隨著奈及利亞持續推進其數位經濟議題,有關其數位系統在面對量子計算威脅下的韌性問題尚未得到充足的探討。國家網路安全策略通常重點集中在勒索軟體、網路釣魚及不良的端點衛生上,但卻忽視了一個即將到來且至關重要的威脅:量子計算的出現及其對密碼安全的影響。
量子電腦一旦成熟,將使得當今大多數公共密碼系統失去作用。像是 RSA-2048、橢圓曲線加密 (ECC) 和 Diffie-Hellman 這些現行用來保護從行動銀行到政府數據交換的演算法,都會受到量子演算法 Shor 演算法的攻擊,該演算法能比傳統演算法更加快速地因式分解大數字。根據美國國家標準技術研究院(NIST)的研究,一台能破解 RSA-2048 的量子電腦可能在未來的 10 到 20 年內誕生,甚至有些估計認為這可能會提前。
這種變遷並非假設,全球早已啟動行動。NIST 率先確定了第一批後量子加密(PQC)演算法,其中包括用於金鑰封裝的 Kyber 和用於數位簽名的 Dilithium,這些演算法將取代目前脆弱的標準。美國國土安全部 (DHS) 已經發布了遷移路線圖,歐盟則在其量子旗艦計劃下,撥出超過 10 億歐元進行量子安全研究。相比之下,奈及利亞現行的網路安全和數據保護框架,包括奈及利亞數據保護法規 (NDPR) 和國家網路安全政策草案,皆未關注後量子威脅。
這種沉默在奈及利亞數位生態系統的爆炸性增長下尤為不安。截至今年 2024 年,超過 6000 萬奈及利亞人已經註冊國家身份號碼 (NIN) 資料庫,而數位銀行服務每年處理數兆奈拉的交易。這些系統大量依賴公共密鑰基礎設施 (PKI),是「現時收集、未來解密」攻擊中的首要目標,在該類型攻擊中,對手如今截取加密數據,以在支援量子運算的未來進行解密。來自中國和俄羅斯等國家的國家支援威脅行為者據信已在進行此類長期間諜活動。
奈及利亞的金融科技產業估價超過40億美元,在2023年吸引了約25%的非洲科技資金,這些使用雲原生應用和區塊鏈平台的系統從根本上依賴傳統密碼技術。在沒有明確的密碼遷移戰略的情況下,這些創新性技術將本質上毫無防禦能力。
為了縮小準備差距,奈及利亞必須採取積極行動來啟動關於量子抗力密碼技術的國家對話和實施計劃。這些步驟包括:
-
全面的密碼庫存盤點:對聯邦和州 IT 基礎設施中的密碼系統進行完整審計,包括識別所有受量子威脅的演算法。
-
與全球標準的策略對齊:奈及利亞應遵循NIST的PQC遷移指導並參與ISO/IEC JTC 1/SC 27等設定 IT 安全技術國際標準的全球性組織。
-
區域協作:與非洲聯盟和西非國家經濟共同體 (ECOWAS) 合作,制定量子安全加密的區域框架,創建安全跨境數位服務的統一標準。
-
學術和產業激勵:提供補助和孵化計劃,鼓勵本地研究機構和初創企業實驗PQC及格子基加密方法。
-
立法整合:更新現有網路安全法律和法規,以在關鍵基礎設施和數位身分生態系統中強制推行量子安全措施。
奈及利亞過去有越過舊系統的歷史,例如行動支付和數位貸款。我們可以藉此心態在網路安全領域中採取行動,為量子未來早做準備。不這樣做的風險會侵害國家安全、經濟穩定和數位主權。
總之,量子準備不是奢侈品,而是戰略上的必需品。儘管時間表可能不確定,但威脅確是不可避免的。奈及利亞必須未雨綢繆,而非驚慌失措。求今日之投資以避免未來的更大代價。透過積極擁抱量子安全基礎設施,奈及利亞可以保護其數位未來,並在全球網路安全舞台上保持公信力。