隨著奈及利亞努力推進數位經濟計畫,對於量子計算對密碼安全性影響的思考仍然嚴重不足。在國家網路安全策略中,勒索軟體、網絡釣魚和終端設備衛生問題常被著重強調,但對於量子計算可能帶來的影響,卻未引起應有的重視。
如果量子計算機技術成熟,目前大多數的公鑰密碼系統將變得無效。像 RSA-2048、橢圓曲線密碼術(ECC)與 Diffie-Hellman 這樣的算法,現階段安全保護從行動銀行到政府數據交換的各種應用,未來都將受到量子計算的影響——特別是藉由 Shor 算法,這種量子方法能夠比經典算法更快地分解大數。根據美國國家標準技術研究院(NIST)說法,未來 10 到 20 年內便可能出現能破解 RSA-2048 的量子計算機,然而,亦有估計認為這一時間可能更早。
這樣的趨勢並非假設性,而是已在全球範圍內引發行動。NIST 已確認其首批後量子密碼(PQC)算法組合,包括用於密鑰封裝的 Kyber 和用於數位簽名的 Dilithium,將取代現有的易受攻擊標準。美國國土安全部(DHS)已發布遷移路線圖,而歐盟則在其量子旗艦計畫中撥出超過 10 億歐元用於研究量子安全技術。對比之下,奈及利亞目前的網路安全和數據保護框架,諸如奈及利亞數據保護法規(NDPR)與國家網路安全政策草案,對後量子威脅並未提及。
考慮到奈及利亞數位生態系統的爆炸性增長,這一沉默顯得極為不利。至 2024 年,超過 6000 萬奈及利亞人已註冊於國家身份數據庫中,數字銀行服務每年處理數萬億的奈拉交易。這兩大系統極依賴於公鑰基礎設施(PKI),因此成為“當前截取,未來解密”攻擊的主要目標,敵對方可能目前攔截加密數據以待日後使用量子手段解密。據了解,來自中國和俄羅斯等國的國家贊助威脅行為者已經採取這樣的長期間諜戰略。
奈及利亞的金融科技業,至 2023 年估值超過 40 億美元,吸引了非洲約 25%的科技資金,該行業依賴於雲原生應用和區塊鏈平台,而這些系統根本上依賴於經典密碼術。如果沒有一個明確的加密遷移策略,這些創新將面臨巨大的風險。
要彌補這一準備差距,奈及利亞必須採取措施,發起全國範圍的量子抗性密碼學對話和實施計畫。這些步驟包括:
- 全面密碼盤點:對聯邦和州的 IT 基礎設施中的密碼系統進行全面審核,包括識別所有量子易受打擊的算法。
- 與全球標準戰略對齊:奈及利亞應當對應 NIST 的 PQC 遷移指導,並參加如 ISO/IEC JTC 1/SC 27 這樣設定 IT 安全技術國際標準的全球組織。
- 區域合作:與非洲聯盟和西非國家經濟共同體(ECOWAS)合作,開發區域框架來完成量子安全加密,為安全的跨境數位服務設定統一標準。
- 學術及產業鼓勵措施:提供資助和育成計畫,鼓勵本土研究機構和初創企業在後量子密碼學和基於格子的加密方法進行實驗。
- 立法整合:更新現有的網路安全法規,強制定義量子安全的實踐於關鍵基礎設施和數字身份生態系統中。
奈及利亞有著不同於傳統系統的躍進歷史,可以智能手機支付和數字借貸為代表。我們可以將這種思維模式應用於網路安全,預先未雨綢繆來應對量子時代的到來。若不採取行動,將有損國家安全和經濟穩定,甚至影響到數字主權。
總之,量子準備不僅僅是奢侈品,而是戰略上的必要做法。不確定的是時間,但這一威脅卻是不可避免的。奈及利亞必須以先見之明而非恐慌採取行動。今天的投資將比未來因不作為而付出的代價小得多。透過積極接受量子安全基礎設施,奈及利亞能夠保護其數字未來,並在全球網路安全領域中保持作為準則制訂者的可信度。
編者注: 本文由[摩根.恩瓦伊庫]撰寫。他現任知名網路安全專業人員和研究員。持有英國機構的網路安全碩士學位和計算機工程學士學位,其職涯涵蓋了與奈及利亞科技獨角獸及全球創新中心的合作。摩根以開創性AI驅動異常檢測算法聞名,他已加強了雲安全框架,顛覆了身份驗證和授權流程以保障關鍵資產免受不斷演變的網絡威脅。他的工作讓組織能夠預先處理複雜的數字生態系統中的漏洞問題。目前,摩根在從事大型模型訓練的AI系統公司Outlier兼職工作,同時仍持有在行業和學界的影響力。