後量子密碼遷移倒數:台灣金融系統 RSA/ECC 全面汰換的工程實戰與時間賽跑

上週我在審一份台灣某公股銀行的資安架構報告，看到他們的網銀系統還在用 RSA-2048 做 TLS 終端，憑證鏈裡連一個 post-quantum 候選演算法都沒有。我把報告放下來，深呼吸了一下。

2027 年。就是明年。

IBM 的 roadmap 已經把 4000+ qubit 的系統排進了時程表。Google 去年底展示的 Willow 晶片在量子糾錯上突破了 threshold——這代表 logical qubit 的數量可以開始指數級堆疊。Shor's Algorithm 破解 RSA-2048 需要大約 4000 個穩定的 logical qubits。我們離那條線，比多數金融 CISO 願意承認的近得多。

「Harvest Now, Decrypt Later」不是科幻小說

坦白講，真正的威脅不是「量子電腦什麼時候能即時破解」。是現在。對，就是此刻你在讀這篇文章的當下。攻擊者早就在攔截加密流量存起來了——等量子電腦成熟那天，今天攔截的 TLS session 全部可以回溯解密。你三年前的轉帳紀錄、你的身分驗證 token、你的數位簽章。全部。

這叫 HNDL 攻擊模型，而且它的經濟學極其合理:儲存成本趨近於零，潛在收益無上限。

台灣金融體系的工程債

我跟幾個在金融業做基礎架構的朋友聊過（他們不讓我點名，你懂的），目前台灣的狀況大致是這樣:

核心銀行系統多數跑在 IBM mainframe 上，HSM（Hardware Security Module）用的是 Thales 或 Utimaco 的硬體。問題是——這些 HSM 的韌體要支援 NIST 剛定案的 ML-KEM（原 CRYSTALS-Kyber）和 ML-DSA（原 CRYSTALS-Dilithium），需要韌體更新甚至硬體換代。一台 HSM 的採購加部署周期？保守估計 8-14 個月。

然後是 TLS 握手的問題。ML-KEM-768 的公鑰大小是 1184 bytes，比 X25519 的 32 bytes 大了 37 倍。這直接衝擊 TCP handshake 的 RTT。台灣的行動銀行 App 在 4G 環境下，多一次 round-trip 就是多 80-120ms 的體感延遲。用戶會覺得「怎麼變慢了」，然後客訴就來了。

工程上的解法是跑 hybrid mode——X25519 + ML-KEM-768 並行，這樣即使 PQC 演算法日後被發現有弱點，傳統 ECDH 還能撐住。但 hybrid mode 的封包更大、計算更重，對前端 load balancer 的 CPU 消耗直接翻倍。

NIST 定案了，但遷移才是地獄

2024 年 NIST 正式公布了 FIPS 203/204/205（分別是 ML-KEM、ML-DSA、SLH-DSA）。標準有了。但標準和實作之間的鴻溝——老實說，這才是讓我睡不好的東西。

台灣的財金公司（FISC）負責跨行系統的密碼學規範。他們的技術文件我上個月翻了一遍，post-quantum 的部分還停留在「研議階段」。研議。2026 年 4 月了。

問題的核心是:加密演算法遷移不是把 openssl 升個版就完事。你要動的是整條信任鏈——Root CA 要重簽、中繼憑證要重發、每一支 API 的 mTLS 要重新佈建、SWIFT 報文的簽章格式要改、跨行清算的 MAC 演算法要換。這是一個涉及數百個系統、數千支程式的協調工程。

（而且我還沒提到「合規」這兩個字——金管會的資安辦法修訂速度，嗯，我就不評論了。）

你的存款安全嗎？

說白了，短期內——2027 年——直接用量子電腦即時攻破銀行連線的機率還是低的。但這不是重點。重點是 HNDL:今天被攔截的資料，三年後可能被解開。而且更危險的是數位簽章偽造——如果有人能偽造 RSA 簽章，那不只是「看到你的資料」，而是可以「假裝是你」去簽署交易。

我的判斷是:台灣的大型金控（富邦、國泰、中信）大概已經啟動 PQC 遷移 POC。但中小型銀行、信合社、農漁會信用部？他們連 TLS 1.3 的全面部署都還沒做完。

這是一場跟時間的賽跑，而起跑槍已經響了很久了。你的銀行跑起來了嗎？

---