量子韧性金融:香港金融业的下一前沿阵地
2026年3月27日,笔者参加了由香港银行学会(HKIB)与香港电脑学会(HKCS)联合举办的《Quantum Resilient Finance - Hong Kong's Next Frontier》研讨会。结合笔者自己对抗量子加密的认识,对本次研讨会作简单介绍和说说自己的看法。
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
本次会议汇聚了政府部门、法定技术机构、学术界、银行及行业企业的众多专家,深入探讨了量子计算对金融服务行业的变革性影响。鉴于议题的紧迫性,主办方透露总报名人数逾千,现场全满,线上参与人数超过700人,可谓座无虚席。
主办方通过本次会议,深入探讨了量子计算对金融服务行业的变革性影响,重点阐述了其如何重塑网络安全格局,并强调采用后量子密码学(PQC)对于确保银行业未来数字韧性的关键意义。与会演讲嘉宾及代表来自政府部门、法定技术机构、高等教育界、银行及行业企业。
据主持人介绍,因议题切中要害,总报名人数逾千。笔者观察到,线上参与人数超过 700 人,结合线下出席情况,可谓座无虚席。
会议伊始,HKIB(香港银行学会)代表发言指出,银行业对量子计算尤为关注,盖因金融安全建立在现代密码学基础之上,即已成为“传统”的非对称加密体系。包括比特币等新兴金融领域,同样基于非对称加密与信息摘要技术。量子计算所宣称的快速破解能力,将严重威胁金融体系的安全根基。
随后,HKCS(香港电脑学会)代表以近期备受关注的 OpenClaw 为引子,指出 Q-Day 相当于当年的 Y2K(千年虫)问题,但影响更深、持续时间更久。同时,香港《保护关键基础设施(计算机系统)条例》的颁布与实施,也促使业界进一步关注网络安全并强化相关责任。因此,关注量子计算即是推进网络安全与关基条例落地的关键举措。
笔者注:即量子计算机发展到具备足够算力和稳定性,能够实际破解当前主流公钥加密体系的那一天,被视为网络安全的“末日时钟”。一旦到来,现有的数字信任基础设施,包括银行交易、数字身份、区块链等,将面临崩溃风险。
紧随其后,多位演讲者从量子计算基础入手,阐释了量子计算机与传统计算机的区别,以及“密码敏捷性”(Crypto Agility)和“量子韧性”(Quantum Resilience)等概念,并梳理了 PQC 即后量子算法、相关标准及合规要求的最新行业演变。
量子算法的精妙之处在于其可能比经典算法更高效地解决特定问题,因其利用的量子叠加及量子纠缠特性,无法在经典计算机上进行有效模拟。在网络安全领域,量子计算已展现出强大的正面应用潜力,其中密钥交换过程的安全传输即是当前最成熟的应用场景之一。
所谓后量子算法,是指专门用于抵御量子计算解密能力而研发的算法。据笔者了解,NIST(美国国家标准与技术研究院)已发布三项 PQC 标准(FIPS 203, FIPS 204, FIPS 205),并正推进包括 FALCON (FIPS 206) 和 HQC (FIPS 207) 在内的后续算法标准化工作。其他国家和地区亦在制定相关标准,大多参考并一定程度上遵循这些国际前沿进展。
在具体应用层面,目前最突出的领域当属 CA(证书颁发机构)行业。针对 TLS/SSL 证书的签发有效期,业界正制定逐步缩短的调整策略。根据 CA/B 论坛2025年发布的公告,行业共识目标是在 2029 年将新签发证书有效期缩短至仅 47 天,以此对抗届时量子计算机可能达到的破解能力。这一策略看似激进实则保守,旨在不破坏现有证书签发验证体系的前提下,通过缩短攻击者的有效时间窗口(反向提升时间成本)来弥补算法过渡期的脆弱性。
然而,根据笔者观察,若要在过渡阶段兼顾兼容性与安全性,“混合模式”(Hybrid Mode)即在系统中同时运行传统算法与 PQC 算法,才是必然的过渡方案。此情况近似于 TLS/SSL 证书签名摘要算法从 SHA-1 迁移至 SHA-256 时,每个被签名的程序文件均同时携带新旧算法证书即签两次名的做法。
因此,笔者估计有可能当 PQC 算法标准确定后,TLS/SSL 证书也会扩展加上带有使用 PQC 算法签发的证书内容,而不是分开两个单独的证书,比以前两次签发更科学一些。
至于更为激进的策略则是从零开始重建抗量子信息技术基础设施。对于资源充裕的机构或政府,可针对特定用例实施此策略。例如新加坡政府牵头开发的 Singapore Blockchain Ecosystem 即计划采用 PQC 算法。
但总体而言,抗量子加密算法尚在研究与推进过程中,尚未完全成熟。
会议演讲者亦指出,实践中已有可行措施实现传统加密系统的透明升级,例如在系统与网络连接处部署加密代理机制:即系统与代理间仍使用传统非对称加密,而代理对外部互联网则提供抗量子加密连接。这种桥接方式是信息系统应对新旧技术转换的常见手段。
笔者作为 HKCS 专业会员,加之具备 CISA(注册信息系统审计师)、SA(系统分析师)和 MSE(软件工程硕士)等专业背景,对本次会议内容可谓驾轻就熟。正因如此,笔者得以从 HKIB 与会者的角度换位思考:
作为 PQC 的潜在采用者,必然面临如何实施的难题。而实施的核心在于落实以下最笼统的要求:
重点在于及早和及时实现应对措施。
提问环节亦有与会者提出类似问题,嘉宾亦分享了各自见解。在笔者看来,要具体落实落地,需在时间维度上厘清以下两个问题:
及早:要提前多少时间?
及时:最迟要到什么时候?
笔者认为,目前尚无标准答案。这很大程度上取决于量子计算机与 PQC 算法的进展及其相互博弈。
由于采用者并非技术研发人员或产品生产商,无法早于这两者先行实践。因此,所谓“及早”,要求关注者拓宽信息渠道并持续跟踪业界动态:一方面通过各类 IT 资讯及厂商发布,另一方面更重要的是关注该领域的最新研究论文。arXiv 是重要工具,其信息往往比 nist.gov 等政府机构发布更为前沿。
当然,NIST 作为 PQC 技术聚合器的作用不可小觑。例如 NIST 在 2025 年召开的第 6 次 PQC 标准化会议,相关 PPT 均可下载,认真研读可令人受益匪浅。会议首场演讲《NIST PQC Standardization Project》回顾了首批 PQC 标准及后续遴选流程。值得注意的是,演讲提及针对密钥封装机制的 SP 800-227,概述了美国政府强制向 PQC 迁移的 2035 年截止日期的要求,并介绍了 NIST IR 8547 过渡指南以及 The National Cybersecurity Center of Excellence (NCCoE) 的 Migration to PQC(迁移到PQC)项目 为此所做的努力。
顺带一提,通读会议目录还可发现题为《Learn about the New NIST SP 800-53 Control Overlays for Securing AI Systems Project》的演讲,提醒读者在关注 PQC 的同时亦需兼顾 AI 系统安全。
回到本文主题。笔者认为,香港作为中国内地和全球之间的“超级联系人”,参考各国各类标准均乃必要举措。如国内商用密码技术可关注 TC578(全国量子计算与测量标准化技术委员会)、商用密码标准研究院等单位的进展。值得注意的是,中国国家标准虽有强制性与推荐性之分,但推荐性标准并非可忽略,一旦被纳入相关法律法规,即成为事实上的强制性标准,需予以实施。
至于“及时”,即需掌握各类合规要求的时间表,如前述美国政府要求的 2035 年截止日期。然而,据 Google 博客于 2026 年 3 月 25 日发布的最新研判,基于其在量子计算和 PQC 方面的持续投入与进展,Google 认为迁移到 PQC 算法以对抗量子计算的最后时间线已经提前到 2029 年。
由此可见,对于“及时”是必须抱持持续跟进、动态更新的观念去对待。
若从渐进性适配角度观察,最适合参考的即是 CA 行业 TLS/SSL 证书有效期调整的时间表。作为采用者,不仅应据此调整内部证书策略,更应以此为指引,合理安排预算,及时采购成熟 PQC 系统或设备,更新传统加密信息系统,并指导新系统的开发建设。
对于香港业界而言,虽然香港金管局(HKMA)目前尚未发布具体的 PQC 强制路线图,但持续跟踪政府及行业颁布的合规要求,保持技术的“敏捷性”(Agility),将是应对未来不确定性的最佳策略。
参考链接:
https://quantumalgorithmzoo.org/
https://csrc.nist.gov/events/2025/6th-pqc-standardization-conference
https://www.imda.gov.sg/how-we-can-help/blockchain-innovation/singapore-blockchain-ecosystem
https://blog.google/innovation-and-ai/technology/safety-security/cryptography-migration-timeline/
~ 完 ~
本站微信订阅号:
本页网址二维码: