量子安全威脅及其對(duì)國(guó)內(nèi)金融 行業(yè)的影響研究報(bào)告 2024 年 北京金融科技產(chǎn)業(yè)聯(lián)盟

量子安全威脅及其對(duì)國(guó)內(nèi)金融行業(yè)的影響研究報(bào)告版權(quán)聲明本報(bào)告版權(quán)屬于北京金融科技產(chǎn)業(yè)聯(lián)盟，并受法律保護(hù)。轉(zhuǎn)載、編摘或利用其他方式使用本白皮書(shū)文字或觀點(diǎn)的，應(yīng)注明來(lái)源。違反上述聲明者，將被追究相關(guān)法律責(zé)任。I秦秦吳編委會(huì)成員：璐猛馬王超璐猛馬王超碩趙雪嬌趙雪嬌李向鋒編審：黃本濤王一多譚亦夫高文華姚文韜許錦標(biāo)侯君達(dá)康潔向玉峰吳永飛胡垚垚秘相友沈超建何慧蕓王彥博胡軍華牽頭編制單位：中國(guó)銀聯(lián)股份有限公司參編單位：中國(guó)工商銀行股份有限公司中國(guó)建設(shè)銀行股份有限公司本源量子計(jì)算科技（合肥）股份有限公司科大國(guó)盾量子技術(shù)股份有限公司中國(guó)農(nóng)業(yè)銀行股份有限公司華夏銀行股份有限公司浙商銀行股份有限公司北京銀聯(lián)金卡科技有限公司神州數(shù)碼信息服務(wù)集團(tuán)股份有限公司交通銀行股份有限公司中國(guó)郵政儲(chǔ)蓄銀行股份有限公司中金金融認(rèn)證中心有限公司北京數(shù)字認(rèn)證股份有限公司 （一）算力發(fā)展 3（二）算法發(fā)展 7 （一）對(duì)密碼體制的威脅 （二）對(duì)金融業(yè)務(wù)的影響 （一）通過(guò)強(qiáng)化或重構(gòu)密碼算法應(yīng)對(duì)量子安全威脅 （二）通過(guò)量子技術(shù)本身的特性應(yīng)對(duì)量子安全威脅 （三）綜合應(yīng)用抗量子密碼技術(shù)和量子密碼技術(shù) （四）各類應(yīng)對(duì)措施對(duì)比 1摘要：隨著量子技術(shù)的持續(xù)發(fā)展，給金融行業(yè)現(xiàn)有的安全加密系統(tǒng)帶來(lái)潛在威脅。為應(yīng)對(duì)量子安全威脅，本報(bào)告對(duì)于量子計(jì)算的發(fā)展現(xiàn)狀進(jìn)行了調(diào)研，研究了量子計(jì)算對(duì)現(xiàn)有密碼體制的威脅并結(jié)合金融業(yè)務(wù)密碼算法應(yīng)用情況分析總結(jié)了量子計(jì)算對(duì)國(guó)內(nèi)金融行業(yè)的影響性。同時(shí)，結(jié)合我國(guó)實(shí)際情況給出了面向國(guó)內(nèi)金融行業(yè)的量子安全威脅應(yīng)對(duì)策略。一、研究背景及意義量子計(jì)算是遵循量子力學(xué)規(guī)律調(diào)控量子信息單元進(jìn)行計(jì)算的新型計(jì)算模式。由于量子力學(xué)存在疊加性，使得量子計(jì)算機(jī)具有天然的并行計(jì)算能力，且具備指數(shù)級(jí)性能擴(kuò)展等理論優(yōu)勢(shì)，繼而可以帶來(lái)計(jì)算算力的顯著提升?，F(xiàn)如今，量子計(jì)算已成為計(jì)算技術(shù)研究的重點(diǎn)方向之一。自量子計(jì)算概念提出以來(lái)，大量研究機(jī)構(gòu)從量子算法的設(shè)計(jì)優(yōu)化與量子計(jì)算機(jī)硬件的研制建造等方面開(kāi)展深入研究，取得了豐富的研究成果。隨著量子計(jì)算技術(shù)的不斷發(fā)展，量子計(jì)算算力得以持續(xù)提升，為各行各業(yè)帶來(lái)性能優(yōu)化的同時(shí)，也對(duì)現(xiàn)今使用的密碼體系帶來(lái)安全威脅。在量子算法方面，Shor量子算法可以在多項(xiàng)式時(shí)間內(nèi)解決大整數(shù)分解問(wèn)題，使得經(jīng)典的非對(duì)稱密碼算法如RSA、SM2等在量子環(huán)境下不再安全；Grover量子搜索算法相較于經(jīng)典搜索算法在計(jì)算復(fù)雜度上可以獲得平方級(jí)加速，經(jīng)典的對(duì)稱密碼算法如AES、SM4及散列算法SHA-3、SM3等的安全強(qiáng)度在量子環(huán)境下將直接減半。若存在足夠規(guī)模的量子計(jì)算機(jī)來(lái)執(zhí)行以上密碼破解算法，將會(huì)對(duì)傳統(tǒng)密碼安全體制造成毀滅性的打擊。在量子計(jì)算機(jī)研制2方面，存在多種設(shè)計(jì)路線，包括超導(dǎo)、光量子、離子阱等，不同的設(shè)計(jì)路線各存優(yōu)劣，同步快速發(fā)展。雖然目前的量子計(jì)算機(jī)仍無(wú)法實(shí)現(xiàn)對(duì)經(jīng)典密碼算法的直接破解，但也已帶來(lái)巨大的潛在威脅，我們正面臨著愈發(fā)嚴(yán)峻的安全考驗(yàn)。深入研究分析量子計(jì)算發(fā)展對(duì)于現(xiàn)有傳統(tǒng)密碼體制的實(shí)際影響情況并尋找相應(yīng)的應(yīng)對(duì)方案是當(dāng)務(wù)之急。在金融行業(yè)中，使用了大量的傳統(tǒng)密碼算法來(lái)保證數(shù)據(jù)及用戶使用的安全性，當(dāng)傳統(tǒng)密碼體制不再安全，金融行業(yè)的信息安全將同樣受到影響。逐步提升現(xiàn)有密碼體系的安全性，將其改造為可以抵抗量子攻擊的密碼安全體系勢(shì)在必行。然而，在改造的過(guò)程中對(duì)于現(xiàn)有系統(tǒng)的使用是否存在影響、改造后的系統(tǒng)在性能上是否會(huì)與現(xiàn)有系統(tǒng)存在差異，這需要我們提前分析及考慮。因此，對(duì)于整個(gè)金融特有的密碼安全系統(tǒng)來(lái)說(shuō)，除了分析密碼體制本身帶來(lái)的安全性問(wèn)題，還需要分析討論在后續(xù)改造升級(jí)過(guò)程中可能帶來(lái)的其他影響。在量子計(jì)算的沖擊下，如何繼續(xù)保證金融行業(yè)數(shù)據(jù)的長(zhǎng)期安全是重中之重。此研究旨在對(duì)目前金融行業(yè)所受到的量子計(jì)算威脅進(jìn)行影響性評(píng)估，幫助金融行業(yè)充分了解量子計(jì)算的發(fā)展對(duì)行業(yè)現(xiàn)在及未來(lái)可能造成的影響，從而了解目前我們所面臨的形勢(shì)。同時(shí)探討我們可以通過(guò)哪些方式合理、適時(shí)、有效地渡過(guò)量子計(jì)算發(fā)展帶來(lái)的安全危機(jī)，幫助我們制定更為科學(xué)、高效的安全體系升級(jí)計(jì)劃。二、量子計(jì)算發(fā)展現(xiàn)狀及趨勢(shì)對(duì)于量子計(jì)算技術(shù)的研究主要分為兩個(gè)方面，一是對(duì)量子計(jì)3算機(jī)硬件的研制和建造，二是對(duì)量子算法的設(shè)計(jì)和優(yōu)化。此二者相輔相成，推動(dòng)著量子計(jì)算技術(shù)的快速發(fā)展。由于構(gòu)建量子比特的方式不同，量子計(jì)算機(jī)的設(shè)計(jì)路線也不盡相同且各存優(yōu)劣。截至目前，各設(shè)計(jì)路線尚未統(tǒng)一，可能的商業(yè)化路線仍不明確。在本節(jié)中，將先對(duì)量子計(jì)算機(jī)性能評(píng)價(jià)指標(biāo)進(jìn)行介紹，再闡述不同量子計(jì)算機(jī)設(shè)計(jì)路線的原理及發(fā)展情況。1.量子計(jì)算機(jī)評(píng)估指標(biāo)衡量量子計(jì)算機(jī)的性能有不同維度的多種指標(biāo)，主要包括：量子比特?cái)?shù)：用于衡量量子計(jì)算機(jī)可以同時(shí)操控的最大量子比特?cái)?shù)量，其大小決定了量子計(jì)算機(jī)能夠編碼和處理的問(wèn)題規(guī)模。門(mén)保真度：用于衡量在噪聲環(huán)境下利用實(shí)際量子處理器得到的計(jì)算結(jié)果與經(jīng)過(guò)理想量子門(mén)操作得到結(jié)果之間的偏差大小。保真度的數(shù)值越高，代表量子處理器的偏差越小，其計(jì)算結(jié)果越準(zhǔn)相干性：用于衡量量子比特保持量子態(tài)和耦合態(tài)的能力，通過(guò)相干時(shí)間的長(zhǎng)短來(lái)表示。相干性越差，量子態(tài)保持時(shí)間越短，量子比特越快失去量子計(jì)算的能力，將限制量子處理器可以執(zhí)行的算法的復(fù)雜程度。邏輯連通性：用于衡量量子計(jì)算機(jī)中任意一對(duì)量子比特實(shí)現(xiàn)雙量子比特門(mén)的能力。邏輯聯(lián)通性越有限，為了模擬更大的聯(lián)通性就需要在算法中增加越多的邏輯交換運(yùn)算，從而可能導(dǎo)致更大的噪聲和誤差?？蓴U(kuò)展性：用于衡量量子計(jì)算機(jī)架構(gòu)是否能擴(kuò)展到大規(guī)模的4量子比特?cái)?shù)量。除此之外，量子計(jì)算機(jī)的邏輯門(mén)執(zhí)行速度、量子體積、圖靈完備性、云訪問(wèn)性等也都是評(píng)估量子計(jì)算機(jī)性能的參考指標(biāo)。2.量子計(jì)算機(jī)設(shè)計(jì)技術(shù)路線超導(dǎo)量子計(jì)算機(jī)的核心是基于Josephson結(jié)的Cooper對(duì)制造量子比特，其優(yōu)勢(shì)在于易操控、易測(cè)量、易擴(kuò)展，更容易構(gòu)成大規(guī)模的、量子比特?cái)?shù)更多的量子計(jì)算機(jī)，其劣勢(shì)在于易受磁場(chǎng)等環(huán)境影響而導(dǎo)致退相干時(shí)間較短，從而限制可執(zhí)行計(jì)算任務(wù)的復(fù)雜度。目前，超導(dǎo)技術(shù)是最具競(jìng)爭(zhēng)力的通用量子計(jì)算機(jī)設(shè)計(jì)路線之一，主要的研究公司包括IBM、Google、Rigetti、本源量子、國(guó)盾量子等。截至目前，具備量子比特?cái)?shù)最多的是IBM在2023年12月發(fā)布的具有1121量子比特的量子處理器Condor，國(guó)內(nèi)的中國(guó)科學(xué)院量子信息與量子科技創(chuàng)新研究院于2024年4月發(fā)布504比特超導(dǎo)量子計(jì)算芯片“驍鴻”。（2）光量子計(jì)算機(jī)光量子計(jì)算機(jī)利用光子來(lái)充當(dāng)量子，將光的偏振態(tài)編碼為量子比特的基態(tài)并通過(guò)線性光學(xué)元件來(lái)處理量子信息。由于光子受環(huán)境影響小，其優(yōu)勢(shì)在于相干時(shí)間長(zhǎng)，同時(shí)光子的多自由度特性可以在更少光子數(shù)量下實(shí)現(xiàn)較多的量子比特。但是光子的相互作用微弱，構(gòu)建雙量子比特門(mén)、實(shí)現(xiàn)邏輯運(yùn)算是此設(shè)計(jì)路線中的技術(shù)難點(diǎn)。光量子路線也是目前備受關(guān)注的技術(shù)路線之一，主要的研究機(jī)構(gòu)與公司有中科大、Xanadu等。中科大的“九章三號(hào)”光量子計(jì)算機(jī)以及Xanadu研制的Borealis光量子計(jì)算機(jī)均在解決高5斯玻色采樣問(wèn)題上展現(xiàn)了光量子的計(jì)算優(yōu)越性。（3）離子阱量子計(jì)算機(jī)離子阱量子計(jì)算機(jī)利用電磁場(chǎng)將離子束縛在特定區(qū)域內(nèi)，通過(guò)激光或微波操縱囚禁離子的兩個(gè)內(nèi)能級(jí)實(shí)現(xiàn)量子計(jì)算。離子阱的運(yùn)算更不容易出錯(cuò)，單個(gè)量子比特的相干性優(yōu)于超導(dǎo)量子比特，相較光量子技術(shù)具有天然的邏輯聯(lián)通優(yōu)勢(shì)。然而，由于離子阱中可容納的量子比特?cái)?shù)有限，其劣勢(shì)在于可擴(kuò)展性較差，難以達(dá)到高數(shù)量的量子比特?cái)?shù)。Quantinuum、IonQ以及國(guó)內(nèi)的啟科量子主要關(guān)注于此技術(shù)路線。截至目前，Quantinuum給出了最高的56比特的離子阱量子比特處理器H2-1，其兩量子比特門(mén)保真度達(dá)到了99.843%。離子阱技術(shù)也是通用量子計(jì)算機(jī)研制的另一有力競(jìng)除此之外，量子計(jì)算機(jī)的其他設(shè)計(jì)路線主要還有硅半導(dǎo)體、中性原子、冷原子、核磁共振、拓?fù)淞孔佑?jì)算等，各類科研機(jī)構(gòu)與公司積極參與研究，取得了豐富的研究成果。3.技術(shù)路線對(duì)比及發(fā)展趨勢(shì)從量子計(jì)算機(jī)性能發(fā)展看，正如此前介紹，衡量量子計(jì)算機(jī)的性能有不同維度的多種指標(biāo)，而其中量子比特?cái)?shù)無(wú)疑是其中重要的一個(gè)。2016年，IBM將第一臺(tái)可實(shí)驗(yàn)的量子計(jì)算機(jī)放在云上——這是一臺(tái)具有5個(gè)量子比特的設(shè)備。到2023年12月，IBM制造出了迄今全球最大量子計(jì)算機(jī)“禿鷹”（Condor），其擁有1121個(gè)量子比特。2023年6月，中國(guó)科學(xué)技術(shù)大學(xué)“祖沖之號(hào)”研發(fā)團(tuán)隊(duì)在原“祖沖之號(hào)”66比特芯片基礎(chǔ)上加以提升，新增了110個(gè)耦6合比特的控制接口。2024年4月中國(guó)科學(xué)院量子信息與量子科技國(guó)內(nèi)外量子計(jì)算機(jī)量子比特?cái)?shù)的發(fā)展情況總體如表1所示：2NMR7NMRLosAlamosNationalLaNMR量子計(jì)算機(jī)的不同設(shè)計(jì)技術(shù)路線在不同的性能參數(shù)上各有優(yōu)劣。例如，超導(dǎo)路線目前實(shí)現(xiàn)的量子比特?cái)?shù)多于其他路線，而7離子阱路線在保真度與相干時(shí)間上等指標(biāo)上占優(yōu)，在評(píng)價(jià)量子計(jì)算機(jī)的具體性能時(shí)需要從多個(gè)角度進(jìn)行綜合考量，各主要技術(shù)路線的性能對(duì)比如表2所示。然而，各技術(shù)路線均存在一些技術(shù)難點(diǎn)需要攻關(guān)與突破，仍待進(jìn)一步研究與優(yōu)化。強(qiáng)弱Xanadu，中當(dāng)前，量子計(jì)算的發(fā)展已有四十多年的歷史，伴隨著量子算法的發(fā)展，逐漸體現(xiàn)了量子計(jì)算機(jī)的強(qiáng)大優(yōu)勢(shì)。在本節(jié)中，首先介紹量子算法發(fā)展的總體歷程，再對(duì)各類量子算法的發(fā)展及其應(yīng)用進(jìn)行展開(kāi)介紹。1.量子算法發(fā)展歷程從量子算法發(fā)展的角度看，大致可以分為三個(gè)階段。（1）理論提出及探索階段(1980-1994)1985年，英國(guó)牛津大學(xué)教授DavidDeutsch首次提出了量子圖靈機(jī)模型，并設(shè)計(jì)了第一個(gè)量子算法Deutsch算法。1992年，8Deutsch-Jozsa算法，首次很好地體現(xiàn)了量子計(jì)算優(yōu)勢(shì)。此后，Bernstein和Vazirani基于D-J算法設(shè)計(jì)了可有效地解決詢問(wèn)量子數(shù)據(jù)庫(kù)問(wèn)題的B-V算法，為后續(xù)Shor、Grover等量子算法的設(shè)計(jì)奠定了基礎(chǔ)。（2）通用量子算法發(fā)展階段(1994-2009)年，美國(guó)貝爾實(shí)驗(yàn)室的PeterShor提出了Shor算法，從理論上展示了量子計(jì)算機(jī)能夠把大整數(shù)分解等問(wèn)題的求解時(shí)間從指數(shù)時(shí)間復(fù)雜度降到多項(xiàng)式時(shí)間復(fù)雜度，對(duì)傳統(tǒng)非對(duì)稱密碼算法RSA、ECC等帶來(lái)巨大威脅。1996年，LovGrover提出了Grover量子搜索算法，它解決的是無(wú)序數(shù)據(jù)集搜索問(wèn)題，也是第一個(gè)被完整AvinatanHassidim和SethLloyd聯(lián)合開(kāi)發(fā)了HHL算法，它可用于求解線性方程組，相比經(jīng)典算法可達(dá)到指數(shù)級(jí)加速。（3）專用量子算法繁榮階段(2009-至今)從2009年開(kāi)始，以谷歌、IBM為代表的一些企業(yè)，開(kāi)始把規(guī)?；孔佑?jì)算機(jī)的工程化作為主要的發(fā)展方向。在現(xiàn)階段圖靈完備的通用量子計(jì)算機(jī)規(guī)模化還未達(dá)到足夠大的情形下，很多科學(xué)家轉(zhuǎn)而研究非圖靈完備的專用量子計(jì)算架構(gòu)，可以在一些專業(yè)領(lǐng)域，解決某種特定類型的問(wèn)題。在此過(guò)程中，很多專用的量子算法出現(xiàn)了。其中包括一些優(yōu)化的算法，如變分量子特征值求解算法、量子近似優(yōu)化算法等；還有一些采樣的算法，包括玻色采樣、量子隨機(jī)游走等算法，此9外還有美國(guó)斯坦福大學(xué)提出的CIM相干伊辛機(jī)、以D-Wave公司為代表的量子退火算法等。2.各類量子算法的發(fā)展與應(yīng)用基于量子算法發(fā)展歷程，可見(jiàn)量子算法主要分為通用量子算法和專用量子算法，下面將重點(diǎn)介紹一些通用量子算法的發(fā)展及應(yīng)用，并簡(jiǎn)要介紹專用量子算法的發(fā)展和相關(guān)應(yīng)用。（1）通用量子算法的發(fā)展和應(yīng)用量子計(jì)算領(lǐng)域最著名的兩個(gè)算法是Shor算法和Grover算法。運(yùn)用Shor算法求解整數(shù)因子分解問(wèn)題是量子計(jì)算機(jī)最早的應(yīng)用中p和q均為素?cái)?shù)，求解p和q。經(jīng)典算法求解該問(wèn)題的最優(yōu)時(shí)2im))，而Shor算法求解該問(wèn)題的時(shí)間復(fù)雜度僅為0hm，極大地提升了求解問(wèn)題的效率，使得在足夠的量子比特下，攻破整數(shù)分解問(wèn)題成為可能，基于整數(shù)分解問(wèn)題設(shè)計(jì)的RSA算法將不再安全。Shor算法的核心是周期查找，可以歸約為交換群的隱藏子群?jiǎn)栴}?；惴梢员煌茝V用于求解不同的困難問(wèn)題。例如可以在多項(xiàng)式時(shí)間內(nèi)求解離散對(duì)數(shù)問(wèn)題、橢圓曲線上的離散對(duì)數(shù)問(wèn)題、主理想問(wèn)題等。而基于這些困難問(wèn)題的密碼算法都將隨著量子計(jì)算機(jī)的發(fā)展變得不再安全或者安全性降低，如基于離散對(duì)數(shù)的DSA、Diffie-Hellman算法，基于橢圓曲線離散對(duì)數(shù)的ECDH、ECDSA算法，基于主理想的Buchmann-Williams密鑰交換系統(tǒng)等。目前，Shor算法的發(fā)展越來(lái)越成熟，研究者們主要通過(guò)對(duì)量子比特?cái)?shù)或者量子門(mén)深度的優(yōu)化改進(jìn)。具體進(jìn)展見(jiàn)表3。3Grover算法主要利用振幅放大對(duì)無(wú)結(jié)構(gòu)數(shù)據(jù)進(jìn)行搜索，可實(shí)現(xiàn)對(duì)經(jīng)典搜索效率的二次加速。在金融互聯(lián)網(wǎng)行業(yè)處理大規(guī)模數(shù)算法可以提高密碼破譯效率，對(duì)密碼安全性將構(gòu)成潛在威脅。對(duì)于對(duì)稱密碼算法，其安全強(qiáng)度將從0(2n)次經(jīng)典搜索降低至n/2次量子搜索；對(duì)于散列算法，其安全強(qiáng)度將從02n次經(jīng)對(duì)稱密碼算法以及散列算法都需要增大密鑰或散列值規(guī)模才能保證原有的安全強(qiáng)度。除此之外，其他量子算法如Simon算法、B-V算法也被嘗試用于對(duì)現(xiàn)有密碼體系攻擊的加速。Simon算法可用于尋找一些函數(shù)中的隱藏周期，主要可應(yīng)用于加速對(duì)稱密碼中周期的查找問(wèn)題；B-V算法能夠用于求解一個(gè)布爾函數(shù)的線性結(jié)構(gòu)，可被用于恢復(fù)分組密碼的密鑰。近幾年來(lái)，許多研究工作都將上述量子算法與經(jīng)典密碼分析方法進(jìn)行組合使用，從而在密碼分析中實(shí)現(xiàn)更高效的量子攻擊。Simon-meet-Kuperberg、Grover-meet-Kuperberg等組合量子算法；Grover算法、B-V算法與經(jīng)典查分攻設(shè)計(jì)量子算法來(lái)尋找S盒的差分特征，從而加速了差分尋找階段。Zhou等研究在獲得差分特征之后利用Grover量子搜索算法和量子計(jì)數(shù)算法對(duì)經(jīng)典差分攻擊實(shí)現(xiàn)二次加速，從而更高效地確定子密鑰值。2019年Bonnetain等提出了量子平方攻擊(或積分攻擊)，這兩種量子攻擊技術(shù)分別是在經(jīng)典線性分析和經(jīng)典平方攻擊的基礎(chǔ)上，將搜索部分用Grover算法來(lái)完成，從而實(shí)現(xiàn)攻擊加速。（2）專用量子算法的發(fā)展和應(yīng)用量子近似優(yōu)化算法（QAOA）是可以在近期量子計(jì)算機(jī)上實(shí)現(xiàn)的算法之一，被認(rèn)為是最有希望展示量子優(yōu)勢(shì)的算法之一。QAOA最早由Farhi等人于2014年提出，在2018年，Rigettia公司比較了處理最大分割問(wèn)題的G-W算法和QAOA的性能差異，提供的超導(dǎo)量子比特芯片上直接運(yùn)行了作業(yè)車(chē)間調(diào)度問(wèn)題算法。毫無(wú)疑問(wèn)，QAOA已經(jīng)引起了很多人的關(guān)注，QAOA的理論和實(shí)驗(yàn)實(shí)施也將會(huì)不斷完善。三、量子計(jì)算對(duì)金融行業(yè)的安全威脅及其影響性分析密碼體制的安全是保障金融行業(yè)信息安全的基礎(chǔ)，量子計(jì)算的發(fā)展給現(xiàn)有的傳統(tǒng)密碼體制帶來(lái)了安全威脅，自然也將影響到金融行業(yè)的整體安全。本章中將先分析量子計(jì)算發(fā)展對(duì)現(xiàn)有密碼體制的威脅情況，再針對(duì)金融行業(yè)不同場(chǎng)景，分析其受量子計(jì)算威脅的影響性。（一）對(duì)密碼體制的威脅密碼算法可用于實(shí)現(xiàn)身份認(rèn)證、訪問(wèn)控制、抗抵賴等基礎(chǔ)功能，并確保重要數(shù)據(jù)的機(jī)密性和完整性保護(hù)，避免數(shù)據(jù)泄露或篡改。傳統(tǒng)密碼體制的安全性是由經(jīng)典計(jì)算環(huán)境下密碼攻擊方法的高復(fù)雜性、有限時(shí)間內(nèi)不可完成性保證的。現(xiàn)如今，量子計(jì)算發(fā)展帶來(lái)的算力提升使得一些針對(duì)性量子算法破解現(xiàn)有密碼體制的可能性逐漸提升。在本節(jié)中，將闡述量子計(jì)算發(fā)展對(duì)密碼體制帶來(lái)的威脅。密碼算法可分為對(duì)稱密碼算法、非對(duì)稱密碼算法及散列算法三類，具體如下：對(duì)稱密碼算法：加密與解密運(yùn)算使用相同的密鑰，主要用于敏感數(shù)據(jù)的加密傳輸及存儲(chǔ)，防止數(shù)據(jù)明文泄露。非對(duì)稱密碼算法：使用不同密鑰進(jìn)行加解密運(yùn)算，包括可公開(kāi)的公鑰、需保密的私鑰；使用公鑰加密的數(shù)據(jù)只能由對(duì)應(yīng)的私鑰解密，反之亦然。非對(duì)稱密碼算法除了用于數(shù)據(jù)加密外，還可用于密鑰交換，以及業(yè)務(wù)數(shù)據(jù)的簽名驗(yàn)簽，以實(shí)現(xiàn)數(shù)據(jù)防篡改及抗抵賴功能。散列算法：又稱為哈希算法、雜湊函數(shù)等，可將任意長(zhǎng)度的數(shù)據(jù)轉(zhuǎn)換為獨(dú)有的固定長(zhǎng)度數(shù)據(jù)（一般稱為“消息摘要”），可用來(lái)檢測(cè)原始數(shù)據(jù)是否被篡改。散列算法可配合非對(duì)稱密碼算法提升簽名驗(yàn)簽的計(jì)算效率，即先對(duì)較長(zhǎng)的業(yè)務(wù)數(shù)據(jù)計(jì)算出較短的散列值，然后使用非對(duì)稱密碼算法對(duì)散列值進(jìn)行簽名。對(duì)稱密碼算法與散列算法一般通過(guò)字符替換、移位等復(fù)雜的算法結(jié)構(gòu)將明文轉(zhuǎn)換為密文，其安全性依賴算法結(jié)構(gòu)的設(shè)計(jì)。而非對(duì)稱密碼算法是基于大整數(shù)分解、離散對(duì)數(shù)等數(shù)學(xué)難題設(shè)計(jì)，其安全性依賴相關(guān)數(shù)學(xué)難題是否存在高效的解決方法。密碼算法的安全性可以用安全強(qiáng)度來(lái)衡量，N位安全強(qiáng)度表位及以上強(qiáng)度的算法被認(rèn)為是安全的。當(dāng)前常見(jiàn)密碼算法的安全強(qiáng)度如表4所示：（位）（非HMAC場(chǎng)景）2.量子計(jì)算威脅分析量子計(jì)算機(jī)攻破密碼算法需要同時(shí)具備2個(gè)條件：一是利用量子力學(xué)原理降低密碼破解復(fù)雜度的量子算法，二是具備足夠算力的大型量子計(jì)算機(jī)。目前來(lái)看，第一個(gè)條件已經(jīng)具備，第二個(gè)條件預(yù)估2037年以后可能具備。整體來(lái)看，量子計(jì)算對(duì)非對(duì)稱密碼算法存在較明確的威脅，而對(duì)于對(duì)稱密碼算法和散列算法，量子計(jì)算的威脅較為有限。目前業(yè)界已出現(xiàn)可威脅非對(duì)稱密碼算法安全性的量子算法Shor算法，并預(yù)計(jì)在2037年以后可能研制出具備足夠算力的量子計(jì)算機(jī)，從而攻破非對(duì)稱密碼算法。Shor算法將大數(shù)分解等數(shù)學(xué)難題的破解過(guò)程轉(zhuǎn)化為求某個(gè)函數(shù)的周期，由于量子環(huán)境下可高效實(shí)現(xiàn)量子傅里葉變換，從而將解決此類數(shù)學(xué)問(wèn)題的復(fù)雜度從經(jīng)典環(huán)境最優(yōu)算法的指數(shù)級(jí)log(logh))，進(jìn)而威脅基于相關(guān)數(shù)學(xué)問(wèn)題設(shè)計(jì)的非對(duì)稱密碼算法（RSA、DH、ECDSA、SM2等）。目前已基于Shor算法實(shí)現(xiàn)15=3*5、21=3*7的分解，證明了可行性。運(yùn)用經(jīng)典算法與Shor算法破解RSA算法的復(fù)雜度比較如表5中所示。以RSA-2048算法為例，經(jīng)典電子計(jì)算機(jī)的最佳破解算法大致需要6.8*1051次運(yùn)算，而量子計(jì)算環(huán)境下的Shor算法僅需約1.6*108次運(yùn)算，破解效率大約提升4.2*1043倍，且破解效率倍數(shù)會(huì)隨著密鑰長(zhǎng)度增加而提升。對(duì)于密鑰長(zhǎng)度從2048提升到3072，經(jīng)典算法破解難度大約提升了38億倍，而Shor算法破解復(fù)雜度僅上升了2倍。因此，提升非對(duì)稱算法密鑰長(zhǎng)度可以抵御經(jīng)典電子計(jì)算機(jī)+經(jīng)典算法攻擊，但不能抵御量子計(jì)算機(jī)+Shor算法攻擊。教授分別預(yù)估了Shor算法破解RSA、ECC的成本，如表6、表7所示。對(duì)RSA-2048算法的破解，大約需要2000萬(wàn)量子比特（或8臺(tái)400萬(wàn)量子比特的計(jì)算機(jī)耗時(shí)幾小時(shí)內(nèi)完成；對(duì)于ECC-256算法屬于ECC類別，強(qiáng)度與ECC-256相當(dāng)，可以認(rèn)為破解SM2所需資源與ECC-256是同一量級(jí)。當(dāng)前通用可編程量子計(jì)算機(jī)的最大量子比特?cái)?shù)還不到1000，還遠(yuǎn)不能破解非對(duì)稱密碼算法。對(duì)于量子計(jì)算機(jī)何時(shí)可破解主流非對(duì)稱密碼算法，學(xué)術(shù)界把量子計(jì)算發(fā)展劃分為三個(gè)階段，認(rèn)為2037年以后可能進(jìn)入第3個(gè)階段，從而能在經(jīng)典密碼算法破解、大數(shù)據(jù)人工智能等領(lǐng)域發(fā)揮巨大作用。知名量子計(jì)算專家MicheleMosca教授于2022年對(duì)全球14個(gè)國(guó)家的40位量子計(jì)算專家進(jìn)行了調(diào)研，結(jié)果顯示7成以上專家認(rèn)為2037年以抗量子計(jì)算有可能破解RSA-2048算法，2成專家認(rèn)為2032-2037年有可能破解。（2）對(duì)稱密碼算法和散列算法威脅分析當(dāng)前業(yè)界已有Grover量子算法可提高破解對(duì)稱密碼算法和散列算法的計(jì)算速度，但破解所需的算力仍然過(guò)高，業(yè)界尚缺少出現(xiàn)相應(yīng)量子計(jì)算機(jī)的時(shí)間預(yù)估，因此整體上威脅有限。Grover算法是一種量子隨機(jī)搜索算法，可將經(jīng)典計(jì)算機(jī)N次的搜索次數(shù)降低為N次，因此應(yīng)用Grover算法通過(guò)窮舉方式破解對(duì)稱密碼算法和散列算法，理論上量子計(jì)算機(jī)只需要2N/2次嘗試，即將密碼算法安全強(qiáng)度降低為經(jīng)典計(jì)算機(jī)環(huán)境的一半，在實(shí)際應(yīng)用中大約平均降低1/3-1/4。由于降低后仍為指數(shù)級(jí)，因此威脅遠(yuǎn)不如Shor算法。另外，攻擊須串聯(lián)執(zhí)行并需要指數(shù)級(jí)內(nèi)存，無(wú)法采取集群并行計(jì)算，目前來(lái)看還不能非常顯著地提升破解密碼的效率。NIST認(rèn)為，除非量子計(jì)算機(jī)的發(fā)展超過(guò)預(yù)期，否則AES-128在未來(lái)數(shù)十年是安全的，同時(shí)AES-192已達(dá)到窮舉攻擊的上限，在可預(yù)見(jiàn)的未來(lái)是安全的。未來(lái)可以通過(guò)增加密鑰長(zhǎng)度、散列值長(zhǎng)度的方式來(lái)進(jìn)一步提升安全強(qiáng)度。2021年，MicheleMosca教授團(tuán)隊(duì)預(yù)估了破解成本，如表8所示，即使在40億物理量子比特下，AES-128仍有98bits的安全可以認(rèn)為受Grover算法影響基本相當(dāng)。（億）目前學(xué)術(shù)界和產(chǎn)業(yè)界尚沒(méi)有研制出數(shù)十億量子比特計(jì)算機(jī)的時(shí)間點(diǎn)預(yù)估。因此，當(dāng)前認(rèn)為除非量子計(jì)算機(jī)的發(fā)展遠(yuǎn)超過(guò)預(yù)期，否則128位強(qiáng)度的對(duì)稱密碼算法、散列算法可以抵御目前可預(yù)見(jiàn)的量子計(jì)算攻擊。綜上所述，結(jié)合目前對(duì)于量子計(jì)算機(jī)發(fā)展趨勢(shì)的跟蹤以及目前外界的研究結(jié)果，Shor算法對(duì)于現(xiàn)有RSA、ECC算法的影響相對(duì)較大，未來(lái)可能出現(xiàn)可破解算法，但是實(shí)際可能的影響出現(xiàn)SM3等算法的安全強(qiáng)度減半，但是結(jié)合實(shí)際的實(shí)現(xiàn)情況Grover算法對(duì)于AES的影響性暫時(shí)也低于預(yù)期。由于量子計(jì)算機(jī)的發(fā)展情況仍存在很大的不確定性，對(duì)于安全時(shí)間的預(yù)估也會(huì)隨之變化，需要持續(xù)跟蹤量子計(jì)算技術(shù)發(fā)展，動(dòng)態(tài)評(píng)估其對(duì)密碼算法的影響。（二）對(duì)金融業(yè)務(wù)的影響對(duì)于金融行業(yè)中的不同應(yīng)用場(chǎng)景，由于所使用的密碼體制不同，其受量子計(jì)算影響的程度對(duì)應(yīng)存在差異；由于場(chǎng)景特點(diǎn)不同，其所面臨的安全影響性、未來(lái)改造難度、系統(tǒng)升級(jí)影響性也各不相同。因而，在進(jìn)行全面安全體系改造前仍需更加深入地研究量子計(jì)算發(fā)展對(duì)當(dāng)前金融行業(yè)不同應(yīng)用場(chǎng)景下密碼安全體系的影響性，以此幫助金融行業(yè)進(jìn)一步認(rèn)識(shí)量子安全威脅。在本節(jié)中，將梳理金融業(yè)務(wù)密碼算法應(yīng)用現(xiàn)狀，分析不同特點(diǎn)業(yè)務(wù)場(chǎng)景受影響情況，并針對(duì)現(xiàn)有主要受威脅場(chǎng)景及威脅程度展開(kāi)分析。1.金融業(yè)務(wù)密碼算法應(yīng)用現(xiàn)狀基于應(yīng)用場(chǎng)景安全保護(hù)目的的不同，可將其主要可分為數(shù)據(jù)加解密、簽名驗(yàn)簽、完整性校驗(yàn)等。其中，數(shù)據(jù)加解密還可細(xì)分為數(shù)據(jù)傳輸加密及數(shù)據(jù)存儲(chǔ)加密。除此之外，近年來(lái)也出現(xiàn)了如區(qū)塊鏈、隱私計(jì)算等新興的場(chǎng)景，同樣利用大量密碼算法來(lái)保護(hù)其中數(shù)據(jù)與信息的安全。各類場(chǎng)景中密碼算法應(yīng)用現(xiàn)狀如下：敏感信息在傳輸?shù)倪^(guò)程中可以使用對(duì)稱密碼算法或非對(duì)稱密碼算法進(jìn)行加解密。若使用非對(duì)稱密碼算法，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，接收方使用私鑰對(duì)加密數(shù)據(jù)進(jìn)行解密，且若對(duì)雙向的數(shù)據(jù)傳輸均提供保護(hù)的話，需要用到兩對(duì)公私鑰。密碼算法的不安全可能導(dǎo)致加密密鑰泄漏等安全問(wèn)題。典型應(yīng)用場(chǎng)景包含跨行清算、支付等系統(tǒng)中的文件密鑰加密、敏感數(shù)據(jù)加密密鑰加密等。若使用對(duì)稱密碼算法，通信雙方協(xié)商出來(lái)的相同密鑰進(jìn)行加解密交換，通常采用分組密碼算法，在對(duì)待加密數(shù)據(jù)進(jìn)行數(shù)據(jù)分組填充后進(jìn)行分組加密計(jì)算。密碼算法的不安全可能導(dǎo)致敏感信息泄漏等安全問(wèn)題。典型場(chǎng)景包含跨行清算、支付等系統(tǒng)中的敏感數(shù)據(jù)加密、文件加密等。金融機(jī)構(gòu)信息系統(tǒng)對(duì)存儲(chǔ)在磁帶、磁盤(pán)、數(shù)據(jù)庫(kù)等存儲(chǔ)介質(zhì)中，涉及敏感的認(rèn)證信息、業(yè)務(wù)數(shù)據(jù)采用對(duì)稱密碼算法、非對(duì)稱密碼算法、散列算法等實(shí)現(xiàn)敏感數(shù)據(jù)的加密存儲(chǔ)。密碼算法的不安全可能導(dǎo)致敏感信息泄漏等安全問(wèn)題。（2）數(shù)字簽名數(shù)字簽名主要應(yīng)用非對(duì)稱密碼算法及散列算法完成。發(fā)送方用私鑰進(jìn)行數(shù)字簽名，接收方用經(jīng)過(guò)鑒別的發(fā)送方公鑰來(lái)驗(yàn)證簽名的真實(shí)性，并通過(guò)正確使用密鑰管理規(guī)則來(lái)確保私鑰的機(jī)密性和私鑰、公鑰的完整性及真實(shí)性。密碼算法的不安全可能導(dǎo)致偽造簽名、交易內(nèi)容篡改等安全問(wèn)題。典型應(yīng)用場(chǎng)景包含身份認(rèn)證、數(shù)字證書(shū)、金融IC卡交易的脫機(jī)數(shù)據(jù)認(rèn)證等。（3）完整性校驗(yàn)完整性校驗(yàn)可以利用對(duì)稱密碼算法或散列算法進(jìn)行實(shí)現(xiàn)。使用對(duì)稱密碼算法進(jìn)行消息完整性驗(yàn)證（MAC計(jì)算過(guò)程不需要可逆，只要單向函數(shù)加密。接收方利用相同的密鑰與算法對(duì)消息進(jìn)行MAC計(jì)算，通過(guò)比較MAC值來(lái)驗(yàn)證消息的完整性?；谏⒘兴惴ǖ南⑼暾则?yàn)證（HMAC）是一個(gè)不可逆的單向函數(shù)加密過(guò)程。接收方使用相同的密鑰與算法對(duì)消息進(jìn)行HMAC計(jì)算，通過(guò)比較HMAC值來(lái)驗(yàn)證消息的完整性。密碼算法的不安全可能導(dǎo)致交易內(nèi)容篡改等安全問(wèn)題。典型應(yīng)用場(chǎng)景包含銀行卡跨行交易報(bào)文MAC計(jì)算等。在區(qū)塊鏈技術(shù)中，區(qū)塊鏈的地址、公鑰私鑰、錢(qián)包管理等都和數(shù)字簽名算法相關(guān)，使用了數(shù)字簽名算法ECDSA等保證了使用者身份的不可偽造性。對(duì)于區(qū)塊鏈上的每個(gè)區(qū)塊，都利用散列算法來(lái)保護(hù)區(qū)塊數(shù)據(jù)、交易數(shù)據(jù)內(nèi)容的不可篡改性。密碼算法的不安全可能導(dǎo)致身份偽造、數(shù)據(jù)篡改等安全問(wèn)題。隱私計(jì)算技術(shù)中尤其是安全多方計(jì)算、聯(lián)邦學(xué)習(xí)中大量使用了經(jīng)典非對(duì)稱密碼算法如RSA算法、ECDSA算法等。例如，安全多方計(jì)算經(jīng)典技術(shù)不經(jīng)意傳輸協(xié)議、混淆電路的實(shí)現(xiàn)中，需要利用上述經(jīng)典非對(duì)稱密碼算法進(jìn)行實(shí)現(xiàn)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?。密碼算法的不安全可能導(dǎo)致數(shù)據(jù)泄露等安全問(wèn)題?？傮w來(lái)說(shuō)，由于量子計(jì)算對(duì)于非對(duì)稱密碼體系的影響更大，因而應(yīng)用此類密碼算法的密鑰交換、數(shù)字簽名、身份認(rèn)證等場(chǎng)景更受影響，而應(yīng)用對(duì)稱密碼或散列算法的場(chǎng)景如數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)等受影響相對(duì)較小。2.金融業(yè)務(wù)場(chǎng)景受影響情況對(duì)于不同特點(diǎn)的金融業(yè)務(wù)場(chǎng)景，其受量子計(jì)算的影響程度也不盡相同，可從以下三個(gè)主要的維度對(duì)其進(jìn)行分類分析：（1）應(yīng)用場(chǎng)景所保護(hù)數(shù)據(jù)及信息的時(shí)效性從各場(chǎng)景下所保護(hù)數(shù)據(jù)及信息的時(shí)效性角度，我們可以將其簡(jiǎn)單分為單次有效及長(zhǎng)期有效。單次有效：在此類場(chǎng)景中，由于數(shù)據(jù)及信息在使用過(guò)后就不再具有意義，如果遭到破解，攻擊者也無(wú)法利用獲取的數(shù)據(jù)及信息進(jìn)行后續(xù)的破壞活動(dòng)。因而此類場(chǎng)景下，所受量子計(jì)算影響較長(zhǎng)期有效：對(duì)于包含長(zhǎng)期有效的數(shù)據(jù)及信息的場(chǎng)景，攻擊者竊取了相應(yīng)信息后，只要在有限時(shí)間范圍內(nèi)完成破解，都有可能對(duì)場(chǎng)景保護(hù)的數(shù)據(jù)及信息帶來(lái)安全影響。因而這些場(chǎng)景下，所受量子計(jì)算影響較大，改造升級(jí)的需求更為緊迫。（2）應(yīng)用場(chǎng)景所涉及的范圍不同的應(yīng)用場(chǎng)景所涉及的范圍存在差異，涉及范圍更廣的應(yīng)用場(chǎng)景，應(yīng)當(dāng)更為優(yōu)先保障其安全性，其實(shí)際面臨的安全威脅更大，安全性提升的需求更為緊迫。同時(shí)，此類場(chǎng)景的改造難度也更大，需要預(yù)留更充分的時(shí)間。（3）應(yīng)用場(chǎng)景所面向的應(yīng)用對(duì)象由于應(yīng)用場(chǎng)景面向的對(duì)象不同，其對(duì)使用效率變化的感受度會(huì)存在差異。例如，如若場(chǎng)景面向用戶，需要盡可能保證由于升級(jí)改造帶來(lái)的效率降低不影響到用戶體驗(yàn)，對(duì)效率要求更高。而若是交互較少的數(shù)據(jù)加解密，其效率要求在可接受范圍內(nèi)即可，因而交互體驗(yàn)更強(qiáng)的場(chǎng)景受影響程度更大，對(duì)改造要求更高，改造難度更大。整體來(lái)看，在應(yīng)用場(chǎng)景所使用密碼算法類似的前提下，保護(hù)長(zhǎng)期有效數(shù)據(jù)、涉及范圍更廣、面向?qū)ο髮?duì)使用體驗(yàn)更敏感的應(yīng)用場(chǎng)景的改造升級(jí)需求更緊迫、改造難度更大，其受量子計(jì)算發(fā)展的影響也更大。3.當(dāng)前量子計(jì)算威脅主要場(chǎng)景由于對(duì)稱密碼算法運(yùn)算性能遠(yuǎn)遠(yuǎn)強(qiáng)于非對(duì)稱密碼算法，為提升加解密效率，在數(shù)據(jù)加密傳輸場(chǎng)景中（如：SSL/TLS、SSH、數(shù)字信封等），一般先使用非對(duì)稱密碼算法協(xié)商密鑰，然后再使用對(duì)稱密碼算法和協(xié)商好的密鑰加密業(yè)務(wù)數(shù)據(jù)。因此，攻擊者現(xiàn)在可以先竊取密鑰協(xié)商報(bào)文和加密后的業(yè)務(wù)數(shù)據(jù)并存儲(chǔ)起來(lái)，待量子計(jì)算機(jī)可破解非對(duì)稱密碼算法后，再破解密鑰協(xié)商過(guò)程得到密鑰，最后解密出數(shù)據(jù)明文（下文稱為“先存儲(chǔ)，后破解”此時(shí)如果業(yè)務(wù)數(shù)據(jù)還處于保密期，則會(huì)導(dǎo)致數(shù)據(jù)泄露。對(duì)于未使用非對(duì)稱算法加密數(shù)據(jù)或密鑰的場(chǎng)景，目前不受量子計(jì)算攻擊影響，比如：使用了128位強(qiáng)度及以上的對(duì)稱算法或散列算法，或者使用了非對(duì)稱算法但不涉及加密（比如：數(shù)字簽名因簽名值是一串無(wú)業(yè)務(wù)意義的字符，沒(méi)有保密期概念，不受“先存儲(chǔ)，后破解”的攻擊方法影響。未來(lái)量子計(jì)算機(jī)發(fā)展到能破解對(duì)稱、非對(duì)稱及散列算法后，所有基于相關(guān)算法實(shí)現(xiàn)的安全保護(hù)功能均將失效。4.應(yīng)對(duì)量子計(jì)算攻擊的迫切性通常使用XYZ理論來(lái)評(píng)估風(fēng)險(xiǎn)，當(dāng)量子計(jì)算機(jī)可破解非對(duì)稱密碼算法時(shí)，如果屆時(shí)數(shù)據(jù)仍處于保密期限內(nèi)，則存在風(fēng)險(xiǎn)，X：數(shù)據(jù)保密年限。不同類型數(shù)據(jù)有不同要求，對(duì)于高密級(jí)信息，X可能長(zhǎng)達(dá)20年以上，如：軍隊(duì)、政府涉及國(guó)家秘密的信息、企業(yè)內(nèi)部最高保密級(jí)別的信息等。Y：升級(jí)到可抵御量子攻擊的密碼算法的時(shí)間。由于非對(duì)稱算法是基礎(chǔ)算法，基礎(chǔ)算法的調(diào)整涉及修改所有基于基礎(chǔ)算法的安全協(xié)議（比如：TLS、SSH等）、安全產(chǎn)品（比如：加密機(jī)）及基礎(chǔ)IT設(shè)施（比如：服務(wù)器、手機(jī)、路由器等）。根據(jù)業(yè)界經(jīng)驗(yàn)，新基礎(chǔ)算法標(biāo)準(zhǔn)發(fā)布后，需要花費(fèi)10-20年時(shí)間才能全面完成算法升級(jí)。當(dāng)前對(duì)于算法標(biāo)準(zhǔn)制定進(jìn)度最快的是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST，于2024年正式發(fā)布3個(gè)算法標(biāo)準(zhǔn)。因此，預(yù)估將在2034-2044年左右完成算法升級(jí)。Z：可破解密碼算法的量子計(jì)算機(jī)出現(xiàn)的時(shí)間，預(yù)估2037年以后。如果未來(lái)量子計(jì)算技術(shù)發(fā)展超過(guò)或低于預(yù)期，會(huì)導(dǎo)致時(shí)間提前或延后。基于上述預(yù)估，當(dāng)前保密期限超過(guò)2037年的數(shù)據(jù)，如果涉及使用非對(duì)稱算法來(lái)協(xié)商對(duì)稱算法密鑰的場(chǎng)景，則當(dāng)前已面臨量子攻擊威脅。實(shí)際威脅取決于未來(lái)量子計(jì)算機(jī)的發(fā)展進(jìn)度，以及可抵御量子計(jì)算攻擊的密碼算法升級(jí)進(jìn)展。四、面向國(guó)內(nèi)金融行業(yè)的量子安全威脅應(yīng)對(duì)策略雖然，當(dāng)前的量子計(jì)算算力還遠(yuǎn)低于密碼破解的要求，且基于先前的分析預(yù)估距可實(shí)際破解當(dāng)前密碼算法的量子方案出現(xiàn)仍有一段時(shí)間，但是量子計(jì)算機(jī)的飛速發(fā)展將帶來(lái)許多未知的可能，也使得金融行業(yè)面臨著更為緊迫的安全形勢(shì)。為了應(yīng)對(duì)未來(lái)可能出現(xiàn)的安全威脅，對(duì)金融行業(yè)的密碼安全體系進(jìn)行加固改造勢(shì)在必行，且應(yīng)從各方面著手準(zhǔn)備。在學(xué)術(shù)界以及金融行業(yè)內(nèi)，均已形成了一定的應(yīng)對(duì)思路。接下來(lái)，將闡述幾類通用的方案。（一）通過(guò)強(qiáng)化或重構(gòu)密碼算法應(yīng)對(duì)量子安全威脅1.密碼算法安全增強(qiáng)對(duì)于對(duì)稱密碼算法及散列算法，理論上只需要通過(guò)增加密鑰或散列值長(zhǎng)度等方式即可使得其保持現(xiàn)有的安全強(qiáng)度，從而具備抵御量子計(jì)算攻擊的能力。對(duì)于國(guó)際通用算法如AES，由于其具有AES-128、AES-192、AES-256三種密鑰長(zhǎng)度參數(shù)的版本，在應(yīng)用時(shí)可直接進(jìn)行相應(yīng)的升級(jí)切換。對(duì)于我國(guó)的商用密碼算法SM4，當(dāng)前只有128bits一種安全強(qiáng)度的參數(shù)設(shè)置，未來(lái)需要對(duì)標(biāo)準(zhǔn)中的算法參數(shù)進(jìn)行重新標(biāo)準(zhǔn)化或?qū)λ惴ㄔO(shè)計(jì)進(jìn)行優(yōu)化調(diào)整，使其在量子環(huán)境下可達(dá)到需要的安全強(qiáng)度。2.抗量子密碼遷移抗量子密碼算法（PQC）是基于不受已知量子算法攻擊的數(shù)ECDSA等算法。與現(xiàn)有的RSA等算法一樣，抗量子密碼算法仍然依賴“計(jì)算復(fù)雜性”，無(wú)法從數(shù)學(xué)上證明其安全性。“計(jì)算復(fù)雜性”指針對(duì)該數(shù)學(xué)難題原理上可破解，但已知破解方法所需算力和破解時(shí)間遠(yuǎn)遠(yuǎn)超出了有效時(shí)間（比如：需要最強(qiáng)的超級(jí)計(jì)算機(jī)耗費(fèi)數(shù)十億年因此密碼算法實(shí)際上是安全的。但未來(lái)可能出現(xiàn)更優(yōu)的破解方法或算力指數(shù)級(jí)提升，導(dǎo)致某一種抗量子密碼算法不再安全，需要升級(jí)到另一種抗量子密碼算法。因此抗量子密碼算法與現(xiàn)代密碼算法一樣，缺少長(zhǎng)期安全性證明。目前主流抗量子密碼算法基于格、多變量、編碼、哈希等4個(gè)領(lǐng)域的數(shù)學(xué)難題而設(shè)計(jì)，每個(gè)領(lǐng)域下有多種具體實(shí)現(xiàn)算法，情況如表9所示：誤的學(xué)習(xí)）等主主數(shù)百K-幾M快基于格的算法可以覆蓋現(xiàn)有非對(duì)稱算法的使用場(chǎng)景，且在公鑰/密文/簽名的長(zhǎng)度、性能等方面整體最佳，因此最被業(yè)界看好。2022年7月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）公布了擬第一批標(biāo)準(zhǔn)化的4種國(guó)際抗量子密碼算法（Kyber、Dilithium、Falcon、SPHINCS+前3個(gè)算法均為基于格的算法，SPHINCS+基于哈希。2024年8月，NIST已正式公布ML-KEM（Kyber）、ML-DSA（Dilithium）、SLH-DSA（SPHINCS+）三個(gè)抗量子密碼標(biāo)準(zhǔn)?？紤]到抗量子密碼算法未來(lái)也可能被破解，NIST將多個(gè)不同技術(shù)路線的抗量子密碼算法同時(shí)納入標(biāo)準(zhǔn)，當(dāng)某一技術(shù)路線抗量子密碼算法存在被破解的風(fēng)險(xiǎn)時(shí)，可切換到另一種不受該破解方法影響的抗量子密碼算法，從而避免無(wú)安全算法可用的風(fēng)險(xiǎn)。我國(guó)密碼科學(xué)技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室、中國(guó)密碼學(xué)會(huì)等科研機(jī)構(gòu)也正在通過(guò)各類研討和算法競(jìng)賽，推動(dòng)抗量子密碼算法的研究。中國(guó)密碼學(xué)會(huì)2018年組織的非對(duì)稱算法設(shè)計(jì)競(jìng)賽中，3個(gè)一等獎(jiǎng)算法均基于格設(shè)計(jì)。各金融機(jī)構(gòu)有必要持續(xù)跟蹤關(guān)注并適時(shí)開(kāi)展技術(shù)驗(yàn)證。3.加密敏捷性機(jī)制隨著計(jì)算能力增強(qiáng)以及新攻擊方法的出現(xiàn)，密碼算法安全性會(huì)隨時(shí)間推移而逐漸減弱（包括抗量子密碼算法）。長(zhǎng)期來(lái)看，密碼算法存在持續(xù)升級(jí)的需求。一般情況下，金融行業(yè)使用的密碼模塊以算法為維度提供接口，不同密碼算法的接口及參數(shù)均存在差異。同時(shí)，金融行業(yè)與眾多監(jiān)管機(jī)構(gòu)、清算組織、合作方存在系統(tǒng)互聯(lián)，當(dāng)某一業(yè)務(wù)場(chǎng)景需要升級(jí)密碼算法時(shí)，往往需要不同機(jī)構(gòu)的上下游應(yīng)用一起修改密碼算法接口及參數(shù)，協(xié)調(diào)難度和工作量較大，耗時(shí)較長(zhǎng)。為解決此難題，可以設(shè)計(jì)一套具備加密敏捷性的密碼算法使用機(jī)制。密碼算法升級(jí)切換時(shí)，由交易發(fā)起方調(diào)整算法參數(shù)，其他機(jī)構(gòu)無(wú)需修改代碼，即可快速?gòu)漠?dāng)前非對(duì)稱算法切換到抗量子密碼算法，或從某一種抗量子密碼算法切換到另一種抗量子密碼算法。加密敏捷性大體有兩種思路：一是通信雙方先協(xié)商本次通信使用的密碼算法及密鑰，選出雙方都支持且優(yōu)先級(jí)最高的算法，然后發(fā)送方基于協(xié)商結(jié)果對(duì)傳輸數(shù)據(jù)進(jìn)行密碼運(yùn)算，接收方再基于相同算法及密鑰進(jìn)行處理（類似TLS協(xié)議）。算法切換時(shí)，由發(fā)送方或接收方將新算法優(yōu)先級(jí)調(diào)整為最高，另一方無(wú)需修改代碼，協(xié)商時(shí)將自動(dòng)選用新算法，從而實(shí)現(xiàn)密碼算法切換；二是通信雙方無(wú)需協(xié)商，而是由發(fā)送方在已加密處理的傳輸數(shù)據(jù)中增加使用的密碼算法和密鑰標(biāo)識(shí)，接收方根據(jù)標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理（類似JWT機(jī)制）。算法切換時(shí)，由發(fā)送方調(diào)整密碼算法及密鑰標(biāo)識(shí)，接收方自動(dòng)按新標(biāo)識(shí)調(diào)用新算法進(jìn)行處理，無(wú)需修改代4.過(guò)渡期安全增強(qiáng)目前，金融行業(yè)相關(guān)的密碼安全規(guī)范是國(guó)密SM系列算法，抗量子密碼算法的標(biāo)準(zhǔn)仍在征集過(guò)程中，NIST抗量子標(biāo)準(zhǔn)在2024年剛提出三個(gè)標(biāo)準(zhǔn)算法；而國(guó)內(nèi)對(duì)于抗量子密碼算法標(biāo)準(zhǔn)自2018年舉辦密碼算法設(shè)計(jì)競(jìng)賽并完成兩輪篩選后，對(duì)于標(biāo)準(zhǔn)的制定仍在進(jìn)行當(dāng)中。因此，為了同時(shí)保證行業(yè)強(qiáng)監(jiān)管的合規(guī)性要求以及未來(lái)抗量子安全性要求，可以考慮在目前的過(guò)渡期執(zhí)行“兩把鎖”的抗量子增強(qiáng)方案。在保留現(xiàn)有國(guó)密SM算法體系不變的情況下，對(duì)數(shù)據(jù)進(jìn)行第二道的抗量子加密，形成第二把抗量子鎖，則可在保證國(guó)內(nèi)密碼應(yīng)用合規(guī)要求的前提下進(jìn)一步實(shí)現(xiàn)抗量子安全的增強(qiáng)。（二）通過(guò)量子技術(shù)本身的特性應(yīng)對(duì)量子安全威脅1.量子密鑰分發(fā)（QKD）量子密鑰分發(fā)技術(shù)（QKD）是目前發(fā)展較成熟、已進(jìn)入產(chǎn)業(yè)化階段的量子通信技術(shù)，也是抵御量子計(jì)算破譯挑戰(zhàn)的關(guān)鍵密碼技術(shù)之一。量子密鑰分發(fā)是指通信雙方通過(guò)傳送量子態(tài)的方法實(shí)現(xiàn)信息論安全的密鑰生成和分發(fā)的方法和過(guò)程。量子密鑰分發(fā)基于量子物理特性實(shí)現(xiàn)，其安全性不受計(jì)算能力的威脅，能夠達(dá)到信息論安全性，自然也具備量子安全性。QKD的功能是實(shí)現(xiàn)對(duì)稱密鑰的協(xié)商和生成，QKD與一次一密（OTP）結(jié)合可實(shí)現(xiàn)信息加密的信息論安全性，與對(duì)稱密碼算法結(jié)合可實(shí)現(xiàn)加解密功能，結(jié)合量子安全的對(duì)稱密碼算法可實(shí)現(xiàn)量子安全。現(xiàn)階段的量子密鑰分發(fā)的主要應(yīng)用模式是利用各類QKD網(wǎng)絡(luò)（端到端網(wǎng)絡(luò)、城域網(wǎng)或骨干網(wǎng)等）實(shí)現(xiàn)密鑰的安全分發(fā)，再與對(duì)稱密碼技術(shù)相結(jié)合，進(jìn)而保證信息的安全傳輸，為國(guó)防、政務(wù)、能源等專網(wǎng)用戶提供高安全的數(shù)據(jù)傳輸應(yīng)用服務(wù)。隨著量子保密通信的深入發(fā)展，應(yīng)用形式得到了進(jìn)一步的拓展，在量子加密VPN這類產(chǎn)品外，業(yè)界也成功研發(fā)推出了一些針對(duì)普通用戶的應(yīng)用和產(chǎn)品，例如：量子加密通話手機(jī)、量子加密即時(shí)消息系統(tǒng)、量子加密對(duì)講機(jī)、量子加密電子郵件系統(tǒng)等。這些應(yīng)用都充分展示了QKD網(wǎng)絡(luò)在密鑰分發(fā)、管理和服務(wù)上的作用和能力。2.量子隨機(jī)數(shù)發(fā)生器（QRNG）量子隨機(jī)數(shù)發(fā)生器利用量子力學(xué)過(guò)程產(chǎn)生隨機(jī)數(shù)。相比于傳統(tǒng)的偽隨機(jī)數(shù)發(fā)生器方案，量子隨機(jī)數(shù)發(fā)生器并不依賴于復(fù)雜的數(shù)學(xué)問(wèn)題，因此隨機(jī)數(shù)的安全性具備信息論意義的安全性。另一方面，相比于基于傳統(tǒng)物理噪聲的隨機(jī)數(shù)發(fā)生器，量子隨機(jī)數(shù)發(fā)生器對(duì)熵源的建模和估計(jì)更加精細(xì)準(zhǔn)確，最大限度地保證信息熵來(lái)源于較為可靠的量子力學(xué)隨機(jī)性。根據(jù)不同的量子力學(xué)原理，可以設(shè)計(jì)出各種不同的量子隨機(jī)數(shù)發(fā)生器方案。近年來(lái)，量子隨機(jī)數(shù)發(fā)生器的速率快速提升，達(dá)到GHz量級(jí)，并在低成本、小型化、芯片化等實(shí)用性方面取得重要突破。與此同時(shí)，人們提出了設(shè)備無(wú)關(guān)和半設(shè)備無(wú)關(guān)的量子隨機(jī)數(shù)發(fā)生器方案，用于一勞永逸地解決實(shí)際設(shè)備缺陷引發(fā)的側(cè)信道安全問(wèn)題。量子隨機(jī)數(shù)發(fā)生器不僅可作為量子通信設(shè)備的關(guān)鍵器件，也可以用于信息技術(shù)需要真隨機(jī)性熵源的各個(gè)應(yīng)用場(chǎng)景。3.量子隱形傳態(tài)（QT）量子隱形傳態(tài)（QT）是利用量子的糾纏態(tài)，來(lái)傳輸量子比特實(shí)現(xiàn)通信的方法。雖然目前量子隱形傳態(tài)還處于實(shí)驗(yàn)室研究階段，還未形成產(chǎn)業(yè)化以及清晰的應(yīng)用模式，研究者認(rèn)為未來(lái)量子隱形傳態(tài)是實(shí)現(xiàn)可擴(kuò)展全量子網(wǎng)絡(luò)和分布式量子計(jì)算的基礎(chǔ)，可以形成豐富的各種應(yīng)用模式。例如量子隱形傳態(tài)可應(yīng)用于量子密碼學(xué)形成各種基于隱形傳態(tài)的安全協(xié)議與應(yīng)用。將量子隱形傳態(tài)應(yīng)用于量子網(wǎng)絡(luò)中，可實(shí)現(xiàn)分布式計(jì)算和通信。1993年美國(guó)物理學(xué)家Bennett等人第一次提出了量子隱形傳態(tài)方案。典型的量子隱形傳態(tài)過(guò)程如下：發(fā)送方與接收方預(yù)先共享一個(gè)糾纏粒子對(duì)，即發(fā)送方和接收方分別持有一個(gè)粒子，而這兩個(gè)粒子處于量子糾纏狀態(tài)。待傳輸?shù)牧孔颖忍丶虞d在本地的一個(gè)粒子上，發(fā)送方對(duì)該粒子和所持有的處于糾纏狀態(tài)的粒子進(jìn)行共同測(cè)量（如貝爾態(tài)測(cè)量），測(cè)量后兩個(gè)粒子的量子態(tài)將隨機(jī)地塌縮共同測(cè)量本征態(tài)（例如四個(gè)貝爾態(tài)）中的一個(gè)。隨后，發(fā)送方通知接收方測(cè)量結(jié)果，接收方相應(yīng)地對(duì)自己所持有的原處于糾纏狀態(tài)的粒子做酉變換操作，即可以得到發(fā)送方要傳送的量子比4.量子安全直接通信（QSDC）量子直接通信方案將信息加載于量子態(tài)，并直接在量子信道進(jìn)行傳輸，不依賴于加解密算法及密鑰的分發(fā)。該方案依靠量子不可克隆性、量子測(cè)量塌縮等量子原理感知和阻止竊聽(tīng)，保證信息傳輸安全，即當(dāng)有人竊聽(tīng)時(shí)，量子態(tài)會(huì)被破壞，從而使竊聽(tīng)方得不到任何信息，即使其擁有再?gòu)?qiáng)大的計(jì)算能力，也無(wú)法破譯。量子直接通信一改經(jīng)典保密通信中的雙信道結(jié)構(gòu)，使用僅包含量子通信的單信道結(jié)構(gòu)，簡(jiǎn)化了有可能導(dǎo)致信息泄露的環(huán)節(jié)，提高了數(shù)據(jù)傳輸?shù)陌踩燃?jí)。量子直接通信由我國(guó)學(xué)者在2000年提出，近年來(lái)量子直接通信由理論走向?qū)嵱没^(guò)程中不斷突破了多個(gè)技術(shù)難點(diǎn)，克服了損耗和噪聲干擾等困難，提升了通信速率。目前，量子直接通信技術(shù)已具備向?qū)嵱没l(fā)展的核心技術(shù)基礎(chǔ)。2020年發(fā)布實(shí)用化量子安全直接通信樣機(jī)，2022年實(shí)現(xiàn)了百公里量子直接通信的實(shí)驗(yàn)驗(yàn)證，為量子直接通信的實(shí)用化發(fā)展奠定了堅(jiān)實(shí)的技術(shù)支撐。目前我國(guó)已有商業(yè)銀行實(shí)現(xiàn)了量子直接通信技術(shù)在金融領(lǐng)域的全球首次應(yīng)用。5.技術(shù)路線對(duì)比量子通信技術(shù)的特點(diǎn)在于它是通過(guò)量子態(tài)的傳遞（單量子狀態(tài)如光子態(tài)或多量子系統(tǒng)的量子態(tài)如糾纏）建立通信雙方的量子關(guān)系，不可忽略的是，它一般都包含有經(jīng)典信息的交互過(guò)程，以此實(shí)現(xiàn)經(jīng)典信息或量子信息的傳遞（故不存在超光速通信的可能）。具體來(lái)說(shuō)，各類量子通信技術(shù)間的區(qū)別體現(xiàn)在技術(shù)原理、用途與應(yīng)用模式、性能帶寬、技術(shù)成熟度等多個(gè)方面，不一而足。例如，量子密鑰分發(fā)為通信對(duì)端分發(fā)的是密鑰，量子隱形傳態(tài)和量子安全直接通信希望為通信對(duì)端傳遞經(jīng)過(guò)編碼的信息；量子隱形傳態(tài)的量子信道是基于糾纏的，而量子密鑰分發(fā)和量子安全直接通信建立的量子信道都是用于傳輸量子態(tài)的；三者目前能夠?qū)崿F(xiàn)的通信帶寬與傳統(tǒng)通信相比還都較低。（三）綜合應(yīng)用抗量子密碼技術(shù)和量子密碼技術(shù)基于數(shù)學(xué)的抗量子密碼技術(shù)及基于物理的量子密碼技術(shù)，其融合應(yīng)用可體現(xiàn)為兩個(gè)方面，一方面是量子密碼與抗量子密碼綜合使用構(gòu)建一個(gè)抗量子計(jì)算的、具有長(zhǎng)期安全性的、完整的密碼體系；另一方面是兩種密碼技術(shù)相互融合以提升各自的能力需要。例如，QKD結(jié)合對(duì)稱密碼技術(shù)可以在信息的機(jī)密性、真實(shí)性和完整性方面實(shí)現(xiàn)量