项目飞跃 ： 金融系统的量子证明

项目TLietalep Quantum-prooTfiintle金融体系 2023年6字幕月 1 金融系统的量子证明 执行摘要 量子计算机对金融系统构成严重威胁。如果它们变得可行，它们可以被用来损害当前主流加密协议的安全性，金融系统依赖于这些协议来保护数据和交易。在20世纪90年代中期，研究人员创造了量子算法，至少在理论上，并提供了足够强大的量子计算机，可以打破当今广泛使用的公钥加密方案。这将立即使许多当前的加密技术过时，威胁到我们金融服务基础设施的基础，并严重影响金融稳定。 虽然功能量子计算机尚未可用，但安全威胁需要紧急解决。恶意行为者已经可以拦截和存储机密的、加密的数据，以便在量子机器变得足够强大时对其进行解密。这意味着今天存储或传输的数据实际上会受到未来量子计算机的“现在收获，以后解密”攻击。金融数据的长期敏感性意味着量子计算机的潜在未来存在实际上使当今的系统不安全。 Leap项目的目的是帮助确保金融系统免受这种威胁。实现抗量子加密协议已经是可行的。然而，在金融系统中实施它们会带来一些挑战。具体而言，遗留系统缺乏灵活性意味着需要进行重大的过渡努力。计划飞跃解决了为金融系统实施量子抵抗IT环境的一些具体挑战，以期为这种过渡做准备并加速它。 由国际清算银行创新中心欧元系统中心，法国银行和德意志联邦银行进行的这项联合实验旨在从中央银行流程开始对金融体系进行量子验证。ProjectLeap的第一阶段探索了后量子加密协议在中央银行使用案例 （如支付）中的实施。创建了一个量子安全环境，以保护基础设施免受传输中数据的干扰。该解决方案可以保护高度敏感的通信。该项目有两个关键目标，即金融系统的量子证明和提高中央银行界的认识，旨在为金融系统的量子之旅提供有价值的见解。 ProjectLeap第一阶段解决的一个具体挑战是加密敏捷性，即在不影响应用程序的情况下在加密方案和算法之间切换的能力。由于新的抗量子加密标准仍在讨论中，加密敏捷性在向抗量子加密的过渡中至关重要 。另一个重要发现涉及安全强度和性能之间的权衡。在后量子密码学领域，安全性可能需要根据应用需求进行配置。这些和其他技术发现在第6章中进行了总结。 Leap项目的第一阶段成功地在金融系统背景下建立了一个量子安全环境。由于这是在测试环境中实现的 ，因此需要更多的工作来探索复杂的现实生活环境。因此，计划在ProjectLeap的第二阶段，以研究更多的网络体系结构，测试不同类型的硬件，并整合额外的通信层以建立完整的信任链，以及包括额外的中央银行流程。 Contents 2 1. 2. 2.19 2.210 3. 3.1NIST组织的国际合作13 3.2现在可以实施解决方案14 4. 4.116 4.217 5. 5.1目标和范围19 5.2解决方案设计20 5.3实施和测试21 6. 6.1密码敏捷性25 6.2性能26 6.3安全28 7. 7.130 7.231 7.332 34 36 40 41 42 48 4 1.Introduction 1.Introduction 量子盘算曾经成为一个主要的研讨范畴。自1990年代初以来，有关量子计算的出版物（Scops（2021 ））显着增加，仅在2020年就有超过48,000种出版物表明了对这一迅速发展的技术的兴趣。领先的科技公司和初创企业一直在开发具有越来越多量子比特的量子计算机。在不久的将来，量子计算机在某些任务方面可能会大大超过当今的经典计算机的能力。 量子计算机的潜在能力可能对许多行业都是一个福音。这包括金融行业，量子计算机可以支持人工智能在金融服务中的使用或改善金融建模。例如，在银行业，人们对使用量子算法加速蒙特卡洛模拟的兴趣日益浓厚。 但是，由于当今的金融系统严重依赖传统的加密安全协议来保护数据和通信，量子计算机可能会使金融系统面临新形式的网络攻击。事实上，一台功能齐全的量子计算机将对目前广泛使用的加密算法产生重大影响。金融稳定委员会在其关于金融部门网络安全的报告中指出，网络攻击是对金融体系的破坏性威胁。金融部门遭受的网络风险已通过世界各地当局开展的监管工作得到缓解。然而，恶意使用金融数据将对重要的金融服务产生破坏性影响，威胁到安全和数据保密，对金融稳定产生破坏性影响(FSB(2017))。此外，在其最新的全球风险报告中，世界经济论坛将量子计算的网络威胁列为主要的新兴全球技术风险之一（WEF（2022））。这种情况要求采取集体行动，包括开发能够保护金融服务IT系统的新加密标准。 虽然功能量子计算机还不可用，但安全威胁是显而易见的，需要紧急解决。恶意行为者已经可以拦截和存储机密的经典加密数据，以便在量子计算机变得足够强大时对其进行解密。这意味着今天存储或传输的数据实际上会受到未来量子计算机的“现在收获，以后解密”攻击。金融数据的长期敏感性意味着未来量子计算机的潜在存在实际上使当今的系统不安全。 图1进一步说明了这种紧迫性，其中线Y显示了可以破解当前加密算法的量子计算机何时可能变得可用。相应地，X表示过渡到抗量子密码学完成的时间。即使X早于Y,使得转换“及时”完成,这也将仅保护之后存储或传输的数据。今天存储或传输的所有数据都有效地暴露于未来量子计算机所代表的威胁。 6 认识到功能量子计算机可能会破坏当前的密码学 量子计算机的可用性 标准化过程 后量子密码学 迁移到后量子密码学 1994 今天 X Y 数据暴露于“收获” 密以后的攻击 数据现在受到保护，解 图1 Leap计划旨在提供有关这一转变的见解,从而为成功迁移到量子抗系统铺平道路。 7 2.1为什么量子计算代表着网络威胁 要了解量子网络威胁，掌握一台计算机的功能至关重要。在传统的计算机系统中，信息被转换成一系列二进制数字，称为比特。每个位只有一个可能的值，0或1。有了这个二维的经典系统，计算机可以执行广泛的任务，并为包括金融服务在内的整个基于网络的经济奠定基础。 量子计算机通过使用量子粒子表示数据来处理信息，这与经典计算机的运行方式截然不同（见附录A方框1）。量子计算机中的基本信息单位不是一个比特，而是一个量子比特——它代表一个量子比特。像经典位一样，量子位可以具有0或1的值。与经典位不同，量子位也可以处于叠加状态，其中其值同时为 0和1。对于某些类型的任务，这种叠加状态为量子计算机提供了比经典计算机更多的处理能力。 在成功构建量子计算机方面，仍有相当大的挑战有待解决。主要挑战之一是“噪音”。在计算过程中，量子计算机中和周围存在的所有原子和亚原子粒子都可能会干扰量子位，从而产生不完美的状态，从而抵消其计算优势。尽管量子计算机的物理实现在高度隔离的环境中在接近绝对零度的温度下运行以最小化干扰 ，但目前很难创建足够数量的完美量子位，从而限制了量子设备可以实现的目标。 由于这个噪声问题，今天的量子计算机被限制在50到几百个量子比特之间。这促使加州理工学院理论物理学教授JohPresill将量子计算的最新技术称为嘈杂的中等规模量子（NISQ）时代（Presill（2018 ））。然而，由于量子计算机不断发展，人们期望这些限制最终会被克服。 在量子计算领域工作的公司和组织通常遵循两种不同的方法来寻求生成更多数量的量子比特。有些人一直在试图稳定物理量子比特并创造完美的量子比特。其他人应用错误校正技术来弥补缺乏稳定性。这涉及添加更多的量子位，称为逻辑量子位。尽管NISQ设备的功能有限，但嘈杂的量子计算机已经可以成功执行某些特定的任务。1 目前还不确定何时将建造一台功能强大到足以打破当前加密协议的可操作的量子计算机。然而，专家认为这可能会在未来10-15年内发生(Mosca(2021))。行业的快速发展使预测变得困难：彻底改变前景的新突破随时可能发生。2022年12月，中国研究人员在一篇有争议的论文中声称，有可能用当前一代的量子来打破广泛使用的RSA-2048(Rivest-Shamir-Adlema)加密方案。 1在量子计算机界，关于我们是否以及何时达到“量子霸权”的时刻，也就是量子计算机超越经典计算机的时刻，已经有很多争论。2019年，谷歌宣布其53量子位“Sycamore”处理器的计算速度比世界上最强大的经典计算机快1.58亿倍，将所需的时间从10,000年减少到不到4分钟。尽管事实证明该任务是为实验目的而人为设计的，但这清楚地表明，50个量子位代表了一个重要的阈值-量子机器可以在比经典计算机更短的时间内开始执行特定任务的点。2020年底，合肥中国科学技术大学的中国研究人员宣布，他们的量子计算机能够解决现有最强大的计算机无法解决的问题。2022年 ，IBM研究人员提出了一个量子路线图，目标是2025年的4158个嘈杂的量子比特。 9 量子证明金融系统 机器（Yanetal（2022））。在2023年2月，量子计算的主要参与者报告了量子位错误率的降低 ，从而产生了更少的噪声量子机器。这些快速的性能改进显着增加了量子攻击的风险。 同样或更令人担忧的是当前的“现在收获，以后解密”量子网络威胁，在这种威胁中，恶意行为者今天可以拦截和存储机密的，经典加密的数据，目的是在量子计算机变得足够强大时解密它们。任何需要长期密码保护的数据（即所有必须保持安全和隐私超过10年的数据）都将需要尽快进行量子后保护，特别是如果这些数据是异地存储的（例如在云中）。 这种网络风险将对金融系统产生破坏性后果。最重要的是要考虑这种风险和随后可能影响金融稳定的漏洞。 2.2对当前加密技术的潜在威胁 密码学基于计算复杂性。今天的密码学可靠地保护当今计算机系统中的信息，确保安全的互联网通信等。它是确保在线通信的机密性，完整性和身份验证的重要工具。这意味着信息应该只能传递给预先确定的接收者，他们可以确保信息来自正确的发送者，并且这些信息在运输过程中没有被改变。 当前使用的加密系统有两种类型：对称加密和非对称加密（也称为公钥加密）。在两个不同的IT系统之间创建安全隧道通常是在多步骤过程中进行的，使用对称和非对称加密系统（见图2）。首先，在称为密钥交换机制（KEM）的过程中交换秘密密钥，秘密密钥使用非对称加密进行加密，然后使用此共享秘密密钥对双方之间发送的消息进行加密，使用对称加密。这种组合方法的一个原因是非对称加密明显慢于对称加密。 非对称密码学依赖于复杂的数学问题，例如素数fac-torization。这个想法是，虽然经典计算机通过将两个足够大的数字相乘来生成一个数字是微不足道的，但将该数字因子分解回原始素数是非常具有挑战性的。 1994年，数学家彼得·肖尔（PeterShor）设计了一种量子算法，理论上可以计算大数的素数。网络安全专家立即证实了Shor的算法对诸如加密算法RSA之类的非对称密码学构成的威胁，该算法的安全性依赖于有效分解非常大的数字的困难。如果在具有足够量子比特的量子计算机上运行，Shor的算法可以使主要因式分解挑战变得微不足道，从而将在当今的经典计算机上花费数百或数千年的时间减少到在足够强大的量子计算机上花费数小时甚至数分钟。名为Grover的第二种量子算法也代表了对这种对称加密算法的威胁。 10 作为AES（高级加密标准）或SHA，用于加密资产挖掘过程。关于AES，解决方案包括将密钥长度从 128位增加到256位，使其免受基于Grover算法的攻击。 此外，重要的是要理解，这种网络威胁不仅会对公钥算法产生影响，还会对加密密钥的生成方式产生影响 。为了防范这种威胁，必须加强所有使用非对称加密的加密协议，包括身份验证。数字签名是一种加密机制，用于验证数据完整性和身份验证。在数字签名方案中,签名者具有秘密签名密钥,并且签名验证者具有对应的公钥。当签名者使用其秘密密钥对消息进行签名时,可以通过使用相应的公共密钥来验证签名。数字签名在支付系统中被广泛使用。 随着量子计算研究的迅速发展，紧迫的问题是量子计算机何时能够打破当前的加密方案。为了回答这个问题，有必要准确地了解需要多少个完全稳定的量子比特