[新聞] 量子電腦問世、新金融風險出現 金管會獻指引備戰
標題:量子電腦問世、新金融風險出現 金管會獻指引備戰
來源網址:https://www.ctee.com.tw/news/20260618701811-430301
日期:2026.06.18 16:50
內文:
2026.06.18 16:50 工商時報 魏喬怡 孫彬訓
量子電腦提前問世,金管會18日發布「金融業後量子密碼遷移參考指引」。金管會資訊服
務處處長林裕泰指出,量子電腦被推估可能提早問世,現在可能要花百年才會被破解的加
密技術,未來只要數小時就可破解,將使現有安全鎖面臨失效的風險,因此在此時發布「
金融業後量子密碼遷移參考指引」,作為金融業辦理後量子密碼(PQC)遷移整備工作之
參考,該指引有七大面向,包括:治理機制、密碼技術盤點、加密敏捷性、生態系協作、
風險排序、供應鏈管理及測試切換等。
林裕泰指出,金融服務高度仰賴身分驗證、交易簽章、跨機構介接及資料保護等機制,隨
著量子運算技術持續發展,現行公鑰密碼機制未來可能面臨安全性風險,並可能衍生「先
攔截、日後解密」(HNDL,即先把加密資料攔下來,待量子運算技術成熟後再解密)及「
現在信任、稍後偽造」(TNFL,即現在可信的數位簽章或憑證,之後可能被仿冒)等威脅
,進而影響交易安全、資料機密性、完整性及金融機構營運穩定,金融機構實有及早規劃
並推動整備作業之必要。
林裕泰舉例,量子電腦對「非對稱加密」破解力較強,像是現在網站傳輸加密協定是用「
https」,當民眾輸入帳密進入網銀查詢近一年交易紀錄或一些機敏資料,這些資料就要
從銀行透過網路傳輸給使用者,若只透過https加密的話途中可能會被截取。
林裕泰指出,金融業面對後量子密碼(PQC)遷移會有二大痛點,包括:一、密碼無所不
在,盤點如大海撈針,二是金融體系是相互扣連的艦隊,例如財金公司、聯卡中心、證交
所若升級,那麼所有會員就要配合一起升級,例如財金公司會在下半年擬定跨行ATM PQC
牽移,會員就要一起配合。
金管會表示,本參考指引聚焦金融業特有之應用情境、跨機構互通依賴與高可用營運限制
,提供金融業因應PQC之七大策略方向:
一、 PQC政策與治理,拉高至董事會層級。PQC遷移是一項跨年度、跨部門的長期工程,
金融機構必須將量子風險提升至董事會層級,視為企業風險管理之戰略議題,另成立跨部
門「後量子遷移工作小組」,由資安長(CISO)、資訊長(CIO)或相當層級主管擔任召集人
,並明確權責。
二、 盤點密碼技術應用,建立密碼技術清單(CBOM):密碼技術盤點須形成可維護、可
連結業務使用情境與外部依賴之密碼技術資產清單;宜採「先依風險與優先度限定盤點範
圍、逐步擴張覆蓋」之策略,並以清單品質優先,可透過建立基礎清冊、使用情境導向、
建立可維護CBOM、分層導入盤點方法及盤點制度化等作法逐步推進,另評估運用AI等自動
化工具輔助盤點及CBOM維護。
三、提升加密敏捷性(Crypto-Agility),優先清除「密碼反模式」:鑑於PQC標準與產品
仍持續演進,遷移策略不宜以一次性演算法替換為目標,宜同步提升加密敏捷性(即快速
有效調整演算法之能力),以利未來於演算法或參數迭代時,得以例行性變更方式辦理,
避免每次更新均演變為大型改版專案。目標係將加密機制設計為獨立模組,並搭配憑證自
動化管理,實務上則建議優先改善密碼反模式(如手動管理傳輸層安全協定(TLS)憑證
、弱加密套件、金鑰憑證硬編碼等)。
四、建立生態系協作機制與共通業務風險圖像:鑑於金融生態系高度互聯,本參考指引以
「四階呈現」概念推動跨機構對齊,由樞紐機構(如財金公司、證交所等)統籌推進角色
,負責擬訂生態系遷移路線圖並運作跨機構協作機制;由具代表性之金融機構率先提出共
通業務盤點框架與風險圖像作為參考底稿,協助同業以一致脈絡展開自體盤點。
五、以風險導向建立遷移優先序:採「量子風險評分」與「遷移時間評分」兩軸交叉評估
,並將兩軸評分結果轉化為風險高低與遷移難易分群,採相對排序方式決定遷移優先序與
資源配置,另納入必要約束條件(如涉及生態系遷移之時限),將遷移優先序轉化為可執
行、可分期推進、可驗證且可滾動更新之遷移路線圖。
六、更新採購與供應鏈管理要求:金融機構宜將PQC準備度與加密敏捷性明確納入採購、
委外與合約管理機制,可從啟動關鍵供應商PQC準備度調查、更新採購文件要求(採購/規
格/驗收)、增修採購與委外合約(責任/服務水準)、建立卡關元件提早處置機制、建立
供應鏈共同驗證機制、以供應鏈資訊回饋遷移排序等作法分階段導入。
七、建立測試、切換與營運韌性機制:除選定演算法與完成供應鏈協調外,PQC或混和模
式的導入能否安全上線、穩定營運,關鍵在於測試治理、切換策略、回退演練與可觀測性
。金融機構宜將相關活動制度化,形成可重複、可稽核的證據鏈,以降低遷移期間之服務
中斷、互通失效與例外處置風險,可從測試治理、切換與回退、監控與可觀測性、證據留
存與稽核對應等作法逐步導入。
就整體推動時程而言,指引參考NIST、G7、FS-ISAC等國際組織所提遷移路線圖及國際標
準發展趨勢,建議金融業循序辦理相關整備作業。短期(2026年至2027年)以建立治理架
構、盤點方法、密碼技術清冊及加密敏捷性基礎為重點;中期(2027年至2029年)著重推
動試辦驗證、基礎升級及共同測試機制;中長期(至2035年)就高風險及高關鍵系統優先
辦理遷移,並逐步擴大遷移場景。
金管會並表示,現階段以驅動金融機構及關鍵供應商等及早規劃整備為主要目的,並將續
聚焦生態系對齊、供應鏈治理、試辦驗證三條主線,分別為由樞紐機構擬訂金融生態系遷
移計畫、建置(或整合)共通供應鏈調查與追蹤機制及推動先導試辦與經驗分享。
金管會亦將持續視國內外技術發展、標準演進及金融實務需求,適時滾動檢討推動期程及
精進指引內容,並透過試辦驗證、經驗分享及生態系協作等方式,凝聚金融業後量子密碼
遷移之共識與做法,俾利配合國際發展趨勢及生態系整體推動時,得以順利接軌。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.240.201.78 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1781797415.A.BDC.html
Bank_Service 近期熱門文章
PTT職涯區 即時熱門文章