秦 璐 邱震尧 杨 阳
当前,量子计算技术作为我国科技发展中重要的战略性、前瞻性领域中的重点技术之一,已被纳入国家《“十四五”数字经济发展规划》。随着量子计算技术的不断发展,量子计算机在带来算力突破的同时,针对性的量子算法如Shor算法、Grover算法等对于金融行业现有的密码安全系统亦造成了潜在的威胁。中国银联作为银行卡产业的核心和枢纽,正加紧研究后量子密码及相关技术,以期联合金融机构在未来进一步筑牢信息安全防线。
量子计算是遵循量子力学规律调控量子信息单元进行计算的新型计算模式。量子力学叠加性的存在,使量子计算机具有天然的并行计算能力,且具备指数级性能扩展等理论优势,一些已知的量子算法在处理现有问题时速度要远超传统的通用计算机,量子计算机将是未来计算机发展的重点方向之一。
目前,国内外对于量子计算机的研制正处于快速发展阶段。IBM公司2021年已经实现了127量子比特超导计算机,并计划在2022年、2023年底前分别实现433、1121量子比特。国内研究者也于2021年10月实现了113个光子144模式的光量子计算原型机“九章二号”,在处理高斯玻色取样问题时的运算速度比目前全球最快的超级计算机快约1024倍。
然而,由于噪声的存在以及物理比特的不稳定性,仍需要大量的物理比特冗余纠错才能实现1位逻辑比特,要获取足够数量的逻辑量子比特来充分发挥量子算法的计算优势仍有很长的路要走,量子计算机的实用性距离替代传统通用计算机还存在较大的差距。
自量子计算概念提出以来,研究人员在量子优势算法的设计方面也开展了大量的研究工作,涌现出一系列量子算法,如Deutsch-Jozsa算法、Bernstein-Vazirani算法、量子傅里叶变换(QFT)、Simon算法、Shor算法、Grover算法等,这些算法也证实了量子计算存在可证明的计算加速。
金融行业通常利用密码算法对敏感信息进行加密保护,涉及数字签名、身份认证、数据传输、IC卡密钥装载等大量应用场景,因而密码算法的安全是保障金融行业数据安全的根基。事实上,现有安全体系中的密码算法满足的大都是可计算安全,其安全性建立在无法利用传统通用计算机进行有效时间内破解的基础之上。然而,量子计算的发展带来了计算算力的提升,结合针对性的Shor算法、Grover算法等,大幅提升了对现有密码算法破解的效率,使得密码算法的安全性受到了一定的威胁,继而对金融行业数据的长期安全性也造成了潜在威胁。
目前,金融行业中主要使用的密码算法分为公钥密码算法、对称密码算法以及哈希摘要算法等类型,根据不同算法的特性被用于不同的应用场景。由于各类密码算法的理论本质不同,量子计算对它们产生的影响也有很大的不同。因此,不同的金融场景所受到的安全性影响程度也不尽相同。
Shor算法对公钥密码算法的影响周期算法,在理论上将求解上述困难数学问题的复杂度由指数级降至了多项式级O(n2lg(n)lg(lg(n)))(n为密钥长度)。
然而,现有公钥密码算法大都利用了上述的困难数学问题进行设计,如RSA算法、SM2、DH、ECDSA等算法,Shor算法的出现在理论上可以对这些算法进行多项式时间内的破解。根据谷歌的研究成果,2000万量子比特的量子计算机只需8小时就可破解2048比特密钥的RSA算法。一旦大规模量子计算机出现,现行的公钥密码算法将不再安全。
Grover算法对对称密码算法及哈希摘要算法的影响
Grover算法可以完成随机数据库中特定元素的搜索。搜索问题可描述为:对于一个给定函数f(x)
从中找出 a*。
Grover搜索算法在理论上将导致AES、SM4等对称密码算法,SHA-256、SM3等哈希摘要算法的安全强度减半,但可以通过直接增加密钥或摘要长度来保证其现有安全强度。然而,由于当前量子计算机的限制,其实际破解效率的提升幅度仍然有限。
对于不同类型的密码算法,表1中展示了它们在经典计算环境和量子计算环境下安全级别对比的理论估计。
表1 各类密码算法在经典计算环境和量子计算环境的安全级别对比理论估计
在金融行业中,公钥密码算法主要应用于密钥交换、身份认证等场景,同时在互联网安全传输、金融支付交易等领域也有着广泛的应用。对于相关的业务数据而言,其正面临“先储存,后破解”的前向攻击威胁。攻击者完全可以先完成窃取并储存,待到量子计算机发展至可以完成对公钥密码算法的破解时,再将数据进行解密。若此时数据仍处于保密年限中,则很有可能造成数据的泄露。
在金融行业中,对称密码算法因为其性能优势常被用于数据加密存储和传输等场景;而哈希摘要算法主要应用于数据完整性验证、数字签名等场景。对于这类金融应用场景,目前受量子计算攻击的影响较小,同时EMVCo等机构也给出了实际分析,并认为目前密钥长度为128比特的对称密码算法仍可继续使用。
图1 Grover算法逐步接近目标态
虽然当前的量子计算算力还远低于密码破解的要求,但是量子计算机的飞速发展和量子比特数逐年的成倍增长,也使得金融行业面临着更为紧迫的安全形势。为了应对未来可能出现的安全威胁,对金融行业的密码安全体系进行加固改造势在必行。然而,在安全升级的同时,大量牵涉的应用场景也可能面临其他的影响,如改造后应用的兼容性和效率等问题。
事实上,由于不同的应用场景受到的安全威胁程度和紧迫性不同,其面临的系统升级影响和困难也不同。在进行全面安全体系改造前,仍需更加深入地研究量子计算发展对当前金融行业密码安全体系的影响,充分评估不同金融场景面临的安全威胁程度,系统调研各类金融场景在系统升级时可能面临的困难以及受到的影响,以此帮助整个金融行业进一步认识量子安全的影响性。
为保证金融行业的后量子安全,首当其冲的是要找到在量子计算环境下安全的密码算法来替换目前存在安全隐患的密码算法。为了抵御量子计算攻击的威胁,学术界已率先提出了后量子密码算法,并取得了丰硕的成果。
为保证金融行业的后量子安全,首当其冲的是要找到在量子计算环境下安全的密码算法来替换目前存在安全隐患的密码算法。为了抵御量子计算攻击的威胁,学术界已率先提出了后量子密码算法,并取得了丰硕的成果。
后量子密码算法的设计通常挑选无法实现高效并行计算的困难问题进行构造,目前主流的类型有基于格的密码算法、基于哈希的密码算法以及基于编码的密码算法等。
基于格的密码算法
基于格的密码算法目前的设计多基于LWE或环-LWE等格上的困难问题,代表算法有NTRU算法、CRYSTALS-KYBER算法等。基于格的密码算法可实现加密、签名、密钥交换、同态等丰富功能,且相较于其他几类后量子密码设计方式,其具有密钥尺寸小、安全性及计算速度等指标更优的优势。因而,基于格的算法是目前国内外学术研究、标准制定和算法应用中最受认可的一类算法。
基于哈希的密码算法
基于哈希的密码算法由一次性签名方案演变而来,并使用了Merkle的哈希树认证机制。代表算法有Merkle签名算法、SPHINCS+签名算法等。由于其只能实现数字签名的功能,可扩展性较差。但是,由于其安全性依赖于哈希函数的抗碰撞性,并不依赖于某个特定的哈希函数,可以在当前使用的哈希函数被攻破时通过更换更安全的哈希函数来实现算法的快速更替。
基于编码的密码算法
基于编码的密码算法使用错误纠正码对加入的随机性错误进行纠正和计算,代表算法有McEliece等。其应用以加密和签名方案为主,由于算法的密钥尺寸大,使用时对公钥储存空间的要求较高。
后量子密码算法设计具有丰富的技术路线,除了以上三种之外,还有基于多变量、基于超奇异椭圆曲线、基于量子随机漫步等技术的后量子密码算法设计方式,对于不同构造方案的探索与分析仍在持续进行。
目前,国内外均已积极组织开展相应的标准化工作。美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)在2016年启动了后量子密码标准化项目(Post-Quantum Cryptography,PQC),且于2022年7月公布了即将标准化的四个算法。其中,加密算法CRYSTALSKYBER及签名算法CRYSTALS-DILITHIUM、FALCON均基于格设计,签名算法SPHINCS+则基于哈希设计;同时,为了技术路线的多样性,NIST还启动了第四轮的评估,以期从中选取一个基于编码的后量子密码算法。我国也于2019年举办了全国密码算法设计竞赛,目前已评选出了进入第二轮评估的候选算法。在不久的将来,国内外的后量子密码算法标准化工作将陆续完成,这也标志着后量子密码即将进入全面落地应用阶段。
目前,后量子密码的实用化仍然面临着巨大的挑战。首先,对于后量子密码算法的安全性分析仍需完善,多个NIST候选提案相继被实际攻破,基于格的算法虽然是目前最受认可的一类算法,其安全性评估也需持续更新。其次,相较于现有公钥密码算法体系,后量子密码算法设计时使用的参数仍然面临尺寸较大的问题。而且,后量子密码算法设计更为复杂,其快速工程实现也更加困难。因而,对于后量子密码算法的设计、安全性及性能分析、工程化实现、应用场景拓展等仍需持续深入研究。
随着后量子密码算法的持续发展,可支持的应用场景不断丰富,经典公钥密码向后量子密码迁移已成为必然趋势。在金融行业,对后量子迁移的研究也已提上日程,并将逐步形成工作计划,确定合适的迁移路线,旨在将现有的密码安全体系分阶段地、平稳地过渡到后量子密码安全体系。
后量子密码迁移。对现有密码安全体系中存在安全隐患的密码算法,用后量子密码算法进行替换。首先,收集整理金融行业中可能受到量子计算技术影响的所有相关场景和资源,梳理其相互之间的依赖关系,并确定初步的迁移顺序。其次,对于不同的应用场景,分类、评估其未来可能的迁移方式和难度。此外,由于现有的后量子密码算法在效率方面仍落后于现有的公钥密码算法,还需对当下国际和国内主流的后量子密码算法进行初步的功能和性能测试,并就后量子密码算法的使用对系统运行的性能影响进行评估。此外,目前的后量子密码算法每一类通常只能适用于一部分的应用场景,因而还需要为不同的金融应用场景选取最为合适的特定后量子密码算法作为后续的更替算法,逐步完成算法选型和方案制定。
加密敏捷机制设计。在进行新系统开发时,兼容后量子密码算法。在金融行业中,使用的密码模块以算法为单位提供接口,不同密码算法的接口存在一定的差异。而如今,利用后量子密码算法保障安全已是大势所趋,因而在进行新系统研发时,应充分考虑后量子密码算法的兼容性,为后量子密码算法的引入预留足够的字段空间,并根据实际情况对已有系统进行逐步改造,以便在未来存在后量子密码算法实际应用的迫切需求时实现敏捷化的切换。
过渡期安全增强。采用“两把锁”的混合安全模式作为过渡阶段的解决方案。目前,金融行业相关的密码安全规范仍是国密SM系列算法,而为了保证金融强监管的合规性要求以及后量子安全性要求,可以考虑“两把锁”的后量子增强方案。在保留现有国密SM算法体系不变的情况下,对金融数据进行第二道后量子加密,形成第二把后量子锁,可在保证国内密码应用合规要求的前提下进一步增强后量子安全性。
量子计算的发展为金融行业的安全体系带来了风险。为保护金融行业安全的根基,应当提前准备、部署后量子安全的密码安全体系,以应对未来的安全威胁,帮助保障金融行业基础设施的安全,保证金融行业的数据长效安全性。
一是对量子安全的现状进行更为深入、系统的调研,尽快评估和梳理量子计算目前的发展速率对现有金融安全体系的威胁紧迫程度,帮助金融行业快速、准确地了解在哪个时间节点需要完成对于整个金融行业的密码安全体系的升级与调整。
二是持续关注国内外对于后量子密码算法研究的发展。目前,国内外对于后量子密码标准的制定工作尚在进行阶段,未来可能标准化的算法已初步显现,应当对这些算法进行重点关注与分析,并为不同的金融场景测试挑选可使用的算法,以期在其完成标准化时,金融行业可以迅速地进行后量子密码算法的迁移。
三是继续收集和整理国外金融行业对于量子安全威胁的应对策略,并结合我国金融行业的实际情况,制定适合我们的针对性策略,为后续后量子迁移工作路线的制定提供参考和帮助,从安全性、效率性等方面不断优化和改进工作方案,为后量子迁移工作的顺利开展提供指导性建议。