Thời gian biểu các mối đe dọa lượng tử: Cách chuẩn bị thực tế cho mã hóa sau lượng tử

Khi nào máy tính lượng tử có thể giải mã dữ liệu của chúng ta? Câu hỏi này đã được tranh luận trong nhiều năm, nhưng các dự đoán mang tính tận thế thường thiếu nền tảng kỹ thuật rõ ràng. Sự thật đòi hỏi một cách hiểu phân biệt hơn: mối đe dọa tồn tại, nhưng phạm vi và mức độ nghiêm trọng của nó phụ thuộc vào loại mã hóa mà chúng ta đang xem xét. Bài viết gốc của một nhà nghiên cứu từ a16z phân tích chủ đề này qua lăng kính các thực tế kỹ thuật thực tế, chứ không dựa trên các lời hứa tiếp thị.

Thời điểm thực tế: liệu chúng ta có gần đến việc máy tính lượng tử phá vỡ mã hóa không?

Điều đầu tiên cần hiểu là: các tuyên bố rằng máy tính lượng tử sẽ phá vỡ mật mã trước năm 2030 không dựa trên tiến bộ thực sự trong lĩnh vực này. Các nhà nghiên cứu nhấn mạnh sự khác biệt căn bản giữa những gì các công ty tuyên bố và những gì thực sự diễn ra trong phòng thí nghiệm.

Để giải mã các thuật toán mã hóa hiện tại (như RSA-2048 hoặc secp256k1), máy tính lượng tử cần khả năng sửa lỗi, số lượng qubits logic đủ lớn và độ chính xác của các cổng đủ cao. Hiện tại, chưa ai đạt được điều này. Các hệ thống với 1000 qubits vật lý trông có vẻ ấn tượng trên giấy, nhưng nếu không có độ chính xác cần thiết và các kết nối phù hợp, chúng vẫn chủ yếu là các dự án thử nghiệm.

Các nguồn gây hiểu lầm chính:

“Ưu thế lượng tử” không phải là điều tương đương với tính hữu ích. Khi các công ty tuyên bố đạt được “ưu thế lượng tử”, họ thường trình diễn các bài toán được thiết kế đặc biệt, chạy trên thiết bị của họ nhanh hơn so với máy tính cổ điển. Nhưng những bài toán này không có ứng dụng thực tế.

Hàng nghìn qubits — chưa đủ để gây ra đe dọa. Phần lớn các tuyên bố về “hàng nghìn qubits” liên quan đến hiện tượng qubit bị mất, chứ không phải mô hình máy tính lượng tử đầy đủ cần để tấn công mật mã.

Qubits logic so với qubits vật lý — khác biệt lớn. Việc tuyên bố có 48 qubits logic chỉ với hai qubits vật lý cho mỗi qubit logic nghe có vẻ không khả thi do thiếu khả năng sửa lỗi phù hợp cho cấu hình này.

Bản đồ các qubit thường gây hiểu lầm. Nhiều dự đoán cho thấy hàng nghìn qubits logic vào một năm nào đó, nhưng các qubits này chỉ có thể thực hiện các “toán tử Clifford”, mà các máy tính cổ điển có thể tính toán hiệu quả. Thuật toán Shor, cần thiết để phá vỡ mã hóa, đòi hỏi các “toán tử không Clifford” (các cổng T), mà ở đó không có.

Kết luận đơn giản: kỳ vọng rằng trong 5 năm tới sẽ có máy tính lượng tử đủ khả năng phá vỡ RSA-2048 không dựa trên các thành tựu công khai. Thậm chí 10 năm là một dự đoán tham vọng. Tuy nhiên, điều này không có nghĩa là chúng ta có thể thả lỏng cảnh giác, đặc biệt là với một số loại dữ liệu.

Tấn công “ăn cắp ngay, giải mã sau”: ai thực sự bị đe dọa?

Điều phân biệt quan trọng nhất để hiểu tại sao mã hóa hậu lượng tử cần hành động ngay lập tức, còn các chữ ký hậu lượng tử thì không.

Với mã hóa: kẻ tấn công có thể bắt giữ và lưu trữ dữ liệu mã hóa ngày hôm nay, rồi khi máy tính lượng tử xuất hiện, giải mã tất cả. Điều này có nghĩa là các dữ liệu cần giữ bí mật trong hơn 10-50 năm đã cần các biện pháp hậu lượng tử ngay từ bây giờ. Các cơ quan chính phủ thậm chí còn có thể tích trữ hàng gigabyte dữ liệu liên lạc của Mỹ để giải mã trong tương lai. Vì vậy, các phương pháp mã hóa lai kết hợp các sơ đồ cổ điển và hậu lượng tử đã bắt đầu được tích hợp trong trình duyệt (Chrome với Cloudflare), trong các ứng dụng nhắn tin (Signal, iMessage của Apple).

Với chữ ký số: Tình hình hoàn toàn khác. Nếu bạn có thể chứng minh rằng chữ ký được tạo ra trước khi máy tính lượng tử xuất hiện, thì nó không thể bị làm giả theo thời gian. Máy tính lượng tử chỉ có thể làm giả các chữ ký mới kể từ khi chúng xuất hiện. Điều này có nghĩa là các chữ ký hậu lượng tử không cấp bách như mã hóa hậu lượng tử.

Với các chứng minh không đối xứng (zkSNARK): Chúng cũng không dễ bị tấn công “ăn cắp rồi giải mã”, vì tính chất “không biết gì” của chúng đảm bảo rằng không có thông tin về bí mật nào bị tiết lộ — ngay cả với máy tính lượng tử. Do đó, zkSNARK được tạo ra ngày hôm nay sẽ vẫn an toàn về mặt mật mã trong tương lai, bất kể các thuật toán elliptic curve có thể bị tấn công như thế nào.

Chữ ký hậu lượng tử: tại sao không cần vội vàng

Tại đây, yếu tố thực tiễn của quá trình chuyển đổi đóng vai trò chính. Các sơ đồ chữ ký hậu lượng tử có những nhược điểm đáng kể:

Kích thước và hiệu suất: Các chữ ký dựa trên hàm băm (các sơ đồ an toàn nhất về mặt bảo mật) có kích thước khoảng 7-8 KB — gấp 100 lần so với các chữ ký elliptic curve hiện tại (64 byte). ML-DSA khoảng 2,4–4,6 KB (gấp 40–70 lần). Ngay cả Falcon, một lựa chọn gọn hơn (0,7–1,3 KB), cũng gặp nhiều khó khăn trong thực thi.

Phức tạp trong thực hiện: Falcon bao gồm các phép tính số học dấu phẩy động trong thời gian cố định và đã từng bị tấn công thành công qua các kênh bên. Một trong những nhà phát triển của nó gọi là “thuật toán mã hóa phức tạp nhất mà tôi từng triển khai”.

Chưa trưởng thành: Rainbow và SIKE/SIDH, các ứng viên tiêu chuẩn của NIST, đã bị phá vỡ bởi các máy tính cổ điển. Điều này cho thấy rủi ro của việc tiêu chuẩn hóa và triển khai các sơ đồ quá sớm.

Hạ tầng Internet đã đi đến kết luận: có thể chuyển sang chữ ký hậu lượng tử bất cứ lúc nào, không có thời hạn rõ ràng. Cẩn trọng là hợp lý, vì sai lầm ở giai đoạn này có thể rất đắt đỏ. Các chuỗi khối (blockchain) cũng cần theo chiến lược này.

Chuỗi khối dưới áp lực: ai dễ bị tấn công lượng tử?

Chuỗi khối công khai (Bitcoin, Ethereum): Về cơ bản, chúng an toàn khỏi các tấn công “ăn cắp rồi giải mã” vì chúng sử dụng chữ ký không hậu lượng tử để xác thực, chứ không phải để mã hóa. Mối đe dọa lượng tử đối với Bitcoin là giả mạo chữ ký và trộm tiền, chứ không phải giải mã dữ liệu đã mở khóa. Ngay cả Cục Dự trữ Liên bang cũng đã nhầm lẫn khi tuyên bố rằng Bitcoin dễ bị tấn công lượng tử qua HNDL.

Tuy nhiên, Bitcoin đối mặt với các vấn đề đặc thù: quản lý chậm, hàng triệu địa chỉ “ngủ” với khóa công khai đã biết, trị giá hàng chục tỷ USD. Ngay cả khi máy tính lượng tử không xuất hiện trước năm 2035, thì quá trình chuyển đổi cũng có thể mất nhiều năm. Điều này buộc Bitcoin phải bắt đầu lên kế hoạch ngay từ bây giờ — không phải vì các mối đe dọa lượng tử đã có mặt, mà vì yêu cầu phối hợp chuyển đổi.

Chuỗi khối riêng tư: Thực sự bị đe dọa. Nếu dữ liệu về người nhận và số tiền được mã hóa hoặc ẩn đi (như trong Monero), thì các dữ liệu này có thể bị chặn bắt ngày hôm nay và bị giải mã qua tấn công lượng tử trong tương lai. Đối với chúng, các sơ đồ mã hóa hậu lượng tử hoặc các sơ đồ lai đã cần thiết, hoặc cần thiết phải thiết kế lại kiến trúc không lưu trữ các bí mật giải mã trong chuỗi khối.

Bảy bước để đảm bảo an toàn mã hóa hậu lượng tử

Dựa trên phân tích trên, dưới đây là các khuyến nghị thực tiễn:

1. Áp dụng sơ đồ lai ngay lập tức ở những nơi cần bảo vệ dữ liệu dài hạn. Các sơ đồ lai (hậu lượng tử + cổ điển) bảo vệ khỏi các tấn công “ăn cắp rồi giải mã” và giảm thiểu các điểm yếu tiềm tàng của sơ đồ hậu lượng tử thuần túy.

2. Sử dụng chữ ký dựa trên hàm băm trong các kịch bản ít quan trọng về kích thước (cập nhật phần mềm, firmware). Điều này cung cấp biện pháp phòng ngừa thận trọng và bảo vệ khỏi các tiến bộ bất ngờ trong lĩnh vực lượng tử.

3. Chuỗi khối không nên vội vàng chuyển đổi chữ ký, nhưng cần bắt đầu lập kế hoạch. Các nhà phát triển cần thận trọng như cộng đồng PKI truyền thống.

4. Bitcoin cần có kế hoạch cụ thể về di chuyển và chính sách “ví ngủ”. Thách thức chủ yếu là quản lý và phối hợp, chứ không phải kỹ thuật.

5. Dành thời gian nghiên cứu về zkSNARK hậu lượng tử và các sơ đồ chữ ký kết hợp. Điều này mất vài năm, nhưng tránh bị mắc kẹt với các giải pháp kém tối ưu sớm sẽ đáng giá.

6. Xem xét trừu tượng hóa địa chỉ trong các ví hợp đồng thông minh để linh hoạt hơn khi chuyển sang các primitive hậu lượng tử.

7. Các chuỗi khối riêng tư cần chuyển đổi càng nhanh càng tốt, nếu khả thi về mặt hiệu suất, do mối đe dọa thực tế từ HNDL đối với tính riêng tư của chúng.

Rủi ro lớn hơn chính là thực thi, chứ không phải máy tính lượng tử

Điều quan trọng nhất thường bị bỏ qua là: trong những năm tới, các lỗ hổng về thực thi, các kênh bên và các tấn công gây lỗi sẽ còn nguy hiểm hơn nhiều so với chính máy tính lượng tử. Đối với các hệ thống phức tạp như zkSNARK và chữ ký hậu lượng tử, chính các lỗi trong quá trình thực thi mới có thể gây ra hậu quả thảm khốc.

Hãy đầu tư vào kiểm tra mã, thử nghiệm ngẫu nhiên (fuzzing), xác minh chính thức và đa lớp bảo mật. Đừng để mối đe dọa lượng tử làm mù mắt khỏi các mối nguy hiểm cấp bách hơn.

Hãy lắng nghe các tin tức về đột phá lượng tử một cách phê phán. Mỗi bước tiến quan trọng thực ra đều chứng minh rằng còn rất xa mới đạt được mục tiêu. Các thông cáo báo chí là các báo cáo thành tựu, cần phân tích kỹ lưỡng, chứ không phải là tín hiệu để hoảng loạn hoặc hành động vội vàng.