利用量子運算破解目前公鑰加密技術的全新威脅即將出現,影響遍及政府憑證、金融交易、醫療隱私、物聯網等廣泛領域,全球都在加速準備因應,臺灣在這方面的發展,也是國內民眾關注的焦點,如今我們有了全新的策略,要促成產官學研的公私聯手,在2024 CYBERSEC臺灣資安大會第三天(5月16日),數位發展部數位產業署宣布成立「後量子資安產業聯盟」(PQC Cybersecurity Industry Alliance,PQC-CIA),這也象徵著臺灣在後量子密碼發展,正跟上全球新興趨勢,例如今年2月,推動開放原始碼軟體發展的Linux基金會已宣布成立專屬的PQCA聯盟,促進後量子密碼學發展,對於我國而言,現在將要藉由各方資源整合,加速推動我國後量子資安相關產業的發展。
強調打造公私夥伴關係平臺,才能加速我國產業發展
在臺灣後量子資安產業聯盟啟動的儀式上,數位發展部數位產業署副署長林俊秀到場致詞,說明我國將聚焦晶片研發、應用檢測與推廣培訓這3大主軸,即將接任數位發展部部長、現為中央研究院特聘研究員的黃彥男也到場支持,身為聯盟召集人、鴻海研究院執行長的李維斌,更是公布了該聯盟的目標與願景。
李維斌表示,關於量子破密的危害,有如過去Y2K事件造成的廣泛影響,但衝擊可是更大且更深遠。
雖然先前已有一些臺灣產業重視這方面的研究,就像鴻海研究院也有,但李維斌強調,現在我們需要共同、整體地推動,因為每個人的角色不一樣,不論產業、研發單位或政府,都無法單靠自己完成所有事,因此,建立後量子資安產業聯盟這樣的平臺,至關重要,希望將不同角色的大家整合起來,相互協調,這樣才能讓整體發展加速。
他認為,臺灣有這方面的基礎研究,也有硬體,只要大家在軟體方面多重視一點,就有希望加速提升我國在後量子密碼應用領域的競爭力。
因此,李維斌指出,這個全新的聯盟將有3大使命,包括:建立強健的公私夥伴關係(Public-Private Partnership,PPP),加速後量子產業的發展,以及採取行動確保臺灣具備後量子密碼準備能力。
而他們的願景就是,讓臺灣走在全球量子準備與創新的前沿,並與全球夥伴建立PQC合作關係。
同時,李維斌也介紹了這個聯盟的組織架構,除了由他擔任聯盟召集人,逄愛君教授擔任副召集人,聯盟內設有3個工作小組,分別是技術小組(Technical SIG)、應用小組(Application SIG),以及準備小組(Readiness SIG)。
在後量子資安產業聯盟成立後,李維斌指出,聯盟內部將設3個小組,首先是技術專門小組而言,將由工研院來執行,負責研究密碼學與硬體與軟體設計;第二是應用專門小組,由資策會執行,目標是促進特定領域採用PQC應用程式,以及擴展PQC技術至更廣泛的領域;第三是準備專門小組,由工研院執行,任務是提供指引、提升公私夥伴關係(PPP),建立平臺與培訓。
此外,對於後量子資安產業聯盟的成立,數位產業署也表示,這個平臺將成為相關業者共同討論與交流的重要媒介,聯盟也會針對晶片研發、應用檢測與推廣培訓這3大主軸來推動,並促成國內資安自主研發技術的進步與創新,讓臺灣在後量子資安議題的技術能量,可以更被國際看得見。
目前後量子資安產業聯盟有哪些成員?數產署表示,參與支持者包括:台灣資訊安全協會、台灣車聯網產業協會、臺灣FIDO聯盟、台灣RISC-V聯盟、台灣量子安全產業協會、中華民國資訊安全學會,及鴻海研究院、威宏科技、晶心科技、銓安智慧科技、帝濶智慧科技、池安量子資安、偉康科技、全濠科技、宇鼐科技、智能資安科技、神盾科技等。
在後量子資安產業聯盟啟動儀式上,參與成員包括(左起):台灣RISC-V聯盟執行長陳甯、臺灣FIDO聯盟會長張心玲、台灣車聯網產業協會理事長吳盟分、社團法人台灣資訊安全協會理事長涂睿珅、量子資安產業聯盟召集人暨鴻海研究院執行長李維斌、中華民國電腦學會理事長黃彥男、數位產業署副署長林俊秀、量子資安產業聯盟副召集人暨中研院資創中心主任逄愛君、台灣量子安全產業協會理事長黃光彩、中華民國資訊安全學會秘書長黃政嘉
多位PQC領域專家現身說法,公開最新發展態勢
在後量子資安產業聯盟成立之餘,現場還有後量子安全國際研討會的議程,有多位PQC領域專家介紹這方面的發展態勢,讓大家對最新現況能有更多認識。
例如,身為臺灣PQC領域的關鍵人物的中央研究院研究員楊柏因,同樣出席這場大會,並在後續演說當中,再次強調需重視量子電腦對密碼學與資安的影響,因為將衝擊現有公鑰密碼系統,包括RSA、DH、DSA、ECDSA、ECDH等。
要如何因應這項威脅?PQC後量子演算法是當前的重點,這幾年已然發展成形。美國國家標準技術研究所(NIST)很早就採取行動,在2016年發起PQC標準化競賽,到了2022年7月已有初步結果,公布首批入選的4款演算法。
同時,楊柏因還提到最新進展,包括:上述4個入選演算法,其標準有望於2024年夏天正式發布,而且,NIST又再為數位簽章項目,額外增加候選演算法,並在去年7月公布收到40個提交項目。
中央研究院研究員楊柏因說明NIST PQC演算法標準化競賽的最新發展,例如,2022年7月已經宣布首批入選4款演算法,預計今夏會發布標準,特別的是,後續NIST額外徵選數位簽章項目的候選演算法,如今已有40個提交項目。
經常在臺進行PQC演算法研究的荷蘭愛因霍芬科技大學博士教授Tanja Lange,她也介紹了這方面的國際趨勢,指出一些國家已經提出這方面的戰略。
例如,美國白宮在2022年5月發布的國家安全備忘錄,就是要促進美國在量子運算領域居於領先地位,並開始要求當地政府機構系統遷徙至PQC系統;歐洲網路安全局(ENISA)在2021年5月,先是提出了名為「PQC:現狀與量子威脅緩解」的報告,到了2022年10月再提出「PQC-整合研究」報告。
此外,中國也啟動PQC演算法設計競賽,韓國亦舉辦KpqC競賽,目標是提升國家的後量子密碼學能力。
而在NIST標準之外,網際網路工程工作小組(IETF)已將兩種基於Hash的演算法標準化,目前正針對4款PQC演算法與橢圓曲線加密結合的方法提出草案;國際標準組織ISO也有相關進展,包括正要出版ISO 14888-4狀態依賴的HASH機制,以及針對ISO 18033-2進行改版。
轉換PQC需及早準備,荷蘭愛因霍芬科技大學博士教授Tanja Lange指出,不只美國要求聯邦政府系統朝向PQC遷徙,歐洲也同樣重視,還有許多國家與不同產業都在努力。
臺灣推動PQC的新創廠商池安量子資安,也參加這場活動,該公司的量子安全遷移中心主任的Matthias J. Kannwischer公布後量子密碼的應用現況。他先前也在中央研究院資訊科學研究所擔任博士後研究員。
他表示,從全球網站來看,若透過Cloudflare Rader來檢視HTTPS流量中的後量子加密採用率,在2024年4月7日到4月21日之間,可以發現PQC演算法採用率明顯大增,從3%增至超過12%,他認為,這與Chrome為TLS 1.3和QUIC連線開始預設採用PQC演算法混合支援方式有關。
另外他也以臺灣數位發展部網站為例,背後的TLS 1.3傳輸加密設定就是X25519Kyber768Draft00,也就意味支援PQC演算法。
儘管PQC標準尚未正式發布,不過在2018年出爐的TLS 1.3版,現在已經開始支援混合金鑰交換,臺灣是否有網站伺服器啟用TLS 1.3,並且加密連線設定支援X25519Kyber768Draft00?池安量子資安的量子安全遷移中心主任Matthias J. Kannwischer表示,現在2024年,在使用Chrome瀏覽器的情況之下,可看出臺灣的數位發展部網站就是一例。
特別的是,他還提到一件事,關於NIST後續為數位簽章項目所額外增加的候選演算法中,40個提交項目中,有8個是基於臺灣的提交項目。這也顯示臺灣在此方面的能量,在國際間可說是相當不容小覷。
整體而言,臺灣在後量子密碼方面的能量並不容小覷,但我們的進展可能因為個別進行而不如期望,因此,加速我國相關產業推動將是關鍵,如今後量子資安產業聯盟成立,希望更能凝聚國內後量子資安產業研發能量。
繼續閱讀:為量子破密危機做準備,臺灣郵件系統服務業者網擎資訊已開始部署PQC演算法
熱門新聞
2024-10-14
2024-10-13
2024-10-13
2024-10-11
2024-10-14
2024-10-12
2024-10-11