我們距離Q-Day還有多久時間? 該做那些準備? 國內有廠商可以協助嗎? 以上大哉問,前師大校長、前IBM全球電商副總暨全球服務群知識管理長,現任為亞洲大學講座教授,也是池安量子資安顧問黃光彩先生於本周資安大會,進行一場深入淺出的演講,我們將精彩內容分享給大家。
Q-Day 指的是 Quantum Day,當量子電腦的能力成熟到可以輕易破解目前全球主流的加密技術的那一天,進入量子威脅( Quantum Threat )的時代,全球網路世界又將會是一場大變革,由於算力更強亦或破解密碼的速度更快,威脅更大。根據報導預測這一天可能最快2025年到來,屆時,量子電腦將會讓當前加密方法失去作用,若沒我們有做好事前的準備,想及時阻擋與挽救似乎是困難,也令人措手不及。
啟動量子安全 從核心系統著手
近年主宰全球的幾個強國,例如美、歐、日、韓等均以國安等級的關注力與高標準的法令正視著量子技術與安全的防禦議題。黃教授說 NIST (美國國家標準暨技術研究院) 2020年8月公布 「SP 800-207零信任架構」 (Zero Trust Architecture, ZTA)已是全球多國組織與企業所遵循且落實應用在資安防禦,NIST更進一步於今年四月中旬位於馬里蘭州 Rockville 舉辦的第五屆 NIST PQC(Post Quantum Cryptography,後量子密碼學)標準化會議上,NIST Division Chief , Matt Scholl表示接下來五~六年(2024至2030),我們必須升級到抗量子演算法,且今年下半年NIST將會敲板定案最終的 PQC 標準。
黃教授進一步具體的舉例,假設我們輕忽 Q-Day 的來臨,對我們日常生活的影響將會更為全面且直接觸及安全危機,包括個人醫療和銀行記錄數據被揭露,破壞隱私保護;商務數據、銀行交易、供應鏈管理資訊被竊取或篡改;自駕車、網路安全和國家安全訊息面臨風險;甚至可能會對全球的軍事和經濟安全造成顛覆。因此當我們面對即將來臨 Q-Day 之前的安全挑戰,需要保持警覺並採取積極的應對措施,因此我們應有的動作就是 ‟事先防禦” 從核心系統、從重要資料開始著手準備。
ZTA + PQC 聯手防禦攻擊的威脅
企業該做哪些準備呢? 企業可能會遇到的量子加密攻擊的狀況,現在竊取,之後解密的攻擊 ( Data Risk ) ; 未經授權的程式碼執行( Software Risk ) ; TLS協議轉換 ( Devices Risk ) ; 主動保護正在使用的數據和程式碼 ( Digital identities Risk ) 這四個挑戰,黃教授建議企業可作為事前的風險評估與準備的標的。他進一步補充說明,ZTA ( Zero Trust Architecture,零信任架構)的核心原則之一是“從不信任,總是驗證”。在ZTA的最小權限原則中,用戶和設備只能訪問其完成任務所必需的資源,PQC 後量子加密 ( Post-Quantum Cryptography, PQC ) 則可以提供更強的身份驗證和授權機制,以確保只有經過嚴格驗證的用戶和設備才能使用資源,另外 ZTA 強調內部網絡的安全,但是邊界安全仍然是重要的一環,PQC 後量子加密也同樣的可以協助強化邊界安全的防禦,抵抗來自外部的量子攻擊。
PQSM 後量子遷移 協助企業 Q-Day 過渡期
黃教授呼籲企業心態與行動將要開始準備進入 Q-Day 過渡期了,現在就要提高加密的基本知識和安全意識;評估其現有的加密技術,確定哪些算法容易受到量子計算機攻擊,包括傳統的 RSA、DHKE、ECC、ECDSA和ECDH 等算法;進行盤點、風險評估、考慮遷移到抗量子加密策略及技術、並且持續的觀察改進,這一系列措施,一般叫做PQSM ( Post Quantum Safe Migration ) 後量子遷移,讓企業一旦正式全面進入 Q-Day 時代,你將是無縫接軌,不受影響的持續營運。
PQSM 後量子遷移是一個嚴謹密實的過程,涉及多樣態步驟和策略,旨在保護系統免受未來量子威脅,需要時間來規劃和執行,以確保與即將發佈的後量子加密 ( PQC ) 標準的兼容性,因此進行 PQSM 後量子遷移是一個長期且密集的群體努力,需要政府和產業界之間的廣泛合作,除了防禦來臨的量子威脅資安高風險外,同時還可讓企業機敏關鍵的資產和系統,提前制定安全遷移計劃、應用新的抗量子加密技術作準備,實為雙效益最佳保護方式。