Quan hệ "chủ quyền lượng tử" bị hiểu lầm, bạn đừng lo lắng trước năm 2030

Hiện nay, về câu hỏi “máy tính lượng tử liên quan đến mật mã học (CRQC)” khi nào sẽ ra đời, các dự đoán trên thị trường thường quá tích cực và phóng đại — điều này dẫn đến việc kêu gọi ngay lập tức, toàn diện chuyển sang mật mã lượng tử hậu (post-quantum cryptography).

Tuy nhiên, những lời kêu gọi này thường bỏ qua chi phí và rủi ro của việc chuyển đổi quá sớm, cũng như bỏ qua các đặc tính rủi ro khác nhau giữa các nguyên thủy mật mã học:

• Mật mã hóa lượng tử hậu (Post-quantum encryption) thực sự cần được triển khai ngay lập tức, mặc dù chi phí cao: các cuộc tấn công “bắt lấy dữ liệu, giải mã sau” (HNDL) đã bắt đầu xảy ra. Dữ liệu nhạy cảm được mã hóa ngày nay, ngay cả khi sau vài chục năm máy tính lượng tử xuất hiện, vẫn có thể còn giá trị. Mặc dù việc thực thi mật mã hóa lượng tử hậu sẽ gây ra chi phí hiệu năng và rủi ro thực thi, nhưng đối mặt với các cuộc tấn công HNDL, các dữ liệu cần giữ bí mật lâu dài không còn lựa chọn nào khác.
• Chữ ký lượng tử hậu (Post-quantum signatures) lại đối mặt với logic tính toán hoàn toàn khác biệt: chúng không bị ảnh hưởng bởi các cuộc tấn công HNDL. Thêm vào đó, chi phí và rủi ro của chữ ký lượng tử hậu (kích thước lớn hơn, hiệu năng kém hơn, kỹ thuật chưa trưởng thành và các lỗi tiềm ẩn) quyết định chúng ta cần các chiến lược chuyển đổi thận trọng, chứ không phải vội vàng.

Việc làm rõ những khác biệt này là cực kỳ quan trọng. Những hiểu lầm có thể làm méo mó phân tích chi phí-lợi ích, dẫn đến việc các nhóm bỏ qua các rủi ro an ninh hiện tại nguy hiểm hơn — chẳng hạn như lỗi mã nguồn.

Trong quá trình chuyển sang mật mã lượng tử hậu, thách thức thực sự nằm ở việc cân đối cảm giác cấp bách với các mối đe dọa thực tế. Dưới đây sẽ làm rõ các hiểu lầm phổ biến về mối đe dọa lượng tử qua các nội dung về mã hóa, chữ ký và bằng chứng không kiến thức (đặc biệt là ảnh hưởng của chúng đến blockchain).

Chúng ta còn cách mối đe dọa lượng tử bao xa?

Dù các tuyên bố gây xôn xao trên thị trường, khả năng xuất hiện “máy tính lượng tử liên quan đến mật mã học (CRQC)” trong thập niên 2020 là cực kỳ thấp.

Tôi gọi là “CRQC” là một máy tính lượng tử có khả năng chịu lỗi, đã qua sửa lỗi, đủ quy mô để chạy thuật toán Shor nhằm tấn công các hệ mật elliptic hoặc RSA (ví dụ, trong vòng tối đa một tháng có thể phá vỡ secp256k1 hoặc RSA-2048).

Dựa trên việc phân tích các cột mốc quan trọng và ước lượng nguồn lực hợp lý, chúng ta còn rất xa mới tạo ra được loại máy này. Mặc dù có một số công ty tuyên bố CRQC có thể xuất hiện trước năm 2030 hoặc 2035, nhưng các tiến trình công khai hiện tại không ủng hộ các tuyên bố đó.

Về khách quan, xét toàn bộ các kiến trúc công nghệ hiện nay — ion trap, lượng tử siêu dẫn, hệ thống nguyên tử trung tính — hiện tại không có nền tảng nào gần đạt được hàng chục nghìn đến hàng trăm nghìn qubit vật lý cần thiết để chạy thuật toán Shor (tùy thuộc vào tỷ lệ lỗi và các phương án sửa lỗi).

Các giới hạn không chỉ nằm ở số lượng qubit, mà còn liên quan đến độ trung thực của cổng (Gate Fidelity), khả năng kết nối các qubit, và độ sâu của mạch sửa lỗi liên tục cần để chạy các thuật toán lượng tử sâu. Dù một số hệ thống hiện đã có hơn 1,000 qubit vật lý, nhìn vào số lượng đơn thuần là phản tác dụng: các hệ thống này thiếu kết nối và độ trung thực để thực hiện các phép tính mật mã học liên quan.

Các hệ thống gần đây bắt đầu tiến gần đến ngưỡng hiệu quả của sửa lỗi lượng tử về mặt lỗi vật lý, nhưng vẫn chưa ai thể hiện được có thể duy trì hơn vài logical qubit với độ sâu mạch sửa lỗi liên tục — chưa nói đến việc chạy thực tế thuật toán Shor cần hàng nghìn logical qubit có độ trung thực cao, sâu, chịu lỗi. Khoảng cách giữa “chứng minh tính khả thi của sửa lỗi lượng tử về nguyên lý” và “đạt quy mô để phân tích mật mã” vẫn còn rất lớn.

Nói ngắn gọn: trừ khi số lượng qubit và độ trung thực đều tăng lên vài bậc, CRQC vẫn còn xa vời.

Tuy nhiên, dễ bị nhầm lẫn bởi các bài báo PR của doanh nghiệp và các báo cáo truyền thông. Dưới đây là một số nguồn gây hiểu lầm phổ biến:

• Các trình diễn “lợi thế lượng tử”: Thường tập trung vào các nhiệm vụ do con người thiết kế. Việc chọn các nhiệm vụ này không phải vì chúng thực tế, mà vì chúng có thể chạy trên phần cứng hiện có và thể hiện tốc độ tăng trưởng lượng tử đáng kể — điều này thường bị che giấu trong thông báo chính thức.
• Các công ty tuyên bố sở hữu hàng nghìn qubit vật lý: Thường là các máy lượng tử annealer (Quantum Annealers), chứ không phải các máy dựa trên mô hình cổng để chạy Shor nhằm tấn công mật mã công khai.
• Lạm dụng thuật ngữ “logical qubit”: Trong thực tế, các thuật toán lượng tử như Shor cần hàng nghìn logical qubit ổn định. Thông qua sửa lỗi lượng tử, chúng ta có thể dùng nhiều qubit vật lý để tạo ra một logical qubit — thường cần hàng trăm đến hàng nghìn qubit vật lý. Nhưng một số công ty đã lạm dụng thuật ngữ này đến mức quá đáng. Ví dụ, một thông báo gần đây tuyên bố dùng chỉ hai qubit vật lý để tạo ra 48 logical qubit. Mã lỗi thấp này chỉ có thể phát hiện lỗi, không thể sửa lỗi. Các logical qubit để phân tích mật mã thực sự, mỗi cái đều cần hàng trăm đến hàng nghìn qubit vật lý.
• Chơi đùa với định nghĩa: Nhiều lộ trình dùng “logical qubit” để chỉ các qubit hỗ trợ thao tác Clifford, có thể được mô phỏng hiệu quả bằng máy tính cổ điển, do đó hoàn toàn không đủ khả năng chạy Shor.

Ngay cả khi một lộ trình đặt mục tiêu “đến năm X có hàng nghìn logical qubit”, điều đó không có nghĩa là công ty dự kiến trong năm đó sẽ chạy Shor để phá vỡ mật mã cổ điển.

Các chiến lược marketing này đã bóp méo đáng kể nhận thức của công chúng (và thậm chí một số nhà quan sát dày dạn kinh nghiệm) về mức độ gần đến của mối đe dọa lượng tử.

Dù vậy, một số chuyên gia vẫn cảm thấy phấn khích về tiến bộ. Scott Aaronson gần đây từng nói rằng, xét tốc độ tiến bộ của phần cứng, ông cho rằng “có thể sẽ có máy tính lượng tử chịu lỗi chạy Shor trước cuộc bầu cử tổng thống Mỹ lần tới”. Nhưng ông cũng rõ ràng nhấn mạnh, điều này không đồng nghĩa CRQC có khả năng đe dọa mật mã: ngay cả việc phân tích số 15 bằng hệ thống chịu lỗi cũng đã là một “tiên đoán thành công”. Điều này rõ ràng không cùng cấp độ với việc phá RSA-2048.

Thực tế, tất cả các thí nghiệm lượng tử phân tích số 15 đều sử dụng mạch đơn giản, chứ chưa phải là phiên bản đầy đủ của thuật toán Shor chịu lỗi; việc phân tích số 21 còn cần thêm các bước hướng dẫn và các mẹo tối ưu.

Nói ngắn gọn, không có tiến bộ công khai nào chứng minh chúng ta có thể tạo ra một máy tính lượng tử trong 5 năm tới để phá RSA-2048 hoặc secp256k1.

Ngay cả trong mười năm nữa cũng còn là dự báo cực kỳ tích cực.

Chính phủ Mỹ đề xuất hoàn thành quá trình chuyển đổi sang mật mã lượng tử hậu cho hệ thống chính phủ trước năm 2035, nhưng đây là kế hoạch thời gian của dự án chuyển đổi, không phải dự đoán CRQC sẽ xuất hiện vào thời điểm đó.