标题：量子电脑问世、新金融风险出现 金管会献指引备战 来源网址:https://www.ctee.com.tw/news/20260618701811-430301 日期：2026.06.18 16:50 内文： 2026.06.18 16:50 工商时报 魏乔怡 孙彬训 量子电脑提前问世，金管会18日发布「金融业後量子密码迁移参考指引」。金管会资讯服 务处处长林裕泰指出，量子电脑被推估可能提早问世，现在可能要花百年才会被破解的加 密技术，未来只要数小时就可破解，将使现有安全锁面临失效的风险，因此在此时发布「 金融业後量子密码迁移参考指引」，作为金融业办理後量子密码（PQC）迁移整备工作之 参考，该指引有七大面向，包括：治理机制、密码技术盘点、加密敏捷性、生态系协作、 风险排序、供应链管理及测试切换等。 林裕泰指出，金融服务高度仰赖身分验证、交易签章、跨机构介接及资料保护等机制，随 着量子运算技术持续发展，现行公钥密码机制未来可能面临安全性风险，并可能衍生「先 拦截、日後解密」（HNDL，即先把加密资料拦下来，待量子运算技术成熟後再解密）及「 现在信任、稍後伪造」（TNFL，即现在可信的数位签章或凭证，之後可能被仿冒）等威胁 ，进而影响交易安全、资料机密性、完整性及金融机构营运稳定，金融机构实有及早规划 并推动整备作业之必要。 林裕泰举例，量子电脑对「非对称加密」破解力较强，像是现在网站传输加密协定是用「 https」，当民众输入帐密进入网银查询近一年交易纪录或一些机敏资料，这些资料就要 从银行透过网路传输给使用者，若只透过https加密的话途中可能会被截取。 林裕泰指出，金融业面对後量子密码（PQC）迁移会有二大痛点，包括：一、密码无所不 在，盘点如大海捞针，二是金融体系是相互扣连的舰队，例如财金公司、联卡中心、证交 所若升级，那麽所有会员就要配合一起升级，例如财金公司会在下半年拟定跨行ATM PQC 牵移，会员就要一起配合。 金管会表示，本参考指引聚焦金融业特有之应用情境、跨机构互通依赖与高可用营运限制 ，提供金融业因应PQC之七大策略方向： 一、 PQC政策与治理，拉高至董事会层级。PQC迁移是一项跨年度、跨部门的长期工程， 金融机构必须将量子风险提升至董事会层级，视为企业风险管理之战略议题，另成立跨部 门「後量子迁移工作小组」，由资安长(CISO)、资讯长(CIO)或相当层级主管担任召集人 ，并明确权责。 二、 盘点密码技术应用，建立密码技术清单（CBOM）：密码技术盘点须形成可维护、可 连结业务使用情境与外部依赖之密码技术资产清单；宜采「先依风险与优先度限定盘点范 围、逐步扩张覆盖」之策略，并以清单品质优先，可透过建立基础清册、使用情境导向、 建立可维护CBOM、分层导入盘点方法及盘点制度化等作法逐步推进，另评估运用AI等自动 化工具辅助盘点及CBOM维护。 三、提升加密敏捷性(Crypto-Agility)，优先清除「密码反模式」：监於PQC标准与产品 仍持续演进，迁移策略不宜以一次性演算法替换为目标，宜同步提升加密敏捷性（即快速 有效调整演算法之能力），以利未来於演算法或参数迭代时，得以例行性变更方式办理， 避免每次更新均演变为大型改版专案。目标系将加密机制设计为独立模组，并搭配凭证自 动化管理，实务上则建议优先改善密码反模式（如手动管理传输层安全协定（TLS）凭证 、弱加密套件、金钥凭证硬编码等）。 四、建立生态系协作机制与共通业务风险图像：监於金融生态系高度互联，本参考指引以 「四阶呈现」概念推动跨机构对齐，由枢纽机构（如财金公司、证交所等）统筹推进角色 ，负责拟订生态系迁移路线图并运作跨机构协作机制；由具代表性之金融机构率先提出共 通业务盘点框架与风险图像作为参考底稿，协助同业以一致脉络展开自体盘点。 五、以风险导向建立迁移优先序：采「量子风险评分」与「迁移时间评分」两轴交叉评估 ，并将两轴评分结果转化为风险高低与迁移难易分群，采相对排序方式决定迁移优先序与 资源配置，另纳入必要约束条件（如涉及生态系迁移之时限），将迁移优先序转化为可执 行、可分期推进、可验证且可滚动更新之迁移路线图。 六、更新采购与供应链管理要求：金融机构宜将PQC准备度与加密敏捷性明确纳入采购、 委外与合约管理机制，可从启动关键供应商PQC准备度调查、更新采购文件要求（采购/规 格/验收）、增修采购与委外合约（责任/服务水准）、建立卡关元件提早处置机制、建立 供应链共同验证机制、以供应链资讯回馈迁移排序等作法分阶段导入。 七、建立测试、切换与营运韧性机制：除选定演算法与完成供应链协调外，PQC或混和模 式的导入能否安全上线、稳定营运，关键在於测试治理、切换策略、回退演练与可观测性 。金融机构宜将相关活动制度化，形成可重复、可稽核的证据链，以降低迁移期间之服务 中断、互通失效与例外处置风险，可从测试治理、切换与回退、监控与可观测性、证据留 存与稽核对应等作法逐步导入。 就整体推动时程而言，指引参考NIST、G7、FS-ISAC等国际组织所提迁移路线图及国际标 准发展趋势，建议金融业循序办理相关整备作业。短期（2026年至2027年）以建立治理架 构、盘点方法、密码技术清册及加密敏捷性基础为重点；中期（2027年至2029年）着重推 动试办验证、基础升级及共同测试机制；中长期（至2035年）就高风险及高关键系统优先 办理迁移，并逐步扩大迁移场景。 金管会并表示，现阶段以驱动金融机构及关键供应商等及早规划整备为主要目的，并将续 聚焦生态系对齐、供应链治理、试办验证三条主线，分别为由枢纽机构拟订金融生态系迁 移计画、建置(或整合)共通供应链调查与追踪机制及推动先导试办与经验分享。 金管会亦将持续视国内外技术发展、标准演进及金融实务需求，适时滚动检讨推动期程及 精进指引内容，并透过试办验证、经验分享及生态系协作等方式，凝聚金融业後量子密码 迁移之共识与做法，俾利配合国际发展趋势及生态系整体推动时，得以顺利接轨。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.240.201.78 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1781797415.A.BDC.html