美国金融系统启动量子安全过渡全面框架：政策解读与实施路径

数字发展全球研报第三卷第38期（2025/9/15-2025/9/21）

本期综述美国金融系统向量子安全过渡全面框架提案相关内容，供参考。

在量子计算技术迅猛发展的今天，传统加密体系正面临前所未有的挑战。2025年9月，一份名为《Post-Quantum Financial Infrastructure Framework (PQFIF)》的政策提案正式提交至美国加密资产特别工作组（U.S. Crypto Assets Task Force - SEC），系统性地提出了美国金融系统向“量子安全”过渡的全面框架。该文件不仅是一份技术提案，更是一份具有战略意义的政策蓝图，旨在确保美国在全球金融竞争中保持领先地位，并在量子时代来临前筑牢金融安全防线。

一、政策文件及其背景

该文件由跨行业工作组联合起草，旨在为美国数字资产生态系统提供量子安全过渡的战略与技术路线图。文件明确指出，当前金融系统所依赖的公钥密码体系（如ECDSA、RSA等）在量子计算面前极为脆弱，一旦 cryptographically relevant quantum computer (CRQC) 问世，现有加密机制将面临被彻底破解的风险。

政策背景方面，美国政府已多次释放强烈信号，推动后量子密码（PQC）过渡。2025年1月的行政令、NSM-10（《国家安全备忘录10号》）以及CISA、NSA、NIST等机构的联合倡议，均明确要求联邦系统在2035年前全面迁移至PQC标准。金融作为关键基础设施，更是首当其冲。

二、守护万亿资产与市场信心

PQFIF的核心价值在于其前瞻性与系统性，它不仅是技术升级，更是对“现在收集、以后解密”（Harvest Now, Decrypt Later, HNDL）攻击策略的直接回应。攻击者目前已开始大量收集加密数据，待量子计算机成熟后进行解密，这对金融数据的长期保密性构成极大威胁。

该框架的实施将直接支持美国SEC的三项核心使命：

保护投资者：防止量子攻击导致的资产盗窃和数据泄露；

维护市场诚信：避免因加密失效引发的系统性崩溃；

促进负责任创新：为数字资产生态提供可持续的安全基础。

三、核心框架的四大支柱

PQFIF 被设计为一个端到端的自动化架构，涵盖从发现、规划、实施到监控的全生命周期管理。其核心包括：

自动化量子漏洞评估，通过AI驱动的扫描工具，全面识别系统中的量子脆弱算法（如RSA、ECC），构建密码资产清单与依赖图谱。

基于风险的迁移规划，采用“Mosca定理”与CARAF框架，优先处理高风险系统（如支付处理器、HSM、数字托管系统）。

混合密码实施，在过渡期间同时运行传统与后量子算法，确保向后兼容性与业务连续性。支持NIST标准算法（ML-KEM、ML-DSA、SLH-DSA、HQC）。

持续监控与合规自动化，集成量子威胁情报平台，动态调整迁移策略，并自动生成多司法管辖区的合规报告。

四、云原生、模块化、可扩展

PQFIF 采用云原生架构，分为控制平面、数据平面、管理平面和安全平面，支持零信任与深度防御策略。其技术亮点包括：

加密敏捷性：支持算法无缝切换，避免未来再次面临“算法过时”风险；

跨链与跨系统集成：支持区块链API、传统银行系统、跨境支付网络；

硬件安全模块（HSM）升级：支持PQC密钥管理与量子安全备份；

实时合规引擎：自动对齐NSM-10、CNSA 2.0、DORA、ISO/IEC等国内外标准。

五、四阶段推进

文件提出了一套清晰的四阶段实施路径：

基础阶段（0–6个月）：高层承诺、预算分配、全面资产发现与风险评估；

试点阶段（6–18个月）：关键系统试点迁移与混合密码部署；

全面推广（18–36个月）：企业级推广与遗留系统整合；

优化阶段（36个月以上）：持续监控、算法更新与量子增强服务开发。

六、风险与挑战

尽管框架完备，实施过程中仍面临多重挑战：

技术复杂性：PQC算法计算开销大、签名尺寸大，对性能有显著影响；

技能缺口：兼具PQC与金融系统知识的专业人才严重不足；

第三方依赖：供应商PQC支持进度不一，协调难度大；

合规复杂性：多司法管辖区标准不一，需动态适配；

成本控制：联邦政府预估全面迁移成本达71亿美元，金融机构需谨慎规划。

文件建议通过试点验证、分阶段投入、与学术界合作培养人才、优先采用云服务商托管方案等方式缓解上述挑战。

七、量子安全不是终点，而是新起点

PQFIF 不仅仅是一套防御性框架，更是一个推动金融基础设施全面现代化、智能化、全球互操作的战略引擎。它标志着密码学自1970年代以来最大的一次范式转变，也是美国在数字金融时代保持技术主权与市场信心的关键举措。

正如文件中所言：“量子安全基础设施并非终点，而是开启下一代金融服务的基石。” 在量子计算与人工智能双轮驱动的未来，唯有未雨绸缪者，方能稳坐钓鱼台。

美国正在通过PQFIF框架，向世界宣告：量子时代的金融安全，必须从现在开始建设。