與政府機構對後量子密碼學(PQC)的需求日益迫切。儘管具備容錯能力的商用量子系統尚未問世,專家警告
網路犯罪分子可能破解公鑰加密的「Q-Day」最早將在 2029 年到來,甚至可能提前至 2026 或 2027 年。
AI 資安業者 Forward Edge-AI 成長副總裁 Brandon Chapman 指出,Q-Day 逼近的速度比預期更快,目前的加密技術最早可能在 2026 或 2027 年就會變得脆弱。他強調,相關框架已不再只是願景,而是有政策支持且有明確時程的要求。買家現在已有標準化的建構模組可以採取行動。
NIST標準已就緒,但採用速度緩慢
美國國家標準暨技術研究院(NIST)在 2024 年核准了三項後量子密碼學的聯邦資訊處理標準(FIPS)。然而,儘管 NIST 標準與全球相關法規陸續到位,實際採用速度仍明顯落後。
閱讀更多:美國NIST發布首套後量子密碼學(PQC)聯邦資訊處理標準 FIPS
ISACA 在 2025 年 4 月的調查顯示,在 6,200 名技術與資安專家中,
62% 擔心量子運算會破解現有加密技術,但僅 5% 認為這是近期優先事項,另有 5% 表示組織已有量子運算策略。F5 Labs 研究人員指出,量子運算的快速發展與資安長對相關風險的重視程度之間,存在日益擴大的落差。
專家預估,到 2027 年需要部署約 200 億個抗量子攻擊的裝置,而遷移至 PQC 是規模問題。NIST 的流程在 2024 年完成 FIPS 核准,但實際替換工作需要觸及數百萬個端點與長期使用的系統。
多重量子威脅浮現
除了「先收集、後解密」(Harvest Now, Decrypt Later)這種駭客先竊取大量加密資料、等量子技術成熟後再破解的攻擊手法外,專家也提出其他風險:
政策法規與技術發展步調不一致、
企業過早投入量子金鑰分配(QKD)與量子加密(QC)技術、
憑證與韌體的暴露風險,以及在
缺乏完整威脅監控機制的情況下就貿然導入 PQC。
近幾個月來,Kyndryl、NTT Research、Gigamon 與 Palo Alto Networks 等資安廠商陸續推出新產品與服務,協助組織制定後量子策略。微軟在 2025 年 8 月宣布,計畫於 2029 年開始提供量子安全解決方案,並在 2033 年前完成所有產品與服務的全面轉換。
MSSP可提供的協助
資安託管服務供應商(MSSP)與其他通路夥伴是加速 PQC 採用的關鍵力量。MSSP 具有倍增效應,能協助客戶有序部署,降低多租戶與多廠商環境中的「最弱環節風險」。
MSSP 最適合協助客戶處理四個關鍵領域:
- 盤點密碼學資產並繪製風險地圖:識別 RSA、ECC 與憑證相依性,優先保護長期機密資料
- 準備符合 PQC 標準的架構
- 推動零信任與自動化:減輕憑證與手動金鑰管理的負擔
- 在真實網路環境中驗證頻寬、延遲與系統韌性
目前企業的準備程度參差不齊。許多 MSSP 已開始盤點資產並進行試點遷移,但企業大規模部署與嵌入式系統轉換仍需時間。
本文轉載自 MSSPAlert。