第十屆 CYBERSEC 2024 台灣資安大會在臺北南港展覽館盛大登場,池安量子資安顧問黃光彩14日以「我們距離Q-Day還有多久時間? 我該做那些準備?」為題分享進入量子電腦時代時,全球網路世界將面臨新變革,企業在面對量子威脅的情況下,可先做哪些防禦措施以保護機敏資料,降低風險、抵抗威脅。
黃光彩是前師大校長、前IBM全球服務群知識管理長,現任為亞洲大學講座教授,也是池安量子資安顧問,他表示,Q-Day指的是Quantum Day。當量子電腦的能力成熟到可以輕易破解目前全球主流的加密技術時,就是進入量子威脅(Quantum Threat)的時代,全球網路世界將會有一場大變革。
黃光彩說,由於量子的算力更強或其破解密碼的速度更快恐增加相關風險,對日常生活的影響將會非常廣泛,包括個人醫療和銀行記錄數據被揭露,破壞隱私保護;商務數據、銀行交易、供應鏈管理資訊被竊取或篡改;自駕車、網絡安全和國家安全信息會面臨風險,甚至是對全球的軍事和經濟安全造成顛覆。
他提到,有些報導預測最快2025年將進入量子電腦的時代。屆時,當前的加密方法將失去作用。若沒有做好準備,想要及時阻擋和挽救,可能令人措手不及。因此,當大家面對即將來臨的Q-Day,需要保持警覺並採取積極的應對措施,並從核心系統「事先防禦」並從重要資料開始著手保護。
近年,主宰全球的幾個強國,例如美國、歐盟、日本、韓國都以國安等級,設立高標準的法令,關注對量子技術與安全的防禦議題。NIST(美國國家標準暨技術研究院)於2020年8月公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)已是全球多國組織與企業所遵循且落實應用在資安防禦的參考標準。今年四月中旬,位於美國馬里蘭州(Maryland)洛克維爾(Rockville)舉辦的第五屆 NIST PQC(Post Quantum Cryptography,後量子密碼學)標準化會議,NIST 電腦安全部門主管Matthew Scholl表示,自2024至2030年間,我們必須升級到抗量子演算法,且今年下半年NIST將會敲板定案最終的PQC標準。
黃光彩認為,企業準備進入Q-Day過渡期時,首先要提高對加密的基本知識和安全意識;評估其現有的加密技術,確定哪些算法容易受到量子計算機攻擊,包括傳統的RSA、DHKE、ECC、ECDSA和ECDH等算法。其次,盤點、評估風險、考慮遷移到抗量子加密策略及技術,並且持續的觀察。
這一系列措施,一般叫做PQSM也就是Post Quantum Safe Migration(後量子遷移)的縮寫,雖然是一個複雜的過程,卻涉及多個步驟和策略,旨在保護系統免受未來量子威脅,所以需要時間規劃和執行,更需要組織以確保和即將發佈的抗量子加密(PQC)標準的兼容性。
黃光彩指出,進行這種遷移是一個長期而密集的群體努力,需要政府和產業界之間的廣泛合作。除了防禦來臨的量子威脅的資安高風險外,同時還可讓企業最敏感和關鍵的資產和系統,提前制定安全遷移計劃和使用新的抗量子加密技術,是具雙效益的保護。
為此,他提出四個可能會遇到的量子加密攻擊狀況,分別是:一、現在竊取,之後解密的攻擊 ( Data Risk );二、未經授權的程式碼執行( Software Risk );三、TLS協議轉換 ( Devices Risk );四、主動保護正在使用的數據和程式碼 ( Digital identities Risk ),上述便是目前要針對的挑戰,預先做好風險評估與準備的項目。
他還說,除了提前準備防禦外,深度研究抗量子加密技術也不容忽視,因為選擇最合適的抗量子加密技術需要考慮多個因素,包括安全性、效率、兼容性和未來的標準化進程,也就是了解它們各自的優缺點和安全性。畢竟,抗量子加密是威脅防禦的前哨站,所以確保新技術可以無縫集成到現有的IT基礎設施中,是首要工作。
黃光彩表示,針對企業準備迎接量子電腦時代,同時實現更加堅固的零信任安全架構,不論是基礎設施、通訊網路、區塊鏈數位資產的雙重保護,國內能規劃量身訂製的安全具體建議,具備實際導入抗量子安全專案且符合NIST SP 800-207要求的三大ZTA 零信任架構的廠商,以Chelpis池安量子資安最為高水準與成熟。
最後,黃光彩還說,新政府即將在520上任,企業為了應對量子威脅及推動零信任架構,期待透過台灣政府繼續「資安即國安」的戰略,利用台灣半導體及AI Server算力的優勢,通過政策的制定與實施、國際合作與交流、安全認證與評估等,期望能帶動本土商用解決方案(包括軟硬體)的發展,讓國內資安產業在全球抗量子密碼技術風潮中擁有一席之地。