Viết bài: Justin Thaler, đối tác nghiên cứu crypto của a16z và Phó giáo sư khoa học máy tính tại Đại học Georgetown
Dịch thuật: Yangz, Techub News
Dự đoán về thời điểm xuất hiện máy tính lượng tử liên quan đến mật mã thường bị thổi phồng, dẫn đến các lời kêu gọi chuyển đổi khẩn cấp và toàn diện sang mật mã hậu lượng tử. Những lời kêu gọi này thường bỏ qua chi phí và rủi ro của việc chuyển đổi quá sớm, đồng thời bỏ qua đặc điểm rủi ro hoàn toàn khác nhau của các nguyên thủy mật mã khác nhau:
Mật mã hậu lượng tử dù chi phí cao nhưng cần được triển khai ngay lập tức: các cuộc tấn công “thu thập trước giải mã” (HNDL) đã bắt đầu, dữ liệu nhạy cảm được mã hóa hiện tại vẫn còn giá trị khi máy tính lượng tử thực sự xuất hiện (dù còn phải mất hàng chục năm nữa). Ngoài ra, chi phí hiệu năng và rủi ro thực thi của mật mã hậu lượng tử có tồn tại, nhưng đối với dữ liệu cần giữ bí mật lâu dài, cuộc tấn công HNDL khiến chúng ta không còn lựa chọn nào khác.
Trong khi đó, chữ ký hậu lượng tử đối mặt với các cân nhắc khác. Chúng ít bị ảnh hưởng bởi cuộc tấn công HNDL, nhưng chi phí và rủi ro (quy mô lớn hơn, chi phí hiệu năng, tính chưa trưởng thành của triển khai và các lỗ hổng tiềm ẩn) yêu cầu chúng ta hành xử thận trọng chứ không phải chuyển đổi ngay lập tức.
Những khác biệt này cực kỳ quan trọng. Hiểu sai có thể làm méo mó phân tích chi phí lợi ích, dẫn đến việc bỏ qua các rủi ro an ninh nổi bật hơn — chẳng hạn như lỗ hổng hệ thống.
Thách thức thực sự để chuyển đổi thành công sang mật mã hậu lượng tử là: làm cho tính cấp bách phù hợp với mối đe dọa thực tế. Dưới đây, tôi sẽ làm rõ những hiểu lầm phổ biến về mối đe dọa của máy tính lượng tử đối với mật mã, bao gồm mã hóa, chữ ký và chứng minh không kiến thức, đặc biệt tập trung vào ảnh hưởng của chúng đối với blockchain.
Chúng ta đang ở giai đoạn nào?
Dù có nhiều tuyên truyền, khả năng xuất hiện máy tính lượng tử liên quan đến mật mã (CRQC) trong thập niên 20 của thế kỷ này là cực kỳ thấp.
Tôi gọi “máy tính lượng tử liên quan đến mật mã” là loại máy tính lượng tử có khả năng chịu lỗi, sửa lỗi, có thể chạy đủ quy mô thuật toán Shor để tấn công các hệ mật mã elliptic curve hoặc RSA trong thời gian hợp lý (ví dụ, trong vòng tối đa một tháng để phá vỡ secp256k1 hoặc RSA-2048). Theo mọi cách hiểu hợp lý về các cột mốc công khai và ước lượng nguồn lực, chúng ta còn rất xa việc hiện thực hóa một máy tính lượng tử liên quan đến mật mã. Có công ty đôi khi tuyên bố CRQC có thể xuất hiện trước năm 2030 hoặc xa hơn là 2035, nhưng các tiến bộ đã biết công khai không ủng hộ các tuyên bố này.
Xem xét tất cả các kiến trúc hiện tại, bao gồm ion trap, qubit siêu dẫn và hệ thống nguyên tử trung tính, hiện chưa có nền tảng máy tính lượng tử nào gần đạt được hàng chục nghìn đến hàng triệu qubit vật lý cần thiết để chạy Shor phá RSA-2048 hoặc secp256k1 (tùy thuộc vào tỷ lệ lỗi và phương án sửa lỗi). Các giới hạn không chỉ nằm ở số lượng qubit, mà còn ở độ trung thực của cổng, khả năng kết nối qubit và độ sâu của mạch sửa lỗi liên tục cần để chạy các thuật toán lượng tử phức tạp. Dù một số hệ thống đã có hơn 1.000 qubit vật lý, chỉ dựa vào số lượng qubit ban đầu là gây hiểu lầm: các hệ thống này thiếu khả năng kết nối qubit và độ trung thực của cổng để thực hiện các tính toán liên quan mật mã. Các hệ thống mới nhất đang tiến gần đến ngưỡng bắt đầu hiệu quả sửa lỗi lượng tử, nhưng chưa ai thể hiện được hơn vài qubit logic có độ sâu mạch liên tục và độ trung thực cao… chứ đừng nói đến hàng nghìn qubit logic có độ trung thực cao, sâu mạch, có khả năng sửa lỗi để chạy Shor.
Từ nguyên lý chứng minh khả năng sửa lỗi lượng tử, đến quy mô cần thiết cho phân tích mật mã, còn một khoảng cách rất lớn. Nói ngắn gọn, trước khi số lượng qubit và độ trung thực tăng lên vài bậc, máy tính lượng tử liên quan đến mật mã vẫn còn xa vời. Các tiến bộ đã biết công khai không ủng hộ dự đoán: trong 5 năm tới, sẽ xuất hiện máy tính lượng tử liên quan đến mật mã có thể phá RSA-2048 hoặc secp256k1. Còn về việc chính phủ Mỹ đặt mục tiêu năm 2035 là thời điểm các hệ thống chính phủ chuyển sang hoàn toàn hậu lượng tử (PQ), tôi cho rằng đó là một mốc thời gian hợp lý để hoàn thành quá trình chuyển đổi quy mô lớn này. Tuy nhiên, điều đó không có nghĩa là dự đoán sẽ có máy tính lượng tử liên quan đến mật mã xuất hiện đúng lúc đó.
HNDL phù hợp với những kịch bản nào?
“Thu thập trước, giải mã sau” (HNDL) là tấn công trong đó kẻ tấn công lưu trữ dữ liệu mã hóa hiện tại để sau này, khi máy tính lượng tử liên quan đến mật mã xuất hiện, tiến hành giải mã. Các nhà nước đã chắc chắn đã lưu trữ lượng lớn các liên lạc mã hóa của chính phủ Mỹ để có thể giải mã trong nhiều năm tới khi CRQC thực sự tồn tại. Đó là lý do tại sao công nghệ mã hóa cần chuyển đổi ngay lập tức — ít nhất đối với những dữ liệu cần giữ bí mật hơn 10-50 năm.
Tuy nhiên, chữ ký số (công nghệ mà tất cả blockchain đều dựa vào) khác với mã hóa. Nếu máy tính lượng tử liên quan đến mật mã xuất hiện, từ đó trở đi, giả mạo chữ ký thực sự trở thành khả thi, nhưng các chữ ký trong quá khứ không giống như tin nhắn đã mã hóa “ẩn” bí mật. Miễn là bạn biết chữ ký đó được tạo ra trước khi CRQC xuất hiện, thì không thể là giả mạo. Điều này khiến việc chuyển đổi sang chữ ký hậu lượng tử không cấp bách như chuyển đổi sang mã hóa hậu lượng tử.
Hiện tại, các nền tảng chính đang hành động phù hợp: Chrome và Cloudflare đã triển khai các giải pháp hỗn hợp X25519+ML-KEM cho mã hóa tầng truyền tải mạng (TLS); Apple đã tích hợp giải pháp mã hóa hậu lượng tử hỗn hợp này qua giao thức PQ3 trong iMessage; Signal cũng đã làm điều tương tự qua các giao thức PQXDH và SPQR.
Ngược lại, việc triển khai chữ ký hậu lượng tử trong hạ tầng mạng quan trọng bị hoãn lại đến khi máy tính lượng tử liên quan đến mật mã thực sự gần xuất hiện, vì các giải pháp chữ ký hậu lượng tử hiện tại sẽ gây ra giảm hiệu năng (sẽ thảo luận chi tiết phía sau).
zkSNARKs (quan trọng cho khả năng mở rộng và riêng tư lâu dài của blockchain) cũng rơi vào tình huống tương tự. Bởi vì, ngay cả với các zkSNARK không an toàn hậu lượng tử (sử dụng mật mã elliptic curve, giống như các giải pháp mã hóa và chữ ký không hậu lượng tử ngày nay), tính chất không kiến thức của chúng vẫn an toàn hậu lượng tử. Tính chất này đảm bảo rằng trong chứng minh, không tiết lộ bất kỳ thông tin nào về chứng cứ bí mật — kể cả đối với kẻ tấn công lượng tử — do đó không có dữ liệu bí mật nào cần “thu thập trước” để giải mã trong tương lai.
Vì vậy, zkSNARKs ít dễ bị tấn công HNDL hơn. Giống như các chữ ký không hậu lượng tử được tạo ra ngày nay vẫn an toàn, bất kỳ chứng minh zkSNARK nào được tạo ra trước khi máy tính lượng tử liên quan đến mật mã xuất hiện đều đáng tin cậy (tức là các phát biểu được chứng minh chắc chắn đúng), ngay cả khi zkSNARK đó sử dụng mật mã elliptic curve. Chỉ khi máy tính lượng tử xuất hiện, kẻ tấn công mới có thể tìm ra chứng minh thuyết phục cho các phát biểu giả mạo.
Điều này có ý nghĩa gì đối với blockchain?
Hầu hết các blockchain không dễ bị tấn công HNDL: các blockchain phi riêng tư (như Bitcoin và Ethereum hiện tại) chủ yếu sử dụng mật mã không hậu lượng tử để ủy quyền giao dịch. Nói cách khác, chúng dùng chữ ký chứ không mã hóa. Nhắc lại, các chữ ký này không tạo thành rủi ro HNDL: tấn công HNDL phù hợp với dữ liệu đã mã hóa. Ví dụ, chuỗi khối Bitcoin là công khai; mối đe dọa lượng tử nằm ở khả năng giả mạo chữ ký (rút trích khóa riêng để lấy tiền), chứ không phải giải mã dữ liệu giao dịch đã công khai. Điều này loại bỏ áp lực cấp bách về mật mã từ các cuộc tấn công HNDL.
Đáng tiếc, ngay cả các phân tích từ các nguồn đáng tin cậy như Cục Dự trữ Liên bang cũng sai khi cho rằng Bitcoin dễ bị tấn công HNDL, điều này phóng đại tính cấp bách của chuyển đổi sang mật mã hậu lượng tử. Tất nhiên, việc giảm tính cấp bách không có nghĩa là Bitcoin có thể chờ đợi: nó đối mặt với các áp lực thời gian khác nhau liên quan đến việc thay đổi giao thức — đặc biệt là sự phối hợp xã hội lớn để thực hiện các thay đổi này (xem phần thách thức đặc thù của Bitcoin phía dưới).
Hiện tại, ngoại lệ là các chuỗi riêng tư, trong đó nhiều chuỗi mã hóa hoặc che giấu các địa chỉ nhận và số tiền. Tính bảo mật này hiện có thể bị thu thập, và khi máy tính lượng tử phá vỡ mật mã elliptic curve, có thể truy ngược để loại bỏ ẩn danh.
Với các chuỗi này, mức độ nghiêm trọng của tấn công phụ thuộc vào thiết kế của blockchain. Ví dụ, với Monero dựa trên vòng ký hiệu elliptic curve và các mặt nạ khóa (được dùng để ngăn chặn gấp đôi chi tiêu, mỗi đầu ra có thể liên kết), chỉ cần dựa vào sổ cái công khai là đủ để truy ngược và xây dựng lại sơ đồ chi tiêu. Trong các chuỗi khác, thiệt hại có thể hạn chế hơn — xem phần thảo luận của kỹ sư mật mã Sean Bowe của Zcash.
Nếu người dùng cho rằng việc không để lộ giao dịch của mình trước máy tính lượng tử liên quan đến mật mã là quan trọng, thì các chuỗi riêng tư nên chuyển sang nguyên thủy hậu lượng tử hoặc các giải pháp hỗn hợp càng sớm càng tốt. Hoặc, chúng nên áp dụng kiến trúc tránh để bí mật có thể giải mã được trên chuỗi.
Thách thức đặc thù của Bitcoin: Quản trị và đồng tiền bị bỏ đi
Với Bitcoin, có hai thực tế thúc đẩy tính cấp bách của việc chuyển sang chữ ký hậu lượng tử. Cả hai đều không liên quan đến công nghệ lượng tử:
Thứ nhất là tốc độ quản trị: Bitcoin thay đổi chậm. Nếu cộng đồng không thể đạt được đồng thuận về giải pháp phù hợp, các vấn đề gây tranh cãi có thể dẫn đến phân tách cứng gây hủy hoại.
Thứ hai là việc chuyển đổi sang chữ ký hậu lượng tử của Bitcoin không thể là quá trình chuyển đổi thụ động: chủ sở hữu phải chủ động chuyển đổi coin của họ. Điều này có nghĩa là các coin bị bỏ đi, dễ bị tấn công lượng tử, không thể được bảo vệ. Theo ước tính, có hàng triệu đồng Bitcoin dễ bị tấn công lượng tử và có thể bị bỏ đi.
Tuy nhiên, mối đe dọa lượng tử đối với Bitcoin không phải là một ngày tận thế đột ngột, mà là một quá trình chọn lọc, dần dần. Máy tính lượng tử sẽ không thể phá vỡ tất cả các mã hóa cùng lúc — thuật toán Shor phải tấn công từng khóa công khai một. Các cuộc tấn công sớm sẽ rất đắt đỏ và chậm chạp. Vì vậy, khi máy tính lượng tử đủ khả năng phá vỡ một khóa chữ ký Bitcoin, kẻ tấn công sẽ chọn lọc tấn công các ví có giá trị cao.
Ngoài ra, những người dùng tránh tái sử dụng địa chỉ và không dùng địa chỉ Taproot (tiết lộ khóa công khai trực tiếp trên chuỗi) dù không có thay đổi giao thức vẫn được bảo vệ phần nào: khóa công khai của họ luôn được giấu sau hàm băm trước khi tiêu dùng. Khi họ gửi giao dịch chi tiêu cuối cùng, khóa công khai sẽ lộ ra, và lúc đó sẽ có một cuộc đua ngắn hạn: một phía là người chi tiêu trung thực cần xác nhận giao dịch của mình, phía còn lại là kẻ tấn công có thiết bị lượng tử muốn tìm ra khóa riêng để chi tiêu số tiền đó trước khi giao dịch của chủ sở hữu thực sự được xác nhận. Vì vậy, các đồng Bitcoin dễ bị tấn công nhất là những đồng đã lộ khóa công khai: các output P2PK cũ, địa chỉ tái sử dụng và các đồng trong Taproot.
Với các đồng đã bị bỏ đi, dễ bị tấn công, không có giải pháp đơn giản nào. Một số lựa chọn bao gồm: cộng đồng Bitcoin thống nhất “ngày cuối cùng” để các đồng chưa chuyển đổi sẽ bị coi là bị hủy; hoặc để các đồng dễ bị tấn công lượng tử bị bỏ đi cho những ai có máy tính lượng tử liên quan đến mật mã chiếm đoạt.
Lựa chọn thứ hai sẽ gây ra vấn đề pháp lý và an ninh nghiêm trọng. Sử dụng máy tính lượng tử để lấy quyền sở hữu đồng mà không có khóa riêng, dù có tuyên bố hợp pháp hoặc thiện chí, cũng có thể bị coi là trộm cắp hoặc tấn công máy tính trong nhiều khu vực pháp lý.
Ngoài ra, “bị bỏ đi” dựa trên giả định về trạng thái không hoạt động. Nhưng không ai thực sự biết các đồng này có thiếu chủ sở hữu còn sống hay không. Bằng chứng chứng minh bạn đã từng sở hữu các đồng này có thể không đủ để có quyền pháp lý phá vỡ bảo vệ mật mã và lấy lại chúng. Sự mơ hồ pháp lý này làm tăng khả năng các đồng bị bỏ đi dễ bị tấn công lượng tử rơi vào tay kẻ xấu không tuân thủ pháp luật.
Vấn đề đặc thù cuối cùng của Bitcoin là khả năng xử lý giao dịch thấp. Ngay cả khi kế hoạch chuyển đổi cuối cùng được xác định, với tốc độ giao dịch hiện tại của Bitcoin, việc chuyển tất cả các đồng dễ bị tấn công lượng tử sang địa chỉ an toàn hậu lượng tử sẽ mất hàng tháng.
Những thách thức này khiến việc lập kế hoạch chuyển đổi hậu lượng tử cho Bitcoin từ bây giờ là cực kỳ quan trọng — không phải vì máy tính lượng tử liên quan đến mật mã có thể xuất hiện trước 2030, mà vì quá trình chuyển đổi hàng tỷ đô la giá trị tiền mã hóa đòi hỏi quản trị, phối hợp và hậu cần kỹ thuật mất nhiều năm để hoàn tất.
Mối đe dọa lượng tử đối với Bitcoin là có thật, nhưng áp lực thời gian đến từ giới hạn nội tại của chính Bitcoin, chứ không phải từ máy tính lượng tử sắp xuất hiện. Các blockchain khác cũng đối mặt với các thách thức riêng trong xử lý các khoản tiền dễ bị tấn công lượng tử, nhưng rủi ro của Bitcoin đặc biệt nổi bật: các giao dịch sớm nhất của nó đã đặt khóa công khai trực tiếp trên chuỗi, khiến một tỷ lệ lớn Bitcoin dễ bị tấn công bởi máy tính lượng tử liên quan đến mật mã. Sự khác biệt về công nghệ này, cộng với lịch sử lâu dài của Bitcoin, độ tập trung giá trị, khả năng xử lý thấp và quản trị cứng nhắc, làm cho vấn đề trở nên đặc biệt nghiêm trọng.
Lưu ý rằng các lỗ hổng tôi mô tả trên đây liên quan đến tính an toàn mật mã của chữ ký Bitcoin, chứ không phải an toàn kinh tế của chuỗi khối Bitcoin. An toàn kinh tế này dựa trên cơ chế đồng thuận bằng chứng công việc (PoW), không dễ bị tấn công bởi máy tính lượng tử vì ba lý do:
PoW dựa vào phép tính băm, do đó chỉ bị ảnh hưởng bởi thuật toán tìm kiếm Grover với tốc độ tăng gấp đôi, chứ không phải thuật toán Shor với tốc độ tăng theo cấp số nhân.
Chi phí thực hiện tìm kiếm Grover khiến bất kỳ máy tính lượng tử nào cũng khó có thể đạt được tốc độ tăng trưởng hợp lý trong cơ chế bằng chứng công việc của Bitcoin.
Ngay cả khi có tốc độ tăng trưởng đáng kể, các lợi thế này chỉ giúp các mỏ khoáng lượng tử lớn hơn so với nhỏ hơn, chứ không làm phá vỡ mô hình an toàn kinh tế của Bitcoin.
Chi phí và rủi ro của chữ ký hậu lượng tử
Để hiểu tại sao blockchain không nên vội vàng triển khai chữ ký hậu lượng tử, chúng ta cần hiểu về chi phí hiệu năng và niềm tin của chúng ta vào tính an toàn hậu lượng tử vẫn đang trong quá trình phát triển.
Hầu hết mật mã hậu lượng tử dựa trên năm phương pháp chính: hàm băm, mã hóa, lưới (Lattice), đa phương trình bậc hai (MQ), đồng dạng. An toàn của bất kỳ nguyên thủy mật mã hậu lượng tử nào đều dựa trên giả định: máy tính lượng tử không thể giải quyết hiệu quả các bài toán toán học đặc thù. Mức độ “cấu trúc hóa” của bài toán càng cao, chúng ta có thể xây dựng các giao thức mật mã hiệu quả hơn. Nhưng điều này cũng có mặt trái: cấu trúc bổ sung cung cấp nhiều bề mặt tấn công hơn cho các thuật toán tấn công. Điều này tạo ra một mâu thuẫn căn bản — giả định mạnh hơn có thể mang lại hiệu suất tốt hơn, nhưng đi kèm rủi ro bảo mật tiềm tàng (giả định có thể bị bác bỏ nhiều hơn).
Nói chung, các phương pháp dựa trên hàm băm là an toàn nhất về mặt bảo mật, vì chúng ta tin rằng máy tính lượng tử không thể tấn công hiệu quả các giao thức này. Nhưng hiệu suất của chúng kém nhất. Ví dụ, chữ ký dựa trên hàm băm của NIST, ngay cả với các tham số nhỏ nhất, có kích thước khoảng 7-8 KB. Trong khi đó, chữ ký dựa trên elliptic curve ngày nay chỉ có 64 byte. Khoảng cách quy mô gấp khoảng 100 lần.
Các phương pháp dựa trên lưới là trọng tâm chính của quá trình tiêu chuẩn hóa hiện nay. NIST đã chọn ra một số giải pháp mã hóa và hai trong số ba thuật toán chữ ký dựa trên lưới. Một giải pháp lưới (ML-DSA, tiền thân của Dilithium) tạo chữ ký từ 2.4 KB (mức độ an toàn 128 bit) đến 4.6 KB (256 bit), lớn hơn khoảng 40-70 lần so với chữ ký dựa trên elliptic curve ngày nay. Giải pháp lưới Falcon có kích thước chữ ký nhỏ hơn (Falcon-512 là 666 byte, Falcon-1024 là 1.3 KB), nhưng đòi hỏi tính toán phức tạp với số phận là các phép tính floating point phức tạp, và NIST đã gọi đó là thách thức đặc biệt trong thực thi. Một trong những người sáng lập Falcon, Thomas Pornin, gọi đó là “thuật toán mật mã phức tạp nhất tôi từng thực hiện”.
So với các giải pháp dựa trên elliptic curve, các giải pháp dựa trên lưới cũng có thách thức về mặt thực thi an toàn: ML-DSA có nhiều giá trị trung gian nhạy cảm và logic từ chối mẫu số không đơn giản, cần bảo vệ chống side-channel và lỗi. Falcon còn tăng thêm các lo ngại về tính toán floating point thời gian cố định; thực tế, đã có vài cuộc tấn công side-channel thành công vào Falcon, phục hồi được khóa.
Những vấn đề này tạo ra rủi ro trực tiếp, khác xa với các mối đe dọa từ máy tính lượng tử liên quan mật mã xa vời hơn.
Việc duy trì thận trọng khi triển khai các phương pháp hậu lượng tử có hiệu năng cao hơn là hoàn toàn hợp lý. Trong quá khứ, các giải pháp tiềm năng hàng đầu như Rainbow (dựa trên MQ) và SIKE/SIDH (dựa trên đồng dạng) đều đã bị phá vỡ bằng máy tính cổ điển, chứ không phải bằng máy tính lượng tử. Các cuộc phá vỡ này xảy ra trong giai đoạn tiêu chuẩn hóa của NIST. Điều này thể hiện sự vận hành khoa học lành mạnh, nhưng cũng cho thấy việc tiêu chuẩn hóa và triển khai quá sớm có thể phản tác dụng.
Như đã đề cập, hạ tầng internet đang áp dụng cách tiếp cận thận trọng trong chuyển đổi chữ ký. Xem xét thời gian cần thiết để chuyển đổi thực tế, điều này đặc biệt đáng chú ý. Việc chuyển đổi từ MD5 và SHA-1 đã bị các tổ chức quản lý mạng từ lâu loại bỏ về mặt kỹ thuật, nhưng việc thực hiện trong hạ tầng thực tế đã mất nhiều năm, vẫn còn đang tiếp diễn trong một số môi trường. Dù các giải pháp này đã bị phá vỡ hoàn toàn, không chỉ có thể bị tấn công trong tương lai, tình hình vẫn như vậy.
Thách thức riêng của blockchain so với hạ tầng internet
May mắn thay, các blockchain do cộng đồng mã nguồn mở tích cực duy trì như Ethereum hay Solana có thể nâng cấp nhanh hơn so với hạ tầng mạng truyền thống. Ngược lại, hạ tầng mạng truyền thống hưởng lợi từ việc thay đổi khóa thường xuyên, giúp tốc độ thay đổi bề mặt tấn công nhanh hơn so với khả năng khóa của các máy lượng tử sớm nhất có thể khóa được. Đây là lợi thế của blockchain, vì các đồng tiền và khóa liên quan có thể bị lộ vô thời hạn.
Tuy nhiên, nhìn chung, blockchain vẫn nên tuân theo cách tiếp cận thận trọng của mạng trong chuyển đổi chữ ký. Cả hai đều ít bị tấn công HNDL, và bất kể khóa tồn tại bao lâu, việc chuyển đổi sớm sang các giải pháp hậu lượng tử chưa trưởng thành đều mang lại chi phí và rủi ro lớn.
Thách thức đặc thù của blockchain còn làm cho việc chuyển đổi sớm trở nên đặc biệt nguy hiểm và phức tạp: ví dụ, các yêu cầu đặc thù của blockchain về khả năng tổng hợp nhanh các chữ ký. Hiện nay, các chữ ký BLS phổ biến vì khả năng tổng hợp cực nhanh, nhưng chúng không an toàn hậu lượng tử. Các nhà nghiên cứu đang khám phá các giải pháp chữ ký hậu lượng tử dựa trên SNARKs để tổng hợp chữ ký. Công việc này có triển vọng lớn, nhưng còn trong giai đoạn sơ khai.
Cụ thể về SNARKs, cộng đồng hiện ưu tiên các cấu trúc dựa trên hàm băm như lựa chọn hậu lượng tử chính. Tuy nhiên, một bước chuyển lớn sắp tới: tôi tin rằng trong vài tháng hoặc năm tới, các giải pháp dựa trên lưới sẽ trở thành lựa chọn thay thế hấp dẫn. Các giải pháp này sẽ có hiệu năng tốt hơn nhiều so với SNARK dựa trên hàm băm, ví dụ, kích thước chứng minh sẽ ngắn hơn — tương tự như chữ ký dựa trên lưới ngắn hơn chữ ký dựa trên hàm băm.
Vấn đề lớn hơn hiện nay: an toàn thực thi
Trong vài năm tới, các lỗ hổng thực thi sẽ là rủi ro an ninh lớn hơn nhiều so với mối đe dọa từ máy tính lượng tử liên quan mật mã. Đối với các SNARKs, mối lo chính là các lỗ hổng.
Lỗ hổng đã là thách thức của các chữ ký số và giải pháp mã hóa, và SNARKs còn phức tạp hơn nhiều. Thực tế, các giải pháp chữ ký có thể xem như một dạng zkSNARK rất đơn giản để tuyên bố “tôi biết khóa riêng của tôi và tôi đã ký xác nhận này”.
Với chữ ký hậu lượng tử, rủi ro trực tiếp còn bao gồm các cuộc tấn công thực thi như side-channel và fault injection. Các cuộc tấn công này đã được ghi nhận rõ ràng, có thể trích xuất khóa từ các hệ thống đã triển khai. Chúng tạo ra mối đe dọa cấp bách hơn nhiều so với các mối đe dọa từ máy tính lượng tử xa vời.
Cộng đồng sẽ dành nhiều năm để phát hiện và sửa các lỗ hổng trong SNARKs, cũng như củng cố các giải pháp chữ ký hậu lượng tử để chống side-channel và fault injection. Vì các giải pháp SNARK hậu lượng tử và tổng hợp chữ ký vẫn chưa hoàn thiện, việc chuyển đổi quá sớm có thể khiến các blockchain tự khóa mình trong các giải pháp kém tối ưu hơn. Khi các lựa chọn tốt hơn xuất hiện hoặc các lỗ hổng thực thi được phát hiện, chúng có thể phải chuyển đổi lần nữa.
Chúng ta nên làm gì? Bảy khuyến nghị
Với các thực tế đã trình bày, tôi sẽ tóm tắt một số khuyến nghị cho các bên liên quan. Nguyên tắc chung là: nghiêm túc đối mặt với mối đe dọa lượng tử, nhưng không hành động dựa trên giả định rằng máy tính lượng tử liên quan đến mật mã sẽ xuất hiện trước 2030. Hiện tại, tiến bộ chưa ủng hộ giả định này, nhưng chúng ta vẫn còn những việc có thể và nên làm:
Chúng ta nên ngay lập tức triển khai mã hóa hỗn hợp, hoặc ít nhất ở những nơi cần giữ bí mật lâu dài và chi phí chấp nhận được. Nhiều trình duyệt, CDN và ứng dụng nhắn tin (như iMessage và Signal) đã triển khai các phương pháp hỗn hợp này. Phương pháp hỗn hợp (hậu lượng tử + cổ điển) vừa chống HNDL, vừa giảm thiểu các điểm yếu tiềm năng của các giải pháp hậu lượng tử.
Trong phạm vi chấp nhận được về quy mô, ngay lập tức sử dụng chữ ký dựa trên hàm băm. Các cập nhật phần mềm/firmware và các kịch bản ít tần suất, không nhạy cảm về quy mô, hiện đã nên áp dụng chữ ký dựa trên hàm băm hỗn hợp. (Việc dùng hỗn hợp nhằm phòng ngừa các lỗ hổng thực thi mới trong các giải pháp mới, chứ không phải vì nghi ngờ tính an toàn của hàm băm.) Phương pháp này bảo thủ, và cung cấp cho xã hội một “thuyền cứu sinh” rõ ràng trong trường hợp máy tính lượng tử liên quan đến mật mã xuất hiện sớm hơn dự kiến. Nếu không có phần mềm cập nhật hậu lượng tử đã sẵn sàng, khi CRQC xuất hiện, chúng ta sẽ đối mặt với vấn đề tự nâng đỡ: không thể phân phối an toàn các bản vá hậu lượng tử để chống lại nó.
Blockchain không cần vội vàng triển khai chữ ký hậu lượng tử, nhưng nên bắt đầu lập kế hoạch ngay bây giờ. Các nhà phát triển blockchain nên theo cách tiếp cận thận trọng của cộng đồng PKI mạng, để triển khai chữ ký hậu lượng tử một cách cẩn trọng. Điều này giúp các giải pháp hậu lượng tử phát triển liên tục về hiệu năng và độ an toàn, đồng thời cho phép các nhà phát triển tái cấu trúc hệ thống để xử lý các chữ ký lớn hơn và phát triển các kỹ thuật tổng hợp tốt hơn.
Đối với Bitcoin và các Layer 1 khác: cộng đồng cần xác định lộ trình và chính sách chuyển đổi các khoản tiền dễ bị tấn công lượng tử bị bỏ đi. Chuyển đổi thụ động là không thể, nên lập kế hoạch là điều tối quan trọng. Hơn nữa, do Bitcoin đối mặt với các thách thức phi kỹ thuật như quản trị chậm và số lượng lớn địa chỉ dễ bị bỏ đi, việc bắt đầu lập kế hoạch ngay bây giờ càng trở nên đặc biệt quan trọng.
Trong khi đó, chúng ta cần tiếp tục nghiên cứu về SNARKs hậu lượng tử và các chữ ký có thể tổng hợp (có thể mất vài năm nữa). Nhắc lại, chuyển đổi sớm có thể khóa chúng ta trong các giải pháp kém tối ưu hoặc phải thực hiện lần thứ hai khi các lỗ hổng thực thi được phát hiện.
Về mô hình tài khoản của Ethereum: Ethereum hỗ trợ hai loại tài khoản (tài khoản ngoài chủ sở hữu EOA do secp256k1 kiểm soát; và ví hợp đồng thông minh có logic ủy quyền có thể lập trình), điều này ảnh hưởng đến quá trình chuyển đổi hậu lượng tử. Trong trường hợp không khẩn cấp, nếu Ethereum bổ sung hỗ trợ chữ ký hậu lượng tử, các ví hợp đồng có thể nâng cấp để chuyển sang xác thực hậu lượng tử qua nâng cấp hợp đồng; còn EOA có thể cần chuyển sang địa chỉ an toàn hậu lượng tử mới (mặc dù Ethereum cũng có thể cung cấp cơ chế chuyển đổi riêng cho EOA). Trong tình huống khẩn cấp, các nhà nghiên cứu Ethereum đề xuất kế hoạch hard fork, đóng băng các tài khoản dễ bị tấn công, và cho phép người dùng khôi phục tiền bằng cách chứng minh biết mnemonic qua zkSNARK hậu lượng tử. Cơ chế này sẽ áp dụng cho cả EOA và các ví hợp đồng chưa nâng cấp.
Ảnh hưởng thực tế đến người dùng: ví hợp đồng thông minh có thể nâng cấp, được kiểm toán tốt, có thể cung cấp lộ trình chuyển đổi mượt mà hơn, nhưng không nhiều hơn, và cần cân nhắc giữa niềm tin vào nhà cung cấp ví và khả năng nâng cấp. Quan trọng hơn là cộng đồng Ethereum cần tiếp tục phát triển nguyên thủy hậu lượng tử và các kế hoạch ứng phó khẩn cấp.
Các gợi ý thiết kế rộng hơn cho các nhà xây dựng: nhiều blockchain ngày nay liên kết chặt chẽ danh tính tài khoản với các nguyên thủy mật mã cụ thể — như Bitcoin và Ethereum dựa trên ECDSA secp256k1, các chuỗi khác dựa trên EdDSA. Thách thức chuyển đổi hậu lượng tử nhấn mạnh giá trị của việc tách biệt danh tính tài khoản khỏi bất kỳ giải pháp chữ ký nào. Sự phát triển của Ethereum hướng tới các tài khoản thông minh và các nỗ lực tương tự trên các chuỗi khác phản ánh xu hướng này: cho phép tài khoản nâng cấp logic xác thực mà không phải từ bỏ lịch sử và trạng thái của chuỗi. Việc tách biệt này không làm cho chuyển đổi hậu lượng tử dễ dàng hơn, nhưng mang lại sự linh hoạt lớn hơn so với việc cố định tài khoản vào một giải pháp chữ ký duy nhất. (Điều này cũng cho phép các chức năng không liên quan như ủy quyền giao dịch, khôi phục xã hội, đa chữ ký).
Đối với các chuỗi riêng tư hoặc mã hóa giao dịch để che giấu chi tiết, nếu hiệu năng chấp nhận được, nên ưu tiên chuyển đổi sớm. Các chuỗi này hiện đối mặt với mối đe dọa HNDL, mặc dù mức độ nghiêm trọng khác nhau tùy thiết kế. Chuỗi hoàn toàn có thể truy ngược dựa trên sổ cái công khai là rủi ro cấp bách nhất. Nên xem xét áp dụng các giải pháp hỗn hợp (hậu lượng tử + cổ điển) để phòng ngừa các giải pháp hậu lượng tử có thể không an toàn ngay cả trong tính toán cổ điển; hoặc thay đổi kiến trúc để tránh để bí mật có thể giải mã được trên chuỗi.
Trong ngắn hạn, ưu tiên là đảm bảo an toàn thực thi hơn là giảm thiểu mối đe dọa lượng tử. Đặc biệt đối với các nguyên thủy phức tạp như SNARKs và chữ ký hậu lượng tử, trong nhiều năm tới, các lỗ hổng và tấn công thực thi (side-channel, fault injection) sẽ gây ra rủi ro lớn hơn nhiều so với mối đe dọa từ máy tính lượng tử. Hiện tại, cần tập trung vào kiểm tra, thử nghiệm mờ, xác thực hình thức và các phương pháp phòng thủ phân lớp, chứ đừng để các lo ngại về lượng tử làm lu mờ các lỗ hổng thực tế.
Hỗ trợ phát triển máy tính lượng tử
Một bài học an ninh quốc gia quan trọng từ các luận điểm trên là chúng ta cần duy trì tài trợ cho nghiên cứu lượng tử và đào tạo nhân lực liên quan. Nếu bất kỳ quốc gia nào đạt được khả năng máy tính lượng tử liên quan mật mã, điều đó sẽ gây ra rủi ro an ninh quốc gia toàn cầu.
Nhận thức rõ các thông báo về lượng tử
Khi phần cứng lượng tử ngày càng trưởng thành, trong vài năm tới sẽ có nhiều cột mốc quan trọng. Ngược lại, chính tần suất các thông báo này lại chứng minh chúng ta còn xa mới có máy tính lượng tử liên quan mật mã: mỗi cột mốc đều là một trong nhiều cầu cần vượt qua trước khi đạt mục tiêu, và mỗi cầu này đều sẽ gây ra các tiêu đề và sự phấn khích. Các thông cáo báo chí nên được xem như các báo cáo tiến trình cần đánh giá cẩn thận, chứ không phải là các chỉ dẫn hành động vội vàng.
Tất nhiên, có thể có các tiến bộ hoặc đổi mới làm rút ngắn thời gian dự kiến, hoặc các trở ngại kéo dài hơn dự kiến. Tôi không khẳng định rằng trong 5 năm tới sẽ hoàn toàn không thể có máy tính lượng tử liên quan mật mã, chỉ là xác suất rất thấp. Các khuyến nghị trên giúp ứng phó hiệu quả với sự không chắc chắn này, tránh các rủi ro trực tiếp và dễ xảy ra hơn như lỗ hổng thực thi, triển khai vội vàng và chuyển đổi mật mã không đúng cách.
