Người ta thường đưa ra những dự đoán phóng đại về thời điểm ra đời của máy tính lượng tử, vốn tiềm ẩn mối đe dọa thực sự đối với các hệ thống mật mã hiện có, dẫn đến những lời kêu gọi chuyển đổi ngay lập tức và quy mô lớn sang mật mã hậu lượng tử.
Tuy nhiên, những lời kêu gọi này thường bỏ qua chi phí và rủi ro của việc chuyển đổi quá sớm, đồng thời phớt lờ thực tế rằng các thuật toán mã hóa khác nhau đối diện các mức độ rủi ro hoàn toàn khác nhau:
Mặc dù crypto hậu lượng tử rất tốn kém, nhưng nó phải được triển khai ngay lập tức: Các cuộc tấn công "thu thập trước, giải mã sau" (HNDL) đang diễn ra vì dữ liệu nhạy cảm được bảo vệ bằng crypto ngày nay vẫn sẽ có giá trị khi máy tính lượng tử thực sự xuất hiện, thậm chí là hàng chục năm nữa. Bất chấp chi phí hiệu năng và rủi ro triển khai của crypto hậu lượng tử, các cuộc tấn công HNDL đồng nghĩa với việc không có giải pháp thay thế nào cho dữ liệu yêu cầu bảo mật lâu dài.
Các yếu tố cần xem xét đối với chữ ký hậu lượng tử hoàn toàn khác biệt. Chúng không bị ảnh hưởng bởi các cuộc tấn công HNDL, và chi phí cũng như rủi ro của chúng (kích thước lớn hơn, chi phí hiệu năng cao hơn, triển khai chưa hoàn thiện và các lỗ hổng tiềm tàng) có nghĩa là việc chuyển đổi nên được tiến hành thận trọng thay vì thực hiện ngay lập tức.
Những sự phân biệt này rất quan trọng. Những hiểu lầm có thể làm sai lệch phân tích chi phí - lợi nhuận, khiến đội ngũ bỏ qua rủi ro bảo mật nghiêm trọng hơn — chẳng hạn như chính các lỗ hổng bảo mật.
Thách thức thực sự trong việc tiến tới mật mã hậu lượng tử một cách thành công là làm sao để dung hòa giữa "tính cấp bách" và "các mối đe dọa thực sự". Dưới đây, tôi sẽ làm rõ những quan niệm sai lầm phổ biến về mối đe dọa lượng tử và những tác động của nó đối với mật mã — bao gồm crypto, chữ ký điện tử và Bằng chứng không tri thức— với trọng tâm đặc biệt vào ảnh hưởng của những vấn đề này đối với blockchain.
Chúng ta đang ở nút nào?
Khả năng xuất hiện một “máy tính lượng tử gây ra mối đe dọa thực sự đối với mật mã học (CRQC)” trong những năm 2020 là cực kỳ thấp, bất chấp một số tuyên bố gây chú ý.
P.S.: Trong phần tiếp theo của văn bản, máy tính lượng tử, vốn đặt ra mối đe dọa thực sự đối với mật mã học, sẽ được gọi tắt là CRQC.
“Máy tính lượng tử gây ra mối đe dọa thực sự đối với mật mã học” được đề cập ở đây là một máy tính lượng tử có khả năng chịu lỗi và sửa lỗi, có thể chạy thuật toán Shor ở quy mô đủ lớn để tấn công mật mã đường cong elliptic hoặc RSA trong một khoảng thời gian hợp lý (ví dụ: phá vỡ secp256k1 hoặc RSA-2048 trong tối đa một tháng tính toán liên tục).
Dựa trên các mốc tiến độ và đánh giá nguồn lực được công bố, chúng ta vẫn còn một chặng đường dài để đạt được loại máy tính lượng tử này. Mặc dù một số công ty tuyên bố rằng CRQC có thể xuất hiện trước năm 2030 hoặc thậm chí là năm 2035, nhưng tiến độ được công bố không ủng hộ những tuyên bố này.
Trong bối cảnh các kiến trúc hiện tại—bẫy ion, qubit siêu dẫn và hệ thống nguyên tử trung tính —không có nền tảng điện toán lượng tử nào có thể đáp ứng được hàng trăm nghìn đến hàng triệu qubit vật lý (số lượng chính xác phụ thuộc vào tỷ lệ lỗi và phương pháp sửa lỗi) cần thiết để chạy thuật toán Shor nhằm tấn công RSA-2048 hoặc secp256k1.
Các yếu tố hạn chế không chỉ là số lượng qubit, mà còn là độ chính xác của cổng logic, khả năng kết nối giữa các qubit và độ sâu mạch sửa lỗi cần thiết để thực hiện các thuật toán lượng tử độ sâu . Mặc dù một số hệ thống hiện nay có hơn 1.000 qubit vật lý, nhưng chỉ nhìn vào con số thôi là chưa đủ: những hệ thống này thiếu khả năng kết nối và độ chính xác của cổng logic cần thiết để thực hiện các phép tính mật mã.
Mặc dù các hệ thống gần đây đã tiến rất gần đến mức độ sai số vật lý cho phép sửa lỗi lượng tử, nhưng cho đến nay vẫn chưa ai chứng minh được nhiều hơn một vài qubit logic với độ sâu mạch sửa lỗi bền vững — chứ chưa nói đến hàng nghìn qubit logic có độ chính xác cao, mạch sâu và khả năng chịu lỗi cần thiết để thực hiện thuật toán Shor. Một khoảng cách khổng lồ vẫn còn tồn tại giữa việc chứng minh về mặt lý thuyết tính khả thi của việc sửa lỗi lượng tử và việc thực sự đạt được quy mô cần thiết để phá vỡ mật mã.
Tóm lại: trừ khi số lượng qubit và độ chính xác tăng lên nhiều bậc cùng một lúc, thì một "máy tính lượng tử có thể thực sự đe dọa đến mật mã học" vẫn còn là một giấc mơ xa vời.
Tuy nhiên, thông cáo báo chí của doanh nghiệp và các bài báo trên phương tiện truyền thông rất dễ bị hiểu sai. Những hiểu lầm phổ biến bao gồm:
Các cuộc trình diễn tuyên bố đạt được "lợi thế lượng tử" thường nhắm vào các bài toán được tạo ra một cách nhân tạo. Những bài toán này không được chọn vì tính thực tiễn của chúng, mà là vì chúng có thể chạy trên phần cứng hiện có trong khi dường như thể hiện tốc độ tăng đáng kể của lượng tử - một điểm thường bị cố tình giảm nhẹ trong các chiến dịch quảng bá.
Công ty này tuyên bố đã đạt được hàng nghìn qubit vật lý. Tuy nhiên, điều này thường đề cập đến một máy ủ lượng tử, chứ không phải là một máy tính lượng tử kiểu cổng cần thiết để chạy thuật toán Shor nhằm tấn công mật mã khóa công khai.
Việc công ty tùy ý khái niệm "qubit logic" là một vấn đề. Các qubit vật lý vốn dĩ có tính nhiễu, và các thuật toán lượng tử yêu cầu các qubit logic; như đã đề cập trước đó, thuật toán Shor yêu cầu hàng nghìn qubit logic. Sử dụng sửa lỗi lượng tử, một qubit logic thường bao gồm hàng trăm đến hàng nghìn qubit vật lý (tùy thuộc vào tỷ lệ lỗi). Tuy nhiên, một số công ty đã lạm dụng thuật ngữ này một cách phi lý. Ví dụ, một công ty gần đây tuyên bố đã đạt được 48 qubit logic chỉ bằng cách sử dụng hai qubit vật lý cho mỗi qubit logic thông qua mã hóa khoảng cách 2. Điều này rõ ràng là phi logic: mã hóa khoảng cách 2 chỉ có thể phát hiện lỗi, chứ không thể sửa lỗi. Các qubit logic chịu lỗi được sử dụng để giải mã mật mã thực tế yêu cầu hàng trăm đến hàng nghìn qubit vật lý mỗi qubit, chứ không chỉ hai.
Nói một cách tổng quát hơn, nhiều lộ trình điện toán lượng tử sử dụng thuật ngữ "qubit logic" để chỉ các qubit chỉ hỗ trợ các phép toán Clifford. Các phép toán này có thể được mô phỏng hiệu quả bằng các thuật toán cổ điển và do đó không đủ để chạy thuật toán Shor, vốn yêu cầu hàng nghìn cổng T được sửa lỗi (hoặc nói chung là các cổng không phải Clifford).
Do đó, ngay cả khi lộ trình tuyên bố "đạt được hàng nghìn qubit logic trong một năm X nhất định", điều đó không có nghĩa là công ty kỳ vọng có thể chạy thuật toán Shor để phá vỡ mật mã cổ điển trong cùng năm X đó.
Những thực tiễn này đã làm sai lệch nghiêm trọng nhận thức của công chúng (và thậm chí cả các chuyên gia trong ngành) về "mức độ gần đạt được tiêu chuẩn CRQC thực sự".
Tuy nhiên, một số chuyên gia thực sự rất hào hứng với sự tiến bộ này. Ví dụ, Scott Aaronson gần đây đã viết rằng, với "tốc độ phát triển phần cứng đáng kinh ngạc hiện nay", ông cho rằng hoàn toàn có khả năng chúng ta sẽ có một máy tính lượng tử chịu lỗi chạy thuật toán Shor trước cuộc bầu cử tổng thống Mỹ tiếp theo.
Tuy nhiên, Aaronson sau đó đã làm rõ rằng tuyên bố của ông không ám chỉ một máy tính lượng tử có khả năng mã hóa: ngay cả khi thuật toán Shor hoàn toàn chịu lỗi chỉ phân tích thành công 15 = 3 × 5 — một con số bạn có thể tính nhanh hơn nhiều bằng bút và giấy — ông vẫn cho rằng quan điểm của mình đã được đáp ứng. Tiêu chuẩn ở đây vẫn chỉ là một thực thi ở quy mô vi mô của thuật toán Shor, chứ không phải là một thực thi có ý nghĩa về mặt mã hóa; các phép phân tích lượng tử trước đây của 15 đã sử dụng các mạch đơn giản, chứ không phải là một thuật toán Shor hoàn toàn chịu lỗi. Hơn nữa, việc tiếp tục lựa chọn phân tích 15 trong các thí nghiệm lượng tử không phải là ngẫu nhiên: bởi vì các phép tính số học modulo 15 cực kỳ đơn giản, trong khi việc phân tích các số lớn hơn một chút (như 21) khó hơn nhiều. Do đó, một số thí nghiệm lượng tử tuyên bố phân tích được 21 thường dựa vào các gợi ý hoặc lối tắt.
Tóm lại, không có bằng chứng nào được công bố rộng rãi để chứng minh cho kỳ vọng rằng một máy tính lượng tử có khả năng phá vỡ RSA-2048 hoặc secp256k1 sẽ xuất hiện trong vòng 5 năm tới (đây mới là điều mà ngành mật mã học thực sự quan tâm).
Ngay cả 10 năm vẫn là một dự đoán đầy tham vọng. Xét đến việc chúng ta còn cách xa máy tính lượng tử mã hóa thực sự như thế nào, hoàn toàn có thể tồn tại một khung thời gian hơn mười năm, ngay cả khi vẫn hào hứng với những tiến bộ đạt được.
Vậy việc chính phủ Mỹ đặt mục tiêu năm 2035 để chuyển đổi toàn bộ hệ thống chính phủ sang hệ thống mật mã hậu lượng tử có ý nghĩa gì? Tôi cho rằng đây là một mốc thời gian hợp lý để hoàn thành quá trình chuyển đổi quy mô lớn như vậy. Tuy nhiên, điều này không có nghĩa là "CRQC sẽ xuất hiện vào thời điểm đó".
Trong những trường hợp nào thì tấn công HNDL có thể áp dụng (và trong những trường hợp nào thì không)?
Tấn công "Thu thập trước, giải mã sau" (HNDL) đề cập đến việc kẻ tấn công lưu trữ tất cả các thông tin liên lạc crypto ngay bây giờ, chờ đợi để giải mã chúng vào một ngày nào đó khi máy tính lượng tử, vốn là mối đe dọa thực sự đối với mật mã học, xuất hiện. Chắc chắn rằng các kẻ tấn công được nhà nước tài trợ đã và đang lưu trữ các thông tin liên lạc crypto của chính phủ Hoa Kỳ trên quy mô lớn, chuẩn bị giải mã chúng khi máy tính lượng tử trở nên khả dụng. Đây là lý do tại sao các hệ thống crypto phải bắt đầu chuyển đổi ngay hôm nay—ít nhất là đối với những tổ chức cần duy trì tính bảo mật trong 10-50 năm hoặc lâu hơn.
Nhưng chữ ký số - công nghệ mà tất cả blockchain đều dựa vào - khác với crypto: chúng thiếu "tính bảo mật" có thể bị xâm phạm sau đó.
Nói cách khác, mặc dù sự xuất hiện của máy tính lượng tử sẽ cho phép ngụy tạo chữ ký số từ thời điểm đó trở đi, nhưng các chữ ký cũ không "che giấu" bất kỳ bí mật nào như tin nhắn crypto. Chừng nào có thể xác nhận rằng chữ ký số được tạo ra trước khi công nghệ CRQC ra đời, thì nó không thể bị ngụy tạo.
Do đó, việc chuyển đổi sang chữ ký số lượng tử ngược không cấp thiết bằng việc chuyển đổi sang các hệ thống crypto.
Điều này được phản ánh qua hành động của các nền tảng lớn: Chrome và Cloudflare đã triển khai mã hóa lai X25519+ML-KEM trong crypto Web Transport Layer Security (TLS). [Trong bài viết này, tôi sẽ gọi chúng là "các lược đồ crypto" để dễ đọc, mặc dù nói một cách chính xác, các giao thức truyền thông an toàn như TLS sử dụng cơ chế trao đổi khóa hoặc đóng gói khóa, chứ không phải crypto khóa công khai.]
Thuật ngữ "lai" ở đây có nghĩa là sử dụng đồng thời giải pháp bảo mật hậu lượng tử (ML-KEM) và giải pháp hiện có (X25519) để đạt được sự bảo mật của cả hai. Cách tiếp cận này nhằm mục đích ngăn chặn các cuộc tấn công HNDL thông qua ML-KEM, đồng thời cung cấp các đảm bảo bảo mật truyền thống thông qua X25519 nếu ML-KEM tỏ ra không an toàn ngay cả đối với các máy tính hiện tại.
Ứng dụng iMessage của Apple cũng sử dụng crypto hậu lượng tử lai tương tự trong giao thức PQ3 của mình, và Signal đã triển khai cơ chế này trong các giao thức PQXDH và SPQR.
Ngược lại, việc chuyển đổi cơ sở hạ tầng web quan trọng sang chữ ký số hậu lượng tử sẽ bị hoãn lại cho đến khi "thực sự gần với thời điểm ra đời của CRQC" vì các lược đồ chữ ký hậu lượng tử hiện tại gây ra sự suy giảm hiệu suất đáng kể (sẽ được thảo luận sau trong bài viết này).
zkSNARKs — bằng chứng tri thức ngắn gọn, không tương tác, không tiết lộ thông tin — là yếu tố cốt lõi cho khả năng mở rộng và bảo mật blockchain trong tương lai — và tương tự như chữ ký số về mặt các mối đe dọa lượng tử. Điều này là bởi vì ngay cả khi một số zkSNARKs tự chúng không sở hữu tính bảo mật hậu lượng tử (vì chúng sử dụng cùng một thuật toán mã hóa đường cong elip như crypto và chữ ký hiện tại), bản chất "không tiết lộ thông tin" của chúng vẫn đảm bảo tính bảo mật hậu lượng tử.
Tính chất không tiết lộ thông tin đảm bảo rằng không có thông tin nào về nhân chứng bí mật sẽ bị rò rỉ—ngay cả đối diện kẻ tấn công lượng tử—do đó không có thông tin bí mật nào có thể được "thu thập" trước và giải mã trong tương lai.
Do đó, zkSNARK không bị ảnh hưởng bởi các cuộc tấn công HNDL. Cũng giống như các chữ ký số không được tạo ra bằng công nghệ hậu lượng tử hiện nay đều an toàn, bằng chứng zkSNARK đáng tin cậy (nghĩa là các tuyên bố trong bằng chứng phải đúng) miễn là nó được tạo ra trước CRQC — ngay cả khi zkSNARK sử dụng mật mã đường cong elliptic. Chỉ sau khi CRQC ra đời, kẻ tấn công mới có thể tạo ra một bằng chứng "có vẻ hợp lệ nhưng thực chất lại có sai sót".
Điều này có ý nghĩa gì đối với blockchain?
Hầu hết blockchain không dễ bị tấn công HNDL: Hầu hết Chuỗi không bảo mật —như Bitcoin và Ethereum hiện nay— chủ yếu sử dụng mật mã phi hậu lượng tử trong việc xác thực giao dịch, nghĩa là chúng sử dụng chữ ký số thay vì crypto.
Nhắc lại, chữ ký số không dễ bị tấn công HNDL: các cuộc tấn công "thu thập trước, giải mã sau" chỉ áp dụng cho dữ liệu crypto . Ví dụ, blockchain Bitcoin là công khai; mối đe dọa lượng tử nằm ở ngụy tạo chữ ký (lấy private key để đánh cắp tiền), chứ không phải ở việc giải mã dữ liệu giao dịch công khai. Điều này có nghĩa là các cuộc tấn công HNDL không gây ra mối đe dọa mật mã cấp bách đối với blockchain hiện tại.
Đáng tiếc là, một số tổ chức uy tín (bao gồm cả Cục Dự trữ Liên bang) vẫn đưa ra những phân tích sai lầm cho rằng Bitcoin dễ bị tấn công bằng thuật toán HNDL, một sai lầm làm phóng đại tính cấp thiết của việc chuyển đổi ngược sang mật mã lượng tử.
Tuy nhiên, "sự giảm bớt tính cấp bách" này không có nghĩa là Bitcoin có thể chờ đợi vô thời hạn: Bitcoin phải đối mặt với những áp lực thời gian khác nhau do sự phối hợp xã hội khổng lồ cần thiết cho nâng cấp giao thức. (Những thách thức độc đáo của Bitcoin sẽ được thảo luận chi tiết hơn bên dưới.)
Một ngoại lệ hiện nay là Chuỗi bảo mật, nhiều trong đó che giấu người nhận và số tiền thông qua crypto hoặc các phương tiện khác. Loại thông tin bí mật này có thể được "thu thập" trước và có khả năng nặc danh sau đó một khi máy tính lượng tử có thể phá vỡ mật mã đường cong elip.
Đối với Chuỗi bảo mật như vậy, mức độ nghiêm trọng của một cuộc tấn công sẽ khác nhau tùy thuộc vào thiết kế của Chuỗi . Ví dụ, với chữ ký vòng dựa trên đường cong elip và hình ảnh Key của Monero (một thẻ duy nhất, có thể xâu chuỗi cho mỗi đầu ra được sử dụng để ngăn chặn chi tiêu kép), chỉ riêng sổ cái công khai cũng có thể đủ để tái tạo toàn bộ biểu đồ luồng giao dịch trong tương lai. Tuy nhiên, trong Chuỗi bảo mật khác, thiệt hại sẽ hạn chế hơn — xem thảo luận của Sean Bowe, một kỹ sư mật mã và nhà nghiên cứu Zcash .
Nếu người dùng cho rằng việc "các giao dịch sẽ không bị lộ bởi sự xuất hiện của máy tính lượng tử trong tương lai" là điều tối quan trọng, thì Chuỗi bảo mật nên chuyển sang các thuật toán mã hóa hậu lượng tử (hoặc các lược đồ lai) càng sớm càng tốt. Hoặc, họ nên áp dụng một kiến trúc hoàn toàn tránh việc đặt các bí mật có thể giải mã trên Chuỗi.
Những thách thức độc đáo của Bitcoin: cơ chế quản trị + các đồng tiền bị bỏ rơi
Đối với Bitcoin, có hai thực tế khiến việc chuyển đổi sang chữ ký số hậu lượng tử trở nên cấp bách, và cả hai đều không liên quan gì đến công nghệ lượng tử. Mối quan ngại đầu tiên là tốc độ quản trị: Bitcoin phát triển cực kỳ chậm. Bất kỳ vấn đề gây tranh cãi nào, nếu cộng đồng không thể thống nhất về một giải pháp phù hợp, đều có thể dẫn đến một hard fork) mang tính phá hoại.
Mối lo ngại thứ hai là quá trình chuyển đổi Bitcoin sang chữ ký lượng tử không thể được thực hiện thông qua việc di chuyển thụ động: người nắm giữ coin phải chủ động di chuyển tiền của họ. Điều này có nghĩa là những coin đã bị bỏ rơi nhưng vẫn có nguy cơ bị tấn công lượng tử sẽ không được bảo vệ. Một số ước tính cho rằng số lượng BTC dễ bị tổn thương bởi các mối đe dọa lượng tử và có khả năng bị bỏ rơi lên đến hàng triệu, trị giá hàng trăm tỷ đô la theo giá hiện tại (tính đến tháng 12 năm 2025).
Tuy nhiên, mối đe dọa lượng tử sẽ không gây ra sự sụp đổ đột ngột, thảm khốc Bitcoin chỉ sau một đêm… mà nhiều khả năng sẽ biểu hiện dưới dạng một cuộc tấn công có chọn lọc, dần dần. Máy tính lượng tử sẽ không phá vỡ tất cả các phương thức crypto cùng một lúc—thuật toán Shor phải bẻ khóa các khóa công khai từng mục tiêu một. Các cuộc tấn công lượng tử ban đầu sẽ cực kỳ tốn kém và chậm. Do đó, một khi máy tính lượng tử có thể bẻ khóa được một khóa chữ ký Bitcoin duy nhất, những kẻ tấn công sẽ ưu tiên nhắm mục tiêu vào các ví có giá trị nhất.
Hơn nữa, miễn là người dùng tránh việc tái sử dụng địa chỉ và không sử dụng địa chỉ Taproot (vì địa chỉ này để lộ trực tiếp khóa công khai trên Chuỗi), về cơ bản họ được bảo vệ ngay cả khi giao thức chưa được nâng cấp: khóa công khai của họ vẫn được ẩn sau hàm băm cho đến khi được sử dụng. Khóa công khai chỉ trở nên công khai khi họ cuối cùng phát sóng một giao dịch chi tiêu, tại thời điểm đó sẽ có một "cửa sổ đua tức thời" ngắn: người dùng trung thực cần xác nhận giao dịch của họ càng nhanh càng tốt, trong khi những kẻ tấn công lượng tử cố gắng tìm private key trước khi giao dịch được xác nhận và chi tiêu đồng tiền trước. Do đó, những đồng tiền thực sự dễ bị tổn thương là những đồng tiền có khóa công khai đã bị lộ trong nhiều năm: các đầu ra P2PK ban đầu, các địa chỉ được tái sử dụng và vị thế giữ Taproot.
Đối với những đồng xu dễ vỡ đã bị bỏ rơi, hiện tại không có giải pháp dễ dàng nào. Các giải pháp thay thế bao gồm:
Cộng đồng Bitcoin đã đạt được sự đồng thuận về việc thiết lập một "ngày đánh dấu", sau đó tất cả các đồng tiền chưa được chuyển đổi sẽ được coi là đốt.
Cho phép bất kỳ đồng tiền điện tử bị bỏ rơi nào có rủi ro bị ảnh hưởng bởi rủi ro lượng tử đều có thể bị tịch thu bởi bất kỳ ai sở hữu CRQC.
Phương án thứ hai đặt ra những vấn đề nghiêm trọng về pháp lý và an ninh. Việc sử dụng máy tính lượng tử để truy cập vào tiền mà không có private key– ngay cả khi được tuyên bố là để sở hữu hợp pháp hoặc với thiện chí – sẽ vi phạm luật trộm cắp và gian lận máy tính ở nhiều quốc gia.
Hơn nữa, khái niệm "bỏ rơi" dựa trên giả định về sự không hoạt động, nhưng không ai có thể biết chắc chắn liệu những đồng tiền này có thực sự mất đi người nắm giữ khóa hay không. Ngay cả khi ai đó có thể chứng minh họ từng nắm giữ những đồng tiền này, họ cũng có thể không có quyền hợp pháp để phá vỡ các biện pháp bảo vệ mã hóa nhằm "lấy lại" chúng. Sự mơ hồ về mặt pháp lý này khiến những đồng tiền bị bỏ rơi, dễ bị tổn thương trước rủi ro lượng tử, rất dễ rơi vào tay những kẻ tấn công độc hại bất chấp các ràng buộc pháp lý.
Một vấn đề độc đáo khác của Bitcoin là tốc độ xử lý giao dịch cực kỳ thấp. Ngay cả khi kế hoạch chuyển đổi được hoàn tất, với tốc độ giao dịch hiện tại của Bitcoin, vẫn sẽ mất nhiều tháng để chuyển tất cả số tiền có nguy cơ bị tấn công lượng tử sang các địa chỉ an toàn sau tấn công lượng tử.
Những thách thức này đòi hỏi Bitcoin phải bắt đầu lên kế hoạch cho quá trình chuyển đổi hậu lượng tử ngay từ bây giờ—không phải vì CRQC có khả năng xuất hiện trước năm 2030, mà vì việc điều phối quản trị, đạt được sự đồng thuận và hậu cần kỹ thuật để thực sự chuyển đổi hàng trăm tỷ đô la sẽ mất nhiều năm để hoàn thành.
Mối đe dọa lượng tử đối với Bitcoin là có thật, nhưng áp lực về thời gian xuất phát từ những hạn chế về cấu trúc của chính Bitcoin, chứ không phải từ sự xuất hiện sắp tới của máy tính lượng tử. Blockchain khác cũng đối mặt với vấn đề về quỹ dễ bị tổn thương trước lượng tử, nhưng Bitcoin đặc biệt độc đáo: các giao dịch sớm nhất của nó sử dụng đầu ra thanh toán đến Key công khai (P2PK), trực tiếp để lộ các khóa công khai trên Chuỗi, khiến một phần đáng kể BTC dễ bị tổn thương trước mối đe dọa lượng tử. Lịch sử công nghệ của nó, cùng với tuổi đời Chuỗi dài, sự tập trung giá trị cao, thông lượng thấp và quản trị cứng nhắc, khiến vấn đề trở nên đặc biệt nghiêm trọng.
Điều quan trọng cần lưu ý là các lỗ hổng được mô tả ở trên chỉ áp dụng cho tính bảo mật mật mã của chữ ký số Bitcoin — chúng không ảnh hưởng đến tính bảo mật kinh tế của blockchain Bitcoin . Tính bảo mật kinh tế của Bitcoin bắt nguồn từ cơ chế đồng thuận Bằng chứng công việc(PoW), vốn không dễ bị tấn công lượng tử như các phương thức chữ ký, vì ba lý do sau:
PoW dựa trên các hàm băm, do đó nó chỉ có thể hưởng lợi từ sự tăng tốc lần do thuật toán tìm kiếm Grover cung cấp, chứ không phải từ sự tăng tốc theo cấp số mũ do thuật toán Shor cung cấp.
Chi phí thực tế để triển khai thuật toán tìm kiếm Grover lớn đến mức rất khó có khả năng bất kỳ máy tính lượng tử nào có thể đạt được tốc độ cải thiện dù chỉ ở mức hạn chế so với cơ chế Proof-of- Bitcoin .
Ngay cả khi máy tính lượng tử có thể đạt được tốc độ nhanh hơn đáng kể, hiệu quả đó cũng chỉ mang lại lợi thế tương đối cho thợ đào lớn sở hữu tỷ lệ băm lượng tử, chứ không làm suy yếu mô hình an ninh kinh tế Bitcoin một cách cơ bản.
Chi phí và rủi ro của chữ ký hậu lượng tử
Để hiểu tại sao blockchain không nên vội vàng triển khai chữ ký hậu lượng tử, chúng ta cần xem xét cả chi phí hiệu quả và niềm tin của chúng ta rằng bảo mật hậu lượng tử vẫn đang trong quá trình phát triển.
Hầu hết các phương pháp mật mã hậu lượng tử đều dựa trên một trong năm phương pháp sau: băm, mã (mã sửa lỗi), mạng lưới, phương trình lần đa biến (MQ) và phép đẳng cấu.
Tại sao lại có năm phương pháp khác nhau? Lý do là vì tính bảo mật của bất kỳ thuật toán mã hóa hậu lượng tử nào đều dựa trên giả định rằng máy tính lượng tử không thể giải quyết hiệu quả một bài toán toán học cụ thể. Cấu trúc bài toán càng "mạnh", thì giao thức mã hóa mà chúng ta có thể xây dựng càng hiệu quả hơn.
Tuy nhiên, đây là con dao hai lưỡi: càng nhiều cấu trúc thì bề mặt tấn công càng lớn, khiến thuật toán dễ bị phá vỡ hơn. Điều này tạo ra một mâu thuẫn cơ bản—các giả định mạnh mẽ hơn dẫn đến hiệu suất tốt hơn, nhưng phải trả giá bằng lỗ hổng bảo mật tiềm tàng (tức là xác suất các giả định đó bị chứng minh là sai cao hơn).
Nhìn chung, từ góc độ bảo mật, phương pháp dựa trên hàm băm là thận trọng và mạnh mẽ nhất, vì chúng ta tin tưởng nhất rằng máy tính lượng tử không thể tấn công chúng một cách hiệu quả. Tuy nhiên, chúng cũng là những phương pháp kém hiệu quả nhất. Ví dụ, lược đồ chữ ký băm tiêu chuẩn NIST, ngay cả với các thiết lập tham số nhỏ nhất, cũng tạo ra kích thước chữ ký từ 7–8 KB. Ngược lại, các chữ ký số dựa trên đường cong elliptic hiện nay chỉ có 64 byte, nhỏ hơn khoảng 100 lần.
Các lược đồ mạng lưới là trọng tâm chính của các triển khai hiện tại. Lược đồ crypto duy nhất được NIST lựa chọn, và hai trong ba thuật toán chữ ký, đều dựa trên mạng lưới. Trong đó chữ ký mạng lưới (ML-DSA, trước đây là Dilithium) có kích thước chữ ký là 2,4 KB ở mức bảo mật 128 bit và 4,6 KB ở mức bảo mật 256 bit—lớn hơn khoảng 40–70 lần so với các chữ ký đường cong elliptic hiện tại. Một lược đồ mạng lưới khác, Falcon, thậm chí còn có chữ ký nhỏ hơn (666 byte cho Falcon-512 và 1,3 KB cho Falcon-1024), nhưng dựa vào các phép toán dấu phẩy động phức tạp, điều mà chính NIST đánh dấu một thách thức lớn trong việc triển khai. Thomas Pornin, một trong những nhà thiết kế của Falcon, gọi nó là "thuật toán mã hóa phức tạp nhất mà tôi từng triển khai".
Về mặt bảo mật triển khai, chữ ký lưới khó thực hiện hơn nhiều so với các lược đồ đường cong elip: ML-DSA chứa nhiều giá trị trung gian nhạy cảm hơn và logic lấy mẫu loại bỏ phức tạp, tất cả đều yêu cầu bảo vệ chống lại các cuộc tấn công kênh phụ và dựa trên lỗi. Falcon còn làm tăng thêm độ phức tạp của các phép toán dấu phẩy động thời gian không đổi; một số cuộc tấn công kênh phụ nhắm vào các triển khai Falcon đã khôi phục thành công private key.
Rủi ro do các vấn đề này gây ra là tức thời, không giống như mối đe dọa xa vời từ "máy tính lượng tử, vốn là mối đe dọa thực sự đối với mật mã học."
Có những lý do chính đáng để thận trọng về các lược đồ mật mã hậu lượng tử hiệu quả hơn. Các lược đồ hàng đầu lịch sử, chẳng hạn như Rainbow (chữ ký dựa trên MQ) và SIKE/SIDH (crypto cùng nguồn gốc), đã bị phá vỡ theo cách "cổ điển" - tức là bởi các máy tính hiện nay, chứ không phải máy tính lượng tử.
Điều này xảy ra ở giai đoạn mà quy trình tiêu chuẩn hóa của NIST đã được tiến hành khá tốt. Điều này chắc chắn phản ánh một quy trình khoa học lành mạnh, nhưng nó cũng cho thấy rằng việc tiêu chuẩn hóa và triển khai quá sớm có thể phản tác dụng.
Như đã đề cập trước đó, cơ sở hạ tầng mạng đang tiến hành chuyển đổi chữ ký một cách thận trọng. Điều này đáng chú ý vì một khi quá trình chuyển đổi mật mã trên mạng bắt đầu, nó thường mất nhiều năm để hoàn thành. Mặc dù các hàm băm như MD5 và SHA-1 đã chính thức bị các tổ chức tiêu chuẩn mạng loại bỏ từ nhiều năm nay, nhưng quá trình chuyển đổi thực tế của chúng vẫn tiếp diễn và trong một số trường hợp, chúng vẫn chưa bị loại bỏ hoàn toàn. Các thuật toán này đã bị bẻ khóa hoàn toàn, chứ không chỉ là "có khả năng bị bẻ khóa vào một ngày nào đó trong tương lai".
Những thách thức riêng biệt của blockchain so với cơ sở hạ tầng mạng
May mắn thay, blockchain được duy trì bởi cộng đồng mã nguồn mở (như Ethereum và Solana) dễ dàng và nhanh chóng nâng cấp so với cơ sở hạ tầng mạng truyền thống. Mặt khác, cơ sở hạ tầng mạng được hưởng lợi từ việc xoay vòng khóa thường xuyên, có nghĩa là bề mặt tấn công thay đổi nhanh hơn nhiều so với khả năng theo kịp của các máy tính lượng tử đời đầu — điều mà blockchain không có vì tiền điện tử và khóa của chúng có thể bị lộ vô thời hạn. Tuy nhiên, nhìn chung, blockchain vẫn nên áp dụng phương pháp thận trọng được các mạng lưới sử dụng trong việc thúc đẩy quá trình chuyển đổi chữ ký. Cả hai đều không bị ảnh hưởng bởi các cuộc tấn công HNDL dựa trên chữ ký, và chi phí cũng như rủi ro của việc chuyển đổi sớm sang một giải pháp hậu lượng tử chưa hoàn thiện vẫn rất đáng kể và không thay đổi theo thời gian tồn tại của khóa.
Hơn nữa, blockchain đặt ra một số thách thức khiến việc chuyển đổi sớm trở nên đặc biệt nguy hiểm và phức tạp: ví dụ, blockchain có những yêu cầu riêng biệt đối với các lược đồ chữ ký, đặc biệt là nhu cầu "tổng hợp nhanh chóng một lượng lớn chữ ký". Các chữ ký BLS phổ biến hiện nay được ưa chuộng vì khả năng tổng hợp hiệu quả, nhưng chúng thiếu tính bảo mật hậu lượng tử. Các nhà nghiên cứu đang khám phá các lược đồ tổng hợp chữ ký hậu lượng tử dựa trên SNARK. Mặc dù tiến triển đầy hứa hẹn, nhưng nó vẫn còn ở giai đoạn đầu.
Về bản thân SNARK, cộng đồng hiện tại chủ yếu tập trung vào các cấu trúc hậu lượng tử dựa trên hàm băm. Tuy nhiên, một sự thay đổi đáng kể đang đến gần: Tôi tin tưởng rằng các lược đồ mạng lưới sẽ trở thành một lựa chọn thay thế rất hấp dẫn trong những tháng và năm tới. Chúng sẽ mang lại hiệu suất vượt trội ở nhiều khía cạnh, chẳng hạn như độ dài bằng chứng ngắn hơn — chữ ký kiểu mạng lưới ngắn hơn chữ ký kiểu hàm băm.
Vấn đề nghiêm trọng hơn hiện nay là: an toàn vận hành
Trong những năm tới, các lỗ hổng bảo mật thực tế sẽ trở nên nghiêm trọng và đáng lo ngại hơn nhiều so với "máy tính lượng tử thực sự đe dọa mật mã học". Đối với SNARK, mối quan tâm chính là các lỗ hổng bảo mật (lỗi phần mềm).
Các lỗ hổng bảo mật luôn là thách thức lớn đối với các thuật toán chữ ký số và crypto, và SNARK còn phức tạp hơn nhiều. Trên thực tế, một lược đồ chữ ký số có thể được xem như một zkSNARK được đơn giản hóa tối đa, được sử dụng để chứng minh "Tôi biết private key tương ứng với khóa công khai, và tôi đã ủy quyền cho thông điệp này."
Đối với chữ ký điện tử hậu lượng tử, rủi ro thực sự cấp bách còn bao gồm các cuộc tấn công vào hệ thống, chẳng hạn như tấn công kênh phụ và tấn công chèn lỗi. Các loại tấn công này đã được chứng minh lượng lớn và có thể rút private key từ các hệ thống thực tế. Mối đe dọa của chúng cấp bách hơn nhiều so với "các cuộc tấn công lượng tử trong tương lai xa".
Cộng đồng sẽ tiếp tục xác định và khắc phục các lỗ hổng SNARK trong vài năm tới và tăng cường triển khai chữ ký hậu lượng tử để chống lại các cuộc tấn công kênh phụ và tấn công chèn lỗi. Việc chuyển đổi quá sớm trước khi các giải pháp SNARK hậu lượng tử và tổng hợp chữ ký được phát triển đầy đủ rủi ro khiến blockchain bị mắc kẹt trong lần —điều này có thể buộc phải chuyển đổi lại một lần nữa khi một giải pháp tốt hơn xuất hiện hoặc giải pháp hiện tại bộc lộ những lỗ hổng triển khai nghiêm trọng.
Chúng ta nên làm gì? Bảy gợi ý
Dựa trên những thực tế đã thảo luận ở trên, tôi xin đưa ra lời khuyên sau đây cho các bên liên quan – từ các nhà phát triển đến các nhà hoạch định chính sách. Nguyên tắc chung là: hãy xem xét nghiêm túc mối đe dọa lượng tử, nhưng đừng hành động dựa trên tiền đề rằng "máy tính lượng tử gây ra mối đe dọa thực sự đối với mật mã học chắc chắn sẽ xuất hiện trước năm 2030". Những tiến bộ công nghệ hiện tại không ủng hộ tiền đề này. Tuy nhiên, vẫn còn rất nhiều công việc chuẩn bị mà chúng ta có thể và nên thực hiện:
1. Crypto mã hóa lai ngay lập tức
Ít nhất trong những trường hợp mà tính bảo mật lâu dài là cực kỳ quan trọng và chi phí hiệu năng có thể chấp nhận được, nhiều trình duyệt, CDN và ứng dụng nhắn tin (như iMessage và Signal) đã triển khai các giải pháp lai. Các giải pháp lai này—mật mã hậu lượng tử + mật mã cổ điển—cung cấp khả năng bảo vệ chống lại các cuộc tấn công HNDL đồng thời giảm thiểu những điểm yếu vốn có của các giải pháp hậu lượng tử.
2. Sử dụng tem băm ngay lập tức trong những trường hợp có thể chấp nhận kích thước tem lớn.
Nên áp dụng ngay lập tức các chữ ký băm lai cho các kịch bản tần suất thấp, không nhạy cảm với kích thước như cập nhật phần mềm/firmware. (Cách tiếp cận lai nhằm ngăn ngừa các lỗ hổng triển khai trong các lược đồ mới, chứ không phải vì các giả định bảo mật của chữ ký băm là đáng ngờ.) Đây là một cách tiếp cận thận trọng và khôn ngoan, cung cấp cho xã hội một "phao cứu sinh" rõ ràng trong trường hợp máy tính lượng tử xuất hiện bất ngờ. Nếu không có cơ chế cập nhật phần mềm chữ ký hậu lượng tử được triển khai, chúng ta sẽ phải đối mặt với vấn đề khởi động lại sau khi CRQC ra đời: chúng ta sẽ không thể phân phối một cách an toàn các bản cập nhật mật mã cần thiết để chống lại các mối đe dọa lượng tử.
3. Blockchain không cần phải vội vàng triển khai chữ ký lượng tử—nhưng việc lập kế hoạch nên bắt đầu ngay từ bây giờ.
Các nhà phát triển blockchain nên học hỏi cách tiếp cận của Web PKI và tiến hành triển khai chữ ký hậu lượng tử một cách thận trọng. Điều này cho phép các giải pháp chữ ký hậu lượng tử có thời gian để hoàn thiện hơn về hiệu suất và hiểu biết về bảo mật. Nó cũng cho các nhà phát triển thời gian để thiết kế lại hệ thống nhằm đáp ứng các chữ ký lớn hơn và phát triển các công nghệ tổng hợp tốt hơn. Đối với Bitcoin và các lớp khác Chuỗi: cộng đồng cần phát triển các lộ trình và chính sách di chuyển liên quan đến các quỹ dễ bị tổn thương bởi lượng tử và các quỹ bị bỏ rơi. Di chuyển thụ động không phải là một lựa chọn, vì vậy việc lập kế hoạch là rất quan trọng. Và những thách thức mà Bitcoin phải đối mặt chủ yếu là phi kỹ thuật — quản trị chậm và lượng lớn các địa chỉ có giá trị cao, có khả năng bị bỏ rơi, dễ bị tổn thương bởi lượng tử — càng làm nổi bật nhu cầu cộng đồng Bitcoin cần bắt đầu lập kế hoạch sớm.
Đồng thời, nghiên cứu về SNARK hậu lượng tử và các chữ ký tổng hợp cần tiếp tục được hoàn thiện (điều này có thể mất thêm vài năm nữa). Một lần nữa, việc chuyển đổi quá sớm có thể dẫn đến việc bị mắc kẹt trong các giải pháp lần hoặc buộc phải chuyển đổi lại sau khi phát hiện ra các lỗ hổng thực tế.
Lưu ý về mô hình tài khoản Ethereum: Ethereum hỗ trợ hai loại tài khoản có tác động khác nhau đến quá trình chuyển đổi hậu lượng tử: Tài khoản bên ngoài (EOA) được kiểm soát bởi private key secp256k1 và ví hợp đồng thông minh với logic ủy quyền có thể lập trình.
Trong các tình huống không khẩn cấp, khi Ethereum bổ sung hỗ trợ cho chữ ký hậu lượng tử, ví hợp đồng thông minh nâng cấp có thể chuyển sang xác minh hậu lượng tử thông qua nâng cấp hợp đồng — trong khi các tài khoản EOA có thể cần chuyển tài sản sang địa chỉ bảo mật hậu lượng tử mới (mặc dù Ethereum cũng có thể cung cấp cơ chế di chuyển chuyên dụng cho các tài khoản EOA). Trong các tình huống khẩn cấp lượng tử, các nhà nghiên cứu Ethereum đã đề xuất hard fork: đóng băng các tài khoản dễ bị tổn thương và cho phép người dùng khôi phục tài sản bằng cách sử dụng SNARK bảo mật hậu lượng tử bằng cách chứng minh họ sở hữu Cụm từ hạt giống . Cơ chế này áp dụng cho cả tài khoản EOA và ví thông minh nâng cấp.
Tác động thực tế đối với người dùng là một ví thông minh được kiểm toán kỹ lưỡng và có khả nâng cấp có thể mang lại lộ trình chuyển đổi mượt mà hơn một chút—nhưng sự khác biệt là không đáng kể, và điều này đi kèm với sự đánh đổi về lòng tin đối với các nhà cung cấp ví và quản trị nâng cấp . Quan trọng hơn cả các loại tài khoản là sự thúc đẩy liên tục cộng đồng Ethereum đối với các nguyên tắc hậu lượng tử và các kế hoạch dự phòng.
Một bài học thiết kế tổng quát hơn: Nhiều blockchain liên kết chặt chẽ danh tính tài khoản với các thuật toán mã hóa cụ thể—ví dụ, Bitcoin và Ethereum đều bị ràng buộc bởi secp256k1, trong khi Chuỗi khác bị ràng buộc bởi EdDSA. Những khó khăn của quá trình chuyển đổi hậu lượng tử làm nổi bật giá trị của việc tách rời danh tính tài khoản khỏi các lược đồ chữ ký cụ thể. Sự phát triển của Ethereum hướng tới tài khoản thông minh, và xu hướng trừu tượng hóa tài khoản trên Chuỗi khác, là ví dụ điển hình cho hướng đi này: cho phép các tài khoản nâng cấp logic xác thực của chúng trong khi vẫn bảo toàn lịch sử và trạng thái Chuỗi . Điều này không làm cho quá trình chuyển đổi hậu lượng tử trở nên đơn giản hơn, nhưng nó làm tăng đáng kể tính linh hoạt so với việc ràng buộc các tài khoản vào một lược đồ chữ ký duy nhất. (Điều này cũng cho phép các chức năng khác như giao dịch ủy quyền, khôi phục xã hội, đa chữ ký, v.v.)
4. Đối với Chuỗi bảo mật, việc di chuyển nên được ưu tiên miễn là hiệu năng cho phép.
Chuỗi này crypto hoặc che giấu chi tiết giao dịch, do đó làm lộ thông tin cá nhân người dùng trước các cuộc tấn công HNDL—mặc dù mức độ nghiêm trọng khác nhau tùy thuộc vào thiết kế. Chuỗi mà chỉ riêng sổ cái công khai đã đủ để nặc danh hoàn toàn thông tin sau giao dịch có rủi ro cao nhất. Các giải pháp lai (hậu lượng tử + cổ điển) có thể được áp dụng trong trường hợp giải pháp hậu lượng tử tự nó tỏ ra không an toàn trong các kịch bản cổ điển, hoặc có thể sử dụng các sửa đổi kiến trúc để tránh đặt các bí mật có thể giải mã trên Chuỗi.
5. Ưu tiên an ninh thực tiễn hơn là giảm thiểu mối đe dọa lượng tử trong ngắn hạn.
Đặc biệt đối với các thuật toán phức tạp như SNARK và chữ ký hậu lượng tử, các lỗ hổng và khai thác (tấn công kênh phụ, tiêm lỗi) sẽ trở nên thực tế và cấp bách hơn nhiều so với CRQC trong những năm tới. Chúng ta nên đầu tư ngay bây giờ vào kiểm toán, kiểm thử mờ, xác minh hình thức và phòng thủ đa lớp—đừng để những lo ngại về mối đe dọa lượng tử che khuất mối đe dọa thực sự cấp bách hơn từ các lỗ hổng!
6. Hỗ trợ phát triển điện toán lượng tử
Từ góc độ an ninh quốc gia, chúng ta phải tiếp tục đầu tư vào nghiên cứu và phát triển điện toán lượng tử cũng như đào tạo nhân tài. Nếu các đối thủ lớn đạt được khả năng điện toán lượng tử (CRQC) trước Hoa Kỳ, điều đó sẽ gây ra rủi ro nghiêm trọng cho an ninh quốc gia của Hoa Kỳ và toàn thế giới.
7. Duy trì quan điểm đúng đắn về các thông báo liên quan đến điện toán lượng tử.
Khi phần cứng lượng tử ngày càng hoàn thiện, những năm tới sẽ chứng kiến lượng lớn thông báo về các cột mốc quan trọng. Nghịch lý thay, chính tần suất của những thông báo này lại chứng tỏ chúng ta vẫn còn khá xa so với CRQC: mỗi cột mốc chỉ là một trong nhiều cây cầu dẫn đến mục tiêu cuối cùng, và mỗi lần vượt qua đều tạo ra một làn sóng chú ý và phấn khích từ giới truyền thông. Thông cáo báo chí nên được xem như báo cáo tiến độ cần đánh giá nghiêm túc, chứ không phải là những tín hiệu đòi hỏi hành động ngay lập tức.
Dĩ nhiên, có thể sẽ có những bước đột phá bất ngờ trong tương lai giúp đẩy nhanh tiến độ; hoặc cũng có thể có những trở ngại nghiêm trọng làm chậm tiến độ.
Tôi muốn nhấn mạnh rằng tôi không cho rằng CRQC là "hoàn toàn bất khả thi" trong vòng năm năm, mà chỉ là "cực kỳ khó xảy ra". Các khuyến nghị nêu trên vẫn vững chắc trước sự không chắc chắn này và có thể giúp chúng ta tránh được rủi ro trực tiếp và thực tế hơn: các lỗ hổng bảo mật, triển khai vội vàng và nhiều lỗi thường gặp trong quá trình chuyển đổi mật khẩu.
