隨著全球主要國家陸續發表後量子密碼遷移指引,為因應量子破解威脅做好準備,臺灣也需積極布局,上個月後量子資安產業聯盟(PQC-CIA)召集人李維斌曾透露,資策會正在負責我國「後量子密碼遷移指引」的制定,如今數位發展部數位產業署於2025臺灣資安大會上正式發表這項指引,目的是協助產業及早因應量子破密威脅的挑戰,讓後PQC遷移能順利過渡。
在這場活動中,負責此項指引開發的資策會資安科技研究所主任蕭榮興,有更具體說明。他表示,關於遷移指引對臺灣產業的重要性,這不僅是對齊國際趨勢,最大重點是促使企業瞭解量子破密威脅,重視後量子加密的必要性並加速遷移,並提供企業組織一套清晰的遷移路徑與實施步驟,確保遷移過程安全並且可以實行。
因此,資策會主要參考歐美國家的作法,整理出以美國指引為主、其他國家指引為輔的指引。其重要參考來源,包括美國國家標準暨技術研究院(NIST)的多項文件,像是SP 1800-38A、SP 1800-38B、IR 8547、Quantum-Readiness、CNSA 2.0等,其他國家參考文件則包含荷蘭The PQC Migration Handbook、加拿大National Quantum-Readiness等,藉此進行指引內容的補充,以建立出臺灣適用的遷移指引。
畢竟,全球多國都在為PQC遷移做準備,不論美國、加拿大、德國、荷蘭、英國等多國相繼發布相關指引,臺灣產業過去若想要展開行動,通常只能參考國際間的作法,因此,臺灣能建立符合自身的後量子密碼遷移指引,具有重要意義。
蕭榮興指出,臺灣的《後量子密碼遷移指引》,依照框架可分為4大遷移程序,包括:(一)建立量子準備計畫,(二)盤點加密資產清單,(三)與技術供應商討論量子準備計畫,(四)確認供應鏈的量子準備程度。
因此,對於現階段企業組織而言,建立PQC遷移計畫的第一步,就是要建立專案管理團隊,接著就是要針對加密資產的盤點,才能確認遷移的優先順序與方向。
為了更好協助臺灣廠商規畫後量子遷移,蕭榮興提到,他們也依據各國指引介紹了相關工具與方法論,讓國內業者在執行時能快速找到更多資源。
例如,在建立量子準備計畫時,可參考加密敏捷性風險評估框架(CARAF),以及攻擊模擬與威脅分析流程(PASTA),去定義好自身的風險,以此建立遷移計畫初稿。
在進行加密資產盤點時,企業可參考莫斯卡量子風險評估架構(MOSCA),較特別的是,為協助國內組織應對量子威脅,相關單位已推出後量子安全評測工具,透過自動化封包流量分析方式,檢測應用系統的傳輸安全性,也就是識別資料傳輸所使用的加密演算法、金鑰長度及憑證加密等資訊,進而評估系統的加密安全等級,而在快速掌握場域內加密傳輸的風險之下,將有助於組織規劃後量子遷移計畫。
至於後續兩大階段,也都提供了供應商前移評估表、後量子遷移檢核表,幫助整體遷移計畫的建立。
最後蕭榮興也呼籲國內企業,現在就要開始實際行動,在ACW-後量子資安產業聯盟網站上,已經可以找到新發布的「後量子密碼遷移指引」,他同時也鼓勵大家共同參與PQC-CIA聯盟,共同討論遷移上的實務作法,能26家供應商在內的產業夥伴交流遷移經驗,以及獲取後量子產品驗測供應商名單,以利後續的合作。
後量子安全評測工具何時推出?會後我們進一步向資策會詢問,他們表示,此工具由資策會資安科技研究所研發,名稱為後量子安全評測工具(PQ-SAT),目前可支援傳統加密演算法進行盤點安全等級,預計會在4月底上架於ACW -後量子資安產業聯盟。