加密機制恐遭破解 數發部公布「後量子密碼遷移指引」

傳統密碼面臨量子電腦威脅，美國要求2027年起政府新採購的資通產品設備都須符合後量子密碼要求。數發部今天發布台灣首版「後量子密碼遷移指引」，協助產業提升資安保障，建議企業提早盤點系統與產品，進行密碼遷移，避免機密資料遭破解等風險。

數發部數產署今天攜手後量子資安產業聯盟（PQC-CIA），在台灣資安大會舉辦後量子密碼遷移暨晶片應用產業論壇，並發布後量子密碼遷移指引。

數發部數位產業署署長林俊秀指出，量子電腦發展非常快，密碼遷移不能再等，呼籲各單位多留意，希望透過指引協助外界完成後量子密碼遷移。

至於業界為何討論後量子密碼遷移，資策會資安所主任蕭榮興解釋，平常網路交易使用的帳號與密碼，密碼後端都有一套加密機制再做傳輸，如果具備強大運算力的量子電腦問世，傳統密碼後端的加密機制就會被破解，個人網路使用密碼可能都會被看光。

蕭榮興指出，這可能產生兩大衝擊，一是國家機密資料可能被破解，二是很多系統運用到簽章跟憑證，也可能遭破解、身分恐被盜用。美國聯邦政府已在進行後量子密碼遷移過程，概念上是要讓現行密碼的後端加密機制改變演算法，讓量子電腦無法破解密碼。

蕭榮興表示，美國去年發布規定，2027年起所有政府新採購的資通訊設備須符合後量子密碼要求；如果是既有系統，則要逐年淘汰，若為較短的加密機制，2030年就要汰換，最晚2035年要完全換成後量子密碼。

外界關注台灣廠商面臨的影響，蕭榮興說，2027年資通訊產品外銷可能受影響，如果廠商的產品沒有具備後量子密碼保護，可能面臨出口限制；其次，服務營運商如果系統沒更新，2030年可能出現相容性問題，導致現有系統密碼對接失敗；而未來10年因應後量子密碼遷移，可能帶動新一波軟體升級、硬體汰換與新型資安解決方案的需求。

哪些台廠產品2027年可能受到美國新規定影響，蕭榮興會後受訪指出，網路設備若涉及資料交換跟傳輸，會優先面對此挑戰，資通訊設備、晶片、簽章憑證解決方案等也會受影響。

至於指引內容，蕭榮興表示，各單位要根據業務性質做判斷，綜合考量後，再來看哪些項目要做密碼遷移。舉例來說，不同業務的資料生命週期不同，戶政資料可能長達50年到70年，網站交易資料可能僅3個月，建議企業建立量子準備計畫，再來盤點加密資產清單，確認供應鏈的準備程度等。