量子運算時代的安全威脅正加速逼近。Google 近日宣布,將於 2029 年底前完成旗下所有系統、產品與服務的後量子密碼學(PQC)遷移;這項時程不僅大幅超前美國國家安全局(NSA)的 2031 年目標,也遠早於美國政府整體設定的 2035 年基準。
為何 2029 年如此關鍵?
Google 安全工程副總裁 Heather Adkins 與資深密碼工程師 Sophie Schmieg 在官方部落格中指出,隨著量子運算硬體持續進展、量子錯誤糾正技術取得突破,以及量子因式分解資源估算更新,加密系統面臨的風險已大幅提前。
Google 量子 AI 研究團隊的調查也進一步揭示危機的具體規模:
一台搭載 100 萬個雜訊量子位元(qubit)的量子電腦,可能在不到一週內破解標準 2048 位元的 RSA 金鑰。這個數字遠低於過去業界估計所需的 10 億個精確量子位元,意味著 Q-Day(量子電腦足以破解現有加密演算法的時刻)正從遙遠的科學實驗,快速演變為「可預期的工程問題」。
今日就已存在的威脅:先存取後解密攻擊
現有加密系統仰賴公開金鑰密碼學(Public-Key Cryptography)。這類演算法的數學複雜度對傳統電腦幾乎無解,但量子電腦的物理特性卻可能輕鬆繞過這道防線。這使得威脅不只存在於未來,研究人員特別警告「
先存取後解密攻擊」(Store-Now-Decrypt-Later,SNDL)的風險:攻擊者可能已在蒐集並儲存目前尚無法解密的加密資料,待量子電腦成熟後再一舉破解。銀行、政府機構與企業現今儲存的敏感資訊,都可能成為這類攻擊的目標。
因此,Google 在最新威脅模型中,將身分驗證服務的 PQC 遷移列為優先項目,並強調數位簽章也必須在量子電腦(CRQC)出現之前完成轉換。
Google 的具體行動
在產品層面,
Google 已在 Chrome 瀏覽器與 Cloud 服務中導入後量子技術支援。即將推出的 Android 17 也將整合基於模組格加密的數位簽章演算法(ML-DSA),用於驗證應用程式完整性並防止遭到篡改。ML-DSA 由美國國家標準暨技術研究院(NIST)主導制定,而 NIST 已於 2024 年發布首批 PQC 標準,作為業界遷移的規範依據。
在基礎架構層面,Google 強調三大核心策略:密碼敏捷性(Crypto Agility,確保系統能隨標準演進靈活調整)、保護關鍵共享基礎設施,以及推動整體生態系的轉型。
業界跟進,標準競賽展開
Google 並非孤軍奮戰。
Apple 已為 iMessage 導入類似的後量子保護機制;
Microsoft 與 Amazon AWS 也陸續將量子抗性工具整合進各自的雲端平台。英國國家網路安全中心(NCSC)建議組織在 2035 年前完成 PQC 部署;NSA 則要求旗下安全系統在 2033 年前達到後量子韌性。相較之下,Google 設定的 2029 年期限顯然更為激進。
歐洲電信標準協會(ETSI)量子技術技術委員會主席 Mark Pecen 表示,Google 提前設定期限,
象徵業界思維正從「預測 Q-Day 何時到來」,轉向「主動管理 Q-Day 前的風險」。同時,這也等同於向整個產業施壓,要求各方將 PQC 遷移視為當下的營運優先事項,而非未來的合規作業。
2029 年還有另一層意義:CA/Browser Forum 將在同年把 SSL/TLS 憑證的最長有效期縮短至 47 天,較現行規定縮短約 12 倍。Sectigo 資深研究員 Jason Soroko 指出,目前九成組織同時面臨短效憑證管理與 PQC 遷移的雙重挑戰。這兩條並行的 2029 年期限絕非巧合,而是共同指向同一個核心命題:
密碼學必須以更高的頻率、更強的敏捷性持續更新與迭代。
企業與組織應如何準備
面對這波量子資安浪潮,NIST 密碼學家 Dustin Moody 強調,未做好準備的風險不只來自外部攻擊,也可能導致日後與已完成 PQC 遷移的合作夥伴出現互通性問題。他建議各規模組織採取以下步驟:
- 建立認知與盤點:清查組織內部所有密碼學的使用場景,掌握自身暴露面
- 與服務供應商溝通:向雲端平台、VPN 廠商及軟體合作夥伴確認其 PQC 遷移計畫
- 優先保護長效敏感資料:針對需要長期保密的資訊,應優先展開量子抗性保護
- 提升密碼敏捷性:確保系統架構能隨標準演進靈活調整,而非一次性遷移
- 強化加鹽(Salting)機制:在過渡期間導入隨機加鹽技術,提升攻擊者進行預先計算攻擊的成本與難度
量子運算帶來的科學革命潛力無庸置疑,但其對現有資安架構的衝擊同樣不容小覷。Google 的 2029 年期限是一個明確信號:後量子時代的準備工作,現在就必須展開。
本文轉載自 DarkReading、InfosecurityMagazine、Hackread。