Điện toán lượng tử và blockchain: Đáp ứng nhu cầu cấp thiết với các mối đe dọa thực tế

Rủi ro các lỗi phần mềm gần đây lớn hơn nhiều so với nguy cơ từ các cuộc tấn công lượng tử.

Văn bản gốc: Điện toán lượng tử và chuỗi khối: Cân bằng tính cấp thiết với các mối đe dọa thực tế

Tác giả: Justin Thaler

Biên soạn bởi: Plain Blockchain

Thời gian biểu cho máy tính lượng tử liên quan đến cryptothường bị phóng đại — dẫn đến những yêu cầu cấp bách và toàn diện về việc chuyển đổi sang mật mã hậu lượng tử.

Tuy nhiên, những lời kêu gọi này thường bỏ qua chi phí và rủi ro của việc chuyển đổi quá sớm , và phớt lờ sự khác biệt rất lớn về hồ sơ rủi ro giữa các thuật toán crypto khác nhau:

Crypto, bất chấp chi phí, đòi hỏi triển khai ngay lập tức : Các cuộc tấn công Thu thập-Giải mã-Sau (HNDL) đang diễn ra vì dữ liệu nhạy cảm crypto ngày hôm nay vẫn sẽ có giá trị khi máy tính lượng tử xuất hiện, thậm chí là hàng chục năm nữa. Chi phí hiệu năng và rủi ro triển khai của crypto hậu lượng tử là có thật, nhưng các cuộc tấn công HNDL khiến dữ liệu cần bảo mật lâu dài không còn lựa chọn nào khác .

Chữ ký hậu lượng tử phải đối mặt với những cân nhắc khác nhau. Chúng ít bị tấn công HNDL hơn, và chi phí cũng như rủi ro của chúng (kích thước lớn hơn, chi phí hiệu năng cao hơn, triển khai chưa hoàn thiện và lỗi) đòi hỏi sự cân nhắc kỹ lưỡng thay vì chuyển đổi ngay lập tức .

Những sự phân biệt này rất quan trọng. Sự hiểu lầm có thể làm sai lệch các phân tích lợi ích - chi phí, khiến đội ngũ bỏ qua rủi ro bảo mật nghiêm trọng hơn — chẳng hạn như lỗi phần mềm .

Thách thức thực sự trong việc chuyển đổi thành công sang mật mã hậu lượng tử nằm ở việc cân bằng giữa tính cấp bách và các mối đe dọa thực tế . Dưới đây, tôi sẽ làm rõ những quan niệm sai lầm phổ biến về mối đe dọa của cơ học lượng tử đối với mật mã—bao gồm crypto, chữ ký và Bằng chứng không tri thức—và tập trung đặc biệt vào tác động của chúng đối với blockchain.

Tiến độ thực hiện của chúng ta như thế nào?

Bất chấp nhiều lời bàn tán, khả năng xuất hiện một máy tính lượng tử liên quan đến mật mã học (CRQC) trong những năm 2020 là cực kỳ thấp .

Thuật ngữ "máy tính lượng tử liên quan đến crypto" ở đây có nghĩa là một máy tính lượng tử có khả năng chịu lỗi và tự sửa lỗi, có thể chạy thuật toán Shor ở quy mô đủ lớn để phá vỡ mật mã đường cong elip hoặc các cuộc tấn công RSA trong một khoảng thời gian hợp lý (ví dụ: trong tối đa một tháng tính toán liên tục).

Dựa trên bất kỳ cách diễn giải hợp lý nào về các mốc tiến độ và ước tính nguồn lực được công bố, chúng ta vẫn còn một chặng đường dài để có được một máy tính lượng tử có ý nghĩa crypto . Các công ty đôi khi tuyên bố rằng CRQC có thể khả thi trước năm 2030 hoặc thậm chí trước năm 2035, nhưng tiến độ được công bố không ủng hộ những tuyên bố này .

Để bối cảnh, trong tất cả các kiến ​​trúc hiện tại — ion bị giữ lại, qubit siêu dẫn và hệ thống nguyên tử trung tính — các nền tảng điện toán lượng tử hiện nay vẫn chưa đạt đến hàng trăm nghìn đến hàng triệu qubit vật lý (tùy thuộc vào tỷ lệ lỗi và sơ đồ sửa lỗi) cần thiết để thực hiện tấn công thuật toán Shor {RSA-2048} hoặc {secp}256{k}1.

Các yếu tố hạn chế không chỉ là số lượng qubit, mà còn là độ chính xác của cổng logic , khả năng kết nối giữa các qubit và độ sâu mạch sửa lỗi liên tục cần thiết để chạy các thuật toán lượng tử độ sâu . Mặc dù một số hệ thống hiện nay đã vượt quá 1.000 qubit vật lý , nhưng con số qubit ban đầu lại gây hiểu lầm : các hệ thống này thiếu khả năng kết nối giữa các qubit và độ chính xác của cổng logic cần thiết cho các phép tính liên quan crypto.

Các hệ thống gần đây đã tiến rất gần đến tỷ lệ lỗi vật lý mà tại đó việc sửa lỗi lượng tử bắt đầu hoạt động , nhưng chưa ai chứng minh được độ sâu mạch sửa lỗi bền vững vượt quá vài qubit logic … chứ chưa nói đến hàng nghìn qubit logic có độ chính xác cao, mạch sâu, chịu lỗi cần thiết để thực sự chạy thuật toán Shor. Khoảng cách giữa việc chứng minh sửa lỗi lượng tử khả thi về nguyên tắc và quy mô cần thiết để thực hiện phân tích mật mã vẫn còn rất lớn.

Tóm lại: trừ khi số lượng qubit và độ chính xác đều tăng lên nhiều bậc , máy tính lượng tử dùng cho crypto vẫn còn rất xa vời.

Tuy nhiên, thông cáo báo chí của doanh nghiệp và các bài báo trên phương tiện truyền thông có thể gây nhầm lẫn. Dưới đây là một số nguồn gây hiểu lầm và nhầm lẫn phổ biến, bao gồm:

• Các cuộc trình diễn tuyên bố "lợi thế lượng tử" hiện đang nhắm vào nhiệm vụ do con người tạo ra . Nhiệm vụ này được lựa chọn không phải vì tính khả thi mà vì chúng có thể chạy trên phần cứng hiện có trong khi vẫn thể hiện sự tăng tốc lượng tử đáng kể - một sự thật thường bị che giấu trong các thông báo .
• Công ty này tuyên bố đã đạt được hàng nghìn qubit vật lý. Tuy nhiên, điều này đề cập đến một máy ủ lượng tử , chứ không phải là máy mô hình cổng cần thiết để chạy thuật toán Shor nhằm tấn công mật mã khóa công khai.
• Các công ty được tự do sử dụng thuật ngữ "qubit logic". Các qubit vật lý thường nhiễu loạn. Như đã đề cập trước đó, các thuật toán lượng tử yêu cầu các qubit logic ; thuật toán Shor yêu cầu hàng nghìn qubit. Sử dụng sửa lỗi lượng tử, một qubit logic có thể được triển khai với nhiều qubit vật lý—thường là hàng trăm đến hàng nghìn, tùy thuộc vào tỷ lệ lỗi. Tuy nhiên, một số công ty đã mở rộng thuật ngữ này vượt xa ý nghĩa ban đầu của nó . Ví dụ, một thông báo gần đây tuyên bố đã triển khai một qubit logic sử dụng mã khoảng cách-2 và chỉ hai qubit vật lý . Điều này thật vô lý : mã khoảng cách-2 chỉ có thể phát hiện lỗi, chứ không thể sửa lỗi. Một qubit logic thực sự chịu lỗi cho phân tích mật mã cần hàng trăm đến hàng nghìn qubit vật lý, chứ không phải hai .
• Nói một cách tổng quát hơn, nhiều lộ trình điện toán lượng tử sử dụng thuật ngữ "qubit logic" để chỉ các qubit chỉ hỗ trợ các phép toán Clifford . Các phép toán này có thể được mô phỏng hiệu quả bằng các ngôn ngữ cổ điển và do đó không đủ để chạy thuật toán Shor, vốn yêu cầu hàng nghìn cổng T sửa lỗi (hoặc nói chung hơn, các cổng không phải Clifford).
• Ngay cả khi trong đó những lộ trình đặt mục tiêu "đạt được hàng nghìn qubit logic trong năm X", điều đó không có nghĩa là công ty kỳ vọng sẽ chạy thuật toán Shor để phá vỡ mật mã cổ điển trong cùng năm X.

Những hành vi này đã làm sai lệch nghiêm trọng nhận thức của công chúng về mức độ gần gũi của chúng ta với máy tính lượng tử crypto, ngay cả đối với những người quan sát dày dạn kinh nghiệm.

Nói cách khác, một số chuyên gia thực sự rất hào hứng với sự tiến bộ này. Ví dụ, Scott Aaronson gần đây đã viết rằng , với "tốc độ phát triển phần cứng đáng kinh ngạc hiện đang được thực hiện,"

Giờ đây tôi cho rằng việc chúng ta có một máy tính lượng tử chịu lỗi chạy thuật toán Shor trước cuộc bầu cử tổng thống Mỹ tiếp theo là một khả năng hoàn toàn có thể xảy ra .

Sau đó, Aaronson đã làm rõ rằng tuyên bố của ông không ám chỉ một máy tính lượng tử có liên quan đến mật mã: ông cho rằng ngay cả một thuật toán Shor hoàn toàn chịu lỗi có thể phân tích thừa số 15 = 3 × 5 cũng sẽ được coi là một cách triển khai – một phép tính có thể được thực hiện nhanh hơn nhiều bằng bút chì và giấy. Tiêu chuẩn hiện nay vẫn là các cách triển khai quy mô nhỏ của thuật toán Shor , chứ không phải các cách triển khai có liên quan crypto, bởi vì các thí nghiệm trước đây về việc phân tích thừa số 15 trên máy tính lượng tử đã sử dụng các mạch đơn giản, chứ không phải thuật toán Shor đầy đủ, chịu lỗi. Hơn nữa, có một lý do tại sao các thí nghiệm này luôn phân tích được thừa số 15: các phép tính số học modulo 15 rất dễ dàng, trong khi việc phân tích thừa số các số lớn hơn một chút như 21 khó hơn nhiều. Do đó, các thí nghiệm lượng tử tuyên bố phân tích được thừa số 21 thường dựa vào các gợi ý hoặc lối tắt bổ sung.

Tóm lại, kỳ vọng rằng một máy tính lượng tử có liên quan đến crypto, có khả năng phá vỡ {RSA-2048} hoặc {secp}256{k}1 sẽ xuất hiện trong vòng 5 năm tới — điều này rất quan trọng đối với mật mã học thực tiễn — hiện chưa có tiến triển nào được công bố rộng rãi để chứng minh .

Ngay cả 10 năm vẫn là một mục tiêu đầy tham vọng. Xét đến việc chúng ta còn cách xa máy tính lượng tử dùng trong crypto, việc hào hứng với những tiến bộ đạt được hoàn toàn phù hợp với một mốc thời gian hơn một thập kỷ .

Vậy còn việc chính phủ Mỹ đặt ra năm 2035 làm hạn chót cho quá trình chuyển đổi toàn diện hệ thống chính phủ sang kỷ nguyên hậu lượng tử (PQ) thì sao? Tôi cho rằng đó là một mốc thời gian hợp lý để hoàn thành quá trình chuyển đổi quy mô lớn như vậy. Tuy nhiên, điều đó không có nghĩa là máy tính crypto liên quan đến mật mã sẽ tồn tại vào thời điểm đó.

Trong những trường hợp nào thì tấn công HNDL có thể áp dụng (và trong những trường hợp nào thì không)?

Tấn công HNDL (Hidden-Nearest-Decryption) đề cập đến việc kẻ thù lưu trữ lưu lượng truy cập crypto hiện tại và sau đó giải mã nó khi crypto tính lượng tử tương ứng tồn tại . Dân tộc chắc chắn sẽ lưu trữ các thông tin liên lạc crypto từ chính phủ Hoa Kỳ trên quy mô lớn , với ý định giải mã chúng nhiều năm sau khi CRQC (Confidential Communications Control Center) thực sự tồn tại.

Đây là lý do tại sao cần phải chuyển sang sử dụng mã hóa ngay lập tức — ít nhất là đối với bất kỳ ai cần bảo mật thông tin trong vòng 10-50 năm trở lên.

Tuy nhiên, chữ ký số — thứ mà tất cả blockchain đều dựa vào — khác với crypto : không có tính bảo mật nào có thể truy ngược lại nguồn gốc của một cuộc tấn công .

Nói cách khác, mặc dù ngụy tạo chữ ký có thể trở nên khả thi khi máy tính lượng crypto ra đời, nhưng các chữ ký cũ không "che giấu" bí mật như các tin nhắn crypto. Miễn là bạn biết chữ ký số đó được tạo ra trước khi có CRQC, thì nó không thể bị ngụy tạo .

Điều này khiến quá trình chuyển đổi sang chữ ký số hậu lượng tử trở nên ít cấp bách hơn so với quá trình chuyển đổi hậu lượng tử sang crypto .

Các nền tảng lớn đang có những hành động tương ứng: Chrome và Cloudflare đã triển khai cryptolai {X}25519+{ML-KEM} cho Giao thức Bảo mật Lớp Vận chuyển (TLS). Để dễ đọc hơn, tôi sẽ sử dụng lược đồ crypto trong bài viết này, mặc dù nói một cách chính xác, các giao thức truyền thông an toàn như TLS sử dụng cơ chế trao đổi khóa hoặc đóng gói khóa, chứ không phải crypto khóa công khai.

Thuật ngữ "lai" ở đây có nghĩa là sử dụng đồng thời cả lược đồ bảo mật hậu lượng tử (tức là ML-KEM) và lược đồ hiện có ({X}25519) để đạt được sự đảm bảo an ninh kết hợp của cả hai. Bằng cách này, họ có thể (hy vọng) ngăn chặn các cuộc tấn công HNDL thông qua ML-KEM, đồng thời duy trì tính bảo mật cổ điển thông qua {X}25519 nếu ML-KEM tỏ ra không an toàn ngay cả đối với các máy tính hiện nay.

Ứng dụng iMessage của Apple cũng sử dụng crypto lượng tử lai này thông qua giao thức PQ3 , còn Signal sử dụng nó thông qua các giao thức PQXDH và SPQR .

Ngược lại, việc triển khai chữ ký số hậu lượng tử cho cơ sở hạ tầng mạng quan trọng đang bị trì hoãn cho đến khi các máy tính lượng tử có liên quan cryptothực sự trở nên khả thi , bởi vì các phương pháp chữ ký hậu lượng tử hiện tại gây ra giảm hiệu năng (điều này sẽ được thảo luận chi tiết hơn ở phần sau của bài viết này).

zkSNARKs —các lập luận kiến ​​thức không tương tác ngắn gọn, không tiết lộ thông tin— là chìa khóa cho mở rộng và tính riêng tư lâu dài blockchain —tương tự như chữ ký điện tử. Điều này là bởi vì ngay cả đối với các zkSNARKs không an toàn ở cấp độ hậu lượng tử (sử dụng mật mã đường cong elip, giống như các lược đồ crypto và chữ ký không hậu lượng tử hiện nay), các thuộc tính không tiết lộ thông tin của chúng vẫn an toàn ở cấp độ hậu lượng tử .

Tính chất không tiết lộ thông tin đảm bảo rằng không có thông tin nào về các nhân chứng bí mật bị tiết lộ trong bằng chứng—ngay cả với các đối thủ lượng tử—do đó không có thông tin bí mật nào có sẵn để "truy cập lần đầu" để giải mã sau này .

Do đó, {zkSNARKs} không dễ bị tấn công giải mã trước . Cũng giống như các chữ ký không được tạo ra sau thời kỳ lượng tử hiện nay đều an toàn, bất kỳ bằng chứng {zkSNARK} nào được tạo ra trước khi máy tính lượng tử có liên quan đến crypto mã xuất hiện đều đáng tin cậy (tức là tuyên bố được chứng minh là hoàn toàn đúng) — ngay cả khi {zkSNARK} sử dụng mật mã đường cong elliptic. Chỉ sau khi máy tính lượng crypto xuất hiện, kẻ tấn công mới có thể tìm ra bằng chứng thuyết phục về các tuyên bố sai .

Điều này có ý nghĩa gì đối với blockchain?

Hầu hết blockchain không bị tấn công HNDL:

• Hầu hết Chuỗi không chú trọng đến tính riêng tư , chẳng hạn như Bitcoin và Ethereum hiện nay, chủ yếu sử dụng mật mã phi hậu lượng tử để xác thực giao dịch — nghĩa là, chúng sử dụng chữ ký số thay vì crypto.
• Tương tự, những chữ ký này không phải là rủi ro HNDL : các cuộc tấn công "giải mã trước" áp dụng cho dữ liệu được mã hóa . Ví dụ, blockchain của Bitcoin là công khai; mối đe dọa lượng tử là ngụy tạo chữ ký (lấy được private key để đánh cắp tiền), chứ không phải giải mã dữ liệu giao dịch đã được công khai. Điều này loại bỏ tính cấp bách crypto tức thời do các cuộc tấn công HNDL gây ra.
• Đáng tiếc là, ngay cả những phân tích từ các nguồn đáng tin cậy như Cục Dự trữ Liên bang cũng đã đưa ra nhận định sai lầm rằng Bitcoin dễ bị tấn công HNDL , một sai lầm làm phóng đại tính cấp thiết của việc chuyển đổi sang mật mã hậu lượng tử.
• Tuy nhiên, việc giảm bớt tính cấp bách không có nghĩa là Bitcoin có thể chờ đợi : nó phải đối mặt với nhiều áp lực về thời gian do sự phối hợp xã hội khổng lồ cần thiết để thay đổi giao thức .

Tính đến nay, ngoại lệ là Chuỗi bảo mật , nhiều trong đómã hóa hoặc che giấu người nhận và số tiền . Một khi máy tính lượng tử có thể phá vỡ mật mã đường cong elip, tính bảo mật này giờ đây có thể được thu thập và nặc danh danh tính một cách hồi tố .

Đối với Chuỗi bảo mật như vậy, mức độ nghiêm trọng của một cuộc tấn công sẽ khác nhau tùy thuộc vào thiết kế blockchain. Ví dụ, đối với chữ ký vòng dựa trên đường cong và hình ảnh khóa Monero (thẻ liên kết cho mỗi đầu ra được sử dụng để ngăn chặn chi tiêu kép), sổ cái công khai tự nó đã đủ để tái tạo lại biểu đồ chi tiêu. Nhưng trong Chuỗi khác, thiệt hại sẽ hạn chế hơn — xem thảo luận của Sean Bowe, một kỹ sư và nhà nghiên cứu crypto Zcash, để biết thêm chi tiết.

Nếu việc các giao dịch của người dùng không bị lộ cho các máy tính lượng tử liên quan đến crypto là điều quan trọng, thì Chuỗi bảo mật nên chuyển sang các thuật toán hậu lượng tử (hoặc các lược đồ lai) càng sớm càng tốt . Hoặc, chúng nên áp dụng một kiến ​​trúc tránh đặt các bí mật có thể giải mã trên Chuỗi .

Những thách thức độc đáo của Bitcoin: quản trị + sự lỗi thời

Riêng với Bitcoin, hai thực tế đã thúc đẩy sự cấp thiết phải bắt đầu quá trình chuyển đổi sang chữ ký số hậu lượng tử. Cả hai thực tế này đều không liên quan đến công nghệ lượng tử.

Một mối lo ngại là tốc độ quản trị: Bitcoin thay đổi rất chậm. Nếu cộng đồng không thể thống nhất các giải pháp phù hợp, bất kỳ vấn đề gây tranh cãi nào cũng có thể dẫn đến một đợt phân hard fork) mang tính phá hoại .

Một mối lo ngại khác là sau quá trình chuyển đổi Bitcoin, chữ ký lượng tử không thể được di chuyển một cách thụ động : người sở hữu phải chủ động di chuyển tiền của họ . Điều này có nghĩa là những đồng tiền lỗi thời, dễ bị tấn công lượng tử sẽ không được bảo vệ . Một số ước tính cho rằng số lượng BTC dễ bị tấn công lượng tử và có khả năng lỗi thời lên tới hàng triệu đồng , trị giá hàng chục tỷ đô la theo giá hiện tại (tính đến tháng 12 năm 2025).

Tuy nhiên, mối đe dọa lượng tử đối với Bitcoin sẽ không phải là một thảm họa đột ngột, xảy ra chỉ sau một đêm … mà là một quá trình nhắm mục tiêu có chọn lọc và dần dần . Máy tính lượng tử không thể phá vỡ tất cả crypto cùng một lúc — thuật toán Shor phải nhắm mục tiêu vào một khóa công khai tại một thời điểm . Các cuộc tấn công lượng tử ban đầu sẽ cực kỳ tốn kém và chậm . Do đó, một khi máy tính lượng tử có thể bẻ khóa một khóa chữ ký Bitcoin duy nhất, kẻ tấn công sẽ nhắm mục tiêu có chọn lọc vào các ví có giá trị cao .

Hơn nữa, những người dùng tránh tái sử dụng địa chỉ và không sử dụng địa chỉ Taproot —vốn để lộ trực tiếp khóa công khai trên Chuỗi— được bảo vệ phần lớn ngay cả khi không có thay đổi giao thức: khóa công khai của họ được ẩn sau các hàm băm trước khi tiền của họ được chi tiêu. Khi họ cuối cùng phát sóng một giao dịch chi tiêu, khóa công khai sẽ hiển thị và một cuộc đua ngắn, thời gian thực diễn ra giữa những người chi tiêu trung thực cần xác nhận giao dịch của họ và những kẻ tấn công được trang bị lượng tử muốn tìm private key và chi tiêu tiền trước khi giao dịch của chủ sở hữu thực sự được hoàn tất . Do đó, những đồng tiền thực sự dễ bị tổn thương là những đồng tiền có khóa công khai bị lộ : các đầu ra K-output ngang hàng ban đầu, địa chỉ được tái sử dụng và các khoản nắm giữ Taproot .

Không có giải pháp dễ dàng nào cho các loại tiền điện tử dễ bị tổn thương đã bị bỏ rơi . Một số lựa chọn bao gồm:

• Cộng đồng Bitcoin đã nhất trí về một "ngày đánh dấu" , sau đó bất kỳ đồng tiền nào chưa được chuyển đổi sẽ bị tuyên bố là đã bị xóa.
• Đồng xu dễ bị tấn công lượng tử bị bỏ rơi có thể dễ dàng bị chiếm đoạt bởi bất kỳ ai sở hữu máy tính lượng tử có liên quan đến crypto.

Phương án thứ hai sẽ đặt ra những vấn đề pháp lý và an ninh nghiêm trọng . Việc sử dụng máy tính lượng tử để sở hữu tiền điện tử mà không có private key– ngay cả khi người ta tuyên bố quyền sở hữu hợp pháp hoặc thiện chí – có thể gây ra những vấn đề nghiêm trọng theo luật trộm cắp và gian lận máy tính ở nhiều quốc gia.

Hơn nữa, bản thân thuật ngữ "lỗi thời" dựa trên giả định về sự không hoạt động. Nhưng không ai thực sự biết liệu những đồng tiền này có thiếu chủ sở hữu còn sống nắm giữ khóa hay không. Bằng chứng cho thấy bạn từng sở hữu những đồng tiền này có thể không đủ để cung cấp thẩm quyền pháp lý để phá vỡ crypto và thu hồi chúng. Sự mơ hồ về mặt pháp lý này làm tăng khả năng các đồng tiền lượng tử lỗi thời, dễ bị tổn thương sẽ rơi vào tay những kẻ xấu sẵn sàng bỏ qua các hạn chế pháp lý .

Vấn đề cuối cùng và đặc thù của Bitcoin là tốc độ xử lý giao dịch thấp . Ngay cả khi kế hoạch chuyển đổi được hoàn tất và tất cả các khoản tiền dễ bị tấn công lượng tử được chuyển sang các địa chỉ an toàn sau tấn công lượng tử, thì vẫn sẽ mất nhiều tháng với tốc độ giao dịch hiện tại của Bitcoin.

Những thách thức này khiến việc Bitcoinbắt đầu lên kế hoạch cho quá trình chuyển đổi lượng tử tiếp theo ngay từ bây giờ trở nên vô cùng quan trọng — không phải vì máy tính lượng tử mật mã có thể xuất hiện trước năm 2030, mà vì việc quản trị, phối hợp và hậu cần kỹ thuật cần thiết để di chuyển hàng tỷ đô la tiền điện tử sẽ mất nhiều năm để giải quyết .

Mối đe dọa lượng tử đối với Bitcoin là có thật, nhưng áp lực về thời gian xuất phát từ những hạn chế Bitcoin , chứ không phải từ mối đe dọa tiềm tàng của máy tính lượng tử. Trong khi blockchain khác phải đối mặt với những thách thức về tài trợ cho việc khắc phục lỗ hổng lượng tử, Bitcoin lại đối mặt với một điểm yếu độc đáo : các giao dịch sớm nhất của nó sử dụng phương thức thanh toán trực tiếp đến khóa công khai (peer-to-peer K) , đặt khóa công khai trực tiếp trên Chuỗi, khiến một phần đáng kể BTC đặc biệt dễ bị tấn công bởi các máy tính lượng tử liên quan đến crypto . Sự khác biệt về công nghệ này — cùng với tuổi đời, giá trị tập trung, thông lượng thấp và quản trị cứng nhắc của Bitcoin — làm trầm trọng thêm vấn đề.

Xin lưu ý rằng lỗ hổng mà tôi đã mô tả ở trên áp dụng cho tính bảo mật crypto của chữ ký số Bitcoin — nhưng không áp dụng cho tính bảo mật kinh tế của blockchain Bitcoin. Tính bảo mật kinh tế này bắt nguồn từ cơ chế đồng thuận Proof-of-Work (PoW) , vốn không dễ bị tấn công bởi máy tính lượng tử vì ba lý do sau:

• PoW dựa trên hàm băm, do đó chỉ bị ảnh hưởng bởi sự tăng tốc lượng tử lần của thuật toán tìm kiếm Grover , chứ không bị ảnh hưởng bởi sự tăng tốc theo cấp số mũ của thuật toán Shor.
• Việc triển khai thuật toán tìm kiếm Grover đòi hỏi chi phí thực tế rất cao , khiến cho việc bất kỳ máy tính lượng tử nào đạt được tốc độ cải thiện dù chỉ ở mức khiêm tốn so với cơ chế Bằng chứng công việc của Bitcoin là điều cực kỳ khó xảy ra.
• Ngay cả khi có những cải thiện đáng kể về tốc độ, những cải thiện này sẽ mang lại lợi thế cho thợ đào tử quy mô lớn so với thợ đào nhỏ hơn, nhưng sẽ không làm suy yếu về cơ bản mô hình an ninh kinh tế của Bitcoin.

Chi phí và rủi ro của chữ ký hậu lượng tử

Để hiểu tại sao blockchain không nên vội vàng triển khai chữ ký hậu lượng tử, chúng ta cần hiểu chi phí hiệu năng và mức độ tin tưởng của chúng ta vào sự phát triển của bảo mật hậu lượng tử .

Hầu hết các công nghệ mật mã hậu lượng tử đều dựa trên một trong năm phương pháp sau:

1. Mã băm
2. Mã hóa
3. mạng lưới
4. Hệ phương trình lần đa biến (MQ)
5. Sự đồng hình.

Tại sao lại có năm phương pháp khác nhau? Tính bảo mật của bất kỳ crypto hậu lượng tử nào đều dựa trên giả định rằng máy tính lượng tử không thể giải quyết hiệu quả một số bài toán toán học nhất định. Bài toán càng "có cấu trúc" phức tạp, thì các giao thức crypto chúng ta có thể xây dựng từ đó càng hiệu quả.

Tuy nhiên, điều này có cả ưu điểm và nhược điểm : cấu trúc bổ sung cũng tạo ra nhiều kẽ hở hơn cho các thuật toán tấn công khai thác . Điều này tạo ra một mâu thuẫn cơ bản — các giả định mạnh mẽ hơn có thể đạt được hiệu suất tốt hơn, nhưng phải trả giá bằng lỗ hổng bảo mật tiềm tàng (tức là khả năng các giả định đó bị chứng minh là sai sẽ cao hơn ).

Nhìn chung, phương pháp dựa trên hàm băm là những phương pháp bảo mật an toàn nhất vì chúng ta tin tưởng nhất rằng máy tính lượng tử không thể tấn công hiệu quả các giao thức này. Tuy nhiên, chúng cũng có hiệu suất kém nhất . Ví dụ, lược đồ chữ ký số dựa trên hàm băm được NIST tiêu chuẩn hóa, ngay cả với các thiết lập tham số tối thiểu, cũng có kích thước từ 7-8 KB . Ngược lại, chữ ký số dựa trên đường cong elliptic hiện nay chỉ có kích thước 64 byte . Đó là sự khác biệt về kích thước gấp khoảng 100 lần .

Các lược đồ mạng lưới là trọng tâm chính trong việc triển khai hiện nay. NIST đã chọn các lược đồ dựa trên crypto cho tiêu chuẩn hóa của mình, và hai trong ba thuật toán chữ ký của họ cũng dựa trên mạng lưới này. Một lược đồ mạng lưới ( ML-DSA , trước đây được gọi là Dilithium) tạo ra các chữ ký có kích thước từ 2,4 KB (ở mức bảo mật 128 bit) đến 4,6 KB (ở mức bảo mật 256 bit) — khiến nó lớn hơn khoảng 40-70 lần so với các chữ ký dựa trên đường cong elliptic hiện nay . Một lược đồ mạng lưới khác, Falcon, có chữ ký nhỏ hơn một chút (666 byte cho Falcon-512 và 1,3 KB cho Falcon-1024), nhưng liên quan đến các phép toán dấu phẩy động phức tạp, điều mà chính NIST đánh dấu là một thách thức triển khai đặc biệt . Thomas Pornin, một trong những người tạo ra Falcon , gọi nó là "thuật toán crypto phức tạp nhất mà tôi từng triển khai".

Việc triển khai chữ ký số dựa trên mạng lưới cũng khó khăn hơn so với các lược đồ chữ ký dựa trên đường cong elip: ML-DSA có các trung gian nhạy cảm hơn và logic từ chối phức tạp , đòi hỏi khả năng bảo vệ chống tấn công kênh phụ và lỗi . Falcon còn thêm vấn đề về tính toán dấu phẩy động với thời gian không đổi ; trên thực tế, lần cuộc tấn công kênh phụ vào các triển khai Falcon đã khôi phục được khóa bí mật .

Những vấn đề này tiềm ẩn rủi ro tức thời , khác với mối đe dọa xa vời từ máy tính lượng tử liên quan đến crypto.

Có những lý do chính đáng để thận trọng khi triển khai phương pháp mã hóa hậu lượng tử hiệu năng cao hơn. Lịch sử, các ứng cử viên hàng đầu như Rainbow (một lược đồ chữ ký dựa trên MQ) và SIKE/SIDH (một lược đồ crypto dựa trên đồng nhất) đã bị phá vỡ bằng phương pháp cổ điển , nghĩa là chúng bị phá vỡ bằng máy tính hiện nay , chứ không phải máy tính lượng tử.

Điều này xảy ra rất muộn trong quá trình tiêu chuẩn hóa của NIST. Đây là một ví dụ về khoa học lành mạnh, nhưng nó cho thấy rằng việc tiêu chuẩn hóa và triển khai quá sớm có thể phản tác dụng .

Như đã đề cập trước đó, cơ sở hạ tầng internet đang thực hiện một phương pháp có chủ đích đối với việc chuyển đổi chữ ký. Điều này đặc biệt đáng chú ý khi xét đến thời gian cần thiết để quá trình chuyển đổi crypto của internet bắt đầu. Việc chuyển đổi từ các hàm băm MD5 và SHA-1—về mặt kỹ thuật đã bị các quản trị viên mạng loại bỏ từ nhiều năm trước—đã mất nhiều năm để thực sự được triển khai trong cơ sở hạ tầng, và trong một số trường hợp vẫn đang tiếp diễn. Điều này là do các phương pháp này hoàn toàn dễ bị tổn thương , chứ không chỉ có khả năng dễ bị tổn thương bởi các công nghệ trong tương lai.

Những thách thức đặc thù của blockchain và cơ sở hạ tầng internet

May mắn thay, blockchain như Ethereum hay Solana , được cộng đồng nhà phát triển mã nguồn mở cực duy trì, có thể nâng cấp nhanh hơn nhiều so với cơ sở hạ tầng mạng truyền thống . Mặt khác, cơ sở hạ tầng mạng truyền thống được hưởng lợi từ việc xoay vòng khóa thường xuyên , có nghĩa là bề mặt tấn công của nó di chuyển nhanh hơn nhiều so với khả năng của các máy lượng tử đời đầu — một lợi thế mà blockchain không có vì tiền điện tử và các khóa liên quan của chúng có thể bị lộ vô thời hạn .

Tuy nhiên, nhìn chung, blockchain vẫn nên tuân thủ phương pháp chuyển đổi chữ ký được thiết kế kỹ lưỡng của mạng lưới . Cả hai thiết lập chữ ký đều không khiến mạng lưới dễ bị tấn công HNDL, và bất kể tính bền vững của khóa, chi phí và rủi ro của việc chuyển đổi sớm sang một sơ đồ hậu lượng tử chưa hoàn thiện vẫn rất đáng kể .

Ngoài ra còn có những thách thức đặc thù blockchain khiến việc chuyển đổi sớm trở nên đặc biệt rủi ro và phức tạp: ví dụ, blockchain có những yêu cầu riêng biệt đối với các lược đồ chữ ký, đặc biệt là khả năng tổng hợp nhanh chóng nhiều chữ ký . Hiện nay, chữ ký BLS được sử dụng phổ biến vì khả năng tổng hợp rất nhanh, nhưng chúng không an toàn trước các mối đe dọa hậu lượng tử . Các nhà nghiên cứu đang khám phá việc tổng hợp chữ ký hậu lượng tử dựa trên SNARK . Công trình này đầy hứa hẹn nhưng vẫn còn ở giai đoạn đầu .

Đối với SNARK , cộng đồng hiện đang tập trung vào các cấu trúc dựa trên hàm băm như là lựa chọn hậu lượng tử hàng đầu. Nhưng một sự thay đổi lớn đang đến gần : Tôi tin rằng trong những tháng và năm tới, các tùy chọn dựa trên mạng lưới sẽ trở thành những lựa chọn thay thế hấp dẫn. Những lựa chọn thay thế này sẽ mang lại hiệu suất tốt hơn so với SNARK dựa trên hàm băm ở nhiều khía cạnh, chẳng hạn như bằng chứng ngắn hơn — tương tự như cách chữ ký dựa trên mạng lưới ngắn hơn chữ ký dựa trên hàm băm.

Vấn đề lớn hơn hiện nay: đảm bảo an ninh

Trong những năm tới, việc khai thác các lỗ hổng bảo mật sẽ gây ra rủi ro an ninh lớn hơn so với các máy tính lượng tử liên quan đến crypto . Đối với {SNARKs}, mối quan tâm chính là các lỗi chương trình (bug) .

Lỗi chương trình vốn đã là một thách thức đối với chữ ký số và các lược đồ crypto, và {SNARK} còn phức tạp hơn nhiều . Thật vậy, một lược đồ chữ ký số có thể được xem như một {zkSNARK} rất đơn giản, trong đó nêu rõ: "Tôi biết private key tương ứng với khóa công khai của mình và tôi cho phép gửi thông điệp này."

Đối với chữ ký hậu lượng tử, rủi ro tức thời cũng bao gồm các cuộc tấn công triển khai , chẳng hạn như tấn công kênh phụ và tấn công tiêm lỗi . Các loại tấn công này đã được ghi nhận rõ ràng và có thể rút khóa bí mật từ các hệ thống đã triển khai. Chúng gây ra mối đe dọa cấp bách hơn so với máy tính lượng tử ở xa.

Cộng đồng sẽ làm việc trong nhiều năm để xác định và khắc phục các lỗi quy trình trong {SNARKs} và tăng cường các triển khai chữ ký hậu lượng tử để chống lại các cuộc tấn công kênh phụ và tấn công chèn lỗi. Vì mọi thứ vẫn đang dần ổn định liên quan đến {SNARKs} hậu lượng tử và các lược đồ tổng hợp chữ ký, blockchain chuyển đổi quá sớm rủi ro bị mắc kẹt trong các giải pháp lần . Chúng có thể cần phải di chuyển lại khi các lựa chọn tốt hơn xuất hiện hoặc khi các lỗ hổng triển khai được phát hiện.

Chúng ta nên làm gì? 7 gợi ý

Dựa trên những thực tế tôi đã nêu ở trên, tôi xin kết luận bằng một vài lời khuyên dành cho các bên liên quan – từ các nhà xây dựng đến các nhà hoạch định chính sách. Nguyên tắc chính: Hãy xem mối đe dọa lượng tử một cách nghiêm túc, nhưng đừng hành động dựa trên giả định rằng máy tính lượng tử có liên quan đến crypto sẽ xuất hiện trước năm 2030. Giả định này chưa được xác nhận bởi những phát triển hiện tại. Tuy nhiên, vẫn còn những việc chúng ta có thể và nên làm ngay bây giờ:

Chúng ta nên triển khai crypto lai ngay lập tức .

Hoặc ít nhất là khi việc bảo mật lâu dài là quan trọng và chi phí ở mức chấp nhận được .

Nhiều trình duyệt, CDN và ứng dụng nhắn tin (như iMessage và Signal) đã triển khai phương pháp kết hợp . Phương pháp kết hợp này — hậu lượng tử + cổ điển — có thể chống lại các cuộc tấn công HNDL đồng thời giảm thiểu các điểm yếu tiềm tàng trong các giải pháp hậu lượng tử.

Hãy sử dụng chữ ký dựa trên hàm băm ngay khi kích thước cho phép .

Việc cập nhật phần mềm/firmware—và các trường hợp tương tự có tần suất thấp và không nhạy cảm với kích thước —nên ngay lập tức áp dụng chữ ký dựa trên hàm băm lai . (Cách tiếp cận lai này nhằm mục đích phòng ngừa các lỗi triển khai trong sơ đồ mới, chứ không phải vì các giả định bảo mật của chữ ký dựa trên hàm băm bị nghi ngờ.)

Đây là một cách tiếp cận thận trọng và cung cấp cho xã hội một "phao cứu sinh" rõ ràng trong trường hợp không mấy khả thi là máy tính lượng tử dùng cho crypto bất ngờ xuất hiện sớm hơn dự kiến. Nếu không triển khai trước các bản cập nhật phần mềm chữ ký hậu lượng tử, chúng ta sẽ phải đối mặt với vấn đề khởi động lại sau khi CRQC xuất hiện: chúng ta sẽ không thể phân phối một cách an toàn các bản vá lỗi mật mã hậu lượng tử cần thiết để chống lại nó.

Blockchainkhông cần phải vội vàng triển khai chữ ký điện tử hậu lượng tử, nhưng việc lập kế hoạch nên bắt đầu ngay lập tức .

Các nhà phát triển blockchain nên noi theo sự dẫn dắt của cộng đồng PKI mạng và áp dụng phương pháp thận trọng đối với việc triển khai chữ ký hậu lượng tử. Điều này cho phép các lược đồ chữ ký hậu lượng tử tiếp tục hoàn thiện về hiệu suất và sự hiểu biết của chúng ta về tính bảo mật của chúng. Phương pháp này cũng cho các nhà phát triển thời gian để thiết kế lại hệ thống nhằm xử lý các chữ ký lớn hơn và phát triển các kỹ thuật tổng hợp tốt hơn .

• Đối với Bitcoin và các loại tiền điện tử L1 khác: cộng đồng cần xác định lộ trình và chính sách di chuyển đối với các khoản tiền bị bỏ rơi, dễ bị tấn công lượng tử . Việc di chuyển thụ động là không khả thi , vì vậy việc lập kế hoạch là rất quan trọng. Và xét đến những thách thức phi kỹ thuật độc đáo Bitcoin— quản trị chậm và lượng lớncác địa chỉ có giá trị cao, có khả năng bị bỏ rơi, dễ bị tấn công lượng tử — việc cộng đồng Bitcoin bắt đầu lập kế hoạch ngay từ bây giờ là đặc biệt quan trọng.
• Đồng thời, chúng ta cần cho phép nghiên cứu về SNARK hậu lượng tử và các chữ ký tổng hợp được hoàn thiện (điều này có thể mất thêm vài năm nữa ). Một lần nữa, việc chuyển đổi quá sớm tiềm ẩn rủi ro bị mắc kẹt trong các giải pháp lần hoặc cần phải chuyển đổi lần để giải quyết các lỗi triển khai.
• Một lưu ý về mô hình tài khoản của Ethereum: Ethereum hỗ trợ hai loại tài khoản có tác động khác nhau đến quá trình chuyển đổi hậu lượng tử — Tài khoản sở hữu bên ngoài (EOA) , một loại tài khoản truyền thống được kiểm soát bởi private key{secp}256{k}1; và ví hợp đồng thông minh với logic ủy quyền có thể lập trình .
  • Trong các tình huống không khẩn cấp , nếu Ethereum bổ sung hỗ trợ cho chữ ký hậu lượng tử, ví hợp đồng thông minh nâng cấp có thể chuyển sang xác minh hậu lượng tử thông qua nâng cấp hợp đồng — trong khi các EOA có thể cần chuyển tiền của họ sang một địa chỉ an toàn hậu lượng tử mới (mặc dù Ethereum có thể cũng sẽ cung cấp một cơ chế di chuyển chuyên dụng cho EOA).
  • Trong trường hợp khẩn cấp lượng tử , các nhà nghiên cứu Ethereum đã đề xuất một kế hoạch fork cứng để đóng băng các tài khoản dễ bị tổn thương và cho phép người dùng khôi phục tiền của họ bằng cách chứng minh họ biết Cụm từ hạt giống của mình bằng cách sử dụng SNARK hậu lượng tử an toàn . Cơ chế khôi phục này sẽ hoạt động cho EOA và bất kỳ ví hợp đồng thông minh nào chưa được nâng cấp.
  • Tác động thực tế đến người dùng: Một ví hợp đồng thông minh kiểm toán kỹ lưỡng và nâng cấp có thể mang lại lộ trình chuyển đổi mượt mà hơn một chút — nhưng sự khác biệt là nhỏ và đi kèm với những đánh đổi về lòng tin vào nhà cung cấp ví và quản trị nâng cấp. Quan trọng hơn, cộng đồng Ethereum tiếp tục nghiên cứu về các nguyên tắc hậu lượng tử và kế hoạch ứng phó sự cố.
• Một bài học thiết kế rộng hơn dành cho các nhà xây dựng: Nhiều blockchain hiện nay liên kết chặt chẽ danh tính tài khoản với các thuật toán mã hóa cụ thể — Bitcoin và Ethereum với chữ ký ECDSA trên {secp}256{k}1, Chuỗi khác với EdDSA. Những thách thức của quá trình chuyển đổi hậu lượng tử làm nổi bật giá trị của việc tách rời danh tính tài khoản khỏi bất kỳ lược đồ chữ ký cụ thể nào . Các bước tiến Ethereum hướng tới tài khoản thông minh và Trừu tượng hóa tài khoản tương tự trên Chuỗi khác phản ánh xu hướng này: cho phép các tài khoản nâng cấp logic xác thực mà không cần từ bỏ lịch sử và trạng thái Chuỗi . Việc tách rời này không làm cho quá trình chuyển đổi hậu lượng tử trở nên đơn giản, nhưng nó mang lại sự linh hoạt hơn so với việc mã hóa cứng các tài khoản vào một lược đồ chữ ký duy nhất . (Điều này cũng cho phép các tính năng không liên quan như giao dịch được tài trợ, khôi phục xã hội và đa chữ ký.)

Đối với Chuỗi bảo mật , vốn mã hóa hoặc che giấu chi tiết giao dịch , việc chuyển đổi sớm hơn nên được ưu tiên nếu hiệu năng chấp nhận được .

Tính bảo mật thông tin người dùng trên Chuỗi này hiện đang bị đe dọa bởi các cuộc tấn công HNDL, mặc dù mức độ nghiêm trọng khác nhau tùy thuộc vào thiết kế. Chuỗi có thể đạt được khả năng truy xuất nguồn gốc và nặc danh hoàn toàn chỉ thông qua sổ cái công khai phải đối mặt với rủi ro cấp bách nhất.

Hãy xem xét các phương án lai (hậu lượng tử + cổ điển) để ngăn chặn việc phương án hậu lượng tử rõ ràng bị chứng minh là không an toàn ngay cả trên cơ sở cổ điển, hoặc để thực hiện các thay đổi kiến ​​trúc nhằm tránh đặt các bí mật có thể giải mã trên Chuỗi .

Trong ngắn hạn, ưu tiên hàng đầu là đạt được an ninh — chứ không phải là giảm thiểu mối đe dọa lượng tử.

Đặc biệt đối với các thuật toán crypto phức tạp như {SNARKs} và chữ ký hậu lượng tử, lỗi chương trình và các cuộc tấn công triển khai (tấn công kênh phụ, tiêm lỗi) sẽ gây ra rủi ro bảo mật lớn hơn nhiều so với máy tính lượng tử có liên quan crypto trong những năm tới.

Hãy đầu tư ngay vào kiểm toán, kiểm thử mờ, xác minh hình thức và phương pháp bảo mật nhiều lớp/đa lớp — đừng để những lo ngại về lượng tử làm lu mờ các mối đe dọa cấp bách hơn từ các lỗi quy trình !

Hãy đầu tư vào việc phát triển điện toán lượng tử .

Một hệ quả quan trọng đối với an ninh quốc gia từ tất cả những điều trên là chúng ta cần tiếp tục đầu tư và phát triển nhân tài trong lĩnh vực điện toán lượng tử.

Việc một đối thủ lớn đạt được khả năng tính toán lượng tử liên quan đến crypto trước Hoa Kỳ đặt ra rủi ro nghiêm trọng cho an ninh quốc gia của chúng ta và phần còn lại của thế giới.

Hãy luôn cập nhật thông tin về các thông báo liên quan đến điện toán lượng tử .

Khi phần cứng lượng tử ngày càng hoàn thiện, những năm tới sẽ chứng kiến ​​nhiều cột mốc quan trọng. Trớ trêu thay, tần suất của những thông báo này lại cho thấy chúng ta còn cách xa việc chế tạo máy tính lượng tử có ý nghĩa crypto như thế nào : mỗi cột mốc đại diện cho một trong nhiều rào cản mà chúng ta phải vượt qua trước khi đạt đến điểm đó, và mỗi cột mốc sẽ tạo ra những tiêu đề và làn sóng phấn khích riêng.

Hãy xem các thông cáo báo chí như báo cáo tiến độ cần đánh giá kỹ lưỡng , chứ không phải là những lời kêu gọi hành động đột ngột .

Tất nhiên, có thể có những diễn biến hoặc đổi mới bất ngờ giúp đẩy nhanh tiến độ dự kiến, cũng như có thể có những trở ngại nghiêm trọng về khả năng mở rộng khiến tiến độ bị kéo dài.

Tôi không cho rằng việc một máy tính lượng tử tích hợp crypto xuất hiện trong vòng năm năm là hoàn toàn bất khả thi, mà chỉ là cực kỳ khó xảy ra . Các khuyến nghị nêu trên vẫn vững chắc trước sự không chắc chắn đó, và việc tuân theo chúng có thể tránh được rủi rotức thời và có khả năng xảy ra hơn : lỗi triển khai, triển khai vội vàng và những cạm bẫy thường gặp của một quá trình chuyển đổi crypto không hoàn hảo .

Justin Thaler là cộng tác viên nghiên cứu tại a16z và là phó giáo sư tại Khoa Khoa học Máy tính thuộc Đại học Georgetown. Lĩnh vực nghiên cứu của ông bao gồm tính toán có thể kiểm chứng, lý thuyết độ phức tạp và thuật toán cho dữ liệu quy mô lớn.

Tuyên bố miễn trừ trách nhiệm: Là blockchain, các bài viết được đăng tải trên trang web này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời và không phản ánh lập trường của Web3Caff. Thông tin trong các bài viết chỉ mang tham khảo và không cấu thành bất kỳ lời khuyên hoặc đề nghị đầu tư nào. Vui lòng tuân thủ các luật và quy định hiện hành của quốc gia hoặc khu vực của bạn.