Báo cáo a16z : Năm năm hay mười năm? Đánh giá theo mốc thời gian về mối đe dọa từ máy tính lượng tử

Chúng ta còn cách bao xa nữa mới có máy tính lượng tử đủ khả năng giải mã Bitcoin?

Máy tính lượng tử sẽ có khả năng phá vỡ các thuật toán mã hóa hiện có vào thời điểm nào? Thời gian trả lời cho câu hỏi này thường bị nhấn mạnh quá mức, dẫn đến những lời kêu gọi "chuyển đổi toàn diện và cấp bách sang mã hóa hậu lượng tử".

Tuy nhiên, những lời kêu gọi này thường bỏ qua chi phí và rủi ro của việc chuyển đổi quá sớm, và không nhận ra rằng các mối đe dọa mà các công cụ mã hóa khác nhau phải đối mặt về cơ bản là khác nhau:

• Crypto hậu lượng tử cần được triển khai ngay lập tức, bất kể chi phí. Điều này là do các cuộc tấn công "HNDL" (Hidden Non-Decryption - Không giải mã ẩn) đã tồn tại. Dữ liệu nhạy cảm crypto ngày nay sẽ vẫn vô cùng quý giá ngay cả nhiều thập kỷ sau, khi máy tính lượng tử chưa ra đời. Mặc dù crypto hậu lượng tử sẽ dẫn đến suy giảm hiệu năng và rủi ro triển khai, nhưng đây là lựa chọn duy nhất cho dữ liệu yêu cầu bảo mật lâu dài.
• Chữ ký số hậu lượng tử lại là một vấn đề khác. Chúng ít bị ảnh hưởng bởi các cuộc tấn công "đánh cắp và giải mã dữ liệu" đã đề cập ở trên, và chi phí cũng như rủi ro vốn có của chúng (kích thước lớn hơn, gánh nặng hiệu năng, giải pháp chưa hoàn thiện, các lỗ hổng tiềm tàng) đòi hỏi phải lập kế hoạch cẩn thận hơn là hành động ngay lập tức.

Sự phân biệt này rất quan trọng. Những hiểu lầm có thể làm sai lệch các phân tích lợi ích-chi phí, khiến đội ngũ bỏ qua rủi ro bảo mật cấp bách hơn, chẳng hạn như các lỗ hổng trong mã nguồn.

Thách thức thực sự trong việc chuyển đổi thành công sang mật mã hậu lượng tử nằm ở việc cân bằng giữa tính cấp bách của hành động với các mối đe dọa thực tế. Phần tiếp theo sẽ làm rõ những quan niệm sai lầm phổ biến về mối đe dọa của điện toán lượng tử đối với mật mã, bao gồm crypto, chữ ký và Bằng chứng không tri thức, với trọng tâm đặc biệt vào những tác động của nó đối với blockchain.

Dòng thời gian: Chúng ta còn cách bao xa so với máy tính lượng tử có khả năng phá crypto?

Bất chấp những lời quảng cáo phóng đại liên tục, khả năng xuất hiện một "máy tính lượng tử liên quan đến mật mã học" trong những năm 2020 là cực kỳ thấp.

Thuật ngữ "máy tính lượng tử liên quan đến mật mã" đề cập đến một máy tính lượng tử có khả năng chịu lỗi và sửa lỗi. Nó có thể thực hiện thuật toán Shor và đủ lớn để phá vỡ mật mã đường cong elip (như secp256k1) hoặc RSA (như RSA-2048) trong một khoảng thời gian hợp lý (ví dụ: hoạt động liên tục không quá một tháng).

Dựa trên các cột mốc công nghệ và đánh giá nguồn lực được công bố, chúng ta vẫn còn khá xa so với việc chế tạo một chiếc máy tính như vậy. Mặc dù một số công ty tuyên bố có thể đạt được điều đó vào năm 2030 hoặc thậm chí 2035, nhưng tiến độ hiện tại không ủng hộ những tuyên bố này.

Hiện tại, không có nền tảng điện toán lượng tử nào, dù là bẫy ion, qubit siêu dẫn hay hệ thống nguyên tử trung tính , có thể đáp ứng được hàng trăm nghìn hoặc thậm chí hàng triệu qubit vật lý cần thiết để phá vỡ RSA-2048 hoặc secp256k1 (số lượng chính xác phụ thuộc vào tỷ lệ lỗi và phương pháp sửa lỗi).

Điểm nghẽn không chỉ nằm ở số lượng qubit, mà còn ở độ chính xác của cổng logic, khả năng kết nối giữa các qubit, và độ sâu mạch sửa lỗi liên tục cần thiết để thực hiện các thuật toán lượng tử độ sâu . Mặc dù một số hệ thống hiện nay có hơn 1000 qubit vật lý, nhưng con số này tự nó đã gây hiểu lầm: chúng thiếu khả năng kết nối và độ chính xác cần thiết cho các hoạt động mã hóa.

Mặc dù các hệ thống gần đây đang dần tiến đến ngưỡng tỷ lệ lỗi vật lý cần thiết cho việc sửa lỗi lượng tử, nhưng chưa có hệ thống nào có thể thực thi ổn định nhiều hơn một vài qubit logic, chứ chưa nói đến hàng nghìn qubit logic có độ chính xác cao, mạch sâu và khả năng chịu lỗi cần thiết để thực thi thuật toán Shor. Khoảng cách giữa bằng chứng về nguyên lý và quy mô cần thiết cho việc phân tích mật mã vẫn còn rất lớn.

Tóm lại: máy tính lượng tử liên quan đến mật mã học vẫn còn rất xa vời cho đến khi số lượng qubit và độ chính xác tăng lên nhiều bậc.

Tuy nhiên, thông cáo báo chí của các công ty và các bài báo trên phương tiện truyền thông thường gây khó hiểu. Những điểm gây nhầm lẫn chính bao gồm:

1. Các minh chứng về "lợi thế lượng tử": Hầu hết nhiệm vụ được trình diễn cho đến nay đều được thiết kế công phu và thực chất không hữu ích, chỉ vì chúng có thể được thực hiện trên phần cứng hiện có và "có vẻ" nhanh. Điểm này thường bị xem nhẹ trong các thông tin quảng bá.
2. Việc đề cập đến "hàng ngàn qubit vật lý" thường ám chỉ đến một máy ủ lượng tử, chứ không phải một máy tính lượng tử dựa trên cổng logic có khả năng thực thi thuật toán Shor, vốn cần thiết để tấn công mật mã khóa công khai.
3. Việc lạm dụng "qubit logic": Các qubit vật lý thường nhiễu loạn, và các thuật toán thực tế yêu cầu "qubit logic", được cấu tạo từ nhiều qubit vật lý thông qua cơ chế sửa lỗi. Thuật toán Shor yêu cầu hàng nghìn qubit logic như vậy, mỗi qubit thường cần hàng trăm đến hàng nghìn qubit vật lý. Tuy nhiên, một số công ty đã phóng đại khả năng của họ; ví dụ, gần đây có những tuyên bố đạt được 48 qubit logic chỉ với 2 qubit vật lý trên mỗi qubit logic bằng cách sử dụng mã sửa lỗi "khoảng cách-2" (chỉ có thể phát hiện lỗi chứ không thể sửa lỗi), điều này là vô nghĩa.
4. Lộ trình gây hiểu nhầm: Nhiều lộ trình mô tả "qubit logic" chỉ hỗ trợ "các phép toán Clifford", có thể được mô phỏng hiệu quả bằng máy tính cổ điển nhưng không đủ để thực hiện thuật toán Shor, vốn yêu cầu lượng lớn"cổng phi Clifford" (như cổng T). Do đó, ngay cả khi một lộ trình tuyên bố "đạt được hàng nghìn qubit logic trong X năm", điều đó không có nghĩa là công ty kỳ vọng có thể phá vỡ mật mã cổ điển vào thời điểm đó.

Những hành vi này đã làm sai lệch nghiêm trọng nhận thức của công chúng (bao gồm cả những người quan sát dày dạn kinh nghiệm) về sự tiến bộ của điện toán lượng tử.

Tất nhiên, sự tiến bộ này thực sự rất đáng khích lệ. Ví dụ, Scott Aaronson gần đây đã viết rằng, với "tốc độ phát triển phần cứng nhanh chóng đến kinh ngạc", ông cho rằng"có khả năng thực sự là chúng ta sẽ có một máy tính lượng tử chịu lỗi có khả năng thực thi thuật toán Shor trước cuộc bầu cử tổng thống Mỹ tiếp theo". Tuy nhiên, sau đó ông đã làm rõ rằng điều này không đề cập đến một máy tính lượng tử liên quan đến mật mã học — ngay cả việc chỉ phân tích thừa số 15 = 3 × 5 một cách chịu lỗi (việc này nhanh hơn với bút và giấy) cũng được coi là sự hiện thực hóa lời hứa đó. Đây vẫn chỉ là một cuộc trình diễn quy mô nhỏ, và các thí nghiệm như vậy luôn nhắm đến số 15, bởi vì phép toán modulo 15 rất đơn giản; các số lớn hơn một chút (chẳng hạn như 21) khó hơn nhiều.

Những phát hiện chính: Triển vọng về một máy tính lượng tử liên quan đến mật mã học có khả năng phá vỡ RSA-2048 hoặc secp256k1 — những thuật toán quan trọng đối với mật mã học thực tiễn — trong vòng 5 năm tới thiếu sự hỗ trợ công khai cho sự tiến triển của nó. Ngay cả 10 năm vẫn là một mục tiêu đầy tham vọng.

Do đó, sự phấn khích về tiến độ không mâu thuẫn với nhận định về thời gian rằng quá trình này vẫn sẽ cần hơn mười năm nữa.

Vậy còn việc chính phủ Mỹ đặt ra năm 2035 làm hạn chót cho việc chuyển đổi hoàn toàn hệ thống chính phủ sang công nghệ lượng tử thì sao? Tôi cho rằng đây là một mốc thời gian hợp lý để hoàn thành một cuộc chuyển đổi quy mô lớn, nhưng nó không nhất thiết dự đoán được rằng các máy tính lượng tử liên quan đến mật mã sẽ xuất hiện vào thời điểm đó.

Tấn công "ăn cắp trước, giải mã sau": Áp dụng cho ai? Không áp dụng cho ai?

Các cuộc tấn công "ăn cắp trước, giải mã sau" đề cập đến việc kẻ tấn công lưu trữ dữ liệu crypto ngay bây giờ, với ý định giải mã chúng sau này khi các máy tính lượng tử có khả năng mã hóa trở nên khả dụng. Các đối thủ quốc gia có thể đã và đang lưu trữ lượng lớn thông tin liên lạc crypto từ chính phủ Hoa Kỳ để giải mã trong tương lai.

Do đó, cần phải nâng cấp crypto ngay lập tức, ít nhất là đối với dữ liệu yêu cầu thời gian bảo mật từ 10 đến 50 năm trở lên.

Nhưng chữ ký số (nền tảng của tất cả blockchain) khác với crypto: chúng không yêu cầu khả năng truy vết tính bảo mật. Ngay cả với sự ra đời của máy tính lượng tử trong tương lai, chữ ký chỉ có thể ngụy tạo từ thời điểm đó trở đi, chứ không thể "giải mã" từ quá khứ. Miễn là bạn có thể chứng minh chữ ký được tạo ra trước khi máy tính lượng tử ra đời, thì nó ngụy tạo.

Điều này khiến quá trình chuyển đổi sang chữ ký số lượng tử ngược trở nên ít cấp bách hơn nhiều so với quá trình chuyển đổi crypto.

Đây chính xác là những gì các nền tảng chính thống đang làm:

• Chrome và Cloudflare đã triển khai giải pháp kết hợp X25519+ML-KEM để crypto TLS mạng. "Kết hợp" có nghĩa là nó sử dụng cả giải pháp bảo mật hậu lượng tử (ML-KEM) và giải pháp hiện có (X25519) để cung cấp tính bảo mật của cả hai, bảo vệ chống lại các cuộc tấn công HNDL trong khi vẫn duy trì tính bảo mật cổ điển trong trường hợp giải pháp hậu lượng tử thất bại.
• iMessage (giao thức PQ3) và Signal (giao thức PQXDH và SPQR) của Apple cũng sử dụng crypto lượng tử lai tương tự.

Ngược lại, việc triển khai chữ ký số hậu lượng tử trên cơ sở hạ tầng mạng quan trọng đã bị trì hoãn cho đến khi các máy tính lượng tử liên quan đến mật mã thực sự khả thi. Điều này là do các phương pháp chữ ký hậu lượng tử hiện tại gây ra giảm hiệu năng (chi tiết bên dưới).

Bằng chứng không tri thức(zkSNARK) có tình trạng tương tự như chữ ký số. Ngay cả những zkSNARK không an toàn với máy tính lượng tử (những zkSNARK sử dụng mật mã đường cong elliptic) cũng tự bản thân chúng an toàn với máy tính lượng tử nhờ thuộc tính "không tiết lộ thông tin" của chúng. Thuộc tính này đảm bảo rằng bằng chứng không tiết lộ bất kỳ thông tin nào về bí mật (mà ngay cả máy tính lượng tử cũng không thể phát hiện), do đó không có bí mật nào có thể bị "đánh cắp ngay bây giờ" để giải mã trong tương lai. Vì vậy, zkSNARK cũng không dễ bị tấn công HNDL. Bất kỳ bằng chứng zkSNARK nào được tạo ra trước khi máy tính lượng tử ra đời đều đáng tin cậy (ngay cả khi nó sử dụng mật mã đường cong elliptic), và chỉ sau khi máy tính lượng tử ra đời, kẻ tấn công mới có thể ngụy tạo các bằng chứng sai lệch.

Điều này có ý nghĩa gì đối với blockchain?

Hầu hết blockchain không dễ bị tấn công bằng HNDL.

Giống như Chuỗi không bảo mật hiện nay như Bitcoin và Ethereum , mật mã phi lượng tử của chúng chủ yếu được sử dụng để xác thực giao dịch (tức là chữ ký số), chứ không phải crypto. Những chữ ký này không gây ra rủi ro HNDL. Lấy blockchain Bitcoin làm ví dụ, nó là công khai; mối đe dọa lượng tử nằm ở ngụy tạo chữ ký (đánh cắp tiền), chứ không phải ở việc giải mã dữ liệu giao dịch công khai. Điều này loại bỏ tính cấp bách về mật mã ngay lập tức từ HNDL.

Đáng tiếc là, ngay cả các phân tích từ các tổ chức có thẩm quyền như Cục Dự trữ Liên bang cũng đã đưa ra nhận định sai lầm rằng Bitcoin dễ bị tấn công HNDL, làm phóng đại tính cấp thiết của quá trình chuyển đổi.

Tất nhiên, việc giảm bớt tính cấp bách không có nghĩa là Bitcoin có thể yên tâm. Nó phải đối mặt với áp lực thời gian khác nhau từ sự phối hợp xã hội khổng lồ cần thiết cho các thay đổi giao thức (chi tiết bên dưới).

Hiện tại, ngoại lệ là Chuỗi bảo mật. Nhiều Chuỗi bảo mật crypto hoặc che giấu người nhận và số tiền. Thông tin bí mật này có thể bị đánh cắp ngay bây giờ và bị giải mã nặc danh sau khi máy tính lượng tử phá vỡ mật mã đường cong elip trong tương lai. Mức độ nghiêm trọng của cuộc tấn công thay đổi tùy thuộc vào thiết kế (ví dụ, chữ ký vòng và ánh xạ khóa của Monero có thể cho phép tái tạo hoàn toàn đồ thị giao dịch). Do đó, nếu người dùng lo ngại về việc giao dịch của họ bị lộ cho các máy tính lượng tử trong tương lai, Chuỗi bảo mật nên chuyển sang các thuật toán hậu lượng tử (hoặc các sơ đồ lai) càng sớm càng tốt, hoặc áp dụng kiến ​​trúc không ghi lại các bí mật có thể giải mã trên chuỗi.

Những thách thức độc đáo của Bitcoin: bế tắc quản trị và "tiền điện tử không hoạt động"

Đối với Bitcoin, có hai yếu tố thực tế thúc đẩy sự cấp thiết phải bắt đầu lập kế hoạch cho chữ ký hậu lượng tử, và cả hai yếu tố này đều không liên quan gì đến công nghệ lượng tử:

• Quản trị chậm chạp: Quá trình chuyển đổi của Bitcoin diễn ra chậm chạp, và bất kỳ tranh cãi nào cũng có thể dẫn đến một hard fork) mang tính phá hoại.
• Không thể di chuyển thụ động: Người nắm giữ các đồng tiền này phải chủ động di chuyển tài sản của họ. Điều này có nghĩa là các đồng tiền bị bỏ quên dễ bị tấn công lượng tử sẽ không được bảo vệ. Ước tính có thể có hàng triệu BTC "ngủ đông" và dễ bị tấn công lượng tử như vậy, trị giá hàng trăm tỷ đô la theo giá trị hiện tại.

Tuy nhiên, mối đe dọa lượng tử không phải là một thảm họa "đột ngột" đối với Bitcoin, mà là một quá trình nhắm mục tiêu có chọn lọc và dần dần. Các cuộc tấn công lượng tử ban đầu sẽ cực kỳ tốn kém và chậm, với việc kẻ tấn công nhắm mục tiêu có chọn lọc vào các ví có giá trị cao.

Hơn nữa, những người dùng tránh tái sử dụng địa chỉ và không sử dụng địa chỉ Taproot (loại địa chỉ làm lộ trực tiếp khóa công khai trên Chuỗi) về cơ bản là an toàn, ngay cả khi không có nâng cấp giao thức — khóa công khai của họ vẫn được ẩn sau giá trị băm cho đến khi giao dịch được thực hiện. Khóa công khai chỉ bị lộ khi giao dịch chi tiêu được phát sóng, tại thời điểm đó một cuộc đua ngắn ngủi, tức thì bắt đầu: người dùng trung thực cố gắng xác nhận giao dịch càng nhanh càng tốt, trong khi những kẻ tấn công lượng tử cố gắng tính toán private key và đánh cắp tiền trước đó.

Do đó, những đồng tiền thực sự dễ bị tổn thương là những đồng tiền có khóa công khai đã bị lộ: các đầu ra P2PK ban đầu, các địa chỉ được sử dụng lại và tài sản được nắm giữ theo kiểu Taproot.

Đối với các loại tiền điện tử bị bỏ rơi và dễ bị tổn thương, các giải pháp khá phức tạp: hoặc cộng đồng đồng ý về một "thời hạn" sau đó bất kỳ đồng tiền nào chưa được chuyển đổi sẽ bị coi là đốt, hoặc chúng sẽ bị bỏ mặc cho những người sở hữu máy tính lượng tử trong tương lai tịch thu. Phương án thứ hai sẽ dẫn đến những vấn đề pháp lý và an ninh nghiêm trọng.

Thách thức cuối cùng và độc đáo của Bitcoin là tốc độ xử lý giao dịch thấp. Ngay cả khi kế hoạch chuyển đổi được hoàn tất, việc chuyển toàn bộ số tiền dễ bị tổn thương với tốc độ hiện tại sẽ mất nhiều tháng.

Những thách thức này đồng nghĩa với việc Bitcoin phải bắt đầu lên kế hoạch cho quá trình chuyển đổi hậu lượng tử ngay từ bây giờ — không phải vì máy tính lượng tử có thể xuất hiện trước năm 2030, mà vì việc quản trị, phối hợp và hậu cần kỹ thuật cần thiết để di chuyển tài sản trị giá hàng trăm tỷ đô la sẽ mất nhiều năm.

Mối đe dọa lượng tử đối với Bitcoin là có thật, nhưng áp lực về thời gian chủ yếu đến từ những hạn chế của chính nó chứ không phải từ mối đe dọa sắp xảy ra của máy tính lượng tử.

Lưu ý: Các lỗ hổng chữ ký nêu trên không ảnh hưởng đến tính bảo mật kinh tế của Bitcoin(tức là cơ chế đồng thuận Bằng chứng công việc). PoW dựa trên các phép toán băm và chỉ bị ảnh hưởng bởi sự tăng tốc lần từ thuật toán tìm kiếm Grover, vốn có chi phí thực tế rất lớn và khó có thể đạt được sự tăng tốc đáng kể. Ngay cả khi có, điều đó cũng chỉ mang lại lợi thế cho thợ đào lớn, chứ không Sự lật đổ mô hình bảo mật kinh tế của nó.

Chi phí và rủi ro của chữ ký hậu lượng tử

Tại sao blockchain không nên nhanh chóng triển khai chữ ký điện tử hậu lượng tử? Chúng ta cần hiểu rõ chi phí hiệu năng của chúng và mức độ tin tưởng vào khả năng phát triển của các giải pháp mới này.

Mật mã hậu lượng tử chủ yếu dựa trên năm loại bài toán toán học: hàm băm, mã hóa, mạng lưới, hệ lần đường cong elip. Sự đa dạng xuất phát từ thực tế là hiệu quả của một phương pháp có liên quan đến "cấu trúc" của bài toán mà nó dựa vào: bài toán càng có cấu trúc phức tạp thì hiệu quả càng cao, nhưng càng có nhiều lỗ hổng cho các thuật toán tấn công - một sự đánh đổi cơ bản.

• Các lược đồ băm là những lược đồ bảo thủ nhất (với độ tin cậy về bảo mật cao nhất), nhưng lại có hiệu suất kém nhất. Ví dụ, chữ ký băm nhỏ nhất được NIST tiêu chuẩn hóa là 7-8KB, trong khi chữ ký đường cong elliptic hiện tại chỉ có 64 byte, chênh lệch khoảng 100 lần.
• Các lược đồ mạng lưới hiện đang là trọng tâm triển khai. Lược đồ crypto hậu lượng tử duy nhất (ML-KEM) được NIST lựa chọn và hai trong ba lược đồ chữ ký (ML-DSA, Falcon) đều dựa trên mạng lưới.
• Kích thước chữ ký ML-DSA xấp xỉ 2,4-4,6KB, lớn hơn 40-70 lần so với kích thước chữ ký hiện tại.
• Chữ ký Falcon có kích thước nhỏ (0,7-1,3KB), nhưng việc triển khai chúng cực kỳ phức tạp, liên quan đến các phép toán dấu phẩy động có thời gian thực hiện không đổi, và đã có những trường hợp tấn công kênh phụ thành công. Một trong những người sáng lập gọi nó là "thuật toán mã hóa phức tạp nhất mà tôi từng triển khai".
• Việc triển khai này đặt ra những thách thức bảo mật lớn hơn: chữ ký dựa trên mạng lưới có các giá trị trung gian nhạy cảm hơn và logic lấy mẫu loại bỏ phức tạp hơn so với chữ ký đường cong elip, đòi hỏi khả năng bảo vệ chống tấn công kênh phụ và lỗi tiêm nhiễm mạnh mẽ hơn.

Những rủi ro trực tiếp do các vấn đề này gây ra còn thực tế hơn nhiều so với rủi ro từ các máy tính lượng tử ở xa.

Những bài học lịch sử cũng nhắc nhở chúng ta cần thận trọng: các ứng cử viên hàng đầu trong quá trình tiêu chuẩn hóa của NIST, chẳng hạn như Rainbow (chữ ký dựa trên MQ) và SIKE/SIDH (crypto cùng nguồn gốc), đều đã bị máy tính cổ điển phá vỡ. Điều này minh họa rủi ro của việc tiêu chuẩn hóa và triển khai quá sớm.

Cơ sở hạ tầng Internet đã áp dụng cách tiếp cận thận trọng đối với việc chuyển đổi chữ ký, điều này đặc biệt đáng chú ý vì quá trình chuyển đổi mật mã vốn dĩ tốn nhiều thời gian (ví dụ, việc chuyển đổi từ MD5/SHA-1 đã mất nhiều năm và vẫn chưa hoàn tất).

blockchain đối mặt với những thách thức đặc thù của cơ sở hạ tầng internet.

Ưu điểm là blockchain được duy trì bởi cộng đồng mã nguồn mở (như Ethereum và Solana) có thể nâng cấp nhanh hơn so với cơ sở hạ tầng mạng truyền thống. Nhược điểm là các mạng truyền thống có thể giảm thiểu bề mặt tấn công thông qua việc xoay vòng khóa thường xuyên, trong khi tiền điện tử và các khóa liên quan của blockchain có thể bị lộ trong thời gian dài.

Tuy nhiên, nhìn chung, blockchain vẫn nên học hỏi chiến lược chuyển đổi chữ ký thận trọng của các mạng lưới. Cả hai đều không miễn nhiễm với các cuộc tấn công HNDL về mặt chữ ký, và việc chuyển đổi quá sớm sẽ tiềm ẩn những chi phí và rủi ro đáng kể.

Blockchain cũng có một số phức tạp đặc thù khiến việc chuyển đổi sớm trở nên đặc biệt nguy hiểm:

• Yêu cầu tổng hợp chữ ký: Blockchain thường cần tổng hợp nhanh chóng lượng lớn chữ ký (như chữ ký BLS). Mặc dù BLS nhanh, nhưng nó không đảm bảo tính bảo mật hậu lượng tử. Nghiên cứu về tổng hợp chữ ký hậu lượng tử dựa trên SNARK cho thấy nhiều triển vọng nhưng vẫn đang trong giai đoạn đầu.
• Tương lai của SNARK: Cộng đồng hiện đang lạc quan về các SNARK hậu lượng tử dựa trên hàm băm, nhưng tôi tin rằng các giải pháp thay thế SNARK dựa trên mạng lưới sẽ xuất hiện trong những tháng đến năm tới và chúng sẽ vượt trội hơn ở nhiều khía cạnh, chẳng hạn như độ dài bằng chứng.

Vấn đề nghiêm trọng hơn hiện nay là: triển khai an ninh.

Trong nhiều năm tới, các lỗ hổng có thể khai thác sẽ gây ra rủi ro bảo mật lớn hơn cả máy tính lượng tử. Đối với SNARK, mối đe dọa chính là lỗ hổng lập trình. Chữ ký số và crypto đã đặt ra nhiều thách thức, nhưng SNARK phức tạp hơn nhiều. Trên thực tế, chữ ký số có thể được xem như một dạng đơn giản hóa của zkSNARK.

Đối với các chữ ký hậu lượng tử, các cuộc tấn công như tấn công kênh phụ và tiêm lỗi là những mối đe dọa cấp bách hơn. Cộng đồng cần nhiều năm để tăng cường khả năng chống chịu cho các triển khai này.

Do đó, việc chuyển đổi quá sớm trước khi mọi thứ ổn định có thể khiến bạn bị mắc kẹt trong lần hoặc buộc bạn phải di chuyển lần để khắc phục các lỗ hổng.

Chúng ta nên phản hồi như thế nào? Bảy gợi ý.

Dựa trên thực tế nêu trên, tôi xin đưa ra những đề xuất sau đây cho tất cả các bên (từ các nhà phát triển đến các nhà hoạch định chính sách). Nguyên tắc chung là: ứng xử nghiêm túc mối đe dọa lượng tử, nhưng đừng cho rằng máy tính lượng tử liên quan đến mật mã sẽ xuất hiện trước năm 2030 (tiến bộ hiện tại không ủng hộ giả định này). Đồng thời, có một số việc chúng ta có thể và nên bắt đầu làm ngay bây giờ:

1. Triển khai crypto lai ngay lập tức: ít nhất là ở những nơi cần bảo mật lâu dài và chi phí chấp nhận được. Nhiều trình duyệt, CDN và ứng dụng nhắn tin (như iMessage và Signal) đã bắt đầu triển khai. Các giải pháp lai (hậu lượng tử + cổ điển) bảo vệ chống lại các cuộc tấn công HNDL và khắc phục các điểm yếu tiềm tàng của các giải pháp hậu lượng tử.
2. Trong những trường hợp có thể chấp nhận kích thước lớn, nên sử dụng ngay các chữ ký dựa trên hàm băm: ví dụ, trong các trường hợp tần suất thấp và không nhạy cảm với kích thước như cập nhật phần mềm/firmware, có thể áp dụng các chữ ký băm lai (việc lai ghép nhằm mục đích phòng ngừa các lỗ hổng triển khai của các phương pháp mới). Điều này cung cấp một "phao cứu sinh" an toàn trong trường hợp máy tính lượng tử bất ngờ xuất hiện sớm hơn dự kiến.
3. Blockchain không cần phải vội vàng triển khai chữ ký lượng tử, nhưng việc lập kế hoạch cho việc này nên bắt đầu ngay lập tức:
4. Các nhà phát triển nên học hỏi cách tiếp cận thận trọng của cộng đồng PKI trực tuyến để hoàn thiện giải pháp của mình.
5. Chuỗi công khai như Bitcoin cần xác định lộ trình và chính sách chuyển đổi cho các quỹ "không hoạt động" và dễ bị tổn thương. Bitcoin, đặc biệt, cần bắt đầu lập kế hoạch ngay từ bây giờ vì những thách thức của nó chủ yếu là phi kỹ thuật (quản trị chậm, số lượng lớn các địa chỉ "không hoạt động" có giá trị cao).
6. Hãy dành đủ thời gian (có thể thêm vài năm nữa) để nghiên cứu về SNARK hậu lượng tử và các chữ ký tổng hợp được hoàn thiện, tránh việc vội vàng lựa lần.
7. Về tài khoản Ethereum: Ví hợp đồng thông minh (có thể nâng cấp) có thể cung cấp lộ trình chuyển đổi mượt mà hơn, nhưng sự khác biệt là không đáng kể. Quan trọng hơn loại tài khoản là sự tiến bộ liên tục cộng đồng trong nghiên cứu về các nguyên tắc hậu lượng tử và kế hoạch dự phòng. Ý nghĩa thiết kế rộng hơn: Việc tách biệt danh tính tài khoản khỏi các lược đồ chữ ký cụ thể (như Trừu tượng hóa tài khoản) mang lại sự linh hoạt hơn, không chỉ cho việc chuyển đổi hậu lượng tử mà còn hỗ trợ các tính năng như giao dịch được tài trợ và phục hồi xã hội.
8. Nên ưu tiên chuyển đổi Chuỗi bảo mật (nếu hiệu năng chấp nhận được): tính bảo mật thông tin người dùng hiện đang bị tấn công bởi HNDL. Có thể xem xét các giải pháp lai hoặc điều chỉnh kiến ​​trúc để tránh việc tải lên các bí mật có thể giải mã được lên chuỗi.
9. Trong ngắn hạn, hãy ưu tiên bảo mật triển khai hơn là quá chú trọng đến các mối đe dọa lượng tử: đối với các thuật toán mật mã phức tạp như SNARK và chữ ký hậu lượng tử, các lỗ hổng và khai thác sẽ gây ra rủi ro lớn hơn so với máy tính lượng tử trong nhiều năm tới. Hãy đầu tư ngay vào kiểm toán, kiểm thử mờ, xác minh hình thức và phòng thủ nhiều lớp; đừng để nỗi lo về lượng tử che khuất các mối đe dọa lỗ hổng cấp bách hơn.
10. Việc tiếp tục tài trợ cho nghiên cứu và phát triển điện toán lượng tử là điều thiết yếu từ góc độ an ninh quốc gia, đòi hỏi đầu tư bền vững vào nguồn tài chính và phát triển nhân tài. Nếu các đối thủ lớn có được khả năng điện toán lượng tử liên quan đến mật mã trước tiên, điều đó sẽ gây ra rủi ro nghiêm trọng.
11. Hãy nhìn nhận tin tức ứng xử điện toán lượng tử một cách thực tế: sẽ còn nhiều cột mốc quan trọng nữa. Nhưng mỗi cột mốc chỉ chứng minh rằng chúng ta vẫn còn rất xa mục tiêu. Thông cáo báo chí nên được xem như báo cáo tiến độ cần đánh giá kỹ lưỡng, chứ không phải là tín hiệu cho hành động vội vàng.

Tất nhiên, những đột phá công nghệ có thể tăng tốc, và những điểm nghẽn có thể kéo dài thời gian dự báo. Tôi không khẳng định rằng điều đó hoàn toàn không thể xảy ra trong vòng năm năm, mà chỉ nói cho rằng xác suất rất thấp. Tuân theo những lời khuyên trên có thể giúp chúng ta tránh được rủi ro trực tiếp và dễ xảy ra hơn: tạo ra các lỗ hổng bảo mật, triển khai vội vàng và những sai lầm thường gặp trong quá trình chuyển đổi sang mật mã.