隨著尼日利亞數位經濟的推進,針對量子計算機所可能帶來的威脅,現有的數位系統應如何應對,這一問題似乎尚未受到足夠重視。儘管國家網路安全策略通常集中在勒索軟體、網路釣魚以及終端設備安全性差等問題上,但即將到來的量子計算及其對密碼安全的影響卻是一個迫在眉睫的重大威脅,值得深入探討。
量子計算機一旦成熟,將使現今絕大多數的公鑰密碼系統失效。諸如 RSA-2048、橢圓曲線密碼(ECC)和 Diffie-Hellman 之類的演算法,目前用以保護從手機銀行到政府數據交換等各方面安全,但在面對量子計算機的 Shor 算法時,這些系統將顯得脆弱。根據美國國家標準與技術研究院(NIST)的預測,未來 10 到 20 年內有可能出現能破解 RSA-2048 的量子計算機,然而有些估算則認為這一時間可能更短。
這樣的技術轉變並非假設性的,它正在促使全球範圍內採取行動。NIST 已經推出首批後量子密碼(PQC)演算法,其中包括用於密鑰封裝的 Kyber 和用於數位簽名的 Dilithium,這些新標準將取代目前的易受攻擊的標準。美國國土安全部(DHS)出台了遷移路線圖,歐盟則在其量子旗艦計畫下,投入超過 10 億歐元用於量子安全研究。相比之下,尼日利亞現行的網路安全和數據保護框架包括尼日利亞數據保護條例(NDPR)和國家網路安全政策草案,在後量子威脅上仍保持沉默。
這種沉默使得尼日利亞的數位生態系統處於危險境地。截至 2024 年,超過 6000 萬尼日利亞人已經在國家身份識別號(NIN)數據庫中註冊,數位銀行服務則每年處理數兆奈拉的交易。這兩個系統嚴重依賴公鑰基礎設施(PKI),因此可能成為“即時攔截,隨後解密”攻擊的主要目標,這些攻擊由對手今日攔截加密數據,待量子技術成熟後再解密。類似來自中國和俄羅斯的國家支持的威脅行為者已被認為正在進行如此長期的間諜策略。
尼日利亞的金融科技行業價值超過 40 億美元,並在 2023 年吸引了非洲科技資金的約 25%,依賴於雲端應用與區塊鏈平台,這些技術體系均基於傳統密碼技術。缺乏明確的密碼遷移策略,這些創新處於固有的風險之中。
為縮小這一準備差距,尼日利亞必須採取有意義的措施,展開圍繞量子抗風險密碼學的一次全國對話和實施計畫。這些措施包括:
- 全面的密碼盤點:對聯邦及州的 IT 基礎設施中所有密碼系統進行完整審核,識別出所有受量子威脅的演算法。
- 與全球標準的戰略對齊:尼日利亞應效仿 NIST 的 PQC 遷移指導方針,並參與如 ISO/IEC JTC 1/SC 27 等制定國際 IT 安全技術標準的全球組織。
- 區域合作:與非洲聯盟和西非經濟共同體(ECOWAS)合作,制定區域量子安全加密框架,創造安全的跨境數字服務統一標準。
- 學術和行業激勵:提供資金和孵化計畫,鼓勵本地研究機構和創業企業進行後量子密碼學與格加密方法的實驗。
- 立法整合:更新現有的網路安全法律和法規,以強制性地在關鍵基礎設施和數字身份生態系統中實施量子安全措施。
尼日利亞以往在技術發展上具有跨越式進步的歷史,移動支付和數字貸款即是鮮明的例子。我們可以以同樣的思維面對網路安全,為量子未來做好準備。若不如此,將風險使國家安全、經濟穩定及數字主權面臨挑戰。
總結下來,量子準備不是一種奢侈,而是一種戰略上的必要。雖然時間點未知,但威脅已無可避免。尼日利亞必須以預見為出發點,而不是驚慌行動。今日的適當投資將遠小於未來遭遇的損失。通過積極擁抱量子安全基礎設施,尼日利亞能夠保護其數字未來,並在全球網路安全領域保持可信度。
編輯註釋:
本文作者由摩根·恩瓦庫撰寫。恩瓦庫是一位傑出的網路安全專家和研究員,擁有英國院校的網路安全碩士學位和計算機工程學士學位。他的職業生涯涵蓋了與尼日利亞科技獨角獸及全球創新機構的合作。作為先鋒性 AI 驅動異常檢測演算法的發明者,摩根在強化雲端安全框架已取得顯著成果,對演進中的網路威脅進行前瞻性防禦。摩根同時在 Outlier 公司擔任兼職,通過大型模型訓練推進 AI 系統,亦在行業及學術界保持著極具影響力的存在感。