Năm năm, mười năm hay lâu hơn? Đánh giá dòng thời gian về mối đe dọa từ máy tính lượng tử

Tác giả gốc: Justin Thaler (@SuccinctJT), Đối tác nghiên cứu a16z

Biên dịch gốc: AididiaoJP, Foresight News

Khi nào máy tính lượng tử có thể phá vỡ mật mã? Dòng thời gian cho câu hỏi này thường bị phóng đại, dẫn đến những lời kêu gọi "chuyển đổi khẩn cấp và toàn diện sang mật mã hậu lượng tử".

Tuy nhiên, những lời kêu gọi này thường bỏ qua chi phí và rủi ro của việc di chuyển quá sớm, cũng như bỏ qua bản chất đe dọa khác biệt rõ rệt của các công cụ mật mã khác nhau:

• Mã hóa hậu lượng tử cần được triển khai ngay lập tức, dù chi phí cao đến đâu cũng phải thực hiện. Bởi vì các cuộc tấn công "đánh cắp bây giờ, giải mã trong tương lai" đã tồn tại. Dữ liệu nhạy cảm được mã hóa ngày hôm nay, ngay cả khi máy tính lượng tử xuất hiện sau vài thập kỷ, vẫn có giá trị lớn. Mặc dù mã hóa hậu lượng tử có tổn thất hiệu suất và rủi ro triển khai, nhưng đối với dữ liệu cần bảo mật lâu dài, chúng ta không có lựa chọn nào khác.
• Chữ ký số hậu lượng tử lại là một câu chuyện khác. Chúng ít bị ảnh hưởng bởi các cuộc tấn công "lưu trữ để giải mã" nêu trên, và chi phí cùng rủi ro của chúng (kích thước lớn hơn, chi phí hiệu suất, các giải pháp chưa trưởng thành, lỗ hổng tiềm ẩn) đòi hỏi sự lập kế hoạch thận trọng hơn là hành động ngay lập tức.

Việc phân biệt điểm này là rất quan trọng. Hiểu lầm sẽ làm sai lệch phân tích chi phí - lợi ích, khiến các nhóm bỏ qua các rủi ro bảo mật cấp bách hơn như lỗ hổng phần mềm.

Thách thức thực sự của việc chuyển đổi thành công sang mật mã hậu lượng tử nằm ở việc phù hợp tính cấp bách của hành động với mối đe dọa thực tế. Phần dưới đây sẽ làm rõ những hiểu lầm phổ biến về mối đe dọa của máy tính lượng tử đối với mật mã, bao gồm mã hóa, chữ ký và bằng chứng không tiết lộ thông tin (zero-knowledge proof), đồng thời tập trung đặc biệt vào ý nghĩa của nó đối với blockchain.

Dòng thời gian: Chúng ta còn bao xa để có một máy tính lượng tử có thể phá vỡ công nghệ mã hóa?

Mặc dù không thiếu những tuyên bố cường điệu, nhưng khả năng xuất hiện "máy tính lượng tử liên quan đến mật mã" trong thập niên 2020 là cực kỳ thấp.

Khi nói đến "máy tính lượng tử liên quan đến mật mã", tôi muốn nói đến một máy tính lượng tử chịu lỗi, sửa lỗi, có thể chạy thuật toán Shor, với quy mô đủ lớn để phá vỡ mật mã đường cong elliptic (như secp256k1) hoặc RSA (như RSA-2048) trong thời gian hợp lý (ví dụ: tính toán liên tục không quá một tháng).

Dựa trên các cột mốc kỹ thuật và đánh giá nguồn lực được công bố, chúng ta vẫn còn rất xa để có một máy tính như vậy. Mặc dù một số công ty tuyên bố có thể đạt được điều này trước năm 2030 hoặc thậm chí 2035, nhưng những tiến bộ đã biết không ủng hộ những tuyên bố này.

Hiện tại, không có nền tảng tính toán lượng tử nào, dù là ion bẫy, qubit siêu dẫn hay hệ thống nguyên tử trung hòa, có thể tiếp cận được hàng trăm nghìn hoặc thậm chí hàng triệu qubit vật lý cần thiết để phá vỡ RSA-2048 hoặc secp256k1 (số lượng cụ thể phụ thuộc vào tỷ lệ lỗi và phương án sửa lỗi).

Nút thắt không chỉ là số lượng qubit, mà còn là độ trung thực của cổng (gate fidelity), khả năng kết nối giữa các qubit, và độ sâu của mạch sửa lỗi liên tục cần thiết để chạy các thuật toán lượng tử sâu. Một số hệ thống gần đây đã có số lượng qubit vật lý vượt quá 1000, nhưng chỉ con số này là gây hiểu lầm: chúng thiếu khả năng kết nối và độ trung thực cần thiết cho tính toán mật mã.

Mặc dù các hệ thống gần đây đang tiến gần đến ngưỡng tỷ lệ lỗi vật lý cần thiết cho việc sửa lỗi lượng tử, nhưng cho đến nay chưa ai có thể ổn định vận hành hơn một vài qubit logic, chưa nói đến hàng nghìn qubit logic chịu lỗi, có độ trung thực cao và mạch sâu cần thiết để chạy thuật toán Shor. Khoảng cách từ bằng chứng nguyên lý đến việc đạt được quy mô cần thiết cho phân tích mật mã vẫn còn rất lớn.

Tóm lại: Một máy tính lượng tử liên quan đến mật mã vẫn còn rất xa vời cho đến khi số lượng qubit và độ trung thực được cải thiện lên nhiều bậc độ lớn.

Tuy nhiên, các thông cáo báo chí của doanh nghiệp và các bài báo thường gây nhầm lẫn. Những điểm gây nhầm lẫn chính bao gồm:

1. Trình diễn "ưu thế lượng tử": Các nhiệm vụ được trình diễn hiện tại chủ yếu được thiết kế cẩn thận, không thực sự hữu ích, chỉ vì chúng có thể chạy trên phần cứng hiện có và "có vẻ" nhanh. Điểm này thường bị làm nhẹ trong tuyên truyền.
2. Tuyên bố "hàng nghìn qubit vật lý": Điều này thường đề cập đến máy ủ lượng tử (quantum annealer), chứ không phải máy tính lượng tử mô hình cổng (gate-model quantum computer) có thể chạy thuật toán Shor để tấn công mật mã khóa công khai.
3. Lạm dụng thuật ngữ "qubit logic": Qubit vật lý có nhiễu, các thuật toán thực tế cần "qubit logic" được tạo thành từ nhiều qubit vật lý thông qua sửa lỗi. Chạy thuật toán Shor cần hàng nghìn qubit logic như vậy, mỗi qubit thường cần hàng trăm đến hàng nghìn qubit vật lý. Tuy nhiên, một số công ty phóng đại, ví dụ gần đây có tuyên bố sử dụng mã sửa lỗi "khoảng cách-2" (chỉ có thể phát hiện lỗi, không thể sửa lỗi) để đạt được 48 qubit logic với chỉ 2 qubit vật lý mỗi qubit logic, điều này là vô nghĩa.
4. Lộ trình gây hiểu lầm: "Qubit logic" trong nhiều lộ trình chỉ hỗ trợ "thao tác Clifford", những thao tác này có thể được mô phỏng hiệu quả bởi máy tính cổ điển, không đủ để chạy thuật toán Shor cần nhiều "cổng không Clifford" (như cổng T). Do đó, ngay cả khi một lộ trình tuyên bố "đạt được hàng nghìn qubit logic vào năm X", điều đó không có nghĩa là công ty đó dự đoán có thể phá vỡ mật mã cổ điển vào thời điểm đó.

Những thực hành này làm sai lệch nghiêm trọng nhận thức của công chúng (bao gồm cả những người quan sát có kinh nghiệm) về tiến độ tính toán lượng tử.

Tất nhiên, tiến bộ thực sự rất thú vị. Ví dụ, Scott Aaronson gần đây đã viết rằng, xét đến "tốc độ tiến bộ phần cứng nhanh đến kinh ngạc", ông tin rằng "trước cuộc bầu cử tổng thống Mỹ tiếp theo, việc chúng ta sở hữu một máy tính lượng tử chịu lỗi có thể chạy thuật toán Shor là một khả năng thực sự". Nhưng sau đó ông đã làm rõ rằng điều này không đề cập đến máy tính lượng tử liên quan đến mật mã - ngay cả việc phân tích nhân tử chịu lỗi 15=3×5 (điều mà tính bằng tay còn nhanh hơn), ông cũng coi là đã thực hiện được lời hứa. Đây vẫn là một trình diễn quy mô nhỏ, và các thí nghiệm như vậy luôn nhắm mục tiêu là 15, vì phép toán modulo 15 đơn giản, các số lớn hơn một chút (như 21) thì khó khăn hơn nhiều.

Kết luận chính: Dự đoán sự xuất hiện của một máy tính lượng tử liên quan đến mật mã có thể phá vỡ RSA-2048 hoặc secp256k1 trong vòng 5 năm tới - điều quan trọng đối với mật mã thực tế - không được hỗ trợ bởi tiến bộ công khai. Ngay cả 10 năm, vẫn là một mục tiêu đầy tham vọng.

Do đó, sự phấn khích về tiến bộ không mâu thuẫn với đánh giá dòng thời gian "vẫn còn hơn một thập kỷ nữa".

Vậy còn việc chính phủ Mỹ đặt năm 2035 là thời hạn cuối cùng để hoàn thành việc di chuyển toàn bộ hệ thống chính phủ sang hậu lượng tử thì sao? Tôi tin rằng đây là một kế hoạch thời gian hợp lý để hoàn thành quá trình chuyển đổi quy mô lớn, nhưng nó không phải là dự đoán rằng một máy tính lượng tử liên quan đến mật mã chắc chắn sẽ xuất hiện vào thời điểm đó.

Tấn công "Đánh cắp bây giờ, Giải mã trong tương lai": Áp dụng cho ai? Không áp dụng cho ai?

Tấn công "Đánh cắp bây giờ, Giải mã trong tương lai" đề cập đến việc: Kẻ tấn công lưu trữ lưu lượng mã hóa ngay bây giờ và giải mã nó sau khi máy tính lượng tử liên quan đến mật mã xuất hiện trong tương lai. Các đối thủ cấp quốc gia rất có thể đang lưu trữ một lượng lớn thông tin liên lạc được mã hóa từ chính phủ Mỹ để giải mã trong tương lai.

Do đó, mã hóa phải được nâng cấp ngay lập tức, ít nhất là đối với dữ liệu cần thời gian bảo mật từ 10-50 năm trở lên.

Nhưng chữ ký số (nền tảng của tất cả các blockchain) thì khác với mã hóa: nó không có tính bảo mật cần tấn công hồi tố. Ngay cả khi máy tính lượng tử xuất hiện trong tương lai, nó chỉ có thể giả mạo chữ ký từ thời điểm đó trở đi, chứ không thể "giải mã" các chữ ký trong quá khứ. Miễn là bạn có thể chứng minh chữ ký được tạo ra trước khi máy tính lượng tử xuất hiện, thì nó không thể bị giả mạo.

Điều này làm cho việc chuyển đổi sang chữ ký số hậu lượng tử trở nên ít cấp bách hơn nhiều so với chuyển đổi mã hóa.

Các nền tảng chính thống đang làm chính xác điều này:

• Chrome và Cloudflare đã triển khai sơ đồ lai X25519+ML-KEM cho mã hóa TLS web. "Lai" có nghĩa là sử dụng đồng thời sơ đồ an toàn hậu lượng tử (ML-KEM) và sơ đồ hiện có (X25519), kết hợp tính bảo mật của cả hai, vừa bảo vệ chống lại các cuộc tấn công HNDL, vừa duy trì bảo mật cổ điển nếu sơ đồ hậu lượng tử gặp sự cố.
• iMessage của Apple (giao thức PQ3) và Signal (giao thức PQXDH và SPQR) cũng đã triển khai mã hóa hậu lượng tử lai tương tự.

Ngược lại, việc triển khai chữ ký số hậu lượng tử trên cơ sở hạ tầng mạng then chốt đã bị trì hoãn cho đến khi máy tính lượng tử liên quan đến mật mã thực sự đến gần. Bởi vì các sơ đồ chữ ký hậu lượng tử hiện tại sẽ dẫn đến suy giảm hiệu suất (chi tiết bên dưới).

Bằng chứng không tiết lộ thông tin (zkSNARKs) ở trong tình huống tương tự như chữ ký. Ngay cả những zkSNARK không an toàn hậu lượng tử (chúng sử dụng mật mã đường cong elliptic), thuộc tính "zero-knowledge" của chúng tự nó là an toàn hậu lượng tử. Thuộc tính này đảm bảo bằng chứng không tiết lộ bất kỳ thông tin nào về bí mật (máy tính lượng tử cũng không thể làm gì được), do đó không có bí mật nào có thể "đánh cắp bây giờ" để giải mã trong tương lai. Vì vậy, zkSNARKs cũng không dễ bị tấn công HNDL. Bất kỳ bằng chứng zkSNARK nào được tạo ra trước khi máy tính lượng tử xuất hiện đều đáng tin cậy (ngay cả khi nó sử dụng mật mã đường cong elliptic), và chỉ sau khi máy tính lượng tử xuất hiện, kẻ tấn công mới có thể giả mạo bằng chứng giả.

Điều này có ý nghĩa gì đối với blockchain?

H