你以為有清單就安全了？真正的風險，是把未知誤認為已知從一場PQC討論，看見金融業量子治理最危險的認知盲區

文／劉虹君

最近與某金融相關單位交流後，對方很有信心地告訴我：「我們所有加密系統都有列管，也都有清單，所以不需要再做PQC盤點。」

這句話聽起來合理。甚至可以說，比起許多尚未建立完整資產管理制度的組織，已經成熟許多。但也正是這句話，反映出目前許多機構面對後量子密碼遷移（Post-Quantum Cryptography Migration, PQC Migration）時，最容易出現的認知落差。

因為清單給人一種安全感。有清單，代表有管理。有管理，代表有掌握。有掌握，代表風險可控。這是人之常情，也是治理制度運作的基本邏輯。

但在PQC這件事上，這個邏輯有一個容易被忽略的前提：清單所記錄的資訊，足以回答未來的問題。而這個前提，往往並不成立。

如果把時間拉回十年前。一家金融機構告訴主管機關：「我們所有主機都有列冊管理。」大家可能會認為這是一件值得肯定的事情。但如果進一步追問：這些主機有多少仍在使用 Windows 2003？有多少已停止安全更新？有多少存在重大漏洞？答案往往不在原本的清單裡。因為清單只能告訴你有什麼。卻不一定告訴你有多危險。

PQC面臨的，其實是同樣的問題。許多機構目前擁有的加密清單，大多是設備清單、系統清單或憑證清單。例如：網銀系統使用TLS。VPN使用IPSec。AD使用Kerberos。憑證系統使用PKI。這些資訊當然重要。但如果量子時代真正來臨，主管機關想知道的並不是：「你有沒有加密。」而是：「你的加密是否仍然安全？」這是完全不同的問題。

舉例來說。當一份清單寫著：「本系統使用RSA。」看起來似乎已完成盤點。

但對PQC而言，真正重要的問題才剛開始。

是RSA 2048還是RSA 4096？是否仍在使用ECC？是否採用ECDSA？是否依賴ECDH交換金鑰？TLS版本是1.2還是1.3？底層使用哪一版OpenSSL？

是否支援密碼敏捷性（Crypto Agility）？未來是否具備升級能力？如果無法回答這些問題，那麼所謂的加密清單，仍不足以支撐PQC遷移決策。

更常見的情況是：許多組織認為自己已完成列管。但列管範圍其實只涵蓋防火牆、VPN、憑證系統與PKI設備。卻忽略了真正大量存在於環境中的密碼學元件。例如：Linux主機中的OpenSSL。Java環境中的Keystore。Tomcat與Apache伺服器。Nginx反向代理。資料庫連線加密。API Gateway。Load Balancer。第三方套件。甚至是早已無人維護的老舊系統。這些往往才是未來PQC遷移最困難、也最容易被忽略的密碼學暗礁。

平時運作正常，沒有告警、沒有異常，甚至沒有人注意到它們的存在。直到真正開始規劃遷移時，才發現這些系統早已成為最大的障礙。

近年來，國際金融產業開始大量討論一個新的概念：CBOM（Cryptographic Bill of Materials）。如果說SBOM是軟體物料清單。那麼CBOM就是密碼學物料清單。它回答的不只是：「我有哪些系統。」而是：「我有哪些密碼學元件。」有多少RSA？有多少ECC？哪些演算法未來可能被淘汰？哪些系統支援PQC？哪些供應商已準備好？哪些系統可能根本無法升級？這才是後量子密碼遷移真正需要的基礎資料。也是目前大多數機構的清單，尚未能夠提供的答案。

近期金管會正式發布《金融業後量子密碼遷移參考指引》後，金融業開始從「是否需要關注PQC」走向「如何開始準備PQC」。因為監理機關真正關心的，並不是金融機構是否知道量子運算。而是是否具備量化風險、盤點現況與規劃遷移的能力。

當未來董事會要求報告。當主管機關要求進度說明。當稽核單位開始檢視準備狀況。能否提出具體數據與風險評估結果，將比單純擁有系統清單更重要。

因此，當金管會指引發布後，我最常聽到的問題不是技術規格，而是：「我們現在的曝險範圍有多大？」「哪些系統未來可能需要調整？」「如果主管機關明天要求提出進度報告，我們手上有數據嗎？」說到底，大家擔心的從來不是量子電腦。而是不知道自己的準備進度在哪裡。在進行任何遷移規劃之前，首先必須建立完整的加密資產盤點與風險評估機制。先把看不見的風險看見。先把不知道的問題量化。先把模糊的討論變成具體數據。

因為看得見，才能管理。量得出來，才能治理。

回到最初那句話：「我們都有列管，所以不需要再盤點。」其實真正的問題從來不是有沒有清單。而是這份清單能否回答未來的問題。

當董事會問：「我們的量子風險有多大？」當主管機關問：「目前PQC遷移進度到哪裡？」當稽核單位問：「哪些系統仍使用量子脆弱演算法？」

如果現有清單無法回答。那麼它仍然不是一份完整的量子風險地圖。

量子時代最大的風險，未必是量子電腦。而是誤以為自己已經知道風險在哪裡。

因為真正危險的，從來不是未知。而是把未知誤認為已知。所有遷移計畫的第一步，都不是升級系統。而是看清現況。

當金融業開始面對量子時代，第一個需要被盤點的，或許不是系統。而是我們對風險的認知。 知己，才能知戰。