关注！面向量子时代的抗量子密码倡议（2024）

◈ 前言 

量子计算的巨大潜力引发新一轮技术变革和激烈竞争，开启信息、通信和计算新范式，并已经开始改变经济、社会发展方向和安全认知。量子计算能力的跃升对现代密码学的安全风险正以一种前所未有的方式显现。抗量子密码是基于新的数学问题，在经典计算机上定义和执行算法，研究量子计算机和经典计算机都无法破解的新密码系统，现已成为保障国家数字经济安全、助力数字经济高质量发展的核心竞争力和颠覆性技术。

鉴于量子计算的发展进度无法精确预见，在全球抗量子密码创新发展战略部署与竞争博弈的背景下，各国应坚持创新发展与信任合作并重，通过对话与合作凝聚共识，共同防范量子危机，推动构建量子时代人类命运共同体。 

我们重申，各国应坚持共商共建共享原则，鼓励全球最大范围、最具弹性地培育抗量子密码创新生态，积极推动各国和地区在抗量子密码算法标准化的过程中加强国际交流与合作，强化传统风险控制和主动风险管理，形成具有广泛共识的、灵活的、开放包容的治理框架和标准规范，协力促进颠覆性技术创新发展与安全防范。

◈ 倡议一：积极参与推动抗量子密码算法标准化及国际协调。

抗量子密码应广泛征集和持续更新算法，并基于安全性、敏捷性和一致性考虑遴选算法并进行标准化。算法的征集和标准化应征询国际社会、国际组织以及各国和地区主要标准化机构的意见和建议，以形成符合技术中立性且普遍适用的国际标准，关注专利限制和有限算法的风险聚集问题。为此应考虑：

1.鼓励全球持续共同推动抗量子密码算法和标准化工作，倡导多利益攸关方积极参与，以不断增强抗量子密码的安全性；

2.在标准化之初考虑公平、安全、透明度和术语统一等问题，确保与既有标准的兼容，或以可扩充、可增补的弹性方式进行；

3.鼓励主要国际组织，特别是行业和标准化组织、各国和地区标准化机构之间对抗量子密码标准化展开充分交流与合作；

4.鼓励全球共同推动在检测、认证领域的抗量子密码标准化和结果互认。

◈ 倡议二：有序推进抗量子密码基础设施建设，发挥优先迁移行业应用的示范效应。

各国和地区应在数字经济转型发展中，将密码基础设施置于国家关键基础设施的组成部门予以重视，坚持以长远和持续发展原则布局“量子时代”的密码基础设施建设，为抗量子密码的合法加解密等预留技术、法律和政策空间。积极鼓励和推动在金融、电信、电力、政务等公共产品、服务行业、领域优先应用抗量子密码或启动向抗量子密码的迁移工作。为此应考虑:

1.在关键（信息）基础设施的政策立法中，明确将密码基础设施纳入调整范围，重点关注存在量子解密风险的公钥基础设施、涉及数字身份的证书与认证设施、以区块链为基础的数字货币基础设施等；

2.密切跟踪技术发展形势，对量子计算风险的严重性、紧迫性开展风险评估，推动制定优先向抗量子密码迁移的行业、领域清单，细化重点领域迁移指引；

3.密码基础设施建设和优先性迁移考虑中，将跨境贸易、互联互通作为各国政策立法“对齐”的重要事项，积极推动在跨国官方、行业和企业组织之间的应用协调，避免因新技术、新应用、新业态发展加剧数字鸿沟和技术分化。

◈ 倡议三：识别研判经典密码和抗量子密码脆弱性，推动密码安全风险信息共享。

密码技术自身存在安全漏洞等脆弱性问题，抗量子密码理论基础、算法和工程实现的早期同样可能存在大量未知的安全风险，构建负责任的漏洞发现和披露机制有助于提升抗量子密码的强健，各国和地区应将抗量子密码的安全漏洞作为网络安全风险的重要内容进行识别和信息共享，以保障抗量子密码的安全性和可用性。为此应考虑：

1.在各国和地区的网络安全政策立法中，增加对抗量子密码安全漏洞和其他脆弱性信息的风险管理内容；

2.鼓励全球共同推动对抗量子密码安全性的理论研究、形式化验证和工程实践，形成从相关论文类研究成果到可复现的可靠结论的安全研究过程；

3.倡导通过国际间的CERT组织、安全企业与社区，推动建立负责任的抗量子密码安全漏洞披露机制；

4.鼓励全球建立降低和缓解抗量子密码漏洞的风险通报、修复的响应机制，促进上述风险信息在各国和地区之间的有效传递；

5.高度重视人工智能在密码安全漏洞发掘、验证中的作用，评估其对抗量子密码安全产生的正反多方面影响。

◈ 倡议四：积极推动全球多利益攸关方对抗量子密码相关议题展开常态化交流。

抗量子密码虽然具有政府与政策驱动的特征，但面向“量子时代”的密码研发、应用和市场化需要多主体、多体系的协同发展及创新生态机制构建。应至少考虑以下主体之间就抗量子密码相关议题展开充分的常态化交流：

1.鼓励主权国家之间对量子计算与抗量子密码的基本战略与协调问题展开充分的常态化交流；

2.推动各国和地区之间对政策法律，及多边、双边协定下的抗量子密码技术与安全问题展开充分的常态化交流；

3.增强国际组织，特别是国际标准化组织之间，及与各国和地区的标准化机构对抗量子密码算法与标准问题的常态化交流；

4.推动各国和地区的行业组织、企业之间，对抗量子密码的安全共识、应用推进等问题展开充分的常态化交流，建立新的与抗量子密码相关的组织；

5.倡导企业之间对抗量子密码技术、产品、服务和应用及其供应链安全等相关问题展开充分的常态化交流。

◈ 倡议五：立足不同的关切与差异，积极推动各国和地区抗量子密码相关规则的完善与协调。

考虑到各国和地区在抗量子密码政策立法方面的重点关切与差异，应推动和促进各国和地区在以下主要方面，开展与抗量子密码相关的政策立法与协调工作：

1.明确抗量子密码的主要监管机构、监管对象、规范要求和执法程序等实质性内容；

2.明确抗量子密码的官方（或主要对接的非官方）标准化机构；

3.公开上述机构职责，以构建对话机制和保持透明度。

4.推动全球构建开放包容的抗量子密码研发、转化机制及知识产权保护等法律保障制度。

◈ 倡议六：明确界定进出口监管的适用范围，积极推动国际学术交流与合作。

量子计算发展和抗量子密码算法所要求的可编程性、开源实现均应被视为技术语言的表达予以尊重，不应将抗量子密码的实现或表达，及与之相关的研讨、交流行为或社群活动纳入进出口监管范围或对此设置障碍。强调进出口监管应限定于维护国家安全、社会公共利益或者履行国际义务的范围，并关注量子计算和抗量子密码两用性的例外考量。反对滥用单边制裁措施设置技术贸易壁垒。为此应考虑：

1.鼓励对量子计算、抗量子密码进行广泛的国际间交流，反对通过政策立法或不适当的边境机制设置信息、人员交流的障碍；

2.积极推动各国和地区在现有政策立法中对此类规定进行审慎解释和限缩解释，不断弥合全球抗量子密码跨境贸易和监管的摩擦与分歧；

3.增强全球对量子计算、抗量子密码的两用性进行充分评估，划定国际普遍认可的基线，逐步建立可适用的许可证管理等规范机制。

◈ 倡议七：充分尊重各国政策立法的差异化表达，推动制定更具包容性的国际协定。

国际社会应在新多边、双边协定中维护和充实对即将到来的“量子时代”各国和地区的国家安全、社会公共利益等内容，识别价值观差异并做出尊重、谅解和符合各国利益的例外规定，以反映新时代的新变化。为此应考虑：

1.充分尊重在联合国的安全和发展类文件中反映各国和地区对量子计算和抗量子密码发展与安全的不同关切；

2.鼓励在国际贸易组织和各类新多边、双边协定中体现对量子计算和抗量子密码的认识，重点关注将密码作为数字基础设施、数字贸易和跨境安全保障机制的考虑；

3.推动各国和地区在识别抗量子密码技术、产品或服务跨国性的基础上，确定抗量子密码对隐私与个人信息保护的价值，通过对话与合作，在解密执法范围、限定要求和前置条件设定等方面形成共识。

◈ 倡议八：尊重技术规律，倡导良性竞争，避免因量子竞赛引发资源的不可持续，甚至国际冲突。

量子时代可能意味着全球经济与社会的再繁荣与新机遇，但各国和地区在量子相关产业的发展阶段、侧重上有其国情、政策和实践考虑，并可能存在显著差异，应将阶段的“量子优越性”转化为可分享、可持续的技术驱动力。为此应考虑：

1.在联合国和既有的国际贸易规则，新型数字贸易协定下重申、寻求各国和地区的数字利益、安全利益等共同价值，构建和推动量子时代全面发展的主旨和愿景；

2.反对将抗量子密码作为战略竞争武器，提升技术竞争烈度或垄断、阻挠、破坏他国抗量子密码创新发展；

3.充分尊重各国和地区抗量子密码标准化的技术路线选择，形成多样化和可替代的密码供应链机制。

◈ 倡议九：适度披露抗量子密码技术进展，承诺不使用量子计算实施危害他国安全利益的解密。

与核能、密码、人工智能等信息技术类似，新兴技术或技术发展早期凸显两用物项的用途属性，量子计算、抗量子密码相关技术存在军事化利用的风险，除在进出口中预留适当的监管机制外，各国和地区应适度披露其抗量子密码技术进展，并做出禁止军事应用的正式承诺。为此应考虑：

1.在联合国等国际组织和安全治理层面建立具有约束性的联络机构或机制，关注抗量子密码的军用方向，并对与量子计算、抗量子密码相关的实验性、部署类活动进行必要的、定期的进展通报；

2.应推动各国和地区通过国际组织、国家官方渠道和方式，做出不实施“先存储，后解密”，不使用量子计算（机）进行可能危害他国国家安全、国际秩序、地缘政治稳定的解密的承诺。

◈ 倡议十：以增进人类共同福祉为目标，共同推动抗量子密码创新发展。

“量子时代”必然到来。量子计算的架构、逻辑和系统、软硬件将可能与现有的互联网络架构不同，但也意味着不同形式和面貌的、全球可分享的数字成果的呈现。各国和地区应在抗量子密码保障隐私与个人信息、重要信息系统和关键基础设施安全的现有功能基础上，前瞻探索与各类量子密码的融合方式，充分发掘密码创新发展的普惠价值，未雨绸缪并抵御“量子鸿沟”的扩大风险。为此应考虑:

1.在尊重市场和价值规律的前提下，各国和地区应通过关键（信息）基础设施、互联网络、终端设备等方式将阶段性的抗量子密码成果向公众提供；

2.鼓励各国和地区通过开源等公开化方式，向全球传递量子计算与抗量子密码的进展和成果；

3.尊重和保护发展中国家和地区共享量子计算与抗量子密码重要成果的平等权利和机会，避免在发展中国家和地区进行可能对他国国家安全、社会公共利益、公民合法权益构成威胁或损害的实验性量子活动。

4.积极发挥科技企业、行业组织等全球影响力，鼓励各国和地区最大范围和最具弹性地培育抗量子密码创新生态机制。