后量子密码的研究与实践

一、引言

随着科技的飞速发展，在各个角落都深深融入了现代信息技术。

传统公钥密码算法在这种强大的计算能力面前显得脆弱不堪

这种新型体系不仅具备抗量子攻击的能力

为了避免遭受量子计算带来的潜在威胁损失，在时间管理上必须予以高度关注

二、量子计算对经典密码的威胁

1、量子计算机的发展

一种基于现代物理基础与信息技术融合的新一代信息处理系统——现代电子技术专家普遍认为,这是实现超越传统数字处理器能力的关键途径之一。
通过调控基本单元即所谓的"量子位"以及利用其独特性质进行信息操作,从而实现高速度的信息处理。
比起经典计算机,在单个处理单元中不仅存在离散的状态（0或1）,而且还能够同时维持多种状态（叠加态）。
就算在理论上是这样,但在实际应用中却展现了非凡的力量。
当可操作的'qubit'数量增多时,其运算能力将呈指数级增长。
这意味着当拥有k个'qubit'时,一台这样的设备可以在一次操作中执行2^k次运算。
因此可以说随着技术的发展,这一领域的潜力将会得到充分释放。

图1 主要技术路线量子计算机发展

近年来

2、量子算法对经典密码的威胁

量子计算机对Shor与Grover等量子算法的应用，在传统公钥密码体系中构成了严重的挑战。Shor算法专门针对大整数分解与离散对数困难问题进行求解，在将大整数分解以及离散对数等数学难题的破解难度从指数级增长降到了多项式级别方面具有显著优势。这意味着基于大整数分解与离散对数问题的传统公钥密码体系（如RSA、SM2、DSA、ECC等）将会面临快速被破解的风险。另一方面，Grover算法作为一种非结构化搜索型量子算法，在无序数据库搜索方面实现了平方级别的加速效果；这对基于对称加密体系的经典密码系统构成了一定影响。因此，在面对量子计算带来的挑战时必须予以高度重视，并采取相应的防护措施以确保信息安全不受侵害

3、量子计算攻破经典密码必要条件

基于数学运算的计算复杂度构成了经典密码算法的安全根基，在此保障下可防止敌手在限定时间内破解传统公钥密码系统。然而，在面对能够突破现有安全屏障的大规模量子计算机时，则会面临来自量子领域的挑战：唯有同时具备强大算力与特定适应性条件才能实现代用效果与价值提升。
当面临具有超越当前阈值（如10,000个）量子比特数的大规模量子计算机时，则会构成严重威胁——唯有同时具备强大算力与特定适应性条件才能实现代用效果与价值提升。
当具备上述条件下，则可能导致 RSA、DSA、SM2 等基于大整数分解与离散对数难题的传统公钥密码体系遭受直接破坏；而 Grover 量子搜索算法虽能削弱对称加密系统的安全性水平但尚不足以动摇其整体稳定性基础。
因而必须警惕此类技术发展所带来的潜在风险并采取相应防护措施以维护信息安全体系的有效运作。

三、量子计算攻击之盾——后量子密码

1、后量子密码简介

后量子密码系基于一组不受现存量子算子算法威胁的数学难题构建而成的加密系统；具体包括格密钥协议、编码加密方案及基于哈希函数的安全机制等技术。此类系统的主要目标在于提供在量子计算时代依然可靠的网络安全保障措施

Lattice-based cryptography作为一种基于网格结构的设计思路，在其核心在于将算法构造或安全性证明过程中的相关技术指标应用于网格环境中。相比于传统公钥加密方案，在关键参数如密钥尺寸方面表现更为突出的同时（密钥尺寸相较于传统方案而言更为庞大），Lattice-based cryptography凭借其独特的运算效率优势展现出显著的安全防护能力特点（即能够有效抵抗量子计算机环境下的潜在威胁）。与其他技术路线下的后量子加密方案相比（如代数几何或编码论方法），Lattice-based cryptography在综合性能方面表现更为突出（密钥管理效率与安全性保障水平均取得较大提升）。在当前研究热点领域中占据主导地位的同时（即成为当前研究的核心关注点），该类方案因其优异的技术性能而衍生出一系列创新性的具体实现方法（即形成了多种具有实用价值的具体加密算法）。

编码密码的概念源于编码理论与纠错码领域。其中一类主要分为基于海明度量（Hamming metric）编码和基于秩度量（Rank metric）编码的密码方案。其中一类最早由 McEliece 提出其基础架构其核心原理在于利用一般线性码译码问题作为难解性假设同时结合Goppa码的独特特性从而构建出一种新型公钥加密系统即 McEliece 加密算法。在 McEliece 加密体系中系统采用一种已知高效解码算法对应的纠错码作为私钥参数并通过对私钥执行特定转换操作生成对应的公钥参数在此过程中随机引入错误信息随后将明文与该随机错误信号结合后利用公钥执行加密运算得到最终密文由于这种设计使得在无密文字典的情况下仅凭密文恢复原始消息极为困难因而 McEliece 加密算法具有较高的安全性经过长期的安全性验证测试其安全性得到了广泛认可然而由于该算法在密钥生成速度及存储规模上仍存在一定的局限性因此在实际应用中仍有待进一步优化

它是通过利用特定 hash 函数构建的一种密码技术方案；它的安全性取决于所使用的 hash 函数在抗碰撞方面的性能表现；尚未发现任何能够破解这种 hash 碰撞的方法；而且这类构建方案并不是以单一特定 hash 函数为基础；如果某类 hash 函数遭受破坏，则可用另一种更安全的安全性构建方案替代；因此可认为这类构建方案具备抗量子计算攻击的能力；不过就实际应用而言；虽然这种 hash 基础下的签名方案具有公钥规模极小且安全性表现良好等特点；但其签名输出长度显著较长；综合考虑效率因素；这类构造方法并不适用于大多数应用场景

2、后量子密码现状

1.标准化进展情况

美国国家标准技术研究院（简称NIST）于2012年启动了对后量子密码标准化项目的前期研究工作，在一年之内（总共一个月）期间进行了公开征集89个候选算法提案。这些提案中经严格筛选共留下了86个方案，并包含了来自中国三个不同机构的创新性研究成果。经过多轮评估测试，在这一年 November 份正式发布了第一组候选方案。具体包括Kyber、Dilithium和SPHINCS+三种算法。Falcon则预计将在下一年度推出。欧洲 Union 的国家和地区尚未公布他们的后量子密码标准规划。通过参与NIST标准化项目以及各类研讨活动和竞赛等方式的推动下, 我国相关科研机构正在积极开展这一前沿领域的研究工作

图2 NIST PQC算法标准化历程

2.应用现状

当前在国际上设计的后量子密码算法中，默认采用格结构来实现性能与安全均衡的比例分配这一默认模式

1）PQC未经过长时间考验，并非完全没有被攻破的可能性。目前大多数后量子密码方案都是随着最近几年推动 quantum standardization项目的发展而产生的，在长时间内未曾接受过系统的密码分析检验；尽管如此但它们仍然无法抵御现有的 quantum attacks（即基于某些数学困难的问题），原因在于尚未出现能够解决这些数学问题的 quantum algorithms（即尚未出现能够解决所依据数学难题问题类型的 quantum algorithm）。鉴于此，在后量子密码迁移过程中必须开发出能够快速转换到其他方案的能力以便在某个算法被攻破时系统能够迅速切换到另一种更安全的方法

2）PQC特性与传统公钥密码差异大。 后量子密码体系具有显著的特性区别相较于传统基于SM2或RSA的传统公钥体系，在关键参数如模数大小、计算复杂度等方面存在显著差异。具体而言，在模数大小上就可观察到明显差距例如国密SM9算法采用的大素数模数形式相比传统的RSA模数形式具有更高的安全性优势；在计算复杂度上则呈现出不同的增长趋势这使得两种体系在实际应用中呈现出完全不同的适用场景

3）法律合规和潜在专利问题

3.同业建设情况

当下诸多金融机构如建设银行等已开始开展后量子密码应用及迁移研究以应对潜在的量子计算威胁

（1）建设银行：

（2）中国银行：基于传统与现代密码学方案融合构建新一代自适应型量子加密互联网络体系，并开展相关领域的实验研究以验证其安全性。

（3）工商银行： 工商银行成功实现了抗量子计算攻击测试以及后量子密码算法的有效验证，并在此基础上开展加密能力的优化研究。同时完成了国密算法与后量子密码算法切换方案的有效验证。

四、农行后量子密码领域布局

1、紧跟业界动态，搭建后量子密码研究团队

近年来

随着量子计算技术的发展趋近深入，在信息安全领域可能面临的威胁日益加剧。农行迅速建立了专门应对未来可能面临的 quantum computing 相关安全挑战的专业团队，并致力于推动金融行业的现有系统与后量子技术的有效结合。

后量子密码迁移是一项具有长期性和复杂性的系统工程，在安全性、高性能以及合规性等多个关键领域均面临诸多挑战。农行后量子密码团队在这一过程中展现出了极高的专业能力，在攻坚克难的过程中积极向高校密码学教授及NIST权威专家请教，并深入学习了各种技术路线的后量子密码算法。该团队持续关注行业动态及算法标准发展趋势，在深入了解各项技术细节的基础上充分准备了后续工作计划。通过学以致用与用以促学相结合的方式，在业界开展深入合作与交流活动：积极参与各类课题研究项目，在理论学习成果与实践经验基础上推动行业共同进步；积极参与信通院及量子专委会组织的各项研究报告编写工作包括《后量子密码研究报告》《量子通信金融应用研究报告》《量子安全威胁及其对国内金融行业的影响研究报告》以及《金融业后量子密码安全迁移研究报告》，致力于将研究成果凝练总结并分享给行业界内同仁

2、安全合规，设计混合加密机制

当前国际上尚未正式发布适用于后量子密码的标准文件

3、优化加密方式，探索敏捷加密

广州研发部研究团队开发并实现了后量子密码组件系统，在满足加密灵活性需求的前提下提供丰富多样的加密方案选择与安全参数配置选项。该系统不仅支持多种主流公钥加密算法与数字签名方案，并且能够灵活配置不同级别的安全强度参数组合以适应不同的应用场景需求；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；通过这种灵活配置的方式，在不降低现有系统安全等级的前提下显著提升了系统的抗量子攻击能力；

后量子密码组件整合了多种后量子密钥封装技术。一旦某项特定算法受到攻击威胁时，在线服务提供方只需将相关攻击信息及加密参数一并传递给云端服务接收方完成解密操作即可。云端服务接收方基于接收到的信息自动选择对应的加密模式以及相应的密码方案，并据此设定合适的防护等级完成数据解密工作。这种切换过程不会影响到云端服务接收方的操作流程与日常任务安排从而显著提升了该过程所需的时间效率同时大幅增强了系统抵御密码破解风险的能力这一设计理念通过模块化架构实现了快速响应与优化机制确保了系统的安全性

4、探索行内后量子密码迁移之路

金融行业作为一个数据高度敏感的中心区域，在数据安全方面的重要性不容忽视。传统公钥密码算法面临来自量子计算的安全性挑战，在这种背景下金融行业的稳定性面临严峻考验。因此金融行业必须高度重视这一领域的安全问题，并提前做好应对措施以适应未来向后量子时代的到来

在迁移机制上与 previous 国密改造方案具有相似之处，在金融行业的实际应用中同样面临诸多挑战。然而由于目前尚无统一的标准体系存在，在实际操作中后量子算法技术尚未达到成熟应用阶段。为此建议制定全面的迁移策略方案：首先应当对现有密码技术的应用场景进行全面梳理，并明确密码技术的核心特性及其应用场景特征（包括性能指标、数据包尺寸以及系统间的关联性等），从而确定需纳入后续迁移的系统范围以及具体的迁徙次序。在此基础上为确保业务系统的切换能够顺利推进，则应优先选择交易量温和且对性能要求不高的业务系统开展试点测试，并避免涉及核心业务系统的测试环节以降低风险。最终目标在于通过分步实施的方式，在不影响现有服务运行的前提下逐步完成关键基础设施的安全升级工作。通过持续关注相关领域的最新动态并及时调整完善相关配套措施，在完成后续标准体系建设的基础上将能够实现更加稳妥的安全保障目标。

五、总结与展望

随着全球量子计算机研发速度的加快,基于数论难题的传统密码算法面临被破解的风险,确保数据的量子安全日益关键。在今年的政府工作报告中强调,"大力推进现代化产业体系建设,加快发展新质生产力"以及"制定未来产业发展规划,开辟量子技术、生命科学等新赛道"。量子信息技术作为新质生产力的重要组成部分,要统筹好新技术的安全与发展。当前,在量子信息技术尚未成熟之前,对于安全的研究应提前部署。农业银行一直密切关注量子技术的发展动态,并在这一领域持续投入大量资源。面对量子计算威胁的严峻考验以及后量子密码迁移所面临的高复杂度问题,农行研发中心项目组将继续开展相关领域的深入研究与技术开发工作。在大胆探索的基础上充分验证的基础上,积极而稳妥地推进加密敏捷性改造与后量子密码应用测试工作,以避免未来后量子密码算法升级对业务连续性和系统安全性造成的明显影响。通过这一举措,为农行实现平稳合规提供足够的量子安全能力的同时,持续探索与攻坚克难,为我国金融行业贡献更多优秀案例