隨著奈及利亞數位經濟議程的推進,我們的數位系統在面對量子計算機挑戰下的韌性問題卻沒有得到充分的探討。國家網路安全策略通常聚焦於勒索軟體、網路釣魚和終端衛生問題,而一個迫切但尚未受到應有關注的威脅正悄然到來:量子計算機及其對密碼安全的影響。
一旦量子計算機成熟,現今大部分的公開金鑰密碼系統將變得過時。RSA-2048、橢圓曲線加密(ECC)及Diffie-Hellman等算法目前承擔著從行動銀行服務到政府數據交換等諸多應用的保護責任,但它們都容易受到Shor算法的威脅。這是一種能以古典算法無法匹敵的速度分解大數的量子算法。根據美國國家標準技術研究所(NIST)的預估,能破解RSA-2048的量子計算機可能在未來10到20年內出現,然而也有些估計認為這個時間可能會更早。
這種轉變並非假設性的;目前它已經在促使全球採取行動。NIST已經確定了首批後量子密碼(PQC)算法,比如用於密鑰封裝的Kyber和用於數位簽名的Dilithium,預計將取代目前易受攻擊的標準。美國國土安全部(DHS)發布了遷移路線圖,而歐盟則在其量子旗艦計畫下投入了超過10億歐元用於量子安全研究。相比之下,奈及利亞當前的網路安全及資料保護框架,包括奈及利亞資料保護規範(NDPR)和國家網路安全政策草案,對後量子威脅則言之未及。
考慮到奈及利亞數位生態系統的迅速增長,這種沉默尤其值得擔憂。截至今年2024年,超過6000萬名奈及利亞人已經在國家身份編號(NIN)資料庫中註冊,而數位銀行服務每年處理著數萬億奈拉的交易。這些系統高度依賴公開密鑰基礎設施(PKI),因此成為"現在收集,將來解密"攻擊的主要目標,敵對分子可能在今日攔截加密數據,待量子時代來臨後解密。來自中國或俄羅斯等國家的國家贊助型黑客據信已經在從事這種長期間諜策略。
以價值超過40億美元的奈及利亞金融科技行業為例,該行業吸引了2023年非洲地區約25%的科技資金,依賴於雲原生應用和區塊鏈平台,而這些平台基本上都是建立在古典密碼學之上的。在缺乏明確的密碼遷移策略的情況下,這些創新本質上是脆弱的。
為了填補這一準備差距,奈及利亞必須採取切實步驟,啟動圍繞量子彈性密碼學的國家對話和實施計劃。這些步驟包括:
- 全面的密碼清單:對聯邦和州IT基礎設施中的密碼系統進行全面審核,識別所有可能受到量子攻擊的算法。
- 與全球標準的戰略對齊:奈及利亞應效仿NIST的PQC遷移指南,並參加像ISO/IEC JTC 1/SC 27這樣的全球IT安全技術國際標準組織的會議。
- 區域合作:與非洲聯盟及西非國家經濟共同體合作,制定量子安全加密的區域框架,創造安全的跨境數位服務統一標準。
- 學術和產業激勵:提供資金和孵化計畫,鼓勵本地研究機構和初創企業研究PQC和基於格子的加密方法。
- 法律整合:更新現有的網路安全法律和法規,要求在關鍵基礎設施和數位身份生態系統中採取量子安全實踐。
奈及利亞在越過傳統系統的歷史上,有移動支付和數位貸款等成功案例。我們可以將這種心態應用於網路安全,為量子未來做準備。如果不這樣做,可能會損害國家安全、經濟穩定和數位主權。
總而言之,量子準備不是一種奢侈,而是一種戰略必要。時間可能不確定,但威脅是不可避免的。奈及利亞應該出於先見之明而非恐慌行動。今日的投資要求遠不及未來不作為的代價。透過主動擁抱量子安全基礎設施,奈及利亞能夠保護其數位未來,並在全球網路安全領域保持可信度。
編者註:
撰文者是摩根·恩維克(Morgan Nwaiku),他是一位著名的網路安全專家兼研究員。擁有英國大學的網路安全碩士及計算機工程學士學位,他的職業生涯橫跨奈及利亞的科技獨角獸公司和全球創新中心。以建立AI驅動的異常檢測算法聞名,摩根已加強了雲安全框架,徹底改變了認證和授權流程,以保護關鍵資產免受演變中的網路威脅。他的工作使組織能夠預先解決複雜數位生態系統中的漏洞。摩根兼職為Outlier公司貢獻力量,該公司透過大型模型培訓推進AI系統,同時在業界和學術界保持著影響力。