今天,美国金融业监管局(FINRA)发布了一份新报告《量子计算及其对证券行业的影响》。虽然实用的量子计算仍处于萌芽阶段,但该研究探讨了依靠量子力学进行复杂计算的新兴技术如何在未来显著改变证券行业;报告还探讨了该技术潜在的网络安全威胁和监管方面的考虑因素

这项研究由美国金融业监管局的金融创新办公室(Office of Financial Innovation)进行,该办公室隶属于最近成立的监管、经济和市场分析办公室(Office of Regulatory, Economics and Market Analysis)。美国金融业监管局发起该研究项目的目的是,在证券行业加速发展之前,让人们关注该技术带来的机遇和风险。

“我们期待与证券行业合作,了解量子计算可能对金融市场产生的影响。”美国金融业监管局副总裁兼金融创新办公室主任Haimera Workie说:“从这项技术可以促进行业发展的方式到它可能带来的威胁,我们必须共同考虑这项技术的影响。这项研究以及我们为更好地理解量子计算对证券行业的影响而正在开展的工作,将有助于美国金融业监管局在技术发展的过程中继续履行保护投资者和市场诚信的使命。”

近年来,几家主要金融机构已将量子计算视为一项有可能在未来十年内极大地颠覆证券行业的技术,虽然据报道2018年只有1%的公司为量子相关支出制定了预算,但根据一些估计,到2023年,多达20%的公司可能会以某种形式这样做:预计未来30年的投资额将高达8500亿美元

尽管量子计算的发展时间表尚不确定,但它有可能重塑金融服务业,为企业带来新的能力和挑战。

美国金融业监管局的报告至少指出了量子计算可能对证券行业产生重大影响的三个潜在领域:优化系统、模拟系统和人工智能(AI):

- 量子计算有可能实时有效地分析和处理大量金融结果,使金融机构能够加强交易执行、交易结算和投资组合管理的优化系统。

- 这项技术还能让企业更好地理解和考虑与市场活动相关的不确定性,使其能够运行在传统计算机上可能无法运行的模拟。通过量子计算,目前可能需要数天的风险评估可以在数小时内完成,甚至接近实时。

- 量子计算被视为人工智能的潜在加速器,而人工智能已成为业界的一个重要话题和工具。量子人工智能有可能提高处理和分析大型数据集的能力,同时也会带来新的风险。

金融服务业严重依赖加密技术来保护数字信息。

无论是安全存储客户的个人身份信息 (PII)、通过虚拟专用网络 (VPN) 访问互联网,还是确保通过移动应用程序下达的交易指令的完整性,加密算法都在金融业的许多关键功能中发挥着核心作用。无论是安全存储客户的个人身份信息 (PII)、通过虚拟专用网络 (VPN) 访问互联网,还是确保通过移动应用程序下达的交易订单的完整性,加密算法都在金融系统的许多关键功能中发挥着核心作用。这些算法基于数学问题,而当今的经典计算机要解决这些问题耗时过长。例如,黑客使用传统计算机需要 万亿年才能破解VPN等基于互联网的通信加密。

量子计算具有得天独厚的优势,可以在未来提供一种简化的方法来破解当今的标准加密保护。之所以能做到这一点,是因为量子计算可以利用专门的算法,大大减少解决当今加密背后的数学问题所需的时间。从高层次上讲,这种解决方案之所以可行,是因为量子计算机使用叠加的量子比特来同时查看算法的多个潜在解决方案(即量子并行性),并选择正确的解决方案。

加密被广泛认为是企业遭受量子攻击的主要漏洞。这是因为量子计算机能够利用算法来降低某些安全方法的性能,例如非对称密钥加密法(在发送方和接收方之间使用不同的私人/公开密钥对进行加密的系统)、散列法(使用算法将任何大小的信息扰乱成编码的固定长度值的系统)和对称密钥加密法(在发送方和接收方之间使用共享私人密钥进行加密的系统):

- Shor算法。Shor算法在解决非对称密钥加密的数学问题方面特别有效。Shor算法为量子计算机破解非对称密钥加密的计算提供了指数级的加速优势。黑客可以利用Shor算法来设计对RSA(Rivest-Shamir-Adleman)等加密标准的攻击——RSA 是确保数据传输安全的通用标准。

- Grover算法。Grover算法并不适合破解非对称密钥密码学,相反,黑客可以利用它在破解对称密钥密码学和哈希算法时提供所谓的量子加速优势,即找到可能解决方案的时间大大缩短。黑客还可以利用Grover算法削弱常用于保护敏感数据的高级加密标准 (AES) 等标准。

鉴于肖尔算法具有明显的提速优势,量子攻击对非对称密钥加密的潜在威胁最大。尽管格罗弗算法可能会得到改进,但就其现状而言,对称密钥加密和散列算法仍被普遍认为是抗量子攻击的。

几乎每家公司的数据(包括存储和传输)都使用了加密技术。此外,加密技术是确保90%以上互联网连接安全的基础,并在区块链平台上发挥着重要作用。加密技术可通过多种方式在企业的数据安全架构中发挥关键作用,包括确保与客户和其他企业的通信链路安全、验证身份(包括通过使用数字签名或认证)以及确保敏感信息的安全。

因此,考虑到未来任何量子攻击可能造成的破坏,并考虑到最终确定一套新的加密算法、在公司的硬件和软件堆栈中实施这些算法以及充分培训人员可能需要的时间,一些公司已经开始探索对其加密安全进行升级的可能性。

考虑到设计和实施新标准所涉及的所有问题,通往量子阻力之路可能包含一系列需要数年时间的步骤。美国国家科学院(National Academy of Science)表示,要完全取代一个广泛使用的加密标准至少需要十年时间,而这将在本已漫长的PQC设计和标准化过程完成之后。在NIST最终确定其新算法套件之后,这些选择可能会被考虑用于更广泛的公共基础设施(如互联网)标准化。

一些公司已开始监控加密更新的进展,旨在通过抗量子加密提供更强的保护。需要考虑的潜在因素包括重新加密敏感数据或重新签署文件,同时销毁旧版本。实现量子抗性的步骤可能涉及很多方面、也很复杂,可能会对运行性能产生影响。有鉴于此,一些标准制定机构已经开始规定实现量子抗性的步骤。值得注意的是美国国家标准与技术研究院(NIST)和欧洲电信标准协会(ETSI)的指南,后者是信息与通信领域的非营利标准化组织。

- ETSI指南。在2020年发布的一份技术文件中,ETSI列出了实现完全量子安全加密状态 (FQSCS) 的三个主要步骤。第二步是重新设计或淘汰资产,根据需要采用量子安全或经典算法,并采取灵活的姿态在适当的时候进行升级。第三步是执行阶段,通过模拟和演习管理过渡,确保在最初的清查和规划阶段没有任何疏漏。

- NIST指南。隶属于NIST 的国家网络安全卓越中心 (NCCoE) 发布了一份出版物,详细介绍了向PQC迁移的潜在步骤和相关挑战,以提高人们的认识。该出版物评估了关键资产迁移所涉及的量子风险和复杂性,并列举了迁移计划的注意事项,其中一些与ETSI的报告如出一辙,包括盘点企业中使用密码的方式,以了解如何制定迁移计划。

此后,NCCoE 与公共和私营利益相关方合作,继续提高对迁移计划的认识并制定相关流程。

报告称,考虑是否采用量子计算机或考虑量子计算带来的潜在威胁的公司可能会考虑四个关键的监管问题:网络安全、第三方供应商外包、数据治理和监督控制。由于量子计算技术有可能挑战目前使用的加密保障措施,因此网络安全问题尤其会给企业带来挑战。

公司还不妨考虑量子计算的使用会如何影响其在美国金融业监管局第4370条规则下的义务,该规则要求公司创建并维护书面BCP,确定应对紧急情况或其他重大业务中断的政策和程序。该规则规定,此类政策和程序必须设计合理,以使公司能够履行其对客户、交易对手和其他经纪自营商的现有义务。

量子计算的发展可能会给现有加密方法带来风险。因此,根据量子计算未来发展的性质,公司不妨考虑适当的业连计划相关保障措施或应急计划,尤其要重视关键任务功能。

本报告并未详尽列举与使用量子计算相关的所有因素和监管问题,也未提出新的法律或监管要求或对现有要求做出新的解释。

目前,美国金融业监管局正在向探索量子计算的公司、市场参与者和其他各方征求意见,同时维护投资者保护和市场诚信。征求意见截止日期为2024年3月15日。

关于美国金融业监管局

美国金融业监管局(FINRA)是一家非营利性组织,致力于投资者保护和市场诚信。美国金融业监管局受美国证券交易委员会监督,负责制定规则、检查和强制执行美国金融业监管局的规则和联邦证券法,对经纪商人员进行注册,为他们提供教育和培训,并向投资大众提供信息。此外,美国金融业监管局还为股票和期权市场提供监督和其他监管服务,以及交易报告和其他行业实用工具。美国金融业监管局还为投资者和经纪公司及其注册员工提供争议解决论坛。

欲了解更多信息,请访问 www.finra.org

参考链接:

[1]https://www.finra.org/sites/default/files/2020-06/ai-report-061020.pdf

[2]https://www.businesswire.com/news/home/20231030120708/en/Quantum-Computing-Has-Potential-to-Reshape-Securities-Industry-New-FINRA-Report-Says

[3]https://www.finra.org/rules-guidance/key-topics/fintech/report/quantum-computing

声明:本文来自光子盒,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。