a16z: Mối đe dọa lượng tử đã bị đánh giá cao?
Tiêu đề Ban Đầu: Quantum computing và blockchains: Phù hợp với cấp bách so với các mối đe dọa thực tế
Tác giả Ban Đầu: Justin Thaler, a16zcrypto
Dịch: Peggy, BlockBeats
Chú thích Biên Tập: Câu chuyện về mối đe dọa từ quantum đang bị "quá mức cấp bách hóa" trên thị trường, nhưng việc chuyển đổi sau quantum không nên được xem là tuyên bố tuyệt đối. Điểm chính của bài viết này là: mã hóa cần chuyển sang các giải pháp kết hợp càng sớm càng tốt, vì "thu thập trước, giải mã sau" (HNDL) đã trở thành một mối đe dọa thực tế; nhưng chữ ký số và zkSNARK không cần phải đua tranh, việc chuyển đổi quá sớm có thể mang lại chi phí an ninh trực tiếp đáng kể như làm tăng kích thước, giảm hiệu suất và lỗ hổng triển khai.
Tác giả bài viết này, Justin Thaler, là đối tác nghiên cứu a16z, phó giáo sư khoa học máy tính tại Đại học Georgetown, nghiên cứu về tính khả xác minh của tính toán và các lĩnh vực liên quan, anh đã nhắc nhở ngành công nghiệp vào thời đại sau quantum không phải là chuyển đổi trong sự hoảng loạn mà là việc hướng tài nguyên vào những mối đe dọa thực sự cấp bách.
Dưới đây là bản gốc:
Cách class="original-text> Quá trình máy tính quantum còn cách "đe dọa hệ thống mật mã hiện tại" là bao xa, tiến độ trên thị trường thường bị đẩy quá sớm, và do đó đã tạo ra câu chuyện cấp bách "phải chuyển đổi ngay, toàn diện sang mật mã sau quantum (PQC)".
Nhưng vấn đề là, những lời kêu gọi như vậy thường bỏ qua một sự thật quan trọng: việc chuyển đổi quá sớm chính nó đã gây ra chi phí và rủi ro mới. Quan trọng hơn, hệ thống mật mã không phải là một khối đồng, các cách tiếp cận khác nhau cho các nguyên tắc mật mã (các nguyên tắc mã học) có cách phản công và mức độ tiếp xúc với rủi ro khác biệt riêng biệt:
Quá trình mã hóa sau quantum (Post-quantum encryption) có logic cấp bách hơn: mặc dù có chi phí cao, việc triển khai càng sớm càng tốt. Lý do là việc tấn công "thu thập trước, giải mã sau" (Harvest-now-decrypt-later, HNDL) đã xảy ra - kẻ địch có thể lưu trữ dữ liệu nhạy cảm được mã hóa hôm nay, và khi máy tính quantum thực sự phát triển trong tương lai thì giải mã. Ngay cả khi máy tính quantum có thể mất cả vài chục năm để xuất hiện, miễn là dữ liệu này vẫn giữ giá trị vào thời điểm đó, nó sẽ tạo ra một mối đe dọa thực tế. Mặc dù mã hóa sau quantum thực sự gây ra chi phí hiệu suất và rủi ro triển khai, nhưng đối với dữ liệu cần được bảo mật trong thời gian dài, cuộc tấn công HNDL buộc chúng ta không có lựa chọn.
Cách xác minh sau quantum (Post-quantum signatures) hoạt động theo cách khác: chúng không bị ảnh hưởng bởi cuộc tấn công HNDL, trong khi chi phí và rủi ro của chúng (tăng kích thước, chi phí hiệu suất, triển khai chưa chín và rủi ro lỗ hổng) quyết định rằng quá trình chuyển đổi nên được thực hiện cẩn thận hơn, với một nhịp độ hơn, thay vì triển khai toàn diện ngay lập tức.
errorTừ việc "chứng minh rằng sửa lỗi lượng tử về mặt lý thuyết là khả thi" đến "đạt đến quy mô đủ để phân tích mật mã" vẫn còn khoảng cách lớn.
Nhìn chung: trước khi số lượng bit vật lý và độ chính xác tăng lên một số mũ, CRQC vẫn còn xa xôi.
Nhưng tại sao mọi người dễ bị lừa?
Thông cáo của doanh nghiệp và các bản tin truyền thông thường dễ gây nhầm lẫn, những nguồn hiểu lầm phổ biến bao gồm:
Một số bài thuyết trình tuyên bố đã đạt được "ưu thế lượng tử" (quantum advantage), nhưng hiện tại chủ yếu là cho các nhiệm vụ được thiết kế nhân tạo và không thực tế. Các nhiệm vụ này được chọn không phải vì có giá trị thực tế mà vì chúng có thể chạy trên phần cứng hiện có và "trông có vẻ" được gia tăng lượng tử mạnh mẽ, trong khi điều này thường bị làm nhòe trong thông cáo.
Có công ty tuyên bố đã đạt được "nghìn bit vật lý", nhưng thường đó chỉ là máy trạng thái lượng tử (quantum annealer), không phải máy tính lượng tử theo mô hình cổng cổ (gate-model machine) cần thiết để chạy thuật toán Shor.
Có các công ty lạm dụng thuật ngữ "bit logic". Nhiễu bit vật lý lớn, thuật toán lượng tử cần các bit logic; và thuật toán Shor cần nhiều nghìn bit logic. Bit logic thường được tạo ra bằng cách sửa lỗi từ nhiều bit vật lý - mỗi bit logic thường cần từ vài trăm đến vài nghìn bit vật lý (phụ thuộc vào tỷ lệ lỗi). Nhưng một số công ty đã "kéo dãn khái niệm này quá ra." Ví dụ, có thông cáo tuyên bố sử dụng mã sửa lỗi có khoảng cách 2 (distance-2 code), mỗi bit logic chỉ cần hai bit vật lý, đã đạt tới 48 bit logic - điều này là vô lý: mã có khoảng cách 2 chỉ có thể phát hiện lỗi, không thể sửa lỗi. Các bit logic chống chọi thực sự được sử dụng cho phân tích mật mã, mỗi bit đều cần từ vài trăm đến vài nghìn bit vật lý, không phải chỉ hai.
Nói một cách chung, trong nhiều lộ trình tính toán lượng tử, "bit logic" đề cập đến chỉ hỗ trợ các phép toán Clifford; và phép toán Clifford có thể được mô phỏng một cách hiệu quả bởi máy tính cổ điển, vì vậy không đủ để chạy thuật toán Shor. Thuật toán Shor cần rất nhiều cổng T đã được sửa lỗi (hoặc cổng không phải Clifford nói chung).
Vì vậy, ngay cả khi một lộ trình nói "đạt được nghìn bit logic trong X năm", điều đó không có nghĩa là công ty đó dự kiến sẽ trong cùng một năm có thể chạy thuật toán Shor để đột nhập mật mã cổ điển.
Những hành vi này nghiêm trọng đảo lộn quan điểm công chúng về khoảng cách CRQC, ngay cả trong một số nhóm quan sát chuyên môn.
Các Chuyên Gia Cũng Hào Hứng, Nhưng Điều Đó Không Có Nghĩa Là "Sắp Mở Khóa Mật Khẩu"
Quả thực, có các chuyên gia cảm thấy hào hứng với tiến triển. Ví dụ, Scott Aaronson gần đây đã viết rằng, với "tốc độ tiến triển phần cứng đáng kinh ngạc hiện nay", ông tin rằng sẽ có khả năng xuất hiện một máy tính lượng tử trong tương lai trước cuộc bầu cử Tổng thống Hoa Kỳ tới có thể chạy được thuật toán Shor mà không lỗi, đó là một "khả năng hiện thực".
Nhưng Aaronson sau đó đã làm rõ: ông không đề cập đến CRQC. Ngay cả khi có một quá trình chạy thuật toán Shor hoàn toàn không lỗi, có thể phân rã 15 = 3×5, ông cũng sẽ xem đó là "đạt được". Và quy trình này nhanh hơn cả việc tính toán bằng giấy và bút. Ngưỡng vẫn là "quy mô nhỏ" và không phải là quy mô "đủ lớn để mở khóa mật khẩu".
Ngoài ra, tại sao nhiều thí nghiệm luôn thích phân rã 15? Bởi vì toán học module 15 rất đơn giản, trong khi phân rã một số lớn hơn một chút, chẳng hạn như 21, lại khó hơn nhiều. Vì vậy các thí nghiệm tuyên bố phân rã 21 thường phải dựa vào gợi ý hoặc lối đi tắt bổ sung.
Tóm lại: Niềm tin rằng trong vòng 5 năm tới sẽ xuất hiện một CRQC có thể phá RSA-2048 hoặc secp256k1 (đây mới là khả năng mật mã học thực tế quan tâm), không có sự hỗ trợ tiến triển công khai.
Thậm chí ở 10 năm, cũng vẫn rất cấp tiến. Xem xét mức độ xa CRQC còn lúc nào, cảm thấy hào hứng với tiến triển phần cứng hoàn toàn có thể phù hợp với "thời gian trên 10 năm".
Đối với việc chính phủ Mỹ xem năm 2035 là thời hạn mục tiêu để chuyển toàn bộ hệ thống chính phủ sang hệ thống sau lượng tử: Tôi nghĩ đó là một "thời gian biểu hoàn tất chuyển đổi quy mô lớn" hợp lý, nhưng đó không phải là dự đoán "trước năm 2035 sẽ xuất hiện CRQC".
Tấn Công HNDL Áp Dụng Ở Đâu (Và không áp dụng ở đâu)?
Tấn công "Thu thập trước, Giải mã sau" (HNDL) đề cập đến việc: Kẻ địch hiện nay lưu trữ luồng truyền thông mật mã, và sau này khi CRQC xuất hiện, họ sẽ giải mã. Các kẻ thù cấp quốc gia hầu như chắc chắn đã lưu trữ một cách khổng lồ luồng truyền thông mật mã của chính phủ Mỹ để có thể giải mã sau này.
Do đó, hệ thống mật mã cần bắt đầu chuyển đổi từ hôm nay - ít nhất là đối với những người cần bảo mật trong khoảng thời gian từ 10 đến 50 năm.
Nhưng chữ ký số mà blockchain phụ thuộc khác biệt với mật mã: chữ ký không chứa "nội dung bí mật", không có bí mật có thể bị giải mã sau đó.
Nói cách khác: Nếu CRQC đến, từ thời điểm đó, việc làm giả chữ ký có thể xảy ra; nhưng chữ ký lịch sử không giống như tin nhắn mật mã với "nội dung bí mật". Chỉ cần bạn biết chữ ký nào được tạo ra trước khi CRQC xuất hiện, nó không thể là giả mạo.
Điều này làm cho việc di cư chữ ký số sau lượng tử cấp bách trở nên cấp bách hơn nhiều so với di cư sau lượng tử của mật mã.
Do đó, các nền tảng phổ biến cũng đang hành động theo nhịp điệu này:
Chrome và Cloudflare đã triển khai một phương án kết hợp X25519 + ML-KEM trong TLS mã hóa.
(Lưu ý: Vì tính dễ đọc, ở đây tôi gọi đây là "phương án mã hóa", nhưng nghiêm ngặt TLS sử dụng cơ chế trao đổi khóa hoặc bao gói khóa, không phải là mã hóa khóa công khai truyền thống.)
“Kết hợp” ám chỉ việc sử dụng chồng lên nhau phương án an toàn sau lượng tử (ML-KEM) với phương án hiện tại (X25519), để đạt được bảo đảm an toàn từ cả hai phía: một phía chống lại HNDL bằng ML-KEM, một phía giữ nguyên tính bảo mật cổ điển của X25519, ngay cả khi ML-KEM bị chứng minh là không an toàn trên máy tính cổ điển.
iMessage của Apple đã triển khai một phương án mã hóa sau lượng tử tương tự thông qua giao thức PQ3; Signal cũng triển khai một chiến lược tương tự thông qua các giao thức PQXDH và SPQR.
Tương phản với điều đó, triển khai chữ ký số sau lượng tử trên cơ sở hạ tầng Internet chính đã bị trì hoãn cho đến khi CRQC thực sự gần kề, vì phương án chữ ký số sau lượng tử hiện tại mang lại sự suy giảm hiệu suất đáng kể (sẽ được giải thích ở phần sau).
Tình hình zkSNARK tương tự như chữ ký số, không phải mã hóa
zkSNARK (chứng minh kiến thức không tương tác mạch không gian) quan trọng đối với tính mở rộng và sự riêng tư bền vững của blockchain, tình hình của nó tương tự như chữ ký số: mặc dù một số zkSNARK không phải chỉ số sau lượng tử (vì chúng sử dụng mật mã đường cong elliptic, giống như các phương án mã hóa và chữ ký không phải chỉ số sau lượng tử hiện nay), tính chất zero-knowledge của chúng vẫn an toàn sau lượng tử.
Tính chất zero-knowledge có nghĩa là chứng minh không tiết lộ bất kỳ thông tin nào về "chứng nhận bí mật" (witness) - ngay cả trước kẻ thù lượng tử - do đó không có nội dung bí mật nào có thể "chừa bày trước, sau đó giải mã".
Do đó, zkSNARK sẽ không bị tấn công HNDL. Giống như chữ ký không phải chỉ số hiện nay vẫn đáng tin cậy, miễn là một chứng minh zkSNARK nào đó được tạo ra trước CRQC, nó có thể được tin cậy (chứng minh của câu hỏi chắc chắn đúng), ngay cả khi zkSNARK đó sử dụng mật mã đường cong elliptic. Chỉ khi CRQC xuất hiện, kẻ tấn công mới có thể làm giả chứng nhận "có vẻ tin cậy nhưng thực tế là chứng minh câu hỏi sai".
Điều này có ý nghĩa gì đối với blockchain?
大多數區塊鏈並不會受到 HNDL 攻擊的影響:像比特幣、以太坊這樣的非隱私鏈,主要使用非後量子加密進行交易授權,即使用數位簽章而不是加密。簽章並不是 HNDL 的風險點:HNDL 是針對加密數據的攻擊。例如,比特幣鏈是公開的,量子威脅是「偽造簽章(推導私鑰偷幣)」,而不是「解密已經公開的交易數據」。因此,HNDL 不會導致「立即必須遷移」的加密學緊迫性。
遺憾的是,就連美聯儲這樣的可信來源的部分分析,也曾錯誤聲稱比特幣會受到 HNDL 攻擊,這種誤判會夸大量子遷移的緊迫性。
當然,緊迫性降低並不意味著比特幣可以慢慢等:它的時間壓力來自另一件事——改變協議所需的巨大社會協調成本。(後文會談比特幣的特殊難題。)
目前真正的例外是隱私鏈:其中很多鏈會加密或隱藏收款方與金額。這類機密性可以被「現在收集」,並在未來量子計算機能破解橢圓曲線加密後進行追溯去匿名。
隱私鏈受到攻擊的嚴重程度取決於具體設計。例如,Monero 的基於曲線的環簽名與 key image(用於防止雙花的一種「每個輸出的可鏈接標籤」),僅憑公開帳本就可能在很大程度上重建歷史支出圖譜。而另一些隱私方案的損害更有限——細節可參考 Zcash 的密碼工程師兼研究員 Sean Bowe 的討論。
如果用戶非常在意交易不會在 CRQC 到來後被曝光,那麼隱私鏈應盡快遷移到後量子原語(或混合方案),或採用避免把可解密秘密寫入鏈上的架構。
比特幣的「特殊頭痛點」:治理 + 棄置幣
對比特幣而言,有兩個現實因素推動它必須盡早開始規劃後量子簽名遷移——而這兩點都與量子技術本身無關:
治理速度:比特幣升級極慢。任何有爭議的議題都可能引發破壞性的硬分叉,如果社區無法達成一致。
遷移無法被動完成:比特幣切換到後量子簽名不可能「自動遷移」,幣的持有人必須主動搬遷資產。也就是說,棄置的、量子脆弱的幣將無法被保護。有些估計認為,這類潛在棄置且量子脆弱的 BTC 可能有數百萬枚,以 2025 年 12 月的價格計,價值可達數千億美元。
Tuy nhiên, mối đe dọa lượng tử đối với Bitcoin không phải là ngày tận thế đột ngột, mà giống như một quá trình tấn công "lựa chọn, từ từ". Máy tính lượng tử sẽ không một lúc đánh sập tất cả các khóa: Thuật toán Shor cần từng bước tấn công từng khóa công khai. Cuộc tấn công lượng tử ban đầu sẽ rất đắt đỏ và chậm chạp. Do đó, khi có thể crack được một khóa chữ ký Bitcoin đơn, kẻ tấn công sẽ ưu tiên nhắm vào ví có giá trị cao.
Ngoài ra, người dùng không tái sử dụng địa chỉ và không sử dụng địa chỉ Taproot (Taproot sẽ tiết lộ khóa công khai trực tiếp trên chuỗi) sẽ tương đối an toàn ngay cả khi giao thức không thay đổi: khóa công khai của họ sẽ được che giấu bởi hàm băm cho đến khi tiêu diệt. Chỉ khi giao dịch tiêu diệt được phát ra, khóa công khai mới có thể nhìn thấy, và lúc đó sẽ xuất hiện một cuộc đua "thời gian thực" ngắn ngủi — chủ sở hữu thực sự cần để giao dịch được xác nhận ngay lập tức, trong khi kẻ tấn công lượng tử cố gắng suy đoán khóa riêng tư và chiếm ưu thế tiêu diệt trước. Do đó, thực sự yếu và lâu dài là những đồng tiền mà khóa công khai của chúng đã bị tiết lộ: đầu ra P2PK ban đầu, địa chỉ tái sử dụng, cũng như Taproot lưu trữ.
Đối với những đồng tiền đã tiết lộ và có thể bị bỏ quên, không có phương án đơn giản, một số phương án có thể bao gồm:
Cộng đồng thiết lập một "ngày cờ" (flag day), sau một ngày nhất định, bất kỳ đồng tiền chưa được di chuyển nào sẽ bị coi là bị phá hủy;
Hoặc để những đồng tiền lượng tử yếu bị bỏ quên này tự tồn tại, và trong tương lai sẽ được bất kỳ ai sở hữu CRQC nào tiếp quản trực tiếp.
Lựa chọn thứ hai sẽ đưa đến các vấn đề pháp lý và an ninh nghiêm trọng: lấy quyền kiểm soát đồng tiền bằng máy tính lượng tử mà không có khóa riêng tư, ngay cả khi tuyên bố sở hữu hợp pháp hoặc từ tâm, cũng có thể vi phạm các luật liên quan đến trộm cắp hoặc gian lận máy tính trong nhiều lãnh thổ pháp lý.
Ngoài ra, "bỏ quên" chính là dựa trên giả thuyết về việc không hoạt động lâu dài, không ai có thể xác nhận xem đô la có chủ quản đang sống hay các khóa vẫn có thể truy cập được. Chỉ bằng bằng chứng "Tôi đã từng sở hữu đồng tiền này", thường không đủ để cấu thành một sự cho phép hợp pháp để phá vỡ bảo vệ mật khẩu và khôi phục tài sản. Mức độ mơ hồ về pháp lý này sẽ tăng cơ hội cho kẻ tấn công xấu tính tự ý giành lấy.
Bitcoin cũng đối mặt với một vấn đề bổ sung: khả năng xử lý trên chuỗi thấp. Ngay cả khi phương án di chuyển được xác định, để chuyển toàn bộ tài sản lượng tử yếu sang địa chỉ an toàn sau lượng tử với tốc độ giao dịch Bitcoin hiện tại, có thể cần mất vài tháng.
Những vấn đề này đòi hỏi Bitcoin phải lập kế hoạch di chuyển sau lượng tử ngay từ bây giờ — không phải vì CRQC sẽ xuất hiện trước năm 2030, mà là vì quá trình quản trị, phối hợp và di chuyển công nghệ cần nhiều năm để giải quyết.
Mối đe dọa lượng tử mà Bitcoin đối diện là thực tế, nhưng áp lực thời gian đến từ các hạn chế của chính nó, chứ không phải từ việc máy tính lượng tử áp sát. Các blockchain khác cũng sẽ gặp vấn đề với tiền lượng tử yếu, nhưng Bitcoin đặc biệt: các giao dịch sớm của Bitcoin sử dụng đầu ra P2PK, việc ghi khóa công khai trực tiếp vào chuỗi làm cho tỷ lệ tiền lượng tử yếu của nó đặc biệt đáng kể. Ngoài ra, lịch sử của Bitcoin dài hạn hơn, giá trị tập trung hơn, khả năng xử lý thấp hơn, và cách quản trị nghiêm ngặt hơn, khiến vấn đề trở nên nghiêm trọng hơn.
Cần lưu ý rằng: Lỗ hổng được đề cập ảnh hưởng đến tính bảo mật của chữ ký số Bitcoin, chứ không phải tính bảo mật kinh tế của chuỗi Bitcoin. Tính bảo mật kinh tế của Bitcoin xuất phát từ PoW (Proof of Work), mối đe dọa của máy tính lượng tử đối với PoW tương đối hạn chế, với ba lý do:
PoW dựa vào hàm băm, do đó chỉ bị tác động bằng cách tăng tốc bậc hai của thuật toán tìm kiếm Grover, không phải tăng tốc bậc mũ như thuật toán Shor;
Chi phí thực hiện thuật toán tìm kiếm Grover rất lớn, khiến cho rất khó để máy tính lượng tử đạt được bất kỳ sự tăng tốc thực tế nào trên PoW của Bitcoin;
Ngay cả khi có sự tăng tốc đáng kể, cũng chỉ làm cho các thợ mỏ lớn hơn (thợ mỏ lượng tử) có ưu thế tương đối hơn, không phải là phá vỡ mô hình bảo mật kinh tế của Bitcoin một cách cơ bản.
Chi phí và Rủi ro của Chữ ký Hậu Lượng tử
Để hiểu tại sao Blockchain không nên triển khai chữ ký hậu lượng tử một cách vội vã, chúng ta phải hiểu đồng thời chi phí hiệu suất và sự tin cậy của chúng ta trong an toàn hậu lượng tử vẫn đang thay đổi.
Đa số các lược đồ mật mã hậu lượng tử dựa trên một trong năm tuyến đường:
Hàm băm (hashing), Mã hóa (codes), Lưới (lattices), Hệ thức đa biến phương trình bậc hai (MQ), Isogenies đồng nguồn (isogenies)
Tại sao có năm hình thức? Vì bất kỳ nguyên tắc mật mã hậu lượng tử nào đều dựa trên một giả thiết: máy tính lượng tử không thể giải quyết vấn đề toán học nào một cách hiệu quả. Càng mạnh mẽ vấn đề cấu trúc, chúng ta có thể xây dựng giao thức hiệu quả hơn.
Nhưng cấu trúc mạnh mẽ cũng có nghĩa là mục tiêu tấn công lớn hơn, có khả năng bị thuật toán tận dụng. Điều này tạo ra một căng thẳng cơ bản: cấu trúc mạnh mẽ hơn mang lại hiệu suất tốt hơn, đồng thời cũng có thể gây ra rủi ro an ninh cao hơn (xác suất phá vỡ giả thiết cao hơn).
Nói chung, con đường của hàm băm là đường lối an toàn nhất, vì chúng ta tin tưởng máy tính lượng tử khó mà tấn công chúng một cách hiệu quả; nhưng hiệu suất cũng kém nhất. Ví dụ, chữ ký hàm băm theo tiêu chuẩn NIST, dù sử dụng tham số tối thiểu, cũng có kích thước 7-8KB. So với đó, chữ ký số dựa trên đường cong elliptic ngày nay chỉ có 64 byte, kích thước gần như gấp 100 lần.
Giờ đây, mật mã lưới đang là trọng tâm triển khai: Cả ba trong số ba thuật toán chữ ký được lựa chọn theo tiêu chuẩn NIST, đều dựa trên lưới.
Trong đó, kích thước chữ ký của ML-DSA (ban đầu Dilithium) khoảng:
Cấp độ bảo mật 128 bit: 2.4KB
Mức độ bảo mật 256 bit: 4.6KB
Lớn khoảng 40-70 lần so với chữ ký đường cong elliptic.
Một loại chữ ký hệ lục Falcon nhỏ hơn (Falcon-512 là 666 byte, Falcon-1024 là 1.3KB), nhưng cần phép tính số chấm động phức tạp, NIST cũng đặc biệt chỉ ra khó khăn trong việc triển khai. Một trong số tác giả của Falcon, Thomas Pornin, thậm chí đã gọi nó là "giải thuật mật mã phức tạp nhất mà tôi từng triển khai".
Từ góc độ triển khai bảo mật, hệ thống chữ ký hệ lục cũng khó triển khai bảo mật hơn so với hệ thống đường cong elliptic: ML-DSA có nhiều giá trị trung gian nhạy cảm và logic chống chọn mẫu phức tạp, cần bảo vệ chống các kênh phụ hoặc lỗi; Falcon liên quan đến việc triển khai thời gian cố định cho tính toán chấm động, và thực sự đã có các cuộc tấn công chống chọn mẫu được triển khai thành công trên Falcon có thể khôi phục lại khóa riêng tư của nó.
Những vấn đề này đang đối diện với rủi ro ngay lập tức, không phải là nguy cơ trong tương lai của CRQC.
Sự cẩn trọng đã học từ lịch sử: một số giải thuật từng dẫn đầu, như Rainbow (chữ ký MQ) và SIKE/SIDH (mã hóa ánh xạ tong), sau này đã bị đánh bại bởi tấn công từ máy tính cổ điển, nghĩa là chúng có thể bị phá vỡ bởi máy tính hiện nay, không phải là máy tính lượng tử.
Và họ đã bị bẻ khóa khi quá trình tiêu chuẩn hóa của NIST đã ở giai đoạn muộn hơn. Điều này thể hiện rõ quá trình khoa học đang phát huy tác dụng, nhưng cũng nhắc nhở chúng ta: việc tiêu chuẩn hóa quá sớm và triển khai quá sớm có thể dẫn đến hậu quả ngược lại.
Neti chấm lớn này, cơ sở hạ tầng Internet đang xử lý việc chuyển đổi chữ ký một cách cẩn thận hơn. Ngay cả khi quá trình chuyển đổi mật khẩu Internet bắt đầu, thường cần một thời gian rất dài để thực sự triển khai: việc loại bỏ MD5 và SHA-1 đã mất rất nhiều thời gian để cơ sở hạ tầng loại bỏ hoàn toàn, ngay cả tại thời điểm hiện tại, vẫn chưa hoàn toàn biến mất ở một số tình huống. Điều này vẫn xảy ra trong trường hợp mà các thuật toán này đã "hoàn toàn bị đánh bại", không chỉ là "có thể bị đánh bại trong tương lai".
Blockchain vs Cơ sở hạ tầng Internet: Một số thách thức độc đáo
Tin tức tốt là, các blockchain mở nguồn như Ethereum, Solana thường có tốc độ nâng cấp nhanh hơn so với cơ sở hạ tầng Internet truyền thống.
Nhưng cơ sở hạ tầng Internet truyền thống cũng có lợi thế: chúng thường xuyên thay đổi khóa, giúp diện tích tấn công di chuyển liên tục, làm cho việc phá một số khóa trong số đó trở nên khó khăn đối với máy tính lượng tử sớm. Trái lại, blockchain không có điều kiện "sang trọng" này, vì tiền và khóa tương ứng có thể bị tiết lộ và yên trạng trong thời gian dài.
Nhìn chung, Blockchain vẫn nên duy trì "nhịp độ ổn định" đối với việc chuyển đổi chữ ký sang quantum internet: vì việc chuyển đổi quá sớm sang một giải pháp quantum chưa chín chắn vẫn mang lại chi phí và rủi ro lớn.
Cùng với đó, Blockchain còn có một số yêu cầu đặc biệt làm cho việc chuyển đổi quá sớm trở nên phức tạp hơn: ví dụ như việc cần phải nhanh chóng tổng hợp một lượng lớn chữ ký trên chuỗi. Hiện nay, chữ ký BLS được sử dụng phổ biến vì việc tổng hợp diễn ra rất nhanh, nhưng nó không an toàn với quantum. Các nhà nghiên cứu đang khám phá việc sử dụng SNARK để tổng hợp chữ ký sau quantum, điều này có triển vọng, nhưng vẫn còn ở giai đoạn sớm.
Với SNARK, cộng đồng hiện nay thường xem xây dựng băm là giải pháp quantum sau chính. Nhưng trong các tháng đến vài năm tới, giải pháp lattice có thể trở thành lựa chọn thay thế hiệu suất tốt hơn, mang lại lợi ích như chứng minh ngắn hơn - tương tự như so sánh "chữ ký lattice ngắn hơn chữ ký băm".
Vấn đề lớn hơn hiện tại: Đảm bảo an toàn, chứ không phải đe dọa quantum
Trong nhiều năm tới, lỗ hổng triển khai sẽ có khả năng trở thành nguy cơ an ninh chính đáng hơn so với CRQC. Đối với SNARK, vấn đề hàng đầu là lỗi.
Chữ ký số và mã hóa từ lâu đã khó triển khai mà không có lỗi, với độ phức tạp của SNARK cao hơn nữa. Trên thực tế, giải pháp chữ ký số có thể được coi là một loại zkSNARK rất đơn giản: nó chứng minh "tôi biết khóa riêng tương ứng với khóa công khai này và ủy quyền cho tin nhắn này".
Đối với chữ ký sau quantum, hiện tại còn phải đối mặt với các cuộc tấn công như kênh xem bên, nhập lỗi triển khai, và những cuộc tấn công này đã rất phổ biến trong thế giới thực, đủ sức trích xuất khóa riêng từ hệ thống triển khai, với mức độ đe dọa cao hơn rất nhiều so với "máy tính quantum xa xôi".
Trong nhiều năm tới, cộng đồng cần tiếp tục phát hiện và khắc phục các lỗi của SNARK, và củng cố triển khai chữ ký sau quantum để chống lại các cuộc tấn công xem bên và nhập lỗi triển khai. Vì giải pháp SNARK sau quantum và phương pháp tổng hợp chữ ký vẫn đang phát triển, một chuỗi chuyển giao quá sớm có thể bị kẹt trong một giải pháp thứ cấp, thậm chí phải mắc kẹt trong giải pháp tốt hơn khi nó được phát triển hoặc khi lỗi được phát hiện.
Chúng ta nên làm gì? 7 Gợi ý
Kết hợp với thực tế trên, tôi đưa ra 7 gợi ý cho các vai trò khác nhau (nhà phát triển, chính sách, v.v.): hãy nghiêm túc đối mặt với đe dọa quantum, nhưng đừng giả định rằng CRQC sẽ xuất hiện trước năm 2030. Giả định này không phản ánh tiến triển công khai. Tuy nhiên, chúng ta vẫn có thể và nên ngay lập tức thực hiện một số hành động:
#1 Triển khai ngay lập tức mật mã kết hợp.
Ít nhất là ở những nơi mà yêu cầu bảo mật dài hạn và chi phí có thể chịu đựng được. Trình duyệt, CDN, ứng dụng truyền thông đã chấp nhận rộng rãi mô hình kết hợp "quantum sau + cổ điển", để chống lại HNDL và đồng thời bảo vệ chống lại các lỗ hổng có thể tồn tại trong giải pháp quantum sau.
#2 Khi kích thước cho phép, ngay lập tức sử dụng chữ ký băm.
Ví dụ, trong các kịch bản ít thông thường như cập nhật phần mềm/phần cứng, không nhạy cảm với kích thước, nên sớm áp dụng chữ ký băm kết hợp (kết hợp nhằm mục đích chống lại lỗi thực thi, chứ không phải nghi ngờ giả định an toàn của băm).
Điều này tương đương với việc chuẩn bị một "thuyền cứu hộ" cho xã hội: Nếu CRQC đột ngột xuất hiện và chúng ta không có cơ chế cập nhật phần mềm hậu mãi của chữ ký sau lượng tử, chúng ta sẽ gặp khó khăn trong việc khởi động — chúng ta sẽ thậm chí không thể phân phối bản vá cho CRQC một cách an toàn.
#3 Blockchain không cần phải ngay lập tức chuyển sang chữ ký sau lượng tử, nhưng phải lên kế hoạch từ bây giờ.
Blockchain nên học hỏi từ cộng đồng PKI trên Internet để duy trì một nhịp độ ổn định, để chữ ký sau lượng tử tiếp tục trưởng thành, để dành thời gian tái cấu trúc hệ thống để phù hợp với việc hiểu rõ hơn về ký hiệu lớn hơn và phát triển công nghệ tổng hợp tốt hơn.
So sánh với Bitcoin và các mạng L1 khác: Cần phải xác định ngay lập tức lộ trình di chuyển và chính sách về tài sản dễ bị tấn công lượng tử, vì di chuyển theo kiểu chủ động không thể thực hiện được, và khó khăn của Bitcoin chủ yếu đến từ việc quản trị chậm chạp và một lượng lớn địa chỉ tiềm năng có thể bị bỏ quên với giá trị cao, do đó cần phải lập kế hoạch ngay từ bây giờ.
Đồng thời, cũng cần phải dành thời gian trưởng thành cho nghiên cứu về sau lượng tử SNARK và chữ ký tổng hợp (có thể cần một hoặc hai năm hoặc thậm chí lâu hơn). Di chuyển quá sớm có thể khiến bạn bị kẹt vào một giải pháp thứ yếu, hoặc bị buộc phải di chuyển lần nữa sau khi lỗi thực hiện được tiết lộ.
Liên quan đến mô hình tài khoản Ethereum: Ethereum có hai loại tài khoản ảnh hưởng đến cách di chuyển sau lượng tử: Tài khoản bên ngoài (EOA), được điều khiển bởi khóa riêng secp256k1; Ví hợp đồng thông minh, logic ủy quyền có thể lập trình được.
Trong trường hợp không khẩn cấp, nếu Ethereum thêm hỗ trợ chữ ký sau lượng tử, ví hợp đồng có thể nâng cấp bằng cách chuyển sang logic xác minh mới; EOA có khả năng cần phải chuyển tài sản đến địa chỉ mới an toàn sau lượng tử (Ethereum cũng có thể cung cấp cơ chế đặc biệt). Trong "tình trạng khẩn cấp lượng tử", các nhà nghiên cứu Ethereum đã đề xuất kế hoạch hard fork để đóng băng các tài khoản dễ bị tấn công và cho phép người dùng khôi phục tài sản bằng cách chứng minh bằng chứng SNARK an toàn sau lượng tử, cơ chế này có thể áp dụng đồng thời cho cả EOA và ví hợp đồng chưa nâng cấp.
Đối với người dùng: Ví hợp đồng có thể nâng cấp được sau kiểm tra cẩn thận và có thể dễ dàng hơn một chút để di chuyển, nhưng sự khác biệt là không lớn, và đi kèm với sự lựa chọn giữa tín nhiệm vào nhà cung cấp ví và quản trị nâng cấp. So với loại tài khoản, điều quan trọng hơn là Ethereum tiếp tục tiến hành nghiên cứu về nguyên lý sau lượng tử và có kế hoạch khẩn cấp.
Ý tưởng thiết kế phổ biến hơn đối với các nhà phát triển: Nhiều chuỗi khối liên kết nhận thể tài khoản và một nguyên lý ký hiệu cụ thể được liên kết chặt chẽ (như Bitcoin/Ethereum liên kết với secp256k1, chuỗi khối khác liên kết với EdDSA). Di chuyển sau lượng tử đã làm nổi bật giá trị của "tách biệt danh tính tài khoản khỏi một lược đồ ký hiệu cụ thể". Ethereum tiến cống tiến nguyên lý tài khoản thông minh, các chuỗi khối khác tiến cống trừu tượng hóa tài khoản, đều phản ánh xu hướng này: cho phép nâng cấp logic xác thực tài khoản mà không cần loại bỏ lịch sử và trạng thái trên chuỗi. Điều này không làm cho di chuyển sau lượng tử trở nên "dễ dàng," nhưng có thể làm tăng tính linh hoạt đáng kể, đồng thời hỗ trợ thanh toán đại diện, khôi phục xã hội, đa chữ ký và các tính năng khác.
#4 Với Private Chain: Ưu tiên di trút sớm (nếu hiệu suất có thể chịu đựng).
Sự bí mật của Private Chain sẽ bị ảnh hưởng bởi nguy cơ HNDL, và mức độ thiết kế có thể bị theo dõi trên sổ cái công khai và trở nên không ẩn danh càng gấp gáp. Cân nhắc các phương án kết hợp hoặc điều chỉnh kiến trúc để tránh việc ghi thông tin bí mật có thể giải mã lên chuỗi.
#5 Hiện nay, ưu tiên hàng đầu nên là đảm bảo an ninh, chứ không phải là đối phó với quantum.
Đối với các nguyên tắc phức tạp như SNARK và chữ ký sau Quantum, lỗ hổng, kênh phụ và tiêm lỗi sẽ nguy hiểm hơn rất nhiều so với CRQC trong nhiều năm tới. Cần tập trung ngay vào kiểm toán, kiểm thử mờ và xác minh hình thức cũng như phòng thủ sâu, không để lo lắng về "quantum" làm che mờ các rủi ro lỗ hổng cấp bách hơn.
#6 Hỗ trợ phát triển tính toán lượng tử.
Nếu đối thủ chính vượt qua Mỹ trong việc thực hiện CRQC, sẽ mang lại rủi ro nghiêm trọng đối với an ninh quốc gia. Vì vậy, cần tiếp tục đầu tư vào nghiên cứu và phát triển tính toán lượng tử cũng như đào tạo nhân tài.
#7 Duy trì cái nhìn bình tĩnh về các thông báo về tính toán lượng tử.
Trong những năm tới sẽ có nhiều bước đột phá về phần cứng. Một mặt, việc có nhiều bước đột phá chính là dấu hiệu cho thấy chúng ta vẫn còn rất xa với CRQC: mỗi bước đột phá chỉ là một trong nhiều cây cầu dẫn tới CRQC, mỗi lần đều gây ra một làn sóng báo chí và phấn khích. Hãy xem thông cáo báo chí như là "báo cáo tiến triển cần đánh giá một cách phê phán", chứ không phải là "tín hiệu mà chúng ta cần hành động ngay lập tức".
Tất nhiên, trong tương lai cũng có thể xảy ra đột phá bất ngờ khiến cho dòng thời gian tiến triển nhanh chóng, hoặc gặp phải sự cản trở nghiêm trọng khiến dễ dẫn đến trì hoãn. Tôi không nói rằng việc xuất hiện CRQC trong vòng năm năm tới hoàn toàn không thể, chỉ là khả năng này rất thấp. Những khuyến nghị trên chính là để duy trì một cách mạnh mẽ trước sự không chắc chắn này, đồng thời tránh xa rủi ro thực tế và có xác suất cao hơn: lỗ hổng triển khai vội vã, và sai lầm nhân tạo thường thấy trong quá trình di trút mật mã.
Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:
Nhóm Telegram đăng ký: https://t.me/theblockbeats
Nhóm Telegram thảo luận: https://t.me/BlockBeats_App
Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia
