後量子加密(PQC)時代的來臨:應對量子威脅的遷移指南
隨著量子計算技術的飛速發展,傳統加密演算法面臨著前所未有的挑戰。為了保護資訊安全,後量子加密(PQC)的遷移已成為企業資訊安全架構中不可忽視的一環。
一、 數學難題與量子威脅
加密演算法的基礎在於複雜的數學難題。然而,1994 年提出的 Shor 演算法,若搭配具備充足能力的量子電腦,將能以遠超傳統電腦的速度進行質因數分解,進而破解現有的 RSA 加密等演算法。
目前具備這類能力的量子電腦(Cryptographically Relevant Quantum Computer, CRQC)雖尚未存在,但 Google 預測 CRQC 可能在 2029 年左右出現。
為什麼現在就要行動?
1. 先竊取後解密(HNDL)風險: 攻擊者現在就可以側錄並儲存加密流量(Harvest Now),等到未來量子電腦成熟後再進行解密(Decrypt Later)。對於需要長期保密性的資料,這構成了極大的風險。
2. 遷移所需的時間: 歷史經驗顯示,密碼技術的遷移通常需要數十年的時間(例如 ECC 花了 20 年才普及)。考慮到 2029 年的時間節點,現在就必須開始進行遷移。
二、 發展時程表
• 1994年: Shor 演算法提出。
• 2024年: NIST 正式公布三項 PQC 標準及遷移指南。
• 2029年: Google 預測 CRQC 出現,並完成量子密碼學的遷移。
• 2030年: NIST 建議棄用傳統加密演算法(RSA, ECDSA, EdDSA, ECC)。
• 2035年: NIST 建議禁用傳統加密演算法。
三、 高風險協議與防禦重點
企業應優先遷移會使用網際網路傳輸流量的協定,以降低 HNDL 攻擊風險:
• TLS: 用於 HTTPS、FTPS 等。涉及網頁伺服器、FTP 伺服器、負載平衡器、CDN。
• SSH: 用於登入設備。涉及 Linux 作業系統、交換器、路由器。
• IPsec: 用於 VPN 隧道。涉及邊緣防火牆、負載平衡器。
四、 以 HTTPS 為例:技術實作與支援
1. 協定支援
• 支援 TLS 1.3: 允許在單一連線中混合使用傳統與抗量子(PQC)金鑰交換。
• 1-RTT: 即使 PQC 金鑰較大,TLS 交握仍可維持一次往返,整體速度不受影響。
• 支援 ML-KEM: 這是經 NIST 認證(FIPS 203)的標準,具備高安全性與效能。透過混合加密(結合 X25519 與 ML-KEM),只要兩者其一未被破解,連接即安全。
2. 裝置與軟體支援
• 客戶端: 主流瀏覽器如 Chrome (131+)、Firefox (132+)、Safari (26+)、Edge (131+) 皆已支援並預設啟用 PQC。
• 伺服器端:
• nginx: 需 OpenSSL 3.5+。
• Apache: 須連結 wolfSSL 或經 OQS 修補的 OpenSSL。
• IIS: 支援 Windows Server 2025+。
五、 遷移與驗證方法
遷移方法
• 軟體升級: 自行託管的設備需升級至支援 TLS 1.3 及 ML-KEM 的版本,並調整設定讓 TLS 交握優先使用抗量子金鑰交換。
• Google Cloud: 需建立 SSL profile 並指定 --post-quantum-key-exchange ENABLED 參數。
• AWS CloudFront: PQC 在既有的 security policy 已預設啟用,無需額外調整。
驗證方法
企業可以透過以下工具驗證連線是否已使用 PQC:
• 指令工具: 使用 curl 或 openssl 指令檢查是否包含 X25519MLKEM768。
• 網頁工具: 使用 Wiz PQC Tester 或 Cloudflare Radar 查看全球後量子加密趨勢。
• 瀏覽器: 直接透過 Chrome 開發者工具查看連線安全性詳細資訊。
本內容整理自 Google Cloud 技術分享,
