隨著奈及利亞推進其數位經濟議程,我們的數位系統在面對量子計算技術時的堅韌性問題仍然危機四伏,卻沒有得到足夠的重視。儘管國家的網路安全策略通常側重於勒索軟體、網絡釣魚和糟糕的終端設備衛生問題,但有一種迫在眉睫且影響深遠的威脅尚未得到相應的關注,那就是量子計算技術的發展及其對密碼安全性的影響。
當量子計算機成熟時,將使當今大多數公鑰密碼系統變得過時。不論是目前用來保護從行動銀行到政府數據交換的RSA-2048,還是橢圓曲線加密(ECC)和Diffie-Hellman算法,它們都容易受到肖爾算法的影響。這是一種能夠比傳統算法更快分解大數字的量子方法。根據美國國家標準與技術研究院(NIST)的說法,能夠破解RSA-2048的量子計算機可能在未來10到20年內實現,甚至有一些估計認為可能更早到來。
這一轉變並非假設;事實上,它已經促使全球行動。NIST已經完成了其首個後量子密碼(PQC)算法組的制定,包括用於密鑰封裝的Kyber和用於數位簽名的Dilithium,這些將取代脆弱的標準。美國國土安全部(DHS)已經發布了過渡規劃,美歐盟也在量子旗舰計畫下分配了超過10億歐元進行量子安全研究。相比之下,奈及利亞目前的網路安全和數據保護框架,包括奈及利亞數據保護法規(NDPR)以及國家網路安全政策草案,卻對後量子威脅保持沉默。
這種沉默在奈及利亞數字生態系統快速增長的背景下顯得尤為問題嚴重。截至2024年,超過6000萬奈及利亞人已經註冊了國家身份識別號碼(NIN)數據庫,且數字銀行服務每年處理數萬億奈拉的交易。這兩個系統都嚴重依賴於公鑰基礎設施(PKI),使它們成為“現在攔截,稍後解密”攻擊的主要目標,在這類攻擊中,對手攔截今天的加密數據以在量子支持的未來解密。已經有信號顯示,中國和俄羅斯等國家的國家贊助的威脅行為者正在參與這種長期間諜策略。
奈及利亞的金融科技產業,在2023年估值超過40億美元,吸引了非洲技術資金的約25%,該產業依賴於雲本地應用和基於區塊鏈的平台,這些平台基本上依賴於傳統加密技術。在沒有明確的加密過渡策略的情況下,這些創新本質上是脆弱的。
為了縮小這一準備差距,奈及利亞必須採取果斷步驟,開展圍繞量子抗性密碼學的全國性對話並制定實施計畫。這些步驟包括:
- 全面的密碼審計:對聯邦和州IT基礎設施中的密碼系統進行全面審計,包括識別所有易受量子影響的算法。
- 與全球標準的戰略對齊:奈及利亞應當模仿NIST的PQC遷移指導,並參與到ISO/IEC JTC 1/SC 27等全球組織中,這些組織負責制定IT安全技術的國際標準。
- 區域合作:與非洲聯盟和西非國家經濟共同體(ECOWAS)合作制定區域性的量子安全加密框架,創造安全的跨境數位服務統一標準。
- 學術與行業激勵:提供補助和孵化計畫來鼓勵當地研究機構和新創企業實驗後量子密碼學和格基密碼方法。
- 立法整合:更新現有的網路安全法律和法規,以在關鍵基礎設施和數位 ID 生態中強制實施量子安全實踐。
奈及利亞有跳蛙式跨越遺留系統的歷史,行動支付和數位貸款就是典型例子。我們可以用同樣的思維方式應用到網絡安全上,為量子未來做準備。如果不這樣做,將面臨危害國家安全、經濟穩定和數字主權風險。
最後,量子準備不僅僅是額外的一層,它是一個戰略必需因素。時間表可能不確定,但威脅是不可避免的。奈及利亞必須出於先見之明而不是驚慌行動。今天所需的投資比未來不作為的成本小得多。通過積極擁抱量子安全基礎設施,奈及利亞可以保護其數位未來,並保持在全球網絡安全領域的可信度。