欧洲政策研究中心于 2023 年 3 月成立了量子技术与网络安全特别工作组。该工作组的目标是提请人们注意量子技术与网络安全的交叉所带来的技术、伦理、市场和治理方面的挑战。该工作组由多方利益相关者组成,成员包括九个私营组织、六个欧盟机构、一个国际组织、一个多边组织和一个政府间组织、五所大学和智库、两个国家研究机构和一个民间社会组织(参见附录 A 中的参与者名单)。
该小组探讨了如何为政府和企业制定切实可行的指导方针,以方便欧盟采用量子技术,同时应对与实施量子技术相关的网络安全风险。这些讨论为欧盟机构、成员国、私营部门和研究界开发和部署量子安全技术提出了政策建议。
人类正在经历一场量子革命,现代技术能够直接操纵单个量子系统并充分利用量子现象。这些突破酝酿已久,使基于量子力学的新型技术成为可能。量子技术的进步可能会彻底改变所知的世界。它们有望对全球经济的许多领域产生积极影响,包括制药、气候和天气建模以及金融投资组合管理。具体应用可用于分子模拟,以升级电动汽车电池,优化城市交通流,或改进生成模型,从而创建数据集来加强机器学习。与使用传统计算机相比,这些优势来自于以完全新颖和不同的方式解决问题的计算优势。
与此同时,这种新的计算能力也有消极的一面,这也解释了为什么量子技术与网络安全息息相关。虽然利用量子技术加强网络安全有一些好处,但最重要的一点是,大型量子计算机可能会破解广泛使用的加密算法,从而泄露机密数据。大多数互联网应用都依赖加密技术来保证数据的机密性、真实性和完整性。破解密码算法的密码相关量子计算机(CRQC)将对网络安全产生重大影响。
目前,现有的量子计算机体积太小、容易出错,不足以构成威胁。据专家称,CRQC 不太可能在未来 5-10 年内出现,但很有可能在未来 30 年内出现。然而,出于两个主要原因,早在 CRQC 出现之前,就应该开始应对这种威胁。首先,敏感的加密数据可以通过 CRQC 进行存储和解密(现在入侵,稍后解密!)。其次,过渡到有助于缓解这种威胁的新型加密技术需要很长时间。
事实上,量子计算机只对某些类别的数学问题有帮助,因此有可能开发出基于数学问题的密码学,以抵御量子计算机的攻击。因此,抗量子密码学有助于减轻量子计算机带来的威胁。
幸运的是,这些解决方案已经存在,但仍有一些障碍需要克服:抗量子加密技术不是一种即插即用的解决方案,因此开始使用它将需要一个潜在的复杂迁移过程。此外,抗量子加密技术和许多使用加密技术的协议都需要制定标准。总之,向抗量子加密技术过渡是一个漫长的过程。这需要周密的规划,而且必须在 CRQC 出现之前尽早开始。在这一过程中,应牢记密码学的敏捷性,以便今后更顺利地进行类似的过渡。
随着量子技术新世界的出现,需要抓住机遇,决定量子技术如何帮助我们促进更美好的社会和更可持续的未来。目前,对量子技术潜在影响的认识仍不全面。鉴于量子技术的发展所带来的风险是我们目前尚未意识到的,因此也尚未考虑到这些风险,我们应该拓宽量子技术影响的视角,考虑量子技术进步可能带来的更广泛的社会影响。这意味着要解决几个社会问题,其中包括公平获取这些解决方案、伦理发展和尊重人权。
此外,管理量子技术也提出了独特的挑战。这一领域不仅正在以前所未有的速度发展,而且我们目前对该技术、其应用案例及其与其他新兴和不可预测技术(如生成式人工智能和大型语言模型)之间潜在的相互联系的了解仍然相当有限。因此,随着量子技术的进一步发展,我们必须促进对量子技术进行负责任的管理,这里的 “负责任 ”指的是使用 “意识到其效果威力的量子技术”。负责任的量子的一些一般原则可以包括,例如,防范风险和让利益相关者参与量子技术的开发过程。
在管理量子技术与网络安全的相互作用方面,本报告旨在支持欧盟创建一个强有力的政策框架的倡议。这将促进量子技术的整合,同时应对量子技术对信息安全带来的挑战。
报告强调了将欧盟资金投入抗量子密码学的必要性,包括测试新解决方案所需的密码分析、IT 系统迁移的最佳实践和密码敏捷性。考虑到这一过程的复杂性和漫长性,报告还强调了提前开始向抗量子加密技术过渡的重要性,并建议在过渡期间采用混合方法。报告强调,除了国际合作和标准化的重要性之外,还需要为这一过渡制定协调一致的欧洲战略和政策。
此外,鼓励对量子技术带来的潜在风险和威胁进行评估也至关重要。美国等国家已经认识到这一紧迫性,并要求各组织全面评估量子风险。此外,当务之急是提高认识,解决量子领域的人才缺口,投资于量子和网络安全技能的开发,并更新执法方法,如双重用途出口控制。
更详细地说,本工作组向决策者、私营部门和研究界提出以下建议。
支持量子技术与网络安全交叉领域的研究
继续推进量子技术研究,特别是了解量子技术对网络安全的影响将如何影响数字生态系统,变得越来越重要。特别工作组建议欧洲在短期内优先考虑这些研究资金:
- 抗量子密码学,包括相应的密码分析、
- IT 系统迁移的最佳实践、
- 密码学的灵活性。
在欧盟层面促进密码学的灵活性和协调政策,以便于向抗量子密码学过渡
向抗量子加密技术过渡是一个复杂而漫长的过程。这需要精心规划,而且必须在有 CRQC 之前提前开始。
我们建议,在计划向抗量子加密过渡时,应优先考虑加密的灵活性,并使用混合方案,即同时采用经典算法和抗量子算法。
此外,应在欧盟层面协调向抗量子加密过渡的政策,建立特设项目(如美国国家网络安全卓越中心的后量子加密项目),在成员国之间共享指导方针和最佳实践。
促进抗量子加密技术的标准化
欧盟可以更加重视欧盟研究人员对标准化进程所作贡献的价值。通过强调欧盟研究人员的贡献,欧盟可以将自己定位为全球标准化进程的基石。为了提高欧盟的地位并促进进一步的创新,必须增加欧盟内部的研究资金。
鼓励评估量子技术潜在风险和威胁的倡议
拥有自己加密基础设施的组织应为未来制定量子抗性规划。作为机构向抗量子加密技术过渡的起点,我们建议开展量子脆弱性评估。
美国《2021 年国防授权法案》就是朝着这个方向发展的,该法案授权美国国防部对潜在风险进行全面评估。
欧盟委员会可以通过建议来推动类似的举措,指导成员国和公司如何处理量子计算技术的网络安全风险问题。
采用基于原则的量子治理方法,加强国际协调
鉴于量子技术的发展日新月异,我们建议采取一种治理方法,既能限制风险,又不会扼杀对量子技术潜力的探索。
在这种情况下,基于原则的治理方法可能是有利的。例如,量子负责任治理的一些一般原则可包括防范风险和让利益攸关方参与量子技术的开发过程。
在应用这些原则时,一种治理战略可能涉及对尚未完全了解或可能具有较高风险的领域使用监管沙盒。这将提供一个受控环境,让政府和产业界可以共同开发、部署和测试量子和量子混合应用,以便在近期内使用。
提高公共和私营部门的量子意识
在报告中强调,各行各业对量子的认识水平之低令人担忧,尤其是对量子技术与网络安全之间相互作用的认识。
建议在公共和私营机构中开展宣传活动。在这方面,欧盟可以支持创建与量子专家直接互动的平台,或展示量子技术应用和量子转型的最佳实践。
实施相关政策,促进培养一支具备量子和网络安全技能、为未来做好准备的劳动力队伍
在报告中指出了量子领域巨大的人才缺口。希望填补这一人才缺口的组织不仅要明确自身的人才需求,还要实现人才梯队的多元化,并注重留住人才。
建议欧盟委员会优先投资开发量子技能,特别是在量子技术和网络安全的交叉领域,以培养新一代专家。
更新双重用途和出口控制政策
量子技术研究的开放性可以加快进展,但也有被恶意行为者滥用的风险。虽然开放合作能促进创新,但国家安全和关键信息的保护也令人担忧。研究的开放性问题与军民两用出口管制直接相关,当国家认为有必要限制某些技术的国际转让时,军民两用出口管制就会发挥作用。
在这方面,欧盟应考虑更新其出口管制制度。事实上,双重用途出口管制对通过云使用量子计算机的非居民有何影响尚不明确。这凸显了执法方法现代化的紧迫性,以确保出口管制等工具保持相关性和有效性。
此外,欧盟可以通过欧盟-美国贸易与技术理事会等机构发挥作用,促进量子价值链政策的透明度、信息交流与合作。
原文
相关内容
微信扫码咨询专知VIP会员