Góc nhìn của một kỹ sư mật mã về mốc thời gian của điện toán lượng tử

 (words.filippo.io)
6 điểm bởi GN⁺ 16 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Các kết quả nghiên cứu gần đây cho thấy khả năng xuất hiện máy tính lượng tử có ý nghĩa về mặt mật mã (CRQC) có thể được đẩy sớm lên trong vòng vài năm tới, khiến tính cấp bách của việc triển khai mật mã hậu lượng tử (PQC) tăng vọt
  • Nghiên cứu của Google và Oratomic cho thấy nguồn lực cần thiết để tấn công đường cong elliptic 256 bit đã giảm xuống, xác nhận xu hướng hiệu năng phần cứng và hiệu quả thuật toán đang cải thiện nhanh chóng
  • Các chuyên gia đưa ra năm 2029 là thời hạn chót cho việc di trú sang PQC, đồng thời cảnh báo rằng hiện nay chúng ta đã bước vào “giai đoạn đe dọa không thể phủ nhận”
  • Các biện pháp ứng phó được đề xuất gồm triển khai ngay ML-DSA và ML-KEM, loại bỏ dần các hệ thống không phải PQ, và không dùng xác thực lai
  • Kết luận, CRQC không còn là giả định mà là một rủi ro thực tế, và việc chuyển đổi hoàn toàn sang PQC trước năm 2029 là bắt buộc

Góc nhìn của một kỹ sư mật mã về mốc thời gian của điện toán lượng tử

  • Tính cấp bách của việc triển khai mật mã hậu lượng tử (PQC) gần đây đã tăng mạnh
    • Chỉ vài tháng trước, nhiều người vẫn cho rằng còn thời gian, nhưng các kết quả nghiên cứu mới đã khiến tình hình thay đổi nhanh chóng
    • Đã xuất hiện tín hiệu cho thấy khả năng máy tính lượng tử có ý nghĩa về mặt mật mã (CRQC) ra đời có thể được đẩy sớm lên trong vòng vài năm tới

Hai kết quả nghiên cứu mới được công bố gần đây

  • Nhóm nghiên cứu của Google đã công bố một bài báo cho thấy có thể giảm đáng kể số qubit logic và số cổng cần thiết để phá đường cong elliptic 256 bit (NIST P-256, secp256k1, v.v.)
    • Với kiến trúc xung nhịp nhanh dựa trên qubit siêu dẫn, họ đưa ra tính toán rằng cuộc tấn công có thể thực hiện chỉ trong vài phút
    • Dù bài báo được viết trong bối cảnh tiền mã hóa, trên thực tế nó còn mang ý nghĩa nghiêm trọng hơn đối với tấn công người trung gian vào WebPKI
  • Nhóm nghiên cứu Oratomic đưa ra một kịch bản phá đường cong elliptic 256 bit chỉ với 10.000 qubit vật lý trên hệ thống nguyên tử trung hòa có kết nối phi cục bộ (non-local connectivity)
    • Tốc độ chậm hơn, nhưng nếu khóa có thể bị phá chỉ một lần mỗi tháng thì vẫn có thể dẫn đến hậu quả thảm khốc
  • Cả hai nghiên cứu đều cho thấy cùng một xu hướng: hiệu năng phần cứng tăng lên, hiệu quả thuật toán được cải thiện, và yêu cầu sửa lỗi giảm xuống

Cảnh báo từ chuyên gia và sự thay đổi về mốc thời gian

  • Heather AdkinsSophie Schmieg của Google cho rằng “ranh giới lượng tử gần hơn rất nhiều so với dự kiến” và đưa ra năm 2029 là thời hạn chót cho việc di trú
    • Đây là mốc chỉ còn 33 tháng, là lịch trình quyết liệt nhất từng được đưa ra cho đến nay
  • Scott Aaronson ví tình hình này với “giai đoạn nghiên cứu phân hạch bị dừng công khai vào năm 1939~1940”, đồng thời cảnh báo về khả năng đã có những bước tiến đột phá chưa được công bố
  • Lịch trình được đưa ra tại RWPQC 2026 cũng đã lỗi thời chỉ sau vài tuần, và câu đùa “máy tính lượng tử thì lúc nào cũng còn 10 năm nữa” không còn đúng nữa
  • Thông điệp chung từ các chuyên gia là: “đây là giai đoạn đe dọa không thể phủ nhận

Nhận diện rủi ro và nhu cầu ứng phó

  • Câu hỏi cốt lõi không phải là “liệu đến năm 2030 CRQC có tồn tại hay không?” mà là “bạn có chắc rằng đến năm 2030 sẽ không có CRQC không?
    • Với trách nhiệm bảo vệ an toàn cho người dùng, ngay cả xác suất dưới 1% cũng không thể bị phớt lờ
  • Sự hoài nghi kiểu “vẫn còn xa lắm” được xem là dấu hiệu thiếu chuyên môn
    • Scott Aaronson ví rằng sau khi đã hiểu về khả năng chịu lỗi lượng tử, việc hỏi “bao giờ thì phân tích được 35 thành thừa số?” cũng giống như hỏi một nhà vật lý của Dự án Manhattan năm 1943 rằng “bao giờ thì tạo ra được một vụ nổ hạt nhân nhỏ?”
  • Dự đoán có thể vẫn sai, nhưng giờ đây khả năng đúng quan trọng hơn khả năng sai, và mức rủi ro ở thời điểm hiện tại là không thể chấp nhận được

Việc cần làm ngay bây giờ

  • Cần triển khai ngay (Ship Now)
    • Dù chưa hoàn hảo, PQC hiện đã có thể dùng cần được áp dụng ngay lập tức
    • Chữ ký ML-DSA nên được dùng thay cho ECDSA hiện tại, và Merkle Tree Certificates cho WebPKI đã tiến triển đủ xa
  • Trước đây người ta cho rằng “vẫn còn thời gian để điều chỉnh giao thức theo kích thước chữ ký”, nhưng với hạn chót năm 2029 thì không còn dư địa nữa

Chuyển đổi hệ thống trao đổi khóa và xác thực

  • Trao đổi khóa PQ dựa trên ML-KEM đang tiến triển thuận lợi, nhưng vẫn cần các bước tiếp theo
    1. Trao đổi khóa không phải PQ phải được xem ngay là rủi ro trước tấn công chủ động, và cần cảnh báo người dùng như OpenSSH đang làm
    2. Trao đổi khóa không tương tác (NIKE) nên tạm thời bị loại bỏ, chỉ nên dùng cơ chế xác thực một chiều dựa trên KEM

  • Cấm triển khai các hệ mật mã mới không phải PQ

    • ECDSA, pairing, mật mã dựa trên định danh và các hệ tương tự không còn thực tế nữa
    • Xác thực lai (cổ điển + PQ) là không cần thiết, và nên chuyển sang ML-DSA-44 thuần túy
    • Chữ ký lai chỉ làm tăng độ phức tạp và lãng phí thời gian; khả năng CRQC xuất hiện cao hơn khả năng ML-DSA bị phá bằng phương pháp cổ điển
    • Tuy nhiên, với các giao thức vốn đã hỗ trợ cấu trúc đa chữ ký, vẫn có thể ngoại lệ dùng chữ ký lai đơn giản kiểu “2-of-2”

Mật mã đối xứng và thuật toán Grover

  • Không cần thay đổi mật mã đối xứng

    • Do cách diễn giải quá đơn giản về thuật toán Grover, đã xuất hiện hiểu lầm rằng “cần khóa 256 bit”
    • Thực tế, khóa 128 bit vẫn đủ, và mức tăng tốc lượng tử của Grover không thể song song hóa
    • Việc áp đặt yêu cầu 256 bit không cần thiết có nguy cơ làm giảm khả năng tương tác và trì hoãn quá trình chuyển đổi sang PQC

Ảnh hưởng đến hệ sinh thái phần mềm và phần cứng

  • Hơn một nửa thư viện chuẩn của Go có khả năng sớm rơi vào trạng thái không an toàn
    • Cân bằng giữa tấn công hạ cấptương thích ngược sẽ trở thành bài toán mới
    • Dự kiến mức hỗn loạn sẽ còn lớn hơn nhiều so với quá trình chuyển đổi từ SHA-1 sang SHA-256

  • TEE (môi trường thực thi tin cậy) — như Intel SGX, AMD SEV-SNP — không còn đáng tin vì không hỗ trợ khóa PQ

    • Do giới hạn tốc độ ở cấp phần cứng, không thể chuyển đổi sang PQ, nên cần hạ chúng xuống mức chỉ còn là “phòng thủ theo chiều sâu (defense in depth)”

Hệ sinh thái dựa trên mật mã và mã hóa tệp

  • Các hệ thống định danh dựa trên mật mã** (ví dụ: atproto, tiền mã hóa, v.v.)** cần bắt đầu di trú ngay lập tức

    • Nếu không hoàn tất trước khi CRQC xuất hiện, sẽ rơi vào tình huống phải chọn giữa việc làm tổn hại người dùng hoặc hủy bỏ tài khoản
    • Mã hóa tệp đặc biệt dễ bị tấn công kiểu “lưu bây giờ, giải mã sau (store-now-decrypt-later)”
    • Dự kiến sẽ bổ sung chức năng cảnh báo và chặn đối với kiểu người nhận age không phải PQ
    • Người nhận PQ lần đầu được giới thiệu trong age phiên bản 1.3.0

Giáo dục và chuyển giao thế hệ

  • Trong khóa học tiến sĩ mật mã học tại Đại học Bologna, RSA, ECDSA, ECDH chỉ còn được giảng như các thuật toán di sản
    • Sinh viên sẽ tiếp cận chúng như “công nghệ của quá khứ” trong sự nghiệp thực tế
    • Điều này tượng trưng cho việc chuyển đổi sang PQC là một bước ngoặt mang tính thế hệ

Tài trợ và duy trì mã nguồn mở

  • Geomys là tổ chức bảo trì chuyên nghiệp cho hệ sinh thái Go, hoạt động nhờ tài trợ từ Ava Labs, Teleport, Tailscale, Sentry
    • Họ hỗ trợ duy trì bền vững và bảo đảm an toàn cho các giao thức mật mã mã nguồn mở
    • Teleport nhấn mạnh tăng cường kiểm soát truy cập để chống chiếm đoạt tài khoản và lừa đảo, còn Ava Labs nhấn mạnh bảo đảm độ tin cậy dài hạn cho các giao thức mật mã blockchain

Kết luận

  • Khả năng xuất hiện CRQC không còn là giả định mà là một rủi ro thực tế
  • Việc chuyển đổi hoàn toàn sang PQC trước năm 2029 là bắt buộc
  • Cần triển khai ngay ML-KEM và ML-DSA, đồng thời loại bỏ dần các hệ thống không phải PQ
  • Cả người làm thực hành mật mã lẫn người ra quyết định đều phải hành động ngay từ bây giờ

Bài viết liên quan

1 bình luận

 
GN⁺ 16 ngày trước
Ý kiến trên Hacker News

  • Nếu thời điểm máy tính lượng tử trở nên thực dụng đã ở rất gần, thì nên ưu tiên áp dụng FIPS 203 (ML-KEM) cho trao đổi khóa phiên của các giao thức như TLS hay SSH
    ML-KEM dự kiến sẽ thay thế Diffie-Hellman hiện tại (cả dạng cổ điển lẫn đường cong elliptic)
    Nếu không dùng nó, kẻ tấn công có thể lưu dữ liệu từ bây giờ rồi giải mã về sau
    Ngược lại, chứng chỉ hay chữ ký số không thể bị quay ngược thời gian để giả mạo, nên mức độ khẩn cấp thấp hơn
    Tuy vậy, trong các trường hợp việc giả mạo vẫn có ý nghĩa như tài liệu số có hiệu lực pháp lý, vẫn cần các phương thức ký an toàn trong tương lai
    Các thư viện lớn như OpenSSH, OpenSSL đã hỗ trợ ML-KEM, nên ở cấp độ máy chủ cá nhân có thể triển khai khá dễ mà không cần thay đổi hệ thống xác thực

    • Đến năm ngoái tôi cũng có cùng quan điểm đó, và đó là đồng thuận chung của cả ngành
      Nhưng mốc thời gian có thể bị đẩy từ 2035 lên 2029, nên đã đến lúc phải tiến hành cả việc chuyển đổi hệ thống xác thực song song
      Việc triển khai ML-KEM đã diễn ra khá tốt, nhưng giờ đây cần coi trao đổi khóa phi lượng tử là một rủi ro tiềm tàng
      Tức là, nếu có dữ liệu được lưu giữ hơn 3 năm thì nên xem đó ở mức cảnh báo
    • Điểm quan trọng là không nên thay thế hoàn toàn Diffie-Hellman hiện tại, mà nên dùng trao đổi khóa lai song song
      Làm vậy thì muốn tấn công phải phá được cả mật mã cổ điển lẫn mật mã kháng lượng tử
      ML-KEM cũng là thuật toán mới nên vẫn có nguy cơ bị phá, vì thế mô hình lai là biện pháp phòng thủ thực tế
      Các chuyên gia như Dan Bernstein (djb) cũng nhấn mạnh rằng không dùng hybrid là một lựa chọn vô trách nhiệm
    • Trên thực tế, các tài liệu pháp lý hay dấu thời gian mật mã đã được ký bằng RSA hoặc EC
      Trong các trường hợp này, để ngăn giả mạo trong tương lai, cần chuyển sang chữ ký kháng lượng tử

  • Cuộc thảo luận này có cảm giác phi tuyến tính
    Với RSA, độ khó từng tăng dần kiểu 8 bit, 64 bit, 256 bit, nhưng máy tính lượng tử suốt 10 năm qua vẫn không có tiến triển nào với RSA hay EC
    Thế mà giờ lại nói chỉ vài năm nữa có thể phá toàn bộ mật mã khóa công khai thì nghe khá lạ
    Thực tế, trước khi thấy họ phá được dù chỉ RSA-256 trong phòng thí nghiệm, tôi khó mà kết luận vội

    • Nếu đọc bài của Bas Westerbaanbình luận của Scott Aaronson, thì cốt lõi nằm ở sửa lỗi (error correction)
      Một khi làm được điều đó, việc đi từ RSA 32 bit lên RSA 2048 bit không còn khác biệt quá lớn
      Giống như khi phản ứng dây chuyền hạt nhân đã có thể tự duy trì, thì việc tăng kích cỡ quả bom không còn là chuyện quá khó
      Đó là lý do các chuyên gia nói tiến độ có thể đến rất nhanh
    • Trên thực tế, trong 10 năm qua, độ chính xác của cổng và số lượng qubit đã tăng lên hàng chục lần, và hiệu quả sửa lỗi cũng cải thiện mạnh
      Tiến bộ trong 4 năm gần đây của lĩnh vực này là bùng nổ
    • Ý chính của bài viết là trao đổi khóa công khai đang gặp rủi ro, chứ không phải bản thân mã hóa đối xứng sau đó cũng nguy hiểm
    • Tham khảo thêm: cho đến nay, số lớn nhất từng được phân tích thừa số bằng máy tính lượng tử là 21

  • Tôi thấy đây là một bài viết hay
    Điều gây ấn tượng là việc chuẩn hóa bộ nhận HPKE hybrid đã mất tới 2 năm vì CFRG bị chậm trễ
    IETF cần tự nhìn lại vấn đề quy trình kiểu này ở bên trong

    • Tôi cho rằng lập luận chống hybrid trong bài là sai
      Dù CRQC có tồn tại ngay bây giờ, thuật toán hybrid vẫn đẩy chi phí tấn công lên tối thiểu cỡ 1 triệu USD
      Xét việc một số ứng viên vòng 3 của PQC từng có thể bị phá chỉ bằng laptop, thì như vậy vẫn tốt hơn rất nhiều
    • Tiếc là tôi không gặp bạn ở cuộc họp CRFG gần đây

  • Bài viết này khiến tôi phần nào thay đổi quan điểm “máy tính lượng tử vẫn còn xa và RSA vẫn ổn”
    Cảm ơn vì đã giải thích rủi ro một cách thực tế để cả những người hoài nghi cũng có thể hiểu

    • Câu nói của Scott Aaronson đặc biệt gây ấn tượng
      Phép so sánh rằng “nếu đã hiểu khả năng chịu lỗi lượng tử, thì việc hỏi ‘bao giờ các anh phân tích được 35’ cũng giống như hỏi các nhà khoa học của Dự án Manhattan năm 1943 rằng ‘bao giờ các anh tạo được một vụ nổ hạt nhân nhỏ’” đã hoàn toàn thay đổi cách tôi nhìn nhận vấn đề

  • Lập luận đòi bỏ khóa hybrid là rất nguy hiểm
    Các thuật toán mới vẫn chưa được kiểm chứng đủ trong thực chiến, nên chỉ một lỗi đơn giản cũng có thể gây thiệt hại trên diện rộng

  • Điện toán lượng tử cũng có thể được dùng để tăng tốc huấn luyện LLM, nên việc Google đầu tư vào đây là hợp lý
    Google và SoftBank đã đầu tư 230 triệu USD vào năm ngoái, còn Microsoft, IBM và Google đã chi tổng cộng 15 tỷ USD trong 20 năm qua
    Nhưng nếu nhìn vào khoản đầu tư trung tâm dữ liệu hằng năm của Google là 150 tỷ USD, thì đây cũng có thể là tín hiệu cho thấy việc ứng dụng thực tiễn vẫn còn xa

  • Khả năng chính phủ đang phát triển siêu máy tính để phá mật mã là hoàn toàn có thể
    Giống như Dự án Manhattan, nguyên lý thì đã được biết và chỉ còn lại bài toán kỹ thuật
    Chính phủ rất giỏi gom tiền, nên biết đâu họ thực sự đang làm điều đó

    • Khi đó, bom uranium (Little Boy) có cấu trúc đủ đơn giản để người ta tin rằng sẽ thành công ngay cả không cần thử nghiệm
      Ngược lại, bom plutonium (Fat Man) phức tạp hơn nhiều nhưng hiệu quả hơn, và trở thành nền tảng của công nghệ tên lửa hạt nhân
      Thiết kế của Little BoyFat Man đến giờ nhìn lại vẫn rất thú vị
    • Máy tính lượng tử giống như zero-day tối thượng
      Đây là công nghệ được tích trữ cho thời điểm quyết định, chứ không phải dùng ngay lập tức
    • Tôi thấy khó tin rằng chính phủ lại không phát triển công nghệ này trong bí mật
      Chẳng hạn đã từng có những trường hợp như XKeyscore
    • Tuy nhiên, Dự án Manhattan là một siêu dự án công nghiệp có sự tham gia của tỷ lệ đáng kể dân số Mỹ
      Một cuộc huy động ở quy mô như vậy có lẽ sẽ rất khó lặp lại

  • Đọc bài này xong tôi càng thấy rõ tầm quan trọng của mã hóa đối xứng
    Trước khi PQE hoàn toàn ổn định, một số hệ thống quan trọng có thể được bổ sung bằng mật mã đối xứng dựa trên khóa chia sẻ trước (PSK)
    Ví dụ, nếu vận hành WireGuard VPN với PSK thì dù phải phân phối khóa thủ công, lưu lượng bị thu thập cũng sẽ trở nên vô nghĩa
    Cách tiếp cận này không có khả năng mở rộng, nhưng có thể là một lớp bảo mật thực tế có thể áp dụng ngay
    Cuối cùng PQE vẫn là phương án tốt nhất, nhưng vì toán học và hệ thống mới vẫn chưa được kiểm chứng đủ nên cần chuẩn bị song song

  • Tôi không hiểu vì sao tác giả lại khăng khăng với AES-128
    AES-256 gần như không khác về chi phí, và cũng an toàn hơn trước các cuộc tấn công store-now-decrypt-later
    Tiêu chuẩn ngành khuyến nghị khóa 256 bit, nên cứ làm theo vậy là được
    Các công cụ như Age cũng nên mặc định dùng khóa tệp 256 bit

    • Tuy vậy, NIST và BSI đều nêu rõ AES-128, 196, 256 đều an toàn cả trong thời kỳ hậu lượng tử
      Việc AES-128 là đủ an toàn là đồng thuận chung của ngành
      Không có kịch bản nào mà CRQC trở thành mối đe dọa với mật mã đối xứng
    • Tác giả cũng đã nói rất rõ rằng AES-128 hiện không phải rủi ro cấp bách
      Nếu ép chuyển ngay sang 256 thì ngược lại có thể làm phân tán sự chú ý khỏi các đợt chuyển đổi thực sự quan trọng

  • Điện toán lượng tử có vẻ như dựa trên rối lượng tử (entanglement) để tạo ra hiệu ứng nhanh hơn ánh sáng, nhưng trên thực tế nó không vi phạm các định luật vật lý
    Vì vậy, thay vì xem là chuyện viễn tưởng, đúng hơn nên coi đây là một thách thức kỹ thuật cực kỳ khó