量子電腦的發展促使後量子密碼遷移的魔術數字可能只有10年左右，HSM(Hardware Security Module)大廠如Thales、Utimaco和Entrust都已推出支援PQC的產品，此外，Google Chrome和Microsoft Edge也已經支援Hybird PQC秘鑰交換，將PQC (Post-quantum cryptography)納入規格。台灣企業是否了解從現有技術轉換到後量子密碼世界不只是更新硬體設備而已 ? 因應未來趨勢，台灣產業應積極規畫遷移策略，評估優先升級關鍵資產確保資料安全。企業應如何面對有效規劃並確保過渡時期的企業安全，是許多企業重視的議題。

一一

6/18物聯網資安SIG舉辦第二場後量子密碼偵測與遷移工作坊，邀請產學專家聚焦金融領域分享如何面對後量子密碼遷移，如何選擇並規畫適合的工具、步驟面對後量子議題以及應用。開場時，新興科技資安推動組召集人蕭榮興(資策會資安所 策略總監)提到，觀察到過去兩年量子電腦的發展所引發可能的風險存在，因擔心現有的密碼系統容易被敵對國家先儲存起來，待量子電腦發展成熟後，就可以輕易的破解現有的防護取得資料，所以美國政府已經開始針對組織內部的密碼系統進行盤點並了解使用狀況。國內在產業或是政府機關有生命週期屬於長期都在使用的資料，就會是駭客攻擊的對象，金融領域也有同樣的狀況，因客戶或個人都是屬於長期使用金融服務，因此產業與政府都應該正視此一問題。希望能夠給大家一些啟示，並開始對未來的密碼改革做一些思考。

總結講師們分享內容，重點如下：

一一

政治大學資訊科學系 左瑞麟特聘教授提到

1. 量子計算機對網絡安全的威脅 : 量子計算機利用量子疊加和糾纏原理處理信息，可能破解現有加密方法，對數據安全構成重大風險
2. 公鑰密碼學的基礎 : 目前的公鑰密碼學基於大合數的質因數分解難題，但量子計算機預期將能高效解決此問題
3. 後量子密碼學（PQC） : PQC是指能抵抗量子攻擊但可在現有經典計算機上實施的加密算法，美國國家標準技術研究院（NIST）正在制定相關標準
4. 組織應對策略 : 組織需評估加密系統，考慮風險並過渡到後量子技術，使用經驗證和標準化的加密方法
5. 政策和法律支持 : 需要政策和法律支持來促進向新安全標準的過渡，並應對量子計算威脅可能在不久的將來成為現實的緊迫性

左老師建議產業界應提前準備，評估現有的加密技術，並開始過渡到後量子密碼學，以確保在量子計算時代仍能保持信息安全。此外，產業界應關注NIST的標準制定進程，並採用那些被認為是量子抗性的加密和數字簽名標準。最後，左老師強調了除了組織內部之外，整個供應鍊應該都要加入，組織需要對量子計算的威脅做出適當的回應和規劃的重要性。

一一

池安量子資安 呂佳諺策略長提到

1. 加密演進與量子計算 : 強調量子計算對現代密碼學的影響，以及金融業適應量子抗性算法的挑戰
2. 選擇適合的算法 : 重視為金融設備選擇合適算法的重要性，並強調算法選擇的嚴謹過程
3. 平衡安全與效能 :著重於算法大小、安全性和性能之間的平衡，以及產業廣泛遷移到後量子密碼學標準的必要性
4. 國際合作與人才培育：提到與國際密碼學家的合作，以及台灣需要培育相關人才的需求
5. AI對隱私的影響：討論AI對隱私的影響，以及在AI應用中進行安全數據處理的必要性

呂策略長建議產業界應持續努力提升金融科技，同時確保用戶友好性和安全性。特別是在選擇金融服務的算法時，要平衡安全性和效率，並關注改進這些算法的持續努力。此外，產業界應該關注AI在隱私保護方面的影響，並確保在AI應用中進行安全的數據處理。

一一

在實際應用案例上，量子安全與電子郵件服務 Openfind林經理介紹了電子郵件解決方案如何整合後量子密碼學（PQC）技術與PQC技術的實際應用，讓客戶驗證PQC功能以保護用戶帳戶免受量子計算機威脅。

最後QA交流時間，與會者分別針對後量子密碼學轉換的優先順序、資料保護的重要性，以及不同規模企業在準備後量子時代所需考慮的因素提出問題。

優先順序與風險評估

參與者提到，應用程序、作業系統或硬體上，是否有優先順序進行後量子簽名更新？ 講師回覆：應先評估風險，對於直接影響客戶財產或公司隱私資料的系統優先更新。建議使用風險計算公式 ( x + y < z ) 來決定更新時機。

資料敏感性與保護

參與者詢問，對於資料敏感性高或價值大的情況，是否應立即進行後量子加密？ 講師回覆：對於敏感或高價值資料，建議立即開始過渡，因為攻擊者可能已經在記錄加密資料，等待未來解密。

中小企業的後量子準備

參與者問到，所有台灣產業是否都必須進行後量子轉換？中小企業是否也需要立即行動？ 講師回覆：中小企業可以根據風險評估決定行動時機，但建議至少進行風險盤點，以規劃未來可能的費用。