七国集团网络专家组：金融部门需为量子计算的潜在威胁做好准备

9月25日，七国集团（G7）网络专家组（CEG）就对金融体系的安全性和弹性至关重要的网络安全政策事项向G7财长和央行行长提供建议。G7 CEG已将量子计算确定为对金融体系具有潜在利益和风险的领域，CEG鼓励各司法管辖区监测量子计算的发展，促进相关公共和私人利益相关者之间的合作，并开始规划量子计算对某些当前加密方法带来的潜在风险。

来源：G7

量子计算与金融系统

量子计算机仍在开发阶段，预期能够在合理的时间内解决目前的传统计算机无法解决的计算问题。金融机构可以通过优化市场交易、投资流程（包括风险管理、内部运营和预测策略）来从具有高速度和高精度的量子技术中获益。此外，量子计算有可能为更高效的支付处理以及投资组合持有的动态优化提供支持。量子密钥分发等技术还可以帮助组织更好地保护其数字通信系统。

金融机构需要做好准备，在部署这些新量子应用程序的同时管理好它们的潜在风险。此外，量子计算机的引入可能为黑客提供机会，因为它们极有可能破坏当前的加密技术，这会对金融系统带来极大风险。

公钥加密的风险

数字通信和IT系统都通过加密进行保护。复杂的加密算法可确保多方之间的通信私密且安全，并且身份是有保证的。未来，黑客可以利用量子计算机的独特特性来解决支撑传统加密系统根基的一些数学问题，击败安全通信中使用的某些加密技术，从而有可能暴露包括客户信息在内的金融机构数据。

在大规模量子计算变得普遍的情况下，黑客可能会采取“先存储，后解密”的方法，目的是预先保存机密数据，在量子计算机变得更强大、更广泛可用时对其进行解密。这种方法会对保护数字通信、IT系统和数据的传统加密算法构成威胁，在未来为威胁行为者提供对机密数据的访问权限，造成客户隐私泄露的问题，也会破坏组织声誉。

后量子密码学（PQC）标准化

后量子密码学（PQC）是一个工作领域，专注于开发加密系统，以抵御量子计算带来的威胁，新的加密系统还可以与现有通信协议和网络实现互操作。目前，全球政府与企业在国家和国际层面正在进行着多项PQC工作，特别关注安全性和互操作性标准的制定。

美国国家标准与技术研究院（NIST）正在探索开发PQC公钥算法，以保护当前系统免受量子计算机和经典计算机随着其功能增加而带来的风险。NIST于2017年发起了一项公开征集，旨在确定将构成新加密标准基础的抗量子算法。第一批正式标准已于2024年8月发布。

欧盟网络安全局（ENISA）发布了一份关于PQC标准化过程现状的研究，重点介绍了NIST和国际标准化组织（ISO）等组织的工作，以及一份关于标准化后面临的挑战与建议的报告。

更进一步的国际协调可以减轻G7的监管差距和不对称风险司法管辖区。世界经济论坛一直在通过与英国金融行为监管局的合作来研究量子弹性，并在多个全球金融机构的参与下发布了一份讨论全球监管方法的报告。

建议

人们认为，实用级容错量子计算机（或混合量子—经典计算机）在十年内出现的可能性越来越大，尽管我们还无法确定它破坏现有密码学的能力究竟如何。尽管如此，金融部门的公共和私营部门实体（金融实体）依然需要大量的时间和经济努力来协调活动，以减轻预期后量子环境的脆弱性。鉴于准备工作的战线将会很长，实体应尽快采取措施面对迫在眉睫的威胁。金融实体应考虑采取以下步骤来应对这一新出现的风险：

（一）更深入地了解量子计算、其所涉及的风险以及缓解这些风险的策略。

金融实体可以考虑与供应商、第三方和其他相关领域专家建立联系，更好地了解量子计算和潜在技术解决方案有可能带来的风险，特别关注加密风险。当下最需要关注的问题包括量子技术发展的时间表、威胁形势的演变以及现有和新兴的量子弹性技术方法。金融实体应考虑跟踪这些领域随时间变化的发展的流程。

（二）评估其职责范围内的量子计算风险。

金融实体应充分了解其特定责任领域的量子计算风险，无论是单个公司还是司法管辖区。这样做的目的，是确定实体应该为该问题付出多少努力，以及应该关注的具体领域有哪些。

对于已准备好采取措施的实体，需要做的工作包括开始清点其组织和他们所依赖的关键第三方内部使用的关键数据和当前加密技术，以便确定需要向后量子加密迁移领域的优先级。对于其他公司，在进行更深入的分析之前，还需与实体的信息技术领导层和关键服务提供商进行讨论。在量子技术变得更加成熟之前，必须增强关键数据的风险承受能力。

（三）制定降低量子技术风险的计划。

金融实体应考虑建立治理流程，确定关键利益相关者及其角色和责任，并根据加密相关量子计算机的预期部署为关键行动建立里程碑。如上所述，此类未来行动可能包括在实体及其第三方内部创建加密使用清单。此外，还可能包括规划用具有量子抵抗力的技术有序地替换易受攻击的技术。为此，加拿大政府制定了一份量子准备指南，可以帮助实体为量子威胁做好准备。G7 CEG鼓励金融当局与其管辖范围内的公司和其他相关方密切合作，提高相关各方对向量子弹性技术过渡的重要性的认识。

G7 CEG仍然致力于推进这一主题，促进与金融体系中所有相关的公共和私人利益相关者的对话，然后确定需要进行干预的领域的优先顺序，并利用G7司法管辖区和标准制定机构之间的协同作用来帮助成员国更好地应对挑战。

关于G7

G7，全称为七国集团（Group of Seven），是一个由世界主要工业化国家组成的国际组织，成员国包括加拿大、法国、德国、意大利、日本、英国、美国。

最初成立于1975年的G7，当时被称为G6，由法国、美国、日本、德国、英国和意大利组成。加拿大于1976年加入，成为G7。集团成立的初衷是为了促进成员国之间的经济合作和政策协调。G7的宗旨是协调成员国的经济政策，共同应对全球经济挑战，以及讨论和解决其他国际社会面临的问题，如能源、气候变化和安全等。

G7每年举行一次峰会，由成员国轮流主办。峰会期间，各国领导人会面讨论共同关心的问题，并发表联合公报。G7是一个非正式的国际论坛，成员国之间通过协商一致的方式做出决策，但G7的决定不具备法律约束力。

G7的经济影响力很大，其成员国的国内生产总值（GDP）合计占据了全球经济相当大的一部分，因此G7在全球经济政策制定中扮演着重要角色。除了G7成员国之间的会议，G7还会邀请其他国家或国际组织作为嘉宾或观察员参与部分讨论。

目前，G7在全球治理中发挥着重要作用，尤其是在推动全球贸易自由化、环境保护、债务减免和疾病防控等方面。与此同时，G7也面临着一些批评，比如被指责为“富国俱乐部”，忽视了发展中国家的利益。此外，随着新兴经济体的崛起，G7在全球经济中的影响力也面临着挑战。

参考链接

[1]https://home.treasury.gov/system/files/136/G7-CYBER-EXPERT-GROUP-STATEMENT-PLANNING-OPPORTUNITIES-RISKS-QUANTUM-COMPUTING.pdf

[2]https://therecord.media/g7-cyber-group-quantum-computing-warning-financial

[3]https://www.iso.org/standard/77097.html

[4]https://www.bis.org/about/bisih/topics/cyber_security/leap.htm

[5]https://www.ncsc.gov.uk/whitepaper/next-steps-preparing-for-post-quantum-cryptography

[6]https://csrc.nist.gov/Projects/post-quantum-cryptography

[7]https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards

[8]https://www.enisa.europa.eu/topics/cryptography

[9]https://www.weforum.org/publications/quantum-security-for-the-financial-sector-informing-global-regulatory-approaches/

[10]https://globalriskinstitute.org/publication/2022-quantum-threat-timeline-report/

[11]https://ised-isde.canada.ca/site/spectrum-management-telecommunications/sites/default/files/attachments/2023/cfdir-quantum-readiness-best-practices-v03.pdf

声明：本文来自光子盒，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。