建信金科的后量子迁移：理念与实践

文 / 建信金融科技有限责任公司量子金融应用实验室

上世纪90年代，随着研究人员对量子计算能力认识的不断提高，两个量子算法横空出世，猛烈冲击了传统密码体系的安全性，从此拉开“后量子密码”的探索大幕。30年弹指而过，2022年7月美国NIST正式公布了部分后量子密码安全标准算法，宣告后量子密码即将进入大规模落地应用阶段。

建信金融科技有限责任公司（以下简称“建信金科”）作为建设银行的金融科技子公司，于2020年起领国内金融行业之先，开始关注后量子安全，自当抓住机遇，在理论和实践方面努力探索出一条适合目前国内金融行业现状的后量子迁移之路。本文试做梳理。

起点——量子技术威胁密码安全

近年，国内外量子计算机研制取得持续突破，有工程师预计量子计算机将在20年内实现大规模商业化应用。IBM公司于2021年11月宣布已研制出能运行127个量子比特的量子计算机，这是目前全球量子比特数最多的超导量子计算机；根据IBM的时间表，计划于2023年之前建造1121量子比特的全球首个通用量子处理器。中国研究者也于2021年10月成功研制出“九章二号”量子计算原型机，其运算速度比目前全球最快的电子计算机快约1024倍。

“量子计算”这一概念最早由物理学家费曼等提出。量子计算机具有超强的并行计算能力，有望通过特定算法在一些具有重大社会和经济价值的问题方面实现指数级别的加速。

然而，量子计算机在带来算力突破的同时，也威胁密码安全。密码安全体系包括公钥密码和对称密码两类。公钥密码安全体系广泛应用于各类数字基础设施，其安全性基于RSA、（椭圆曲线上的）离散对数等难以被传统电子计算机快速求解的数学问题；而一旦建造出大规模量子计算机，就可以利用Peter Shor于1994年提出的量子算法轻松求解这几类数学问题，进而颠覆现有的公钥密码安全体系。对称密码则是另一类密码安全体系，Grover量子算法会对其安全性产生一定的冲击。

尽管大规模量子计算机尚未研制成功，但由于存在适当的攻击策略，量子威胁已然迫在眉睫。试想这样一种场景：经过加密处理的关键数据在不安全的信道上传输，攻击者可以窃听并存储这些加密数据，虽然他目前不具备破解能力，但他可以先将这些数据都存储下来；等到大规模量子计算机研制成功，攻击者就能迅速破解此前存储的关键数据。这种“StoreNow-Decrypt-Later”的攻击方式被称为前向攻击，它将威胁数据的前向安全性。考虑到存储设备的低成本以及某些关键数据的长效安全性需求，前向攻击对敏感或保密的信息、（特定场景下）长期有效的数字签名等，可形成严重威胁。特别是目前金融场景中客户通过网银和手机银行进行信息查询时，在互联网通信中传输数据信息，存在极大的前向安全隐患。

综上，量子计算机研发进展飞速，前向攻击等如达摩克利斯之剑时刻悬于顶上，时代呼唤新的密码安全技术。

新阶段——后量子迁移势在必行

为应对量子计算威胁，需要设计并实现能抵御量子攻击的密码安全体系，这一体系被称为“后量子密码”（Post-Quantum Cryptography，PQC）或“抗量子密码”（Quantum-ResistantCryptography，QRC）。经过20多年的研究，后量子公钥密码领域硕果累累，主要包括五个类别；其中，基于格的密码算法因其在（量子）安全性、空间效率、时间效率上往往可取得较好的平衡，被认为是最有前景的后量子公钥密码方向之一。

标准是经济活动和社会发展的技术支撑，是国家基础性制度的重要方面。而密码安全标准的确立是网络与信息安全防护体系建设的基础，是数字金融、公共通信和信息服务、电子政务、智慧城市、基础软硬件保障等不同领域的各类系统安全平稳运行、高效实现跨部门跨机构数据传输的前提。正因如此，在后量子（公钥）密码学渐趋成熟后，许多国家、组织即着手准备制定后量子密码安全标准，以推进后量子密码技术的大规模落地。其中，美国最为积极，进展也最为迅速。

2016年，美国国家标准与技术研究院（NIST）即正式启动后量子密码标准化项目，面向全世界公开征集后量子密码算法。该项目采用多轮评选和公开意见征集的机制不断迭代优化算法设计实现与参数选取，在一定程度上增加了评选结果在安全性上的可信度，也为各国的后量子密码标准制定工作提供了借鉴。该项目吸引了包括中国在内的至少25个国家和地区的密码专家的积极参与。2022年7月初，NIST正式公布其后量子密码标准化项目第三轮筛选的结果：4个算法提前入选成为美国的后量子密码安全标准算法，4个算法继续进入第四轮的筛选；整个项目预计将于2024年初全部结束。初选结果的公布，标志着后量子密码即将进入全面落地应用阶段。

图1  NIST公布首批后量子密码安全标准算法

对于金融行业乃至整个工业界而言，布局后量子密码安全技术，最重要的工作便是将现有的密码安全体系分阶段平稳过渡到后量子密码安全标准体系，即“后量子迁移”。包括德国、英国和法国在内的西方多国已于近年先后表态关注后量子迁移，美国更是率先布局：2021年，NIST发布白皮书，详细指导各政府部门、大公司等为后量子迁移做好前期的准备工作；2022年1月，美国白宫签发国家安全备忘录，要求涉国家安全系统的行政部门（或行政机关）在180天内，针对未使用指定后量子加密算法的系统，给出后量子迁移的时间安排；2022年5月，白宫再次签发备忘录，针对后量子迁移事项，向各行政部门（或行政机关）提出更为具体的命令，包括要求商务部牵头启动“后量子迁移项目”；值得一提的是，美国NIST在其后量子标准化项目第三轮结束时提前确定部分算法成为美国的密码安全标准，很大程度上也是为其政府部门、大公司等进行后量子迁移的准备工作提供参考依据。

根据NIST的后量子迁移白皮书，后量子迁移包括两个阶段，即前期准备和迁移实施。前期准备通常包括密码相关资产的盘点与迁移计划的制定：首先，梳理可能受量子计算技术影响的全部密码相关资产，整理各资产的基本情况和资产之间的依赖关系，编制成清单；然后，对清单上确定做迁移的资产排定迁移顺序，并逐个制定具体迁移方案，同时结合测试对迁移方案做迭代。迁移实施则是结合迁移清单和迁移方案具体执行迁移。

后量子迁移是一项极为复杂的长期系统性工程。以往密码安全体系的迁移工作历时5~15年，如目前我国的SM系列国密标准的推广时间约为10年。相比之下，因后量子（公钥）密码独有的特点，后量子迁移的周期可能更长：后量子公钥密码算法在性能方面远落后于现行公钥密码标准，导致迁移过程中的部署调试工作相对较复杂；不同类别的后量子公钥密码算法在性能方面存在巨大差异，再考虑到未来不断增长的密码安全需求，每一类别的后量子密码都只适用于部分应用场景，因此需结合应用场景的实际需求具体选择，客观上增加了后量子迁移的复杂程度。

图2  应用公钥密码的金融应用场景

启示——建信金科率先入局

后量子密码迁移是一个全球性的新课题，尚无成型的解决方案和案例可供参考。建信金科作为建设银行的金融科技子公司，率先在业界成立专门跟踪、研究量子信息科学的量子金融应用实验室，并积极探索后量子安全事宜。一方面，量子金融应用实验室通过与后量子密码安全方向的国际顶级团队合作，跟踪、关注后量子密码安全领域的最新进展，并从应用的角度出发，针对其中若干具体领域开展相关研究。另一方面，出于对建设银行自身系统的安全性考虑，在上述跟踪和研究的基础上，建信金科也开展了关于应用后量子密码算法的理论探索和工程实践。

需要说明的是，目前我国金融行业相关行业法规指定的密码安全规范仍是国家商用密码SM系列算法。基于金融强监管的合规性要求，我们依然沿用SM算法，并在其基础上进行基于后量子密码的安全增强探索实践，同时兼顾未来我国的后量子安全国家标准正式出台后的迁移工作。因此，建信金科施行的后量子迁移工作，可以视为基于后量子密码的安全增强工作。

首先，建信金科积极探索后量子迁移的理念。鉴于后量子迁移工作的复杂性和不确定性，建信金科在借鉴NIST所发布的后量子迁移白皮书的基础上，积极探索适合当下我国金融行业安全现状的后量子迁移道路。从2020年开始，建信金科进行了长达两年的先期试验工作，并在此过程中，结合算法设计、工程实践、应用落地等多个维度的实践，逐步形成了一套符合建信金科金融业务体系特征的迁移理念和方法论。例如，为了在保证合规的同时完成与后量子密码相关的安全增强工作，建信金科并没有采用一步到位直接使用国际公认的较为成熟的后量子公钥密码安全算法取代现有算法的迁移方式，而是提出并使用了“两把锁”的混合模式，作为一种过渡阶段的解决方案。此外，建信金科倾力打造的“新一代”安全组件加密服务系统，由于采用了自主研发路线，避免了过多的外部依赖造成的代码耦合问题，既有利于当下为应对潜在的前向攻击，尽快部署应用国际公认的后量子密码安全方案以实现安全增强，同时保障算法及参数能实现“一键升级”，以便未来我国的后量子安全国家标准算法出台后，能平滑切换从而彻底完成迁移工作。

其次，建信金科积极实施应用后量子密码安全方案。目前，建信金科的后量子安全增强实践，主要体现在基于“两把锁”的混合算法，在建设银行业务系统中的部署和应用。建信金科在进行后量子安全增强工作时，优先在各类金融业务系统中，选择迁移模式具有代表性、参考性和重大迁移价值的系统。目前，建信金科已完成五大场景下的后量子安全增强应用和推广工作，通过新一代安全组件加密服务系统，支撑超过三千个建设银行的金融业务系统。

最后，建信金科积极推进行业标准的建设。建信金科在发展自身安全的同时积极赋能金融行业，于2020年向人民银行及相关部门提交了后量子安全方面的研究报告。通过《抗量子密码技术金融应用标准体系研究》课题，建信金科牵头起草了金融行业的后量子安全指南，并获得全国金融标准技术委员会2020年度金融标准化重点研究课题优秀奖。

展望——后量子安全未来可期

金融数据的安全存储、传输和使用，都离不开密码算法，普遍认为，一旦通用量子计算机成为现实，攻击者可能通过前向攻击等手段对金融信息安全形成毁灭性打击。

建信金科作为建设银行的金融科技子公司，高度重视信息化核心技术安全可控，积极维护金融基础设施安全。基于量子威胁的严峻程度和后量子迁移的紧迫性，建信金科成立量子金融应用实验室，在持续研究和充分试验的基础上，审慎规划、逐步推进后量子迁移工作，为建设银行提供数据的后量子安全的同时，积极探索适合目前国内金融行业的后量子迁移之路，努力为实现我国金融行业的数据长效安全性做出应有的贡献。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。