再生产: RTM
金融领域的信息安全始终与技术发展保持同步。不断涌现的计算能力也对信息安全提出了更高的要求…… 对交易中使用的保护模型进行修订身份信息和敏感数据。
量子计算为这一过程引入了另一个变量,对目前采用的密码学产生了直接影响。
金融机构处理的信息需要长期保密。合同、交易记录和个人数据在生成后很长一段时间内仍然有效。 今天就加密货币做出的决策将直接影响这些资产未来的走势。
从金融领域的角度了解后量子密码学,学习其技术概念、实际风险和应对策略。内容源于市场讨论,并包含 Kryptus 创始人兼首席执行官 Roberto Gallo 在[活动/会议/等等]期间的发言。 在 Febraban Tech 的 RTM 展位上进行了演讲。. 好阅读!
什么是后量子密码学?
后量子密码学 它汇集了为量子计算准备的数据保护方法。该模型考虑的是处理能力超过当前极限的环境。
广泛使用的算法,例如 RSA 和 ECC他们现在将进行陈述 漏洞 在这种情况下,目标是确保信息的保密性和完整性,并能长期有效。
Gallo 直截了当地概括了这一概念,他解释说,这是一种“可在普通计算机上运行,但不会被量子计算机破解的新一代加密算法”。对他而言,该方案的运行并不依赖于量子机器,而是依赖于…… 旨在抵御此类攻击的算法。
后量子算法利用量子计算机仍然难以解决的数学问题。相关方法包括基于格的结构、代码检测器和哈希函数。
采用这些方法旨在 降低敏感通信中的未来风险金融机构开始将此问题纳入其长期安全规划之中。
后量子密码技术是如何运作的?
后量子密码学使用数学算法。 能够抵抗量子计算机的攻击,即使在高容量计算场景下也能确保数据安全。
与基于素因子或椭圆曲线的传统密码学不同,它依赖于更复杂的数学问题,例如欧几里得格和纠错码,即使拥有量子计算能力,这些问题也被认为无法解决。
这些算法可以应用于现有基础设施,而无需量子通道或专用硬件。 这一转变是通过混合模式实现的。在适应期内,将当前和后量子密码技术相结合。
因此,金融机构可以在不损害与现有系统兼容性的前提下,加强关键通信和交易的安全性,为量子计算时代做好准备。
量子计算及其对金融体系的风险。
量子计算给金融体系的安全带来了显著风险。这项技术的进步影响着广泛使用的密码模型。
加洛表示,“基础设施未来会很脆弱,但信息现在就已经很脆弱了”,因为今天受到保护的数据在量子计算机广泛应用后仍然可以被访问。需要关注的关键点包括:
- 破解现有加密算法: 量子计算机有可能通过类似Shor算法之类的手段破解RSA和ECC加密。这将导致数字签名、身份验证和银行交易面临风险。
- 数据泄露 今天加密: 机密数据现在即可获取,将来也可解密。银行间通信和客户信息是最敏感的资产之一。
- 支付和结算基础设施受损: 密钥交换中的漏洞会影响巴西国家金融系统 (RSFN)、巴西支付系统 (SPB) 和清算系统的运行完整性。这些系统中的故障会造成系统性影响。
- 对市场信心和监管合规性的威胁: 保密性和完整性的丧失会影响机构信任。巴西中央银行(Bacen)、巴西证券交易委员会(CVM)以及其他机构的要求…… GDPR 这些目标变得越来越难以实现。
Gallo 还警告说,这种情况不仅涉及孤立风险,还可能出现“大规模克隆、冒充处理器和拦截交易”的情况,这将直接影响人们对金融体系的信心。
金融机构应如何准备
量子计算尚未成为金融行业日常运营的一部分,但其潜在影响需要纳入规划考量。 敏感数据的生命周期很长。……而目前应用的保护机制可能在此期限结束前就已过时。等待……完全成熟 技术 这会增加技术和监管风险。
Gallo指出,过渡的最后期限已经确定。“到2030年,NIST将禁止使用RSA,而RSA是当前基础设施的重要组成部分,”他提醒道。这一日期的确定消除了突发情况,也强调了规划的必要性。
1. 采用混合加密策略。
向后量子算法的迁移需要一个循序渐进的过程。混合密码学将经典算法与能够抵抗量子攻击的方法结合在同一数据流中。这种架构既能保持与现有系统的互操作性,又能随着时间的推移增强安全性。
美国国家标准与技术研究院 (NIST) 和国际标准化组织 (ISO) 等机构已经推荐使用此模型。 逐步采用可以验证性能、兼容性和运营影响。 该过程降低了与加密基础设施突然变化相关的风险。
2. 对加密资产进行清点和分类。
在讨论算法变更之前,必须先了解密码学的应用领域。许多机构对受保护的密钥、证书、API 和数据流缺乏全面的了解。Gallo 强调,“我们现在就需要立即开始梳理存在风险的资产。”
通过该清单,您可以识别具有更长保留时间和更大未来曝光度的数据。 银行间通信、身份验证和历史记录往往是优先事项。如果没有这种映射关系,技术决策就只能基于假设。
3. 更新治理和关键管理政策。
采用新的加密标准需要对安全治理进行调整。密钥管理策略需要考虑密钥的生成、存储、轮换和销毁。在受监管的环境中,审计和可追溯性变得更加重要。
治理开始指导战略决策,而不仅仅是技术决策。 技术、风险和合规领域的协调一致有助于变革的持续实施。
4. 与专注于安全基础设施的合作伙伴合作。
后量子密码学涵盖新兴标准、互操作性和监管合规性。专业合作伙伴助力将这些要求转化为可行的运营解决方案。Gallo 强调…… 提前选择供应商可以降低成本,并避免将来出现紧急变更。
像RTM这样的服务提供商拥有符合巴西中央银行(Bacen)和国家金融系统监管局(RSFN)要求的安全基础设施。这种支持降低了实施风险,并确保了环境的长期发展。
量子计算给金融领域现有的安全决策带来了新的挑战。其核心在于数据暴露时间,而数据暴露时间通常长于用于保护数据的算法的生命周期。预先设想这种情况,有助于更有效地规划变更,并最大限度地减少对运营的影响。
加洛用一个简单的比喻概括了这一挑战:“我们房子的地基是有使用寿命的,我需要在它下沉之前更换它。” 将后量子密码学纳入风险管理范畴 它避免了在转型成为必然时做出被动反应。
围绕后量子密码学的争论与更广泛的欺诈预防和关键基础设施保护实践息息相关。
为了更深入地探讨这个话题,我们提供了一个面向金融机构的反欺诈框架,其中包含实用且结构化的指导方针。
