池安量子資安提供
精誠資訊旗下智慧資安科技(uniXecure)與池安量子資安(CHELPIS)日前正式宣布展開策略合作,將共同推動臺灣企業的後量子密碼(PQC)遷移工程。
智慧資安計畫以精誠集團的四萬家客戶、五千名IT專業人員為基礎,結合池安量子的國際認證技術,打造臺灣企業的PQC遷移服務入口,並逐步輻射至東南亞市場——馬來西亞、新加坡等地的PQC合規時程甚至比臺灣更快,市場空間正在打開。
量子風暴尚未全面登陸,但倒數計時已然啟動。合規壓力、技術成熟、以及先行者的示範效應,將在未來幾年共同塑造臺灣企業面對量子威脅的集體樣貌。智慧資安董事長詹伊正和池安量子資安創辦人暨執行長池明洋共同簽署合作備忘錄,不只是兩家公司的結盟,更是臺灣資安產業在量子時代來臨前的一次集體表態——問題不是要不要做,而是現在就要開始做。
駭客先竊後破的手法,加速後量子密碼的更換速度
詹伊正指出,量子運算的快速發展,已改變了駭客的攻擊策略——「先拿資料,未來再解密」的「先竊後破」(Harvest Now, Decrypt Later,HNDL)手法,代表著今天看似安全的加密資料,在量子電腦成熟的那一天,將毫無防禦能力。他說:問題不再是「現在安不安全」,而是「現在的資料,未來還會安全嗎」。
池明洋對此進一步補充,從2050年提前到2040年、再到2035年、2030年,量子電腦破解傳統加密的預測時程一再被提前,「上個月剛剛有人說2029年」,這說明全世界的算力投入正在加速,密碼破解的轉捩點到來的速度,將超出所有人的想像。
池明洋以ATM系統為例說明:過去韓國曾發生一次密碼演算法汰換事件,駭客直接將金融機構的設備當成自己的設備使用,「只要密碼被破,等於設備失去保護」。他認為,量子時代重演的危機,規模只會更大。
池安量子資安共同創辦人暨副執行長陳柏維說明當中的技術細節,補強這道警示。他表示,2024年Google發布量子晶片Willow,能在五分鐘內完成一般超級電腦需要十億億億年才能完成的運算;IBM則宣布目標在2029年底前,部署首部大規模容錯量子系統Starling,運算能力是現有系統的兩萬倍。
更關鍵的是,今年3月25日,Google宣布將提前在2029年完成後量子加密遷移,並要求旗下所有服務——包括AI服務、Chrome瀏覽器及Android系統——在這期限之前,全數完成轉換。這意味著量子威脅的時鐘,已無法再被當作遙遠的未來忽視。
從NIST到金管會,國際標準與本土法規形成雙重壓力
陳柏維表示,從國際標準到臺灣政府的法規要求,對於企業已經形成一股法遵與合規的壓力。
美國國家標準暨技術研究院(NIST)自2016年展開後量子密碼標準化競賽,歷經六大洲密碼學家的多輪角逐,於2024年正式發布FIPS 203、204、205三項標準,並宣告RSA與ECC等傳統演算法已正式被視為過時。
美國國家安全局(NSA)發布的CNSA 2.0路線圖則明確規定,2030年前軟體簽章與網通設備須完成遷移,2033年全面轉換,2035年禁用RSA/ECC;日本、歐盟18國、英國及北約均已跟進,設立本國相對應的合規期限。
臺灣方面,總統府國安會在2025年4月將量子破密正式納入《國家資通安全戰略》,確認其為新興科技威脅之一;數位發展部數位產業署亦於2025年5月發布《後量子密碼遷移指引》,提供企業初步規畫架構。
其中,動作最為積極的則是金管會,已於2025年7月成立先導小組,召集具代表性金融業者展開盤點討論,目標是在期限前完成加密技術清單建立,並評估安全等級與業務風險。
不過,臺灣企業面對後量子密碼遷移進度為何?詹伊正坦承,許多企業目前連盤點都還沒有開始,「連盤點都不知道怎麼盤點,更何況接下來怎麼面對」。
他建議企業可以從兩個方向來思考如何遷移,首先,企業必須先替自己的PQC風險打分數;再者,也必須把「時間」放入考量,畢竟,2029年其實轉眼即至,而許多產業的盤點工作本身就可能耗費數年,「可能量子電腦出來後,企業其實都還在做內部盤點。」他說。
打造PQC一條龍能力,從盤點到維運缺一不可
智慧資安總經理吳建和指出,這場精誠資訊和池安量子資安的合作,其核心命題就是幫助企業以「可控、可量化、可落地」的方式完成量子安全遷移。他強調,PQC遷移不是換一個密碼就結束,而是牽動所有硬體、軟體與系統的全面調整,「這是一條很漫長的路。」他說。
在合作架構上,智慧資安扮演在地通路、維運與服務的角色,提供涵蓋24x7全天候監控、系統整合顧問、以及IT與資安維運的完整支援體系;池安量子則以全球領先的PQC技術堆疊為核心,帶入NIST認證的演算法函式庫、自動化盤點工具PQScan、以及橫跨通訊與儲存的全方位防護產品矩陣。
吳建和以「PQC一條龍能力」描述這套七階段服務流程,最初是建立PQC治理架構,接著是盤點資料與使用情境、盤點加密資產、建立加密敏捷性策略、推動加密基礎現代化、建立PQC測試與遷移能力,最終進入PQC長期治理與持續管理。
他明確表示,智慧資安的角色不只是解決方案的代理商,而是企業最熟悉的數位資產管理夥伴:「從內部到全部,都是我們做的,我們是最清楚客戶數位資產的人,我們有責任要幫助做這件事情。」
吳建和也揭示精誠集團的戰略支撐——集團旗下逾四萬家客戶、五千名專業IT人員的生態系,將是PQC服務推廣的最大底氣,「我們要把臺灣最大的SI(系統整合商)拉進來,帶著精誠發力」。
池安產品獲全球認證加持,臺灣自主技術首次登場
陳柏維表示,池安量子的核心產品體系,並強調整套解決方案參考MITRE後量子密碼學聯盟(PQCC)2025年公布的後量子密碼遷移框架,涵蓋遷移準備、建立基準認知、規畫執行與監測評估四大循環階段。
盤點環節的核心工具是PQScan,能夠同時掃描通訊、檔案與原始碼,跨越內網與外網,並行處理多臺主機,自動化產出合規與風險評估報告。他點出企業現在的痛點,包括:人工盤點往往耗時數月;合規流程繁雜、成本高昂;而PQScan以全自動方式消除防禦死角,可大幅節省人力成本。
在密碼升級層面,陳柏維指出,池安的CPQC函式庫已通過NIST CAVP認證,完整支援FIPS 203(ML-KEM)、204(ML-DSA)、205(SLH-DSA)三項現行標準,適用於TLS、安全啟動(Secure Boot)、安全OTA等場景。
對於無法直接修改原始碼的系統,他也說,目前池安量子已經提供四種層次的防護方案,例如:快速升級至後量子TLS的PQRP後量子反向代理伺服器;零信任端到端加密通道PQTunnel;利用光纖單向傳輸特性、根除外連威脅的PQDataDiode,以及採用專利碎形切割分散儲存技術的PQStorage——即使碎片外洩,也無法還原完整資料。
陳柏維也特別說明,PQC遷移並非一次性工程。根據NIST CSWP 39指引,現階段建議企業採用「傳統演算法+PQC」雙軌混合模式,確保技術更迭期間資料持續受保護。等待PQC演算法成熟度與市場信心足夠後,便可再逐步走向純PQC或PQC+PQC的混合模式。他認為,這種「加密敏捷性」設計,讓系統能靈活應對未來的標準變更,「遷移不會只有一次,持續迭代才是長期資安韌性的最佳策略。」他說。
池明洋進一步補充指出,池安量子的MAYO與UOV兩個演算法,目前也進入NIST第二輪候補清單,未來有機會成為下一代標準的一部分,他表示,這也是臺灣密碼學界在國際舞臺上難得的參與成果。
PQC遷移技術已就緒,第一線面對的挑戰往往不是技術
工研院資通所副所長黃維中博士長期深耕密碼學的研究,他觀察到,今年RSA大會(RSAC 2026)的最大共識,已從「該不該做PQC」轉變為「要做,而且怎麼做」,後量子密碼是本屆五大議題中最受矚目、討論最具方向感的主題。
他也以歷史眼光指出,臺灣在密碼學技術上的研發能量相當優秀,學界與產業都具有相當的技術基礎,但若要真正形成影響力,關鍵在於「找到對的戰場,讓技術性能與他人有效對接」,建立完整的生態系。
詹伊正也從客戶服務的第一線出發,指出PQC遷移真正的挑戰有兩個層次:「要花多少錢,花了有沒有用。」他說明,企業的資本支出折舊週期從三到十年不等,越大的公司資料越多、系統越複雜,因為盤點本身就極耗時,更遑論後續的遷移工程。
此外,許多組織的IT、資安與基礎設施部門分屬不同單位,跨部門協調往往是最難突破的障礙。他也坦言,有很多大型企業主管現在已經理解PQC的緊迫性,卻仍不敢輕易提出預算。
他也很清楚,只要有內部主管提PQC遷移的預算,長官只要問一句:「是不是做完這一次,之後就不會再做了?」因為沒有人敢保證PQC遷移是否可以一次就做好,這也讓許多企業面對PQC遷移時猶疑不前。
池明洋則以他親身研究的案例,藉此說明系統汰換的實際時間成本。他以某銀行盤點後,發現有上百套密碼系統需要更換PQC,而每一套系統從進場評估到認證完成,快則一年、慢則兩年。
他坦言,不管要花多少時間才能完成PQC遷移,但企業仍應及早投入工具、建立可以快速抽換的模組化密碼架構,才是應對未來不斷演進的威脅的唯一正確策略。
吳建和明確表示,「從現在到明年4月30日,我相信會有第一個PQC遷移成功案例。」目前已有客戶積極洽談,希望在其供應鏈中率先完成PQC部署。也因為他們的客戶是國際品牌廠商,合規壓力從供應鏈上游傳遞而來。
詹伊正回顧近年企業遭受資安攻擊的慘痛教訓,認為大企業往往習慣在「出事後才補救」的模式中打轉,真正的驅動力,往往需要主管機關的法規強制才能落地,「就像以前很多人不做ISO 27001,但現在有哪一個大企業沒做?」。
詹伊正認為,隨著金管會與數發部的規範陸續成形,PQC遷移的推動力道將會愈來愈強,企業才會有「現在就必須做」的動能。
智慧資安董事長詹伊正和池安量子資安創辦人暨執行長池明洋共同簽署合作備忘錄,共同推動臺灣企業的後量子密碼(PQC)遷移工程。
照片來源:智慧資安提供
