《北京金融科技产业联盟:2024量子安全威胁及其对国内金融行业的影响研究报告(39页).pdf》由会员分享,可在线阅读,更多相关《北京金融科技产业联盟:2024量子安全威胁及其对国内金融行业的影响研究报告(39页).pdf(39页珍藏版)》请在三个皮匠报告上搜索。
1、量子安全威胁及其对国内金融行业的影响研究报告北京金融科技产业联盟2024 年 12 月版权声明本报告版权属于北京金融科技产业联盟,并受法律保护。转载、编摘或利用其他方式使用本白皮书文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。I编制委员会编委会成员:虞月君聂丽琴编写组成员:秦璐邱震尧杨阳刘静马超沈超建吴猛巩博儒赵雪娇窦猛汉王硕何慧芸黄强陈鋆昊许锦标康洁吴永飞王彦博杨璇王一多陈嘉俊张剑胡垚垚杨波乔弘谭亦夫李彦向玉峰邢通钱菲郭坚廖渊侯君达金凡秘相友胡军华李向锋高文华编审:黄本涛姚文韬杨阳II牵头编制单位:中国银联股份有限公司参编单位:中国工商银行股份有限公司中国建设银行股份有限公
2、司本源量子计算科技(合肥)股份有限公司科大国盾量子技术股份有限公司中国农业银行股份有限公司华夏银行股份有限公司浙商银行股份有限公司北京银联金卡科技有限公司神州数码信息服务集团股份有限公司交通银行股份有限公司中国邮政储蓄银行股份有限公司中金金融认证中心有限公司北京数字认证股份有限公司III目录一、研究背景及意义一、研究背景及意义.1 1二、量子计算发展现状及趋势二、量子计算发展现状及趋势.2 2(一)算力发展.3(二)算法发展.7三、量子计算对金融行业的安全威胁及其影响性分析三、量子计算对金融行业的安全威胁及其影响性分析.1111(一)对密码体制的威胁.12(二)对金融业务的影响.17四、面向国
3、内金融行业的量子安全威胁应对策略四、面向国内金融行业的量子安全威胁应对策略.2323(一)通过强化或重构密码算法应对量子安全威胁.24(二)通过量子技术本身的特性应对量子安全威胁.27(三)综合应用抗量子密码技术和量子密码技术.31(四)各类应对措施对比.32五、总结与展望五、总结与展望.32321摘要摘要:随着量子技术的持续发展,给金融行业现有的安全加密系统带来潜在威胁。为应对量子安全威胁,本报告对于量子计算的发展现状进行了调研,研究了量子计算对现有密码体制的威胁并结合金融业务密码算法应用情况分析总结了量子计算对国内金融行业的影响性。同时,结合我国实际情况给出了面向国内金融行业的量子安全威胁
4、应对策略。一、研究背景及意义一、研究背景及意义量子计算是遵循量子力学规律调控量子信息单元进行计算的新型计算模式。由于量子力学存在叠加性,使得量子计算机具有天然的并行计算能力,且具备指数级性能扩展等理论优势,继而可以带来计算算力的显著提升。现如今,量子计算已成为计算技术研究的重点方向之一。自量子计算概念提出以来,大量研究机构从量子算法的设计优化与量子计算机硬件的研制建造等方面开展深入研究,取得了丰富的研究成果。随着量子计算技术的不断发展,量子计算算力得以持续提升,为各行各业带来性能优化的同时,也对现今使用的密码体系带来安全威胁。在量子算法方面,Shor 量子算法可以在多项式时间内解决大整数分解问
5、题,使得经典的非对称密码算法如 RSA、SM2 等在量子环境下不再安全;Grover 量子搜索算法相较于经典搜索算法在计算复杂度上可以获得平方级加速,经典的对称密码算法如 AES、SM4 及散列算法 SHA-3、SM3 等的安全强度在量子环境下将直接减半。若存在足够规模的量子计算机来执行以上密码破解算法,将会对传统密码安全体制造成毁灭性的打击。在量子计算机研制2方面,存在多种设计路线,包括超导、光量子、离子阱等,不同的设计路线各存优劣,同步快速发展。虽然目前的量子计算机仍无法实现对经典密码算法的直接破解,但也已带来巨大的潜在威胁,我们正面临着愈发严峻的安全考验。深入研究分析量子计算发展对于现有
6、传统密码体制的实际影响情况并寻找相应的应对方案是当务之急。在金融行业中,使用了大量的传统密码算法来保证数据及用户使用的安全性,当传统密码体制不再安全,金融行业的信息安全将同样受到影响。逐步提升现有密码体系的安全性,将其改造为可以抵抗量子攻击的密码安全体系势在必行。然而,在改造的过程中对于现有系统的使用是否存在影响、改造后的系统在性能上是否会与现有系统存在差异,这需要我们提前分析及考虑。因此,对于整个金融特有的密码安全系统来说,除了分析密码体制本身带来的安全性问题,还需要分析讨论在后续改造升级过程中可能带来的其他影响。在量子计算的冲击下,如何继续保证金融行业数据的长期安全是重中之重。此研究旨在对
7、目前金融行业所受到的量子计算威胁进行影响性评估,帮助金融行业充分了解量子计算的发展对行业现在及未来可能造成的影响,从而了解目前我们所面临的形势。同时探讨我们可以通过哪些方式合理、适时、有效地渡过量子计算发展带来的安全危机,帮助我们制定更为科学、高效的安全体系升级计划。二、量子计算发展现状及趋势二、量子计算发展现状及趋势对于量子计算技术的研究主要分为两个方面,一是对量子计3算机硬件的研制和建造,二是对量子算法的设计和优化。此二者相辅相成,推动着量子计算技术的快速发展。(一)算力发展(一)算力发展由于构建量子比特的方式不同,量子计算机的设计路线也不尽相同且各存优劣。截至目前,各设计路线尚未统一,可
8、能的商业化路线仍不明确。在本节中,将先对量子计算机性能评价指标进行介绍,再阐述不同量子计算机设计路线的原理及发展情况。1.量子计算机评估指标量子计算机评估指标衡量量子计算机的性能有不同维度的多种指标,主要包括:量子比特数量子比特数:用于衡量量子计算机可以同时操控的最大量子比特数量,其大小决定了量子计算机能够编码和处理的问题规模。门保真度门保真度:用于衡量在噪声环境下利用实际量子处理器得到的计算结果与经过理想量子门操作得到结果之间的偏差大小。保真度的数值越高,代表量子处理器的偏差越小,其计算结果越准确。相干性相干性:用于衡量量子比特保持量子态和耦合态的能力,通过相干时间的长短来表示。相干性越差,
9、量子态保持时间越短,量子比特越快失去量子计算的能力,将限制量子处理器可以执行的算法的复杂程度。逻辑连通性逻辑连通性:用于衡量量子计算机中任意一对量子比特实现双量子比特门的能力。逻辑联通性越有限,为了模拟更大的联通性就需要在算法中增加越多的逻辑交换运算,从而可能导致更大的噪声和误差。可扩展性可扩展性:用于衡量量子计算机架构是否能扩展到大规模的4量子比特数量。除此之外,量子计算机的逻辑门执行速度、量子体积、图灵完备性、云访问性等也都是评估量子计算机性能的参考指标。2.量子计算机设计技术路线量子计算机设计技术路线(1)超导量子计算机超导量子计算机超导量子计算机的核心是基于 Josephson 结的
10、Cooper 对制造量子比特,其优势在于易操控、易测量、易扩展,更容易构成大规模的、量子比特数更多的量子计算机,其劣势在于易受磁场等环境影响而导致退相干时间较短,从而限制可执行计算任务的复杂度。目前,超导技术是最具竞争力的通用量子计算机设计路线之一,主要的研究公司包括 IBM、Google、Rigetti、本源量子、国盾量子等。截至目前,具备量子比特数最多的是 IBM 在 2023年 12 月发布的具有 1121 量子比特的量子处理器 Condor,国内的中国科学院量子信息与量子科技创新研究院于 2024 年 4 月发布504 比特超导量子计算芯片“骁鸿”。(2)光量子计算机光量子计算机光量子
11、计算机利用光子来充当量子,将光的偏振态编码为量子比特的基态并通过线性光学元件来处理量子信息。由于光子受环境影响小,其优势在于相干时间长,同时光子的多自由度特性可以在更少光子数量下实现较多的量子比特。但是光子的相互作用微弱,构建双量子比特门、实现逻辑运算是此设计路线中的技术难点。光量子路线也是目前备受关注的技术路线之一,主要的研究机构与公司有中科大、Xanadu 等。中科大的“九章三号”光量子计算机以及Xanadu研制的Borealis光量子计算机均在解决高5斯玻色采样问题上展现了光量子的计算优越性。(3)离子阱量子计算机离子阱量子计算机离子阱量子计算机利用电磁场将离子束缚在特定区域内,通过激光
12、或微波操纵囚禁离子的两个内能级实现量子计算。离子阱的运算更不容易出错,单个量子比特的相干性优于超导量子比特,相较光量子技术具有天然的逻辑联通优势。然而,由于离子阱中可容纳的量子比特数有限,其劣势在于可扩展性较差,难以达到高数量的量子比特数。Quantinuum、IonQ 以及国内的启科量子主要关注于此技术路线。截至目前,Quantinuum 给出了最高的 56比特的离子阱量子比特处理器 H2-1,其两量子比特门保真度达到了 99.843%。离子阱技术也是通用量子计算机研制的另一有力竞争者。除此之外,量子计算机的其他设计路线主要还有硅半导体、中性原子、冷原子、核磁共振、拓扑量子计算等,各类科研机
13、构与公司积极参与研究,取得了丰富的研究成果。3.技术路线对比及发展趋势技术路线对比及发展趋势从量子计算机性能发展看,正如此前介绍,衡量量子计算机的性能有不同维度的多种指标,而其中量子比特数无疑是其中重要的一个。2016 年,IBM 将第一台可实验的量子计算机放在云上这是一台具有 5 个量子比特的设备。到 2023 年 12 月,IBM 制造出了迄今全球最大量子计算机“秃鹰”(Condor),其拥有 1121个量子比特。2023 年 6 月,中国科学技术大学“祖冲之号”研发团队在原“祖冲之号”66 比特芯片基础上加以提升,新增了 110 个耦6合比特的控制接口。2024 年 4 月中国科学院量子
14、信息与量子科技创新研究院发布 504 比特超导量子计算芯片“骁鸿”。截至目前,国内外量子计算机量子比特数的发展情况总体如表 1 所示:表 1 量子计算机量子比特数发展情况时间量子比特数类型机构19982NMRIBM,Oxford,Berkeley,Stanford,MIT20007NMRLosAlamos National Laboratory200612NMRIQC,PI,MIT201750超导IBM201849超导Intel201927超导IBM201954超导Google202032离子阱IonQ202076光量子中国科学技术大学202065超导IBM202166超导中国科学技术大学20
15、21127超导IBM2021113光量子中国科学技术大学2021100冷原子ColdQuanta202180超导Rigetti2022433超导IBM2022121超导清华大学,浙江大学2023136超导北京量子信息科学研究院,中科院物理研究所,清华大学2023255光量子中国科学技术大学20231121超导IBM202456离子阱Quantinuum2024504超导中国科学院量子信息与量子科技创新研究院量子计算机的不同设计技术路线在不同的性能参数上各有优劣。例如,超导路线目前实现的量子比特数多于其他路线,而7离子阱路线在保真度与相干时间上等指标上占优,在评价量子计算机的具体性能时需要从多个
16、角度进行综合考量,各主要技术路线的性能对比如表 2 所示。然而,各技术路线均存在一些技术难点需要攻关与突破,仍待进一步研究与优化。表 2 量子计算机技术路线对比技术路线技术路线指标指标超导超导光量子光量子离子阱离子阱量子比特数量子比特数1121255 光子56两比特门保真度两比特门保真度99.8%99.69%99.843%相干性相干性较弱强较强逻辑连通性逻辑连通性强弱强可扩展性可扩展性较强较弱弱研究机构研究机构IBM,Google,本源,科大国盾Xanadu,中科大IonQ,AQT,Quantinuum,启科(二)算法发展(二)算法发展当前,量子计算的发展已有四十多年的历史,伴随着量子算法的发
17、展,逐渐体现了量子计算机的强大优势。在本节中,首先介绍量子算法发展的总体历程,再对各类量子算法的发展及其应用进行展开介绍。1.量子算法发展历程量子算法发展历程从量子算法发展的角度看,大致可以分为三个阶段。(1)理论提出及探索阶段理论提出及探索阶段(1980-1994)1985 年,英国牛津大学教授 David Deutsch 首次提出了量子图灵机模型,并设计了第一个量子算法 Deutsch 算法。1992 年,David Deutsch 与 英 国 剑 桥 大 学 教 授 Richard Jozsa 设 计 了8Deutsch-Jozsa 算法,首次很好地体现了量子计算优势。此后,Bernst
18、ein 和 Vazirani 基于 D-J 算法设计了可有效地解决询问量子数据库问题的 B-V 算法,为后续 Shor、Grover 等量子算法的设计奠定了基础。(2)通用量子算法发展阶段通用量子算法发展阶段(1994-2009)1994 年,Daniel Simon 提出 Simon 算法,经过?th?次量子黑盒查询可有效求解查找“满足 Simon 允诺”未知量 s 的问题。1994年,美国贝尔实验室的 Peter Shor 提出了 Shor 算法,从理论上展示了量子计算机能够把大整数分解等问题的求解时间从指数时间复杂度降到多项式时间复杂度,对传统非对称密码算法 RSA、ECC 等带来巨大威
19、胁。1996 年,Lov Grover 提出了 Grover 量子搜索算法,它解决的是无序数据集搜索问题,也是第一个被完整地实验实现的量子算法。2009 年,MIT 三位科学家 Aram Harrow、Avinatan Hassidim 和 Seth Lloyd 联合开发了 HHL 算法,它可用于求解线性方程组,相比经典算法可达到指数级加速。(3)专用量子算法繁荣阶段专用量子算法繁荣阶段(2009-至今至今)从 2009 年开始,以谷歌、IBM 为代表的一些企业,开始把规模化量子计算机的工程化作为主要的发展方向。在现阶段图灵完备的通用量子计算机规模化还未达到足够大的情形下,很多科学家转而研究非
20、图灵完备的专用量子计算架构,可以在一些专业领域,解决某种特定类型的问题。在此过程中,很多专用的量子算法出现了。其中包括一些优化的算法,如变分量子特征值求解算法、量子近似优化算法等;还有一些采样的算法,包括玻色采样、量子随机游走等算法,此9外还有美国斯坦福大学提出的 CIM 相干伊辛机、以 D-Wave 公司为代表的量子退火算法等。2.各类各类量子算法的发展与应用量子算法的发展与应用基于量子算法发展历程,可见量子算法主要分为通用量子算法和专用量子算法,下面将重点介绍一些通用量子算法的发展及应用,并简要介绍专用量子算法的发展和相关应用。(1)通用量子算法的发展和应用通用量子算法的发展和应用量子计算
21、领域最著名的两个算法是Shor算法和Grover算法。运用 Shor 算法求解整数因子分解问题是量子计算机最早的应用之一。在整数因子分解问题中,给定一个 n 比特整数?,其中?和?均为素数,求解?和?。经典算法求解该问题的最优时间复杂度为?h?imloglog?im,而 Shor 算法求解该问题的时间复杂度仅为?hm,极大地提升了求解问题的效率,使得在足够的量子比特下,攻破整数分解问题成为可能,基于整数分解问题设计的 RSA 算法将不再安全。Shor 算法的核心是周期查找,可以归约为交换群的隐藏子群问题。基于不同的交换群,Shor算法可以被推广用于求解不同的困难问题。例如可以在多项式时间内求解
22、离散对数问题、椭圆曲线上的离散对数问题、主理想问题等。而基于这些困难问题的密码算法都将随着量子计算机的发展变得不再安全或者安全性降低,如基于离散对数的 DSA、Diffie-Hellman 算法,基于椭圆曲线离散对数的 ECDH、ECDSA算法,基于主理想的 Buchmann-Williams 密钥交换系统等。目前,Shor 算法的发展越来越成熟,研究者们主要通过对量子比特数或者量子门深度的优化改进。具体进展见表 3。10表 3 Shor 算法攻击 RSA 所需逻辑比特数的改进时间表时间线路深度线路复杂度逻辑比特数Shor P1994t?h?t?h?th?Vedral et al.1995?h
23、mthm?h?Beckman et al.1996thm?thm?h?Zalka1998thm?thm?mhBeauregard2003?hmthmlnh?h mTakahashi et al.2006thm?thmlnh?h?Zalka2006thm?thmlnh?h?Hner2016?hmthmlnh?h?Gidney2017thm?thmlnh?h?Grover 算法主要利用振幅放大对无结构数据进行搜索,可实现对经典搜索效率的二次加速。在金融互联网行业处理大规模数据搜索时,Grover 算法将有很好的前景。在信息安全方向,Grover算法可以提高密码破译效率,对密码安全性将构成潜在威胁。
24、对于对称密码算法,其安全强度将从?t?h?次经典搜索降低至?hi?次量子搜索;对于散列算法,其安全强度将从?h次经典计算降低至?him次量子计算。因此,随着量子计算机的发展,对称密码算法以及散列算法都需要增大密钥或散列值规模才能保证原有的安全强度。除此之外,其他量子算法如 Simon 算法、B-V 算法也被尝试用于对现有密码体系攻击的加速。Simon 算法可用于寻找一些函数中的隐藏周期,主要可应用于加速对称密码中周期的查找问题;B-V 算法能够用于求解一个布尔函数的线性结构,可被用于恢复分组密码的密钥。11近几年来,许多研究工作都将上述量子算法与经典密码分析方法进行组合使用,从而在密码分析中实
25、现更高效的量子攻击。包 括 Grover 算 法 和 Simon 算 法 间 的 各 种 嵌 套 用 法;Simon-meet-Kuperberg、Grover-meet-Kuperberg 等组合量子算法;Grover 算法、B-V 算法与经典查分攻击、积分攻击结合等。例如,2019 年,杨理等提出新的量子差分分析技术,以 B-V 算法为基础,设计量子算法来寻找 S 盒的差分特征,从而加速了差分寻找阶段。Zhou 等研究在获得差分特征之后利用 Grover 量子搜索算法和量子计数算法对经典差分攻击实现二次加速,从而更高效地确定子密钥值。2019 年 Bonnetain 等提出了量子平方攻击(
26、或积分攻击),这两种量子攻击技术分别是在经典线性分析和经典平方攻击的基础上,将搜索部分用 Grover 算法来完成,从而实现攻击加速。(2)专用量子算法的发展和应用专用量子算法的发展和应用量子近似优化算法(QAOA)是可以在近期量子计算机上实现的算法之一,被认为是最有希望展示量子优势的算法之一。QAOA 最早由 Farhi 等人于 2014 年提出,在 2018 年,Rigettia 公司比较了处理最大分割问题的 G-W 算法和 QAOA 的性能差异,验证了 QAOA 的优势。2021 年 9 月,Mattia Fiorentini 等人在 IBM提供的超导量子比特芯片上直接运行了作业车间调度
27、问题算法。毫无疑问,QAOA 已经引起了很多人的关注,QAOA 的理论和实验实施也将会不断完善。三、量子计算对金融行业的安全威胁及其影响性分析三、量子计算对金融行业的安全威胁及其影响性分析密码体制的安全是保障金融行业信息安全的基础,量子计算的发展给现有的传统密码体制带来了安全威胁,自然也将影响到12金融行业的整体安全。本章中将先分析量子计算发展对现有密码体制的威胁情况,再针对金融行业不同场景,分析其受量子计算威胁的影响性。(一)对密码体制的威胁(一)对密码体制的威胁密码算法可用于实现身份认证、访问控制、抗抵赖等基础功能,并确保重要数据的机密性和完整性保护,避免数据泄露或篡改。传统密码体制的安全
28、性是由经典计算环境下密码攻击方法的高复杂性、有限时间内不可完成性保证的。现如今,量子计算发展带来的算力提升使得一些针对性量子算法破解现有密码体制的可能性逐渐提升。在本节中,将阐述量子计算发展对密码体制带来的威胁。1.密码算法概述密码算法概述密码算法可分为对称密码算法、非对称密码算法及散列算法三类,具体如下:对称密码算法对称密码算法:加密与解密运算使用相同的密钥,主要用于敏感数据的加密传输及存储,防止数据明文泄露。非对称密码算法非对称密码算法:使用不同密钥进行加解密运算,包括可公开的公钥、需保密的私钥;使用公钥加密的数据只能由对应的私钥解密,反之亦然。非对称密码算法除了用于数据加密外,还可用于密
29、钥交换,以及业务数据的签名验签,以实现数据防篡改及抗抵赖功能。散列算法散列算法:又称为哈希算法、杂凑函数等,可将任意长度的数据转换为独有的固定长度数据(一般称为“消息摘要”),可用来检测原始数据是否被篡改。散列算法可配合非对称密码算法提13升签名验签的计算效率,即先对较长的业务数据计算出较短的散列值,然后使用非对称密码算法对散列值进行签名。对称密码算法与散列算法一般通过字符替换、移位等复杂的算法结构将明文转换为密文,其安全性依赖算法结构的设计。而非对称密码算法是基于大整数分解、离散对数等数学难题设计,其安全性依赖相关数学难题是否存在高效的解决方法。密码算法的安全性可以用安全强度来衡量,N 位安
30、全强度表示攻破该算法最多需要尝试 2N次运算。在经典计算机环境下,112位及以上强度的算法被认为是安全的。当前常见密码算法的安全强度如表 4 所示:表 4 常见密码算法安全强度安全强度安全强度(位)(位)常见非对称密码算法常见非对称密码算法常见对称密码算法常见对称密码算法常见散列算法常见散列算法80RSA-10243DES-128SHA-1(非 HMAC 场景)112RSA-20483DES-192SHA-224128RSA-3072、ECDSA-256、SM2AES-128、SM4SHA-256、SM3SHA-1(HMAC 场景)192RSA-7680、ECDSA-384AES-192SHA
31、-384256RSA-15360、ECDSA-512AES-256SHA-5122.量子计算威胁分析量子计算威胁分析量子计算机攻破密码算法需要同时具备 2 个条件:一是利用量子力学原理降低密码破解复杂度的量子算法,二是具备足够算力的大型量子计算机。目前来看,第一个条件已经具备,第二个条件预估 2037 年以后可能具备。14整体来看,量子计算对非对称密码算法存在较明确的威胁,而对于对称密码算法和散列算法,量子计算的威胁较为有限。(1)非对称密码算法威胁分析非对称密码算法威胁分析目前业界已出现可威胁非对称密码算法安全性的量子算法Shor 算法,并预计在 2037 年以后可能研制出具备足够算力的量子
32、计算机,从而攻破非对称密码算法。Shor 算法将大数分解等数学难题的破解过程转化为求某个函数的周期,由于量子环境下可高效实现量子傅里叶变换,从而将解决此类数学问题的复杂度从经典环境最优算法的指数级?h?imloglog?im降 低 到 多 项 式 级 别 th?log h?log log h?,进而威胁基于相关数学问题设计的非对称密码算法(RSA、DH、ECDSA、SM2 等)。目前已基于 Shor 算法实现15=3*5、21=3*7 的分解,证明了可行性。运用经典算法与 Shor 算法破解 RSA 算法的复杂度比较如表5 中所示。以 RSA-2048 算法为例,经典电子计算机的最佳破解算法大
33、致需要 6.8*1051次运算,而量子计算环境下的 Shor 算法仅需约 1.6*108次运算,破解效率大约提升 4.2*1043倍,且破解效率倍数会随着密钥长度增加而提升。对于密钥长度从 2048 提升到3072,经典算法破解难度大约提升了 38 亿倍,而 Shor 算法破解复杂度仅上升了 2 倍。因此,提升非对称算法密钥长度可以抵御经典电子计算机+经典算法攻击,但不能抵御量子计算机+Shor 算法攻击。表 5 破解 RSA 算法的复杂度RSA 密钥长度密钥长度(bits)最优经典算法计算最优经典算法计算Shor 算法算法破解效率提升倍数破解效率提升倍数15次数次数计算次数计算次数10244
34、.0*10383.5*1071.2*103120486.8*10511.6*1084.2*104330722.6*10613.9*1086.7*1052在 2019 年、2021 年,谷歌、知名量子计算专家 Michele Mosca教授分别预估了 Shor 算法破解 RSA、ECC 的成本,如表 6、表 7所示。对 RSA-2048 算法的破解,大约需要 2000 万量子比特(或8台400万量子比特的计算机),耗时几小时内完成;对于ECC-256的破解,所需资源大约为百万比特耗时 10 天完成。我国商密 SM2算法属于 ECC 类别,强度与 ECC-256 相当,可以认为破解 SM2所需资源
35、与 ECC-256 是同一量级。表 6 谷歌团队预估破解 RSA 算法所需的资源算法算法破解所需资源破解所需资源(百万量子比特天百万量子比特天)所需物理量子比特数所需物理量子比特数(万)(万)耗时(小时)耗时(小时)RSA-10240.59701.3RSA-20485.920007.4RSA-307221380012表 7 Michele Mosca 团队预估破解 RSA 算法所需的资源算法算法破解所需资源破解所需资源(百万量子比特天百万量子比特天)所需物理量子比特数所需物理量子比特数(万)(万)耗时(小时)耗时(小时)RSA-10240.0311060.07RSA-20480.2722270
36、.34RSA-30720.9444340.59ECC-2567.43无此项数据ECC-38410ECC-51215.6当前通用可编程量子计算机的最大量子比特数还不到 1000,还远不能破解非对称密码算法。对于量子计算机何时可破解主流16非对称密码算法,学术界把量子计算发展划分为三个阶段,认为2037 年以后可能进入第 3 个阶段,从而能在经典密码算法破解、大数据人工智能等领域发挥巨大作用。知名量子计算专家 MicheleMosca教授于2022年对全球14个国家的40位量子计算专家进行了调研,结果显示 7 成以上专家认为 2037 年以抗量子计算有可能破解 RSA-2048 算法,2 成专家认
37、为 2032-2037 年有可能破解。(2)对称密码算法和散列算法威胁分析对称密码算法和散列算法威胁分析当前业界已有 Grover 量子算法可提高破解对称密码算法和散列算法的计算速度,但破解所需的算力仍然过高,业界尚缺少出现相应量子计算机的时间预估,因此整体上威胁有限。Grover 算法是一种量子随机搜索算法,可将经典计算机 N 次的搜索次数降低为?次,因此应用 Grover 算法通过穷举方式破解对称密码算法和散列算法,理论上量子计算机只需要 2N/2次尝试,即将密码算法安全强度降低为经典计算机环境的一半,在实际应用中大约平均降低 1/3-1/4。由于降低后仍为指数级,因此威胁远不如 Shor
38、 算法。另外,攻击须串联执行并需要指数级内存,无法采取集群并行计算,目前来看还不能非常显著地提升破解密码的效率。NIST 认为,除非量子计算机的发展超过预期,否则AES-128 在未来数十年是安全的,同时 AES-192 已达到穷举攻击的上限,在可预见的未来是安全的。未来可以通过增加密钥长度、散列值长度的方式来进一步提升安全强度。2021 年,Michele Mosca 教授团队预估了破解成本,如表 8所示,即使在 40 亿物理量子比特下,AES-128 仍有 98bits 的安全强度,而 AES-192、SHA-256 的安全强度仍高于阈值(112bits)。17我国商密 SM4 强度与 A
39、ES-128 相当,SM3 强度与 SHA-256 相当,可以认为受 Grover 算法影响基本相当。表 8 Michele Mosca 团队预估破解 AES 和 SHA 算法所需的资源算法算法安全强度安全强度(bits)物理量子比特数物理量子比特数(亿)(亿)AES-12898.9540.4AES-192135.29112AES-256167.67224SHA-256168.95490目前学术界和产业界尚没有研制出数十亿量子比特计算机的时间点预估。因此,当前认为除非量子计算机的发展远超过预期,否则 128 位强度的对称密码算法、散列算法可以抵御目前可预见的量子计算攻击。综上所述,结合目前对于
40、量子计算机发展趋势的跟踪以及目前外界的研究结果,Shor 算法对于现有 RSA、ECC 算法的影响相对较大,未来可能出现可破解算法,但是实际可能的影响出现预估在2037年之后;而对于Grover算法理论上将使得AES、SM4、SM3 等算法的安全强度减半,但是结合实际的实现情况 Grover算法对于 AES 的影响性暂时也低于预期。由于量子计算机的发展情况仍存在很大的不确定性,对于安全时间的预估也会随之变化,需要持续跟踪量子计算技术发展,动态评估其对密码算法的影响。(二)对金融业务的影响(二)对金融业务的影响对于金融行业中的不同应用场景,由于所使用的密码体制不同,其受量子计算影响的程度对应存在
41、差异;由于场景特点不同,18其所面临的安全影响性、未来改造难度、系统升级影响性也各不相同。因而,在进行全面安全体系改造前仍需更加深入地研究量子计算发展对当前金融行业不同应用场景下密码安全体系的影响性,以此帮助金融行业进一步认识量子安全威胁。在本节中,将梳理金融业务密码算法应用现状,分析不同特点业务场景受影响情况,并针对现有主要受威胁场景及威胁程度展开分析。1.金融业务密码算法应用现状金融业务密码算法应用现状基于应用场景安全保护目的的不同,可将其主要可分为数据加解密、签名验签、完整性校验等。其中,数据加解密还可细分为数据传输加密及数据存储加密。除此之外,近年来也出现了如区块链、隐私计算等新兴的场
42、景,同样利用大量密码算法来保护其中数据与信息的安全。各类场景中密码算法应用现状如下:(1)数据加解密数据加解密敏感信息在传输的过程中可以使用对称密码算法或非对称密码算法进行加解密。若使用非对称密码算法,发送方使用接收方的公钥对数据进行加密,接收方使用私钥对加密数据进行解密,且若对双向的数据传输均提供保护的话,需要用到两对公私钥。密码算法的不安全可能导致加密密钥泄漏等安全问题。典型应用场景包含跨行清算、支付等系统中的文件密钥加密、敏感数据加密密钥加密等。若使用对称密码算法,通信双方协商出来的相同密钥进行加解密交换,通常采用分组密码算法,在对待加密数据进行数据分组填充后进行分组加密计算。密码算法的
43、不安全可能导致敏感信息泄漏等安全问题。典型场景包含跨行清算、支付等系统中的敏19感数据加密、文件加密等。金融机构信息系统对存储在磁带、磁盘、数据库等存储介质中,涉及敏感的认证信息、业务数据采用对称密码算法、非对称密码算法、散列算法等实现敏感数据的加密存储。密码算法的不安全可能导致敏感信息泄漏等安全问题。(2)数字签名数字签名数字签名主要应用非对称密码算法及散列算法完成。发送方用私钥进行数字签名,接收方用经过鉴别的发送方公钥来验证签名的真实性,并通过正确使用密钥管理规则来确保私钥的机密性和私钥、公钥的完整性及真实性。密码算法的不安全可能导致伪造签名、交易内容篡改等安全问题。典型应用场景包含身份认
44、证、数字证书、金融 IC 卡交易的脱机数据认证等。(3)完整性校验完整性校验完整性校验可以利用对称密码算法或散列算法进行实现。使用对称密码算法进行消息完整性验证(MAC),计算过程不需要可逆,只要单向函数加密。接收方利用相同的密钥与算法对消息进行 MAC 计算,通过比较 MAC 值来验证消息的完整性。基于散列算法的消息完整性验证(HMAC)是一个不可逆的单向函数加密过程。接收方使用相同的密钥与算法对消息进行 HMAC 计算,通过比较 HMAC 值来验证消息的完整性。密码算法的不安全可能导致交易内容篡改等安全问题。典型应用场景包含银行卡跨行交易报文 MAC 计算等。(4)区块链区块链在区块链技术
45、中,区块链的地址、公钥私钥、钱包管理等都20和数字签名算法相关,使用了数字签名算法 ECDSA 等保证了使用者身份的不可伪造性。对于区块链上的每个区块,都利用散列算法来保护区块数据、交易数据内容的不可篡改性。密码算法的不安全可能导致身份伪造、数据篡改等安全问题。(5)隐私计算隐私计算隐私计算技术中尤其是安全多方计算、联邦学习中大量使用了经典非对称密码算法如 RSA 算法、ECDSA 算法等。例如,安全多方计算经典技术不经意传输协议、混淆电路的实现中,需要利用上述经典非对称密码算法进行实现来保证数据传输的安全性。密码算法的不安全可能导致数据泄露等安全问题。总体来说,由于量子计算对于非对称密码体系
46、的影响更大,因而应用此类密码算法的密钥交换、数字签名、身份认证等场景更受影响,而应用对称密码或散列算法的场景如数据加密、数据完整性校验等受影响相对较小。2.金融业务场景受影响情况金融业务场景受影响情况对于不同特点的金融业务场景,其受量子计算的影响程度也不尽相同,可从以下三个主要的维度对其进行分类分析:(1)应用场景所保护数据及信息的时效性应用场景所保护数据及信息的时效性从各场景下所保护数据及信息的时效性角度,我们可以将其简单分为单次有效及长期有效。单次有效:在此类场景中,由于数据及信息在使用过后就不再具有意义,如果遭到破解,攻击者也无法利用获取的数据及信息进行后续的破坏活动。因而此类场景下,所
47、受量子计算影响较小。21长期有效:对于包含长期有效的数据及信息的场景,攻击者窃取了相应信息后,只要在有限时间范围内完成破解,都有可能对场景保护的数据及信息带来安全影响。因而这些场景下,所受量子计算影响较大,改造升级的需求更为紧迫。(2)应用场景所涉及的范围应用场景所涉及的范围不同的应用场景所涉及的范围存在差异,涉及范围更广的应用场景,应当更为优先保障其安全性,其实际面临的安全威胁更大,安全性提升的需求更为紧迫。同时,此类场景的改造难度也更大,需要预留更充分的时间。(3)应用场景所面向的应用对象应用场景所面向的应用对象由于应用场景面向的对象不同,其对使用效率变化的感受度会存在差异。例如,如若场景
48、面向用户,需要尽可能保证由于升级改造带来的效率降低不影响到用户体验,对效率要求更高。而若是交互较少的数据加解密,其效率要求在可接受范围内即可,因而交互体验更强的场景受影响程度更大,对改造要求更高,改造难度更大。整体来看,在应用场景所使用密码算法类似的前提下,保护长期有效数据、涉及范围更广、面向对象对使用体验更敏感的应用场景的改造升级需求更紧迫、改造难度更大,其受量子计算发展的影响也更大。3.当前量子计算威胁主要场景当前量子计算威胁主要场景由于对称密码算法运算性能远远强于非对称密码算法,为提升加解密效率,在数据加密传输场景中(如:SSL/TLS、SSH、数字信封等),一般先使用非对称密码算法协商
49、密钥,然后再使22用对称密码算法和协商好的密钥加密业务数据。因此,攻击者现在可以先窃取密钥协商报文和加密后的业务数据并存储起来,待量子计算机可破解非对称密码算法后,再破解密钥协商过程得到密钥,最后解密出数据明文(下文称为“先存储,后破解”),此时如果业务数据还处于保密期,则会导致数据泄露。对于未使用非对称算法加密数据或密钥的场景,目前不受量子计算攻击影响,比如:使用了 128 位强度及以上的对称算法或散列算法,或者使用了非对称算法但不涉及加密(比如:数字签名),因签名值是一串无业务意义的字符,没有保密期概念,不受“先存储,后破解”的攻击方法影响。未来量子计算机发展到能破解对称、非对称及散列算法
50、后,所有基于相关算法实现的安全保护功能均将失效。4.应对量子计算攻击的迫切性应对量子计算攻击的迫切性通常使用 XYZ 理论来评估风险,当量子计算机可破解非对称密码算法时,如果届时数据仍处于保密期限内,则存在风险,如图 1 所示。图 1 量子安全风险年限评估X:数据保密年限。不同类型数据有不同要求,对于高密级信息,X 可能长达 20 年以上,如:军队、政府涉及国家秘密的信息、企业内部最高保密级别的信息等。安全风险Z:可破解密码算法的量子计算机出现的时间Y:升级到可抵御量子计算攻击的算法的时间X:数据保密年限23Y:升级到可抵御量子攻击的密码算法的时间。由于非对称算法是基础算法,基础算法的调整涉及
51、修改所有基于基础算法的安全协议(比如:TLS、SSH 等)、安全产品(比如:加密机)及基础 IT 设施(比如:服务器、手机、路由器等)。根据业界经验,新基础算法标准发布后,需要花费 10-20 年时间才能全面完成算法升级。当前对于算法标准制定进度最快的是美国国家标准与技术研究院 NIST,于 2024 年正式发布 3 个算法标准。因此,预估将在 2034-2044 年左右完成算法升级。Z:可破解密码算法的量子计算机出现的时间,预估 2037 年以后。如果未来量子计算技术发展超过或低于预期,会导致时间提前或延后。基于上述预估,当前保密期限超过 2037 年的数据,如果涉及使用非对称算法来协商对称
52、算法密钥的场景,则当前已面临量子攻击威胁。实际威胁取决于未来量子计算机的发展进度,以及可抵御量子计算攻击的密码算法升级进展。四、面向国内金融行业的量子安全威胁应对策略四、面向国内金融行业的量子安全威胁应对策略虽然,当前的量子计算算力还远低于密码破解的要求,且基于先前的分析预估距可实际破解当前密码算法的量子方案出现仍有一段时间,但是量子计算机的飞速发展将带来许多未知的可能,也使得金融行业面临着更为紧迫的安全形势。为了应对未来可能出现的安全威胁,对金融行业的密码安全体系进行加固改造势在必行,且应从各方面着手准备。在学术界以及金融行业内,均已形成了一定的应对思路。接下来,将阐述几类通用的方案。24(
53、一)通过强化或重构密码算法应对量子安全威胁(一)通过强化或重构密码算法应对量子安全威胁1.密码算法安全增强密码算法安全增强对于对称密码算法及散列算法,理论上只需要通过增加密钥或散列值长度等方式即可使得其保持现有的安全强度,从而具备抵御量子计算攻击的能力。对于国际通用算法如 AES,由于其具有 AES-128、AES-192、AES-256 三种密钥长度参数的版本,在应用时可直接进行相应的升级切换。对于我国的商用密码算法SM4,当前只有 128bits 一种安全强度的参数设置,未来需要对标准中的算法参数进行重新标准化或对算法设计进行优化调整,使其在量子环境下可达到需要的安全强度。2.抗量子抗量子
54、密码迁移密码迁移抗量子密码算法(PQC)是基于不受已知量子算法攻击的数学难题,研究新的非对称密码算法,从而替代现有的 RSA、SM2、ECDSA 等算法。与现有的 RSA 等算法一样,抗量子密码算法仍然依赖“计算复杂性”,无法从数学上证明其安全性。“计算复杂性”指针对该数学难题原理上可破解,但已知破解方法所需算力和破解时间远远超出了有效时间(比如:需要最强的超级计算机耗费数十亿年),因此密码算法实际上是安全的。但未来可能出现更优的破解方法或算力指数级提升,导致某一种抗量子密码算法不再安全,需要升级到另一种抗量子密码算法。因此抗量子密码算法与现代密码算法一样,缺少长期安全性证明。目前主流抗量子密
55、码算法基于格、多变量、编码、哈希等 4个领域的数学难题而设计,每个领域下有多种具体实现算法,情25况如表 9 所示:表 9 抗量子密码算法设计路线对比项对比项格格(Lattice-based)编码编码(Code-based)多变量多变量(Multivariate-based)哈希哈希(Hash-based)数学难题基于格的困难问题,如 LWE(带错误的学习)等基于编码理论中的困难问题,如:长线性码的译码问题基于有限域上的多元二次多项式方程组的难解性基于哈希算法的抗碰撞性适用场景最好可用于加密、密钥交换、签名、同态加密等较好以加密、签名为主较好以加密、签名为主有限仅能用于签名常见公钥长度几百字节
56、-几 K几 K-几 M数百 K-几 M几十字节常见密文/签名长度几百字节-几 K数百字节-几十 K几十-几百字节数 K-几十 K性能快一般一般一般典型算法NTRU 系列、KYBER、Dilithium、FALCONMcEliece、Bike、HQCRainbow、UOV、HFEv-Merkle 哈希树签名、XMSS、SPHINCS+基于格的算法可以覆盖现有非对称算法的使用场景,且在公钥/密文/签名的长度、性能等方面整体最佳,因此最被业界看好。2022 年 7 月,美国国家标准与技术研究院(NIST)公布了拟第一批标准化的 4 种国际抗量子密码算法(Kyber、Dilithium、Falcon、
57、SPHINCS+),前 3 个算法均为基于格的算法,SPHINCS+基于哈希。2024 年 8 月,NIST 已正式公布 ML-KEM(Kyber)、ML-DSA(Dilithium)、SLH-DSA(SPHINCS+)三个抗量子密26码标准。考虑到抗量子密码算法未来也可能被破解,NIST 将多个不同技术路线的抗量子密码算法同时纳入标准,当某一技术路线抗量子密码算法存在被破解的风险时,可切换到另一种不受该破解方法影响的抗量子密码算法,从而避免无安全算法可用的风险。我国密码科学技术国家重点实验室、中国密码学会等科研机构也正在通过各类研讨和算法竞赛,推动抗量子密码算法的研究。中国密码学会 2018
58、 年组织的非对称算法设计竞赛中,3 个一等奖算法均基于格设计。各金融机构有必要持续跟踪关注并适时开展技术验证。3.加密敏捷性机制加密敏捷性机制随着计算能力增强以及新攻击方法的出现,密码算法安全性会随时间推移而逐渐减弱(包括抗量子密码算法)。长期来看,密码算法存在持续升级的需求。一般情况下,金融行业使用的密码模块以算法为维度提供接口,不同密码算法的接口及参数均存在差异。同时,金融行业与众多监管机构、清算组织、合作方存在系统互联,当某一业务场景需要升级密码算法时,往往需要不同机构的上下游应用一起修改密码算法接口及参数,协调难度和工作量较大,耗时较长。为解决此难题,可以设计一套具备加密敏捷性的密码算
59、法使用机制。密码算法升级切换时,由交易发起方调整算法参数,其他机构无需修改代码,即可快速从当前非对称算法切换到抗量子密码算法,或从某一种抗量子密码算法切换到另一种抗量子密码算法。加密敏捷性大体有两种思路:一是通信双方先协商本次通信27使用的密码算法及密钥,选出双方都支持且优先级最高的算法,然后发送方基于协商结果对传输数据进行密码运算,接收方再基于相同算法及密钥进行处理(类似 TLS 协议)。算法切换时,由发送方或接收方将新算法优先级调整为最高,另一方无需修改代码,协商时将自动选用新算法,从而实现密码算法切换;二是通信双方无需协商,而是由发送方在已加密处理的传输数据中增加使用的密码算法和密钥标识
60、,接收方根据标识对数据进行相应处理(类似 JWT 机制)。算法切换时,由发送方调整密码算法及密钥标识,接收方自动按新标识调用新算法进行处理,无需修改代码。4.过渡期安全增强过渡期安全增强目前,金融行业相关的密码安全规范是国密 SM 系列算法,抗量子密码算法的标准仍在征集过程中,NIST抗量子标准在2024年刚提出三个标准算法;而国内对于抗量子密码算法标准自 2018年举办密码算法设计竞赛并完成两轮筛选后,对于标准的制定仍在进行当中。因此,为了同时保证行业强监管的合规性要求以及未来抗量子安全性要求,可以考虑在目前的过渡期执行“两把锁”的抗量子增强方案。在保留现有国密 SM 算法体系不变的情况下,
61、对数据进行第二道的抗量子加密,形成第二把抗量子锁,则可在保证国内密码应用合规要求的前提下进一步实现抗量子安全的增强。(二)通过量子技术本身的特性应对量子安全威胁(二)通过量子技术本身的特性应对量子安全威胁1.量子密钥分发(量子密钥分发(QKD)量子密钥分发技术(QKD)是目前发展较成熟、已进入产业28化阶段的量子通信技术,也是抵御量子计算破译挑战的关键密码技术之一。量子密钥分发是指通信双方通过传送量子态的方法实现信息论安全的密钥生成和分发的方法和过程。量子密钥分发基于量子物理特性实现,其安全性不受计算能力的威胁,能够达到信息论安全性,自然也具备量子安全性。QKD 的功能是实现对称密钥的协商和生
62、成,QKD 与一次一密(OTP)结合可实现信息加密的信息论安全性,与对称密码算法结合可实现加解密功能,结合量子安全的对称密码算法可实现量子安全。现阶段的量子密钥分发的主要应用模式是利用各类 QKD 网络(端到端网络、城域网或骨干网等)实现密钥的安全分发,再与对称密码技术相结合,进而保证信息的安全传输,为国防、政务、能源等专网用户提供高安全的数据传输应用服务。随着量子保密通信的深入发展,应用形式得到了进一步的拓展,在量子加密 VPN 这类产品外,业界也成功研发推出了一些针对普通用户的应用和产品,例如:量子加密通话手机、量子加密即时消息系统、量子加密对讲机、量子加密电子邮件系统等。这些应用都充分展
63、示了 QKD 网络在密钥分发、管理和服务上的作用和能力。2.量子随机数发生器(量子随机数发生器(QRNG)量子随机数发生器利用量子力学过程产生随机数。相比于传统的伪随机数发生器方案,量子随机数发生器并不依赖于复杂的数学问题,因此随机数的安全性具备信息论意义的安全性。另一方面,相比于基于传统物理噪声的随机数发生器,量子随机数发生器对熵源的建模和估计更加精细准确,最大限度地保证信息熵29来源于较为可靠的量子力学随机性。根据不同的量子力学原理,可以设计出各种不同的量子随机数发生器方案。近年来,量子随机数发生器的速率快速提升,达到 GHz 量级,并在低成本、小型化、芯片化等实用性方面取得重要突破。与此
64、同时,人们提出了设备无关和半设备无关的量子随机数发生器方案,用于一劳永逸地解决实际设备缺陷引发的侧信道安全问题。量子随机数发生器不仅可作为量子通信设备的关键器件,也可以用于信息技术需要真随机性熵源的各个应用场景。3.量子隐形传态(量子隐形传态(QT)量子隐形传态(QT)是利用量子的纠缠态,来传输量子比特实现通信的方法。虽然目前量子隐形传态还处于实验室研究阶段,还未形成产业化以及清晰的应用模式,研究者认为未来量子隐形传态是实现可扩展全量子网络和分布式量子计算的基础,可以形成丰富的各种应用模式。例如量子隐形传态可应用于量子密码学形成各种基于隐形传态的安全协议与应用。将量子隐形传态应用于量子网络中,
65、可实现分布式计算和通信。1993 年美国物理学家 Bennett 等人第一次提出了量子隐形传态方案。典型的量子隐形传态过程如下:发送方与接收方预先共享一个纠缠粒子对,即发送方和接收方分别持有一个粒子,而这两个粒子处于量子纠缠状态。待传输的量子比特加载在本地的一个粒子上,发送方对该粒子和所持有的处于纠缠状态的粒子进行共同测量(如贝尔态测量),测量后两个粒子的量子态将随机地塌缩共同测量本征态(例如四个贝尔态)中的一个。随后,发送方通知接收方测量结果,接收方相应地对自己所持有的原处于纠30缠状态的粒子做酉变换操作,即可以得到发送方要传送的量子比特。4.量子安全直接通信(量子安全直接通信(QSDC)量
66、子直接通信方案将信息加载于量子态,并直接在量子信道进行传输,不依赖于加解密算法及密钥的分发。该方案依靠量子不可克隆性、量子测量塌缩等量子原理感知和阻止窃听,保证信息传输安全,即当有人窃听时,量子态会被破坏,从而使窃听方得不到任何信息,即使其拥有再强大的计算能力,也无法破译。量子直接通信一改经典保密通信中的双信道结构,使用仅包含量子通信的单信道结构,简化了有可能导致信息泄露的环节,提高了数据传输的安全等级。量子直接通信由我国学者在 2000 年提出,近年来量子直接通信由理论走向实用化过程中不断突破了多个技术难点,克服了损耗和噪声干扰等困难,提升了通信速率。目前,量子直接通信技术已具备向实用化发展
67、的核心技术基础。2020 年发布实用化量子安全直接通信样机,2022 年实现了百公里量子直接通信的实验验证,为量子直接通信的实用化发展奠定了坚实的技术支撑。目前我国已有商业银行实现了量子直接通信技术在金融领域的全球首次应用。5.技术路线对比技术路线对比量子通信技术的特点在于它是通过量子态的传递(单量子状态如光子态或多量子系统的量子态如纠缠)建立通信双方的量子关系,不可忽略的是,它一般都包含有经典信息的交互过程,以此实现经典信息或量子信息的传递(故不存在超光速通信的可31能)。具体来说,各类量子通信技术间的区别体现在技术原理、用途与应用模式、性能带宽、技术成熟度等多个方面,不一而足。例如,量子密
68、钥分发为通信对端分发的是密钥,量子隐形传态和量子安全直接通信希望为通信对端传递经过编码的信息;量子隐形传态的量子信道是基于纠缠的,而量子密钥分发和量子安全直接通信建立的量子信道都是用于传输量子态的;三者目前能够实现的通信带宽与传统通信相比还都较低。(三)综合应用(三)综合应用抗量子抗量子密码技术和量子密码技术密码技术和量子密码技术基于数学的抗量子密码技术及基于物理的量子密码技术,其融合应用可体现为两个方面,一方面是量子密码与抗量子密码综合使用构建一个抗量子计算的、具有长期安全性的、完整的密码体系;另一方面是两种密码技术相互融合以提升各自的能力需要。例如,QKD 结合对称密码技术可以在信息的机密
69、性、真实性和完整性方面实现量子计算的长期安全性,而不可抵赖性方面可采用一次一签的抗量子密码技术,从而形成较完善的量子安全体系。第二种可行的结合方式是,QKD 技术能够为抗量子密码系统生成所需要的成对临时密钥或工作密钥,通过 QKD 不断更换加密密钥,可获得很强的前向安全性。第三种方式是,抗量子密码能应用于 QKD 网络中实现设备间的签名认证,即 QKD 网络协议执行需要待交互的设备间完成了可信认证作为前提,使用基于抗量子密码的公钥认证协议可以有效克服预置对称密钥认证方式在大规模网络中需预置大量密钥、管理维护不便的问题。“QKD+PQC”类型的应用方案能够融合两者优势,使密码系统整体能够应对量子
70、攻击。随着量子信息科学的发展和未来新32的量子密码技术与协议的出现,未来量子密码与数学密码的丰富结合应用方式也将会不断被发明出来。如量子数字签名、量子秘密共享等量子密码技术与基于数学的密码算法的结合。在实践验证方面,2021 年,中国联合研究团队就完成了国际首次量子密钥分发和抗量子密码融合可用性的现网验证,在现网实际业务中验证了融合方案的可行性,不仅将抗量子密码认证协议集成到 QKD 设备内部,还在多用户、现网通信条件下进行了长时间运行测试。(四)各类应对措施对比(四)各类应对措施对比抗量子密码迁移是目前最为主流的量子安全威胁应对策略,基本可以覆盖所有受威胁场景。但是,现阶段国内抗量子密码算法
71、尚未形成通用标准,且相较于现有非对称密码算法普遍存在参数尺寸过大的问题,对算法应用会产生一定的性能差距,抗量子密码算法仍有待进一步研究完善。量子密钥分发技术目前比较成熟,且其可达到信息论安全性,也已完成了部分的应用试点,但从场景角度看,其无法实现对于不可抵赖性的保护,存在局限性。此外,由于其实施需要构建量子通信信道,还存在成本过高等问题。五、五、总结与展望总结与展望量子计算技术正处于高速发展的阶段,无论是量子计算机硬件性能的提升还是量子算法实现的优化都有可能加速现有安全体系被破解的进程,对于现有密码体系安全使用年限的预估也随之浮动。根据理论与实验分析,由于量子计算机的量子比特数目前仍较少,且噪
72、声问题尚未得到有效解决,结合量子计算发展现33状,其对现有密码体系及金融行业的影响主要有以下总体结论:一是在非对称密码体制方面一是在非对称密码体制方面,Shor 算法对于 RSA、ECC、SM2等非对称密码体制造成实际影响的时间预估在 2037 年以后,但仍有必要加紧对抗量子密码算法的研究。二是在对称密码体制及二是在对称密码体制及散列算法方面,散列算法方面,Grover 算法在量子环境下对 AES、SM4、SM3等对称密码及散列算法进行攻击难以达到使其安全强度直接减半的实际效果,未来可通过扩展密钥或散列值长度等方式实现安全增强。三是在三是在金融金融业务应用方面业务应用方面,量子计算会对数据传输
73、加密、数据存储加密、数字签名、完整性校验、区块链、隐私计算等技术应用带来不同程度的潜在影响。应用非对称密码算法、保护长期数据、涉及范围广、交互体验更强的业务场景受影响更大。当下,面临较为紧迫威胁的是“先存储,后破解”的场景。由于量子技术发展的不确定性,要快速、准确地评估量子计算对密码系统整体的影响程度存在一定的困难,应当提前准备、部署抗量子安全的密码体系来应对未来的量子威胁,保障金融行业基础设施的安全,保证金融行业数据的长效安全性。可以从以下几个方面持续开展工作:一是强化顶层设计布局一是强化顶层设计布局。研究制定金融行业量子风险应对的总体实施方案,推动形成金融行业量子风险应对指南,指导金融机构
74、有序推进金融信息系统、基础设施安全改造升级。二是始终紧跟前沿进展二是始终紧跟前沿进展。在学界业界研究的基础上充分了解量子计算的发展对现有金融行业密码安全体系威胁的程度,以便实时预估在哪个时间节点需要完成对整个金融行业密码安全体系的升级与调整。三是推进标准体系构建三是推进标准体系构建。持续关注国内外对于抗量子密码算法研究的发展,与抗量子密码算法标准制34定牵头单位积极沟通,适时提出行业诉求,研究制定适应金融行业应用的抗量子密码算法指南,规范引导抗量子密码算法金融应用探索。四四是深化量子技术研究是深化量子技术研究。金融机构结合自身需求,发挥各自优势,联合产学研各方力量,在抗量子密码算法应用、量子风险应对方案设计、相应密码产品研发等方面开展研究验证,形成典型案例。五是五是研究开展抗量子密码迁移试点研究开展抗量子密码迁移试点。继续了解和整理国外金融行业对于量子安全威胁的应对策略,并结合我国金融行业的实际情况,制定适合我们的针对性策略,从安全性、效率性等各方面不断优化改进工作方案,适时开展抗量子密码迁移验证试点,编制金融业抗量子密码迁移线路图,为抗量子迁移工作的顺利开展提供指导性的建议。