Khi nào máy tính lượng tử có thể đột phá các công nghệ mã hóa hiện có? Các đối tác nghiên cứu của A16Z phân tích sâu dòng thời gian thực của các mối đe dọa lượng tử, làm rõ các rủi ro khác nhau mà mã hóa và chữ ký phải đối mặt, đồng thời đưa ra bảy đề xuất phản ứng chính cho ngành công nghiệp blockchain. Bài viết này là từ Justin Thaler / a16zBáo cáo nghiên cứu, bởiVùng độngBiên soạn và đánh bóng.
(Tóm tắt: Chuyên gia vật lý: Cho máy tính lượng tử thêm năm năm nữa để phá khóa riêng Bitcoin, nếu muốn nâng cấp BTC, bạn cần phải tắt hoàn toàn? ）
(Bổ sung cơ bản: Bitcoin bị bẻ khóa trước năm 2030? “Quantum Echo” của Google Willow đã làm dấy lên cuộc tranh luận của chuyên gia: hầu hết các khóa công khai đã bị lộ sớm)

Mục lục của bài viết này

• Dòng thời gian: Nó còn bao xa so với một máy tính lượng tử có thể phá vỡ mã hóa?
• Tấn công “Ăn cắp ngay, giải mã tương lai”: Nó dành cho ai? Đối tượng không áp dụng cho ai?
• Điều này có ý nghĩa gì đối với blockchain?
• Các vấn đề đặc biệt của Bitcoin: bế tắc quản trị và “đồng tiền ngủ”
• Chi phí và rủi ro của chữ ký hậu lượng tử
• Những thách thức độc đáo của blockchain so với cơ sở hạ tầng internet
• Chúng ta nên phản ứng như thế nào? Bảy gợi ý

Chúng ta còn bao xa nữa là đến sự ra đời của một máy tính lượng tử có thể phá vỡ Bitcoin?

Khi nào máy tính lượng tử có thể bẻ khóa mật mã hiện có? Dòng thời gian của vấn đề này thường được hiển thị quá mức, dẫn đến những lời kêu gọi chuyển đổi khẩn cấp và toàn diện sang mật mã hậu lượng tử.

Tuy nhiên, những cuộc gọi này thường bỏ qua các chi phí và rủi ro liên quan đến việc di chuyển sớm, và không nhận ra bản chất của các mối đe dọa mà các công cụ mật mã khác nhau phải đối mặt:

• Mã hóa hậu lượng tử phải được triển khai ngay lập tức, bất kể chi phí. Bởi vì phương thức tấn công “ăn cắp ngay, giải mã trong tương lai” (HNDL) đã tồn tại. Dữ liệu nhạy cảm được mã hóa ngày nay, ngay cả khi máy tính lượng tử chỉ có sẵn trong nhiều thập kỷ sau đó, vẫn có giá trị. Mặc dù mã hóa hậu lượng tử có thể gây ra các hình phạt về hiệu suất và rủi ro triển khai, nhưng chúng ta không có lựa chọn nào khác khi nói đến dữ liệu cần được giữ bí mật trong một thời gian dài.
• Chữ ký số hậu lượng tử là một câu chuyện khác. Chúng ít bị tổn thương hơn trước các cuộc tấn công “đánh cắp và giải mã” này, và chi phí và rủi ro của chính chúng (cồng kềnh, gánh nặng hiệu suất, giải pháp chưa hoàn thiện, lỗ hổng tiềm ẩn) đòi hỏi phải lập kế hoạch cẩn thận hơn là hành động ngay lập tức.

Điều quan trọng là phải phân biệt giữa chúng. Nhận thức sai lầm có thể làm sai lệch phân tích chi phí-lợi ích, khiến các nhóm bỏ qua các rủi ro bảo mật cấp bách hơn, chẳng hạn như lỗ hổng mã.

Thách thức thực sự của việc chuyển đổi thành công sang mật mã hậu lượng tử nằm ở việc kết hợp tính cấp bách của hành động với các mối đe dọa thực sự. Sau đây sẽ làm rõ những quan niệm sai lầm phổ biến về mật mã mối đe dọa điện toán lượng tử, bao gồm mã hóa, chữ ký và bằng chứng không kiến thức, đặc biệt tập trung vào ý nghĩa của chúng đối với blockchain.

Dòng thời gian: Bao xa so với một máy tính lượng tử có thể phá vỡ công nghệ mã hóa?

Bất chấp tất cả các tuyên truyền phóng đại, khả năng xảy ra một “máy tính lượng tử liên quan đến mật mã” trong những năm 20 của thế kỷ này là cực kỳ thấp.

Cái gọi là “máy tính lượng tử liên quan đến mật mã” đề cập đến một máy tính lượng tử có khả năng chịu lỗi và sửa lỗi, có khả năng chạy thuật toán Shor và đủ lớn để phá vỡ mật mã đường cong elip (chẳng hạn như secp256k1) hoặc RSA (chẳng hạn như RSA-2048) trong một thời gian hợp lý (ví dụ: hoạt động liên tục không quá một tháng).

Dựa trên các mốc kỹ thuật và đánh giá tài nguyên có sẵn công khai, chúng ta vẫn còn khá xa so với một máy tính như vậy. Mặc dù một số công ty tuyên bố rằng điều đó có thể xảy ra trước năm 2030 hoặc thậm chí năm 2035, nhưng tiến trình được biết đến hiện tại không hỗ trợ những tuyên bố này.

Hiện tại, không có nền tảng điện toán lượng tử nào có thể đạt được hàng trăm nghìn hoặc thậm chí hàng triệu qubit vật lý cần thiết để bẻ khóa RSA-2048 hoặc secp256k1 (tùy thuộc vào tỷ lệ lỗi và sơ đồ sửa lỗi).

Nút thắt cổ chai không chỉ nằm ở số lượng qubit mà còn ở độ trung thực của các cổng, kết nối giữa các qubit và độ sâu của các mạch sửa lỗi liên tục cần thiết để thực hiện các thuật toán lượng tử sâu. Một số hệ thống hiện có hơn 1.000 qubit vật lý, nhưng chỉ riêng con số này đã gây hiểu lầm: chúng thiếu kết nối và độ trung thực cần thiết cho các hoạt động mật mã.

Trong khi các hệ thống gần đây đang tiến gần đến ngưỡng tỷ lệ lỗi vật lý cần thiết để sửa lỗi lượng tử, không ai có thể thực thi đáng tin cậy hơn một vài qubit logic, chứ chưa nói đến hàng nghìn qubit logic có độ trung thực cao, mạch sâu, có khả năng chịu lỗi cần thiết để thực thi thuật toán Shor. Từ bằng chứng nguyên tắc đến quy mô cần thiết để đạt được phân tích mật mã, khoảng cách vẫn còn rất lớn.

Tóm lại: cho đến khi số lượng và độ trung thực của các qubit tăng lên theo thứ tự độ lớn, các máy tính lượng tử liên quan đến mật mã vẫn nằm ngoài tầm với.

Tuy nhiên, thông cáo báo chí của công ty và đưa tin trên phương tiện truyền thông thường gây nhầm lẫn. Những điểm chính của sự nhầm lẫn bao gồm:

2. Demo “Quantum Advantage”: Hầu hết các tác vụ demo hiện tại đều được thiết kế tốt và không thực sự hữu ích, chỉ vì chúng có thể được thực hiện trên phần cứng hiện có và “xuất hiện” nhanh chóng. Điều này thường bị xem nhẹ trong tuyên truyền.
3. Tuyên truyền “Hàng nghìn qubit vật lý”: Điều này thường đề cập đến máy ủ lượng tử, không phải máy tính lượng tử mô hình cổng có thể thực thi thuật toán Shor cần thiết để tấn công mật mã khóa công khai.
4. Lạm dụng “qubit logic”: Các qubit vật lý rất nhiễu và các thuật toán thực tế yêu cầu “qubit logic” bao gồm nhiều qubit vật lý thông qua sửa lỗi. Hàng ngàn qubit logic này được yêu cầu để chạy thuật toán Shor và mỗi qubit thường yêu cầu hàng trăm đến hàng nghìn qubit vật lý. Tuy nhiên, một số công ty phóng đại, chẳng hạn như tuyên bố gần đây rằng 48 qubit logic đạt được chỉ với 2 qubit vật lý trên mỗi qubit logic bằng cách sử dụng mã sửa lỗi “distance-2” (chỉ phát hiện lỗi, không sửa lỗi), điều này vô nghĩa.
5. Lộ trình gây hiểu lầm: Nhiều “qubit logic” chỉ hỗ trợ “hoạt động Clifford”, có thể được mô phỏng hiệu quả bởi các máy tính cổ điển và không đủ để thực thi các thuật toán Shor yêu cầu một số lượng lớn “cổng không phải Clifford” (chẳng hạn như cổng chữ T). Do đó, ngay cả khi một lộ trình tuyên bố “đạt được hàng nghìn qubit logic trong X năm”, điều đó không có nghĩa là công ty hy vọng sẽ bẻ khóa mật mã cổ điển vào lúc đó.

Những thực tiễn này đã bóp méo đáng kể nhận thức của công chúng về tiến bộ điện toán lượng tử, bao gồm cả các nhà quan sát kỳ cựu.

Tất nhiên, sự tiến bộ thực sự thú vị. Ví dụ, Scott Aaronson gần đây đã viết rằng với “tốc độ đáng ngạc nhiên của sự tiến bộ phần cứng”, ông tin rằng “có khả năng thực sự là chúng ta sẽ có một máy tính lượng tử có khả năng chịu lỗi có thể chạy thuật toán Shor trước cuộc bầu cử tổng thống Mỹ tiếp theo”. Nhưng sau đó ông làm rõ rằng điều này không đề cập đến các máy tính lượng tử liên quan đến mật mã - ngay cả khi nó chỉ là sự phân hủy có khả năng chịu lỗi 15 = 3×5 (nhanh hơn với bút và giấy), ông coi đó là thực hiện lời hứa của nó. Đây vẫn là một minh chứng quy mô nhỏ, và các thí nghiệm như vậy luôn nhắm đến 15, bởi vì mô đun 15 rất đơn giản để vận hành, và các số lớn hơn một chút (chẳng hạn như 21) khó hơn nhiều.

Kết luận chính: Các máy tính lượng tử liên quan đến mật mã có khả năng bẻ khóa RSA-2048 hoặc secp256k1 dự kiến sẽ xuất hiện trong vòng 5 năm tới - rất quan trọng đối với mật mã thực tế - thiếu sự hỗ trợ cho sự tiến bộ của công chúng. Ngay cả sau 10 năm, nó vẫn đầy tham vọng.

Do đó, sự phấn khích của sự tiến bộ không mâu thuẫn với đánh giá của dòng thời gian rằng “vẫn sẽ mất hơn một thập kỷ”.

Vậy còn thời hạn của chính phủ Mỹ vào năm 2035 cho việc di chuyển toàn diện sau lượng tử của các hệ thống chính phủ thì sao? Tôi nghĩ đây là một kế hoạch thời gian hợp lý để hoàn thành quá trình chuyển đổi quy mô lớn, nhưng nó không dự đoán rằng các máy tính lượng tử liên quan đến mật mã chắc chắn sẽ xuất hiện vào thời điểm đó.

Cuộc tấn công “Ăn cắp ngay, giải mã tương lai”: Nó áp dụng cho ai? Đối tượng không áp dụng cho ai?

Cuộc tấn công “Steal Now, Decrypt Future” có nghĩa là kẻ tấn công lưu trữ lưu lượng truy cập được mã hóa ngay bây giờ và giải mã nó sau khi một máy tính lượng tử liên quan đến mật mã xuất hiện trong tương lai. Có khả năng là một đối thủ cấp tiểu bang đã lưu trữ một số lượng lớn các thông tin liên lạc được mã hóa từ chính phủ Hoa Kỳ để giải mã trong tương lai.

Do đó, mã hóa phải được nâng cấp ngay lập tức, ít nhất là đối với những dữ liệu yêu cầu thời gian bảo mật hơn 10-50 năm.

Nhưng chữ ký số, nền tảng của tất cả các blockchain, khác với mật mã: chúng không có bí mật để có tác dụng hồi tố đối với các cuộc tấn công. Ngay cả khi máy tính lượng tử xuất hiện trong tương lai, chúng sẽ chỉ có thể giả mạo chữ ký từ đó trở đi và không thể “giải mã” các chữ ký trong quá khứ. Miễn là bạn có thể chứng minh rằng chữ ký được tạo ra trước khi máy tính lượng tử ra đời, nó không thể bị giả mạo.

Điều này làm cho quá trình chuyển đổi sang chữ ký số lượng tử ngược ít cấp bách hơn nhiều so với quá trình chuyển đổi mật mã.

Các nền tảng chính thống làm chính xác điều đó:

• Chrome và Cloudflare đã triển khai giải pháp X25519+ML-KEM lai để mã hóa TLS mạng. “Kết hợp” có nghĩa là sử dụng cả sơ đồ bảo mật hậu lượng tử (ML-KEM) và giải pháp hiện có (X25519), có cả bảo mật, ngăn chặn các cuộc tấn công HNDL và duy trì bảo mật cổ điển trong trường hợp có sự cố với giải pháp hậu lượng tử.
• iMessage (giao thức PQ3) và Signal (giao thức PQXDH và SPQR) của Apple cũng triển khai mã hóa hậu lượng tử lai tương tự.

Ngược lại, việc triển khai chữ ký số hậu lượng tử trên cơ sở hạ tầng mạng quan trọng đã bị trì hoãn cho đến khi các máy tính lượng tử liên quan đến mật mã thực sự gần gũi. Bởi vì sơ đồ chữ ký hậu lượng tử hiện tại sẽ dẫn đến suy giảm hiệu suất (thêm về điều đó bên dưới).

Bằng chứng không kiến thức (zkSNARK) ở trong tình huống tương tự như chữ ký. Ngay cả những zkSNARK không an toàn hậu lượng tử (chúng sử dụng mật mã đường cong elip) cũng an toàn hậu lượng tử. Thuộc tính này đảm bảo rằng bằng chứng không tiết lộ bất kỳ thông tin nào về bí mật (và máy tính lượng tử không thể giúp điều đó), vì vậy không có bí mật nào có thể bị “đánh cắp ngay bây giờ” để giải mã trong tương lai. Do đó, zkSNARK cũng không dễ bị tấn công HNDL. Bất kỳ bằng chứng zkSNARK nào được tạo ra trước khi máy tính lượng tử được tin cậy (ngay cả khi nó sử dụng mật mã đường cong elip) và kẻ tấn công có thể giả mạo bằng chứng giả sau khi máy tính lượng tử xuất hiện.

Điều này có ý nghĩa gì đối với blockchain?

Hầu hết các blockchain không dễ bị tấn công HNDL.

Giống như các chuỗi không bảo mật ngày nay như Bitcoin và Ethereum, mật mã không hậu lượng tử của chúng chủ yếu được sử dụng để ủy quyền giao dịch (tức là chữ ký số) hơn là mã hóa. Những chữ ký này không gây ra rủi ro HNDL. Lấy blockchain Bitcoin làm ví dụ, nó là công khai và mối đe dọa lượng tử nằm ở việc giả mạo chữ ký (đánh cắp tiền) hơn là giải mã dữ liệu giao dịch công khai. Điều này giúp loại bỏ sự khẩn cấp về mật mã ngay lập tức từ HNDL.

Đáng tiếc, ngay cả các tổ chức có thẩm quyền như Cục Dự trữ Liên bang cũng đã tuyên bố sai rằng Bitcoin dễ bị tấn công HNDL, phóng đại tính cấp bách của quá trình chuyển đổi.

Tất nhiên, sự khẩn cấp giảm bớt không có nghĩa là Bitcoin có thể ngồi lại và thư giãn. Nó phải đối mặt với những áp lực thời gian khác nhau từ công việc điều phối xã hội khổng lồ cần thiết cho các thay đổi giao thức (chi tiết bên dưới).

Ngoại lệ hiện tại là chuỗi quyền riêng tư. Nhiều chuỗi bảo mật mã hóa hoặc ẩn người nhận và số tiền. Thông tin bí mật này có thể bị đánh cắp ngay bây giờ và không ẩn danh hồi tố sau khi các máy tính lượng tử trong tương lai bẻ khóa mã đường cong elip. Mức độ nghiêm trọng của cuộc tấn công khác nhau tùy thuộc vào thiết kế (ví dụ: chữ ký vòng và hình ảnh khóa của Monero có thể cho phép biểu đồ giao dịch được xây dựng lại hoàn toàn). Do đó, nếu người dùng lo lắng về việc các giao dịch của họ không bị tiếp xúc với các máy tính lượng tử trong tương lai, các chuỗi bảo mật nên chuyển sang các nguyên thủy hậu lượng tử (hoặc sơ đồ lai) càng sớm càng tốt hoặc áp dụng một kiến trúc không đặt các bí mật có thể giải mã trên chuỗi.

Các vấn đề đặc biệt của Bitcoin: Bế tắc quản trị và “đồng tiền ngủ”

Đối với Bitcoin, có hai yếu tố trong thế giới thực thúc đẩy tính cấp bách của chữ ký lượng tử sau khi bắt đầu lập kế hoạch, cả hai đều không liên quan gì đến bản thân công nghệ lượng tử:

• Quản trị chậm: Quá trình thay đổi của Bitcoin diễn ra chậm và bất kỳ tranh cãi nào cũng có thể gây ra một hard fork phá hoại.
• Không thể di chuyển thụ động: Người nắm giữ coin phải chủ động di chuyển tài sản của họ. Điều này có nghĩa là các đồng tiền bị bỏ rơi dễ bị tấn công lượng tử sẽ không được bảo vệ. Người ta ước tính rằng có thể có hàng triệu BTC “ngủ” và dễ bị tổn thương lượng tử như vậy, lên tới hàng trăm tỷ đô la theo giá trị hiện tại.

Tuy nhiên, mối đe dọa lượng tử không phải là kết thúc “chỉ sau một đêm” đối với Bitcoin, mà giống như một quá trình nhắm mục tiêu có chọn lọc và dần dần. Các cuộc tấn công lượng tử ban đầu sẽ cực kỳ tốn kém và chậm chạp, với những kẻ tấn công nhắm mục tiêu có chọn lọc vào các ví có giá trị cao.

Ngoài ra, những người dùng tránh sử dụng lại địa chỉ và không sử dụng địa chỉ Taproot (hiển thị khóa công khai trực tiếp trên chuỗi) về cơ bản là an toàn ngay cả khi không nâng cấp giao thức - khóa công khai của họ được ẩn đằng sau hàm băm cho đến khi chúng được sử dụng. Khóa công khai chỉ bị lộ khi giao dịch chi tiêu được phát sóng và có một cuộc đua ngắn, thời gian thực để bắt đầu một cuộc đua thời gian thực ngắn: người dùng trung thực xác nhận giao dịch càng nhanh càng tốt, trong khi những kẻ tấn công lượng tử cố gắng tính toán khóa riêng tư và đánh cắp tiền trước đó.

Do đó, các đồng tiền thực sự dễ bị tấn công là những đồng tiền có khóa công khai đã bị lộ: đầu ra P2PK sớm, địa chỉ được sử dụng lại và tài sản được giữ theo cách Taproot.

Đối với các đồng tiền dễ bị bỏ rơi, giải pháp khá phức tạp: hoặc cộng đồng đồng ý về “thời hạn” và các đồng tiền chưa được di chuyển sau đó được coi là bị phá hủy; hoặc để nó được tiếp quản bởi những người sở hữu máy tính lượng tử trong tương lai. Sau này sẽ mang lại các vấn đề pháp lý và an ninh nghiêm trọng.

Câu hỏi hóc búa cuối cùng chỉ có ở Bitcoin là thông lượng giao dịch thấp. Ngay cả khi kế hoạch di cư được hoàn tất, sẽ mất nhiều tháng để chuyển tất cả các quỹ dễ bị tổn thương theo tốc độ hiện tại.

Những thách thức này khiến Bitcoin cần phải bắt đầu lập kế hoạch cho quá trình chuyển đổi hậu lượng tử ngay bây giờ - không phải vì máy tính lượng tử có thể ra mắt trước năm 2030, mà vì quản trị, điều phối và hậu cần kỹ thuật cần thiết để di chuyển tài sản trị giá hàng trăm tỷ đô la sẽ mất nhiều năm.

Mối đe dọa lượng tử mà Bitcoin phải đối mặt là có thật, nhưng áp lực thời gian chủ yếu bắt nguồn từ những hạn chế của chính nó hơn là máy tính lượng tử sắp xảy ra.

Lưu ý: Các lỗ hổng trên liên quan đến chữ ký không ảnh hưởng đến an ninh kinh tế của Bitcoin (tức là đồng thuận bằng chứng công việc). PoW dựa vào các hoạt động băm, chỉ bị ảnh hưởng bởi gia tốc thứ cấp của thuật toán tìm kiếm Grover và chi phí thực tế là đáng kể, khiến nó không có khả năng đạt được gia tốc đáng kể. Ngay cả khi có, nó chỉ mang lại lợi thế cho các thợ đào lớn chứ không phá hoại mô hình an ninh kinh tế của họ.

Chi phí và rủi ro của chữ ký hậu lượng tử

Tại sao các blockchain không nên vội vàng triển khai chữ ký hậu lượng tử? Chúng ta cần hiểu chi phí hiệu suất và sự tự tin của chúng ta rằng những giải pháp mới này vẫn đang phát triển.

Mật mã hậu lượng tử chủ yếu dựa trên năm loại bài toán: băm, mã hóa, mạng tinh thể, phương trình bậc hai đa biến và tương đồng đường cong elip. Lý do cho sự đa dạng là hiệu quả của sơ đồ có liên quan đến “cấu trúc” của vấn đề mà nó dựa vào: càng nhiều cấu trúc, hiệu quả thường càng cao, nhưng nó cũng có thể để lại nhiều đột phá hơn cho thuật toán tấn công, đây là một sự đánh đổi cơ bản.

• Lược đồ băm là bảo thủ nhất (tự tin nhất vào bảo mật) nhưng hoạt động kém nhất. Ví dụ, chữ ký băm tối thiểu được chuẩn hóa bởi NIST là 7-8KB, trong khi chữ ký đường cong elip hiện tại chỉ là 64 byte, chênh lệch khoảng 100 lần.
• Kịch bản lưới điện là trọng tâm triển khai hiện tại. Sơ đồ mã hóa hậu lượng tử duy nhất được chọn của NIST (ML-KEM) và hai trong số ba chữ ký (ML-DSA, Falcon) dựa trên mạng tinh thể.
• Kích thước chữ ký ML-DSA xấp xỉ 2,4-4,6KB, lớn hơn 40-70 lần so với chữ ký hiện tại.
• Chữ ký Falcon nhỏ (0,7-1,3KB), nhưng việc triển khai cực kỳ phức tạp, liên quan đến các hoạt động dấu phẩy động thời gian không đổi và đã có những trường hợp tấn công kênh bên thành công. Một trong những người sáng lập của nó gọi nó là “thuật toán mật mã phức tạp nhất mà tôi từng triển khai”.
• Thách thức bảo mật lớn hơn trong quá trình triển khai: Chữ ký lưới có các trung gian nhạy cảm hơn và logic lấy mẫu loại bỏ phức tạp hơn so với chữ ký đường cong elip, yêu cầu các kênh bên mạnh hơn và bảo vệ chống chèn lỗi.

Những rủi ro tức thời do những vấn đề này gây ra thực tế hơn nhiều so với các máy tính lượng tử ở xa.

Bài học từ lịch sử cũng khiến chúng ta thận trọng: các ứng cử viên hàng đầu trong quá trình tiêu chuẩn hóa NIST, chẳng hạn như Rainbow (chữ ký dựa trên MQ) và SIKE/SIDH (mã hóa dựa trên tương đồng), đã bị vi phạm bởi các máy tính cổ điển. Điều này cho thấy rủi ro của việc tiêu chuẩn hóa và triển khai sớm.

Cơ sở hạ tầng internet đã thực hiện một cách tiếp cận thận trọng đối với việc di chuyển chữ ký, điều này đặc biệt đáng chú ý vì bản thân quá trình chuyển đổi mật mã rất tốn thời gian (ví dụ: di chuyển từ MD5 / SHA-1 đã diễn ra trong nhiều năm và vẫn chưa hoàn thành đầy đủ).

Những thách thức độc đáo của blockchain so với cơ sở hạ tầng internet

Mặt khác, các blockchain được duy trì bởi các cộng đồng mã nguồn mở (ví dụ: Ethereum, Solana) có thể được nâng cấp nhanh hơn cơ sở hạ tầng mạng truyền thống. Nhược điểm là các mạng truyền thống có thể giảm bề mặt tấn công thông qua việc xoay vòng khóa thường xuyên, trong khi các đồng tiền blockchain và các khóa liên quan có thể bị lộ trong một thời gian dài.

Nhưng nhìn chung, blockchain vẫn nên tuân theo chiến lược di chuyển chữ ký thận trọng của mạng. Cả hai đều miễn nhiễm với các cuộc tấn công HNDL vào chữ ký, và chi phí cũng như rủi ro của việc di chuyển quá sớm là đáng kể.

Ngoài ra còn có một số phức tạp độc đáo của blockchain khiến việc di chuyển sớm trở nên đặc biệt nguy hiểm:

• Yêu cầu tổng hợp chữ ký: Các blockchain thường cần nhanh chóng tổng hợp một số lượng lớn chữ ký (chẳng hạn như chữ ký BLS). BLS nhanh, nhưng không an toàn sau lượng tử. Nghiên cứu tổng hợp chữ ký hậu lượng tử dựa trên SNARK đầy hứa hẹn nhưng vẫn đang ở giai đoạn đầu.
• Tương lai của SNARK: Cộng đồng hiện chủ yếu lạc quan về SNARK hậu lượng tử dựa trên băm, nhưng tôi tin rằng các lựa chọn thay thế SNARK dựa trên mạng lưới sẽ xuất hiện trong những tháng đến nhiều năm tới và chúng sẽ hoạt động tốt hơn ở nhiều khía cạnh (chẳng hạn như độ dài bằng chứng).

Vấn đề nghiêm trọng hơn hiện nay là thực hiện bảo mật.

Trong nhiều năm tới, việc triển khai các lỗ hổng sẽ gây ra rủi ro bảo mật lớn hơn so với máy tính lượng tử. Đối với SNARK, mối đe dọa chính là lỗ hổng chương trình. Chữ ký số và mã hóa đã có những thách thức và SNARK phức tạp hơn nhiều. Trên thực tế, chữ ký số có thể được coi là một zkSNARK tối giản.

Đối với chữ ký hậu lượng tử, các cuộc tấn công triển khai như kênh bên và chèn lỗi là những mối đe dọa cấp bách hơn. Sẽ mất nhiều năm để cộng đồng củng cố các triển khai này.

Do đó, việc chuyển đổi quá sớm trước khi bụi lắng xuống có thể khiến bạn rơi vào tình huống không tối ưu hoặc buộc phải di chuyển lần thứ hai để khắc phục các lỗ hổng.

Chúng ta nên phản ứng như thế nào? Bảy gợi ý

Dựa trên thực tế trên, tôi đề xuất những điều sau đây cho tất cả các bên, từ các nhà xây dựng đến những người ra quyết định. Nguyên tắc chung là: xem xét các mối đe dọa lượng tử một cách nghiêm túc, nhưng đừng cho rằng các máy tính lượng tử liên quan đến mật mã sẽ xuất hiện trước năm 2030 (tiến bộ hiện tại không ủng hộ giả định này). Trong thời gian chờ đợi, có một số điều chúng ta có thể và nên làm ngay bây giờ:

2. Triển khai mã hóa lai ngay lập tức: Ít nhất là khi cần giữ bí mật lâu dài và chi phí có thể chấp nhận được. Nhiều trình duyệt, CDN và ứng dụng giao tiếp (ví dụ: iMessage, Signal) đã bắt đầu triển khai. Các sơ đồ kết hợp (hậu lượng tử + cổ điển) bảo vệ chống lại các cuộc tấn công HNDL và phá vỡ các lỗ hổng tiềm ẩn trong các sơ đồ hậu lượng tử.
3. Sử dụng chữ ký dựa trên băm ngay lập tức trong các tình huống có thể chấp nhận kích thước lớn: Đối với các tình huống tần suất thấp, không nhạy cảm với kích thước như cập nhật phần mềm/chương trình cơ sở, giờ đây có thể sử dụng chữ ký băm lai (lai là để phòng ngừa các lỗ hổng trong việc triển khai các giải pháp mới). Điều này cung cấp một “thuyền cứu sinh” thận trọng trong trường hợp máy tính lượng tử vô tình xuất hiện trước thời hạn.
4. Blockchain không cần phải vội vàng khởi chạy chữ ký lượng tử, nhưng việc lập kế hoạch nên bắt đầu ngay lập tức:
5. Các nhà phát triển nên mô phỏng thái độ thận trọng của cộng đồng PKI trực tuyến để làm cho giải pháp trưởng thành hơn.
6. Các chuỗi công khai như Bitcoin cần xác định lộ trình di chuyển và chính sách cho các quỹ dễ bị tổn thương “ngủ”. Bitcoin đặc biệt cần bắt đầu lập kế hoạch ngay bây giờ, vì những thách thức của nó chủ yếu là phi kỹ thuật (quản trị chậm, nhiều địa chỉ “ngủ” có giá trị cao).
7. Cho phép đáo hạn (có thể vài năm) cho SNARK hậu lượng tử và nghiên cứu chữ ký có thể tổng hợp để tránh nhắm mục tiêu sớm các giao thức dưới mức tối ưu.
8. Giới thiệu về tài khoản Ethereum: Ví hợp đồng thông minh (có thể nâng cấp) có thể cung cấp lộ trình di chuyển mượt mà hơn nhưng có sự khác biệt hạn chế. Quan trọng hơn các loại tài khoản, cộng đồng tiếp tục thúc đẩy các kế hoạch dự phòng và nghiên cứu nguyên thủy hậu lượng tử. Ý nghĩa thiết kế rộng hơn: Tách danh tính tài khoản khỏi các sơ đồ chữ ký cụ thể (chẳng hạn như trừu tượng hóa tài khoản) có thể mang lại sự linh hoạt cao hơn, không chỉ cho việc di chuyển sau lượng tử mà còn cho các giao dịch được tài trợ, phục hồi xã hội và các chức năng khác.
9. Chuỗi quyền riêng tư nên ưu tiên chuyển đổi (nếu hiệu suất chấp nhận được): Tính bảo mật của người dùng đang bị ảnh hưởng bởi các cuộc tấn công HNDL. Các sơ đồ kết hợp hoặc điều chỉnh kiến trúc có thể được xem xét để tránh chuỗi bí mật giải mã.
10. Trong ngắn hạn, hãy ưu tiên bảo mật triển khai hơn là tập trung quá nhiều vào các mối đe dọa lượng tử: Đối với mật mã phức tạp như SNARK và chữ ký hậu lượng tử, các lỗ hổng và các cuộc tấn công triển khai sẽ có rủi ro lớn hơn so với máy tính lượng tử trong nhiều năm tới. Đầu tư vào kiểm toán, làm mờ, xác minh chính thức và bảo vệ chuyên sâu ngay bây giờ, và đừng để lo lắng lượng tử làm lu mờ các mối đe dọa lỗ hổng cấp bách hơn.
11. Tiếp tục tài trợ cho nghiên cứu và phát triển điện toán lượng tử: Từ góc độ an ninh quốc gia, cần tiếp tục đầu tư vào quỹ và nuôi dưỡng nhân tài. Nếu đối thủ chính là người đầu tiên có được sức mạnh tính toán lượng tử liên quan đến mật mã, nó sẽ gây ra rủi ro nghiêm trọng.
12. Nhìn vào tin tức điện toán lượng tử một cách hợp lý: Còn nhiều cột mốc phía trước. Nhưng mỗi cột mốc đều chứng minh rằng chúng ta vẫn còn xa mục tiêu của mình. Thông cáo báo chí nên được coi là báo cáo tiến độ đòi hỏi đánh giá quan trọng, không phải là tín hiệu của hành động vội vàng.

Tất nhiên, những đột phá công nghệ có thể tăng tốc và nút thắt cổ chai cũng có thể kéo dài dự báo. Tôi không khẳng định rằng điều đó hoàn toàn không thể xảy ra trong vòng năm năm, nhưng tôi nghĩ điều đó rất khó xảy ra. Làm theo các khuyến nghị này có thể giúp chúng tôi tránh được những rủi ro ngay lập tức và có thể xảy ra: lỗ hổng triển khai, triển khai vội vàng và những sai lầm phổ biến trong quá trình chuyển đổi mật mã.