秦 璐 邱震堯 楊 陽

當前，量子計算技術(shù)作為我國科技發(fā)展中重要的戰(zhàn)略性、前瞻性領(lǐng)域中的重點技術(shù)之一，已被納入國家《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》。隨著量子計算技術(shù)的不斷發(fā)展，量子計算機在帶來算力突破的同時，針對性的量子算法如Shor算法、Grover算法等對于金融行業(yè)現(xiàn)有的密碼安全系統(tǒng)亦造成了潛在的威脅。中國銀聯(lián)作為銀行卡產(chǎn)業(yè)的核心和樞紐，正加緊研究后量子密碼及相關(guān)技術(shù)，以期聯(lián)合金融機構(gòu)在未來進一步筑牢信息安全防線。

量子計算的研究進展

量子計算是遵循量子力學規(guī)律調(diào)控量子信息單元進行計算的新型計算模式。量子力學疊加性的存在，使量子計算機具有天然的并行計算能力，且具備指數(shù)級性能擴展等理論優(yōu)勢，一些已知的量子算法在處理現(xiàn)有問題時速度要遠超傳統(tǒng)的通用計算機，量子計算機將是未來計算機發(fā)展的重點方向之一。

量子計算機研究進展

目前，國內(nèi)外對于量子計算機的研制正處于快速發(fā)展階段。IBM公司2021年已經(jīng)實現(xiàn)了127量子比特超導計算機，并計劃在2022年、2023年底前分別實現(xiàn)433、1121量子比特。國內(nèi)研究者也于2021年10月實現(xiàn)了113個光子144模式的光量子計算原型機“九章二號”，在處理高斯玻色取樣問題時的運算速度比目前全球最快的超級計算機快約1024倍。

然而，由于噪聲的存在以及物理比特的不穩(wěn)定性，仍需要大量的物理比特冗余糾錯才能實現(xiàn)1位邏輯比特，要獲取足夠數(shù)量的邏輯量子比特來充分發(fā)揮量子算法的計算優(yōu)勢仍有很長的路要走，量子計算機的實用性距離替代傳統(tǒng)通用計算機還存在較大的差距。

量子算法研究進展

自量子計算概念提出以來，研究人員在量子優(yōu)勢算法的設計方面也開展了大量的研究工作，涌現(xiàn)出一系列量子算法，如Deutsch-Jozsa算法、Bernstein-Vazirani算法、量子傅里葉變換（QFT）、Simon算法、Shor算法、Grover算法等，這些算法也證實了量子計算存在可證明的計算加速。

量子計算對金融安全的影響性分析

金融行業(yè)通常利用密碼算法對敏感信息進行加密保護，涉及數(shù)字簽名、身份認證、數(shù)據(jù)傳輸、IC卡密鑰裝載等大量應用場景，因而密碼算法的安全是保障金融行業(yè)數(shù)據(jù)安全的根基。事實上，現(xiàn)有安全體系中的密碼算法滿足的大都是可計算安全，其安全性建立在無法利用傳統(tǒng)通用計算機進行有效時間內(nèi)破解的基礎(chǔ)之上。然而，量子計算的發(fā)展帶來了計算算力的提升，結(jié)合針對性的Shor算法、Grover算法等，大幅提升了對現(xiàn)有密碼算法破解的效率，使得密碼算法的安全性受到了一定的威脅，繼而對金融行業(yè)數(shù)據(jù)的長期安全性也造成了潛在威脅。

目前，金融行業(yè)中主要使用的密碼算法分為公鑰密碼算法、對稱密碼算法以及哈希摘要算法等類型，根據(jù)不同算法的特性被用于不同的應用場景。由于各類密碼算法的理論本質(zhì)不同，量子計算對它們產(chǎn)生的影響也有很大的不同。因此，不同的金融場景所受到的安全性影響程度也不盡相同。

量子算法對現(xiàn)有密碼算法的影響

Shor算法對公鑰密碼算法的影響周期算法，在理論上將求解上述困難數(shù)學問題的復雜度由指數(shù)級降至了多項式級O（n2lg(n)lg(lg(n))）（n為密鑰長度）。

然而，現(xiàn)有公鑰密碼算法大都利用了上述的困難數(shù)學問題進行設計，如RSA算法、SM2、DH、ECDSA等算法，Shor算法的出現(xiàn)在理論上可以對這些算法進行多項式時間內(nèi)的破解。根據(jù)谷歌的研究成果，2000萬量子比特的量子計算機只需8小時就可破解2048比特密鑰的RSA算法。一旦大規(guī)模量子計算機出現(xiàn)，現(xiàn)行的公鑰密碼算法將不再安全。

Grover算法對對稱密碼算法及哈希摘要算法的影響

Grover算法可以完成隨機數(shù)據(jù)庫中特定元素的搜索。搜索問題可描述為：對于一個給定函數(shù)f(x)

從中找出 a*。

Grover搜索算法在理論上將導致AES、SM4等對稱密碼算法，SHA-256、SM3等哈希摘要算法的安全強度減半，但可以通過直接增加密鑰或摘要長度來保證其現(xiàn)有安全強度。然而，由于當前量子計算機的限制，其實際破解效率的提升幅度仍然有限。

對于不同類型的密碼算法，表1中展示了它們在經(jīng)典計算環(huán)境和量子計算環(huán)境下安全級別對比的理論估計。

表1 各類密碼算法在經(jīng)典計算環(huán)境和量子計算環(huán)境的安全級別對比理論估計

量子計算對金融應用場景的安全性影響

在金融行業(yè)中，公鑰密碼算法主要應用于密鑰交換、身份認證等場景，同時在互聯(lián)網(wǎng)安全傳輸、金融支付交易等領(lǐng)域也有著廣泛的應用。對于相關(guān)的業(yè)務數(shù)據(jù)而言，其正面臨“先儲存，后破解”的前向攻擊威脅。攻擊者完全可以先完成竊取并儲存，待到量子計算機發(fā)展至可以完成對公鑰密碼算法的破解時，再將數(shù)據(jù)進行解密。若此時數(shù)據(jù)仍處于保密年限中，則很有可能造成數(shù)據(jù)的泄露。

在金融行業(yè)中，對稱密碼算法因為其性能優(yōu)勢常被用于數(shù)據(jù)加密存儲和傳輸?shù)葓鼍?；而哈希摘要算法主要應用于?shù)據(jù)完整性驗證、數(shù)字簽名等場景。對于這類金融應用場景，目前受量子計算攻擊的影響較小，同時EMVCo等機構(gòu)也給出了實際分析，并認為目前密鑰長度為128比特的對稱密碼算法仍可繼續(xù)使用。

量子計算對金融安全體系的影響

圖1 Grover算法逐步接近目標態(tài)

雖然當前的量子計算算力還遠低于密碼破解的要求，但是量子計算機的飛速發(fā)展和量子比特數(shù)逐年的成倍增長，也使得金融行業(yè)面臨著更為緊迫的安全形勢。為了應對未來可能出現(xiàn)的安全威脅，對金融行業(yè)的密碼安全體系進行加固改造勢在必行。然而，在安全升級的同時，大量牽涉的應用場景也可能面臨其他的影響，如改造后應用的兼容性和效率等問題。

事實上，由于不同的應用場景受到的安全威脅程度和緊迫性不同，其面臨的系統(tǒng)升級影響和困難也不同。在進行全面安全體系改造前，仍需更加深入地研究量子計算發(fā)展對當前金融行業(yè)密碼安全體系的影響，充分評估不同金融場景面臨的安全威脅程度，系統(tǒng)調(diào)研各類金融場景在系統(tǒng)升級時可能面臨的困難以及受到的影響，以此幫助整個金融行業(yè)進一步認識量子安全的影響性。

為保證金融行業(yè)的后量子安全，首當其沖的是要找到在量子計算環(huán)境下安全的密碼算法來替換目前存在安全隱患的密碼算法。為了抵御量子計算攻擊的威脅，學術(shù)界已率先提出了后量子密碼算法，并取得了豐碩的成果。

后量子密碼研究現(xiàn)狀

為保證金融行業(yè)的后量子安全，首當其沖的是要找到在量子計算環(huán)境下安全的密碼算法來替換目前存在安全隱患的密碼算法。為了抵御量子計算攻擊的威脅，學術(shù)界已率先提出了后量子密碼算法，并取得了豐碩的成果。

后量子密碼算法設計現(xiàn)狀

后量子密碼算法的設計通常挑選無法實現(xiàn)高效并行計算的困難問題進行構(gòu)造，目前主流的類型有基于格的密碼算法、基于哈希的密碼算法以及基于編碼的密碼算法等。

基于格的密碼算法

基于格的密碼算法目前的設計多基于LWE或環(huán)-LWE等格上的困難問題，代表算法有NTRU算法、CRYSTALS-KYBER算法等?；诟竦拿艽a算法可實現(xiàn)加密、簽名、密鑰交換、同態(tài)等豐富功能，且相較于其他幾類后量子密碼設計方式，其具有密鑰尺寸小、安全性及計算速度等指標更優(yōu)的優(yōu)勢。因而，基于格的算法是目前國內(nèi)外學術(shù)研究、標準制定和算法應用中最受認可的一類算法。

基于哈希的密碼算法

基于哈希的密碼算法由一次性簽名方案演變而來，并使用了Merkle的哈希樹認證機制。代表算法有Merkle簽名算法、SPHINCS+簽名算法等。由于其只能實現(xiàn)數(shù)字簽名的功能，可擴展性較差。但是，由于其安全性依賴于哈希函數(shù)的抗碰撞性，并不依賴于某個特定的哈希函數(shù)，可以在當前使用的哈希函數(shù)被攻破時通過更換更安全的哈希函數(shù)來實現(xiàn)算法的快速更替。

基于編碼的密碼算法

基于編碼的密碼算法使用錯誤糾正碼對加入的隨機性錯誤進行糾正和計算，代表算法有McEliece等。其應用以加密和簽名方案為主，由于算法的密鑰尺寸大，使用時對公鑰儲存空間的要求較高。

后量子密碼算法設計具有豐富的技術(shù)路線，除了以上三種之外，還有基于多變量、基于超奇異橢圓曲線、基于量子隨機漫步等技術(shù)的后量子密碼算法設計方式，對于不同構(gòu)造方案的探索與分析仍在持續(xù)進行。

后量子密碼標準化進程

目前，國內(nèi)外均已積極組織開展相應的標準化工作。美國國家標準與技術(shù)研究院（National Institute of Standards and Technology，NIST）在2016年啟動了后量子密碼標準化項目（Post-Quantum Cryptography，PQC），且于2022年7月公布了即將標準化的四個算法。其中，加密算法CRYSTALSKYBER及簽名算法CRYSTALS-DILITHIUM、FALCON均基于格設計，簽名算法SPHINCS+則基于哈希設計；同時，為了技術(shù)路線的多樣性，NIST還啟動了第四輪的評估，以期從中選取一個基于編碼的后量子密碼算法。我國也于2019年舉辦了全國密碼算法設計競賽，目前已評選出了進入第二輪評估的候選算法。在不久的將來，國內(nèi)外的后量子密碼算法標準化工作將陸續(xù)完成，這也標志著后量子密碼即將進入全面落地應用階段。

后量子密碼算法應用實現(xiàn)

目前，后量子密碼的實用化仍然面臨著巨大的挑戰(zhàn)。首先，對于后量子密碼算法的安全性分析仍需完善，多個NIST候選提案相繼被實際攻破，基于格的算法雖然是目前最受認可的一類算法，其安全性評估也需持續(xù)更新。其次，相較于現(xiàn)有公鑰密碼算法體系，后量子密碼算法設計時使用的參數(shù)仍然面臨尺寸較大的問題。而且，后量子密碼算法設計更為復雜，其快速工程實現(xiàn)也更加困難。因而，對于后量子密碼算法的設計、安全性及性能分析、工程化實現(xiàn)、應用場景拓展等仍需持續(xù)深入研究。

金融行業(yè)的后量子遷移

隨著后量子密碼算法的持續(xù)發(fā)展，可支持的應用場景不斷豐富，經(jīng)典公鑰密碼向后量子密碼遷移已成為必然趨勢。在金融行業(yè)，對后量子遷移的研究也已提上日程，并將逐步形成工作計劃，確定合適的遷移路線，旨在將現(xiàn)有的密碼安全體系分階段地、平穩(wěn)地過渡到后量子密碼安全體系。

后量子密碼遷移。對現(xiàn)有密碼安全體系中存在安全隱患的密碼算法，用后量子密碼算法進行替換。首先，收集整理金融行業(yè)中可能受到量子計算技術(shù)影響的所有相關(guān)場景和資源，梳理其相互之間的依賴關(guān)系，并確定初步的遷移順序。其次，對于不同的應用場景，分類、評估其未來可能的遷移方式和難度。此外，由于現(xiàn)有的后量子密碼算法在效率方面仍落后于現(xiàn)有的公鑰密碼算法，還需對當下國際和國內(nèi)主流的后量子密碼算法進行初步的功能和性能測試，并就后量子密碼算法的使用對系統(tǒng)運行的性能影響進行評估。此外，目前的后量子密碼算法每一類通常只能適用于一部分的應用場景，因而還需要為不同的金融應用場景選取最為合適的特定后量子密碼算法作為后續(xù)的更替算法，逐步完成算法選型和方案制定。

加密敏捷機制設計。在進行新系統(tǒng)開發(fā)時，兼容后量子密碼算法。在金融行業(yè)中，使用的密碼模塊以算法為單位提供接口，不同密碼算法的接口存在一定的差異。而如今，利用后量子密碼算法保障安全已是大勢所趨，因而在進行新系統(tǒng)研發(fā)時，應充分考慮后量子密碼算法的兼容性，為后量子密碼算法的引入預留足夠的字段空間，并根據(jù)實際情況對已有系統(tǒng)進行逐步改造，以便在未來存在后量子密碼算法實際應用的迫切需求時實現(xiàn)敏捷化的切換。

過渡期安全增強。采用“兩把鎖”的混合安全模式作為過渡階段的解決方案。目前，金融行業(yè)相關(guān)的密碼安全規(guī)范仍是國密SM系列算法，而為了保證金融強監(jiān)管的合規(guī)性要求以及后量子安全性要求，可以考慮“兩把鎖”的后量子增強方案。在保留現(xiàn)有國密SM算法體系不變的情況下，對金融數(shù)據(jù)進行第二道后量子加密，形成第二把后量子鎖，可在保證國內(nèi)密碼應用合規(guī)要求的前提下進一步增強后量子安全性。

總結(jié)與展望

量子計算的發(fā)展為金融行業(yè)的安全體系帶來了風險。為保護金融行業(yè)安全的根基，應當提前準備、部署后量子安全的密碼安全體系，以應對未來的安全威脅，幫助保障金融行業(yè)基礎(chǔ)設施的安全，保證金融行業(yè)的數(shù)據(jù)長效安全性。

一是對量子安全的現(xiàn)狀進行更為深入、系統(tǒng)的調(diào)研，盡快評估和梳理量子計算目前的發(fā)展速率對現(xiàn)有金融安全體系的威脅緊迫程度，幫助金融行業(yè)快速、準確地了解在哪個時間節(jié)點需要完成對于整個金融行業(yè)的密碼安全體系的升級與調(diào)整。

二是持續(xù)關(guān)注國內(nèi)外對于后量子密碼算法研究的發(fā)展。目前，國內(nèi)外對于后量子密碼標準的制定工作尚在進行階段，未來可能標準化的算法已初步顯現(xiàn)，應當對這些算法進行重點關(guān)注與分析，并為不同的金融場景測試挑選可使用的算法，以期在其完成標準化時，金融行業(yè)可以迅速地進行后量子密碼算法的遷移。

三是繼續(xù)收集和整理國外金融行業(yè)對于量子安全威脅的應對策略，并結(jié)合我國金融行業(yè)的實際情況，制定適合我們的針對性策略，為后續(xù)后量子遷移工作路線的制定提供參考和幫助，從安全性、效率性等方面不斷優(yōu)化和改進工作方案，為后量子遷移工作的順利開展提供指導性建議。