Kỹ sư mật mã: Máy tính lượng tử không tạo ra mối đe dọa đối với “mã hóa đối xứng 128-bit”

Kỹ sư kỹ thuật mật mã Filippo Valsorda đã công bố một bài phân tích kỹ thuật vào ngày 20 tháng 4 năm 2026, lập luận rằng ngay cả với tốc độ phát triển lạc quan nhất, máy tính lượng tử cũng không thể bẻ khóa mã hóa đối xứng 128-bit (AES-128) trong tương lai gần, đồng thời chỉ ra rằng ngành công nghiệp đang hiểu sai về “mật mã hậu lượng tử”.

Luận điểm cốt lõi của bài viết của Valsorda: Thuật toán Grover không thể thực sự song song hóa hiệu quả

（Nguồn：Filippo Valsorda）

Theo bài phân tích của Valsorda, một hiểu lầm phổ biến trong ngành cho rằng thuật toán Grover của máy tính lượng tử sẽ “giảm một nửa” mức độ an toàn của khóa đối xứng 128-bit xuống còn 64-bit; tuy nhiên, lập luận này bỏ qua ràng buộc then chốt của thuật toán Grover: các bước của nó phải được thực hiện tuần tự, và nếu cố tình song song hóa thì tổng chi phí tính toán sẽ tăng vọt.

Các tính toán của Valsorda cho thấy tổng khối lượng tính toán để bẻ khóa AES-128 vào khoảng 2¹⁰⁴·⁵ lần thao tác; trong khi đó, việc sử dụng thuật toán Shor để bẻ khóa mật mã đường cong elliptic 256-bit cần khoảng 2²⁶ lần thao tác (trích từ nghiên cứu năm 2026 của Babbush và cộng sự). Hai con số này chênh nhau khoảng 2⁷⁸·⁵ lần, và Valsorda chỉ ra rằng khoảng cách này khiến các cuộc tấn công Grover vào AES-128 trên thực tế là hoàn toàn không khả thi.

Sự đồng thuận của NIST, BSI và giới học thuật

Theo các tài liệu chính thức mà Valsorda trích dẫn, trong phần Hỏi đáp về mật mã hậu lượng tử, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) nêu rõ rằng, “thuật toán Grover khi tấn công AES có thể hầu như không mang lại lợi thế; AES-128 vẫn sẽ an toàn trong vài chục năm tới”, đồng thời xác nhận “các ứng dụng hiện có có thể tiếp tục sử dụng khóa AES 128-bit”; NIST IR 8547 cũng cấm các thuật toán dễ bị tấn công bởi lượng tử vào năm 2035, đồng thời xác nhận rằng mọi độ dài khóa AES vẫn cho phép.

Trong báo cáo “Cơ chế mã hóa: Khuyến nghị và độ dài khóa” của mình, Văn phòng An ninh Thông tin Liên bang Đức (BSI) khuyến nghị sử dụng AES-128, AES-192 và AES-256 trong các hệ thống mã hóa mới. Trợ lý giáo sư mật mã của Đại học Waterloo Samuel Jaques, trong một bản trình bày nghiên cứu năm 2024, cho biết: “Tìm kiếm Grover dựa trên mã bảng bề mặt sẽ không bao giờ thành công trên AES-128.”

Các ưu tiên thực tế của quá trình chuyển đổi hậu lượng tử

Theo kết luận của Valsorda, nhiệm vụ duy nhất cấp thiết của quá trình chuyển đổi mã hóa hậu lượng tử là thay thế các thuật toán mã hóa bất đối xứng dễ bị tấn công bởi thuật toán Shor, bao gồm RSA, ECDSA và ECDH. Valsorda chỉ ra rằng việc dùng tài nguyên hữu hạn để nâng cấp khóa đối xứng (128→256-bit) là thao tác không cần thiết, sẽ làm tăng độ phức tạp hệ thống, phân tán các nguồn lực phối hợp và gây trở ngại cho công việc thay thế mã hóa bất đối xứng thực sự cấp thiết.

Câu hỏi thường gặp

Vì sao Valsorda cho rằng thuật toán Grover không thể đe dọa AES-128?

Theo bài phân tích của Valsorda, các bước của thuật toán Grover phải được thực hiện tuần tự nên không thể song song hóa hiệu quả; nếu cố tình song song hóa, tổng khối lượng tính toán để bẻ khóa AES-128 vào khoảng 2¹⁰⁴·⁵ lần thao tác, cao hơn khoảng 2⁷⁸·⁵ lần so với chi phí khi dùng thuật toán Shor để bẻ khóa mật mã đường cong elliptic 256-bit.

Lập trường chính thức của NIST về việc có cần tăng gấp đôi độ dài khóa AES là gì?

Theo phần Hỏi đáp về mật mã hậu lượng tử mà bài viết của Valsorda trích dẫn, NIST khẳng định không nên tăng gấp đôi độ dài khóa AES để đối phó với các mối đe dọa lượng tử, đồng thời xác nhận rằng các khóa AES 128-bit, 192-bit và 256-bit vẫn an toàn trong thời đại hậu lượng tử.

Nhiệm vụ thực sự cấp thiết của quá trình chuyển đổi mật mã hậu lượng tử là gì?

Theo kết luận của Valsorda, nhiệm vụ duy nhất cấp thiết là thay thế các thuật toán mã hóa bất đối xứng dễ bị tấn công bởi thuật toán Shor (RSA, ECDSA, ECDH v.v.), chứ không phải nâng cấp độ dài khóa đối xứng; nâng cấp khóa đối xứng là thao tác không cần thiết, sẽ làm tăng độ phức tạp và phân tán tài nguyên.