中國工商銀行首席技術官 呂仲濤
近年來,量子技術發展迅速,其中量子計算未來将對現有密碼體系帶來威脅已成為行業共識。2022年年中,美國通過首部關于防範量子計算攻擊的法案,提出了量子計算對密碼算法的威脅及應對措施。大陸“十四五”規劃也将抗量子攻擊的相關保密通信技術研究列入國家重大科技項目。近期,中國人民銀行下發的《關于開展深化金融科技應用、推進金融數字化轉型提升工程的通知》中也明确提出“提升金融領域密碼算法抵抗潛在量子計算攻擊的能力”的要求。本文将分析量子計算對銀行密碼算法的威脅,分享工商銀行在應對量子計算威脅方面的思考和實踐,以期為同業提供參考借鑒。
密碼算法安全是銀行資訊安全的核心
銀行系統使用的三類密碼算法
在銀行系統中,密碼算法廣泛用于身份認證、敏感資訊、交易資訊的機密性和完整性保護,是銀行資訊安全的核心。以一次ATM取款為例,在客戶從插入銀行卡到取出現金的整個過程中,從ATM終端到後端伺服器已執行了十多次密碼算法,對客戶交易過程進行嚴格保護。目前銀行資訊系統使用的密碼算法有對稱密碼算法、非對稱密碼算法和雜湊演算法三類。
對稱算法的加密與解密運算使用相同的密鑰,主要用于敏感資料的加密傳輸及存儲,防止資料明文洩露,在銀行系統中使用較早、應用最廣。早期,對稱算法在合作方互動場景的應用存在短闆,使用對稱算法需要雙方通過線下協商交換獲得相同的密鑰,這個過程往往涉及人工操作,管理複雜且密鑰洩露的風險較高。非對稱算法的引入則很好地解決了這個問題(見圖1)。
圖1 非對稱算法協商對稱密鑰代替線下人工協商
非對稱算法的加密與解密運算使用不同的密鑰(公鑰和私鑰),公鑰不需要保密,私鑰僅需要由所有方管理,進而可以大大降低密鑰交換的複雜度和密鑰洩露的風險。但因非對稱算法的加解密效率遠低于對稱算法,一般不适合直接用于業務資料的加解密。更多時候,非對稱算法會在合作方互動場景中與對稱算法配合使用,即首先使用非對稱算法實作對稱算法密鑰的線上交換(因密鑰的長度較短,對加解密效率影響不大),再基于對稱密鑰實作資料的加解密操作,這樣既實作了密鑰交換的安全性與便捷性,又保障了業務資料加解密的效率。随着銀行業務的拓展及安全審計要求的提高,目前非對稱算法也被更廣泛用于業務資料的簽名驗簽,以實作資料防篡改及抗抵賴功能。
雜湊演算法又稱為雜湊演算法、雜湊函數等,可将任意長度的資料轉換為獨有的固定長度資料(一般稱為“消息摘要”),用于檢測原始資料是否被篡改。雜湊演算法主要用于配合非對稱密碼算法提升簽名驗簽的計算效率,即先對較長的業務資料計算出較短的散列值,然後使用非對稱密碼算法對散列值進行簽名。
密碼算法安全性
密碼算法的安全性與算法結構及密鑰長度相關。對稱密碼算法與雜湊演算法一般通過字元替換、移位等複雜的算法結構将明文轉換為密文,其安全性依賴算法結構的設計。而非對稱密碼算法是基于質因數分解、離散對數等數學難題設計的,其安全性依賴相關數學難題是否找到高效的解決方法。對于同一個密碼算法而言,一般密鑰長度越長,安全性越高,但相應的算法效率也會降低。
密碼算法的安全性可以通過“安全強度”來衡量,N位安全強度表示攻破該算法最大需要嘗試2N次運算。業界普遍認為,在經典計算機環境下,目前112位及以上強度的算法是安全的,目前銀行主要的密碼算法安全強度都應在112以上(見表1)。
表1 業界常見密碼強度及密碼算法 資料來源:作者整理
密碼算法安全将面臨量子計算的威脅
量子計算主要利用量子疊加和糾纏等原理進行并行計算,預期能為特定複雜計算問題提供指數級加速。而密碼算法恰恰是以計算複雜度為安全前提,是以量子計算機的出現将給密碼算法安全帶來威脅。
量子計算機破解密碼算法需要同時具備兩個條件:一是設計出利用量子力學原理降低破解密碼算法難度的量子算法;二是具備足夠算力的大型量子計算機。
對于非對稱密碼算法,目前條件一已具備,業界已出現可威脅非對稱密碼算法安全性的量子算法——Shor算法。Shor算法将質因數分解和離散對數等數學問題的破解難度大幅降低,進而威脅到了基于相關數學問題設計的非對稱密碼算法安全(包括RSA、DH、ECDSA、SM2等)。對于條件二,業界主流觀點認為,使用Shor量子算法攻破主流非對稱密碼算法的量子計算機需要具備數百萬以上的量子比特數,而具備該能力的量子計算機投入使用預計需要10年以上的時間。
對于對稱密碼算法和雜湊演算法,目前已有Grover量子算法可提高破解該類算法的計算速度,但破解所需的算力仍然過高,業界尚無出現相應量子計算機的時間預估,是以可暫時不用考慮量子計算對于對稱算法和雜湊演算法的威脅。
應對量子計算威脅需未雨綢缪
雖然業界主流觀點認為具備破解非對稱密碼能力的量子計算機需10年以上才能投入使用,但銀行業仍有必要盡快啟動抗量子攻擊能力建設。
一方面,因為密碼算法更新工程複雜,涉及大量軟硬體适配,是以需要較長周期。以國密算法更新為例,從最初國家規範标準制定、産品生産認證、小範圍試點,再到各類系統軟硬體逐漸完成實施,整個過程用了10年左右的時間。而目前後量子密碼算法标準規範還未就緒,同時因後量子密碼算法的複雜性及技術路線的多樣性,軟硬體适配可能面臨更大的挑戰。是以,預計正常情況下後量子密碼算法的遷移也需要10年以上的時間。
另一方面,部分保密周期較長的資料已經面臨威脅。對于使用非對稱算法直接保護或參與保護的敏感資料,攻擊者可以先竊取存儲,待量子計算機能力具備後再破解。是以,理論上,保密周期越長的敏感資料,需要更早地實施抗量子攻擊保護。比如,如果能破解非對稱算法的量子計算機在10年後的2032年出現,資料的保密周期是5年,那2027年就需要完成資料的抗量子攻擊保護。因網際網路的攻擊成本較低,網際網路相關應用需要更早考慮抗量子計算攻擊保護。
如果以目前時間為“頭”,以能破解非對稱密碼的量子計算機出現為“尾”,那“掐頭去尾”後留給我們的安全視窗已經不多了。是以,應對量子計算威脅需要未雨綢缪,盡早行動。
應對量子計算威脅的主要方案
為了應對量子計算攻擊對非對稱算法的安全威脅,目前業界結合具體場景主要有兩類解決思路:一類是針對使用非對稱算法進行(對稱)密鑰協商、再通過對稱算法加密傳輸的場景,研究使用量子密鑰分發(QKD)網絡進行對稱密鑰協商,保護密鑰的安全性;另一類是研究後量子密碼算法(PQC),直接替換現有的非對稱算法。
QKD
QKD利用量子不可分割、不可精确測量等特性,通過量子信道和經典信道協同實作對稱密鑰的安全協商,再使用該對稱密鑰加密業務資料,并通過經典信道傳輸(見圖2)。
圖2 QKD密鑰協商可抵禦量子計算攻擊
QKD技術目前已比較成熟,能替代通信傳輸中非對稱密碼算法協商密鑰的場景;并且QKD的安全性隻依賴量子通信網絡,不受量子計算算力提升的影響。但目前QKD技術的應用也存在一定的局限。一方面,QKD不能替代非對稱算法的所有場景,如簽名驗證、完整性保護、抗抵賴等非對稱算法場景就無法使用QKD進行替代;另一方面,QKD的成熟應用依賴于量子通信基礎網絡的建設,目前國内還處于建設推廣初期,接入成本也比較高,距離實作大範圍推廣還需要較長時間。
PQC
PQC是指基于不受已知量子算法攻擊的數學難題而重新設計的非對稱密碼算法。2022年7月,美國國家标準與技術研究院(NIST)公布第一批4種拟标準化的國際後量子密碼算法(Kyber、Dilithium、Falcon、SPHINCS+),并計劃2024年正式釋出标準,4個算法分屬多種技術路線,以降低單一技術路線被破解的風險。國内的密碼科學技術國家重點實驗室、中國密碼協會等科研機構也正在通過各類研讨和算法競賽,積極推動後量子算法的研究。
PQC理論上可替代所有非對稱算法并覆寫所有的應用場景,相對QKD是更為通用的解決方案。但從目前看,PQC的應用也存在一定的局限。一方面,PQC的安全性仍然依賴于相關數學難題的計算複雜度,是以未來同樣可能出現更優的破解方法,或算力進一步提升後導緻某種PQC算法不再安全,需要再次更新;另一方面,PQC的标準還未正式公布,且未來标準公布後,相關密碼産品的生産、認證、試點、疊代成熟需要數年的時間,是以PQC的規模化應用也需要較長周期。
此外,還可以通過增加非對稱算法密鑰長度來提升破解難度,該方法可作為抵禦量子計算攻擊的臨時過渡方案,為更換算法争取更多的時間。
工商銀行應對量子計算威脅的思考與實踐
工商銀行始終将保護客戶交易資金安全作為首要任務。面對量子計算的威脅,工商銀行積極開展抗量子計算攻擊的技術研究和實踐,按照“技術路線軟硬結合、方案探索内外關聯、落地實施總分協同”的思路,有序推進業務系統縱深、全面的抗量子攻擊能力建設。
軟硬結合降低技術風險
目前抗量子計算攻擊的QKD和PQC兩種技術各有優勢與不足,未來兩個方案結合使用可以更好地形成互補,降低單一路線的技術風險。
在QKD的應用方面,工商銀行與國内QKD技術頭部企業保持密切交流與合作,從2015年開始逐漸在同城檔案傳輸、異地資料備份、合作方互聯等多個場景完成試點,後續将根據QKD網絡建設情況及業務場景需求逐漸擴大試點範圍。在PQC驗證方面,工商銀行密切關注國内外算法研究進展,分别在2021年及2022年針對NIST釋出的最新後量子密碼算法開展了技術驗證,并完成了在業務場景應用的分析評估及核心加密服務平台應用的建設方案,計劃待算法标準正式釋出後再安排生産試點。
内外關聯創新解決方案
抗量子計算攻擊是一項複雜的系統工程,不僅涉及銀行與合作方應用的适配,還涉及各類廠商軟硬體産品的更新,挑戰巨大。為更好地推進抗量子計算工程實施,既需要與合作機構及廠商加強關聯、互相配合,創新解決方案;也需要與同業加強交流,互通有無,降低試錯成本。
目前,工商銀行正在與網絡裝置供應商開展安全網關更新替代方案的聯合創新,在合作方通信場景實作對應用透明的抗量子計算攻擊的安全傳輸通道。該方案在傳統TLS協定的基礎上,按照抗量子“軟硬結合”的思路更新裝置,同時支援量子密鑰分發協定和後量子密碼協定,在抗量子攻擊方面具有更好的靈活性和更強的實用性。目前該裝置已完成原型開發,并在驗證環境中開展中等距離的測試驗證,待驗證成熟後可投入生産使用。同時,工商銀行也積極參加業界量子技術聯盟及專委會,牽頭或參與多項量子技術課題研究,深化與金融同業的交流,貢獻工行智慧。
總分協同提升實施效率
工商銀行應用體系龐大、分支機構衆多,如何實作總分行協同、高效、有序地完成後量子密碼算法的更新替換是一個巨大難題。一方面,需要對總分行各個内部應用、内外部互聯的各類場景中非對稱算法的使用情況進行全面梳理和排查,避免場景遺漏;另一方面,需要針對不同的使用場景分類施策,同類場景制定總分行統一的實施方案和驗收标準,確定有效落地。
考慮到量子計算能力具備後,後量子密碼算法仍有被攻破的可能,是以在首次實施後量子密碼更新時,需同步考慮一種可以支援算法靈活替換的方案。該方案通過對業務提供與算法無關的通用服務接口,及在密文傳輸上實作變長封包處理等設計,可以提升後續再次更新的效率。工商銀行目前正在研究“加密靈活性”方案并已完成原型驗證,分行應用參考該設計原則進行應用改造适配,形成總分協同、靈活高效的更新方案。
面對量子計算對密碼算法的威脅,我們既要保持謹慎,做好量子計算威脅可能提前到來的準備,也要保持樂觀,相信科學的進步和技術的發展将為我們帶來更好的解決方案。工商銀行将與同業齊心協力,共同探索抵禦量子計算攻擊的最佳實踐,守護金融安全。
作者系中國工商銀行首席技術官