文 / 中国太平洋保险(集团)股份有限公司 隋光烨 王猛 刘阳瑞

量子计算发展势头迅猛,国内外公司不断刷新量子计算领域的各项记录,尤其是能够执行Shor算法量子计算机的出现,会对目前主流公钥密码算法全线破解。鉴于公钥密码算法在信息安全领域中的重要意义,网络空间将出现无密可保的风险,由此带来的安全影响不容忽视。面对量子计算“攻击之矛”的威胁,需要应用抗量子密码、量子密钥分发等量子安全技术建立“防御之盾”赋能金融新质生产力发展。

中国太平洋保险(集团)股份有限公司(以下简称中国太保)作为金融保险头部企业,组建了数智研究院专家团队,在信息安全、人工智能、大数据、云计算、区块链等前沿科技方面开展研究。在量子密码技术研究方面,在中国太保内部组建了由密码算法专家、信息安全、应用开发、业务等成员构成的量子安全团队,专门负责量子安全课题的研究与应用推广,并与复旦、交大等科研院所及量子技术头部企业建立合作关系。经过多年努力,中国太保在后量子密码及量子密钥分发领域已取得阶段性成果。梳理量子计算对金融安全领域的挑战及应对措施,以建立中国太保自主可控量子密码安全能力,并结合主业通过“量子安全产品服务+数据安全保险产品”组合,为金融新质生产力发展提供保险产品保障。

量子计算对金融安全领域的挑战及应对措施

1.安全挑战。能够攻破RSA和SM2等公钥密码算法的量子计算机,必将给金融行业中的数字证书、数字信封、SSL加密通道等应用场景的信息安全带来巨大挑战。且现有的金融行业高价值数据已经面临量子计算的实质性挑战,据了解,恶意组织可以截获并存储当前数据密文,待未来量子计算技术成熟再行破译。如用户身份、密码信息、公共数据等金融行业高价值数据在未来相当长时间仍然具有不容忽视的经济、社会价值,考虑到现有公钥密码体系的建立经历了数十年的漫长时间,需要提前布局,为量子安全密码迁移的工作做好前期准备。

2.应对措施。目前主流的量子安全技术包括基于新型数学难题的后量子密码(PQC)技术与基于物理机制的量子密钥分发(QKD)技术。

PQC基于无法被量子计算破解的数学困难问题,包括基于格(Lattice-based)的密码、基于编码(Code-based)的密码、基于多变量的密码(Multivariate-based)、基于哈希(Hash-based)的密码等。PQC体系与现有公钥密码体系应用模式一致,可以完成数字签名、密钥封装、密钥协商、同态加密等复杂的安全计算任务,具有良好的适用性。PQC算法的计算和通讯效率都较高,适用于大规模高并发的金融应用场景,不需要对现有的通讯网络和设备进行大规模改造。

QKD基于量子的纠缠和测不准原理,理论上具有无条件安全性,受到高安全性要求用户的青睐。但是QKD在实际应用中往往要依赖特殊的密钥生成、密钥传输设备,成本相对高昂,且QKD仅能实现密钥的分发,功能相对单一。

中国太保量子安全能力建设

1.自主可控PQC算法SDK。中国太保基于NIST标准PQC算法与现有国内外标准算法结合的混合加密模式,形成了自主研发的PQC算法SDK。整体算法包括密钥生成,加密和解密三个过程。假设我们有用户A和用户B,完整的加解密流程如下。

密钥生成过程:用户B生成自己的标准PKE算法公私钥对(PKPKE,SKPKE)和后量子密码算法公私钥对(PKPQC,SKPQC)。

加密过程:用户B将自己的标准PKE算法的公钥和后量子密码公钥发送给用户A;用户A随机生成密钥Key;用户A对Key使用用户B的标准PKE算法公钥PKPKE,进行标准PKE算法加密,生成密文CPKE;用户A对CPKE使用用户B的后量子公钥PKPQC,进行后量子公钥加密,生成密文CPQC;用户A将密文CPQC发送给用户B。

解密过程:用户B使用自己的后量子私钥SKPQC对Cpqc进行后量子算法解密获得CPKE;用户B使用自己的标准PKE算法私钥SKPKE对CPKE进行标准PKE算法解密获得Key。

中国太保后量子算法是在标准算法的基础上进行后量子密码安全增强,可以有效抵抗量子计算攻击的同时又满足国家或国际标准。经过实际性能测试,基于格的后量子密码在运算速度上已经与国密标准算法接近,在实际应用中用户几乎感受不到后量子安全增强步骤所带来的延迟。中国太保经过前期的探索研究,成果已通过发明专利的受理,在实践应用方面形成提升现有系统的技术实施方案。

2.QKD技术的应用探索。中国太保产险安徽分公司与华典大数据成立“量子金融联合实验室”,重点对量子安全技术在保险行业的产业化进行应用研究,探索量子安全技术在金融科技领域、保险产品孵化等融合应用。双方合作推出业内首个基于QKD技术的可应用于量子安全智慧社区、大型赛事及展会的“数据守护”量子科技解决方案。

方案技术实现思路是通过量子密钥构建数据加密策略,同时通过独立的量子安全底座以透明接入的方式,选择在底层存储、传输系统中构建量子安全加密机制。

中国太保量子安全团队通过实地考察,结合理论分析与技术验证,评估并确认了技术方案的安全性与可行性。经评估,即使具有强大量子计算能力的恶意组织截获了方案中传递的密文,也无法破解,为业务系统提供了可靠的量子安全应用。

量子安全产品服务+数据安全保险产品

中国太保推出“量子安全服务+数据安全保险产品”组合,充分发挥保险经济减震器与社会稳定器功能,为量子安全系统产品和服务提供数据安全保险保障。

1.中国太保量子数据安全保险产品介绍。2021年中国太保产险在国内率先推出量子综合服务保险(量子知识产权保险、量子软件综合保险和量子网络安全保险等),可以实现对用户信息系统事前预防(风险评估、系统加固);事中防护(实时监测、应急响应);事后补偿(保险赔付)的全周期保障。用户可根据自身需求和风险偏好,选择合适的保障范围和保险额度。

以中国太保推出的“量子安全智慧社区综合保险”为例,该产品为智慧社区提供全面的数据安全风险评估,提升其信息系统和运营管理的安全性,同时在居民人脸数据流通环节中加入了“量子安全锁”,可降低数据泄漏的风险。基于保险的金融属性,“量子安全智慧社区综合保险”还可以有效分散风险,帮助智慧社区承建方降低数据安全责任损失,保护居民人脸资产,促进智慧社区的安全建设,一旦保险事故发生,将由中国太保承担相应的损失和索赔责任,整体形成“量子安全+保险兜底”的综合解决方案。“量子安全智慧社区综合保险”解决方案目前已经面向社区、物业完成了销售,正在与大型公寓运营公司、社区运营中心等机构积极开展业务推广合作。

2.中国太保量子数据安全保险产品的价值。中国太保推出保险产品保障金融新质生产力发展,对量子安全产品服务提供方、使用方及全社会都具有重要价值。

对量子安全产品服务提供方的价值:进行了中国太保产险和量子安全产品服务提供方的联合创新实践,积极探索出基于行业场景的数据安全保险。双方的合作模式,充分发挥了技术厂商和险企的优势,实现了场景与技术的融合。通过保险公司的安全评估与保险背书,有利于用户增加对量子安全技术产品的信任,助力量子安全产品的推广与应用,并促进社会量子安全能力水平提升。

对量子安全产品服务使用方的价值:数据安全保险是一种通过结合“安全保险”和“安全服务”的方式,为企业客户提供全方位安全保障的服务。通过这种方式,数据安全保险能够从源头降低出险率,并通过主动型风管管理帮助客户减少由于数据安全事故带来的损失。在智慧社区场景中,将基于量子安全技术的数据安全服务赋能到社区居民的隐私数据中,为智慧社区构建了数据安全保护锁,同时通过保险兜底的方式消除了居民对于个人隐私数据泄漏的担忧,增强了社区管理者数据安全管理能力,是极具借鉴意义的“个人隐私数据保险”创新。

(此文刊发于《金融电子化》2024年8月上半月刊)

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。