2024 美國NIST公布「後量子密碼標準」,代表後量子密碼遷移的魔術數字可能只有10年或更少,這是公開金鑰密碼場域的一次重大變革,然而不同產業要進行 PQC 遷移有著不同的挑戰與許多現實問題要評估。
物聯網資安SIG為協助數位部數產署為往後制定符合產業實際需求的後量子密碼系統轉換指引內容,舉辦兩場專家座談會,目的在收集產、學、研專家代表意見,以作為後續制定符合產業需求之指引重要參考依據。同時期望能使之後制定的指引,在實務上具有實際可操作性。
一一
第一場專家座談會於7/3舉行,邀請中華電信研究院林博士、政治大學左教授、中山大學范教授以及產業代表全景軟體翁技術顧問與資策會資安所王博士共同參與討論表達意見。
會議由資策會資安所開場分享本場專家座談會舉辦的背景資訊以及後量子密碼現況說明,並由與會專家們各自發表對後量子密碼遷移的觀察與建議,上半場座談會專家分享重點統整如下 :
- 後量子密碼轉換:討論了台灣在後量子密碼轉換中的挑戰和機會,指引製作方向參考了國際標準如NIST和荷蘭醫學科學研究所的指引。
- 資產盤點與風險評估:強調在轉換過程中進行資產盤點和風險評估的重要性,並優先考慮需要升級的密碼系統。
- 混合模式過渡:建議在過渡期間結合傳統和後量子密碼技術,並使用Mosca不等式來優先考慮系統升級。
- 教育與培訓:強調了對員工進行教育和培訓的重要性,並建議分階段實施、測試和持續改進以確保最佳保護和合規。
座談會後段,資策會資安所王博士提出問題,包含(1)後量子密碼遷移指引的推動應由廠商自主還是政府強制?(2)指引是否會因產業不同而有所差異,例如金融業?邀請專家們各自表達想法與建議,統整專家們的回覆重點如下,專家們普遍認為:
- 自主推動機會低 : 專家們討論了企業自主推動的可行性,認為在操作層面上機會不大。建議如為提升效果,政府組織可能通過法規強制升級。
- 指引需求因產業而異 : 建議指引製作以大方向為基準,金融業等特定產業的指引可能會有所不同,並且目前尚無具體指引出現,就專家們所了解,相關部門已注意到這一需求。
- 建議早期採用與準備: 強調早期採用和為最終轉向後量子密碼做好準備的重要性,儘管目前缺乏最終標準。
- 技術挑戰與創新機會: 討論後量子密碼算法的計算需求和硬體加速的必要性,以及行業創新和開發滿足需求的產品和解決方案的機會。
- 產品和解決方案的機會: 討論了行業開發滿足PQC需求的產品和解決方案的機會,以及考慮不同的PQC算法以避免依賴單一類型的密碼問題的重要性。
- 協調的方法: 專家們認為,雖然各行業過渡到PQC的方向是一致的,但具體情況可能會有所不同,需要協調的方法來確保兼容性和安全性。
- 金融業的實施: 由於其監管性質和相互連接性,金融業被視為PQC實施的關鍵領域。
總結來說,專家們認為量子計算對當前密碼系統的威脅正在增加,並且迫切需要通過PQC的準備和創新來解決這個問題。
活動剪影