Phân tích chuyên sâu: Chúng ta có quá sợ các mối đe dọa bảo mật mật mã do máy tính lượng tử gây ra?

Dòng thời gian của các mối đe dọa máy tính lượng tử thường bị phóng đại và nguy cơ lỗ hổng chương trình vẫn lớn hơn nhiều so với các cuộc tấn công lượng tử trong ngắn hạn. Blockchain không cần phải vội vàng triển khai chữ ký hậu lượng tử, nhưng việc lập kế hoạch nên bắt đầu ngay lập tức. Bài viết này được lấy từ một bài viết của Justin Thaler, được biên soạn, biên soạn và viết bởi Vernacular Blockchain. (Tóm tắt: Raoul Pal cảnh báo: Nếu Fed không in tiền cho QE, “thanh khoản sẽ bị thiếu hụt”, hoặc lặp lại cuộc khủng hoảng tài chính năm 2018 trên thị trường repo) (Bổ sung cơ bản: Mỹ sẽ công bố báo cáo bảng lương phi nông nghiệp tháng 9 vào tuần tới và thị trường đang theo dõi chặt chẽ tác động của việc cắt giảm lãi suất (Fed) của Fed) Dòng thời gian của các máy tính lượng tử liên quan đến mật mã thường bị phóng đại - dẫn đến nhu cầu chuyển đổi khẩn cấp và toàn diện sang mật mã hậu lượng tử. Nhưng những cuộc gọi này thường bỏ qua chi phí và rủi ro của việc di chuyển sớm và bỏ qua các hồ sơ rủi ro rất khác nhau giữa các nguyên thủy mật mã khác nhau: . Mã hóa hậu lượng tử yêu cầu triển khai ngay lập tức bất chấp chi phí của nó: “Nhận nó trước, giải mã sau” (Thu hoạch-Bây giờ-Giải mã-Sau đó, các cuộc tấn công HNDL) đã được tiến hành, vì dữ liệu nhạy cảm được mã hóa ngày nay sẽ vẫn có giá trị khi máy tính lượng tử xuất hiện, ngay cả khi đó là nhiều thập kỷ kể từ bây giờ. Chi phí hiệu suất và rủi ro triển khai của mã hóa hậu lượng tử là có thật, nhưng các cuộc tấn công HNDL không có lựa chọn nào cho dữ liệu yêu cầu bảo mật lâu dài. Chữ ký hậu lượng tử phải đối mặt với những cân nhắc khác nhau. Chúng ít bị tấn công HNDL hơn, chi phí và rủi ro ( quy mô lớn hơn, chi phí hiệu suất, triển khai chưa hoàn thiện và ) lỗi đòi hỏi phải xem xét kỹ lưỡng hơn là di chuyển ngay lập tức. Những sự khác biệt này rất quan trọng. Quan niệm sai lầm có thể làm sai lệch phân tích chi phí-lợi ích, khiến các nhóm bỏ qua các rủi ro bảo mật nổi bật hơn — như lỗi lập trình (bugs). Thách thức thực sự trong việc chuyển đổi thành công sang mật mã hậu lượng tử nằm ở việc kết hợp tính cấp bách với các mối đe dọa thực sự. Dưới đây, tôi sẽ làm sáng tỏ những quan niệm sai lầm phổ biến về các mối đe dọa của lượng tử đối với mật mã - bao gồm mật mã, chữ ký và bằng chứng không kiến thức - đặc biệt tập trung vào tác động của chúng đối với blockchain. Dòng thời gian của chúng tôi diễn ra như thế nào? Bất chấp những tuyên bố nổi tiếng, khả năng xảy ra (CRQC) máy tính lượng tử liên quan đến mật mã vào những năm 2020 là cực kỳ thấp. “Máy tính lượng tử liên quan đến mật mã” có nghĩa là một máy tính lượng tử có khả năng sửa lỗi, có khả năng chạy thuật toán Shor ở quy mô đủ để tấn công mật mã đường cong elip hoặc RSA trong một khung thời gian hợp lý ( ví dụ, để bẻ khóa các cuộc tấn công {secp}256{k}1 hoặc {RSA-2048} vào mật mã đường cong elip hoặc RSA trong vòng tối đa một tháng tính toán liên tục. Dựa trên bất kỳ cách giải thích hợp lý nào về các cột mốc công khai và ước tính tài nguyên, chúng ta vẫn còn lâu mới có máy tính lượng tử liên quan đến mật mã. Các công ty đôi khi tuyên bố rằng CRQC có thể xuất hiện trước năm 2030 hoặc trước năm 2035, nhưng những phát triển được biết đến công khai không ủng hộ những tuyên bố này. Đối với bối cảnh, trong tất cả các kiến trúc hiện tại - ion bị giam giữ, qubit siêu dẫn và hệ thống nguyên tử trung tính - các nền tảng điện toán lượng tử ngày nay không tiến gần đến việc chạy hàng trăm nghìn đến hàng triệu qubit vật lý cần thiết để chạy cuộc tấn công thuật toán Shor {RSA-2048} hoặc {secp}256{k}1 ( tùy thuộc vào tỷ lệ lỗi và sơ đồ sửa lỗi ). Các yếu tố hạn chế không chỉ là số lượng qubit mà còn là độ trung thực của cổng, kết nối qubit và độ sâu của các mạch sửa lỗi liên tục cần thiết để chạy các thuật toán lượng tử sâu. Mặc dù một số hệ thống hiện có hơn 1.000 qubit vật lý, nhưng bản thân số lượng qubit ban đầu đã gây hiểu lầm: các hệ thống này thiếu kết nối qubit và độ trung thực của cổng cần thiết cho các tính toán liên quan đến mật mã. Các hệ thống gần đây gần với tỷ lệ lỗi vật lý mà tại đó sửa lỗi lượng tử phát huy tác dụng, nhưng không ai chứng minh rằng nhiều hơn một số ít qubit logic có độ sâu mạch sửa lỗi liên tục… Chưa kể đến hàng nghìn qubit logic có độ trung thực cao, mạch sâu, chịu lỗi cần thiết để thực sự chạy thuật toán Shor. Khoảng cách giữa việc chứng minh rằng sửa lỗi lượng tử là khả thi về nguyên tắc và quy mô cần thiết để đạt được phân tích mật mã vẫn còn đáng kể. Tóm lại: trừ khi cả số lượng qubit và độ trung thực tăng lên vài bậc, các máy tính lượng tử liên quan đến mật mã vẫn nằm ngoài tầm với. Tuy nhiên, thông cáo báo chí của công ty và đưa tin trên phương tiện truyền thông có thể gây nhầm lẫn. Dưới đây là một số nguồn phổ biến của quan niệm sai lầm và nhầm lẫn, bao gồm: Các bản demo tuyên bố “lợi thế lượng tử”, hiện đang nhắm mục tiêu vào các nhiệm vụ do con người thiết kế. Những nhiệm vụ này được chọn không phải vì tính thực tế của chúng, mà vì chúng có thể chạy trên phần cứng hiện có trong khi dường như thể hiện khả năng tăng tốc lượng tử lớn - một thực tế thường bị mờ trong các thông báo. Công ty tuyên bố đã đạt được hàng nghìn qubit vật lý. Nhưng điều này đề cập đến máy ủ lượng tử, không phải máy mô hình cổng cần thiết để chạy thuật toán Shor để tấn công mật mã khóa công khai. Công ty tự do sử dụng thuật ngữ “qubit logic”. Qubit vật lý rất ồn. Như đã đề cập trước đó, các thuật toán lượng tử yêu cầu các qubit logic; Thuật toán Shor yêu cầu hàng nghìn. Với sửa lỗi lượng tử, một qubit logic có thể được thực hiện với nhiều qubit vật lý - thường là hàng trăm đến hàng nghìn, tùy thuộc vào tỷ lệ lỗi. Nhưng một số công ty đã kéo dài thời hạn này đến mức không thể nhận ra. Ví dụ: một thông báo gần đây tuyên bố sử dụng khoảng cách 2 yard và triển khai một qubit logic chỉ với hai qubit vật lý. Điều này thật nực cười: khoảng cách 2 yard chỉ phát hiện lỗi, không sửa chữa chúng. Các qubit logic thực sự có khả năng chịu lỗi cho phân tích mật mã yêu cầu hàng trăm đến hàng nghìn qubit vật lý mỗi qubit, không phải hai. Nói chung, nhiều lộ trình điện toán lượng tử sử dụng thuật ngữ “qubit logic” để chỉ các qubit chỉ hỗ trợ các hoạt động Clifford. Các hoạt động này có thể được thực hiện hiệu quả cho các mô phỏng cổ điển và do đó không đủ để chạy thuật toán Shor, yêu cầu hàng nghìn cổng chữ T được sửa lỗi ( hoặc ) cổng không phải Clifford nói chung hơn. Ngay cả khi một trong những lộ trình nhằm mục đích “đạt được hàng nghìn qubit logic trong năm X”, điều đó không có nghĩa là công ty hy vọng sẽ chạy thuật toán Shor để bẻ khóa mật mã cổ điển trong cùng năm X. Những thực tiễn này đã bóp méo nghiêm trọng nhận thức của công chúng về mức độ gần gũi của chúng ta với các máy tính lượng tử liên quan đến mật mã, ngay cả trong số các nhà quan sát có uy tín. Điều đó nói rằng, một số chuyên gia thực sự hào hứng với sự tiến bộ này. Ví dụ, Scott Aaronson gần đây đã viết rằng với “tốc độ phát triển phần cứng đáng kinh ngạc hiện nay”, bây giờ tôi tin rằng đó là một khả năng thực tế rằng chúng ta sẽ có một máy tính lượng tử có khả năng chịu lỗi chạy thuật toán Shor trước cuộc bầu cử tổng thống Mỹ tiếp theo. Nhưng Aaronson sau đó đã làm rõ rằng tuyên bố của ông không có nghĩa là các máy tính lượng tử liên quan đến mật mã: ông lập luận rằng ngay cả khi một thuật toán Shor hoàn toàn chịu lỗi chạy một hệ số 15 = 3 imes 5, nó được tính là một triển khai - và phép tính này có thể được thực hiện nhanh hơn nhiều với bút chì và giấy. Tiêu chuẩn vẫn là thực thi thuật toán Shor ở quy mô nhỏ, không phải trên quy mô liên quan đến mật mã, vì các thí nghiệm trước đây với thừa số 15 trên máy tính lượng tử đã sử dụng mạch đơn giản hóa thay vì thuật toán Shor đầy đủ, có khả năng chịu lỗi. Và có một lý do tại sao những thí nghiệm này luôn tính đến số 15: tính toán số học cho modulo 15 thì dễ dàng, trong khi tính toán các số lớn hơn một chút như 21 thì khó hơn nhiều. Do đó, các thí nghiệm lượng tử tuyên bố phá vỡ 21 thường dựa vào các gợi ý hoặc lối tắt bổ sung. Nói tóm lại, kỳ vọng về một máy tính lượng tử liên quan đến mật mã có khả năng bẻ khóa {RSA-2048} hoặc {secp}256{k}1 trong 5 năm tới - điều này rất quan trọng đối với mật mã thực tế…