後量子資安產業聯盟(PQC-CIA)召集人李維斌揭露最新進展,指出工研院已設計後量子晶片公版平臺,希望協助縮短產品開發週期,接下來資策會也即將發布我國的PQC遷移指引,協助企業及早因應。(圖片來源/工研院)
為了應對量子破密的潛在威脅,去年8月後量子密碼PQC標準(FIPS 203、FIPS 204與FIPS 205)正式發布,成全球資安界矚目的焦點,然而,PQC遷移的問題仍迫在眉睫,以及臺灣如何在此浪潮掌握先機,是我們持續關注的焦點。
最近3月一場後量子密碼研討會上,有最新進展揭露,說明美國國家安全局(NSA)公布的6大軟硬體領域更新時間表,同時也揭露國內進度,包括已經打造「後量子晶片公版平臺」,接下來今年4月臺灣資安大會期間,還會公布「臺灣後量子遷移產業指引」。
PQC遷移時間急迫,資訊產業各個環節都須及早做準備
對於量子運算帶來的Y2Q ( Years to Quantum ) 威脅,也就是量子電腦能力發展到足以破壞現有的公鑰加密系統,這個時間點何時到來,雖然至今仍無法確定,但我們需要提前準備。
在此會議中,身為後量子資安產業聯盟(PQC-CIA)召集人的李維斌表示:為什麼大家都在講PQC遷移,而不是指PQC修補,因為轉換過程複雜、範圍廣,需要很長時間才能完成,並不是Patch就結束的事情。
這也意味著,我們不能等到威脅發生才去因應,而是需要及早準備,提前讓整個環境都升級就緒。
他提醒,現在很多對於量子電腦的討論,都是多少年後成熟、進入商業化階段,但攻擊者不需等到商用,只要有利可圖、利益大於成本,就會開始使用。
對於臺灣產業而言,在今日的量子技術變革下,不只是量子電腦發展需要重視,量子破密威脅的因應發展,是我們的挑戰也是我們的機會。
李維斌強調,這不能只靠國家政策來支撐,產業也要自立自強,同時國內也要有環境來發展。因此,去年5月我國數位發展部數位產業署宣布成立PQC-CIA聯盟,期望整合產業、研發單位、學界或政府資源,以加速臺灣PQC資安產業發展,並確保臺灣具備後量子密碼準備能力。
在PQC遷移與發展上,有哪些新消息值得關注?在本場會議中,所有專家都引用了美國國安局(NSA)提出的CNSA 2.0藍圖,因為當中展現6種資訊領域的導入時程。包括:軟體/韌體簽章,網頁瀏覽器/伺服器與雲端服務、傳統網路設備、作業系統、利基型設備,以及客製化應用程式與舊有設備。
這也顯現出,整體環境要升級PQC,是需要非常多面向共同配合,才能徹底發揮效用。
簡單來說,在這6項的過渡時程中,從現在到2030年,希望達到第一個里程碑,此時預定完成部署的領域,是軟體/韌體簽章、傳統網路設備,其餘則要求2033年完成,當中又以客製化應用程式與舊有設備,是最難升級轉換的部分。這樣的時程,距今雖然還有5到8年,但已有專家認為這樣的遷移時間並不夠。
對於臺灣而言,依據NSA提出的時程,李維斌強調,我們也要在後量子遷移過程掌握商機。例如,臺灣可從軟韌體簽章切入PQC產品場域驗證,進而帶動產業的遷移與發展。
具體而言,未來四年(2025年到2028年)的推動策略可循序漸進,逐年設定目標:首先從PQC簽章軟硬體方案的「技術驗證」起步,接續推動電子簽章與IoT應用場景的「應用驗證」,進一步擴展至製造、通訊、醫療、移動裝置與安控等產業的「場域驗證」,再邁向「產品驗證」。希望透過此階段式推進,有望促成臺灣建立成功案例並進軍國際市場。
關於最新PQC-CIA聯盟的最新進展,李維斌提到工研院與資策會已有具體作為。首先,工研院已經設計一款後量子公版平臺,目的是希望因應驗證市場需求、協助業者縮短產品開發週期;其次,資策會即將發布我國的PQC遷移指引,協助企業及早因應。
在同日另一場演講中,資策會資安所主任蕭榮興強調,美國與歐洲目前皆已公布後量子加密遷移指引,為因應未來資安威脅積極布局,因此,臺灣亦須正視PQC遷移的重要性,有了具體的技術與實務指引,才能促使企業加以重視並實際行動
現階段,他們正參考歐美國家的作法,目前評估是以美國指引為主、荷蘭指引為輔,結合兩者內容互補,希望建立臺灣適用的指引,不僅藉此協助政府機關,還要能讓技術供應商與一般企業採用。
同時他也預告,臺灣這項PQC遷移指引的發布,將在今年4月中旬舉行的臺灣資安大會揭露。
關於工研院設計的PQC晶片與應用的公版平臺,我們在2024年9月國際半導體展上的SECPAAS資安專區,曾看到實際展示,至於接下來的重點將是PQC遷移指引,資策會預計將於今年4月中旬舉行的臺灣資安大會發表。(攝影/羅正漢)
