量子安全威脅及其對國內金融 行業(yè)的影響研究報告 2024 年 北京金融科技產業(yè)聯盟

量子安全威脅及其對國內金融行業(yè)的影響研究報告版權聲明本報告版權屬于北京金融科技產業(yè)聯盟，并受法律保護。轉載、編摘或利用其他方式使用本白皮書文字或觀點的，應注明來源。違反上述聲明者，將被追究相關法律責任。I秦秦吳編委會成員：璐猛馬王超璐猛馬王超碩趙雪嬌趙雪嬌李向鋒編審：黃本濤王一多譚亦夫高文華姚文韜許錦標侯君達康潔向玉峰吳永飛胡垚垚秘相友沈超建何慧蕓王彥博胡軍華牽頭編制單位：中國銀聯股份有限公司參編單位：中國工商銀行股份有限公司中國建設銀行股份有限公司本源量子計算科技（合肥）股份有限公司科大國盾量子技術股份有限公司中國農業(yè)銀行股份有限公司華夏銀行股份有限公司浙商銀行股份有限公司北京銀聯金卡科技有限公司神州數碼信息服務集團股份有限公司交通銀行股份有限公司中國郵政儲蓄銀行股份有限公司中金金融認證中心有限公司北京數字認證股份有限公司 （一）算力發(fā)展 3（二）算法發(fā)展 7 （一）對密碼體制的威脅 （二）對金融業(yè)務的影響 （一）通過強化或重構密碼算法應對量子安全威脅 （二）通過量子技術本身的特性應對量子安全威脅 （三）綜合應用抗量子密碼技術和量子密碼技術 （四）各類應對措施對比 1摘要：隨著量子技術的持續(xù)發(fā)展，給金融行業(yè)現有的安全加密系統(tǒng)帶來潛在威脅。為應對量子安全威脅，本報告對于量子計算的發(fā)展現狀進行了調研，研究了量子計算對現有密碼體制的威脅并結合金融業(yè)務密碼算法應用情況分析總結了量子計算對國內金融行業(yè)的影響性。同時，結合我國實際情況給出了面向國內金融行業(yè)的量子安全威脅應對策略。一、研究背景及意義量子計算是遵循量子力學規(guī)律調控量子信息單元進行計算的新型計算模式。由于量子力學存在疊加性，使得量子計算機具有天然的并行計算能力，且具備指數級性能擴展等理論優(yōu)勢，繼而可以帶來計算算力的顯著提升。現如今，量子計算已成為計算技術研究的重點方向之一。自量子計算概念提出以來，大量研究機構從量子算法的設計優(yōu)化與量子計算機硬件的研制建造等方面開展深入研究，取得了豐富的研究成果。隨著量子計算技術的不斷發(fā)展，量子計算算力得以持續(xù)提升，為各行各業(yè)帶來性能優(yōu)化的同時，也對現今使用的密碼體系帶來安全威脅。在量子算法方面，Shor量子算法可以在多項式時間內解決大整數分解問題，使得經典的非對稱密碼算法如RSA、SM2等在量子環(huán)境下不再安全；Grover量子搜索算法相較于經典搜索算法在計算復雜度上可以獲得平方級加速，經典的對稱密碼算法如AES、SM4及散列算法SHA-3、SM3等的安全強度在量子環(huán)境下將直接減半。若存在足夠規(guī)模的量子計算機來執(zhí)行以上密碼破解算法，將會對傳統(tǒng)密碼安全體制造成毀滅性的打擊。在量子計算機研制2方面，存在多種設計路線，包括超導、光量子、離子阱等，不同的設計路線各存優(yōu)劣，同步快速發(fā)展。雖然目前的量子計算機仍無法實現對經典密碼算法的直接破解，但也已帶來巨大的潛在威脅，我們正面臨著愈發(fā)嚴峻的安全考驗。深入研究分析量子計算發(fā)展對于現有傳統(tǒng)密碼體制的實際影響情況并尋找相應的應對方案是當務之急。在金融行業(yè)中，使用了大量的傳統(tǒng)密碼算法來保證數據及用戶使用的安全性，當傳統(tǒng)密碼體制不再安全，金融行業(yè)的信息安全將同樣受到影響。逐步提升現有密碼體系的安全性，將其改造為可以抵抗量子攻擊的密碼安全體系勢在必行。然而，在改造的過程中對于現有系統(tǒng)的使用是否存在影響、改造后的系統(tǒng)在性能上是否會與現有系統(tǒng)存在差異，這需要我們提前分析及考慮。因此，對于整個金融特有的密碼安全系統(tǒng)來說，除了分析密碼體制本身帶來的安全性問題，還需要分析討論在后續(xù)改造升級過程中可能帶來的其他影響。在量子計算的沖擊下，如何繼續(xù)保證金融行業(yè)數據的長期安全是重中之重。此研究旨在對目前金融行業(yè)所受到的量子計算威脅進行影響性評估，幫助金融行業(yè)充分了解量子計算的發(fā)展對行業(yè)現在及未來可能造成的影響，從而了解目前我們所面臨的形勢。同時探討我們可以通過哪些方式合理、適時、有效地渡過量子計算發(fā)展帶來的安全危機，幫助我們制定更為科學、高效的安全體系升級計劃。二、量子計算發(fā)展現狀及趨勢對于量子計算技術的研究主要分為兩個方面，一是對量子計3算機硬件的研制和建造，二是對量子算法的設計和優(yōu)化。此二者相輔相成，推動著量子計算技術的快速發(fā)展。由于構建量子比特的方式不同，量子計算機的設計路線也不盡相同且各存優(yōu)劣。截至目前，各設計路線尚未統(tǒng)一，可能的商業(yè)化路線仍不明確。在本節(jié)中，將先對量子計算機性能評價指標進行介紹，再闡述不同量子計算機設計路線的原理及發(fā)展情況。1.量子計算機評估指標衡量量子計算機的性能有不同維度的多種指標，主要包括：量子比特數：用于衡量量子計算機可以同時操控的最大量子比特數量，其大小決定了量子計算機能夠編碼和處理的問題規(guī)模。門保真度：用于衡量在噪聲環(huán)境下利用實際量子處理器得到的計算結果與經過理想量子門操作得到結果之間的偏差大小。保真度的數值越高，代表量子處理器的偏差越小，其計算結果越準相干性：用于衡量量子比特保持量子態(tài)和耦合態(tài)的能力，通過相干時間的長短來表示。相干性越差，量子態(tài)保持時間越短，量子比特越快失去量子計算的能力，將限制量子處理器可以執(zhí)行的算法的復雜程度。邏輯連通性：用于衡量量子計算機中任意一對量子比特實現雙量子比特門的能力。邏輯聯通性越有限，為了模擬更大的聯通性就需要在算法中增加越多的邏輯交換運算，從而可能導致更大的噪聲和誤差?？蓴U展性：用于衡量量子計算機架構是否能擴展到大規(guī)模的4量子比特數量。除此之外，量子計算機的邏輯門執(zhí)行速度、量子體積、圖靈完備性、云訪問性等也都是評估量子計算機性能的參考指標。2.量子計算機設計技術路線超導量子計算機的核心是基于Josephson結的Cooper對制造量子比特，其優(yōu)勢在于易操控、易測量、易擴展，更容易構成大規(guī)模的、量子比特數更多的量子計算機，其劣勢在于易受磁場等環(huán)境影響而導致退相干時間較短，從而限制可執(zhí)行計算任務的復雜度。目前，超導技術是最具競爭力的通用量子計算機設計路線之一，主要的研究公司包括IBM、Google、Rigetti、本源量子、國盾量子等。截至目前，具備量子比特數最多的是IBM在2023年12月發(fā)布的具有1121量子比特的量子處理器Condor，國內的中國科學院量子信息與量子科技創(chuàng)新研究院于2024年4月發(fā)布504比特超導量子計算芯片“驍鴻”。（2）光量子計算機光量子計算機利用光子來充當量子，將光的偏振態(tài)編碼為量子比特的基態(tài)并通過線性光學元件來處理量子信息。由于光子受環(huán)境影響小，其優(yōu)勢在于相干時間長，同時光子的多自由度特性可以在更少光子數量下實現較多的量子比特。但是光子的相互作用微弱，構建雙量子比特門、實現邏輯運算是此設計路線中的技術難點。光量子路線也是目前備受關注的技術路線之一，主要的研究機構與公司有中科大、Xanadu等。中科大的“九章三號”光量子計算機以及Xanadu研制的Borealis光量子計算機均在解決高5斯玻色采樣問題上展現了光量子的計算優(yōu)越性。（3）離子阱量子計算機離子阱量子計算機利用電磁場將離子束縛在特定區(qū)域內，通過激光或微波操縱囚禁離子的兩個內能級實現量子計算。離子阱的運算更不容易出錯，單個量子比特的相干性優(yōu)于超導量子比特，相較光量子技術具有天然的邏輯聯通優(yōu)勢。然而，由于離子阱中可容納的量子比特數有限，其劣勢在于可擴展性較差，難以達到高數量的量子比特數。Quantinuum、IonQ以及國內的啟科量子主要關注于此技術路線。截至目前，Quantinuum給出了最高的56比特的離子阱量子比特處理器H2-1，其兩量子比特門保真度達到了99.843%。離子阱技術也是通用量子計算機研制的另一有力競除此之外，量子計算機的其他設計路線主要還有硅半導體、中性原子、冷原子、核磁共振、拓撲量子計算等，各類科研機構與公司積極參與研究，取得了豐富的研究成果。3.技術路線對比及發(fā)展趨勢從量子計算機性能發(fā)展看，正如此前介紹，衡量量子計算機的性能有不同維度的多種指標，而其中量子比特數無疑是其中重要的一個。2016年，IBM將第一臺可實驗的量子計算機放在云上——這是一臺具有5個量子比特的設備。到2023年12月，IBM制造出了迄今全球最大量子計算機“禿鷹”（Condor），其擁有1121個量子比特。2023年6月，中國科學技術大學“祖沖之號”研發(fā)團隊在原“祖沖之號”66比特芯片基礎上加以提升，新增了110個耦6合比特的控制接口。2024年4月中國科學院量子信息與量子科技國內外量子計算機量子比特數的發(fā)展情況總體如表1所示：2NMR7NMRLosAlamosNationalLaNMR量子計算機的不同設計技術路線在不同的性能參數上各有優(yōu)劣。例如，超導路線目前實現的量子比特數多于其他路線，而7離子阱路線在保真度與相干時間上等指標上占優(yōu)，在評價量子計算機的具體性能時需要從多個角度進行綜合考量，各主要技術路線的性能對比如表2所示。然而，各技術路線均存在一些技術難點需要攻關與突破，仍待進一步研究與優(yōu)化。強弱Xanadu，中當前，量子計算的發(fā)展已有四十多年的歷史，伴隨著量子算法的發(fā)展，逐漸體現了量子計算機的強大優(yōu)勢。在本節(jié)中，首先介紹量子算法發(fā)展的總體歷程，再對各類量子算法的發(fā)展及其應用進行展開介紹。1.量子算法發(fā)展歷程從量子算法發(fā)展的角度看，大致可以分為三個階段。（1）理論提出及探索階段(1980-1994)1985年，英國牛津大學教授DavidDeutsch首次提出了量子圖靈機模型，并設計了第一個量子算法Deutsch算法。1992年，8Deutsch-Jozsa算法，首次很好地體現了量子計算優(yōu)勢。此后，Bernstein和Vazirani基于D-J算法設計了可有效地解決詢問量子數據庫問題的B-V算法，為后續(xù)Shor、Grover等量子算法的設計奠定了基礎。（2）通用量子算法發(fā)展階段(1994-2009)年，美國貝爾實驗室的PeterShor提出了Shor算法，從理論上展示了量子計算機能夠把大整數分解等問題的求解時間從指數時間復雜度降到多項式時間復雜度，對傳統(tǒng)非對稱密碼算法RSA、ECC等帶來巨大威脅。1996年，LovGrover提出了Grover量子搜索算法，它解決的是無序數據集搜索問題，也是第一個被完整AvinatanHassidim和SethLloyd聯合開發(fā)了HHL算法，它可用于求解線性方程組，相比經典算法可達到指數級加速。（3）專用量子算法繁榮階段(2009-至今)從2009年開始，以谷歌、IBM為代表的一些企業(yè)，開始把規(guī)?；孔佑嬎銠C的工程化作為主要的發(fā)展方向。在現階段圖靈完備的通用量子計算機規(guī)?；€未達到足夠大的情形下，很多科學家轉而研究非圖靈完備的專用量子計算架構，可以在一些專業(yè)領域，解決某種特定類型的問題。在此過程中，很多專用的量子算法出現了。其中包括一些優(yōu)化的算法，如變分量子特征值求解算法、量子近似優(yōu)化算法等；還有一些采樣的算法，包括玻色采樣、量子隨機游走等算法，此9外還有美國斯坦福大學提出的CIM相干伊辛機、以D-Wave公司為代表的量子退火算法等。2.各類量子算法的發(fā)展與應用基于量子算法發(fā)展歷程，可見量子算法主要分為通用量子算法和專用量子算法，下面將重點介紹一些通用量子算法的發(fā)展及應用，并簡要介紹專用量子算法的發(fā)展和相關應用。（1）通用量子算法的發(fā)展和應用量子計算領域最著名的兩個算法是Shor算法和Grover算法。運用Shor算法求解整數因子分解問題是量子計算機最早的應用中p和q均為素數，求解p和q。經典算法求解該問題的最優(yōu)時2im))，而Shor算法求解該問題的時間復雜度僅為0hm，極大地提升了求解問題的效率，使得在足夠的量子比特下，攻破整數分解問題成為可能，基于整數分解問題設計的RSA算法將不再安全。Shor算法的核心是周期查找，可以歸約為交換群的隱藏子群問題。基算法可以被推廣用于求解不同的困難問題。例如可以在多項式時間內求解離散對數問題、橢圓曲線上的離散對數問題、主理想問題等。而基于這些困難問題的密碼算法都將隨著量子計算機的發(fā)展變得不再安全或者安全性降低，如基于離散對數的DSA、Diffie-Hellman算法，基于橢圓曲線離散對數的ECDH、ECDSA算法，基于主理想的Buchmann-Williams密鑰交換系統(tǒng)等。目前，Shor算法的發(fā)展越來越成熟，研究者們主要通過對量子比特數或者量子門深度的優(yōu)化改進。具體進展見表3。3Grover算法主要利用振幅放大對無結構數據進行搜索，可實現對經典搜索效率的二次加速。在金融互聯網行業(yè)處理大規(guī)模數算法可以提高密碼破譯效率，對密碼安全性將構成潛在威脅。對于對稱密碼算法，其安全強度將從0(2n)次經典搜索降低至n/2次量子搜索；對于散列算法，其安全強度將從02n次經對稱密碼算法以及散列算法都需要增大密鑰或散列值規(guī)模才能保證原有的安全強度。除此之外，其他量子算法如Simon算法、B-V算法也被嘗試用于對現有密碼體系攻擊的加速。Simon算法可用于尋找一些函數中的隱藏周期，主要可應用于加速對稱密碼中周期的查找問題；B-V算法能夠用于求解一個布爾函數的線性結構，可被用于恢復分組密碼的密鑰。近幾年來，許多研究工作都將上述量子算法與經典密碼分析方法進行組合使用，從而在密碼分析中實現更高效的量子攻擊。Simon-meet-Kuperberg、Grover-meet-Kuperberg等組合量子算法；Grover算法、B-V算法與經典查分攻設計量子算法來尋找S盒的差分特征，從而加速了差分尋找階段。Zhou等研究在獲得差分特征之后利用Grover量子搜索算法和量子計數算法對經典差分攻擊實現二次加速，從而更高效地確定子密鑰值。2019年Bonnetain等提出了量子平方攻擊(或積分攻擊)，這兩種量子攻擊技術分別是在經典線性分析和經典平方攻擊的基礎上，將搜索部分用Grover算法來完成，從而實現攻擊加速。（2）專用量子算法的發(fā)展和應用量子近似優(yōu)化算法（QAOA）是可以在近期量子計算機上實現的算法之一，被認為是最有希望展示量子優(yōu)勢的算法之一。QAOA最早由Farhi等人于2014年提出，在2018年，Rigettia公司比較了處理最大分割問題的G-W算法和QAOA的性能差異，提供的超導量子比特芯片上直接運行了作業(yè)車間調度問題算法。毫無疑問，QAOA已經引起了很多人的關注，QAOA的理論和實驗實施也將會不斷完善。三、量子計算對金融行業(yè)的安全威脅及其影響性分析密碼體制的安全是保障金融行業(yè)信息安全的基礎，量子計算的發(fā)展給現有的傳統(tǒng)密碼體制帶來了安全威脅，自然也將影響到金融行業(yè)的整體安全。本章中將先分析量子計算發(fā)展對現有密碼體制的威脅情況，再針對金融行業(yè)不同場景，分析其受量子計算威脅的影響性。（一）對密碼體制的威脅密碼算法可用于實現身份認證、訪問控制、抗抵賴等基礎功能，并確保重要數據的機密性和完整性保護，避免數據泄露或篡改。傳統(tǒng)密碼體制的安全性是由經典計算環(huán)境下密碼攻擊方法的高復雜性、有限時間內不可完成性保證的?，F如今，量子計算發(fā)展帶來的算力提升使得一些針對性量子算法破解現有密碼體制的可能性逐漸提升。在本節(jié)中，將闡述量子計算發(fā)展對密碼體制帶來的威脅。密碼算法可分為對稱密碼算法、非對稱密碼算法及散列算法三類，具體如下：對稱密碼算法：加密與解密運算使用相同的密鑰，主要用于敏感數據的加密傳輸及存儲，防止數據明文泄露。非對稱密碼算法：使用不同密鑰進行加解密運算，包括可公開的公鑰、需保密的私鑰；使用公鑰加密的數據只能由對應的私鑰解密，反之亦然。非對稱密碼算法除了用于數據加密外，還可用于密鑰交換，以及業(yè)務數據的簽名驗簽，以實現數據防篡改及抗抵賴功能。散列算法：又稱為哈希算法、雜湊函數等，可將任意長度的數據轉換為獨有的固定長度數據（一般稱為“消息摘要”），可用來檢測原始數據是否被篡改。散列算法可配合非對稱密碼算法提升簽名驗簽的計算效率，即先對較長的業(yè)務數據計算出較短的散列值，然后使用非對稱密碼算法對散列值進行簽名。對稱密碼算法與散列算法一般通過字符替換、移位等復雜的算法結構將明文轉換為密文，其安全性依賴算法結構的設計。而非對稱密碼算法是基于大整數分解、離散對數等數學難題設計，其安全性依賴相關數學難題是否存在高效的解決方法。密碼算法的安全性可以用安全強度來衡量，N位安全強度表位及以上強度的算法被認為是安全的。當前常見密碼算法的安全強度如表4所示：（位）（非HMAC場景）2.量子計算威脅分析量子計算機攻破密碼算法需要同時具備2個條件：一是利用量子力學原理降低密碼破解復雜度的量子算法，二是具備足夠算力的大型量子計算機。目前來看，第一個條件已經具備，第二個條件預估2037年以后可能具備。整體來看，量子計算對非對稱密碼算法存在較明確的威脅，而對于對稱密碼算法和散列算法，量子計算的威脅較為有限。目前業(yè)界已出現可威脅非對稱密碼算法安全性的量子算法Shor算法，并預計在2037年以后可能研制出具備足夠算力的量子計算機，從而攻破非對稱密碼算法。Shor算法將大數分解等數學難題的破解過程轉化為求某個函數的周期，由于量子環(huán)境下可高效實現量子傅里葉變換，從而將解決此類數學問題的復雜度從經典環(huán)境最優(yōu)算法的指數級log(logh))，進而威脅基于相關數學問題設計的非對稱密碼算法（RSA、DH、ECDSA、SM2等）。目前已基于Shor算法實現15=3*5、21=3*7的分解，證明了可行性。運用經典算法與Shor算法破解RSA算法的復雜度比較如表5中所示。以RSA-2048算法為例，經典電子計算機的最佳破解算法大致需要6.8*1051次運算，而量子計算環(huán)境下的Shor算法僅需約1.6*108次運算，破解效率大約提升4.2*1043倍，且破解效率倍數會隨著密鑰長度增加而提升。對于密鑰長度從2048提升到3072，經典算法破解難度大約提升了38億倍，而Shor算法破解復雜度僅上升了2倍。因此，提升非對稱算法密鑰長度可以抵御經典電子計算機+經典算法攻擊，但不能抵御量子計算機+Shor算法攻擊。教授分別預估了Shor算法破解RSA、ECC的成本，如表6、表7所示。對RSA-2048算法的破解，大約需要2000萬量子比特（或8臺400萬量子比特的計算機耗時幾小時內完成；對于ECC-256算法屬于ECC類別，強度與ECC-256相當，可以認為破解SM2所需資源與ECC-256是同一量級。當前通用可編程量子計算機的最大量子比特數還不到1000，還遠不能破解非對稱密碼算法。對于量子計算機何時可破解主流非對稱密碼算法，學術界把量子計算發(fā)展劃分為三個階段，認為2037年以后可能進入第3個階段，從而能在經典密碼算法破解、大數據人工智能等領域發(fā)揮巨大作用。知名量子計算專家MicheleMosca教授于2022年對全球14個國家的40位量子計算專家進行了調研，結果顯示7成以上專家認為2037年以抗量子計算有可能破解RSA-2048算法，2成專家認為2032-2037年有可能破解。（2）對稱密碼算法和散列算法威脅分析當前業(yè)界已有Grover量子算法可提高破解對稱密碼算法和散列算法的計算速度，但破解所需的算力仍然過高，業(yè)界尚缺少出現相應量子計算機的時間預估，因此整體上威脅有限。Grover算法是一種量子隨機搜索算法，可將經典計算機N次的搜索次數降低為N次，因此應用Grover算法通過窮舉方式破解對稱密碼算法和散列算法，理論上量子計算機只需要2N/2次嘗試，即將密碼算法安全強度降低為經典計算機環(huán)境的一半，在實際應用中大約平均降低1/3-1/4。由于降低后仍為指數級，因此威脅遠不如Shor算法。另外，攻擊須串聯執(zhí)行并需要指數級內存，無法采取集群并行計算，目前來看還不能非常顯著地提升破解密碼的效率。NIST認為，除非量子計算機的發(fā)展超過預期，否則AES-128在未來數十年是安全的，同時AES-192已達到窮舉攻擊的上限，在可預見的未來是安全的。未來可以通過增加密鑰長度、散列值長度的方式來進一步提升安全強度。2021年，MicheleMosca教授團隊預估了破解成本，如表8所示，即使在40億物理量子比特下，AES-128仍有98bits的安全可以認為受Grover算法影響基本相當。（億）目前學術界和產業(yè)界尚沒有研制出數十億量子比特計算機的時間點預估。因此，當前認為除非量子計算機的發(fā)展遠超過預期，否則128位強度的對稱密碼算法、散列算法可以抵御目前可預見的量子計算攻擊。綜上所述，結合目前對于量子計算機發(fā)展趨勢的跟蹤以及目前外界的研究結果，Shor算法對于現有RSA、ECC算法的影響相對較大，未來可能出現可破解算法，但是實際可能的影響出現SM3等算法的安全強度減半，但是結合實際的實現情況Grover算法對于AES的影響性暫時也低于預期。由于量子計算機的發(fā)展情況仍存在很大的不確定性，對于安全時間的預估也會隨之變化，需要持續(xù)跟蹤量子計算技術發(fā)展，動態(tài)評估其對密碼算法的影響。（二）對金融業(yè)務的影響對于金融行業(yè)中的不同應用場景，由于所使用的密碼體制不同，其受量子計算影響的程度對應存在差異；由于場景特點不同，其所面臨的安全影響性、未來改造難度、系統(tǒng)升級影響性也各不相同。因而，在進行全面安全體系改造前仍需更加深入地研究量子計算發(fā)展對當前金融行業(yè)不同應用場景下密碼安全體系的影響性，以此幫助金融行業(yè)進一步認識量子安全威脅。在本節(jié)中，將梳理金融業(yè)務密碼算法應用現狀，分析不同特點業(yè)務場景受影響情況，并針對現有主要受威脅場景及威脅程度展開分析。1.金融業(yè)務密碼算法應用現狀基于應用場景安全保護目的的不同，可將其主要可分為數據加解密、簽名驗簽、完整性校驗等。其中，數據加解密還可細分為數據傳輸加密及數據存儲加密。除此之外，近年來也出現了如區(qū)塊鏈、隱私計算等新興的場景，同樣利用大量密碼算法來保護其中數據與信息的安全。各類場景中密碼算法應用現狀如下：敏感信息在傳輸的過程中可以使用對稱密碼算法或非對稱密碼算法進行加解密。若使用非對稱密碼算法，發(fā)送方使用接收方的公鑰對數據進行加密，接收方使用私鑰對加密數據進行解密，且若對雙向的數據傳輸均提供保護的話，需要用到兩對公私鑰。密碼算法的不安全可能導致加密密鑰泄漏等安全問題。典型應用場景包含跨行清算、支付等系統(tǒng)中的文件密鑰加密、敏感數據加密密鑰加密等。若使用對稱密碼算法，通信雙方協商出來的相同密鑰進行加解密交換，通常采用分組密碼算法，在對待加密數據進行數據分組填充后進行分組加密計算。密碼算法的不安全可能導致敏感信息泄漏等安全問題。典型場景包含跨行清算、支付等系統(tǒng)中的敏感數據加密、文件加密等。金融機構信息系統(tǒng)對存儲在磁帶、磁盤、數據庫等存儲介質中，涉及敏感的認證信息、業(yè)務數據采用對稱密碼算法、非對稱密碼算法、散列算法等實現敏感數據的加密存儲。密碼算法的不安全可能導致敏感信息泄漏等安全問題。（2）數字簽名數字簽名主要應用非對稱密碼算法及散列算法完成。發(fā)送方用私鑰進行數字簽名，接收方用經過鑒別的發(fā)送方公鑰來驗證簽名的真實性，并通過正確使用密鑰管理規(guī)則來確保私鑰的機密性和私鑰、公鑰的完整性及真實性。密碼算法的不安全可能導致偽造簽名、交易內容篡改等安全問題。典型應用場景包含身份認證、數字證書、金融IC卡交易的脫機數據認證等。（3）完整性校驗完整性校驗可以利用對稱密碼算法或散列算法進行實現。使用對稱密碼算法進行消息完整性驗證（MAC計算過程不需要可逆，只要單向函數加密。接收方利用相同的密鑰與算法對消息進行MAC計算，通過比較MAC值來驗證消息的完整性?；谏⒘兴惴ǖ南⑼暾则炞C（HMAC）是一個不可逆的單向函數加密過程。接收方使用相同的密鑰與算法對消息進行HMAC計算，通過比較HMAC值來驗證消息的完整性。密碼算法的不安全可能導致交易內容篡改等安全問題。典型應用場景包含銀行卡跨行交易報文MAC計算等。在區(qū)塊鏈技術中，區(qū)塊鏈的地址、公鑰私鑰、錢包管理等都和數字簽名算法相關，使用了數字簽名算法ECDSA等保證了使用者身份的不可偽造性。對于區(qū)塊鏈上的每個區(qū)塊，都利用散列算法來保護區(qū)塊數據、交易數據內容的不可篡改性。密碼算法的不安全可能導致身份偽造、數據篡改等安全問題。隱私計算技術中尤其是安全多方計算、聯邦學習中大量使用了經典非對稱密碼算法如RSA算法、ECDSA算法等。例如，安全多方計算經典技術不經意傳輸協議、混淆電路的實現中，需要利用上述經典非對稱密碼算法進行實現來保證數據傳輸的安全性。密碼算法的不安全可能導致數據泄露等安全問題。總體來說，由于量子計算對于非對稱密碼體系的影響更大，因而應用此類密碼算法的密鑰交換、數字簽名、身份認證等場景更受影響，而應用對稱密碼或散列算法的場景如數據加密、數據完整性校驗等受影響相對較小。2.金融業(yè)務場景受影響情況對于不同特點的金融業(yè)務場景，其受量子計算的影響程度也不盡相同，可從以下三個主要的維度對其進行分類分析：（1）應用場景所保護數據及信息的時效性從各場景下所保護數據及信息的時效性角度，我們可以將其簡單分為單次有效及長期有效。單次有效：在此類場景中，由于數據及信息在使用過后就不再具有意義，如果遭到破解，攻擊者也無法利用獲取的數據及信息進行后續(xù)的破壞活動。因而此類場景下，所受量子計算影響較長期有效：對于包含長期有效的數據及信息的場景，攻擊者竊取了相應信息后，只要在有限時間范圍內完成破解，都有可能對場景保護的數據及信息帶來安全影響。因而這些場景下，所受量子計算影響較大，改造升級的需求更為緊迫。（2）應用場景所涉及的范圍不同的應用場景所涉及的范圍存在差異，涉及范圍更廣的應用場景，應當更為優(yōu)先保障其安全性，其實際面臨的安全威脅更大，安全性提升的需求更為緊迫。同時，此類場景的改造難度也更大，需要預留更充分的時間。（3）應用場景所面向的應用對象由于應用場景面向的對象不同，其對使用效率變化的感受度會存在差異。例如，如若場景面向用戶，需要盡可能保證由于升級改造帶來的效率降低不影響到用戶體驗，對效率要求更高。而若是交互較少的數據加解密，其效率要求在可接受范圍內即可，因而交互體驗更強的場景受影響程度更大，對改造要求更高，改造難度更大。整體來看，在應用場景所使用密碼算法類似的前提下，保護長期有效數據、涉及范圍更廣、面向對象對使用體驗更敏感的應用場景的改造升級需求更緊迫、改造難度更大，其受量子計算發(fā)展的影響也更大。3.當前量子計算威脅主要場景由于對稱密碼算法運算性能遠遠強于非對稱密碼算法，為提升加解密效率，在數據加密傳輸場景中（如：SSL/TLS、SSH、數字信封等），一般先使用非對稱密碼算法協商密鑰，然后再使用對稱密碼算法和協商好的密鑰加密業(yè)務數據。因此，攻擊者現在可以先竊取密鑰協商報文和加密后的業(yè)務數據并存儲起來，待量子計算機可破解非對稱密碼算法后，再破解密鑰協商過程得到密鑰，最后解密出數據明文（下文稱為“先存儲，后破解”此時如果業(yè)務數據還處于保密期，則會導致數據泄露。對于未使用非對稱算法加密數據或密鑰的場景，目前不受量子計算攻擊影響，比如：使用了128位強度及以上的對稱算法或散列算法，或者使用了非對稱算法但不涉及加密（比如：數字簽名因簽名值是一串無業(yè)務意義的字符，沒有保密期概念，不受“先存儲，后破解”的攻擊方法影響。未來量子計算機發(fā)展到能破解對稱、非對稱及散列算法后，所有基于相關算法實現的安全保護功能均將失效。4.應對量子計算攻擊的迫切性通常使用XYZ理論來評估風險，當量子計算機可破解非對稱密碼算法時，如果屆時數據仍處于保密期限內，則存在風險，X：數據保密年限。不同類型數據有不同要求，對于高密級信息，X可能長達20年以上，如：軍隊、政府涉及國家秘密的信息、企業(yè)內部最高保密級別的信息等。Y：升級到可抵御量子攻擊的密碼算法的時間。由于非對稱算法是基礎算法，基礎算法的調整涉及修改所有基于基礎算法的安全協議（比如：TLS、SSH等）、安全產品（比如：加密機）及基礎IT設施（比如：服務器、手機、路由器等）。根據業(yè)界經驗，新基礎算法標準發(fā)布后，需要花費10-20年時間才能全面完成算法升級。當前對于算法標準制定進度最快的是美國國家標準與技術研究院NIST，于2024年正式發(fā)布3個算法標準。因此，預估將在2034-2044年左右完成算法升級。Z：可破解密碼算法的量子計算機出現的時間，預估2037年以后。如果未來量子計算技術發(fā)展超過或低于預期，會導致時間提前或延后?；谏鲜鲱A估，當前保密期限超過2037年的數據，如果涉及使用非對稱算法來協商對稱算法密鑰的場景，則當前已面臨量子攻擊威脅。實際威脅取決于未來量子計算機的發(fā)展進度，以及可抵御量子計算攻擊的密碼算法升級進展。四、面向國內金融行業(yè)的量子安全威脅應對策略雖然，當前的量子計算算力還遠低于密碼破解的要求，且基于先前的分析預估距可實際破解當前密碼算法的量子方案出現仍有一段時間，但是量子計算機的飛速發(fā)展將帶來許多未知的可能，也使得金融行業(yè)面臨著更為緊迫的安全形勢。為了應對未來可能出現的安全威脅，對金融行業(yè)的密碼安全體系進行加固改造勢在必行，且應從各方面著手準備。在學術界以及金融行業(yè)內，均已形成了一定的應對思路。接下來，將闡述幾類通用的方案。（一）通過強化或重構密碼算法應對量子安全威脅1.密碼算法安全增強對于對稱密碼算法及散列算法，理論上只需要通過增加密鑰或散列值長度等方式即可使得其保持現有的安全強度，從而具備抵御量子計算攻擊的能力。對于國際通用算法如AES，由于其具有AES-128、AES-192、AES-256三種密鑰長度參數的版本，在應用時可直接進行相應的升級切換。對于我國的商用密碼算法SM4，當前只有128bits一種安全強度的參數設置，未來需要對標準中的算法參數進行重新標準化或對算法設計進行優(yōu)化調整，使其在量子環(huán)境下可達到需要的安全強度。2.抗量子密碼遷移抗量子密碼算法（PQC）是基于不受已知量子算法攻擊的數ECDSA等算法。與現有的RSA等算法一樣，抗量子密碼算法仍然依賴“計算復雜性”，無法從數學上證明其安全性?！坝嬎銖碗s性”指針對該數學難題原理上可破解，但已知破解方法所需算力和破解時間遠遠超出了有效時間（比如：需要最強的超級計算機耗費數十億年因此密碼算法實際上是安全的。但未來可能出現更優(yōu)的破解方法或算力指數級提升，導致某一種抗量子密碼算法不再安全，需要升級到另一種抗量子密碼算法。因此抗量子密碼算法與現代密碼算法一樣，缺少長期安全性證明。目前主流抗量子密碼算法基于格、多變量、編碼、哈希等4個領域的數學難題而設計，每個領域下有多種具體實現算法，情況如表9所示：誤的學習）等主主數百K-幾M快基于格的算法可以覆蓋現有非對稱算法的使用場景，且在公鑰/密文/簽名的長度、性能等方面整體最佳，因此最被業(yè)界看好。2022年7月，美國國家標準與技術研究院（NIST）公布了擬第一批標準化的4種國際抗量子密碼算法（Kyber、Dilithium、Falcon、SPHINCS+前3個算法均為基于格的算法，SPHINCS+基于哈希。2024年8月，NIST已正式公布ML-KEM（Kyber）、ML-DSA（Dilithium）、SLH-DSA（SPHINCS+）三個抗量子密碼標準?？紤]到抗量子密碼算法未來也可能被破解，NIST將多個不同技術路線的抗量子密碼算法同時納入標準，當某一技術路線抗量子密碼算法存在被破解的風險時，可切換到另一種不受該破解方法影響的抗量子密碼算法，從而避免無安全算法可用的風險。我國密碼科學技術國家重點實驗室、中國密碼學會等科研機構也正在通過各類研討和算法競賽，推動抗量子密碼算法的研究。中國密碼學會2018年組織的非對稱算法設計競賽中，3個一等獎算法均基于格設計。各金融機構有必要持續(xù)跟蹤關注并適時開展技術驗證。3.加密敏捷性機制隨著計算能力增強以及新攻擊方法的出現，密碼算法安全性會隨時間推移而逐漸減弱（包括抗量子密碼算法）。長期來看，密碼算法存在持續(xù)升級的需求。一般情況下，金融行業(yè)使用的密碼模塊以算法為維度提供接口，不同密碼算法的接口及參數均存在差異。同時，金融行業(yè)與眾多監(jiān)管機構、清算組織、合作方存在系統(tǒng)互聯，當某一業(yè)務場景需要升級密碼算法時，往往需要不同機構的上下游應用一起修改密碼算法接口及參數，協調難度和工作量較大，耗時較長。為解決此難題，可以設計一套具備加密敏捷性的密碼算法使用機制。密碼算法升級切換時，由交易發(fā)起方調整算法參數，其他機構無需修改代碼，即可快速從當前非對稱算法切換到抗量子密碼算法，或從某一種抗量子密碼算法切換到另一種抗量子密碼算法。加密敏捷性大體有兩種思路：一是通信雙方先協商本次通信使用的密碼算法及密鑰，選出雙方都支持且優(yōu)先級最高的算法，然后發(fā)送方基于協商結果對傳輸數據進行密碼運算，接收方再基于相同算法及密鑰進行處理（類似TLS協議）。算法切換時，由發(fā)送方或接收方將新算法優(yōu)先級調整為最高，另一方無需修改代碼，協商時將自動選用新算法，從而實現密碼算法切換；二是通信雙方無需協商，而是由發(fā)送方在已加密處理的傳輸數據中增加使用的密碼算法和密鑰標識，接收方根據標識對數據進行相應處理（類似JWT機制）。算法切換時，由發(fā)送方調整密碼算法及密鑰標識，接收方自動按新標識調用新算法進行處理，無需修改代4.過渡期安全增強目前，金融行業(yè)相關的密碼安全規(guī)范是國密SM系列算法，抗量子密碼算法的標準仍在征集過程中，NIST抗量子標準在2024年剛提出三個標準算法；而國內對于抗量子密碼算法標準自2018年舉辦密碼算法設計競賽并完成兩輪篩選后，對于標準的制定仍在進行當中。因此，為了同時保證行業(yè)強監(jiān)管的合規(guī)性要求以及未來抗量子安全性要求，可以考慮在目前的過渡期執(zhí)行“兩把鎖”的抗量子增強方案。在保留現有國密SM算法體系不變的情況下，對數據進行第二道的抗量子加密，形成第二把抗量子鎖，則可在保證國內密碼應用合規(guī)要求的前提下進一步實現抗量子安全的增強。（二）通過量子技術本身的特性應對量子安全威脅1.量子密鑰分發(fā)（QKD）量子密鑰分發(fā)技術（QKD）是目前發(fā)展較成熟、已進入產業(yè)化階段的量子通信技術，也是抵御量子計算破譯挑戰(zhàn)的關鍵密碼技術之一。量子密鑰分發(fā)是指通信雙方通過傳送量子態(tài)的方法實現信息論安全的密鑰生成和分發(fā)的方法和過程。量子密鑰分發(fā)基于量子物理特性實現，其安全性不受計算能力的威脅，能夠達到信息論安全性，自然也具備量子安全性。QKD的功能是實現對稱密鑰的協商和生成，QKD與一次一密（OTP）結合可實現信息加密的信息論安全性，與對稱密碼算法結合可實現加解密功能，結合量子安全的對稱密碼算法可實現量子安全?，F階段的量子密鑰分發(fā)的主要應用模式是利用各類QKD網絡（端到端網絡、城域網或骨干網等）實現密鑰的安全分發(fā)，再與對稱密碼技術相結合，進而保證信息的安全傳輸，為國防、政務、能源等專網用戶提供高安全的數據傳輸應用服務。隨著量子保密通信的深入發(fā)展，應用形式得到了進一步的拓展，在量子加密VPN這類產品外，業(yè)界也成功研發(fā)推出了一些針對普通用戶的應用和產品，例如：量子加密通話手機、量子加密即時消息系統(tǒng)、量子加密對講機、量子加密電子郵件系統(tǒng)等。這些應用都充分展示了QKD網絡在密鑰分發(fā)、管理和服務上的作用和能力。2.量子隨機數發(fā)生器（QRNG）量子隨機數發(fā)生器利用量子力學過程產生隨機數。相比于傳統(tǒng)的偽隨機數發(fā)生器方案，量子隨機數發(fā)生器并不依賴于復雜的數學問題，因此隨機數的安全性具備信息論意義的安全性。另一方面，相比于基于傳統(tǒng)物理噪聲的隨機數發(fā)生器，量子隨機數發(fā)生器對熵源的建模和估計更加精細準確，最大限度地保證信息熵來源于較為可靠的量子力學隨機性。根據不同的量子力學原理，可以設計出各種不同的量子隨機數發(fā)生器方案。近年來，量子隨機數發(fā)生器的速率快速提升，達到GHz量級，并在低成本、小型化、芯片化等實用性方面取得重要突破。與此同時，人們提出了設備無關和半設備無關的量子隨機數發(fā)生器方案，用于一勞永逸地解決實際設備缺陷引發(fā)的側信道安全問題。量子隨機數發(fā)生器不僅可作為量子通信設備的關鍵器件，也可以用于信息技術需要真隨機性熵源的各個應用場景。3.量子隱形傳態(tài)（QT）量子隱形傳態(tài)（QT）是利用量子的糾纏態(tài)，來傳輸量子比特實現通信的方法。雖然目前量子隱形傳態(tài)還處于實驗室研究階段，還未形成產業(yè)化以及清晰的應用模式，研究者認為未來量子隱形傳態(tài)是實現可擴展全量子網絡和分布式量子計算的基礎，可以形成豐富的各種應用模式。例如量子隱形傳態(tài)可應用于量子密碼學形成各種基于隱形傳態(tài)的安全協議與應用。將量子隱形傳態(tài)應用于量子網絡中，可實現分布式計算和通信。1993年美國物理學家Bennett等人第一次提出了量子隱形傳態(tài)方案。典型的量子隱形傳態(tài)過程如下：發(fā)送方與接收方預先共享一個糾纏粒子對，即發(fā)送方和接收方分別持有一個粒子，而這兩個粒子處于量子糾纏狀態(tài)。待傳輸的量子比特加載在本地的一個粒子上，發(fā)送方對該粒子和所持有的處于糾纏狀態(tài)的粒子進行共同測量（如貝爾態(tài)測量），測量后兩個粒子的量子態(tài)將隨機地塌縮共同測量本征態(tài)（例如四個貝爾態(tài)）中的一個。隨后，發(fā)送方通知接收方測量結果，接收方相應地對自己所持有的原處于糾纏狀態(tài)的粒子做酉變換操作，即可以得到發(fā)送方要傳送的量子比4.量子安全直接通信（QSDC）量子直接通信方案將信息加載于量子態(tài)，并直接在量子信道進行傳輸，不依賴于加解密算法及密鑰的分發(fā)。該方案依靠量子不可克隆性、量子測量塌縮等量子原理感知和阻止竊聽，保證信息傳輸安全，即當有人竊聽時，量子態(tài)會被破壞，從而使竊聽方得不到任何信息，即使其擁有再強大的計算能力，也無法破譯。量子直接通信一改經典保密通信中的雙信道結構，使用僅包含量子通信的單信道結構，簡化了有可能導致信息泄露的環(huán)節(jié)，提高了數據傳輸的安全等級。量子直接通信由我國學者在2000年提出，近年來量子直接通信由理論走向實用化過程中不斷突破了多個技術難點，克服了損耗和噪聲干擾等困難，提升了通信速率。目前，量子直接通信技術已具備向實用化發(fā)展的核心技術基礎。2020年發(fā)布實用化量子安全直接通信樣機，2022年實現了百公里量子直接通信的實驗驗證，為量子直接通信的實用化發(fā)展奠定了堅實的技術支撐。目前我國已有商業(yè)銀行實現了量子直接通信技術在金融領域的全球首次應用。5.技術路線對比量子通信技術的特點在于它是通過量子態(tài)的傳遞（單量子狀態(tài)如光子態(tài)或多量子系統(tǒng)的量子態(tài)如糾纏）建立通信雙方的量子關系，不可忽略的是，它一般都包含有經典信息的交互過程，以此實現經典信息或量子信息的傳遞（故不存在超光速通信的可能）。具體來說，各類量子通信技術間的區(qū)別體現在技術原理、用途與應用模式、性能帶寬、技術成熟度等多個方面，不一而足。例如，量子密鑰分發(fā)為通信對端分發(fā)的是密鑰，量子隱形傳態(tài)和量子安全直接通信希望為通信對端傳遞經過編碼的信息；量子隱形傳態(tài)的量子信道是基于糾纏的，而量子密鑰分發(fā)和量子安全直接通信建立的量子信道都是用于傳輸量子態(tài)的；三者目前能夠實現的通信帶寬與傳統(tǒng)通信相比還都較低。（三）綜合應用抗量子密碼技術和量子密碼技術基于數學的抗量子密碼技術及基于物理的量子密碼技術，其融合應用可體現為兩個方面，一方面是量子密碼與抗量子密碼綜合使用構建一個抗量子計算的、具有長期安全性的、完整的密碼體系；另一方面是兩種密碼技術相互融合以提升各自的能力需要。例如，QKD結合對稱密碼技術可以在信息的機密性、真實性和完整性方面實現量