隨著量子運算技術持續發展，現行廣泛使用之非對稱加密演算法（如 RSA、ECC）未來可能面臨被破解之結構性風險。金融機構高度依賴密碼技術以確保交易安全與資產信任，如何審慎規劃後量子密碼（Post-Quantum Cryptography, PQC）之遷移，已成為金融資安治理的重要議題。

從千禧蟲（Y2K）到量子年（Y2Q）

回顧1990 年代末期的「千禧蟲（Y2K）」屬於已知之程式邏輯問題，透過修正程式碼即可因應。相較之下，「量子年（Y2Q）」所代表的是運算模式變革可能對既有密碼體系造成之結構性挑戰。 量子電腦在特定數學問題上具備潛在運算優勢，未來若技術成熟，可能影響目前依賴非對稱加密機制之數位簽章與身分驗證體系。

因此，金融機構宜自現階段起進行加密資產盤點、風險評估及加密敏捷性規劃，採取審慎且分階段之遷移策略，以降低長期風險。

量子威脅對金融業之潛在影響

量子運算技術若成熟，對金融業可能帶來以下影響：

一、加密基礎設施崩潰風險

非對稱加密失效，金融機構間將喪失建立可信任連線的技術基礎，將衝擊交易、清算與憑證驗證機制，導致整體金融市場基礎設施面臨信任崩潰的風險。

二、電子簽章信任基礎挑戰

電子簽章為數位交易之核心機制，一旦簽章可被偽造，將無法確認交易確為本人所為，進而影響不可否認性與法律效力。

三、「先蒐集、後解密」（Harvest Now, Decrypt Later, HNDL）風險

攻擊者可能先行蒐集加密資料，待量子技術成熟後再行解密，對長期保存之敏感資訊形成潛在風險。

四、信任鏈完整性議題

金融體系高度依賴憑證機構與清算系統之信任鏈機制，若上游加密基礎受影響，金融體系整體穩定性將面臨挑戰。

金管會因應PQC政策與規劃

參考美國國家標準暨技術研究院（National Institute of 參考美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）及全球PQC遷移工作經驗，金管會於「金融資安韌性發展藍圖」中，將 PQC 納入前瞻部署重點項目。為審慎推動後量子密碼遷移作業，金管會先行啟動「金融業後量子密碼遷移先導計畫」，籌設先導小組，並透過 F-ISAC 建立溝通討論平台，以凝聚推動共識並盤點金融業整體準備情形。

先導計畫將就金融業辦理 PQC 遷移之準備度進行整體評估，重點任務包括：

1. 建立現行加密技術清單。
2. 辦理業務衝擊與風險評估。
3. 強化專業技術人力培訓。
4. 評估主要供應商之準備度。
5. 提升加密敏捷性（Crypto-Agility）。
6. 將 PQC 支援能力納入採購評選指標。

俟先導計畫完成金融業整體準備評估並彙整相關成果後，金管會將據以研訂並發布「金融業PQC遷移參考指引」，提供金融業作為規劃與推動後量子密碼遷移計畫之依循。

本公司參與情形

本公司為金管會金融業後量子密碼遷移先導小組成員之一，與金融同業及周邊單位共同研議相關準備作業。公司內部由資訊單位組成跨部門專案小組，配合先導小組雙週會議，持續研討後量子密碼議題。 目前已完成資通安全等級系統之加密技術盤點，作為掌握現況與後續評估之基礎資料。

後續工作規劃

未來將採風險導向與分階段方式，研議推動後續作業，重點包括：

1. 持續完善密碼資產盤點。
2. 評估高敏感及長期保存資料之量子風險。
3. 強化系統加密模組化設計。
4. 檢視供應鏈PQC支援準備度。
5. 檢視與提升現有加密強度。

結論

後量子密碼遷移並非單一技術更新議題，而是攸關金融市場基礎設施長期安全與信任維繫的重要工程。量子運算技術的發展，對現行非對稱加密機制帶來潛在挑戰，金融業宜及早評估影響並審慎規劃因應作法，以確保交易安全與制度穩定。 本公司透過參與金管會金融業後量子密碼遷移先導小組，已啟動加密技術盤點作業，逐步掌握既有系統之加密應用情形，作為後續評估與規劃之基礎。