後量子資安是什麼?普鴻資訊因應駭客設備升級開發 SaaS 工具
(圖:科技新報)
報 姚惠茹
當駭客攻擊從傳統電腦升級到量子電腦,目前所有高度仰賴加解密、數位簽章的密碼演算法,未來可能只要幾秒的時間就能輕鬆破解當今所有的公鑰密碼系統,普鴻資訊為因應量子計算帶來的威脅,早已開發以「後量子密碼」(Post-Quantum Cryptography,PQC)為基礎的資安防護工具,也就是資安即服務(Security as a Service,SaaS)的最新服務平台。
後量子資安是什麼?
普鴻資訊副總經理官哲弘表示,後量子時代,量子電腦只要幾秒就能破解重要資訊,而資訊被視為文字、圖片、聲音具體描述物件,對某個人或群體存在特別的意義,若被第三人取得利用後會造成資訊擁有者的損害,因此必須針對資訊進行保護,而為保護資訊安全,目前普遍採取加解密方式,即使駭客取得資訊也看不懂,但是隨著科技的進步,電子計算機進入到量子電腦的時代,目前主流的加解密、認證機制及數位簽章將面臨威脅,甚至有被快速破解的疑慮。
「量子電腦只要幾秒就能破解密碼」,官哲弘說明,過去加解密的密碼演算法,採用對稱式加解密,這部分即使透過量子電腦仍需較長時間破解,但若頻繁更換密鑰就可以規避,而身份認證和數位簽章是用非對稱式加解密(RSA),量子電腦已經可以在短時間 100% 破解。
為讓量子電腦發揮真正的作用,數學家秀爾(Peter Shor)在 1994 年為量子電腦打造的量子演算法,稱為「秀爾演算法」(Shor’s algorithm),官哲弘指出,「秀爾演算法」可能只要幾秒就能破解密碼,但需要龐大數量的量子比特,而目前僅能達到近百個量子比特,所以技術還不能做到快速破解,但是後量子時代的科技發展快速,非對稱式加解密必須及早做好防護準備工作。
超前部署後量子資安
目前量子電腦雖然仍在實驗階段,但等技術成熟就會開始商業化,根據國際級加解密原廠今年 5 月的研究報告指出,後量子時代最先面臨攻擊的產業就是保險、銀行及公部門,官哲弘指出,普鴻目前有與超過 30 家的金融機構合作,提供超過 200 套的金融服務系統,因此為保障客戶的資訊安全,已配合國際廠商與學校合作開發後量子加解密(PQC)演算法,預計年底開始為金融客戶的硬體亂碼化設備提升為支援 PQC 的版本,並協助客戶檢視安控流程及提供必要的軟體更新。
官哲弘指出,資安即服務(SaaS)是普鴻最新開發的資安服務平台,應用系統可藉由其安全的加密通道,以簡單的 API 介面進行加解密作業,而 SaaS 平台以 K8s 為其基礎架構,可以動態地調配系統資源及增減服務模組,以確保能在任何狀況提供最高效能的服務給前端的應用系統。
後量子時代想要確保資訊的安全,並非只有基礎建設,資安廠商必須了解金融業的業務運作,並串連整個流程,更不允許存在任何資安破口,官哲弘指出,系統交易的動態防護非常困難,因此就需要使用到以 PQC 設計的資安服務平台,而普鴻目前在金融支付的加解密產品市占超過 5 成,並有超過 30 家的金融業者使用普鴻的金融支付系統,所累積的資產就是發展量子資安的一大優勢。
開發後量子資安利器
迎接量子時代來臨,為防範未來量子電腦的攻擊,普鴻資訊宣示要發展後量子資安,官哲弘指出,從技術層面來說,因為後量子加密的各種演算法目前還在美國國家標準暨技術研究院(NIST)選拔,所以會以產學合作的方式先由學校單位協助找出及驗證各演算法的合適參數,接著普鴻資訊再將結果透過韌體及服務的包裝,升級普鴻資訊的硬體亂碼化設備。
「量子資安並非只是更新硬體設備而已」,官哲弘指出,更重要的是在整個作業環節中,提供簡單可靠的使用方式,讓整體流程既平順又安全,所以普鴻會搭配 SaaS 的架構,以簡單的 API 介面進行加解密作業,經由金融專業人員的協助完成後量子時代的資訊安全防護。
官哲弘強調,由於量子電腦仍未商業化,導入效益較為隱性,所以全面升級具有難度,但目前普鴻的產品週期約 5~7 年,因此普鴻目標讓既有客戶做階段性的改版升級,並將設備拓展到海外,包括目前既有客戶前往部署的柬埔寨、印尼、越南,以因應下一世代攻擊方的設備升級。