新聞內容
保留原始重點,已自動清理來源污染字串
(中央社記者 蘇思雲 臺北18日電)量子電腦未來問世後,恐威脅現有傳輸加密機制,金管會今天發布「金融業後量子密碼遷移參考指引」,盼金融業提早盤點,升級替換到新加密機制,避免金融交易資料在網站傳輸過程中遭破解,中長期建議2035年前完成後量子密碼遷移作業。
金管會2025年底發布「金融資安韌性發展藍圖」,今天進一步發布「金融業後量子密碼遷移參考指引」,作為金融業辦理後量子密碼(Post-Quantum Cryptography, PQC)遷移整備工作參考。
金管會資訊服務處處長林裕泰在記者會上說明,目前使用的非對稱加密演算法,應用在自然人憑證、網站瀏覽憑證等。加密技術的安全性,奠基在傳統電腦運算破解時間需花費百年,但未來具備超強算力的量子電腦普及後,破解時間恐縮短到數小時,導致現行加密機制形同虛設。
舉例來說,民眾在網銀中輸入帳號密碼後,假設查詢交易紀錄或有下單行為,相關機敏資料在後端傳輸過程中,可能有被未來量子電腦破解的風險,因此必須把舊的加密演算法,替換成新的加解密演算法纔行。
林裕泰解釋,金融業辦理後量子密碼遷移的概念,目的是為了對抗量子電腦,金融業者要把原本的加密機制,替換成新的加密機制。金融業主要面臨2大挑戰,一是金融業有許多加密資料遍及各項業務,如網銀登錄、跨行交易都用到加解密技術,二是金融服務多數並非由單一機構提供,像是跨行轉帳後端的資訊傳輸作業,也可能涉及第三方供應商,需透過生態系共同因應。
金管會因此發布金融業後量子密碼遷移參考指引,主要包含治理機制、密碼技術盤點、加密敏捷性、生態系協作、風險排序、供應鏈管理及測試切換等7大面向。
林裕泰強調,發布指引只是這場接力賽的第一棒,不是要業者馬上調整加密機制,而是提前盤點、循序漸進進行。以治理機制為例,後量子密碼遷移不是金融業內部資訊、資安單位的權責而已,可能牽涉採購、法規、業務等單位,期待金融業可由資安長另外成立跨部門的「後量子遷移工作小組」,並獲得董事會支持,一起因應。
金管會指引中也建議業者要做加密技術盤點清單,並從較高風險的系統先進行轉換;此外,也期待透過生態系協作,假設跨行ATM需做後量子密碼遷移,像是財金公司等樞紐單位下半年也要擬定計畫,讓相關會員公司可配合步調處理。
林裕泰進一步說明,參考國際上相關機構時程規劃,今、明年是打底期,業者要先盤點治理架構、哪些加密機制具備高風險等;其次,2027年到2029年可開始在部分場域試辦;中長期而言,要從高風險加密機制先著手調整,最後盼2035年前可完成全部遷移作業。(編輯:楊蘭軒)1150618
選擇與事實站在一起,您的每一份贊助,都是守護新聞自由的力量
下載中央社「一手新聞」APP,即時掌握最新消息
本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。
AI成像(由 AI 生成:僅供參考)
圖片為 AI 生成示意,輔助理解新聞情境,點擊可開新視窗放大
對抗量子電腦 金管會指引助金融業推動新加密機制 | 產經 | 中央社 CNA
說明事件的人事時地物與核心背景
金管會發布「金融業後量子密碼遷移參考指引」,目的在於協助金融業提前因應量子電腦可能帶來的資安衝擊。現行許多金融服務仰賴非對稱加密演算法,例如自然人憑證、網站瀏覽憑證、網路銀行登入、跨行交易與後端資料傳輸等;這些機制的安全性,建立在傳統電腦需要極長時間纔可能破解的前提上。然而,若未來量子電腦具備足以普及應用的強大算力,現有加密機制遭破解的時間可能大幅縮短,金融交易資料在傳輸過程中的保密性與完整性就會面臨新的風險。
這份指引並非要求金融機構立即全面更換加密系統,而是希望業者及早盤點、分階段推動後量子密碼遷移。金管會指出,金融業面臨的挑戰不只在技術本身,還包括加密應用遍及各項業務,以及金融服務常牽涉跨機構、第三方供應商與樞紐單位共同運作。因此,指引涵蓋治理機制、密碼技術盤點、加密敏捷性、生態系協作、風險排序、供應鏈管理及測試切換等面向,並建議金融機構可由資安長成立跨部門工作小組,取得董事會支持。依金管會規劃,今、明年屬打底期,2027年至2029年可在部分場域試辦,並以2035年前完成全部遷移作業作為中長期目標。
金管會此次發布「金融業後量子密碼遷移參考指引」,立場並非要求金融機構立即全面汰換現行加密系統,而是希望業者提早建立盤點與治理機制,避免等到量子電腦算力成熟後才倉促因應。金管會資訊服務處處長林裕泰指出,現行非對稱加密演算法廣泛用於自然人憑證、網站瀏覽憑證、網銀登入、跨行交易等場景,其安全性仰賴傳統電腦破解需耗費極長時間;但若未來量子電腦普及,破解時間可能大幅縮短,使金融交易資料在傳輸過程中面臨外洩風險。因此,後量子密碼遷移被視為金融資安韌性的一項中長期工程。
從業者角度看,最大挑戰不只是技術替換,而是金融服務鏈條複雜。金管會點出,金融機構內部各業務系統都可能使用加解密技術,且跨行轉帳、ATM等服務往往涉及財金公司、第三方供應商與會員機構,需要整個生態系協同規劃。指引因此涵蓋治理機制、密碼技術盤點、加密敏捷性、生態系協作、風險排序、供應鏈管理與測試切換等7大面向。依金管會規劃,今、明年屬打底期,2027年至2029年可於部分場域試辦,並建議從高風險加密機制優先調整,目標是在2035年前完成全部遷移作業。
金管會發布後量子密碼遷移參考指引,對金融業的影響不在於立即更換所有加密系統,而是正式把量子電腦風險納入金融資安治理議程。現行網銀登入、跨行交易、網站憑證與後端資料傳輸,都仰賴加解密技術維持機敏資料安全;若未來量子電腦算力足以大幅縮短破解時間,現有防護可能失效。因此,金融機構必須先盤點自身加密技術、辨識高風險系統,並建立跨部門治理機制,讓資安、採購、法遵與業務單位共同規劃,而非只由資訊部門單獨承擔。
這項指引也會推動金融生態系重新協調升級步調。許多金融服務牽涉跨機構資料交換與第三方供應商,例如跨行轉帳或 ATM 相關作業,單一業者即使完成轉換,也仍需與樞紐機構、合作夥伴及供應鏈同步銜接,否則可能形成安全落差。從時程來看,金管會設定今、明年為打底期,2027年至2029年進入部分場域試辦,並以2035年前完成遷移作為中長期方向,代表業者將面臨長期資源投入、系統測試切換與風險排序的壓力,但也有助於降低未來金融交易資料遭新型運算能力破解的潛在威脅。
這份指引的重點不在於要求金融業立刻汰換現有系統,而是把量子電腦帶來的資安風險,提前納入治理與投資規劃。金融服務高度仰賴加密技術,從網銀登入、交易資料傳輸到跨行作業,都可能涉及非對稱加密演算法;一旦未來量子運算能力成熟,現行機制的安全基礎可能被削弱。因此,金管會以「先盤點、再試辦、逐步遷移」的節奏推動,反映主管機關希望在風險真正迫近前,先建立金融業共同語言與作業框架。
值得注意的是,後量子密碼遷移並非單一金融機構可獨立完成的技術專案。跨行轉帳、ATM、憑證與第三方供應商等環節,形成一條相互依賴的服務鏈;若只有部分業者完成轉換,整體防護仍可能出現落差。這也說明指引中特別強調生態系協作、供應鏈管理與測試切換的重要性。未來幾年,金融業真正的挑戰,可能不只是選用新演算法,而是如何在不中斷服務、兼顧法遵與成本的前提下,讓不同機構、系統與供應商同步升級。
想追同一條產業線?看高收益新聞專題
本站把半導體、台股、關稅、房市交通與補助政策整理成可連續閱讀的專題頁,方便快速追蹤脈絡。
如果這則新聞影響你的產業,把它變成每週情報
我們把每日新聞整理成半導體、台股政策、房市交通、補助保險等產業訊號,提供企業試閱報告與合作洽詢。
對抗量子電腦 金管會指引助金融業推動新加密機制 | 產經 | 中央社 CNA
分析影響、風險與後續觀察方向
金管會發布「金融業後量子密碼遷移參考指引」,表面上看是資安技術文件,實際上卻是在提醒金融業:量子電腦尚未普及,不代表風險尚未形成。現行網銀登入、網站憑證、跨行交易與後端資料傳輸所仰賴的非對稱加密機制,安全性建立在傳統電腦難以於可接受時間內破解的前提上;一旦量子運算能力成熟,這個前提就可能被改寫。對金融業而言,問題不只是「未來要換哪一種加密演算法」,而是既有系統、供應商、跨機構服務與內部治理能否承受一場長期且全面的加密基礎設施改造。
這份指引的重要性,在於它沒有把後量子密碼遷移簡化成單一資訊部門的升級專案,而是把治理機制、密碼技術盤點、加密敏捷性、生態系協作、風險排序、供應鏈管理及測試切換一併納入。這反映金融服務的真實樣貌:民眾一次網銀查詢、轉帳或下單,背後可能牽涉銀行內部系統、跨行清算、第三方服務與外部憑證環境。若只有單一機構超前部署,卻沒有樞紐單位與會員機構同步規劃,整體安全鏈仍可能因最薄弱環節而失守。
因此,金管會將今、明年定位為打底期,並規劃從盤點、試辦到高風險系統優先調整,最後朝2035年前完成遷移,這樣的節奏相對務實。真正的挑戰不在於是否立刻替換所有加密機制,而在於金融業能否趁風險尚未全面爆發前,先掌握哪些資料、流程與系統最依賴現行加密技術,並建立可逐步替換、可測試切換、可與供應鏈協調的能力。換言之,後量子資安不是等量子電腦來了才開始的防禦,而是現在就必須啟動的風險治理工程。
金管會這次發布「金融業後量子密碼遷移參考指引」,重點不在於量子電腦已經立即造成金融危機,而是在提醒金融業:加密安全的更新週期,不能等到威脅成熟才開始。現行許多金融服務仰賴非對稱加密,從網銀登入、網站憑證到跨行交易傳輸,都建立在傳統電腦難以於合理時間內破解的前提上;一旦量子電腦算力足以縮短破解時間,既有機制就可能失去保護效果。金融資料具有高度機敏性,也常牽涉長期保存與跨系統流通,因此提早盤點風險、規劃替換路徑,比事後補救更符合金融資安韌性的要求。
值得注意的是,指引強調的不是單一技術採購,而是治理與生態系協作。金融機構內部的加密技術分散在不同業務與系統,遷移過程勢必牽涉資安、資訊、採購、法遵與業務單位;外部則涉及財金公司、第三方供應商與跨行服務節點。換言之,後量子密碼遷移不是把某套演算法換掉就結束,而是一場長期的系統工程。若缺乏董事會支持與跨部門工作小組,盤點清單可能不完整,風險排序也容易停留在形式;若缺乏供應鏈管理與共同時程,單一機構即使完成升級,也可能因外部串接環節未同步而留下破口。
從時程來看,金管會提出今、明年先打底,2027年至2029年在部分場域試辦,並期待2035年前完成全部遷移,顯示監理機關採取循序漸進而非一次到位的策略。這樣的安排有其必要,因為金融系統高度要求穩定,任何加密機制切換都可能影響交易效率、相容性與營運不中斷能力。真正的挑戰在於,業者能否把這份指引轉化為可稽覈、可測試、可追蹤的內部計畫,並優先處理高風險、影響範圍大的系統。後量子密碼遷移看似是未來議題,實際上考驗的是金融業今日的資產盤點能力、風險治理成熟度與整體生態系協調能力。
這項指引所面對的風險,核心不在量子電腦是否已經普及,而在金融業目前使用的非對稱加密機制,未來可能因量子運算能力提升而失去保護效果。金融交易資料、網銀登入、跨行轉帳、網站憑證與後端傳輸,都仰賴現行加解密技術維持機密性與完整性;一旦演算法被快速破解,受影響的將不只是單一系統,而是整個金融服務鏈的信任基礎。從金管會設定2035年前完成遷移的中長期目標來看,監理機關顯然將此視為需要提前十年佈局的結構性風險,而非短期資安事件。
更值得注意的是,風險並不只存在於金融機構內部。原文提到跨行交易、ATM、第三方供應商與財金公司等樞紐角色,顯示後量子密碼遷移具有高度生態系相依性。若大型機構完成升級,但周邊系統、供應商或共同平臺未同步調整,仍可能形成薄弱環節。因此,金管會要求業者盤點密碼技術、建立治理機制、排序高風險系統,方向是合理的:先找出哪些資料保存期間長、敏感度高、外部連線多,再決定遷移順序,才能避免資源平均分散而延誤真正關鍵的系統。
不過,這項工程的執行風險也不低。加密機制牽涉既有系統相容性、憑證管理、供應鏈配合、測試切換與營運不中斷,若缺乏跨部門授權,很容易停留在資安部門的技術清單,難以推動採購、法遵與業務流程同步改造。金管會強調董事會支持與工作小組,正是因為遷移失敗可能造成服務中斷,遷移過慢則可能留下長期曝險。整體而言,指引的風險判斷偏向審慎且必要,關鍵將在業者能否把「提早盤點」轉化為持續投資與分階段驗證,而不是等到量子威脅逼近時才被動補強。
金管會這份指引的重點,不在於要求金融業立即更換所有加密機制,而是把「後量子風險」正式納入治理與投資排序。對金融機構而言,第一步應是建立跨部門工作小組,由資安、資訊、法遵、採購與業務單位共同盤點現有密碼技術,釐清哪些系統使用非對稱加密、哪些資料具有長期保密價值、哪些服務牽涉跨機構或第三方供應商。若只把這項工作視為資訊部門的技術升級,容易低估合約、預算、系統相依性與營運不中斷切換的難度。
後續觀察重點有三。首先,是金融業能否在今、明年打底期完成足夠細緻的清冊,而不是停留在原則性盤點;沒有清楚掌握憑證、金鑰、通訊協定與外部介接位置,後續試辦就難以評估風險。其次,是2027年至2029年的部分場域試辦能否累積可複製經驗,特別是網銀、跨行交易、ATM等涉及民眾日常使用與多方連線的場景,必須兼顧安全性、效能與服務穩定。第三,是財金公司等樞紐單位與供應鏈能否同步規劃,因為金融服務並非單一機構即可完成遷移;若大型機構先行、小型機構或供應商落後,仍可能形成整體生態系的薄弱環節。
更長期來看,2035年前完成遷移是一項接力工程,考驗的不只是密碼演算法替換,更是金融業的加密敏捷性。業者應避免把新機制視為一次性專案,而要建立可持續更新、測試與切換的能力。量子電腦何時形成實質威脅仍有不確定性,但金融資料具備高度敏感與長期價值,提早準備比事後補救更符合資安韌性的精神。