量子安全威胁及其对国内金融 行业的影响研究报告 2024 年 北京金融科技产业联盟

量子安全威胁及其对国内金融行业的影响研究报告版权声明本报告版权属于北京金融科技产业联盟，并受法律保护。转载、编摘或利用其他方式使用本白皮书文字或观点的，应注明来源。违反上述声明者，将被追究相关法律责任。I秦秦吴编委会成员：璐猛马王超璐猛马王超硕赵雪娇赵雪娇李向锋编审：黄本涛王一多谭亦夫高文华姚文韬许锦标侯君达康洁向玉峰吴永飞胡垚垚秘相友沈超建何慧芸王彦博胡军华牵头编制单位：中国银联股份有限公司参编单位：中国工商银行股份有限公司中国建设银行股份有限公司本源量子计算科技（合肥）股份有限公司科大国盾量子技术股份有限公司中国农业银行股份有限公司华夏银行股份有限公司浙商银行股份有限公司北京银联金卡科技有限公司神州数码信息服务集团股份有限公司交通银行股份有限公司中国邮政储蓄银行股份有限公司中金金融认证中心有限公司北京数字认证股份有限公司 （一）算力发展 3（二）算法发展 7 （一）对密码体制的威胁 （二）对金融业务的影响 （一）通过强化或重构密码算法应对量子安全威胁 （二）通过量子技术本身的特性应对量子安全威胁 （三）综合应用抗量子密码技术和量子密码技术 （四）各类应对措施对比 1摘要：随着量子技术的持续发展，给金融行业现有的安全加密系统带来潜在威胁。为应对量子安全威胁，本报告对于量子计算的发展现状进行了调研，研究了量子计算对现有密码体制的威胁并结合金融业务密码算法应用情况分析总结了量子计算对国内金融行业的影响性。同时，结合我国实际情况给出了面向国内金融行业的量子安全威胁应对策略。一、研究背景及意义量子计算是遵循量子力学规律调控量子信息单元进行计算的新型计算模式。由于量子力学存在叠加性，使得量子计算机具有天然的并行计算能力，且具备指数级性能扩展等理论优势，继而可以带来计算算力的显著提升。现如今，量子计算已成为计算技术研究的重点方向之一。自量子计算概念提出以来，大量研究机构从量子算法的设计优化与量子计算机硬件的研制建造等方面开展深入研究，取得了丰富的研究成果。随着量子计算技术的不断发展，量子计算算力得以持续提升，为各行各业带来性能优化的同时，也对现今使用的密码体系带来安全威胁。在量子算法方面，Shor量子算法可以在多项式时间内解决大整数分解问题，使得经典的非对称密码算法如RSA、SM2等在量子环境下不再安全；Grover量子搜索算法相较于经典搜索算法在计算复杂度上可以获得平方级加速，经典的对称密码算法如AES、SM4及散列算法SHA-3、SM3等的安全强度在量子环境下将直接减半。若存在足够规模的量子计算机来执行以上密码破解算法，将会对传统密码安全体制造成毁灭性的打击。在量子计算机研制2方面，存在多种设计路线，包括超导、光量子、离子阱等，不同的设计路线各存优劣，同步快速发展。虽然目前的量子计算机仍无法实现对经典密码算法的直接破解，但也已带来巨大的潜在威胁，我们正面临着愈发严峻的安全考验。深入研究分析量子计算发展对于现有传统密码体制的实际影响情况并寻找相应的应对方案是当务之急。在金融行业中，使用了大量的传统密码算法来保证数据及用户使用的安全性，当传统密码体制不再安全，金融行业的信息安全将同样受到影响。逐步提升现有密码体系的安全性，将其改造为可以抵抗量子攻击的密码安全体系势在必行。然而，在改造的过程中对于现有系统的使用是否存在影响、改造后的系统在性能上是否会与现有系统存在差异，这需要我们提前分析及考虑。因此，对于整个金融特有的密码安全系统来说，除了分析密码体制本身带来的安全性问题，还需要分析讨论在后续改造升级过程中可能带来的其他影响。在量子计算的冲击下，如何继续保证金融行业数据的长期安全是重中之重。此研究旨在对目前金融行业所受到的量子计算威胁进行影响性评估，帮助金融行业充分了解量子计算的发展对行业现在及未来可能造成的影响，从而了解目前我们所面临的形势。同时探讨我们可以通过哪些方式合理、适时、有效地渡过量子计算发展带来的安全危机，帮助我们制定更为科学、高效的安全体系升级计划。二、量子计算发展现状及趋势对于量子计算技术的研究主要分为两个方面，一是对量子计3算机硬件的研制和建造，二是对量子算法的设计和优化。此二者相辅相成，推动着量子计算技术的快速发展。由于构建量子比特的方式不同，量子计算机的设计路线也不尽相同且各存优劣。截至目前，各设计路线尚未统一，可能的商业化路线仍不明确。在本节中，将先对量子计算机性能评价指标进行介绍，再阐述不同量子计算机设计路线的原理及发展情况。1.量子计算机评估指标衡量量子计算机的性能有不同维度的多种指标，主要包括：量子比特数：用于衡量量子计算机可以同时操控的最大量子比特数量，其大小决定了量子计算机能够编码和处理的问题规模。门保真度：用于衡量在噪声环境下利用实际量子处理器得到的计算结果与经过理想量子门操作得到结果之间的偏差大小。保真度的数值越高，代表量子处理器的偏差越小，其计算结果越准相干性：用于衡量量子比特保持量子态和耦合态的能力，通过相干时间的长短来表示。相干性越差，量子态保持时间越短，量子比特越快失去量子计算的能力，将限制量子处理器可以执行的算法的复杂程度。逻辑连通性：用于衡量量子计算机中任意一对量子比特实现双量子比特门的能力。逻辑联通性越有限，为了模拟更大的联通性就需要在算法中增加越多的逻辑交换运算，从而可能导致更大的噪声和误差。可扩展性：用于衡量量子计算机架构是否能扩展到大规模的4量子比特数量。除此之外，量子计算机的逻辑门执行速度、量子体积、图灵完备性、云访问性等也都是评估量子计算机性能的参考指标。2.量子计算机设计技术路线超导量子计算机的核心是基于Josephson结的Cooper对制造量子比特，其优势在于易操控、易测量、易扩展，更容易构成大规模的、量子比特数更多的量子计算机，其劣势在于易受磁场等环境影响而导致退相干时间较短，从而限制可执行计算任务的复杂度。目前，超导技术是最具竞争力的通用量子计算机设计路线之一，主要的研究公司包括IBM、Google、Rigetti、本源量子、国盾量子等。截至目前，具备量子比特数最多的是IBM在2023年12月发布的具有1121量子比特的量子处理器Condor，国内的中国科学院量子信息与量子科技创新研究院于2024年4月发布504比特超导量子计算芯片“骁鸿”。（2）光量子计算机光量子计算机利用光子来充当量子，将光的偏振态编码为量子比特的基态并通过线性光学元件来处理量子信息。由于光子受环境影响小，其优势在于相干时间长，同时光子的多自由度特性可以在更少光子数量下实现较多的量子比特。但是光子的相互作用微弱，构建双量子比特门、实现逻辑运算是此设计路线中的技术难点。光量子路线也是目前备受关注的技术路线之一，主要的研究机构与公司有中科大、Xanadu等。中科大的“九章三号”光量子计算机以及Xanadu研制的Borealis光量子计算机均在解决高5斯玻色采样问题上展现了光量子的计算优越性。（3）离子阱量子计算机离子阱量子计算机利用电磁场将离子束缚在特定区域内，通过激光或微波操纵囚禁离子的两个内能级实现量子计算。离子阱的运算更不容易出错，单个量子比特的相干性优于超导量子比特，相较光量子技术具有天然的逻辑联通优势。然而，由于离子阱中可容纳的量子比特数有限，其劣势在于可扩展性较差，难以达到高数量的量子比特数。Quantinuum、IonQ以及国内的启科量子主要关注于此技术路线。截至目前，Quantinuum给出了最高的56比特的离子阱量子比特处理器H2-1，其两量子比特门保真度达到了99.843%。离子阱技术也是通用量子计算机研制的另一有力竞除此之外，量子计算机的其他设计路线主要还有硅半导体、中性原子、冷原子、核磁共振、拓扑量子计算等，各类科研机构与公司积极参与研究，取得了丰富的研究成果。3.技术路线对比及发展趋势从量子计算机性能发展看，正如此前介绍，衡量量子计算机的性能有不同维度的多种指标，而其中量子比特数无疑是其中重要的一个。2016年，IBM将第一台可实验的量子计算机放在云上——这是一台具有5个量子比特的设备。到2023年12月，IBM制造出了迄今全球最大量子计算机“秃鹰”（Condor），其拥有1121个量子比特。2023年6月，中国科学技术大学“祖冲之号”研发团队在原“祖冲之号”66比特芯片基础上加以提升，新增了110个耦6合比特的控制接口。2024年4月中国科学院量子信息与量子科技国内外量子计算机量子比特数的发展情况总体如表1所示：2NMR7NMRLosAlamosNationalLaNMR量子计算机的不同设计技术路线在不同的性能参数上各有优劣。例如，超导路线目前实现的量子比特数多于其他路线，而7离子阱路线在保真度与相干时间上等指标上占优，在评价量子计算机的具体性能时需要从多个角度进行综合考量，各主要技术路线的性能对比如表2所示。然而，各技术路线均存在一些技术难点需要攻关与突破，仍待进一步研究与优化。强弱Xanadu，中当前，量子计算的发展已有四十多年的历史，伴随着量子算法的发展，逐渐体现了量子计算机的强大优势。在本节中，首先介绍量子算法发展的总体历程，再对各类量子算法的发展及其应用进行展开介绍。1.量子算法发展历程从量子算法发展的角度看，大致可以分为三个阶段。（1）理论提出及探索阶段(1980-1994)1985年，英国牛津大学教授DavidDeutsch首次提出了量子图灵机模型，并设计了第一个量子算法Deutsch算法。1992年，8Deutsch-Jozsa算法，首次很好地体现了量子计算优势。此后，Bernstein和Vazirani基于D-J算法设计了可有效地解决询问量子数据库问题的B-V算法，为后续Shor、Grover等量子算法的设计奠定了基础。（2）通用量子算法发展阶段(1994-2009)年，美国贝尔实验室的PeterShor提出了Shor算法，从理论上展示了量子计算机能够把大整数分解等问题的求解时间从指数时间复杂度降到多项式时间复杂度，对传统非对称密码算法RSA、ECC等带来巨大威胁。1996年，LovGrover提出了Grover量子搜索算法，它解决的是无序数据集搜索问题，也是第一个被完整AvinatanHassidim和SethLloyd联合开发了HHL算法，它可用于求解线性方程组，相比经典算法可达到指数级加速。（3）专用量子算法繁荣阶段(2009-至今)从2009年开始，以谷歌、IBM为代表的一些企业，开始把规模化量子计算机的工程化作为主要的发展方向。在现阶段图灵完备的通用量子计算机规模化还未达到足够大的情形下，很多科学家转而研究非图灵完备的专用量子计算架构，可以在一些专业领域，解决某种特定类型的问题。在此过程中，很多专用的量子算法出现了。其中包括一些优化的算法，如变分量子特征值求解算法、量子近似优化算法等；还有一些采样的算法，包括玻色采样、量子随机游走等算法，此9外还有美国斯坦福大学提出的CIM相干伊辛机、以D-Wave公司为代表的量子退火算法等。2.各类量子算法的发展与应用基于量子算法发展历程，可见量子算法主要分为通用量子算法和专用量子算法，下面将重点介绍一些通用量子算法的发展及应用，并简要介绍专用量子算法的发展和相关应用。（1）通用量子算法的发展和应用量子计算领域最著名的两个算法是Shor算法和Grover算法。运用Shor算法求解整数因子分解问题是量子计算机最早的应用中p和q均为素数，求解p和q。经典算法求解该问题的最优时2im))，而Shor算法求解该问题的时间复杂度仅为0hm，极大地提升了求解问题的效率，使得在足够的量子比特下，攻破整数分解问题成为可能，基于整数分解问题设计的RSA算法将不再安全。Shor算法的核心是周期查找，可以归约为交换群的隐藏子群问题。基算法可以被推广用于求解不同的困难问题。例如可以在多项式时间内求解离散对数问题、椭圆曲线上的离散对数问题、主理想问题等。而基于这些困难问题的密码算法都将随着量子计算机的发展变得不再安全或者安全性降低，如基于离散对数的DSA、Diffie-Hellman算法，基于椭圆曲线离散对数的ECDH、ECDSA算法，基于主理想的Buchmann-Williams密钥交换系统等。目前，Shor算法的发展越来越成熟，研究者们主要通过对量子比特数或者量子门深度的优化改进。具体进展见表3。3Grover算法主要利用振幅放大对无结构数据进行搜索，可实现对经典搜索效率的二次加速。在金融互联网行业处理大规模数算法可以提高密码破译效率，对密码安全性将构成潜在威胁。对于对称密码算法，其安全强度将从0(2n)次经典搜索降低至n/2次量子搜索；对于散列算法，其安全强度将从02n次经对称密码算法以及散列算法都需要增大密钥或散列值规模才能保证原有的安全强度。除此之外，其他量子算法如Simon算法、B-V算法也被尝试用于对现有密码体系攻击的加速。Simon算法可用于寻找一些函数中的隐藏周期，主要可应用于加速对称密码中周期的查找问题；B-V算法能够用于求解一个布尔函数的线性结构，可被用于恢复分组密码的密钥。近几年来，许多研究工作都将上述量子算法与经典密码分析方法进行组合使用，从而在密码分析中实现更高效的量子攻击。Simon-meet-Kuperberg、Grover-meet-Kuperberg等组合量子算法；Grover算法、B-V算法与经典查分攻设计量子算法来寻找S盒的差分特征，从而加速了差分寻找阶段。Zhou等研究在获得差分特征之后利用Grover量子搜索算法和量子计数算法对经典差分攻击实现二次加速，从而更高效地确定子密钥值。2019年Bonnetain等提出了量子平方攻击(或积分攻击)，这两种量子攻击技术分别是在经典线性分析和经典平方攻击的基础上，将搜索部分用Grover算法来完成，从而实现攻击加速。（2）专用量子算法的发展和应用量子近似优化算法（QAOA）是可以在近期量子计算机上实现的算法之一，被认为是最有希望展示量子优势的算法之一。QAOA最早由Farhi等人于2014年提出，在2018年，Rigettia公司比较了处理最大分割问题的G-W算法和QAOA的性能差异，提供的超导量子比特芯片上直接运行了作业车间调度问题算法。毫无疑问，QAOA已经引起了很多人的关注，QAOA的理论和实验实施也将会不断完善。三、量子计算对金融行业的安全威胁及其影响性分析密码体制的安全是保障金融行业信息安全的基础，量子计算的发展给现有的传统密码体制带来了安全威胁，自然也将影响到金融行业的整体安全。本章中将先分析量子计算发展对现有密码体制的威胁情况，再针对金融行业不同场景，分析其受量子计算威胁的影响性。（一）对密码体制的威胁密码算法可用于实现身份认证、访问控制、抗抵赖等基础功能，并确保重要数据的机密性和完整性保护，避免数据泄露或篡改。传统密码体制的安全性是由经典计算环境下密码攻击方法的高复杂性、有限时间内不可完成性保证的。现如今，量子计算发展带来的算力提升使得一些针对性量子算法破解现有密码体制的可能性逐渐提升。在本节中，将阐述量子计算发展对密码体制带来的威胁。密码算法可分为对称密码算法、非对称密码算法及散列算法三类，具体如下：对称密码算法：加密与解密运算使用相同的密钥，主要用于敏感数据的加密传输及存储，防止数据明文泄露。非对称密码算法：使用不同密钥进行加解密运算，包括可公开的公钥、需保密的私钥；使用公钥加密的数据只能由对应的私钥解密，反之亦然。非对称密码算法除了用于数据加密外，还可用于密钥交换，以及业务数据的签名验签，以实现数据防篡改及抗抵赖功能。散列算法：又称为哈希算法、杂凑函数等，可将任意长度的数据转换为独有的固定长度数据（一般称为“消息摘要”），可用来检测原始数据是否被篡改。散列算法可配合非对称密码算法提升签名验签的计算效率，即先对较长的业务数据计算出较短的散列值，然后使用非对称密码算法对散列值进行签名。对称密码算法与散列算法一般通过字符替换、移位等复杂的算法结构将明文转换为密文，其安全性依赖算法结构的设计。而非对称密码算法是基于大整数分解、离散对数等数学难题设计，其安全性依赖相关数学难题是否存在高效的解决方法。密码算法的安全性可以用安全强度来衡量，N位安全强度表位及以上强度的算法被认为是安全的。当前常见密码算法的安全强度如表4所示：（位）（非HMAC场景）2.量子计算威胁分析量子计算机攻破密码算法需要同时具备2个条件：一是利用量子力学原理降低密码破解复杂度的量子算法，二是具备足够算力的大型量子计算机。目前来看，第一个条件已经具备，第二个条件预估2037年以后可能具备。整体来看，量子计算对非对称密码算法存在较明确的威胁，而对于对称密码算法和散列算法，量子计算的威胁较为有限。目前业界已出现可威胁非对称密码算法安全性的量子算法Shor算法，并预计在2037年以后可能研制出具备足够算力的量子计算机，从而攻破非对称密码算法。Shor算法将大数分解等数学难题的破解过程转化为求某个函数的周期，由于量子环境下可高效实现量子傅里叶变换，从而将解决此类数学问题的复杂度从经典环境最优算法的指数级log(logh))，进而威胁基于相关数学问题设计的非对称密码算法（RSA、DH、ECDSA、SM2等）。目前已基于Shor算法实现15=3*5、21=3*7的分解，证明了可行性。运用经典算法与Shor算法破解RSA算法的复杂度比较如表5中所示。以RSA-2048算法为例，经典电子计算机的最佳破解算法大致需要6.8*1051次运算，而量子计算环境下的Shor算法仅需约1.6*108次运算，破解效率大约提升4.2*1043倍，且破解效率倍数会随着密钥长度增加而提升。对于密钥长度从2048提升到3072，经典算法破解难度大约提升了38亿倍，而Shor算法破解复杂度仅上升了2倍。因此，提升非对称算法密钥长度可以抵御经典电子计算机+经典算法攻击，但不能抵御量子计算机+Shor算法攻击。教授分别预估了Shor算法破解RSA、ECC的成本，如表6、表7所示。对RSA-2048算法的破解，大约需要2000万量子比特（或8台400万量子比特的计算机耗时几小时内完成；对于ECC-256算法属于ECC类别，强度与ECC-256相当，可以认为破解SM2所需资源与ECC-256是同一量级。当前通用可编程量子计算机的最大量子比特数还不到1000，还远不能破解非对称密码算法。对于量子计算机何时可破解主流非对称密码算法，学术界把量子计算发展划分为三个阶段，认为2037年以后可能进入第3个阶段，从而能在经典密码算法破解、大数据人工智能等领域发挥巨大作用。知名量子计算专家MicheleMosca教授于2022年对全球14个国家的40位量子计算专家进行了调研，结果显示7成以上专家认为2037年以抗量子计算有可能破解RSA-2048算法，2成专家认为2032-2037年有可能破解。（2）对称密码算法和散列算法威胁分析当前业界已有Grover量子算法可提高破解对称密码算法和散列算法的计算速度，但破解所需的算力仍然过高，业界尚缺少出现相应量子计算机的时间预估，因此整体上威胁有限。Grover算法是一种量子随机搜索算法，可将经典计算机N次的搜索次数降低为N次，因此应用Grover算法通过穷举方式破解对称密码算法和散列算法，理论上量子计算机只需要2N/2次尝试，即将密码算法安全强度降低为经典计算机环境的一半，在实际应用中大约平均降低1/3-1/4。由于降低后仍为指数级，因此威胁远不如Shor算法。另外，攻击须串联执行并需要指数级内存，无法采取集群并行计算，目前来看还不能非常显著地提升破解密码的效率。NIST认为，除非量子计算机的发展超过预期，否则AES-128在未来数十年是安全的，同时AES-192已达到穷举攻击的上限，在可预见的未来是安全的。未来可以通过增加密钥长度、散列值长度的方式来进一步提升安全强度。2021年，MicheleMosca教授团队预估了破解成本，如表8所示，即使在40亿物理量子比特下，AES-128仍有98bits的安全可以认为受Grover算法影响基本相当。（亿）目前学术界和产业界尚没有研制出数十亿量子比特计算机的时间点预估。因此，当前认为除非量子计算机的发展远超过预期，否则128位强度的对称密码算法、散列算法可以抵御目前可预见的量子计算攻击。综上所述，结合目前对于量子计算机发展趋势的跟踪以及目前外界的研究结果，Shor算法对于现有RSA、ECC算法的影响相对较大，未来可能出现可破解算法，但是实际可能的影响出现SM3等算法的安全强度减半，但是结合实际的实现情况Grover算法对于AES的影响性暂时也低于预期。由于量子计算机的发展情况仍存在很大的不确定性，对于安全时间的预估也会随之变化，需要持续跟踪量子计算技术发展，动态评估其对密码算法的影响。（二）对金融业务的影响对于金融行业中的不同应用场景，由于所使用的密码体制不同，其受量子计算影响的程度对应存在差异；由于场景特点不同，其所面临的安全影响性、未来改造难度、系统升级影响性也各不相同。因而，在进行全面安全体系改造前仍需更加深入地研究量子计算发展对当前金融行业不同应用场景下密码安全体系的影响性，以此帮助金融行业进一步认识量子安全威胁。在本节中，将梳理金融业务密码算法应用现状，分析不同特点业务场景受影响情况，并针对现有主要受威胁场景及威胁程度展开分析。1.金融业务密码算法应用现状基于应用场景安全保护目的的不同，可将其主要可分为数据加解密、签名验签、完整性校验等。其中，数据加解密还可细分为数据传输加密及数据存储加密。除此之外，近年来也出现了如区块链、隐私计算等新兴的场景，同样利用大量密码算法来保护其中数据与信息的安全。各类场景中密码算法应用现状如下：敏感信息在传输的过程中可以使用对称密码算法或非对称密码算法进行加解密。若使用非对称密码算法，发送方使用接收方的公钥对数据进行加密，接收方使用私钥对加密数据进行解密，且若对双向的数据传输均提供保护的话，需要用到两对公私钥。密码算法的不安全可能导致加密密钥泄漏等安全问题。典型应用场景包含跨行清算、支付等系统中的文件密钥加密、敏感数据加密密钥加密等。若使用对称密码算法，通信双方协商出来的相同密钥进行加解密交换，通常采用分组密码算法，在对待加密数据进行数据分组填充后进行分组加密计算。密码算法的不安全可能导致敏感信息泄漏等安全问题。典型场景包含跨行清算、支付等系统中的敏感数据加密、文件加密等。金融机构信息系统对存储在磁带、磁盘、数据库等存储介质中，涉及敏感的认证信息、业务数据采用对称密码算法、非对称密码算法、散列算法等实现敏感数据的加密存储。密码算法的不安全可能导致敏感信息泄漏等安全问题。（2）数字签名数字签名主要应用非对称密码算法及散列算法完成。发送方用私钥进行数字签名，接收方用经过鉴别的发送方公钥来验证签名的真实性，并通过正确使用密钥管理规则来确保私钥的机密性和私钥、公钥的完整性及真实性。密码算法的不安全可能导致伪造签名、交易内容篡改等安全问题。典型应用场景包含身份认证、数字证书、金融IC卡交易的脱机数据认证等。（3）完整性校验完整性校验可以利用对称密码算法或散列算法进行实现。使用对称密码算法进行消息完整性验证（MAC计算过程不需要可逆，只要单向函数加密。接收方利用相同的密钥与算法对消息进行MAC计算，通过比较MAC值来验证消息的完整性。基于散列算法的消息完整性验证（HMAC）是一个不可逆的单向函数加密过程。接收方使用相同的密钥与算法对消息进行HMAC计算，通过比较HMAC值来验证消息的完整性。密码算法的不安全可能导致交易内容篡改等安全问题。典型应用场景包含银行卡跨行交易报文MAC计算等。在区块链技术中，区块链的地址、公钥私钥、钱包管理等都和数字签名算法相关，使用了数字签名算法ECDSA等保证了使用者身份的不可伪造性。对于区块链上的每个区块，都利用散列算法来保护区块数据、交易数据内容的不可篡改性。密码算法的不安全可能导致身份伪造、数据篡改等安全问题。隐私计算技术中尤其是安全多方计算、联邦学习中大量使用了经典非对称密码算法如RSA算法、ECDSA算法等。例如，安全多方计算经典技术不经意传输协议、混淆电路的实现中，需要利用上述经典非对称密码算法进行实现来保证数据传输的安全性。密码算法的不安全可能导致数据泄露等安全问题。总体来说，由于量子计算对于非对称密码体系的影响更大，因而应用此类密码算法的密钥交换、数字签名、身份认证等场景更受影响，而应用对称密码或散列算法的场景如数据加密、数据完整性校验等受影响相对较小。2.金融业务场景受影响情况对于不同特点的金融业务场景，其受量子计算的影响程度也不尽相同，可从以下三个主要的维度对其进行分类分析：（1）应用场景所保护数据及信息的时效性从各场景下所保护数据及信息的时效性角度，我们可以将其简单分为单次有效及长期有效。单次有效：在此类场景中，由于数据及信息在使用过后就不再具有意义，如果遭到破解，攻击者也无法利用获取的数据及信息进行后续的破坏活动。因而此类场景下，所受量子计算影响较长期有效：对于包含长期有效的数据及信息的场景，攻击者窃取了相应信息后，只要在有限时间范围内完成破解，都有可能对场景保护的数据及信息带来安全影响。因而这些场景下，所受量子计算影响较大，改造升级的需求更为紧迫。（2）应用场景所涉及的范围不同的应用场景所涉及的范围存在差异，涉及范围更广的应用场景，应当更为优先保障其安全性，其实际面临的安全威胁更大，安全性提升的需求更为紧迫。同时，此类场景的改造难度也更大，需要预留更充分的时间。（3）应用场景所面向的应用对象由于应用场景面向的对象不同，其对使用效率变化的感受度会存在差异。例如，如若场景面向用户，需要尽可能保证由于升级改造带来的效率降低不影响到用户体验，对效率要求更高。而若是交互较少的数据加解密，其效率要求在可接受范围内即可，因而交互体验更强的场景受影响程度更大，对改造要求更高，改造难度更大。整体来看，在应用场景所使用密码算法类似的前提下，保护长期有效数据、涉及范围更广、面向对象对使用体验更敏感的应用场景的改造升级需求更紧迫、改造难度更大，其受量子计算发展的影响也更大。3.当前量子计算威胁主要场景由于对称密码算法运算性能远远强于非对称密码算法，为提升加解密效率，在数据加密传输场景中（如：SSL/TLS、SSH、数字信封等），一般先使用非对称密码算法协商密钥，然后再使用对称密码算法和协商好的密钥加密业务数据。因此，攻击者现在可以先窃取密钥协商报文和加密后的业务数据并存储起来，待量子计算机可破解非对称密码算法后，再破解密钥协商过程得到密钥，最后解密出数据明文（下文称为“先存储，后破解”此时如果业务数据还处于保密期，则会导致数据泄露。对于未使用非对称算法加密数据或密钥的场景，目前不受量子计算攻击影响，比如：使用了128位强度及以上的对称算法或散列算法，或者使用了非对称算法但不涉及加密（比如：数字签名因签名值是一串无业务意义的字符，没有保密期概念，不受“先存储，后破解”的攻击方法影响。未来量子计算机发展到能破解对称、非对称及散列算法后，所有基于相关算法实现的安全保护功能均将失效。4.应对量子计算攻击的迫切性通常使用XYZ理论来评估风险，当量子计算机可破解非对称密码算法时，如果届时数据仍处于保密期限内，则存在风险，X：数据保密年限。不同类型数据有不同要求，对于高密级信息，X可能长达20年以上，如：军队、政府涉及国家秘密的信息、企业内部最高保密级别的信息等。Y：升级到可抵御量子攻击的密码算法的时间。由于非对称算法是基础算法，基础算法的调整涉及修改所有基于基础算法的安全协议（比如：TLS、SSH等）、安全产品（比如：加密机）及基础IT设施（比如：服务器、手机、路由器等）。根据业界经验，新基础算法标准发布后，需要花费10-20年时间才能全面完成算法升级。当前对于算法标准制定进度最快的是美国国家标准与技术研究院NIST，于2024年正式发布3个算法标准。因此，预估将在2034-2044年左右完成算法升级。Z：可破解密码算法的量子计算机出现的时间，预估2037年以后。如果未来量子计算技术发展超过或低于预期，会导致时间提前或延后。基于上述预估，当前保密期限超过2037年的数据，如果涉及使用非对称算法来协商对称算法密钥的场景，则当前已面临量子攻击威胁。实际威胁取决于未来量子计算机的发展进度，以及可抵御量子计算攻击的密码算法升级进展。四、面向国内金融行业的量子安全威胁应对策略虽然，当前的量子计算算力还远低于密码破解的要求，且基于先前的分析预估距可实际破解当前密码算法的量子方案出现仍有一段时间，但是量子计算机的飞速发展将带来许多未知的可能，也使得金融行业面临着更为紧迫的安全形势。为了应对未来可能出现的安全威胁，对金融行业的密码安全体系进行加固改造势在必行，且应从各方面着手准备。在学术界以及金融行业内，均已形成了一定的应对思路。接下来，将阐述几类通用的方案。（一）通过强化或重构密码算法应对量子安全威胁1.密码算法安全增强对于对称密码算法及散列算法，理论上只需要通过增加密钥或散列值长度等方式即可使得其保持现有的安全强度，从而具备抵御量子计算攻击的能力。对于国际通用算法如AES，由于其具有AES-128、AES-192、AES-256三种密钥长度参数的版本，在应用时可直接进行相应的升级切换。对于我国的商用密码算法SM4，当前只有128bits一种安全强度的参数设置，未来需要对标准中的算法参数进行重新标准化或对算法设计进行优化调整，使其在量子环境下可达到需要的安全强度。2.抗量子密码迁移抗量子密码算法（PQC）是基于不受已知量子算法攻击的数ECDSA等算法。与现有的RSA等算法一样，抗量子密码算法仍然依赖“计算复杂性”，无法从数学上证明其安全性。“计算复杂性”指针对该数学难题原理上可破解，但已知破解方法所需算力和破解时间远远超出了有效时间（比如：需要最强的超级计算机耗费数十亿年因此密码算法实际上是安全的。但未来可能出现更优的破解方法或算力指数级提升，导致某一种抗量子密码算法不再安全，需要升级到另一种抗量子密码算法。因此抗量子密码算法与现代密码算法一样，缺少长期安全性证明。目前主流抗量子密码算法基于格、多变量、编码、哈希等4个领域的数学难题而设计，每个领域下有多种具体实现算法，情况如表9所示：误的学习）等主主数百K-几M快基于格的算法可以覆盖现有非对称算法的使用场景，且在公钥/密文/签名的长度、性能等方面整体最佳，因此最被业界看好。2022年7月，美国国家标准与技术研究院（NIST）公布了拟第一批标准化的4种国际抗量子密码算法（Kyber、Dilithium、Falcon、SPHINCS+前3个算法均为基于格的算法，SPHINCS+基于哈希。2024年8月，NIST已正式公布ML-KEM（Kyber）、ML-DSA（Dilithium）、SLH-DSA（SPHINCS+）三个抗量子密码标准。考虑到抗量子密码算法未来也可能被破解，NIST将多个不同技术路线的抗量子密码算法同时纳入标准，当某一技术路线抗量子密码算法存在被破解的风险时，可切换到另一种不受该破解方法影响的抗量子密码算法，从而避免无安全算法可用的风险。我国密码科学技术国家重点实验室、中国密码学会等科研机构也正在通过各类研讨和算法竞赛，推动抗量子密码算法的研究。中国密码学会2018年组织的非对称算法设计竞赛中，3个一等奖算法均基于格设计。各金融机构有必要持续跟踪关注并适时开展技术验证。3.加密敏捷性机制随着计算能力增强以及新攻击方法的出现，密码算法安全性会随时间推移而逐渐减弱（包括抗量子密码算法）。长期来看，密码算法存在持续升级的需求。一般情况下，金融行业使用的密码模块以算法为维度提供接口，不同密码算法的接口及参数均存在差异。同时，金融行业与众多监管机构、清算组织、合作方存在系统互联，当某一业务场景需要升级密码算法时，往往需要不同机构的上下游应用一起修改密码算法接口及参数，协调难度和工作量较大，耗时较长。为解决此难题，可以设计一套具备加密敏捷性的密码算法使用机制。密码算法升级切换时，由交易发起方调整算法参数，其他机构无需修改代码，即可快速从当前非对称算法切换到抗量子密码算法，或从某一种抗量子密码算法切换到另一种抗量子密码算法。加密敏捷性大体有两种思路：一是通信双方先协商本次通信使用的密码算法及密钥，选出双方都支持且优先级最高的算法，然后发送方基于协商结果对传输数据进行密码运算，接收方再基于相同算法及密钥进行处理（类似TLS协议）。算法切换时，由发送方或接收方将新算法优先级调整为最高，另一方无需修改代码，协商时将自动选用新算法，从而实现密码算法切换；二是通信双方无需协商，而是由发送方在已加密处理的传输数据中增加使用的密码算法和密钥标识，接收方根据标识对数据进行相应处理（类似JWT机制）。算法切换时，由发送方调整密码算法及密钥标识，接收方自动按新标识调用新算法进行处理，无需修改代4.过渡期安全增强目前，金融行业相关的密码安全规范是国密SM系列算法，抗量子密码算法的标准仍在征集过程中，NIST抗量子标准在2024年刚提出三个标准算法；而国内对于抗量子密码算法标准自2018年举办密码算法设计竞赛并完成两轮筛选后，对于标准的制定仍在进行当中。因此，为了同时保证行业强监管的合规性要求以及未来抗量子安全性要求，可以考虑在目前的过渡期执行“两把锁”的抗量子增强方案。在保留现有国密SM算法体系不变的情况下，对数据进行第二道的抗量子加密，形成第二把抗量子锁，则可在保证国内密码应用合规要求的前提下进一步实现抗量子安全的增强。（二）通过量子技术本身的特性应对量子安全威胁1.量子密钥分发（QKD）量子密钥分发技术（QKD）是目前发展较成熟、已进入产业化阶段的量子通信技术，也是抵御量子计算破译挑战的关键密码技术之一。量子密钥分发是指通信双方通过传送量子态的方法实现信息论安全的密钥生成和分发的方法和过程。量子密钥分发基于量子物理特性实现，其安全性不受计算能力的威胁，能够达到信息论安全性，自然也具备量子安全性。QKD的功能是实现对称密钥的协商和生成，QKD与一次一密（OTP）结合可实现信息加密的信息论安全性，与对称密码算法结合可实现加解密功能，结合量子安全的对称密码算法可实现量子安全。现阶段的量子密钥分发的主要应用模式是利用各类QKD网络（端到端网络、城域网或骨干网等）实现密钥的安全分发，再与对称密码技术相结合，进而保证信息的安全传输，为国防、政务、能源等专网用户提供高安全的数据传输应用服务。随着量子保密通信的深入发展，应用形式得到了进一步的拓展，在量子加密VPN这类产品外，业界也成功研发推出了一些针对普通用户的应用和产品，例如：量子加密通话手机、量子加密即时消息系统、量子加密对讲机、量子加密电子邮件系统等。这些应用都充分展示了QKD网络在密钥分发、管理和服务上的作用和能力。2.量子随机数发生器（QRNG）量子随机数发生器利用量子力学过程产生随机数。相比于传统的伪随机数发生器方案，量子随机数发生器并不依赖于复杂的数学问题，因此随机数的安全性具备信息论意义的安全性。另一方面，相比于基于传统物理噪声的随机数发生器，量子随机数发生器对熵源的建模和估计更加精细准确，最大限度地保证信息熵来源于较为可靠的量子力学随机性。根据不同的量子力学原理，可以设计出各种不同的量子随机数发生器方案。近年来，量子随机数发生器的速率快速提升，达到GHz量级，并在低成本、小型化、芯片化等实用性方面取得重要突破。与此同时，人们提出了设备无关和半设备无关的量子随机数发生器方案，用于一劳永逸地解决实际设备缺陷引发的侧信道安全问题。量子随机数发生器不仅可作为量子通信设备的关键器件，也可以用于信息技术需要真随机性熵源的各个应用场景。3.量子隐形传态（QT）量子隐形传态（QT）是利用量子的纠缠态，来传输量子比特实现通信的方法。虽然目前量子隐形传态还处于实验室研究阶段，还未形成产业化以及清晰的应用模式，研究者认为未来量子隐形传态是实现可扩展全量子网络和分布式量子计算的基础，可以形成丰富的各种应用模式。例如量子隐形传态可应用于量子密码学形成各种基于隐形传态的安全协议与应用。将量子隐形传态应用于量子网络中，可实现分布式计算和通信。1993年美国物理学家Bennett等人第一次提出了量子隐形传态方案。典型的量子隐形传态过程如下：发送方与接收方预先共享一个纠缠粒子对，即发送方和接收方分别持有一个粒子，而这两个粒子处于量子纠缠状态。待传输的量子比特加载在本地的一个粒子上，发送方对该粒子和所持有的处于纠缠状态的粒子进行共同测量（如贝尔态测量），测量后两个粒子的量子态将随机地塌缩共同测量本征态（例如四个贝尔态）中的一个。随后，发送方通知接收方测量结果，接收方相应地对自己所持有的原处于纠缠状态的粒子做酉变换操作，即可以得到发送方要传送的量子比4.量子安全直接通信（QSDC）量子直接通信方案将信息加载于量子态，并直接在量子信道进行传输，不依赖于加解密算法及密钥的分发。该方案依靠量子不可克隆性、量子测量塌缩等量子原理感知和阻止窃听，保证信息传输安全，即当有人窃听时，量子态会被破坏，从而使窃听方得不到任何信息，即使其拥有再强大的计算能力，也无法破译。量子直接通信一改经典保密通信中的双信道结构，使用仅包含量子通信的单信道结构，简化了有可能导致信息泄露的环节，提高了数据传输的安全等级。量子直接通信由我国学者在2000年提出，近年来量子直接通信由理论走向实用化过程中不断突破了多个技术难点，克服了损耗和噪声干扰等困难，提升了通信速率。目前，量子直接通信技术已具备向实用化发展的核心技术基础。2020年发布实用化量子安全直接通信样机，2022年实现了百公里量子直接通信的实验验证，为量子直接通信的实用化发展奠定了坚实的技术支撑。目前我国已有商业银行实现了量子直接通信技术在金融领域的全球首次应用。5.技术路线对比量子通信技术的特点在于它是通过量子态的传递（单量子状态如光子态或多量子系统的量子态如纠缠）建立通信双方的量子关系，不可忽略的是，它一般都包含有经典信息的交互过程，以此实现经典信息或量子信息的传递（故不存在超光速通信的可能）。具体来说，各类量子通信技术间的区别体现在技术原理、用途与应用模式、性能带宽、技术成熟度等多个方面，不一而足。例如，量子密钥分发为通信对端分发的是密钥，量子隐形传态和量子安全直接通信希望为通信对端传递经过编码的信息；量子隐形传态的量子信道是基于纠缠的，而量子密钥分发和量子安全直接通信建立的量子信道都是用于传输量子态的；三者目前能够实现的通信带宽与传统通信相比还都较低。（三）综合应用抗量子密码技术和量子密码技术基于数学的抗量子密码技术及基于物理的量子密码技术，其融合应用可体现为两个方面，一方面是量子密码与抗量子密码综合使用构建一个抗量子计算的、具有长期安全性的、完整的密码体系；另一方面是两种密码技术相互融合以提升各自的能力需要。例如，QKD结合对称密码技术可以在信息的机密性、真实性和完整性方面实现量