实战 | 量子计算对金融行业密码算法的威胁及应对
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国工商银行软件开发中心量子研究团队
量子计算是利用量子叠加、纠缠等原理实现并行计算的一种技术,可以解决部分经典计算机环境下因算力不足难以解决的问题。近年来量子计算技术快速发展,谷歌“悬铃木”、中国科学技术大学“祖冲之”等量子计算机陆续诞生,并在特定问题上体现出超越经典计算机的能力。密码学界普遍认为,量子计算未来可以破解当前主流密码算法。密码算法是金融行业数据安全的基石,普遍用于数据加解密、签名验签等机密性、完整性保护及交易抗抵赖场景。一旦密码算法被攻破,相关数据保护功能将失效,从而严重危及金融数据安全。本文浅析量子计算对密码算法的威胁,并探讨金融行业的应对措施。
量子计算威胁分析
1.金融行业密码算法概述
金融行业使用的密码算法可分为对称算法、非对称算法及散列算法三类(见表)。密码算法的安全性可以用安全强度来衡量。业界普遍认为,在不考虑量子计算攻击的前提下,112位及以上强度的算法是安全的。
表 金融行业常用密码算法
2.量子计算威胁条件
量子计算机攻破密码算法需要同时具备两个条件:
(1)可威胁密码算法的量子算法。该条件已具备,当前已有Shor、Grover两种量子算法,可威胁密码算法安全。
Shor算法将质因数分解和离散对数等数学问题的破解难度从指数级
降低到多项式级别
n为密钥长度),从而威胁基于相关数学问题设计的非对称算法的安全(包括RSA、DH、ECDSA、SM2等),且无法通过提升密钥长度的方法来规避。以RSA-2048算法为例,Shor算法破解效率大约是经典算法的1043倍。2019年、2021年,谷歌、知名量子计算专家MicheleMosca教授分别预估了Shor算法破解RSA2048、ECDSA的成本,大约需要2000万量子比特(或8台400万量子比特的计算机),耗时几小时内。
Grover算法理论上可将对称算法、散列算法的安全强度降低一半。由于降低后仍为指数级,因此威胁远不如Shor算法,可以通过增加密钥或输出长度的方式来抵御。2021年,MicheleMosca教授预估了破解成本,即使在40亿量子比特下,AES-128仍有98位的安全强度,而SHA256更是需要490亿量子比特。目前通用量子计算机的最大量子比特数大约200,与40亿差距遥远。因此,密码学界普遍认为128位强度的对称算法、散列算法可以抵御量子计算攻击。
(2)可纠错的大型量子计算机。该条件目前还不具备。业界普遍认为,可攻破主流非对称算法的量子计算机,其量子比特数量要达到数百万以上且具备纠错能力。当前通用量子计算机的最大量子比特数大约200,且不具备纠错能力,还不能破解非对称算法。对于何时具备该条件,我国郭光灿院士2021年在《量子信息-未来的新一代技术》的讲座中提及,业界一般认为大约还需要15年(即2036年左右)。Michele Mosca教授也于2021年对全球47位量子专家进行了调研,结果显示,61%的专家认为15年后破解RSA-2048的概率大于50%,89%的专家认为20年后破解的概率大于50%。即业界主流观点认为2036-2041年左右具备该条件的可能性较大。
3.量子计算威胁场景
既然量子计算机至少需要十多年后才能破解非对称算法,那金融行业现在需要关注其威胁,并采取应对措施吗?答案是肯定的。
由于对称算法性能远远强于非对称算法,为提升加解密效率,金融行业在数据加密传输场景,一般先使用非对称算法协商密钥,然后再使用对称算法和协商好的密钥加密业务数据(如:SSL/TLS、SSH、数字信封等)。
攻击者现在可以先窃取密钥协商报文和加密后的业务数据并存储起来,待量子计算机可破解非对称算法后,再破解密钥协商过程得到密钥,最后解密出数据明文(下文简称“先存储,后破解”)。此时如果业务数据还处于保密期,则会导致数据泄露。
因此,当前保密期限超过15年以上的数据,如果涉及使用非对称算法加密(包括协商密钥),则可能面临量子攻击威胁。实际威胁取决于未来量子计算机的发展,以及可抵御量子计算攻击的后量子密码算法升级情况,目前难以确定。如果量子计算机发展低于预期,当金融行业完成密码算法升级且数据已过保密期,而量子计算机还不能破解密码算法时,则不存在实际风险,反之则存在。
对于未使用非对称算法加密数据或密钥的场景,目前不受量子计算攻击影响,比如:使用了128位强度及以上的对称算法或散列算法,或者使用了非对称算法但不涉及加密(比如:数字签名),因签名值是一串无业务意义的字符,没有保密期概念,不受“先存储,后破解”的攻击方法影响。
金融行业应对措施
工商银行已经完成量子计算对密码算法威胁及应对措施的研究,并逐步推动相关措施的落地实施。结合工商银行研究及实践,金融行业可以采取提升现有密码算法强度、研究后量子密码算法、设计加密敏捷性机制及应用量子密钥分发技术等措施应对量子计算威胁,且相关措施可综合使用,具体如下。
1.提升现有密码算法强度
对于对称算法及散列算法,可通过增加密钥长度或输出长度,将算法安全强度提升到128位及以上,从而具备抵御量子计算攻击的能力。对于非对称算法,增加密钥长度属于临时过渡方案,目的是增加破解难度,为更换算法争取时间。
工商银行已按照上述量子计算威胁分析,启动国际算法基线修改,持续提升经典算法的安全防护能力。我国商密系列算法强度达到128位,目前不需要调整。
2.研究后量子密码算法
后量子密码算法是基于不受已知量子算法攻击的数学难题而重新设计的非对称算法。后量子密码算法的安全性仍然依赖相关数学问题能否找到高效的解决办法,无法从数学上证明其安全性。未来可能出现更优的破解方法或算力指数级提升,导致某一种后量子算法不再安全,需要升级到另一种后量子密码算法。
2022年7月,美国国家标准与技术研究院(NIST)公布了拟第一批标准化的4种国际后量子密码算法(Kyber、Dilithium、Falcon、SPHINCS+),并计划2024年正式发布标准。考虑到后量子密码算法未来也可能被破解,NIST将多个不同技术路线的后量子算法同时纳入标准,当某一技术路线后量子算法存在被破解的风险时,可切换到另一种不受该破解方法影响的后量子密码算法,从而避免无安全算法可用的风险。根据NIST说明,入选第一批标准的4个算法仍将持续优化,并进一步确定算法参数,Kyber算法也可能因专利问题无法解决而被替换。因此,NIST官网在宣布第一批入选算法的同时,也建议在标准正式发布前,不要将当前入选算法应用到实际生产。
我国密码科学技术国家重点实验室、中国密码协会等也有开展后量子密码算法的研讨和算法竞赛,并推动后量子算法研究。
工商银行2021年挑选了NIST第3轮评估的2种后量子密码算法进行技术验证,发现其性能显著低于经典算法。考虑到后量子密码算法还处于迭代完善阶段,金融行业有必要持续关注并适时开展技术验证。我国目前还未公布后量子密码算法标准发布时间,金融行业也需要持续跟踪,并择机开展算法研究与验证工作。
3.设计加密敏捷性机制
随着算力提升以及新攻击方法的出现,密码算法安全性会随时间推移而逐步减弱(包括后量子算法)。长期来看,密码算法存在持续升级的需求。
一般情况下,金融行业使用的密码模块以算法为维度提供接口,不同密码算法的接口及参数均存在差异。同时,金融行业与众多监管机构、清算组织、合作方存在系统互联,当某一业务场景需要升级密码算法时,往往需要不同机构的上下游应用一起修改密码算法接口及参数,协调难度和工作量较大,耗时较长。为解决此难题,可以设计一套具备加密敏捷性的密码算法使用机制。密码算法升级切换时,由交易发起方调整算法参数,其他系统无需修改代码,即可快速从当前非对称算法切换到后量子密码算法,或从某一种后量子密码算法切换到另一种后量子密码算法。
加密敏捷性大体有两种思路:一是通信双方先协商本次通信使用的密码算法及密钥,选出双方都支持且优先级最高的算法,然后发送方基于协商结果对传输数据进行密码运算,接收方再基于相同算法及密钥进行处理。算法切换时,由发送方或接收方将新算法优先级调整为最高,另一方无需修改代码,协商时将自动选用新算法,从而实现密码算法切换;二是通信双方无需协商,而是由发送方在已加密处理的传输数据中增加使用的密码算法和密钥标识,接收方根据标识对数据进行相应处理。算法切换时,由发送方调整密码算法及密钥标识,接收方自动按新标识调用新算法进行处理,无需修改代码。
工商银行目前已开展加密敏捷性设计,为将来密码算法的升级奠定基础。针对机构互联场景,也建议牵头机构在新业务场景实现加密敏捷性功能,可大幅度减少未来算法切换的工作量,提升算法切换效率。
4.应用量子密钥分发技术
量子密钥分发技术(QKD)利用量子叠加、纠缠、不可克隆等特性,通过量子信道、经典信道协同实现密钥的安全协商,然后再使用该密钥加密业务数据,最后通过经典信道传输。当双方传输距离较远时,需要在中间加入多个中继器(包含QKD接收机和发射机),分段协商密钥,最后使用分段协商的密钥对最终使用的密钥进行加密传输(见图)。
图 量子密钥分发技术应用流程
量子密钥分发目前能替代传输过程中使用非对称算法进行密钥协商的场景,其他场景无法替代(比如:完整性保护、抗抵赖等)。量子密钥分发的安全性依赖其网络自身的安全性,包括中继器、设备元器件、管理网络等,在自身网络不存在安全漏洞的情况下,其安全性依赖量子力学原理。因此QKD理论上具备长期安全性,不受计算能力提升或新的密码破解方法的影响,其安全性较后量子密码算法存在一定的优势。但QKD的应用依赖QKD网络的建设,目前国内还处于建设推广期,离实现大范围覆盖还存在一段时间,同时也不能涵盖所有非对称算法使用场景。
工商银行较早应用量子密钥分发技术,2015年就借助国家“京沪干线”量子通信网络,在同城机房实现了电子档案信息的加密传输。2017年进一步将量子密钥分发技术应用到“两地三中心”架构,实现异地数据中心之间千公里级的量子保密通信,并于2022年实现分行与合作方之间的量子保密通信。后续工商银行将结合国家量子骨干网和量子城域网的建设,持续探索量子密钥分发技术的应用场景。
尽管业界主流观点认为量子计算至少需要十多年才能破解现有非对称算法,但“先存储,后破解”的攻击方式仍可能对保密期长且使用非对称算法进行加密保护的数据造成安全威胁。因此,金融行业有必要开始关注量子计算威胁并逐步实施防御措施。考虑到未来密码算法持续升级的需求,也有必要提前开展加密敏捷性设计,提升未来算法切换时效,降低密码算法切换期间,因算法安全问题导致的数据泄露风险。
综合考虑,建议金融行业现阶段先提升现有密码算法强度,并开展加密敏捷性的设计与改造,同时对具备条件的重点网络采取量子密钥分发技术进行传输安全保护。待后量子密码算法标准发布且相关密码产品可用后,通过加密敏捷性设计快速升级到后量子密码算法。未来如果某一种后量子密码算法出现漏洞,仍可快速切换到另一种后量子密码算法,确保业务数据的安全。
未来展望
量子技术的快速发展,一方面对密码算法造成了安全威胁,另一方面也带来了量子密钥分发的保密通信技术。未来也可能出现更安全、成本更低的量子通信技术,从而解决当前量子密钥分发及后量子密码算法的不足。金融行业有必要持续关注量子通信、后量子密码算法的发展,并根据自身密码算法使用情况,选择合适的方法提前应对量子计算攻击威胁。
(栏目编辑:张丽霞)
往期精选:
(点击查看精彩内容)
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪