量子計算與後量子密碼學轉型

執行摘要

具有密碼學破解能力的量子電腦（CRQCs）的出現，對支撐全球金融、通訊和數位治理的公鑰密碼學基礎設施構成系統性威脅。儘管專家共識認為Q-Day——量子電腦能在實際時間範圍內破解RSA-2048和ECC-256的時間點——將在2029年至2035年之間到來，但「先截獲，後解密」（harvest now, decrypt later）的威脅意味著，今天使用易受攻擊演算法加密的數據已經面臨風險。美國國家標準與技術研究院（NIST）於2024年8月最終確定了首批後量子密碼學（PQC）標準，然而截至2026年初，全球金融機構中僅有不到3%已開始實質性的抗量子演算法遷移工作。

本政策簡報將後量子密碼學轉型分析為一場大規模協調博弈。遷移挑戰主要不在技術層面——可行的PQC演算法已經存在——而在制度層面。金融系統、支付網路、憑證授權機構和身分認證框架形成了一個深度互聯的網路，在這個網路中，任何單一行為者的單方面遷移所帶來的效益有限，除非交易對手同時進行遷移。我們估計全球協調PQC遷移的成本為2,800至4,200億美元，而在突發密碼學破解事件中，延遲遷移的成本可能高達3.5兆美元。本分析識別了關鍵的協調失靈問題，並提出加速轉型的多邊機制。

量子威脅格局：時機與嚴重性

量子計算利用量子力學現象——疊加態和量子糾纏——來執行某些計算，其速度比經典機器呈指數級增長。Shor的演算法於1994年發表，證明了一台足夠強大的量子電腦可以在多項式時間內分解大整數並計算離散對數，從而使RSA和橢圓曲線密碼學的數學基礎過時。

關鍵問題在於時機。Global Risk Institute對40位頂尖量子計算研究人員進行的年度量子威脅時間線調查顯示，估計值穩步向左移動：2023年，50%的受訪者認為CRQCs在15年內出現的機率超過50%；到2025年，相同的閾值已移至10年以內。IBM的量子計算路線圖以2033年實現100,000量子位元系統為目標，而Google的Willow處理器在2024年展示了低於閾值的錯誤糾正——這是一個關鍵的工程里程碑。

「先截獲，後解密」（HNDL）攻擊向量意味著有效威脅窗口已經開啟。國家級行為者被廣泛認為正在攔截和儲存加密通訊以供未來解密。BIS季度報告（2025年）估計，約有7.8兆美元的長期金融工具（主權債券、衍生品、保險合約）目前依賴的密碼學保護需要維持10至30年的安全性——這完全在合理的Q-Day時間範圍之內。

協調博弈：為何個體理性導致集體延遲

PQC遷移可以被建模為一個N個參與者（金融機構、支付網路、憑證授權機構、政府系統）通過密碼學依賴網路相互連接的協調博弈。每個參與者i面臨一個二元選擇：遷移（投資PQC實施）或等待（繼續使用經典密碼學）。

報酬結構呈現強互補性。參與者i遷移的價值在很大程度上取決於其交易對手的遷移狀態：一家遷移至PQC的銀行，如果其支付網路、代理銀行和憑證授權機構繼續使用經典演算法，則獲得的安全效益有限。形式上，遷移的報酬為：π_i(遷移) = V · f(n_遷移/N) − C_i，其中V是抗量子的完整安全價值，f是反映網路互補性的遞增函數（其中f(0) ≈ 0且f(1) = 1），C_i是遷移成本。當n_遷移/N較低時，遷移的淨報酬為負值——使得等待成為個體理性的選擇，即使全面遷移是社會最優結果。

這種結構產生兩個穩定的納許均衡：一個是所有參與者都遷移（帕累托最優），另一個是沒有人遷移（當Q-Day看起來遙遠時，這是風險主導的均衡）。金融系統的當前狀態——對量子威脅有廣泛認知但遷移活動極少——與較劣均衡一致。

多個因素強化了等待均衡。成本不對稱：遷移成本是前置的且確定的，而遭受破解的成本是概率性的且在時間上較為遙遠。World Economic Forum估計，PQC遷移的平均成本為每年IT預算的0.5-1.2%，持續3至5年。先行者劣勢：早期遷移者因工具不成熟和潛在的演算法修訂而承擔更高成本，而後來者則受益於改進的實施方案和已建立的最佳實踐。折現效應：企業8-12%的標準折現率會大幅貶低5至10年後的風險。

關鍵相互依賴：密碼學信任之網

金融系統的密碼學基礎設施形成了一個複雜的依賴網路。保護網路通訊的TLS憑證依賴於憑證授權機構；SWIFT訊息傳遞依賴於共享的密碼學協議；中央銀行即時全額結算系統通過標準化安全框架進行互操作；衍生品市場依賴數位簽章進行合約執行。

任何單一層面的遷移都需要相鄰層面的兼容遷移。國際清算銀行（BIS）在全球金融基礎設施中識別了14條關鍵依賴鏈，其中所有節點必須實現PQC兼容性，任何節點才能得到完全保護。這種級聯依賴將原本可能是平行獨立遷移的過程，轉變為需要精心協調的序列約束協調問題。

SWIFT網路很好地說明了這一挑戰。SWIFT擁有遍布200個國家的11,000多家成員機構，其密碼學升級需要在IT能力、監管環境和投資容量差異巨大的機構之間進行協調行動。SWIFT自身的PQC準備度評估（2025年）發現，雖然78%的一級銀行已啟動PQC評估，但只有12%的三級機構已開始規劃——形成了一個最薄弱環節的脆弱性，即準備最不充分的機構決定了整個網路的安全性。

選擇權價值與遷移時機

從實質選擇權的角度來看，每個機構都持有一個「遷移選擇權」，其最優行使時機取決於兩個不確定性的解決：(1) CRQCs的到來時間，以及(2) PQC標準的穩定性和性能。過早行使選擇權會排除以更低成本遷移至未來更優演算法的可能性；過晚行使則冒著措手不及的風險。

當不確定性高且延遲成本低時，等待的選擇權價值最大化。然而，HNDL威脅從根本上改變了這一算計：如果被擁有存儲能力和未來量子計算能力的對手攔截，今天使用經典演算法加密的數據已經遭到洩露。對於長期金融工具和國家機密而言，延遲的成本並非集中在Q-Day，而是從當前時刻就開始累積。

NIST將ML-KEM（Kyber）、ML-DSA（Dilithium）和SLH-DSA（SPHINCS+）最終確定為PQC標準，顯著降低了演算法不確定性。剩餘的不確定性主要與工程相關：性能優化、硬體加速和整合測試。這使得最優時機向更早遷移傾斜，特別是對於處理具有長期保密要求數據的機構。

歷史基礎設施轉型的經驗教訓

PQC遷移與之前的大規模基礎設施轉型具有結構性相似性，每個案例都為協調機制設計提供了經驗教訓。Y2K修復（1997-1999年）表明，可信的截止日期壓力和政府協調可以動員快速的產業行動——全球Y2K支出超過3,000億美元，但成功防止了災難性的系統故障。IPv4到IPv6的轉型提供了一個反面案例：由於缺乏硬性截止日期，轉型已歷時超過25年且仍未完成，截至2025年全球IPv6採用率約為45%。EMV晶片卡遷移（2004-2024年）說明了責任轉移在克服協調失靈中的作用——Visa和Mastercard將欺詐責任轉移至不合規商戶，提供了與集體遷移一致的個體激勵。

關鍵經驗教訓：這種規模的協調問題需要可信的截止日期、責任機制或兩者兼備，才能克服自然的延遲傾向。

政策建議：協調遷移的機制

基於協調博弈理論和歷史先例，我們提出四個互補機制以加速PQC轉型：

1. 分階段時間表的監管遷移強制令。金融監管機構應為系統重要性金融機構（SIFIs）制定具約束力的PQC遷移截止日期，按機構規模和系統重要性分級。美國國家安全備忘錄10（2022年）確定了聯邦機構遷移時間表；為私營金融部門制定同等強制令將建立可信承諾。我們建議：一級機構在2028年前完成，二級機構在2030年前，三級機構在2032年前。

2. 責任轉移機制。借鑒EMV先例，監管機構和行業組織應設定一個責任轉移日期，在此日期之後，僅使用經典密碼學的機構將承擔量子破解造成損失的全部責任。這將遷移的正外部性（網路安全）轉化為不遷移的私人成本（責任暴露），使個體激勵與集體福祉保持一致。

3. 多邊技術援助機制。由BIS或World Bank管理的機制，為發展中經濟體金融系統的PQC遷移提供技術援助和優惠融資。如果沒有這種支持，最薄弱環節的脆弱性將持續存在：先進經濟體的金融系統如果其發展中經濟體交易對手仍然使用經典密碼學，就無法得到完全保護。

4. 密碼學靈活性標準。監管機構不應強制要求特定的PQC演算法，而應要求「密碼學靈活性」——以最小干擾切換密碼學演算法的架構能力。這在確保機構能夠在發現任何特定PQC演算法存在漏洞時迅速做出回應的同時，解決了殘餘的演算法不確定性。

對GDEF科技與轉型工作小組的意義

PQC轉型可能是未來十年最重要的基礎設施協調挑戰。其解決方案將決定量子計算革命是增強還是削弱全球數位系統的安全性。GDEF科技與轉型工作小組在召集協調行動所需的跨部門、跨國界對話方面具有獨特的優勢，並將在2026年年度峰會上提出詳細的遷移框架提案。

參考文獻與來源

1. NIST, Post-Quantum Cryptography: FIPS 203, 204, and 205. National Institute of Standards and Technology, August 2024. csrc.nist.gov/projects/post-quantum-cryptography
2. BIS, Quarterly Review: Quantum Computing and the Financial System. Bank for International Settlements, September 2025. bis.org/publ/qtrpdf
3. World Economic Forum, Quantum Security: Building a Quantum-Safe Economy. WEF Centre for Cybersecurity, 2025. weforum.org/publications
4. Global Risk Institute, Quantum Threat Timeline Report 2025. globalriskinstitute.org
5. Shor, P.W. (1994). "Algorithms for Quantum Computation: Discrete Logarithms and Factoring." Proceedings of the 35th Annual Symposium on Foundations of Computer Science, 124–134. doi.org/10.1109/SFCS.1994.365700
6. SWIFT, Post-Quantum Cryptography Readiness Assessment. Society for Worldwide Interbank Financial Telecommunication, 2025. swift.com
7. ETSI, Quantum-Safe Cryptography: Migration Strategies. European Telecommunications Standards Institute, Technical Report 103 619. etsi.org
8. White House, National Security Memorandum on Promoting United States Leadership in Quantum Computing. NSM-10, May 2022. whitehouse.gov
9. Cooper, R. (1999). Coordination Games: Complementarities and Macroeconomics. Cambridge University Press. doi.org/10.1017/CBO9780511609428