6月1日,由中国信息安全法律大会专家委员会、苏州市委网信办主办,西交苏州信息安全法学所、公安部三所网络安全法律研究中心承办,数字丝路安全智库等单位协办的《网络安全法》实施五周年暨“密码法治实践创新基地”签约揭牌活动在线举办。会上举行了“2022太湖密码论坛”。来自密码领域的专家学者分别就密码法的贯彻落实、商用密码检测认证实施和生态建设、密码法如何做出时代回应方面进行了演讲交流。

在2022太湖密码论坛上,原浩律师作了题为“量子的逻辑与下一代密码法”的主旨报告。现将其主要观点分享如下:

他认为在对某一可能对象及其法律关系进行规范性立法之前,应综合考虑多种技术、社会、政治效应,进行充分调研论证。

具体到量子信息的相关技术领域,应考虑:

(1)目前量子技术两用的成熟度需要的资金在什么水平?

(2)应在多大程度上投资和研究能够实现量子两用的技术(以及包括如材料)?

(3)量子技术商业进步能在多大程度上用于军事应用?或军事应用的技术能在多大程度上商用化?

(4)其他国家在开发量子技术两用方面的成熟度如何?如何开展良性竞争与合作?

(5)已采取哪些抗量子加密并保护使用当前加密数据的措施?

(6)应采取什么措施来确保量子相关人力于量子技术方面的竞争性研发?

(7)经典计算(如超算)对量子的支持和挑战在多大范围和程度上可以实现?如何确定量子的成本和人力优势等等?

报告分为三个部分:

一、当前量子信息相关技术的阶段特点

他认为,当前对量子信息相关技术的讨论已经到了称之为山雨欲来、风云际会的阶段。在2018年美国召集量子计算峰会与发布国家量子信息科学战略文件之后,当年即快速通过了《国家量子倡议法案》(NQIA)。2018年NQIA规划了量子立法的顶层设计,设立了内置协调办公室、国家科技委员会下的SCQIS和ESIX(量子科学经济和安全影响子委员会)以及外部的国家量子信息咨询委员会。并基于重要性原则规定了商务部(NIST)、能源部、国家科学基金会(NSF)等角色职责。

由于NQIA存在部分不周和缺陷,2022年NDAA法案从预算角度进行了补强,特别是规定了ESIX的额外职责,包括(1)评估量子科技投资的经济和安全影响;(2)基于评估提供适当的政策建议;(3)在相关项目中推荐目标、优先事项和投资策略,以及控制和保护措施,以确保研发投资反映了科学发展,实现与潜在经济和安全影响之间的适当平衡。

紧随其后,2022年5月在总体行政令之后的国家安全备忘录,专门针对量子信息相关技术做出决策,要求:(1)通过持续投资、合作伙伴关系以及平衡的技术促进和保护方法,保持领导地位;(2)将国家密码系统过渡到可互操作的抗量子密码,减轻量子解密能力的威胁;(3)完善降低加密风险的专门举措;(4)知识产权与出口管制的进一步考虑,包括修订和完善2018年ECRA等等。

结合当期其他主要国家、地区的量子信息相关政策、法律,他总结认为目前一些国家已经完成了相关立法的框架和模式,通过财力支持、人力赋能、进度控制、风险评估等方式推动产业和法律进程。

在此其中,通过高端会议的方式进行协调也不失为一种主要方式,例如在2018年峰会后,包括新近2021年10月美国联邦政府科技政策办公室和国家安全委员会已经举办了多次其国内和国际会议。这也与我们本次基地启动和太湖密码论坛的会议要旨相契合,通过会议共享头脑风暴的力量。

二、对量子密码两个分支的法律考虑

报告第二部分,他介绍了目前在量子密码领域的两个主要技术方向的进展及与法律的互动。对于PQC,报告认为美国商务部NIST的后量子密码算法征集目前处于关键评价阶段,得到全球技术界的广泛关注,包括NSA、ETSI、IDF和各国学术界都为其贡献了智力成果,使得标准化工作取得了重大成就,也倒逼和促动了包括我国在内的产业向后量子“迁移”的进程。

对于QKD与QRNG,他认为除了中国在这一领域的技术进展和标准化努力外,例如通过ISO 23837的标准化工作,实际上各国的关注也姿态也在发生悄然变化,除了NSA外,英国在2020年《为(抗)量子的安全密码而准备》的白皮书中提出了一些新观点,但NSA指出的QKD问题仍然需要引起高度重视,包括:(1)当前只是部分解决方案而非全部方案例如认证;(2)需要专用设备和硬件;(3)增加了基础设施成本和内部威胁风险;(4)链路保护和验证量子密钥分发仍然存在巨大挑战;(5)增加了拒绝服务和其他攻击的风险等等。

在这部分的法律对策中,他认为《密码法》和《商用密码管理条例》的修订可以有大量的工作和作为,包括:(1)区分商用密码和其他密码考虑抗量子问题;(2)确立敏捷性与平滑过渡原则;(3)清点系统和密码应用,识别和确定优先性;(4)结合密评,增加区分对称密码和非对称密码的增强机制和环节机制;(5)按照重要性评估风险并提交专项定期和不定期报告;(6)论证制定并持续完善计划和时间表;(7)以及特别针对量子密钥分发,进行必要的密码预算控制与审计等等。

他进一步举例,如“密评”中应在和通过(1)更迭密码库;(2)部署算法所需硬件;(3)操作系统和通信设备;(4)实施验证工具;(5)取代安全标准和协议等内容考虑抗量子问题,并能够与现有法律、条例和标准形成体系。另一方面2021年商用密码检测中心对国内主流量子密钥产品开展的检测认证也是值得肯定的监管工作。他用Rolf Landauer和John Wheeler的信息即是物理、万物源于比特归纳了此部分内容。

三、总结

报告的最后,他指出,概括而言在量子与法律的交叉研讨和实践中,应重视:(1)硬件极限;(2)量子人工智能算法加速;(3)量子的网络安全风险;(4)避免“量子法学”四个主要问题。

当前量子信息相关技术和法律领域体现出的:(1)典型性:阶段性和过渡性的特点明显;(2)地位性:具备规范内容,应在密码法和安全法律体系内占有一席之地;(3)方法论:公理体系、量子信息学和法律经典化特点,使得量子信息相关技术可以作为法律政策的研究领域,并通过量子逻辑经典化和完善法律方法,形成法律对技术的介入和技术对法律的触动。

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。