傳統密碼面臨量子電腦威脅,美國要求 2027 年起政府新採購的資通產品設備都須符合後量子密碼要求。數發部 16 日發布台灣首版「後量子密碼遷移指引」,協助產業提升資安保障,建議企業提早盤點系統與產品,進行密碼遷移,避免機密資料遭破解等風險。
數發部數產署16日攜手後量子資安產業聯盟(PQC-CIA),在台灣資安大會舉辦後量子密碼遷移暨晶片應用產業論壇,並發布後量子密碼遷移指引。
數發部數位產業署署長林俊秀指出,量子電腦發展非常快,密碼遷移不能再等,呼籲各單位多留意,希望透過指引協助外界完成後量子密碼遷移。
至於業界為何討論後量子密碼遷移,資策會資安所主任蕭榮興解釋,平常網路交易使用的帳號與密碼,密碼後端都有一套加密機制再做傳輸,如果具備強大運算力的量子電腦問世,傳統密碼後端的加密機制就會被破解,個人網路使用密碼可能都會被看光。
蕭榮興指出,這可能產生兩大衝擊,一是國家機密資料可能被破解,二是很多系統運用到簽章跟憑證,也可能遭破解、身分恐被盜用。美國聯邦政府已在進行後量子密碼遷移過程,概念上是要讓現行密碼的後端加密機制改變演算法,讓量子電腦無法破解密碼。
蕭榮興表示,美國去年發布規定,2027年起所有政府新採購的資通訊設備須符合後量子密碼要求;如果是既有系統,則要逐年淘汰,若為較短的加密機制,2030年就要汰換,最晚2035年要完全換成後量子密碼。
外界關注台灣廠商面臨的影響,蕭榮興說,2027年資通訊產品外銷可能受影響,如果廠商的產品沒有具備後量子密碼保護,可能面臨出口限制;其次,服務營運商如果系統沒更新,2030年可能出現相容性問題,導致現有系統密碼對接失敗;而未來10年因應後量子密碼遷移,可能帶動新一波軟體升級、硬體汰換與新型資安解決方案的需求。
哪些台廠產品2027年可能受到美國新規定影響,蕭榮興會後受訪指出,網路設備若涉及資料交換跟傳輸,會優先面對此挑戰,資通訊設備、晶片、簽章憑證解決方案等也會受影響。
至於指引內容,蕭榮興表示,各單位要根據業務性質做判斷,綜合考量後,再來看哪些項目要做密碼遷移。舉例來說,不同業務的資料生命週期不同,戶政資料可能長達50年到70年,網站交易資料可能僅3個月,建議企業建立量子準備計畫,再來盤點加密資產清單,確認供應鏈的準備程度等。
(作者:蘇思云;首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
