摘要:密码安全是商业银行网络安全的基础,广泛应用于实现身份认证、访问控制、抗抵赖等基础功能,并确保重要数据的机密性和完整性保护,避免数据泄露或篡改。然而Shor、Grover等针对性的量子算法对于现今使用的密码体系的安全性造成了强烈的冲击,使得RSA等经典非对称加密
文/中国邮政储蓄银行金融科技部 廖渊 侯君达 陈鹏
密码安全是商业银行网络安全的基础,广泛应用于实现身份认证、访问控制、抗抵赖等基础功能,并确保重要数据的机密性和完整性保护,避免数据泄露或篡改。然而Shor、Grover等针对性的量子算法对于现今使用的密码体系的安全性造成了强烈的冲击,使得RSA等经典非对称加密算法等在量子环境下将不再安全。在破解密码算法所需算力方面,量子计算机不断取得实质性进展,其密码破解能力也持续增强。Gartner预测,到2029年,量子计算将能够削弱现有系统,使其被认为不安全,无法用于加密。留给抗量子密码迁移升级的安全时间窗口并不多。
密码安全技术升级是项极为复杂的长期系统性工程,需要耗费相当多的时间,涉及密码算法科研、规范标准制定、试点验证、各类软硬件系统完善等任务。目前我国的SM系列密码算法标准的推广已开展了10余年。相比之下,抗量子密码升级更为复杂,周期可能更长,每一类别的抗量子密码算法都只适用于部分应用场景,需结合应用场景的实际需求具体选择,客观上增加了抗量子密码升级复杂程度。为系统性推进抗量子密码安全升级工作,金融机构需要根据自身业务、系统架构、安全架构特点和需求,制定一套切实可行的规划与方案,涵盖组织方式、算法选择、迁移步骤时间表、任务安全、风险应对措施等方面,确保在不影响业务连续性的前提下,逐步将现有的密码算法替换为抗量子密码算法。鉴于国内相关后量子密码标准尚未正式发布、相关密码产品技术尚不完善等,本文结合商业银行商用密码应用现状,给出了升级策略和关键技术研究和思考。
银行作为商用密码技术的重要应用行业,除数据加解密、认证鉴别、密钥管理、证书管理等传统商用密码金融应用外,也在云计算、物联网、区块链、数据安全与隐私计算等领域加快密码技术的创新与深化应用。随着《网络安全法》《密码法》《数据安全法》和《个人信息保护法》等法律法规的实施,银行SM密码升级步伐加快。同时,通过商用密码应用安全性评估等方式,对标商用密码应用规范标准,做好新建系统建设,并加快现有信息系统改造。这些工作促进了银行密码技术和应用的迭代更新,部分银行借助密码改造,建设了集中统一的密码云服务平台、密码管理平台、密码服务管理与应用综合监测平台等系统,提升商用密码安全能力,为抗量子密码迁移奠定扎实基础。
当前构建抗量子计算威胁的安全体系,主要有两种技术路径,一种应用被认为是量子算法数学难题构造的密码算法,这些算法通常称为后量子密码算法(PostQuantum Cryptography,PQC)。另外一种则是基于量子技术本身的物理特性应对量子安全威胁,例如,已进入产业化阶段的量子密钥分发技术(Quantum Key Distribution,QKD)。
PQC代表性算法包括基于哈希的密码、格密码、基于编码理论的密码、多变量密码、超奇异椭圆曲线等,这些算法公私钥/密文/签名长度、运算性能各不相同,适用于不同应用场景。PQC算法的安全性有待长期检验,目前被认为是量子安全的算法在未来不再安全的可能性依然存在。为避免无安全算法可用的风险,可将多个不同技术路线的抗量子算法同时纳入密码体系,当某一技术路线抗量子算法存在被破解风险时,密钥管理系统可切换到另一种不受该破解方法影响的抗量子密码算法。当前银行正在为后续升级到抗量子计算密码算法做好技术准备,开展主流抗量子计算密码算法的研究、功能和性能的技术验证、加密敏捷性设计等工作。
QKD技术其核心思想是利用量子的不确定性和量子不可再分的特性来保证密钥的安全性,提供了一种理论上无法被破解的密钥分发方法,借助我国“京沪干线”等量子密钥分发骨干网及各地城域网的建设,国内部分银行已开展量子密钥分发试点,并形成了一批典型示范案例,用于数据中心互联、与合作方互联等场景,实现业务数据的加密传输并抵御量子计算攻击受限于当前量子密钥分发技术的限制。
迁移升级不是简单的替换算法即可,除算法外,涉及密码算法相关协议,以及密码相关产品、系统和相关应用升级及配套任务。在当前企业降本增效背景下,精细化、体系化开展密码升级迁移需结合信息安全理论的体系来进行。借鉴邮储银行前期提出的一种银行领域网络安全运营能力成熟度模型(IPDRR-V模型)及落地实践方法,我们提出抗量子密码安全升级迁移任务(见图)包括识别认定、安全防护、监测预警、事件响应与业务恢复、能力验证5个领域。
图 抗量子密码安全技术迁移主要任务
识别认定任务,主要对密码相关资产进行梳理,对可能的脆弱性进行识别,包括密码资产识别、商用密码应用安全性评估、密码风险评估等,识别信息包括加密方法、密钥长度、使用目的、安全级别、资产部署日期、资产停用日期等。
安全防护任务,主要对发现的风险问题采取有效的密码应对防护措施,包括密码安全策略、计算框架的密码防护措施以抵御可能发生的安全威胁。安全策略包括后量子密码算法的选用和密钥管理。计算框架的密码防护措施包括后量子密码算法、密码协议、密码技术层(基础设施、密码产品)、密码使用层(数据、应用)措施等。
安全监测预警,对密码相关安全事件/威胁进行实时监测预警,具有态势感知能力,能及时发现存在的密码脆弱性。
事件响应与业务恢复,对密码安全事件和威胁进行响应和处置,包括密码安全漏洞修复、密码安全事件应急响应,对事件/威胁处置结果进行验证,确保业务能够恢复到正常状态,保障系统安全稳定持续运行。
能力验证,对升级迁移后的密码安全措施的有效性进行持续验证优化,以确保安全防护措施常态有效,例如密码应急演练、密码靶场演练等措施。
经过多轮评估,美国NIST宣布ML-KEM和ML-DSA为主要的密钥加密和数字签名算法标准,SLH-DSA则作为ML-DSA出现漏洞时的备用方法。基于格的后量子密码算法性能不弱于经典算法,但公钥/签名值/密文长度比经典算法长数百字节,甚至上千字节,在卫星、物联网等某些带宽很受限的场景可能对传输性能有一定影响。应用PQC算法时,需明确其适用范围,也更需高效地实现PQC算法和相关密码协议。除此外,密码安全技术迁移的各环节涉及的关键技术如下。
1. 识别认定。(1)自动化密码资产梳理。在计划准备阶段,需要对信息系统使用到的密码技术进行摸底和评估,找到迁移的密码算法类型、所在系统位置、证书文件等密码资产,便于升级迁移计划制定和实施。内生安全模块嵌入在应用系统中,负责数据加密、身份验证、权限管理、日志记录等安全功能。现有的业务系统错综复杂,仅靠人工调研方式,难以及时准确地发现易受量子计算攻击的密码算法所在位置及使用方式。
如何积极利用自动化技术,让密码的定位更加智能,大量提高准确性,并减少人工介入是密码升级的关键技术之一。可通过密码应用监测技术,实现对密码资产及密码应用的统一管理,对所有密码资产类型情况、密码资产使用数量情况、密码资产获证情况等进行多样化展示。
(2)密码威胁风险评估和脆弱性发现。在梳理出密码资产基础上,需进一步开展密码应用安全风险评估,梳理出密码应用安全风险点,以便于确定各系统后量子迁移优先级。系统安全风险评估,首先通过商用密码应用安全性评估方式及问题整改等,在量子密码安全升级前,先落实各项合规要求。然后针对性开展抗量子密码风险评估,目前有两种风险评估框架可供使用:莫斯卡量子风险评估框架(QRA)和密码敏捷性风险评估框架(CARAF)。QRA采用基于时间的风险定义方法,取决于何时开始向量子安全状态迁移。CARAF侧重于“密码灵活性”,即能够快速将易受攻击的原始工件、算法和协议替换为更安全的协议,并寻求为特定资产定义组织政策。
2. 安全防护。(1)抗量子密码算法的集成技术。考虑到PQC密码的复杂性、稳定性及未经过长期使用验证可能存在未被发现的安全风险,目前多数研究人员倾向于采用“两把锁、双保险”的混合模式进行过渡,而不是直接替换的模式。采取抗量子密码算法与经典密码算法混用的“两把锁”方式,对已被经典密码算法加密的数据,再次进行PQC加密,形成第二把后量子锁,可以进一步实现后量子安全的增强,避免单一算法被破解带来的风险。现阶段针对公钥密码算法有数字签名和密钥协商两种模式。
对于数字签名,可使用传统公钥密码算法(ECDSA、SM2或RSA)对消息进行签名后,再使用后量子公钥密码算法(ML-DSA、SLH-DSA)对消息进行签名,或者调换签名顺序,验证时只有两段签名结果都验证成功,才认为验证成功。当前认证多数通过X.509证书来传递,和签名算法密切相关的是识别、解析和处理X.509证书。大多数后量子签名方案的公钥和签名为10200KB,远大于ECC/RSA等传统密码算法0.5KB左右密钥和签名长度,会对传输证书和处理证书产生很大开销,包括传播时延、传输时延、处理时延等。
对于密钥协商,技术上,协议使用混合密钥交换不应显著增加建立连接的延迟,不需要过多的计算性能,不应该导致额外的交互,且支持向后兼容性,也就是支持升级前和升级后的系统互联互通。在此过程中,有许多技术问题需要解决。例如:需要明确混合模式组合的算法数量是固定还是可变、需要解决混合模式使用的算法和参数协商方式等问题。
此外,密码安全防护措施建议从密码算法应用和密钥管理两方面入手,通过技术“融合”用PQC和QKD实现密码所应提供的机密性、完整性、真实性和不可否认性安全服务,从而实现完善的量子安全体系,其中PQC总体上更适合于实现用户侧的、面向应用数据的密码服务,而QKD适合应用于密钥生成、分发、存储等密钥管理环节。
(2)密码敏捷设计。密码敏捷设计目标确保系统能够快速适应新密码算法,尽量减少信息系统从一种密码算法迁移到另一种密码算法所需的工作量。方法策略:一是在架构上实现组件化设计、标准化接口设计;二是研发过程集成密码敏捷开发。
组件化设计方面,建议建立统一的密码管理平台,实现对多项保护技术和加密操作的集中控制,不仅简化密钥管理的备份和操作,降低拥有成本,而且有利于新PQC算法推出时的集中敏捷替换,软件架构设计时,内生密码模块采用模块化设计,使得密码算法及相关协议可独立于应用系统组件进行更新和替换。
标准化接口设计方面,通过按业务功能维度设计与密码算法无关的密码服务接口,将具体密码算法及密钥信息作为接口配置参数,尽量降低应用系统与密码算法的耦合。未来升级密码算法时,调用方只需通过修改配置参数或修改少量代码,就可以实现密码算法升级,降低密码算法升级成本及周期。
在研发过程集成密码敏捷开发方面,类似于将安全性集成到DevSecOps工具链中,将密码升级迁移相关活动融入敏捷软件开发的相关环节。例如:规划环节,识别现有密码算法、明确密码替换策略等;编码验证环节,创建新密码算法库和相关配置,并测试更改后对应用性能的影响;生产环节,对应用、数据和网络开展监测检测和应急响应;改进适应环节,开展密码风险评估和有效性验证,相应调整密码策略,进行升级。
3. 监测预警与能力验证。针对新密码安全技术实现和使用可能存在缺陷,在监测方面,总体上通过三种后量子密码脆弱性发现方法,包括“源代码中的量子脆弱性发现、操作系统中的量子脆弱性发现、网络流量中的量子脆弱性发现”三类方法。IBM、微软、思科等研究团队都提出了各自的脆弱密码发现工具。同时,国内的许多组织和公司也具有能够完成脆弱密码发现任务的密码态势感知工具。通过部署脆弱密码发现工具,可以发现易受量子计算攻击的密码算法位置及易受攻击的方式。
此外,为实战化验证密码安全防护有效性,可通过密码应用靶场模拟环境,提供密码攻防典型场景的红蓝对抗演练、应急响应演练、密码应用安全性测试和测评等功能,用于测试、训练和评估密码系统的安全性和有效性。
当前商业银行对抗量子风险防范给予了高度关注,并在关键技术验证、试点示范、行业应用等方面进行了积极的探索和实践,取得了阶段性的进展。然而抗量子密码安全技术迁移处于起步阶段,面临不少挑战,如QKD技术应用费用较高、PQC算法性能开销普遍大于传统密码算法、PQC密码安全性尚需时间检验、迁移实施成本较高、迁移带来的法律合规问题等,这些需要产学研加强合作,推动抗量子密码安全技术升级迁移。
来源:金融电子化