a16z Bài viết dài: Những rủi ro mà tính toán lượng tử mang lại cho tiền điện tử là gì?

Tác giả | Justin Thaler, đối tác nghiên cứu của a16z

Biên dịch | GaryMa 吴说区块链

Về câu hỏi “máy tính lượng tử có thể đe dọa hệ mật mã hiện tại” khi nào sẽ xảy ra, mọi người thường đưa ra dự đoán quá mức về thời điểm — — dẫn đến làn sóng yêu cầu chuyển đổi ngay lập tức, quy mô lớn sang hệ mật mã hậu lượng tử.

Nhưng những yêu cầu này thường bỏ qua các chi phí và rủi ro của việc chuyển đổi quá sớm, cũng như bỏ qua việc các nguyên thủy mật mã khác nhau đối mặt với các hình ảnh rủi ro hoàn toàn khác nhau:

Mật mã hậu lượng tử dù chi phí cao đến đâu cũng phải triển khai ngay: “Thu thập rồi giải mã” (Harvest-now-decrypt-later, HNDL) đã bắt đầu xảy ra, vì khi máy tính lượng tử thực sự xuất hiện, dù là sau vài chục năm, dữ liệu nhạy cảm được bảo vệ bằng mã hóa ngày nay vẫn còn giá trị. Mặc dù mật mã hậu lượng tử mang lại chi phí hiệu năng và rủi ro thực thi, đối với dữ liệu đòi hỏi giữ bí mật lâu dài, thì tấn công HNDL đồng nghĩa với không còn lựa chọn nào khác.

Xét về chữ ký hậu lượng tử, thì hoàn toàn khác. Nó không bị ảnh hưởng bởi tấn công HNDL, và chi phí cũng như rủi ro (kích thước lớn hơn, chi phí hiệu năng, chưa hoàn thiện trong thực thi, và các lỗ hổng tiềm tàng) có nghĩa là việc chuyển đổi nên được thực hiện một cách thận trọng, chứ không phải vội vàng.

Những điểm khác biệt này là rất quan trọng. Những hiểu lầm có thể bóp méo phân tích lợi ích - chi phí, khiến các nhóm bỏ qua các rủi ro an ninh quan trọng hơn — — ví dụ như các lỗ hổng bản thân.

Thách thức thực sự để thành công trong việc chuyển sang hệ mật mã hậu lượng tử là làm cho “tính cấp bách” phù hợp với “mối đe dọa thực sự”. Dưới đây, tôi sẽ làm rõ các hiểu lầm phổ biến về mối đe dọa lượng tử và ảnh hưởng của nó đối với mật mã — — bao gồm mã hóa, chữ ký và chứng minh bằng không kiến thức — — đặc biệt là tác động của chúng đối với chuỗi khối.

Chúng ta đang ở thời điểm nào hiện nay?

Khả năng xuất hiện “máy tính lượng tử có thể đe dọa thực tế hệ mật mã (CRQC)” trong thập niên 2020 là cực kỳ thấp, mặc dù đã có một số tuyên bố nổi bật gây chú ý.

ps: “máy tính lượng tử có thể đe dọa thực tế hệ mật mã” / cryptographically relevant quantum computer, dưới đây sẽ được gọi tắt là CRQC.

Chỗ này đề cập tới một máy tính lượng tử có khả năng chịu lỗi, đã được sửa lỗi, có thể chạy Shor’s algorithm với quy mô đủ lớn để tấn công mật mã elliptic curve hoặc RSA (ví dụ, phá vỡ secp256k1 hoặc RSA-2048 trong vòng chưa tới một tháng liên tục tính toán).

Dựa trên các mốc quan trọng công khai và đánh giá nguồn lực, chúng ta còn rất xa máy tính lượng tử như vậy. Mặc dù một số công ty tuyên bố CRQC rất có khả năng xuất hiện trước năm 2030 hoặc thậm chí trước 2035, tiến bộ công khai không hỗ trợ cho các tuyên bố này.

Từ bối cảnh hiện tại, trong tất cả các kiến trúc — — ion trap, qubit siêu dẫn, nguyên tử trung tính — — không có nền tảng máy tính lượng tử nào gần đến việc vận hành Shor’s algorithm để tấn công RSA-2048 hoặc secp256k1 cần tới hàng chục nghìn đến hàng triệu qubit vật lý (tùy thuộc vào tỷ lệ lỗi và giải pháp sửa lỗi).

Các hạn chế không chỉ nằm ở số lượng qubit, mà còn là độ trung thực của cổng, khả năng kết nối qubit, và chiều sâu của mạch sửa lỗi cần để thực thi các thuật toán lượng tử phức tạp trong thời gian liên tục. Mặc dù một số hệ thống hiện đã có hơn 1.000 qubit vật lý, nhưng nhìn vào số lượng thì sẽ gây hiểu lầm: các hệ thống này thiếu khả năng kết nối và độ trung thực của cổng để thực hiện tính toán liên quan đến mật mã.

Các hệ thống gần đây, dù đã đạt tới mức lỗi vật lý đủ để bắt đầu sửa lỗi lượng tử, vẫn chưa thể chứng minh có hơn vài logic qubit có thể duy trì sửa lỗi liên tục — chứ đừng nói đến hàng nghìn logic qubit có độ trung thực cao, sâu và có khả năng chịu lỗi để chạy Shor’s algorithm. Có một khoảng cách lớn giữa chứng minh lý thuyết khả thi của sửa lỗi lượng tử và khả năng thực sự đạt quy mô cần để phá mật mã.

Tóm lại: trừ khi số lượng qubit vật lý và độ trung thực cùng lúc tăng vài bậc, thì “máy tính lượng tử có thể đe dọa thực tế hệ mật mã” vẫn còn xa vời.

Tuy nhiên, các bản tin doanh nghiệp và báo chí rất dễ gây hiểu lầm. Các hiểu lầm phổ biến bao gồm:

• Tuyên bố đã đạt được “lợi thế lượng tử”, nhưng các trình diễn này thường nhắm vào các vấn đề nhân tạo, không phải thực tế. Những vấn đề này không được chọn vì tính thực dụng, mà vì chúng có thể chạy trên phần cứng hiện tại, và có vẻ cho thấy sự tăng tốc rõ rệt của lượng tử — điều này thường bị làm giảm trong các chiến dịch truyền thông.
• Công ty tuyên bố có hàng nghìn qubit vật lý, nhưng thường là đề cập tới máy lượng tử nhiệt đới (quantum annealing), chứ không phải máy tính lượng tử dựa trên mô hình cổng để chạy Shor.
• Sử dụng tùy tiện khái niệm “logic qubit”. Qubit vật lý rất ồn, cần logic qubit; như đã đề cập, Shor’s algorithm cần hàng nghìn logic qubit. Dùng sửa lỗi lượng tử, mỗi logic qubit thường cần hàng trăm đến hàng nghìn qubit vật lý (tùy lỗi). Nhưng một số công ty đã dùng thuật ngữ này một cách vô lý, ví dụ gần đây tuyên bố bằng mã hóa khoảng cách 2, chỉ cần 2 qubit vật lý để tạo ra 48 logic qubit. Rõ ràng là phi lý: mã hóa khoảng cách 2 chỉ có thể phát hiện lỗi, không thể sửa lỗi. Logic qubit để phá mật mã cần hàng trăm, hàng nghìn qubit vật lý, chứ không phải 2.
• Nhiều lộ trình lượng tử dùng thuật ngữ “logic qubit” để chỉ các qubit chỉ hỗ trợ thao tác Clifford, có thể mô phỏng hiệu quả bằng thuật toán cổ điển, không đủ để chạy Shor, vốn đòi hỏi hàng nghìn T-gate đã sửa lỗi (hoặc các cổng phi lượng tử khác).

Do đó, ngay cả khi một lộ trình tuyên bố “đạt hàng nghìn logic qubit vào năm X”, cũng không có nghĩa là trong năm đó họ sẽ có thể chạy Shor để phá mật mã cổ điển.

Các hành vi này làm méo mó nhận thức của cộng đồng (thậm chí giới chuyên môn) về “chúng ta còn xa CRQC thật sự bao nhiêu”.

Dù vậy, vẫn có một số chuyên gia cảm thấy phấn khích về tiến bộ. Ví dụ, Scott Aaronson gần đây viết rằng, do sự phát triển phần cứng hiện nay quá nhanh, tôi nghĩ rằng trước cuộc bầu cử Tổng thống Mỹ tới, khả năng có một máy tính lượng tử đủ khả năng chạy Shor là khá thực tế.

Tuy nhiên, Aaronson sau đó làm rõ, ý của ông không phải là một máy tính lượng tử có khả năng mật mã: ngay cả một máy hoàn toàn sửa lỗi chỉ chạy Shor để phân tích số 15 = 3×5 — là một số mà bạn có thể tính dễ hơn bằng giấy — thì ông vẫn cho là đủ. Tiêu chuẩn này chỉ xét đến khả năng chạy Shor quy mô nhỏ, không phải quy mô mật mã. Trước đó, việc phân tích số 15 bằng lượng tử dùng mạch đơn giản, chưa phải là sửa lỗi toàn diện. Hơn nữa, việc chọn phân tích số 15 liên tục không phải ngẫu nhiên: phép tính mod 15 cực kỳ đơn giản, còn phân tích số lớn hơn như 21 thì khó hơn nhiều. Một số thí nghiệm phân tích 21 thường dựa vào gợi ý hoặc thủ thuật.

Tóm lại, dự đoán trong 5 năm tới sẽ có máy tính lượng tử phá RSA-2048 hoặc secp256k1 — thực sự quan tâm là chưa có tiến bộ công khai nào hỗ trợ.

Ngay cả 10 năm nữa cũng là dự đoán khá bi quan. Bởi còn rất xa để có máy tính lượng tử thực sự đủ khả năng mật mã, kể cả khi vẫn phấn khích về tiến bộ.

Vậy, việc chính phủ Mỹ đặt mục tiêu đến năm 2035 chuyển toàn bộ hệ thống sang mật mã hậu lượng tử có ý nghĩa gì? Tôi cho rằng, đó là một lộ trình hợp lý để hoàn thành quy mô lớn như vậy. Tuy nhiên, đây không phải dự đoán về việc CRQC sẽ xuất hiện đúng lúc.

Tấn công HNDL phù hợp với những kịch bản nào (và không phù hợp với những kịch bản nào)?

Tấn công “thu thập rồi giải mã” (Harvest now, decrypt later, HNDL) là việc kẻ tấn công lưu trữ tất cả dữ liệu truyền thông mã hóa hiện tại, chờ đến ngày “máy tính lượng tử đe dọa thực tế hệ mật mã” xuất hiện, rồi mới giải mã. Các nhà nước đã bắt đầu lưu trữ quy mô các dữ liệu của chính phủ Mỹ, để khi máy lượng tử xuất hiện thật sự, có thể giải mã sau đó. Đó là lý do tại sao hệ mật mã cần phải chuyển đổi từ hôm nay — ít nhất đối với các tổ chức cần giữ bí mật trong 10–50 năm trở lên.

Nhưng chữ ký số — công nghệ mà tất cả các chuỗi khối đều dựa vào — khác với mã hóa: nó không có “bí mật” có thể bị tấn công sau này.

Nói cách khác, khi máy tính lượng tử thực sự tới, sẽ có thể làm giả chữ ký số, nhưng các chữ ký đã ký trước đó không giống như tin nhắn mã hóa, “giấu” một bí mật nào đó. Miễn là có thể xác nhận chữ ký đó được tạo ra trước khi CRQC xuất hiện, thì nó không thể bị giả mạo.

Vì vậy, so với hệ mật mã, việc chuyển đổi chữ ký hậu lượng tử không quá cấp bách.

Các nền tảng chính cũng phản ánh điều này: Chrome và Cloudflare đã triển khai các cơ chế kết hợp X25519 và ML-KEM trong lớp mã hóa truyền tải Web (TLS). [Trong bài này, tôi gọi chung là “giải pháp mã hóa” cho dễ đọc, mặc dù đúng ra các giao thức truyền thông an toàn như TLS sử dụng cơ chế trao đổi khóa hoặc đóng gói khóa, chứ không phải mã hóa public key.]

“Phối hợp” ở đây nghĩa là dùng cùng lúc một giải pháp hậu lượng tử (ML-KEM) và một giải pháp hiện có (X25519), để nhận được cả hai tính an toàn. Phương pháp này nhằm ngăn chặn tấn công HNDL, đồng thời, khi ML-KEM chưa được chứng minh an toàn trong thực tế, thì X25519 vẫn cung cấp đảm bảo an toàn truyền thống.

Apple iMessage cũng triển khai giải pháp phối hợp tương tự trong giao thức PQ3, và Signal cũng áp dụng cơ chế này trong các giao thức PQXDH và SPQR.

Ngược lại, việc chuyển đổi chữ ký hậu lượng tử cho các hạ tầng web quan trọng sẽ bị trì hoãn đến khi “thực sự gần CRQC”, vì các giải pháp chữ ký hậu lượng tử hiện tại gây giảm hiệu năng rõ rệt (sẽ đề cập sau).

zkSNARKs — chứng minh không kiến thức, ngắn gọn, phi tương tác — là phần cốt lõi cho khả năng mở rộng và riêng tư của chuỗi khối trong tương lai, cũng liên quan đến mối đe dọa lượng tử tương tự chữ ký số. Lý do là, ngay cả khi một số zkSNARK không có khả năng chống lượng tử (vì chúng dùng cùng elliptic curve cryptography như hiện tại), thì tính “không kiến thức” của chúng vẫn an toàn với lượng tử.

Tính “không kiến thức” đảm bảo rằng chứng minh không tiết lộ bất kỳ thông tin nào về witness bí mật — ngay cả trước các tấn công lượng tử — do đó không thể bị “thu thập” trước, rồi giải mã về sau.

Vì vậy, zkSNARKs không bị ảnh hưởng bởi tấn công HNDL. Như các chữ ký số không có khả năng chống lượng tử ngày nay vẫn an toàn, miễn là chứng minh zkSNARK được tạo ra trước khi CRQC xuất hiện, thì nó vẫn là tin cậy (tuyên bố trong chứng minh đúng). — Dù zkSNARK có dùng elliptic curve cryptography. Chỉ sau khi CRQC xuất hiện, thì kẻ tấn công mới có thể tạo ra các chứng minh “giả mạo” có vẻ hợp lệ nhưng thực chất sai lệch.

Điều này mang lại ý nghĩa gì cho chuỗi khối?

Hầu hết các chuỗi khối không dễ bị tấn công HNDL: các chuỗi không ưu tiên bảo vệ tính riêng tư — như Bitcoin và Ethereum hiện nay — chủ yếu dùng chữ ký số phi hậu lượng tử trong việc ủy quyền giao dịch, chứ không phải mã hóa.

Nhấn mạnh lại, chữ ký số không bị ảnh hưởng bởi tấn công HNDL: “thu thập rồi giải mã” chỉ dành cho dữ liệu mã hóa. Ví dụ, chuỗi khối Bitcoin công khai; mối đe dọa lượng tử nằm ở khả năng giả mạo chữ ký (tấn công khóa riêng để lấy trộm tiền), chứ không phải giải mã dữ liệu đã công khai. Điều này có nghĩa là tấn công HNDL không gây ra sự cấp bách mật mã ngay lập tức.

Thật tiếc, một số tổ chức đáng tin cậy (bao gồm Cục Dự trữ Liên bang Mỹ) vẫn nhầm lẫn khi tuyên bố Bitcoin dễ bị tấn công HNDL, điều này làm tăng mức độ cấp bách chuyển đổi mật mã hậu lượng tử.

Tuy nhiên, “tính cấp bách giảm”, không có nghĩa là Bitcoin có thể chờ vô thời hạn: do sự phối hợp trong nâng cấp giao thức cần sự thỏa thuận xã hội lớn, Bitcoin phải đối mặt với các áp lực về thời gian khác nhau (sẽ thảo luận cụ thể hơn về thách thức đặc thù của Bitcoin).

Một ngoại lệ hiện tại là các chuỗi riêng tư, trong đó nhiều chuỗi mã hóa hoặc ẩn danh người nhận và số tiền, khiến thông tin bí mật này có thể bị “thu thập” trước, rồi bị phân tích và nhận dạng sau khi máy lượng tử phá vỡ elliptic curve cryptography.

Với các chuỗi riêng tư này, mức độ nguy hiểm tùy thuộc vào thiết kế của chuỗi. Ví dụ, với Monero, các chữ ký vòng dựa trên elliptic curve và key image (dùng để tránh trùng lặp chi tiêu, là nhãn liên kết duy nhất cho mỗi đầu ra) — chỉ dựa vào sổ cái công khai để tái tạo toàn bộ sơ đồ giao dịch trong tương lai. Trong các chuỗi khác, mức độ phá hủy có thể hạn chế hơn — xem bài thảo luận của kỹ sư mật mã Sean Bowe của Zcash.

Nếu người dùng cho rằng “giao dịch trong tương lai sẽ không bị tiết lộ do máy tính lượng tử”, thì các chuỗi riêng tư nên sớm chuyển sang hệ mật mã hậu lượng tử (hoặc phối hợp). Hoặc, họ có thể áp dụng kiến trúc hoàn toàn không chứa bí mật có thể giải mã được trên chuỗi.

Thách thức đặc thù của Bitcoin: cơ chế quản trị + các đồng tiền bị bỏ rơi

Với Bitcoin, có hai yếu tố thực tế khiến việc chuyển sang chữ ký hậu lượng tử trở nên cấp bách, và hai yếu tố này không liên quan trực tiếp đến công nghệ lượng tử. Thứ nhất là tốc độ quản trị: sự phát triển của Bitcoin rất chậm. Các vấn đề gây tranh cãi, nếu cộng đồng không thể đạt được sự đồng thuận về giải pháp phù hợp, có thể gây ra fork cứng gây phá vỡ.

Thứ hai là chuyển đổi sang chữ ký hậu lượng tử không thể thực hiện qua quá trình chuyển đổi thụ động: chủ sở hữu phải chủ động di chuyển tài sản. Điều này nghĩa là các đồng tiền đã bị bỏ rơi, nhưng vẫn còn bị đe dọa bởi lượng tử, không thể được bảo vệ. Một số ước tính cho rằng, số BTC dễ bị tổn thương và có thể đã bị bỏ rơi, lên tới hàng triệu đồng, trị giá hàng nghìn tỷ USD theo giá hiện tại (đến tháng 12 năm 2025).

Tuy nhiên, đe dọa lượng tử không gây ra một “sụp đổ đột ngột” cho Bitcoin — mà có thể là một quá trình tấn công chọn lọc, dần dần. Máy tính lượng tử không thể phá vỡ tất cả các hệ mật mã cùng lúc — thuật toán Shor phải phá từng mục tiêu một. Chi phí ban đầu của các cuộc tấn công lượng tử sẽ rất cao và chậm. Vì vậy, khi máy tính lượng tử đủ khả năng phá một khóa ký Bitcoin, thì kẻ tấn công sẽ ưu tiên tấn công các ví có giá trị cao nhất.

Ngoài ra, miễn là người dùng tránh dùng địa chỉ tái sử dụng, và không dùng địa chỉ Taproot (địa chỉ này sẽ tiết lộ khóa công khai trực tiếp trên chuỗi), thì ngay cả khi giao thức chưa nâng cấp, họ vẫn có thể được bảo vệ phần nào: khóa công khai của họ vẫn còn ẩn sau hàm băm trước khi chi tiêu. Khi họ gửi giao dịch chi tiêu, khóa công khai mới lộ ra, và sẽ có “cửa sổ đua tranh” ngắn hạn: người trung thực cần xác nhận giao dịch nhanh, còn kẻ tấn công lượng tử cố gắng tìm ra khóa riêng và chi tiêu trước. Thật vậy, các đồng tiền dễ tổn thương là các đồng đã để lộ khóa công khai nhiều năm — như các output P2PK cũ, các địa chỉ dùng lặp lại, hoặc các địa chỉ Taproot.

Đối với các đồng tiền đã bị bỏ rơi, hiện chưa có giải pháp rõ ràng nào. Các lựa chọn bao gồm:

• Cộng đồng Bitcoin thống nhất đặt ra một “ngày cờ” (flag day), sau đó tất cả các đồng chưa chuyển đổi sẽ coi như đã bị “hủy bỏ”.
• Để mặc các đồng bị bỏ rơi, có thể bị kẻ có CRQC chiếm đoạt.

Lựa chọn thứ hai sẽ gây ra vấn đề pháp lý và an ninh nghiêm trọng. Sử dụng máy tính lượng tử để chiếm đoạt tài sản mà không có khóa riêng — dù có tuyên bố là hợp pháp và thiện chí — thì trong nhiều hệ thống pháp luật sẽ bị coi là trộm cắp và gian lận máy tính.

Ngoài ra, “bị bỏ rơi” là giả thiết dựa trên tính không hoạt động của chủ sở hữu. Không ai biết chắc các đồng này có thực sự mất khả năng kiểm soát khóa hay không. Ngay cả khi ai đó chứng minh đã từng sở hữu chúng, thì cũng chưa chắc có quyền hợp pháp để phá bỏ mã hóa và “lấy lại”. Độ mơ hồ pháp lý này dễ dẫn đến các kẻ tấn công bất hợp pháp, không tuân theo luật, chiếm đoạt các đồng này.

Thách thức khác của Bitcoin là khả năng xử lý giao dịch cực thấp. Ngay cả khi kế hoạch chuyển đổi được đồng thuận, thì việc di chuyển toàn bộ số tiền bị đe dọa sang địa chỉ hậu lượng tử theo tốc độ giao dịch hiện nay sẽ mất nhiều tháng.

Những thách thức này khiến Bitcoin phải bắt đầu lập kế hoạch chuyển đổi hậu lượng tử ngay từ bây giờ — không phải vì CRQC có khả năng xuất hiện trước năm 2030, mà vì sự phối hợp quản trị, đồng thuận cộng đồng, và logistics kỹ thuật để chuyển đổi hàng nghìn tỷ USD sẽ mất nhiều năm.

Đe dọa lượng tử đối với Bitcoin là có thật, nhưng áp lực thời gian đến từ chính cấu trúc của nó, chứ không phải sự tiến gần của máy tính lượng tử. Các chuỗi khối khác cũng đối mặt với các đồng tiền dễ bị tổn thương lượng tử, nhưng Bitcoin đặc biệt vì các giao dịch đầu tiên dùng pay-to-public-key (P2PK), đưa khóa công khai lộ rõ trên chuỗi, khiến phần lớn BTC dễ bị đe dọa lượng tử. Lịch sử công nghệ của nó, cùng với tuổi đời dài, độ tập trung cao, khả năng xử lý thấp, và cơ chế quản trị cứng nhắc, khiến vấn đề càng thêm nghiêm trọng.

Lưu ý rằng, các điểm yếu nêu trên chỉ liên quan đến độ an toàn mật mã của chữ ký số trong Bitcoin — không liên quan đến an toàn kinh tế của chuỗi khối Bitcoin. An toàn kinh tế của Bitcoin dựa vào cơ chế đồng thuận Proof of Work (PoW), vốn không dễ bị tấn công lượng tử như chữ ký:

• PoW dựa vào hàm băm, nên chỉ có thể bị ảnh hưởng bởi thuật toán Grover, mang lại tốc độ tăng gấp đôi, không phải tăng theo cấp số nhân như Shor.
• Chi phí thực thi thuật toán Grover rất lớn, khiến khó có thể có máy lượng tử đạt được lợi thế thực tế trong khai thác Bitcoin.
• Ngay cả khi máy lượng tử có thể tăng tốc đáng kể, thì lợi ích này chỉ làm các thợ mỏ lớn có lợi thế hơn, chứ không phá vỡ mô hình an toàn kinh tế của Bitcoin.

Chi phí và rủi ro của chữ ký hậu lượng tử

Để hiểu tại sao hệ mật mã chuỗi khối không nên vội vàng triển khai chữ ký hậu lượng tử, ta cần cân nhắc cả chi phí hiệu năng và niềm tin của chúng ta vào khả năng chống lượng tử đang phát triển.

Hầu hết hệ mật mã hậu lượng tử dựa trên 5 phương pháp chính: Hash (hàm băm), mã sửa lỗi, lattices (lưới), MQ (hệ phương trình đa biến), isogenies (hình đồng dạng).

Tại sao có năm phương pháp khác nhau? Vì, độ an toàn của bất kỳ nguyên thủy mật mã hậu lượng tử nào đều dựa trên giả định: máy tính lượng tử không thể giải các bài toán toán học đặc thù một cách hiệu quả. Cấu trúc của bài toán càng “mạnh”, thì chúng ta có thể xây dựng các giao thức mật mã hiệu quả hơn.

Nhưng, đây là con dao hai lưỡi: nhiều cấu trúc hơn cũng mang lại nhiều mặt tấn công hơn, và thuật toán dễ bị phá vỡ hơn. Điều này tạo ra một xung đột căn bản — giả định mạnh hơn thì hiệu năng tốt hơn, nhưng rủi ro tiềm tàng về bảo mật lại cao hơn.

Tổng thể, từ góc độ bảo mật, phương pháp dựa trên hàm băm là cách thận trọng nhất, vì chúng ta tin rằng lượng tử không thể giải hiệu quả. Nhưng hiệu năng của chúng kém nhất. Ví dụ, các giải pháp chữ ký dựa trên hàm băm của NIST có kích thước chữ ký khoảng 7–8 KB, trong khi chữ ký elliptic curve hiện nay chỉ khoảng 64 byte, nhỏ hơn khoảng 100 lần.

Các phương pháp dựa trên lattices là hướng phát triển chính đã được triển khai. NIST đã chọn một số giải pháp dựa trên lattices cho các tiêu chuẩn, trong đó có hai trong số ba thuật toán chữ ký. Một trong các phương pháp lattices này là Dilithium (ML-DSA), có kích thước chữ ký khoảng 2.4 KB ở mức an toàn 128-bit, và 4.6 KB ở mức 256-bit — lớn gấp 40–70 lần so với chữ ký elliptic curve hiện tại. Phương pháp khác là Falcon, chữ ký nhỏ hơn (Falcon-512: 666 byte; Falcon-1024: 1.3 KB), nhưng đòi hỏi các phép tính phức tạp dựa trên float, và được NIST đánh giá là thách thức lớn trong thực thi. Một trong những tác giả Falcon, Thomas Pornin gọi đó là “Thuật toán mật mã phức tạp nhất mà tôi từng thực hiện”.

Về mặt bảo mật thực thi, chữ ký dựa trên lattices khó hơn nhiều: ML-DSA cần nhiều giá trị trung gian nhạy cảm và xử lý từ chối phức tạp, dễ bị tấn công theo kênh bên và lỗi. Falcon càng phức tạp hơn, đòi hỏi tính toán float trong thời gian cố định — đã có nhiều tấn công kênh bên thành công phục hồi khóa riêng từ các triển khai Falcon.

Các vấn đề này gây ra rủi ro ngay lập tức, khác hoàn toàn với đe dọa xa vời của “máy tính lượng tử có thể đe dọa thực tế hệ mật mã”.

Việc thận trọng trong việc giữ lại các giải pháp mật mã hậu lượng tử hiệu suất cao là hoàn toàn có lý do. Các giải pháp từng dẫn đầu như Rainbow (dựa trên MQ) và SIKE/SIDH (dựa trên isogenies) đều đã bị “công khai” phá vỡ — nghĩa là, bị đánh bại bởi máy tính ngày nay, chứ không phải máy tính lượng tử.

Điều này xảy ra khi quá trình chuẩn hóa của NIST đã tiến rất xa. Điều này phản ánh quá trình khoa học lành mạnh, nhưng cũng cho thấy việc chuẩn hóa và triển khai quá sớm có thể phản tác dụng.

Như đã đề cập, hạ tầng internet đang tiến hành chuyển đổi chữ ký thận trọng hơn. Điều này đáng chú ý vì quá trình chuyển đổi mật mã Internet thường mất nhiều năm. Ngay cả khi MD5 và SHA-1 bị chính thức loại bỏ từ lâu, quá trình chuyển đổi thực tế vẫn kéo dài, và đến nay vẫn chưa hoàn toàn loại bỏ. Các thuật toán này đã bị phá vỡ hoàn toàn, chứ không chỉ “có thể bị phá vỡ trong tương lai”.

Thách thức riêng của blockchain so với hạ tầng internet

May mắn thay, các chuỗi khối mã nguồn mở như Ethereum, Solana dễ dàng nâng cấp hơn so với hạ tầng internet truyền thống. Ngược lại, hạ tầng internet hưởng lợi từ việc luân chuyển khóa thường xuyên, làm cho bề mặt tấn công thay đổi nhanh hơn khả năng của các máy lượng tử mới xuất hiện — còn blockchain thì không, vì tiền và khóa của chúng có thể bị lộ vô thời hạn. Nhưng nhìn chung, các blockchain nên học hỏi cách tiếp cận thận trọng của internet trong chuyển đổi chữ ký. Cả hai đều không bị ảnh hưởng trực tiếp bởi tấn công HNDL, nhưng việc chuyển đổi quá sớm sang các giải pháp hậu lượng tử chưa trưởng thành vẫn mang rủi ro lớn, không phụ thuộc vào vòng đời của khóa.

Ngoài ra, các thách thức đặc thù của blockchain khiến việc chuyển đổi sớm trở nên cực kỳ nguy hiểm và phức tạp: chẳng hạn, blockchain có yêu cầu đặc thù về “tổng hợp nhanh” nhiều chữ ký. Các chữ ký BLS hiện phổ biến vì khả năng hợp nhất hiệu quả, nhưng không có khả năng chống lượng tử. Các nhà nghiên cứu đang khám phá các giải pháp hợp nhất chữ ký hậu lượng tử dựa trên zkSNARKs. Dù tiến bộ, vẫn còn trong giai đoạn sơ khai.

Về zkSNARKs, cộng đồng đang tập trung vào cấu trúc dựa trên hàm băm hậu lượng tử. Một bước chuyển lớn dự kiến là trong vài tháng hoặc vài năm tới, các giải pháp dựa trên lattice sẽ trở thành các lựa chọn hấp dẫn thay thế, cung cấp hiệu suất vượt trội như kích thước chứng minh nhỏ hơn, tương tự như chữ ký lattice nhỏ hơn so với hàm băm.

Vấn đề lớn hơn hiện nay là an toàn thực thi

Trong nhiều năm tới, các lỗ hổng thực thi sẽ còn nguy hiểm hơn “máy tính lượng tử đe dọa thực tế hệ mật mã”. Đặc biệt, với zkSNARKs và chữ ký hậu lượng tử phức tạp, các lỗi (bugs) và tấn công kênh bên, lỗi thực thi (fault injection) sẽ là mối đe dọa chính. Ngay từ bây giờ, cần đầu tư vào kiểm tra mã nguồn, kiểm thử mơ hồ, xác thực hình thức, và nhiều lớp phòng thủ — để không để các lỗ hổng thực thi biến thành các điểm yếu gây mất an toàn.

Cộng đồng sẽ tiếp tục phát hiện và sửa các lỗ hổng của zkSNARKs trong nhiều năm, đồng thời củng cố các hệ hậu lượng tử chống tấn công kênh bên và lỗi thực thi. Việc chuyển đổi quá sớm khi các phương pháp này vẫn chưa ổn định có thể khiến chuỗi khối bị khóa trong các giải pháp không tối ưu, hoặc phải chuyển đổi lần nữa khi phát hiện ra lỗ hổng.

Chúng ta nên làm gì? Bảy khuyến nghị

Dựa trên các thực tế đã bàn, tôi đề xuất các khuyến nghị dành cho các bên liên quan — từ nhà phát triển, đến các nhà hoạch định chính sách. Nguyên tắc chung là: Nghiêm túc xem xét mối đe dọa lượng tử, nhưng không hành động dựa trên giả định “đến năm 2030, máy tính lượng tử đe dọa thực tế hệ mật mã”. Hiện tại, các tiến bộ kỹ thuật chưa hỗ trợ giả định này. Tuy nhiên, chúng ta vẫn còn nhiều việc có thể và nên làm để chuẩn bị:

1. Triển khai mã hóa phối hợp ngay lập tức

Ít nhất trong các trường hợp cần giữ bí mật lâu dài, và khi hiệu năng chấp nhận được. Nhiều trình duyệt, CDN, và ứng dụng nhắn tin (như iMessage và Signal) đã triển khai giải pháp phối hợp này. Giải pháp phối hợp — hậu lượng tử + truyền thống — — vừa chống HNDL, vừa giảm thiểu rủi ro từ các lỗ hổng của các giải pháp hậu lượng tử.

2. Ngay lập tức sử dụng chữ ký hàm băm trong các trường hợp không yêu cầu kích thước nhỏ

Các cập nhật phần mềm/firmware ít xuất hiện, không yêu cầu kích thước nhỏ, nên ngay lập tức dùng chữ ký dựa trên hàm băm phối hợp. (Phối hợp nhằm phòng tránh các lỗi trong giải pháp mới, không phải vì hàm băm không an toàn.) Đây là cách tiếp cận thận trọng, an toàn, cung cấp “phao cứu sinh” rõ ràng trong trường hợp CRQC xuất hiện sớm. Nếu không có cơ chế cập nhật phần mềm hỗ trợ chữ ký hậu lượng tử đã triển khai, thì sau CRQC sẽ gặp khó khăn trong phân phối cập nhật mã hóa chống lượng tử.

3. Không vội vàng chuyển sang chữ ký hậu lượng tử cho chuỗi khối — cần lập kế hoạch từ bây giờ

Các nhà phát triển blockchain nên học hỏi cách làm của Web PKI để tiến hành chuyển đổi thận trọng. Điều này cho phép các giải pháp hậu lượng tử phát triển về hiệu năng và độ an toàn. Đồng thời, tạo thời gian để thiết kế lại hệ thống, mở rộng quy mô ký hiệu, và phát triển công nghệ hợp nhất chữ ký tốt hơn. Đối với Bitcoin và các chuỗi layer 1 khác, cộng đồng cần xây dựng lộ trình chuyển đổi, và các chính sách về quỹ bị bỏ rơi hoặc dễ bị tấn công lượng tử. Chuyển đổi thụ động là không khả thi, nên phải lập kế hoạch kỹ lưỡng.

Ngoài ra, cần thúc đẩy nghiên cứu zkSNARKs hậu lượng tử và các giải pháp hợp nhất chữ ký — có thể mất nhiều năm. Một lần nữa, chuyển đổi sớm có thể gây lock-in trong các giải pháp không tối ưu hoặc gây ra các vấn đề do lỗ hổng thực thi hiện tại.

Về mô hình tài khoản của Ethereum: Ethereum hỗ trợ hai loại tài khoản, có ảnh hưởng khác nhau đến chuyển đổi hậu lượng tử: tài khoản bên ngoài do khóa secp256k1 kiểm soát, và ví hợp đồng thông minh với logic phân quyền có thể lập trình. Trong tình huống không khẩn cấp, khi Ethereum nâng cấp để hỗ trợ chữ ký hậu lượng tử, ví hợp đồng có thể nâng cấp để chuyển sang xác thực hậu lượng tử qua hợp đồng; còn tài khoản ngoài hợp đồng (EOA) có thể cần chuyển tài sản sang địa chỉ mới an toàn hậu lượng tử (hoặc Ethereum có thể cung cấp cơ chế chuyển đổi riêng). Trong tình huống khẩn cấp, các nhà nghiên cứu Ethereum đề xuất fork cứng: đóng băng các tài khoản dễ bị tổn thương, và cho phép người dùng chứng minh sở hữu bằng zkSNARK để phục hồi tài sản. Cơ chế này phù hợp cho cả EOA và ví hợp đồng chưa nâng cấp.

Ảnh hưởng trực tiếp tới người dùng là: ví hợp đồng có thể nâng cấp dễ dàng hơn, nhưng không nhiều. Quan trọng hơn là cộng đồng Ethereum cần thúc đẩy nghiên cứu về nguyên thủy hậu lượng tử và các cơ chế ứng cứu khẩn cấp.

Các hướng thiết kế chung của blockchain cho thấy, nhiều dự án liên kết chặt chẽ danh tính tài khoản với nguyên thủy mật mã cụ thể — như Bitcoin và Ethereum gắn với secp256k1, các chuỗi khác dùng EdDSA. Thách thức chuyển đổi hậu lượng tử làm nổi bật giá trị của việc tách rời danh tính tài khoản khỏi nguyên thủy ký kết. Phát triển “tài khoản thông minh” của Ethereum, cũng như xu hướng trừu tượng hóa tài khoản của các chuỗi khác, đều phản ánh hướng này: cho phép nâng cấp logic xác thực của tài khoản, đồng thời giữ lại lịch sử và trạng thái trên chuỗi. Điều này không làm cho chuyển đổi hậu lượng tử dễ hơn, nhưng linh hoạt hơn so với cố định danh tính tài khoản trong một nguyên thủy ký kết duy nhất (cũng mở ra các chức năng như chuyển tiền ủy nhiệm, khôi phục xã hội, multi-sig).

4. Đối với các chuỗi riêng tư, ưu tiên chuyển đổi sớm nếu hiệu năng cho phép

Các chuỗi này mã hóa hoặc ẩn danh chi tiết giao dịch, do đó người dùng hiện tại dễ bị tấn công HNDL — mức độ nguy hiểm tùy theo thiết kế. Những chuỗi chỉ dựa vào sổ cái công khai để phân tích sau, có nguy cơ cao nhất. Có thể áp dụng giải pháp phối hợp (hậu lượng tử + truyền thống) để phòng tránh các lỗ hổng của giải pháp hậu lượng tử, hoặc thiết kế kiến trúc để không lưu bí mật có thể giải mã trên chuỗi.

5. Ưu tiên an toàn thực thi trong ngắn hạn — hơn là giảm thiểu mối đe dọa lượng tử

Đặc biệt với zkSNARKs và chữ ký hậu lượng tử phức tạp, các lỗi (bugs) và tấn công thực thi (side-channel, fault injection) sẽ là mối đe dọa chính trong nhiều năm tới. Ngay từ bây giờ, cần đầu tư kiểm tra mã, thử nghiệm mơ hồ, xác thực hình thức, và các biện pháp phòng thủ đa lớp — đừng để các lỗi thực thi trở thành điểm yếu gây mất an toàn.

6. Hỗ trợ phát triển máy tính lượng tử

Từ góc độ an ninh quốc gia, chúng ta phải liên tục đầu tư vào nghiên cứu, phát triển, và đào tạo nhân lực trong lĩnh vực lượng tử. Nếu các quốc gia đối thủ tiến xa hơn Mỹ trong việc đạt CRQC, sẽ gây ra các rủi ro nghiêm trọng cho an ninh quốc gia Mỹ và toàn cầu.

7. Giữ đúng tầm các thông báo liên quan tới máy tính lượng tử

Khi phần cứng lượng tử trưởng thành hơn, sẽ xuất hiện nhiều tin tức bước ngoặt trong vài năm tới. Ngược lại, việc xuất hiện nhiều tin tức như vậy chính là bằng chứng rằng chúng ta còn xa CRQC thật sự. Mỗi mốc tiến bộ chỉ là một trong nhiều cầu dẫn tới mục tiêu cuối cùng, và mỗi cầu đó đều gây chú ý và sự thích thú của truyền thông. Nên xem các thông báo này như các báo cáo tiến trình cần đánh giá phê phán, chứ không phải dấu hiệu để hành động ngay lập tức.

Dĩ nhiên, có thể sẽ có đột phá bất ngờ, thúc đẩy tiến trình nhanh hơn; hoặc gặp các nút thắt lớn, làm chậm tiến độ. Tôi muốn nhấn mạnh rằng: tôi không nghĩ là trong 5 năm tới chắc chắn