什麼是後量子加密 (PQC)？

什麼是後量子加密 (PQC)？

後量子加密 (PQC) 是指旨在抵禦強大量子電腦攻擊的加密演算法。儘管大規模量子電腦仍處於開發階段，但「先竊取、後解密」(HNDL) 的威脅模式意味著組織必須立即開始為量子安全的未來做規劃。

PQC 的目標是確保即使極其強大的量子電腦使當前的加密方法過時，機密資料仍然保持安全。如果說加密就像是將私人資訊存放在銀行金庫中，那麼 PQC 就像是銀行金庫更堅固的門，即使銀行劫匪使用更先進的工具，仍然無法開啟這扇門。

美國國家標準與技術研究院 (NIST) 已經最終確定了其初始的後量子加密標準集：

• 對於後量子金鑰交換（機密性）：基於模組晶格的金鑰封裝機制 (ML-KEM)
• 對於後量子憑證/數位簽章（驗證和完整性）：基於模組晶格的數位簽章演算法 (ML-DSA) 和基於無狀態雜湊的數位簽章演算法 (SLH-DSA)

隨著研究人員繼續致力於創造在未來依然安全的加密方法，更多的演算法也在開發中。

TLS 1.1 和 TLS 1.2 等過時的加密通訊協定不使用 PQC 演算法進行數位簽章和金鑰交換，這可能會使資料面臨風險。

後量子加密的目的是什麼？

如今，加密被廣泛用於保護資訊，阻止不應具備存取權限的人存取該資訊。從根本上來說，加密就是將資料打亂，除了擁有解密金鑰的各方之外，其他人都無法讀取該資料。加密可以保護數位資料，無論是傳輸過程中（從一個地方移動到另一個地方）還是靜止狀態下（儲存在硬碟上）的資料。但量子電腦一旦投入使用，就可以破解許多廣泛部署的加密方法。

正如現代加密保護傳輸中和待用資料免受傳統計算攻擊一樣，後量子加密可確保當未來的量子電腦有能力打破現有加密標準（例如 RSA、Elliptic Curve）時，敏感性資料仍將安全無虞。因此，PQC 對於保護資料免受惡意方攻擊、遵守未來的資料法規以及維護 TLS 等線上資料隱私權保護至關重要。

量子電腦如何破解現有加密技術？

大多數現代加密技術（包括 RSA 和 Elliptic Curve Cryptography (ECC)）都依賴于被認為傳統電腦難以解決的數學問題，例如對大整數進行因式分解或計算離散對數。然而，透過利用疊加和糾纏等量子現象，量子電腦能夠以比傳統電腦快得多的速度執行進行大整數分式分解的演算法。它們將能夠解決傳統電腦實際上無法解決的問題。

即使量子硬體還不夠先進，敵方也可以現在記錄加密流量，等到量子技術進步後再解密。這通常稱為「先竊取、後解密」(HNDL)。

為什麼要現在實作 PQC？

量子時間線：專家預測，密碼相關量子電腦 (CRQC)（能夠破解現有公開金鑰演算法的電腦）可能只需要 10-15 年的時間就能實現，但研究突破可能會加速這一過程。在每個系統中實作 PQC 幾乎也需要這麼長時間。

長期資料敏感性：現在擷取的加密通訊可以儲存，直到可以量子解密為止。對於需要數十年保密性的組織（例如金融機構、政府）而言，等到量子電腦出現之後再採取措施將為時已晚。一個影響到所有人的範例是，曾經使用過的每個密碼將變得完全可見。然而，定期變更密碼的人並不多。

監管合規性：各國政府和標準機構正在推出指導方針，鼓勵一些機構在 2025-2026 年就為量子技術做好準備。例如，美國政府於 2025 年 1 月發佈了一項行政命令，要求聯邦機構開始為 PQC 做準備。

PQC 中有哪些重要概念？

後量子金鑰交換

金鑰交換是指雙方（例如，網站和 Web 瀏覽器）就用於加密其通訊的共用金鑰達成一致。後量子金鑰交換建立在抗量子問題的基礎上，而量子電腦（和傳統電腦）預計無法在可行的時間內解決這些問題。這確保了工作階段的機密性，即使被動攻擊者截獲資料，甚至使用量子能力，也無法解密工作階段內容。

ML-KEM 是一種經 NIST 核准的後量子加密演算法，使用後量子金鑰交換。（Diffie-Hellman 不是後量子金鑰交換。）

後量子憑證

數位憑證（例如 X.509 或 SSL 憑證）可驗證您連接的對象是誰，從而防止假冒或篡改。後量子憑證使用量子安全簽章演算法（例如 ML-DSA/Diithium、SLH-DSA/SPHINCS+）。這有助於確保數位連線中的各方都經過驗證，並且資料完整性不會受到侵犯。

目前，後量子憑證的大小比典型憑證大得多，導致部分網路裝置出現效能或相容性問題。組織和瀏覽器通常先著重於後量子金鑰交換，計畫在技術成熟和標準穩定時再引入後量子憑證。

與量子電腦和 PQC 相關的威脅和挑戰有哪些？

先竊取、後解密 (HNDL)

該策略是指攔截和記錄目前的加密流量，以便將來量子電腦能夠破解現有加密演算法時進行解密。雖然大型量子電腦尚未出現，但對高價值資料的攔截正在發生。這些資料還可能影響驗證，因為其中可能包含權杖和密碼。

PQC 的效能和網路影響

後量子演算法可能產生更大的交握訊息，這可能：

1. 稍微減慢 TLS 交握的速度
2. 使用較舊或設定錯誤的網路裝置（需要較小的憑證或金鑰大小）時觸發問題
3. 如果快速連續出現許多短連線（例如 API 要求），則會增加頻寬使用量

現代化網路和基於雲端的最佳化（例如大量分散式服務提供點）可以幫助減少或幾乎消除實際使用中的這些挑戰。

如何為 PQC 採用做好準備

先遷移金鑰交換

1. 透過遷移至後量子金鑰交換（例如，ML-KEM），優先考慮機密性以抵禦 HNDL 威脅
2. 如果後量子憑證導致網路或效能問題，則暫時保留憑證的傳統簽章
3. 不需要遷移 AES 等對稱加密：Grover 的演算法通常被認為會削弱 AES，但實際上並不實用
4. 監控效能以識別任何需要升級的舊版裝置

分階段使用後量子憑證

1. 規劃分階段部署
2. 詳細列出環境（Web 伺服器、API、行動應用程式、IoT 裝置等）中的所有憑證使用情況。
3. 更新有關憑證頒發和輪換的政策和內部流程；大型組織可能有數千個憑證需要取代或升級

Cloudflare 如何幫助客戶採用 PQC

• 生產規模的 PQC：得益於瀏覽器支援（Chrome、Firefox、Edge）和 Cloudflare 的邊緣部署，Cloudflare 的 TLS 流量中很大一部分已經使用後量子金鑰交換
• 邊緣網路優勢：Cloudflare 的全球分散式資料中心網路透過在更靠近終端使用者的地方終止 TLS 來降低效能開銷，從而最大限度地減少較大的後量子交握帶來的延遲
• 簡單遷移：客戶無需翻修每個來源伺服器即可啟用 PQC；Cloudflare 在邊緣處理加密
• Zero Trust 功能：除了瀏覽器到雲端加密之外，Cloudflare Tunnel 已經支援 PQC 連線，Cloudflare 的 Zero Trust 端點代理很快將支援內部流量
• 未來的後量子憑證：隨著後量子簽章演算法的成熟，Cloudflare 計劃推出後量子憑證，以進一步確保驗證的安全

總而言之，Cloudflare 已經大規模部署了後量子加密技術，可以協助任何組織順利過渡。請聯絡 Cloudflare，瞭解如何保護基礎架構免受量子攻擊，以防量子攻擊成為現實。

或者，閱讀 Cloudflare 部落格文章，深入瞭解 Cloudflare 為應對量子計算對加密方法的威脅而做出的最新努力。

常見問題集

什麼是量子安全加密？

量子安全加密（更確切地說是抗量子加密）使用專門設計用於抵禦量子電腦攻擊的加密演算法。抗量子加密的目標是即使在目前加密方法變得脆弱的情況下也能確保敏感性資料的安全。抗量子加密屬於後量子加密 (PCQ) 領域。

「先竊取，後解密」(HNDL) 是什麼意思？

「先收集，後解密」是指攻擊者如今攔截並儲存加密資料，目的是在將來量子電腦能夠破解當前加密方法時對其進行解密。

NIST 的後量子標準是什麼？

NIST 的初始後量子加密標準包括用於金鑰交換的 ML-KEM，以及用於數位簽章的 ML-DSA 和 SLH-DSA。這些方法皆設計為能夠抵抗基於量子運算的攻擊。

量子運算如何對現有加密技術產生威脅？

量子電腦可以比傳統電腦更快地解決某些數學問題（例如對很大的數字進行因式分解），這可能會破壞當今廣泛使用的加密方法。

為什麼主動為量子時代做好準備非常重要？

主動為量子時代做好準備至關重要，因為專家預測，能夠破解當今加密技術的量子電腦可能在 10 到 15 年後問世，而遷移到抗量子系統也可能需要同樣長的時間。延遲準備可能會使敏感性資料面臨風險。