技術專欄
文/MetaAge 邁達特資安顧問 Eno Hsu
談到量子電腦與後量子密碼學(Post-Quantum Cryptography, PQC),許多企業仍抱持一種距離感,認為量子電腦距離真正成熟與實用仍有一段時間,因此加密轉型似乎不必急於展開。然而,這樣的認知忽略了一個關鍵事實:企業所面臨的加密風險,並不會等到量子電腦全面商用之後才開始發生。
事實上,IBM、Google 等科技大廠早已展示具工程能力的量子處理器 [1][2],即便距離大規模破解現行加密演算法仍存在挑戰,但資安威脅的時間軸早已提前。攻擊者不需要即刻解密成功,只要能在今天攔截、竊取並保存加密資料,便能在未來解密能力突破後回頭解密。這種被稱為「先竊取、後解密」(HNDL;Harvest Now, Decrypt Later)的攻擊模型,已被視為後量子時代最現實、也最難忽視的風險來源。
對於需要長期保密的資訊而言,例如金融交易資料、政府與公共機構文件、研發設計圖、長期合約或大量個人資料,即使資料在當下未被破解,其價值仍可能在多年後被完整暴露。也正因如此,後量子密碼學並非一項前瞻性的學術議題,而是一個與企業風險管理與資訊治理高度相關的現實工程問題。後量子密碼學(PQC)要解決的,是讓密碼資產加密在量子威脅下仍維持安全,並在現有 IT 架構上逐步落地。[5][7]
作為全球數位安全領導品牌 Keyfactor 台灣官方代理夥伴,MetaAge 邁達特將透過本文,帶您快速掌握 PQC 是什麼?包含以下重點:
PQC 是替代 RSA/ECC 的新一代公開金鑰演算法:重點落在「連線握手」與「數位簽章」兩大場景。[3][4][5]
PQC 標準已可落地:NIST 於 2024/08/13 發布 FIPS 203/204/205,並持續擴充備援路線(如 HQC、FALCON)。[3][4][5][17][18]
透過本文,MetaAge 邁達特也將解析企業該如何應對現況。面對 PQC,企業最大痛點往往是無從下手,建議您從優先盤點、評估共存與可替換能力開始做起。三大重點能力包含:盤點加密資產(inventory/CBOM)、混合式過渡(hybrid)、加密敏捷(crypto-agility)。[9][11][14]
【 點擊諮詢 PQC 評估 × 加密資產盤點 × 遷移路線規劃 】
後量子密碼學 PQC(Post-Quantum Cryptography)是指能抵抗量子攻擊、用來取代或補強傳統公開金鑰密碼(如 RSA、ECC)的新一代演算法。與許多人的想像不同,PQC 不需要量子硬體,即可在既有伺服器、雲端與端點上部署,讓企業的 HTTPS、憑證、簽章與安全通道在量子威脅下仍可維持安全性。[3][4][5][16]
|
解決方案 |
傳統加密(RSA/ECC) |
後量子密碼(PQC) |
|
數學基礎 |
大數分解/橢圓曲線 |
格點(Lattice)/ 雜湊函數等 |
|
抗量子能力 |
弱(易被 Shor 演算法破解) |
高(可抵抗量子與傳統電腦) |
|
硬體需求 |
既有 IT 設備即可 |
既有 IT 設備即可(不需量子電腦) |
企業最常見的誤解是:「等量子電腦真的可用再做準備」。然而,等待並非中立選項,而是風險放大器。NIST 在多份後量子密碼遷移文件中反覆強調,PQC 並不是某個時間點「一次切換完成」的專案,而是一段需要提前規劃、逐步推進的轉型過程。[7][8]
加密技術深植於企業的各個層面,從網站、API 到設備韌體與供應鏈信任機制。若等到法規、政策或產業要求全面落地才開始行動,企業將面臨巨大的相容性問題與時間壓力,屆時的遷移風險與營運衝擊反而會被倍數放大。[7][9]
好消息是,後量子密碼學早已不再停留於研究階段。美國國家標準與技術研究院(NIST)已於 2024 年 8 月 13 日正式發布首批 PQC 聯邦資訊處理標準(FIPS),象徵 PQC 正式進入工程可落地的階段。該標準如下:
FIPS 203 - ML-KEM(Kyber):後量子金鑰封裝/交換(KEM)標準;可視為建立安全連線時關鍵的握手元件之一 [3]
FIPS 204 - ML-DSA(Dilithium):後量子數位簽章標準 [4]
FIPS 205 - SLH-DSA(SPHINCS+):無狀態雜湊式簽章標準 [5]
在通用加密方面,以 FIPS 203 為主要標準;在數位簽章方面,則以 FIPS 204 為主要標準,由於 FIPS 205 這項標準使用了與 ML-DSA 不同的數學方法,若是 FIPS 204 被發現有漏洞時,將可作為備用方法使用。[18]
NIST 也預告後續還有 FIPS 206 會稍晚發布,此項標準是使用 FALCON 演算法,並會更名為 FN-DSA;此外,也在 2025/03/11 選定 HQC(Hamming Quasi-Cyclic)作為額外的備援加密演算法路線,反映出「避免押注單一路線」是標準策略的一部分,以確保長期可替換與多路線韌性。[17][18]
在實務導入上,PQC 帶來的挑戰往往超出單一技術選型。以下是邁達特統整的 4 大 PQC 導入挑戰:
HTTPS/TLS、PKI/數位憑證、VPN/IPsec、程式碼簽章(Code Signing)與韌體簽章、IoT 裝置身分驗證與上線流程,都高度依賴 RSA/ECC 等公開金鑰機制。PQC 遷移將會是跨系統、跨團隊的工程。[8][16]
缺乏可視化會讓遷移無從下手:您不知道哪些服務在用舊 TLS 或弱第三方加密套件、不知道憑證與金鑰散落在哪些設備與系統、也不知道哪些環境根本無法升級或需要停機窗口。
合規面也在推動盤點成為常態。PCI DSS v4.0.1 的 Requirement 12.3.3 要求至少每 12 個月盤點並審查正在使用的 cipher suites 與 protocols,包含用途、位置、趨勢監控與變更計畫(並在特定時程後成為強制要求)。[11][12]
現實上不可能一夜之間讓所有瀏覽器、OS、設備、合作夥伴串接端同步支援同一套新機制。因此,過渡期常見的工程方向,是採用混合式(Hybrid)策略,在相容性與安全性之間取得可控平衡。[13][14][16]
例如:NSA 的 CNSA 2.0 提出國安體系的量子抗性密碼轉換方向與時程規劃。[4][13]
台灣方面,數位發展部數位產業署也發布《後量子密碼遷移指引》,推動產業建立遷移節奏與工作項目。[16]
從長期治理的角度來看,成功的 PQC 策略並不取決於是否熟悉演算法名稱,而在於是否建立三項核心能力:盤點、共存、可替換,對應的技術如下:
混合式可視為過渡期的「雙保險」:同時使用傳統與 PQC 元件,以降低押注單一演算法的風險並維持互通。IETF 在 TLS 1.3 的混合金鑰交換設計草案中,已提供明確的建構方式與動機(就是為了過渡到 PQC)。[13][14]
真正昂貴的不是導入一次,而是未來標準演進時你是否「換得動」。加密敏捷指的是:演算法不寫死、可政策化管理、可並行驗證、可回退,讓遷移變成可控工程而非一次性大破壞。NIST 的遷移文件也聚焦在「從量子脆弱走向量子抗性」的轉換路徑與工程思維。[7][8]
盤點不是做一份表格交差,而是建立可維護的「加密地圖」:
哪些系統用哪些協定、套件、金鑰長度
憑證與金鑰在哪、由誰管、何時到期、如何輪替
哪些函式庫/元件被依賴,換版本會影響哪些服務
這一步同時也能對齊合規對 cipher/protocol 清單與定期審視的要求。[11][12][16]
許多人只想到「網站 HTTPS」,但長期風險更常落在「簽章與信任鏈」:程式碼簽章、韌體更新驗證、文件/交易簽章、裝置身分與供應鏈信任。這些場景往往資料保存年限長、更新窗口少、且一旦出事影響面巨大。[6][15][16]
表面是換憑證,實際牽動 API Gateway、負載平衡、服務間 mTLS、合作夥伴串接端與 SDK。過渡期若缺少混合與回退策略,最容易因相容性而造成服務中斷。[13][14]
設備壽命可能 10-20 年,更新窗口少。一旦簽章機制在量子威脅下失效,風險可能上升到「偽造更新」或「供應鏈注入」。CNSA 2.0 文件也反映軟體/韌體更新相關演算法方向的重要性。[6][15]
加密備份、封存郵件、交易紀錄、設計圖等資料,今天被偷走也許看不出問題,但若您需要保密多年,HNDL 模型就會放大風險,遷移必須提早。[7][9]
後量子密碼學並非單一技術趨勢,而是一個迫使企業重新檢視加密治理成熟度的轉捩點。真正具備韌性的企業,將能清楚看見自身的加密資產、在過渡期撐住相容與安全需求、在標準演進時快速調整,並長期維持合規與風險可控。
PQC 是企業的「加密治理與工程」題,而非單純選型題,PQC 會把企業帶到一個更務實的問題:您的企業是否可具備以下能力?[7][11][13][16]
看得見(加密資產盤點/CBOM)
撐得住(混合式共存+互通+回退)
換得動(加密敏捷/可替換)
管得久(監控與合規節奏)
Keyfactor × MetaAge 邁達特,讓 PQC 從概念走向落地
在 PQC 的實際導入過程中,企業往往需要的不只是單一產品,而是一套能支撐長期加密治理的架構。Keyfactor 作為全球專注於 PKI、機器身分與加密治理的領導品牌,可協助企業建立可視化的加密資產管理能力、PQC-ready 的 PKI 與簽章架構,以及真正可實現加密敏捷的管理模式。
作為 Keyfactor 的台灣代理商,MetaAge 邁達特則進一步協助企業將這些能力整合進既有 IT/OT 與雲端環境,並對齊台灣法規、產業實務與導入節奏,讓後量子密碼轉型不再停留於概念或單點測試,而成為可持續推進的治理工程。
量子電腦還沒全面商用,但加密風險已經開始累積。對多數企業而言,現在正是啟動盤點與規劃 PQC 的最佳時機。後量子密碼遷移不是一次性專案,而是一段需要正確起點和顧問夥伴的轉型旅程。您可由此填寫表單【免費諮詢】MetaAge 邁達特和 Keyfactor 專業顧問團隊,協助您的企業進行 PQC 評估、加密資產盤點、PQC 遷移路線規劃,建立企業級 PQC-ready PKI 與加密治理平台,助您對齊國際標準(NIST、CNSA 2.0)和台灣法規。
A1:Keyfactor 是全球領先的機器身分管理與 PK 解決方案供應商。在 PQC 轉型中,Keyfactor 是標準制定的參與者,提供核心工具如 EJBCA(PKI 平台)與 SignServer(數位簽章平台),讓企業能在現有環境中直接簽發與管理符合 NIST 標準的量子抗性憑證。
A2:Keyfactor 透過提供 PQC-ready 的 PKI 架構,讓企業能夠現在就開始對長期敏感數據使用 PQC 演算法進行加密或簽章。同時,Keyfactor 的 Command 平台具備強大的加密資產盤點功能,能找出過期的弱加密演算法,協助企業評估哪些數據最容易受到 HNDL 攻擊並優先進行遷移。
A3:Keyfactor 已全面支援 NIST 最新 PQC 標準(ML‑DSA、SLH‑DSA、ML‑KEM),並在 EJBCA、SignServer、Command 等產品中提供完整的 PQC 測試與部署能力。
A4:建議盡早。PQC 遷移不是「開關切換」,而是一場為期 3-5 年的馬拉松。供應鏈壓力方面,美國大廠已開始要求供應商提供具備 PQC 簽章的韌體;法規要求方面,美國 CNSA 2.0 已制定 2030-2035 年的強制汰換時間表。早一步建立 PQC Lab(如 Keyfactor 提供的 SaaS 測試環境)進行 PoC,能避免未來面臨合規問題時的倉促風險。
A5:現階段不需要。PQC 演算法的特點在於能在傳統的 CPU 和硬體安全模組(HSM)上執行。企業只需更新軟體版本並配置正確的參數,即可在現有的 IT 環境中運作量子抗性加密。
A6:MetaAge 邁達特是 Keyfactor 在台灣的官方合作夥伴,可提供「在地化」的 PQC 轉型顧問服務,包含:(1.)協助企業加密資產自動化盤點,產出 CBOM 報告。(2.)設計符合 NIST 標準的混合型 PKI 與數位簽章架構。(3.)整合企業現有的安全模組、混合多雲環境與應用程式,確保 PQC 憑證正確簽發。(4.) 教育訓練並幫助資安團隊理解 PQC 帶來的效能影響並進行優化。
參考資料
[1] Wikipedia, IBM Condor, 2024-02-28
[2] Google, Meet Willow, our state-of-the-art quantum chip, 2024-12-09
[3] NIST, FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM), 2024-08-13.
[4] NIST, FIPS 204: Module-Lattice-Based Digital Signature Standard (ML-DSA), 2024-08-13.
[5] NIST, FIPS 205: Stateless Hash-Based Digital Signature Standard (SLH-DSA), 2024-08-13.
[6] NSA, CNSA 2.0 Algorithms, 2025-05-30.
[7] NIST, NIST IR 8547 (IPD): Transition to Post-Quantum Cryptography Standards, 2024-11-12.
[8] NIST, Transition to Post-Quantum Cryptography (PQC) Standards(遷移架構與 mapping 概述頁)。
[9] NIST News / Draft guidance (PQC migration / risk framework mapping; includes HNDL discussion).
[10] 台灣數位發展相關公開資料(PQC 影響與對稱/非對稱加密衝擊說明)。
[11] PCI SSC, PCI DSS v4.0.1(Requirement 12.3.3 相關要求)。
[12] PCI DSS v4.0.1 Requirement 12.3.3(含「至少每 12 個月」盤點/審查 cipher suites/protocols 等要求)。
[13] IETF Datatracker, Hybrid key exchange in TLS 1.3.
[14] IETF Internet-Draft (HTML), Hybrid key exchange in TLS 1.3(定義與動機)。
[15] NSA, CNSA 2.0 FAQ(含 2035 量子抗性目標說明)。
[16] 數位發展部 數位產業署(ADI), 發布「後量子密碼遷移指引」新聞稿, 2025-04-16.
[17] NIST, NIST Selects HQC as Fifth Algorithm for Post-Quantum Encryption, 2025-03-11.
[18] NIST, NIST Announces First Four Quantum-Resistant Cryptographic Algorithms, 2022-07-05
