量子計(jì)算對金融安全的影響與應(yīng)對

秦 璐 邱震堯 楊 陽

當(dāng)前，量子計(jì)算技術(shù)作為我國科技發(fā)展中重要的戰(zhàn)略性、前瞻性領(lǐng)域中的重點(diǎn)技術(shù)之一，已被納入國家《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》。隨著量子計(jì)算技術(shù)的不斷發(fā)展，量子計(jì)算機(jī)在帶來算力突破的同時(shí)，針對性的量子算法如Shor算法、Grover算法等對于金融行業(yè)現(xiàn)有的密碼安全系統(tǒng)亦造成了潛在的威脅。中國銀聯(lián)作為銀行卡產(chǎn)業(yè)的核心和樞紐，正加緊研究后量子密碼及相關(guān)技術(shù)，以期聯(lián)合金融機(jī)構(gòu)在未來進(jìn)一步筑牢信息安全防線。

量子計(jì)算的研究進(jìn)展

量子計(jì)算是遵循量子力學(xué)規(guī)律調(diào)控量子信息單元進(jìn)行計(jì)算的新型計(jì)算模式。量子力學(xué)疊加性的存在，使量子計(jì)算機(jī)具有天然的并行計(jì)算能力，且具備指數(shù)級性能擴(kuò)展等理論優(yōu)勢，一些已知的量子算法在處理現(xiàn)有問題時(shí)速度要遠(yuǎn)超傳統(tǒng)的通用計(jì)算機(jī)，量子計(jì)算機(jī)將是未來計(jì)算機(jī)發(fā)展的重點(diǎn)方向之一。

量子計(jì)算機(jī)研究進(jìn)展

目前，國內(nèi)外對于量子計(jì)算機(jī)的研制正處于快速發(fā)展階段。IBM公司2021年已經(jīng)實(shí)現(xiàn)了127量子比特超導(dǎo)計(jì)算機(jī)，并計(jì)劃在2022年、2023年底前分別實(shí)現(xiàn)433、1121量子比特。國內(nèi)研究者也于2021年10月實(shí)現(xiàn)了113個(gè)光子144模式的光量子計(jì)算原型機(jī)“九章二號”，在處理高斯玻色取樣問題時(shí)的運(yùn)算速度比目前全球最快的超級計(jì)算機(jī)快約1024倍。

然而，由于噪聲的存在以及物理比特的不穩(wěn)定性，仍需要大量的物理比特冗余糾錯(cuò)才能實(shí)現(xiàn)1位邏輯比特，要獲取足夠數(shù)量的邏輯量子比特來充分發(fā)揮量子算法的計(jì)算優(yōu)勢仍有很長的路要走，量子計(jì)算機(jī)的實(shí)用性距離替代傳統(tǒng)通用計(jì)算機(jī)還存在較大的差距。

量子算法研究進(jìn)展

自量子計(jì)算概念提出以來，研究人員在量子優(yōu)勢算法的設(shè)計(jì)方面也開展了大量的研究工作，涌現(xiàn)出一系列量子算法，如Deutsch-Jozsa算法、Bernstein-Vazirani算法、量子傅里葉變換（QFT）、Simon算法、Shor算法、Grover算法等，這些算法也證實(shí)了量子計(jì)算存在可證明的計(jì)算加速。

量子計(jì)算對金融安全的影響性分析

金融行業(yè)通常利用密碼算法對敏感信息進(jìn)行加密保護(hù)，涉及數(shù)字簽名、身份認(rèn)證、數(shù)據(jù)傳輸、IC卡密鑰裝載等大量應(yīng)用場景，因而密碼算法的安全是保障金融行業(yè)數(shù)據(jù)安全的根基。事實(shí)上，現(xiàn)有安全體系中的密碼算法滿足的大都是可計(jì)算安全，其安全性建立在無法利用傳統(tǒng)通用計(jì)算機(jī)進(jìn)行有效時(shí)間內(nèi)破解的基礎(chǔ)之上。然而，量子計(jì)算的發(fā)展帶來了計(jì)算算力的提升，結(jié)合針對性的Shor算法、Grover算法等，大幅提升了對現(xiàn)有密碼算法破解的效率，使得密碼算法的安全性受到了一定的威脅，繼而對金融行業(yè)數(shù)據(jù)的長期安全性也造成了潛在威脅。

目前，金融行業(yè)中主要使用的密碼算法分為公鑰密碼算法、對稱密碼算法以及哈希摘要算法等類型，根據(jù)不同算法的特性被用于不同的應(yīng)用場景。由于各類密碼算法的理論本質(zhì)不同，量子計(jì)算對它們產(chǎn)生的影響也有很大的不同。因此，不同的金融場景所受到的安全性影響程度也不盡相同。

量子算法對現(xiàn)有密碼算法的影響

Shor算法對公鑰密碼算法的影響周期算法，在理論上將求解上述困難數(shù)學(xué)問題的復(fù)雜度由指數(shù)級降至了多項(xiàng)式級O（n2lg(n)lg(lg(n))）（n為密鑰長度）。

然而，現(xiàn)有公鑰密碼算法大都利用了上述的困難數(shù)學(xué)問題進(jìn)行設(shè)計(jì)，如RSA算法、SM2、DH、ECDSA等算法，Shor算法的出現(xiàn)在理論上可以對這些算法進(jìn)行多項(xiàng)式時(shí)間內(nèi)的破解。根據(jù)谷歌的研究成果，2000萬量子比特的量子計(jì)算機(jī)只需8小時(shí)就可破解2048比特密鑰的RSA算法。一旦大規(guī)模量子計(jì)算機(jī)出現(xiàn)，現(xiàn)行的公鑰密碼算法將不再安全。

Grover算法對對稱密碼算法及哈希摘要算法的影響

Grover算法可以完成隨機(jī)數(shù)據(jù)庫中特定元素的搜索。搜索問題可描述為：對于一個(gè)給定函數(shù)f(x)

從中找出 a*。

Grover搜索算法在理論上將導(dǎo)致AES、SM4等對稱密碼算法，SHA-256、SM3等哈希摘要算法的安全強(qiáng)度減半，但可以通過直接增加密鑰或摘要長度來保證其現(xiàn)有安全強(qiáng)度。然而，由于當(dāng)前量子計(jì)算機(jī)的限制，其實(shí)際破解效率的提升幅度仍然有限。

對于不同類型的密碼算法，表1中展示了它們在經(jīng)典計(jì)算環(huán)境和量子計(jì)算環(huán)境下安全級別對比的理論估計(jì)。

表1 各類密碼算法在經(jīng)典計(jì)算環(huán)境和量子計(jì)算環(huán)境的安全級別對比理論估計(jì)

量子計(jì)算對金融應(yīng)用場景的安全性影響

在金融行業(yè)中，公鑰密碼算法主要應(yīng)用于密鑰交換、身份認(rèn)證等場景，同時(shí)在互聯(lián)網(wǎng)安全傳輸、金融支付交易等領(lǐng)域也有著廣泛的應(yīng)用。對于相關(guān)的業(yè)務(wù)數(shù)據(jù)而言，其正面臨“先儲存，后破解”的前向攻擊威脅。攻擊者完全可以先完成竊取并儲存，待到量子計(jì)算機(jī)發(fā)展至可以完成對公鑰密碼算法的破解時(shí)，再將數(shù)據(jù)進(jìn)行解密。若此時(shí)數(shù)據(jù)仍處于保密年限中，則很有可能造成數(shù)據(jù)的泄露。

在金融行業(yè)中，對稱密碼算法因?yàn)槠湫阅軆?yōu)勢常被用于數(shù)據(jù)加密存儲和傳輸?shù)葓鼍?；而哈希摘要算法主要?yīng)用于數(shù)據(jù)完整性驗(yàn)證、數(shù)字簽名等場景。對于這類金融應(yīng)用場景，目前受量子計(jì)算攻擊的影響較小，同時(shí)EMVCo等機(jī)構(gòu)也給出了實(shí)際分析，并認(rèn)為目前密鑰長度為128比特的對稱密碼算法仍可繼續(xù)使用。

量子計(jì)算對金融安全體系的影響

圖1 Grover算法逐步接近目標(biāo)態(tài)

雖然當(dāng)前的量子計(jì)算算力還遠(yuǎn)低于密碼破解的要求，但是量子計(jì)算機(jī)的飛速發(fā)展和量子比特?cái)?shù)逐年的成倍增長，也使得金融行業(yè)面臨著更為緊迫的安全形勢。為了應(yīng)對未來可能出現(xiàn)的安全威脅，對金融行業(yè)的密碼安全體系進(jìn)行加固改造勢在必行。然而，在安全升級的同時(shí)，大量牽涉的應(yīng)用場景也可能面臨其他的影響，如改造后應(yīng)用的兼容性和效率等問題。

事實(shí)上，由于不同的應(yīng)用場景受到的安全威脅程度和緊迫性不同，其面臨的系統(tǒng)升級影響和困難也不同。在進(jìn)行全面安全體系改造前，仍需更加深入地研究量子計(jì)算發(fā)展對當(dāng)前金融行業(yè)密碼安全體系的影響，充分評估不同金融場景面臨的安全威脅程度，系統(tǒng)調(diào)研各類金融場景在系統(tǒng)升級時(shí)可能面臨的困難以及受到的影響，以此幫助整個(gè)金融行業(yè)進(jìn)一步認(rèn)識量子安全的影響性。

為保證金融行業(yè)的后量子安全，首當(dāng)其沖的是要找到在量子計(jì)算環(huán)境下安全的密碼算法來替換目前存在安全隱患的密碼算法。為了抵御量子計(jì)算攻擊的威脅，學(xué)術(shù)界已率先提出了后量子密碼算法，并取得了豐碩的成果。

后量子密碼研究現(xiàn)狀

為保證金融行業(yè)的后量子安全，首當(dāng)其沖的是要找到在量子計(jì)算環(huán)境下安全的密碼算法來替換目前存在安全隱患的密碼算法。為了抵御量子計(jì)算攻擊的威脅，學(xué)術(shù)界已率先提出了后量子密碼算法，并取得了豐碩的成果。

后量子密碼算法設(shè)計(jì)現(xiàn)狀

后量子密碼算法的設(shè)計(jì)通常挑選無法實(shí)現(xiàn)高效并行計(jì)算的困難問題進(jìn)行構(gòu)造，目前主流的類型有基于格的密碼算法、基于哈希的密碼算法以及基于編碼的密碼算法等。

基于格的密碼算法

基于格的密碼算法目前的設(shè)計(jì)多基于LWE或環(huán)-LWE等格上的困難問題，代表算法有NTRU算法、CRYSTALS-KYBER算法等?；诟竦拿艽a算法可實(shí)現(xiàn)加密、簽名、密鑰交換、同態(tài)等豐富功能，且相較于其他幾類后量子密碼設(shè)計(jì)方式，其具有密鑰尺寸小、安全性及計(jì)算速度等指標(biāo)更優(yōu)的優(yōu)勢。因而，基于格的算法是目前國內(nèi)外學(xué)術(shù)研究、標(biāo)準(zhǔn)制定和算法應(yīng)用中最受認(rèn)可的一類算法。

基于哈希的密碼算法

基于哈希的密碼算法由一次性簽名方案演變而來，并使用了Merkle的哈希樹認(rèn)證機(jī)制。代表算法有Merkle簽名算法、SPHINCS+簽名算法等。由于其只能實(shí)現(xiàn)數(shù)字簽名的功能，可擴(kuò)展性較差。但是，由于其安全性依賴于哈希函數(shù)的抗碰撞性，并不依賴于某個(gè)特定的哈希函數(shù)，可以在當(dāng)前使用的哈希函數(shù)被攻破時(shí)通過更換更安全的哈希函數(shù)來實(shí)現(xiàn)算法的快速更替。

基于編碼的密碼算法

基于編碼的密碼算法使用錯(cuò)誤糾正碼對加入的隨機(jī)性錯(cuò)誤進(jìn)行糾正和計(jì)算，代表算法有McEliece等。其應(yīng)用以加密和簽名方案為主，由于算法的密鑰尺寸大，使用時(shí)對公鑰儲存空間的要求較高。

后量子密碼算法設(shè)計(jì)具有豐富的技術(shù)路線，除了以上三種之外，還有基于多變量、基于超奇異橢圓曲線、基于量子隨機(jī)漫步等技術(shù)的后量子密碼算法設(shè)計(jì)方式，對于不同構(gòu)造方案的探索與分析仍在持續(xù)進(jìn)行。

后量子密碼標(biāo)準(zhǔn)化進(jìn)程

目前，國內(nèi)外均已積極組織開展相應(yīng)的標(biāo)準(zhǔn)化工作。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）在2016年啟動(dòng)了后量子密碼標(biāo)準(zhǔn)化項(xiàng)目（Post-Quantum Cryptography，PQC），且于2022年7月公布了即將標(biāo)準(zhǔn)化的四個(gè)算法。其中，加密算法CRYSTALSKYBER及簽名算法CRYSTALS-DILITHIUM、FALCON均基于格設(shè)計(jì)，簽名算法SPHINCS+則基于哈希設(shè)計(jì)；同時(shí)，為了技術(shù)路線的多樣性，NIST還啟動(dòng)了第四輪的評估，以期從中選取一個(gè)基于編碼的后量子密碼算法。我國也于2019年舉辦了全國密碼算法設(shè)計(jì)競賽，目前已評選出了進(jìn)入第二輪評估的候選算法。在不久的將來，國內(nèi)外的后量子密碼算法標(biāo)準(zhǔn)化工作將陸續(xù)完成，這也標(biāo)志著后量子密碼即將進(jìn)入全面落地應(yīng)用階段。

后量子密碼算法應(yīng)用實(shí)現(xiàn)

目前，后量子密碼的實(shí)用化仍然面臨著巨大的挑戰(zhàn)。首先，對于后量子密碼算法的安全性分析仍需完善，多個(gè)NIST候選提案相繼被實(shí)際攻破，基于格的算法雖然是目前最受認(rèn)可的一類算法，其安全性評估也需持續(xù)更新。其次，相較于現(xiàn)有公鑰密碼算法體系，后量子密碼算法設(shè)計(jì)時(shí)使用的參數(shù)仍然面臨尺寸較大的問題。而且，后量子密碼算法設(shè)計(jì)更為復(fù)雜，其快速工程實(shí)現(xiàn)也更加困難。因而，對于后量子密碼算法的設(shè)計(jì)、安全性及性能分析、工程化實(shí)現(xiàn)、應(yīng)用場景拓展等仍需持續(xù)深入研究。

金融行業(yè)的后量子遷移

隨著后量子密碼算法的持續(xù)發(fā)展，可支持的應(yīng)用場景不斷豐富，經(jīng)典公鑰密碼向后量子密碼遷移已成為必然趨勢。在金融行業(yè)，對后量子遷移的研究也已提上日程，并將逐步形成工作計(jì)劃，確定合適的遷移路線，旨在將現(xiàn)有的密碼安全體系分階段地、平穩(wěn)地過渡到后量子密碼安全體系。

后量子密碼遷移。對現(xiàn)有密碼安全體系中存在安全隱患的密碼算法，用后量子密碼算法進(jìn)行替換。首先，收集整理金融行業(yè)中可能受到量子計(jì)算技術(shù)影響的所有相關(guān)場景和資源，梳理其相互之間的依賴關(guān)系，并確定初步的遷移順序。其次，對于不同的應(yīng)用場景，分類、評估其未來可能的遷移方式和難度。此外，由于現(xiàn)有的后量子密碼算法在效率方面仍落后于現(xiàn)有的公鑰密碼算法，還需對當(dāng)下國際和國內(nèi)主流的后量子密碼算法進(jìn)行初步的功能和性能測試，并就后量子密碼算法的使用對系統(tǒng)運(yùn)行的性能影響進(jìn)行評估。此外，目前的后量子密碼算法每一類通常只能適用于一部分的應(yīng)用場景，因而還需要為不同的金融應(yīng)用場景選取最為合適的特定后量子密碼算法作為后續(xù)的更替算法，逐步完成算法選型和方案制定。

加密敏捷機(jī)制設(shè)計(jì)。在進(jìn)行新系統(tǒng)開發(fā)時(shí)，兼容后量子密碼算法。在金融行業(yè)中，使用的密碼模塊以算法為單位提供接口，不同密碼算法的接口存在一定的差異。而如今，利用后量子密碼算法保障安全已是大勢所趨，因而在進(jìn)行新系統(tǒng)研發(fā)時(shí)，應(yīng)充分考慮后量子密碼算法的兼容性，為后量子密碼算法的引入預(yù)留足夠的字段空間，并根據(jù)實(shí)際情況對已有系統(tǒng)進(jìn)行逐步改造，以便在未來存在后量子密碼算法實(shí)際應(yīng)用的迫切需求時(shí)實(shí)現(xiàn)敏捷化的切換。

過渡期安全增強(qiáng)。采用“兩把鎖”的混合安全模式作為過渡階段的解決方案。目前，金融行業(yè)相關(guān)的密碼安全規(guī)范仍是國密SM系列算法，而為了保證金融強(qiáng)監(jiān)管的合規(guī)性要求以及后量子安全性要求，可以考慮“兩把鎖”的后量子增強(qiáng)方案。在保留現(xiàn)有國密SM算法體系不變的情況下，對金融數(shù)據(jù)進(jìn)行第二道后量子加密，形成第二把后量子鎖，可在保證國內(nèi)密碼應(yīng)用合規(guī)要求的前提下進(jìn)一步增強(qiáng)后量子安全性。

總結(jié)與展望

量子計(jì)算的發(fā)展為金融行業(yè)的安全體系帶來了風(fēng)險(xiǎn)。為保護(hù)金融行業(yè)安全的根基，應(yīng)當(dāng)提前準(zhǔn)備、部署后量子安全的密碼安全體系，以應(yīng)對未來的安全威脅，幫助保障金融行業(yè)基礎(chǔ)設(shè)施的安全，保證金融行業(yè)的數(shù)據(jù)長效安全性。

一是對量子安全的現(xiàn)狀進(jìn)行更為深入、系統(tǒng)的調(diào)研，盡快評估和梳理量子計(jì)算目前的發(fā)展速率對現(xiàn)有金融安全體系的威脅緊迫程度，幫助金融行業(yè)快速、準(zhǔn)確地了解在哪個(gè)時(shí)間節(jié)點(diǎn)需要完成對于整個(gè)金融行業(yè)的密碼安全體系的升級與調(diào)整。

二是持續(xù)關(guān)注國內(nèi)外對于后量子密碼算法研究的發(fā)展。目前，國內(nèi)外對于后量子密碼標(biāo)準(zhǔn)的制定工作尚在進(jìn)行階段，未來可能標(biāo)準(zhǔn)化的算法已初步顯現(xiàn)，應(yīng)當(dāng)對這些算法進(jìn)行重點(diǎn)關(guān)注與分析，并為不同的金融場景測試挑選可使用的算法，以期在其完成標(biāo)準(zhǔn)化時(shí)，金融行業(yè)可以迅速地進(jìn)行后量子密碼算法的遷移。

三是繼續(xù)收集和整理國外金融行業(yè)對于量子安全威脅的應(yīng)對策略，并結(jié)合我國金融行業(yè)的實(shí)際情況，制定適合我們的針對性策略，為后續(xù)后量子遷移工作路線的制定提供參考和幫助，從安全性、效率性等方面不斷優(yōu)化和改進(jìn)工作方案，為后量子遷移工作的順利開展提供指導(dǎo)性建議。