量子運算的進展正在改變資安產業的基本遊戲規則。過去被視為遠未成熟的科技,如今正逐步逼近實用化的門檻,特別是在高效能運算、密碼學與關鍵基礎設施保護等領域,其影響力已不可小覷。
根據全球風險研究機構(GRI)發布的《Quantum Threat Timeline Report 2024》,全球專家普遍認為在10至20年內,RSA2048等傳統公鑰演算法將可能被強大的量子電腦破解,這使得後量子加密(PQC)從研究轉向實作部署成為產業焦點。此趨勢不僅帶動國際標準的制訂與更新,也促使企業與政府機構重新檢視資安韌性策略。
IBM技術長莊士逸指出,多年來IBM持續投入研究後量子時代風險控管,並以2029年作為Q-Day的時間點,也就是量子電腦正式大規模應用、對現有加密基礎設施構成實質威脅的轉折年。IBM所規畫的藍圖不僅包括技術研發,還涵蓋產業協作、政策倡議與企業轉型顧問服務,試圖從生態系統角度全面迎戰。
在技術架構上,IBM提出名為以量子為中心的超級運算(Quantum Centric SuperComputing,QCSC)平台,將傳統CPU/GPU算力與量子位元整合,形成異質協同運算架構。此平台非但不排擠既有算力資源,反而強調融合與互補。莊士逸說明,QCSC的核心理念是讓每個運算單元發揮其最佳特性,透過統一調度,達到超越傳統HPC效能的目標。該架構預計將於2033年普及,並在2029年前完成第一波大規模實裝準備。這樣的設計仰賴量子處理器進展,並結合量子編譯器、中介軟體與作業系統層級的整合。IBM Quantum System One即為相關成果展現之一,目前已在多國部署提供雲端試用。
Quantum Safe平台輔助實作
在密碼學層面,IBM是NIST首波PQC標準制定的核心參與者,ML-KEM與ML-DSA兩項新演算法即為IBM研究貢獻。配合標準落地,IBM推出Guardium Quantum Safe平台,涵蓋從演算法開發、加密模組部署、應用掃描工具到合規檢核儀表板等全方位解決方案。
硬體層面,IBM的Z系列大型主機、磁帶儲存設備與HSM安全模組皆已支援後量子加密演算法。HSM更發展為PCIe卡,可部署於x86與Power架構伺服器。這些基礎元件已預載量子安全機制,成為企業邁向轉型的基石。
在軟體與治理層面,Quantum Safe平台可協助企業自動建構CBOM(加密元件物料清單),涵蓋靜態與動態環境中所用的演算法、憑證類型、金鑰長度、加密模組版本等資訊,作為轉型計畫的盤點依據。CBOM的建立流程結合自動掃描與人工審核,由Quantum Safe Explorer深度檢測程式碼中的RSA、ECC、SHA-1等傳統加密呼叫,再交由平台匯總結果、標示風險等級、與企業合規策略比對。若搭配DevSecOps流程,則能導入至CI/CD工具鏈,實現加密演算法的持續偵測與轉換提醒。
透過CBOM與量子風險評估機制,企業不僅能掌握當前加密環境的真實輪廓,也能在演算法更新、供應鏈變更或資安事件發生時,快速調整安全防護機制,實現所謂「加密敏捷性(Crypto Agility)」,不再被動等待外部規範驅動,而能自主進行防禦強化。
四大行動方針逐階段導入
針對實際導入PQC流程,莊士逸指出,必須先釐清現行應用中所用的加密方式,從核心交易系統、行動應用、API通訊到資料交換協議,進行全面性掃描與標註。這代表開發人員需逐行檢視程式碼、檢討加密模組的相容性,並對接未來PQC支援的函式庫與演算法實作方式。如此龐大的工程,對於應用系統數量龐大的金融機構、製造業或雲端服務供應商而言,幾乎等同一次全面性的IT重建。
為協助企業實現這項轉型,IBM提出四個階段性行動方向:策略規劃、資產盤點、風險分析、技術導入。在策略規劃階段,企業需參照NIST標準與主管機關的合規要求,建立自有密碼政策與轉型藍圖。資產盤點則仰賴工具協助建立CBOM與風險報表。風險分析階段需識別高優先級的業務流程與加密模組,做為第一波轉換對象。最終再逐步導入PQC支援的硬體與軟體架構。
這樣的轉型並非紙上談兵。IBM實地觀摩日本金融業的量子安全策略時觀察到,日本金融廳FSA(相當於台灣金管會)已發布對金融機構的PQC安全指引,並要求高階管理階層負起責任,主導系統分級、風險盤點與架構更新計畫,目標是在2030年前完成主要系統的轉換。這種由上而下的策略規劃,是確保國家層級量子安全韌性的關鍵做法。
IBM技術長莊士逸指出,從演算法、平台、工具到轉型路徑,IBM Guardium Quantum Safe平台可提供一套系統性解方,協助企業建構長期可持續的量子防護韌性。
莊士逸進一步強調,後量子密碼的轉型不是一家公司可單獨完成的任務,而是整體供應鏈與技術生態系的同步進化。從晶片廠、網通設備製造商、資料中心到各類軟體供應商,皆須同步支援新一代演算法與合規要求。這不僅是安全挑戰,更是一次涵蓋軟硬體、資安治理與營運流程的數位重構機會,也將帶動一波涵蓋設備升級、雲端轉型與產業鏈更新的巨大商機。
值得注意的是,台灣作為出口導向國家,在電子製造、晶片、資通訊設備供應鏈中佔有關鍵地位,也意味著台灣廠商將首當其衝地面對國際客戶的PQC合規要求。從NIST標準化的加密演算法、到產業鏈上游的硬體支援,再到下游客戶端的資安要求,未來勢必要求供應商證明其產品具備對抗量子運算破解加密機制的能力,否則恐將喪失市場競爭力。