其他
美国「量子联盟倡议」最新报告:量子攻击,将带来下一轮金融危机
光子盒研究院出品
美联储现在面临着许多分心的事情:从抑制通货膨胀到防止脆弱的中型银行业搅乱金融系统。但是,现在有一个威胁让它们都相形见绌——这就是未来量子计算机对美国金融部门进行攻击的威胁。
这是一个白宫和联邦政府终于认真对待的威胁。去年(2022年)发布的一系列行政命令,将白宫的零信任网络安全战略与联邦机构计划迁移到量子安全网络解决方案的最后期限联系了起来。
现在,是我们的金融业将同样的心态带到量子威胁的时候了:首当其冲的便是美联储。
目 / 录
一、网络攻击、量子计算机、金融系统
二、金融系统的系统性网络风险
三、量子,如何威胁美国金融体系?
四、量子网络攻击的毁灭性三阶影响
五、缓解风险的政策建议
2022年1月,白宫通过发布NSM-8承认了量子威胁存在的现实,这是白宫国家安全机构在当前联邦网络安全规划的背景下,首次明确提到抗量子密码学。该文件特别指示国家安全局向处理机密或敏感信息的管理机构的首席信息官发布与“抗量子协议以及在必要时使用抗量子密码学的规划”有关的任何文件。
美国保守派智库哈德逊研究所(Hudson Institute)的“量子联盟倡议(QUANTUM ALLIANCE INITIATIVE, QAI)”于2018年启动,其创建目的是“制定和倡导一些政策,使美国及其盟友能够在通用量子计算机的竞赛中获胜,同时努力确保双方在五年内免受未来量子计算机的网络攻击。”
现在,正处于这个五年大关。
尽管QAI一直在为21世纪信息技术这一关键领域的所有方面提供重要的思想领导:包括量子与人工智能、5G、区块链、自主系统和其他先进技术的接口。但是,其核心重点一直是并仍然是量子安全,包括与其他五眼情报国家的合作。
2023年4月,QAI发布最新研究报告《繁荣面临风险:量子计算机对美国金融系统的威胁》并表明,尽管量子计算最终会给我们的经济(特别是金融业)带来许多好处,但对主要银行、美联储和/或股票交易所和衍生品交易所的级联量子攻击可能会带来灾难性的影响;甚至,与大萧条相比会更糟糕。
量子计算机采用“量子比特”代替数字比特,它可以同时代表0和1的任何组合,以编码和处理数据。这使得计算能力随着量子比特数量的增加呈指数级增长。例如,一台2000到4000量子比特的量子计算机将迅速解密几乎所有的公钥加密架构:从银行和信用卡到电网都使用的加密架构。这些架构依赖的数字太大、传统计算机无法分解,但是,量子计算机可以。
量子技术有巨大的潜力,可以增强那些不准确、耗时或两者兼而有之的过程。这对于金融问题和分析来说尤其如此:就像物理学和化学一样,金融问题很大程度上依赖随机变量作为模型和方程式的输入。从风险建模和市场模拟到优化问题和机器学习应用,金融业已经准备好成为量子计算的早期采用者。
量子计算的好处在金融业的三个核心领域特别有希望:建模和模拟、优化和机器学习。
- 在推动市场预测和风险分析的建模和模拟方面,量子计算可能比经典分析提供多达四分之一的速度,特别是计算密集型的蒙特卡罗集成(MCI)。蒙特卡罗集成对金融业的风险和定价预测的应用已经非常关键,它利用随机变量抽样来近似解决传统分析或经典数字方法难以解决的问题,因为它们对高尺寸问题的缩放性不敏感。量子支持的蒙特卡罗集成有望几乎实时地提供这种模拟和建模能力,而且不需要过度简化建模假设来估计一个未知的金融数量(如期权和抵押债务的衍生资产),计算机会将其分析为非确定性输入变量的函数。
- 优化问题是金融分析的另一个关键领域,也可能是近期量子设备上最有前途和最有商业价值的应用。分析师利用这些问题从数字上确定投资组合的最佳分配策略、制定对冲策略,并为投资者勾勒出有利可图的套利机会。专家们认为,近期的量子计算机将能够比经典机器更有效地解决这些问题,经典机器往往会产生不切实际的时间滞后,限制了该领域的优化分析的实用性。
- 最后,量子计算有望促进人工智能和机器学习算法的发展,这些算法已经在金融和银行业内彻底改变了异常检测。尽管如此,经典的机器学习检测方法不仅在计算和时间上受到限制,而且在80%的情况下会将合法的交易行为错误地标记为欺诈行为。除了提高这一数据密集型任务的计算效率,量子计算将提高机器学习在该行业的实际准确性。
虽然是现代金融分析的核心,但这些应用(建模、优化和机器学习)需要大量的计算能力来实现其解决方案的必要精度。分析性任务和计算能力之间的这种差距使得量子计算的适应性即使在短期内,也是一项有吸引力的工作。此外,量子计算的这三个近期应用的结合将把建模和预测金融风暴和经济衰退从一种不精确的艺术转变为一种更强大的科学分析实践。
然而,由于公共和私营机构之间深刻的相互联系以及股票和信贷市场固有的敏感性,金融网络是未来量子攻击的主要目标。
波士顿咨询公司2020年的一份报告发现,金融公司遭受网络攻击的可能性是其他商业公司的300倍。同样,IBM安全公司在过去五年中有四年将金融部门确定为受攻击最多的行业,占2021年所有网络攻击的22%。
即使美国的金融业可以安装足够的保护措施来防止传统的网络攻击,它仍然是一个有价值的和容易受到量子驱动的网络攻击的目标,因为这些保护措施依赖于公共加密制度。
2021年11月,曾有人警告美联储主席鲍威尔,对金融基础设施的威胁可能与该国面临的任何威胁一样严重。从与财政部官员的谈话中得知,银行和美联储在网络安全问题上与联邦政府和财政部紧密合作。但是,尽管2020年金融研究办公室关于金融稳定的量子风险发出了警告,在面对量子威胁时,仍有一个大漏洞。
一旦量子计算机秘密地进入网络,任何数量的病毒或类型的攻击都可以渗入并以不可估量的速度在我们的财政部门蔓延。从简单的数据泄露或停止一家银行的交易,到通过SWIFT网络破坏证券交易所和改变隔夜贷款利率的欺诈性交易;攻击可能有多种形式:所有这些攻击者都将使他们的渗透不被发现、并阻碍响应和恢复。
例如,纽约联储在2020年1月发布的一份文件(2021年5月修订)表明,对一家大型银行的攻击可以蔓延到近40%的美国金融网络。对主要银行、美联储或证券交易所和衍生品交易所的级联式量子攻击,对美国和全球经济的影响将更为灾难性:潜在的灾难性攻击和金融崩溃甚至会上升到2008-09年危机或大萧条时的水平。
这些讨论,包括与美联储官员的讨论,总是回到同一个问题上:这个威胁可能有多严重?考虑到这一点,量子联盟倡议团队决定对美联储所监督的银行间支付系统中最脆弱的一个方面,即美联储为银行间支付提供实时总结算(RTGS)的Fedwire基金服务,发起了一项计量经济学研究。
初步研究表明,未来的量子攻击将比可比的传统计算机黑客攻击严重得多,因为它将是不可检测的(所有交易或邪恶的行为者的访问将看起来是真实的),因此可以持续几天或几周。事实上,由于银行挤兑和内生的流动性陷阱,量子计算机攻击可以损害银行系统中近60%的总资产。
数据估计显示,针对Fedwire基金服务支付系统的美国五大金融机构之一(按资产计算)的单一量子攻击,可能会引发连环的金融失败,成本从7300亿美元到1.95万亿美元不等。
分析发现,一个量子黑客及其对整个金融业的连带影响将导致每年的实际GDP下降,从基线情况下的10%到最大影响攻击情况下的17%。最终,这样的事件将蔓延到整个美国经济,并将国家推入为期六个月的经济衰退。
研究结论是,总产出的下降将导致2至3.3万亿美元的间接损失,以国内生产总值的风险来衡量:比最初的估计要大得多。
金融系统是一个固有的复杂的系统中的系统,由各个层次组成,随着时间的推移共同发展,变得更加复杂,同样也更加复杂。因此,这种复杂性在网络对手和网络安全人员之间引入了一种不对称性、使攻击者受益,并使金融系统的网络攻击最终不可避免。
批评者可能会试图否定这些数字,坚持认为能够进行这种攻击的量子计算机(根据专家的说法)至少还有十年或更长时间。问题是,让我们的金融系统获得量子安全包括分析哪些数据和网络最需要保护;以及哪些传统的网络安全系统不仅需要打补丁,而且需要完全替换。迁移的时间线几乎和即将到来的量子解密威胁的时间线一样长。
到那时,一切都将为时已晚。
虽然有许多攻击媒介可供量子化的对手利用,在庞大的金融系统中也有各种故障,但人们越来越重视银行间支付系统崩溃的威胁:特别是实时总结算系统( RTGS,是允许即时转移货币和/或证券的资金转移系统)。
尽管各国在全球范围内使用各种RTGS系统,但美国最大和最广泛使用的系统是美联储的Fedwire Funds Service,或简称Fedwire——它是美国经济中金融活动和生产能力的核心来源。事实上,在2020年,Fedwire交易的总价值大约是美国GDP的40倍。
这是由于未来的QC有能力解决复杂的数学问题——这些问题是当今主要加密标准的基础,其速度比当代最强大的数字超级计算机快得多,使NIST标准化的AES和其他算法变得过时。然而,量子解密产生的风险取决于美国生态系统采用的密码学类型。例如,要破解包括美联储在内的最普遍的对称密钥加密算法AES-256,对手需要用经典计算机进行超过70亿年的暴力破解法。
然而,采用Grover搜索算法的QC大大降低了这种复杂性。同样,一个功能完备的QC可以使用Shor的算法、优化研究,在短短几个小时内破解一个非对称加密密钥,从而使公钥密码学变得过时。我们有理由认为,随着研究的进展,将发现新的算法和现有算法的迭代,以减少处理要求并增加其使当代密码学过时的潜力。
鉴于支付和结算系统作为重要的金融市场基础设施的作用,任何针对RTGS系统的成功攻击都会产生极端的后果。例如,如果在Fedwire RTGS系统内运作的银行之间的跨境和国内交易无法结算,网络攻击可能导致接收方的流动性问题、合同违约、支付和义务失败,以及其他问题。
金融部门内部的高度相互关联性可以增强金融传染和扩散系统性风险。关键的FMI、特别是RTGS系统的故障,可能会抑制原本稳定的金融机构获得资本或资产,使这些机构无法充分管理其对更广泛的市场风险的暴露,并可能导致偿付能力的担忧。因此,对关键的金融市场管理机构(如Fedwire)运作的网络中断,可能会在整个系统中引发连锁效应,最初的银行间交易处理的停止可能会扩大到整个金融系统的流动性危机。
此外,即使最初只是孤立于一家机构或银行,对外支付的中断也会给网络交易方带来结算问题,因为这些二级机构往往依靠来自这种关键网络节点的支付来平衡自己的资本流动和满足流动性要求。因此,在一个主要的联参与者丧失能力的情况下,几个外围银行可能无法满足日内流动性和偿付能力的要求,进一步加速系统内风险。
除了银行间网络传染的第二轮效应外,网络事件对特定的个人公司也有直接和间接的影响。就像人们在静止的池塘中投下一块石头一样,在网络中断的影响回荡并在其市场结构和最终的供应链中广泛传播之前,企业就会很快地产生初始或直接的成本。这样一来,系统性网络事件的间接成本就会长期影响金融机构,而且客观上更难以归因和量化,对任何遏制或缓解努力都构成了重大挑战。这种情况将不可避免地阻碍其最初影响的国家的经济增长,并可能通过金融系统网络影响其他国家,有可能“严重影响整个金融系统的功能”。
一个由量子驱动的黑客攻击损害了特定银行群体对联邦银行间支付系统的访问,将对直接目标机构以及联邦网络中的其他银行产生巨大的影响。
此外,这些连带影响会通过传染渠道迅速扩散到更广泛的金融系统,形成一个自我推动的风险机制,最终使美国经济整体崩溃。这种针对银行间网络关键节点的、有针对性的攻击,正如量子方案中所模拟的那样,将不可避免地造成重大的系统性冲击。
在脆弱而错综复杂的RTGS系统网络中,即使是对单一行为者的这种初始特异性冲击,也会引发内部流动性黑洞,导致流动性和偿付能力风险的逐级上升,并使整个网络的内生性放弃支付水平升级,加速偿付能力风险。
鉴于这些最初的冲击及其导致的Fedwire网络内部的流动性紧缩,整个更广泛的金融系统,甚至整个经济中的信贷条件将收紧。这种对信贷条件的负面冲击将直接影响消费以及商业和住宅投资,进一步压低经济中的股票和住房价格,并影响到住宅部门的抵押贷款负债(尽管程度较轻)。由此产生的产出收缩将反映出信贷条件收紧、金融波动加剧和股票下跌对消费、投资和价格的系统性影响,因为Fedwire被砍后产生的内生流动性陷阱在整个金融系统中产生反响,进一步传递到一般经济中,并导致二阶影响。
尽管这些一阶影响本身就代表了系统性的重大风险,但通过二阶和三阶影响的传播,确保了这一情景演变成一场金融灾难。二阶影响将导致对金融市场波动和整体信心的重大冲击、股票价格飙升,以及整个网络中其他金融分部门的流动性和信贷条件收紧。最后,在各种设想中,Fedwire的损害将再次在金融系统中产生三阶影响,即市场敏感度普遍下降。
由于Fedwire网络在金融系统中的集中式拓扑结构和核心作用,再加上量子解密威胁带来的潜在系统性金融网络风险的高等级,此次分析表明,如果量子计算机入侵银行对Fedwire的访问,将导致年度实际GDP下降、Fedwire的量子黑客攻击造成的GDP的震荡下降将使美国经济陷入至少六个月的衰退。
最后,QAI也表示,虽然这一分析依赖于一些假设以及推断的数据和信息,但其结果很可能不足以代表这样一个灾难性事件将产生的影响:因为全球金融系统内的广泛国际联系无疑会增强传染和反响效应。
“总的来说,我们的结果表明,Fedwire或任何其他RTGS系统或关键FMI的量子化受损,将导致国家经济的灾难性金融损失。由于流动性黑洞和国家关键基础设施(我们的银行间支付系统Fedwire Funds Service)安全不足所产生的一阶、二阶和三阶间接影响的强度和持续时间,它可能使我们陷入下一次大萧条。”
考虑到这一点,QIA建议主席鲍威尔和其他政策制定者可以采取四个步骤来领先于这种威胁:
首先,采用并迁移到国家标准与技术研究所(NIST)的抗量子密码学(PQC)标准来保护联邦系统,包括实施和取代传统加密系统的明确时间表。
第二,召集美国最大的银行和金融机构参加量子安全峰会,为我们的整个金融系统制定一个量子行动计划。
第三,国会需要为所有12家联邦储备银行的量子安全设定一个期限。
最后,美联储主席应该在美联储创建一个量子安全工作组,与白宫的零信任网络倡议及其抗量子条款协调、监督和实施迁移时间表。
重要的是,QIA在此次报告的结尾表示,“风险是你从未想过的、要付出的代价。”
从这个角度来看,未来的量子计算机给我们金融业带来的风险是灾难性的,我们需要从今天开始面对这个问题。
参考链接:[1]https://www.newyorkfed.org/research/staff_reports/sr909.html[2]https://www.forbes.com/sites/arthurherman/2023/05/17/assessing-the-quantum-threat-by----------------the-numbers-finally/?sh=1ccce4ac1615[3]https://s3.amazonaws.com/media.hudson.org/04.03.2023+_Butler_Prosperity_at_Risk_Quantum_Report.pdf
相关阅读:
每周一到周五,我们都将与光子盒的新老朋友相聚在微信视频号,不见不散!
|qu|cryovac>
|qu|cryovac>
你可能会错过:|qu|cryovac>