Máy tính lượng tử và blockchain: Kết hợp tính cấp bách với mối đe dọa thực tế

Tác giả: Justin Thaler

Biên dịch: Bạch Thoại Blockchain

Dòng thời gian về máy tính lượng tử liên quan đến mật mã thường bị phóng đại — dẫn đến các yêu cầu chuyển đổi khẩn cấp, toàn diện sang mật mã hậu lượng tử.

Nhưng những lời kêu gọi này thường bỏ qua chi phí và rủi ro của việc di chuyển quá sớm, cũng như bỏ qua sự khác biệt rõ rệt về hồ sơ rủi ro giữa các nguyên thủy mật mã khác nhau:

Mật mã hậu lượng tử, mặc dù có chi phí, vẫn cần được triển khai ngay lập tức: tấn công “Thu thập trước, giải mã sau” (Harvest-Now-Decrypt-Later, HNDL) đã và đang diễn ra, vì dữ liệu nhạy cảm được mã hóa ngày hôm nay sẽ còn giá trị khi máy tính lượng tử xuất hiện, ngay cả khi điều đó là hàng chục năm sau. Chi phí hiệu năng và rủi ro triển khai của mật mã hậu lượng tử là có thật, nhưng tấn công HNDL khiến dữ liệu cần bảo mật lâu dài không còn lựa chọn nào khác.

Chữ ký hậu lượng tử đối mặt với những cân nhắc khác. Chúng ít bị ảnh hưởng bởi tấn công HNDL, và chi phí cùng rủi ro của chúng (kích thước lớn hơn, chi phí hiệu năng, việc triển khai chưa hoàn thiện và dễ lỗi) đòi hỏi phải suy xét kỹ lưỡng chứ không phải chuyển đổi ngay lập tức.

Sự khác biệt này đặc biệt quan trọng. Hiểu lầm có thể bóp méo phân tích chi phí - lợi ích, khiến các đội ngũ bỏ qua những rủi ro bảo mật nổi bật hơn — chẳng hạn như lỗi chương trình (bugs).

Thách thức thực sự để chuyển đổi thành công sang mật mã hậu lượng tử là cân bằng sự cấp bách với mối đe dọa thực tế. Dưới đây, tôi sẽ làm rõ các hiểu lầm phổ biến về mối đe dọa lượng tử đối với mật mã — bao gồm mã hóa, chữ ký và bằng chứng không tiết lộ (zero-knowledge proof) — và tập trung đặc biệt vào tác động của chúng đối với blockchain.

Tiến độ dòng thời gian của chúng ta thế nào?

Bất chấp những tuyên bố được chú ý, khả năng xuất hiện máy tính lượng tử liên quan đến mật mã (CRQC) trong thập niên 2020 là cực kỳ thấp.

“Máy tính lượng tử liên quan đến mật mã” mà tôi đề cập là một máy tính lượng tử có khả năng chịu lỗi, sửa lỗi, đủ lớn để chạy thuật toán Shor nhằm bẻ khóa {secp}256{k}1 hoặc {RSA-2048} trong phạm vi thời gian hợp lý (ví dụ, trong vòng tối đa một tháng tính toán liên tục), tức là tấn công mật mã đường cong elliptic hoặc RSA.

Theo bất kỳ cách giải thích hợp lý nào về các cột mốc công khai và ước tính tài nguyên, chúng ta vẫn còn rất xa máy tính lượng tử liên quan đến mật mã. Đôi khi các công ty tuyên bố CRQC có thể xuất hiện trước năm 2030 hoặc xa nhất là trước năm 2035, nhưng những tiến bộ công khai được biết đến không ủng hộ các tuyên bố này.

Để tham khảo, trên tất cả các kiến trúc hiện tại — ion bẫy, qubit siêu dẫn và hệ thống nguyên tử trung hòa — nền tảng tính toán lượng tử ngày nay không gần với việc chạy thuật toán Shor để tấn công {RSA-2048} hoặc {secp}256{k}1, vốn cần hàng trăm nghìn đến hàng triệu qubit vật lý (tùy theo tỷ lệ lỗi và phương án sửa lỗi).

Yếu tố hạn chế không chỉ là số lượng qubit, mà còn là độ chính xác cổng, khả năng kết nối qubit, và độ sâu mạch sửa lỗi liên tục cần thiết để chạy các thuật toán lượng tử chuyên sâu. Dù một số hệ thống hiện đã vượt quá 1.000 qubit vật lý, nhưng số lượng qubit thô tự nó rất dễ gây hiểu lầm: các hệ thống này thiếu sự kết nối qubit và độ chính xác cổng cần cho tính toán liên quan đến mật mã.

Các hệ thống gần đây đạt được tỷ lệ lỗi vật lý gần mức có thể bắt đầu sửa lỗi lượng tử hoạt động, nhưng chưa ai chứng minh được số lượng logic qubit nhiều hơn một vài cái với độ sâu mạch sửa lỗi liên tục… Chưa nói đến việc chạy thực sự thuật toán Shor cần hàng nghìn logic qubit, mạch sâu, độ chính xác cao và chịu lỗi. Khoảng cách giữa việc chứng minh sửa lỗi lượng tử khả thi về nguyên lý và quy mô cần cho phân tích mật mã vẫn còn cực lớn.

Tóm lại: Trừ khi số lượng và độ chính xác qubit tăng lên hàng trăm đến hàng nghìn lần, máy tính lượng tử liên quan đến mật mã vẫn còn rất xa vời.

Tuy nhiên, thông cáo báo chí doanh nghiệp và các bài báo truyền thông rất dễ gây nhầm lẫn. Dưới đây là một số hiểu lầm và nguồn gốc nhầm lẫn phổ biến, bao gồm:

Các bản trình diễn “ưu thế lượng tử” hiện chỉ nhắm đến các tác vụ được thiết kế nhân tạo. Các tác vụ này được chọn không phải vì tính ứng dụng thực tiễn, mà vì chúng có thể chạy trên phần cứng hiện có và dường như cho thấy sự tăng tốc lượng tử lớn — thực tế này thường bị làm mờ trong thông báo.

Các công ty tuyên bố đã đạt được hàng nghìn qubit vật lý. Nhưng điều này nói về máy ủ lượng tử, không phải máy mô hình cổng cần để chạy thuật toán Shor cho mã hóa khóa công khai.

Các công ty sử dụng thuật ngữ “logic qubit” một cách tự do. Qubit vật lý rất nhiễu. Như đã đề cập, thuật toán lượng tử cần logic qubit; thuật toán Shor cần hàng nghìn logic qubit. Sửa lỗi lượng tử cho phép tạo một logic qubit từ hàng trăm đến hàng nghìn qubit vật lý — tùy vào tỷ lệ lỗi. Nhưng một số công ty đã mở rộng thuật ngữ này quá mức. Ví dụ, một thông báo gần đây tuyên bố đã tạo ra một logic qubit dùng mã khoảng cách 2 và chỉ hai qubit vật lý. Điều này vô lý: mã khoảng cách 2 chỉ phát hiện lỗi, không sửa lỗi. Một logic qubit thực sự chịu lỗi dùng cho phân tích mật mã cần hàng trăm đến hàng nghìn qubit vật lý, không phải hai.

Nói chung, nhiều lộ trình tính toán lượng tử dùng thuật ngữ “logic qubit” để chỉ qubit chỉ hỗ trợ thao tác Clifford. Các thao tác này có thể mô phỏng hiệu quả bằng máy tính cổ điển, nên không đủ để chạy thuật toán Shor, vốn cần hàng nghìn cổng T (hay cổng non-Clifford) được sửa lỗi.

Ngay cả khi lộ trình nào đó nhắm đến “hàng nghìn logic qubit trong năm X”, điều đó không có nghĩa công ty đó kỳ vọng sẽ chạy thuật toán Shor phá mã mật cổ điển trong cùng năm X.

Những thực hành này bóp méo nghiêm trọng nhận thức của công chúng về việc chúng ta cách máy tính lượng tử liên quan đến mật mã bao xa, ngay cả với những quan sát viên giàu kinh nghiệm.

Tuy vậy, một số chuyên gia thực sự hào hứng với tiến bộ. Ví dụ, Scott Aaronson gần đây viết rằng, xét đến “tốc độ phát triển phần cứng hiện tại đáng kinh ngạc”,

Tôi hiện cho rằng, việc có một máy tính lượng tử chịu lỗi chạy thuật toán Shor trước kỳ bầu cử tổng thống Mỹ tiếp theo là khả năng thực tế.

Nhưng sau đó Aaronson làm rõ, tuyên bố của ông không có nghĩa là máy tính lượng tử liên quan đến mật mã: ông cho rằng ngay cả một thuật toán Shor chịu lỗi hoàn chỉnh phân tích số 15 = 3 × 5 cũng được tính là thành tựu — phép tính này còn có thể làm nhanh hơn bằng bút chì và giấy. Tiêu chuẩn vẫn chỉ là thực hiện thuật toán Shor quy mô nhỏ, chưa phải quy mô liên quan đến mật mã, vì các thử nghiệm phân tích số 15 trước đó trên máy tính lượng tử đều dùng mạch đơn giản hóa, không phải thuật toán Shor hoàn chỉnh, chịu lỗi. Và các thử nghiệm này luôn dùng số 15 là có lý do: tính toán số học mô 15 rất dễ, còn phân tích số lớn hơn như 21 khó hơn nhiều. Vì vậy, các thí nghiệm lượng tử tuyên bố phân tích số 21 thường dựa vào gợi ý hoặc lối tắt bổ sung.

Nói ngắn gọn, không có tiến bộ công khai nào ủng hộ kỳ vọng xuất hiện máy tính lượng tử liên quan đến mật mã đủ khả năng bẻ khóa {RSA-2048} hoặc {secp}256{k}1 trong 5 năm tới — điều đặc biệt quan trọng với mật mã thực tế.

Ngay cả 10 năm cũng vẫn là tham vọng. Xét chúng ta còn cách máy tính lượng tử liên quan đến mật mã bao xa, hào hứng với tiến bộ hoàn toàn phù hợp với dòng thời gian dài hơn mười năm.

Vậy, Mỹ đặt hạn chót năm 2035 cho chuyển đổi hậu lượng tử toàn diện trên hệ thống chính phủ thì sao? Tôi cho rằng đây là khung thời gian hợp lý để hoàn thành chuyển đổi quy mô lớn như vậy. Tuy nhiên, đây không phải là dự báo rằng máy tính lượng tử liên quan đến mật mã sẽ xuất hiện vào thời điểm đó.

Tấn công HNDL áp dụng cho trường hợp nào (không áp dụng cho trường hợp nào)?

Tấn công “Thu thập trước, giải mã sau” (HNDL) là khi đối thủ lưu trữ lưu lượng mã hóa ngay bây giờ, rồi giải mã khi máy tính lượng tử liên quan đến mật mã tồn tại. Đối thủ cấp quốc gia chắc chắn đang lưu trữ quy mô lớn các liên lạc mã hóa từ chính phủ Mỹ, để giải mã khi CRQC thực sự xuất hiện sau nhiều năm.

Đó là lý do tại sao mã hóa cần chuyển đổi ngay lập tức — ít nhất với bất kỳ ai cần bảo mật trên 10-50 năm.

Nhưng chữ ký số — mọi blockchain đều dựa vào nó — lại khác: không có bảo mật nào bị tấn công hồi tố.

Nói cách khác, nếu máy tính lượng tử liên quan đến mật mã xuất hiện, giả mạo chữ ký thực sự trở thành khả thi từ lúc đó, nhưng các chữ ký cũ không “che giấu” bí mật như dữ liệu mã hóa. Miễn là bạn biết chữ ký số được tạo trước khi CRQC xuất hiện, nó không thể bị giả mạo.

Điều này làm cho chuyển đổi sang chữ ký số hậu lượng tử ít cấp bách hơn chuyển đổi mã hóa hậu lượng tử.

Các nền tảng lớn đang hành động tương ứng: Chrome và Cloudflare đã triển khai mã hóa hỗn hợp {X}25519+{ML-KEM} cho bảo mật truyền tải (TLS).

Trong bài viết này, để thuận tiện, tôi dùng từ “mã hóa”, dù thực ra các giao thức truyền thông bảo mật như TLS sử dụng cơ chế trao đổi khóa hoặc đóng gói khóa, không phải mã hóa khóa công khai.

Ở đây, “hỗn hợp” nghĩa là sử dụng song song phương án bảo mật hậu lượng tử (tức ML-KEM) và phương án hiện tại ({X}25519), để nhận được bảo đảm bảo mật kết hợp của cả hai. Như vậy, họ có thể (hy vọng) dùng ML-KEM ngăn tấn công HNDL, đồng thời vẫn giữ bảo mật cổ điển nhờ {X}25519 nếu ML-KEM bị phát hiện không an toàn ngay với máy tính ngày nay.

iMessage của Apple cũng triển khai mã hóa hậu lượng tử hỗn hợp qua giao thức PQ3, Signal cũng triển khai qua PQXDH và SPQR.

Ngược lại, việc phổ cập chữ ký số hậu lượng tử cho hạ tầng mạng trọng yếu đang bị hoãn lại cho đến khi máy tính lượng tử liên quan đến mật mã thực sự gần kề, vì các phương án chữ ký hậu lượng tử hiện tại gây sụt giảm hiệu năng (sẽ nói chi tiết hơn bên dưới).

zkSNARKs — bằng chứng không tiết lộ ngắn gọn, không tương tác, là chìa khóa mở rộng và bảo mật lâu dài cho blockchain — cũng tương tự như chữ ký. Bởi, ngay cả với {zkSNARKs} không hậu lượng tử (dùng mật mã đường cong elliptic như mã hóa và chữ ký hiện nay), thuộc tính không tiết lộ của chúng vẫn an toàn trước lượng tử.

Thuộc tính không tiết lộ bảo đảm rằng không tiết lộ gì về nhân chứng bí mật trong bằng chứng — kể cả với đối thủ lượng tử — nên không có thông tin bí mật nào có thể “thu thập trước” để giải mã sau.

Do đó, {zkSNARKs} không dễ bị tấn công “thu thập trước, giải mã sau”. Giống như chữ ký số không hậu lượng tử được tạo hôm nay vẫn an toàn, bất kỳ bằng chứng {zkSNARK} nào tạo trước khi máy tính lượng tử liên quan đến mật mã xuất hiện đều đáng tin cậy (tức là điều đã được chứng minh thực sự đúng) — ngay cả khi {zkSNARK} dùng mật mã elliptic. Chỉ khi máy tính lượng tử liên quan đến mật mã xuất hiện, kẻ tấn công mới có thể tìm ra bằng chứng thuyết phục cho phát biểu sai.

Điều này có nghĩa gì với blockchain

Phần lớn blockchain không bị phơi nhiễm với tấn công HNDL:

Đa số các chain không riêng tư, như Bitcoin và Ethereum hiện nay, chủ yếu sử dụng mật mã không hậu lượng tử cho việc ủy quyền giao dịch — tức là dùng chữ ký số, không phải mã hóa.

Tương tự, các chữ ký này không phải là rủi ro HNDL: Tấn công “thu thập trước, giải mã sau” áp dụng với dữ liệu mã hóa. Ví dụ, blockchain của Bitcoin là công khai; mối đe dọa lượng tử là giả mạo chữ ký (suy ra khóa riêng để đánh cắp tiền), không phải giải mã dữ liệu giao dịch vốn đã công khai. Điều này loại bỏ sự cấp bách mã hóa do tấn công HNDL.

Đáng tiếc, ngay cả những phân tích từ nguồn đáng tin như FED cũng sai lầm khi tuyên bố Bitcoin dễ bị tấn công HNDL, dẫn đến phóng đại sự cấp bách chuyển đổi hậu lượng tử.

Dù vậy, giảm cấp bách không có nghĩa Bitcoin có thể chờ đợi: nó đối mặt với áp lực thời gian khác do cần phối hợp xã hội lớn để thay đổi giao thức.

Ngoại lệ tính tới hôm nay là các chain riêng tư, nhiều chain trong số đó mã hóa hoặc che giấu người nhận và số tiền. Khi máy tính lượng tử có thể phá mật mã elliptic, tính bảo mật này có thể bị thu thập ngay bây giờ và bị giải ẩn danh hồi tố.

Với các chain riêng tư này, mức độ nghiêm trọng của tấn công tùy thiết kế blockchain. Ví dụ, với chữ ký vòng và hình ảnh khóa dựa trên elliptic của Monero (dùng để ngăn double-spend bằng nhãn liên kết cho mỗi đầu ra), sổ cái công khai đủ để khôi phục biểu đồ chi tiêu hồi tố. Nhưng ở các chain khác, thiệt hại hạn chế hơn — xem thảo luận chi tiết của kỹ sư và nghiên cứu viên Zcash Sean Bowe.

Nếu việc giao dịch của người dùng không bị máy tính lượng tử liên quan đến mật mã lộ là quan trọng, các chain riêng tư nên chuyển đổi sang nguyên thủy hậu lượng tử (hoặc phương án hỗn hợp) càng sớm càng tốt nếu khả thi. Hoặc, nên áp dụng thiết kế tránh đặt bí mật có thể giải mã lên chuỗi.

Bài toán đặc biệt của Bitcoin: Quản trị + coin bị bỏ hoang

Đặc biệt với Bitcoin, có hai thực tế thúc đẩy sự cấp bách bắt đầu chuyển sang chữ ký số hậu lượng tử. Cả hai đều không liên quan đến công nghệ lượng tử.

Một lo ngại là tốc độ quản trị: Bitcoin thay đổi rất chậm. Nếu cộng đồng không thể đồng thuận giải pháp phù hợp, bất kỳ vấn đề gây tranh cãi nào cũng có thể kích hoạt hard fork phá hoại.

Lo ngại còn lại là chuyển đổi chữ ký hậu lượng tử của Bitcoin không thể là di chuyển thụ động: chủ sở hữu phải chủ động chuyển coin. Điều này nghĩa là coin bị bỏ hoang, dễ bị lượng tử tấn công sẽ không được bảo vệ. Một số ước tính số BTC như vậy nằm trong hàng triệu coin, trị giá hàng chục tỷ USD theo giá hiện tại (tính đến tháng 12/2025).

Tuy nhiên, mối đe dọa lượng tử với Bitcoin sẽ không phải là thảm họa bất ngờ chỉ sau một đêm… mà giống như quá trình nhắm mục tiêu chọn lọc, tiến triển dần. Máy tính lượng tử không bẻ khóa mọi mã hóa cùng lúc — thuật toán Shor phải nhắm từng khóa công khai một. Các cuộc tấn công lượng tử ban đầu sẽ cực kỳ đắt đỏ và chậm chạp. Do đó, khi máy tính lượng tử có thể bẻ một khóa ký Bitcoin, kẻ tấn công sẽ chọn lọc những ví giá trị lớn.

Ngoài ra, người dùng tránh tái sử dụng địa chỉ và không dùng địa chỉ Taproot — những địa chỉ này công khai trực tiếp khóa công khai trên chuỗi — dù không đổi giao thức cũng phần lớn được bảo vệ: khóa công khai của họ bị ẩn sau hàm băm cho đến khi tiêu coin. Khi họ gửi giao dịch tiêu coin, khóa công khai trở nên công khai, và sẽ có một cuộc chạy đua ngắn giữa chủ thực sự và kẻ tấn công có máy lượng tử nhằm tìm khóa riêng để chiếm coin trước khi giao dịch được xác nhận. Do đó, coin thực sự dễ bị tấn công là coin đã lộ khóa công khai: các đầu ra P2PK đầu thời kỳ, địa chỉ tái sử dụng và Taproot.

Với coin bị bỏ hoang dễ bị tấn công, không có giải pháp đơn giản. Một số lựa chọn là:

Cộng đồng Bitcoin đồng thuận chọn một “ngày mốc”, sau ngày đó, coin không di chuyển bị tuyên bố là bị hủy.

Cho phép bất kỳ ai sở hữu máy tính lượng tử liên quan đến mật mã chiếm coin bị bỏ hoang dễ bị tấn công.

Phương án thứ hai gây vấn đề nghiêm trọng về pháp lý và an ninh. Dùng máy tính lượng tử chiếm coin không có khóa riêng — dù tuyên bố sở hữu hợp pháp hay có ý định tốt — có thể gây rắc rối lớn theo luật trộm cắp và gian lận máy tính ở nhiều nước.

Ngoài ra, “bỏ hoang” là một giả định dựa trên không hoạt động. Không ai thật sự biết liệu những coin đó có chủ sở hữu còn sống giữ khóa hay không. Việc từng sở hữu coin có thể chưa đủ để được phép pháp lý phá mã để thu hồi. Sự mơ hồ pháp lý này tăng khả năng coin bị bỏ hoang dễ bị lượng tử chiếm đoạt rơi vào tay kẻ xấu sẵn sàng phớt lờ luật lệ.

Vấn đề riêng cuối cùng của Bitcoin là thông lượng giao dịch thấp. Dù có kế hoạch di chuyển, việc chuyển toàn bộ tài sản dễ bị lượng tử tấn công sang địa chỉ an toàn hậu lượng tử với tốc độ giao dịch hiện tại cũng kéo dài hàng tháng.

Những thách thức này khiến việc lập kế hoạch chuyển đổi hậu lượng tử cho Bitcoin ngay từ bây giờ trở nên tối quan trọng — không phải vì máy tính lượng tử liên quan đến mật mã sẽ xuất hiện trước năm 2030, mà vì việc di chuyển tài sản trị giá hàng chục tỷ USD đòi hỏi quản trị, phối hợp và kỹ thuật sẽ mất nhiều năm để giải quyết.

Mối đe dọa lượng tử với Bitcoin là thực tế, nhưng áp lực về thời gian đến từ chính hạn chế của Bitcoin, không phải do máy tính lượng tử sắp xuất hiện. Các blockchain khác cũng đối mặt với thách thức tài sản dễ bị lượng tử tấn công, nhưng Bitcoin có mức độ phơi nhiễm đặc biệt: các giao dịch đầu tiên dùng đầu ra pay-to-public-key (P2PK), công khai trực tiếp khóa công khai lên chuỗi, khiến một phần lớn BTC đặc biệt dễ bị tấn công bởi máy tính lượng tử liên quan đến mật mã. Sự khác biệt kỹ thuật này — cộng với tuổi đời lâu, giá trị tập trung, thông lượng thấp và quản trị cứng nhắc của Bitcoin — khiến vấn đề trầm trọng hơn.

Lưu ý, lỗ hổng tôi mô tả ở trên áp dụng với bảo mật mật mã của chữ ký số Bitcoin — không áp dụng với bảo mật kinh tế của blockchain Bitcoin. Bảo mật kinh tế này dựa vào cơ chế đồng thuận bằng bằng chứng công việc (PoW), không dễ bị tấn công bởi máy tính lượng tử, vì ba lý do:

PoW dựa vào hàm băm, chỉ bị tăng tốc lượng tử theo bậc hai nhờ thuật toán Grover, không phải tăng tốc theo cấp số mũ như thuật toán Shor.

Chi phí thực tế để triển khai Grover khiến bất kỳ máy tính lượng tử nào cũng khó đạt được tăng tốc thực tế đáng kể với PoW của Bitcoin.

Ngay cả khi tăng tốc đáng kể, điều này chỉ mang lại lợi thế cho thợ đào lượng tử lớn so với thợ đào nhỏ, không làm phá vỡ mô hình bảo mật kinh tế của Bitcoin.

Chi phí và rủi ro của chữ ký hậu lượng tử

Để hiểu vì sao blockchain không nên vội triển khai chữ ký hậu lượng tử, ta cần nắm chi phí hiệu năng và mức độ tin cậy vào bảo mật hậu lượng tử vẫn đang phát triển.

Phần lớn mật mã hậu lượng tử dựa trên một trong năm phương pháp:

Hàm băm (hashing)

Mã hóa (codes)

Lattice (lattices)

Hệ đa thức bậc hai (multivariate quadratic systems, MQ)

Đồng cấu (isogenies)

Tại sao có tới năm phương án? Bảo mật của bất kỳ nguyên thủy hậu lượng tử nào đều dựa trên giả định rằng máy tính lượng tử không thể giải quyết hiệu quả một vấn đề toán học cụ thể. Vấn đề càng “có cấu trúc”, giao thức mật mã ta xây dựng càng hiệu quả.

Nhưng điều này là con dao hai lưỡi: cấu trúc phụ thêm cũng tạo cơ hội cho các thuật toán tấn công lợi dụng. Điều này tạo ra mâu thuẫn cơ bản — giả định mạnh hơn thì hiệu năng tốt hơn, nhưng tiềm ẩn nguy cơ bị phá vỡ (tức là giả định sai cao hơn).

Nói chung, phương án dựa trên hàm băm bảo thủ nhất về bảo mật, vì ta tin tưởng nhất máy tính lượng tử không thể tấn công hiệu quả. Nhưng chúng cũng kém hiệu năng nhất. Ví dụ, phương án chữ ký dựa trên hàm băm do NIST chuẩn hóa, ngay cả với tham số nhỏ nhất, kích thước cũng 7-8 KB. Trong khi đó, chữ ký số elliptic chỉ 64 byte. Khác biệt kích thước khoảng 100 lần.

Phương án lattice là trọng tâm chính hiện nay. NIST đã chọn duy nhất phương án mã hóa và hai trong ba thuật toán chữ ký chuẩn hóa đều dựa trên lattice. Một phương án lattice (ML-DSA, trước là Dilithium) tạo chữ ký từ 2,4 KB (bảo mật 128 bit) đến 4,6 KB (bảo mật 256 bit) — tức lớn hơn chữ ký elliptic khoảng 40-70 lần. Phương án lattice khác là Falcon có chữ ký nhỏ hơn (Falcon-512 là 666 byte, Falcon-1024 là 1,3 KB), nhưng dùng phép toán dấu chấm động phức tạp, chính NIST đánh dấu là thách thức triển khai đặc biệt. Một trong những tác giả Falcon, Thomas Pornin, gọi đây là “thuật toán mật mã phức tạp nhất tôi từng triển khai”.

Triển khai chữ ký số dựa trên lattice cũng khó an toàn hơn chữ ký số elliptic: ML-DSA có nhiều giá trị trung gian nhạy cảm và logic lấy mẫu loại trừ không tầm thường, đòi hỏi bảo vệ kênh phụ và lỗi. Falcon thêm vấn đề dấu chấm động thời gian cố định; thực tế, một số tấn công kênh phụ vào Falcon đã phục hồi được khóa bí mật.

Những vấn đề này là rủi ro tức thì, không như mối đe dọa máy tính lượng tử liên quan đến mật mã còn xa.

Khi triển khai các phương pháp mật mã hậu lượng tử hiệu năng cao hơn, ta có lý do để thận trọng. Trong lịch sử, các phương án từng là ứng viên hàng đầu như Rainbow (dựa trên MQ) và SIKE/SIDH (dựa trên đồng cấu) đã bị phá bởi máy tính thường, tức là không cần lượng tử.

Điều này xảy ra vào giai đoạn muộn của quá trình chuẩn hóa NIST. Đây là minh chứng khoa học lành mạnh, nhưng cũng cho thấy chuẩn hóa và triển khai sớm có thể phản tác dụng.

Như đã đề cập, hạ tầng internet đang tiếp cận chuyển đổi chữ ký một cách thận trọng. Điều này đặc biệt đáng chú ý khi xét rằng quá trình chuyển đổi mã hóa internet mất rất nhiều năm sau khi bắt đầu mới hoàn tất. Chuyển đổi khỏi các hàm băm MD5 và SHA-1 — vốn đã bị các tổ chức mạng loại bỏ về mặt kỹ thuật từ nhiều năm trước — vẫn mất nhiều năm để triển khai, và một số nơi vẫn còn dùng. Điều này xảy ra khi các phương án cũ đã thực sự bị phá hoàn toàn, chứ không chỉ là có nguy cơ bị tấn công bởi công nghệ tương lai.

Blockchain và thách thức riêng so với hạ tầng internet

May mắn là các blockchain như Ethereum hay Solana, được cộng đồng phát triển nguồn mở tích cực duy trì, có thể nâng cấp nhanh hơn hạ tầng mạng truyền thống. Ngược lại, hạ tầng mạng truyền thống hưởng lợi nhờ đổi khóa thường xuyên, nghĩa là bề mặt tấn công di chuyển nhanh hơn tốc độ máy lượng tử ban đầu có thể khai thác — điều blockchain không có, vì coin và khóa liên quan có thể phơi nhiễm vô thời hạn.

Nhìn chung, blockchain vẫn nên theo phương án chuyển đổi chữ ký thận trọng như mạng internet. Chữ ký ở cả hai môi trường đều không bị tấn công HNDL, và dù khóa tồn tại lâu hay không, di chuyển sớm sang phương án hậu lượng tử chưa hoàn thiện tiềm ẩn chi phí và rủi ro lớn.

Ngoài ra còn có thách thức đặc thù blockchain khiến việc di chuyển sớm càng rủi ro và phức tạp hơn: ví dụ, blockchain yêu cầu chữ ký có khả năng tập hợp nhanh nhiều chữ ký. Hiện nay, BLS-signature thường được dùng nhờ khả năng tập hợp siêu nhanh, nhưng không hậu lượng tử an toàn. Nghiên cứu đang được thực hiện về tập hợp chữ ký hậu lượng tử dựa trên SNARK. Công việc này đầy hứa hẹn nhưng vẫn còn sớm.

Với SNARKs, cộng đồng hiện tập trung vào cấu trúc dựa trên hàm băm như phương án hậu lượng tử hàng đầu. Nhưng một sự chuyển đổi lớn sắp đến: tôi tin rằng trong vài tháng, vài năm tới, phương án dựa trên lattice sẽ thành lựa chọn thay thế hấp dẫn. Những lựa chọn này sẽ có hiệu năng vượt trội so với SNARKs dựa trên hàm băm về mọi mặt, như bằng chứng ngắn hơn — tương tự như chữ ký dựa trên lattice ngắn hơn chữ ký dựa trên hàm băm.

Vấn đề lớn hơn hiện tại: Bảo mật triển khai

Trong vài năm tới, lỗ hổng triển khai sẽ là rủi ro bảo mật lớn hơn máy tính lượng tử liên quan đến mật mã. Với {SNARKs}, trọng tâm là lỗi chương trình (bugs).

Lỗi chương trình vốn đã là thách thức với chữ ký số và mã hóa, còn {SNARKs} phức tạp hơn nhiều. Thực ra, một phương án chữ ký số có thể xem như một {zkSNARK} cực kỳ đơn giản để chứng minh “tôi biết khóa riêng tương ứng với khóa công khai của mình và tôi ủy quyền thông điệp này”.

Với chữ ký hậu lượng tử, rủi ro tức thì còn gồm cả tấn công triển khai như kênh phụ và tiêm lỗi. Những loại tấn công này đã được ghi nhận, có thể trích xuất khóa bí mật từ hệ thống triển khai. Chúng cấp bách hơn nhiều so với máy tính lượng tử còn xa.

Cộng đồng sẽ phải làm việc nhiều năm để nhận diện và sửa lỗi chương trình trong {SNARKs}, và củng cố triển khai chữ ký hậu lượng tử trước tấn công kênh phụ và tiêm lỗi. Vì các phương án SNARKs và tập hợp chữ ký hậu lượng tử vẫn chưa ngã ngũ, blockchain di chuyển quá sớm có nguy cơ bị khóa vào phương án kém tối ưu. Khi có lựa chọn tốt hơn, hoặc phát hiện ra lỗ hổng triển khai, họ có thể phải di chuyển lần hai.

Chúng ta nên làm gì? 7 khuyến nghị

Dựa trên thực tế đã trình bày, tôi xin tổng kết bằng khuyến nghị cho các bên liên quan — từ nhà phát triển đến nhà hoạch định chính sách. Nguyên tắc hàng đầu: nghiêm túc với mối đe dọa lượng tử, nhưng đừng hành động trên giả định máy tính lượng tử liên quan đến mật mã sẽ đến trước năm 2030. Giả định này không được tiến bộ hiện tại xác nhận. Tuy nhiên, vẫn có những việc ta nên làm ngay:

Chúng ta nên triển khai mã hóa hỗn hợp ngay lập tức.

Hoặc ít nhất là với các trường hợp cần bảo mật lâu dài và chấp nhận được chi phí.

Nhiều trình duyệt, CDN và ứng dụng nhắn tin (như iMessage, Signal) đã dùng phương án hỗn hợp. Mã hóa hỗn hợp — hậu lượng tử + cổ điển — có thể phòng tấn công HNDL, đồng thời dự phòng điểm yếu tiềm ẩn trong phương án hậu lượng tử.

Dùng ngay chữ ký dựa trên hàm băm khi kích thước chấp nhận được.

Cập nhật phần mềm/firmware — và các tình huống tương tự ít nhạy cảm về kích thước — nên dùng ngay chữ ký dựa trên hàm băm hỗn hợp. (Hỗn hợp là để phòng lỗi triển khai, không phải vì nghi ngờ giả định bảo mật của hàm băm.)

Đây là cách tiếp cận bảo thủ, và trong trường hợp hiếm hoi CRQC xuất hiện sớm, sẽ cho xã hội “thuyền cứu sinh” rõ ràng. Nếu không có cập nhật phần mềm ký hậu lượng tử trước, khi CRQC xuất hiện, ta sẽ gặp vấn đề bootstrapping: không thể phân phối an toàn bản vá mật mã hậu lượng tử cần thiết để chống lại nó.

Blockchain không cần vội triển khai chữ ký hậu lượng tử — nhưng nên lên kế hoạch ngay.

Nhà phát triển blockchain nên theo gương cộng đồng PKI mạng, tiếp cận triển khai chữ ký hậu lượng tử một cách thận trọng. Cách này cho phép phương án chữ ký hậu lượng tử tiếp tục trưởng thành cả về hiệu năng lẫn hiểu biết bảo mật. Đồng thời, giúp nhà phát triển có thời gian tái cấu trúc hệ thống để xử lý chữ ký lớn hơn, phát triển kỹ thuật tập hợp tốt hơn.

Với Bitcoin và các L1 khác: cộng đồng cần xác định lộ trình di chuyển và chính sách với tài sản bị lượng tử tấn công bỏ hoang. Di chuyển thụ động là không khả thi, nên cần lên kế hoạch. Và vì Bitcoin có thách thức phi kỹ thuật đặc biệt — quản trị chậm, nhiều địa chỉ giá trị cao dễ bị tấn công lượng tử — cộng đồng Bitcoin càng cần bắt đầu lên kế hoạch ngay.

Đồng thời, ta cần cho phép nghiên cứu về SNARKs hậu lượng tử và tập hợp chữ ký trưởng thành (có thể thêm vài năm nữa). Một lần nữa, di chuyển quá sớm có nguy cơ bị khóa vào phương án kém tối ưu hoặc phải di chuyển lần hai để sửa lỗi triển khai.

Một lưu ý về mô hình tài khoản của Ethereum: Ethereum hỗ trợ hai loại tài khoản với tác động khác nhau đến di chuyển hậu lượng tử — tài khoản sở hữu bên ngoài (EOAs) do khóa riêng {secp}256{k}1 kiểm soát; và ví hợp đồng thông minh với logic ủy quyền lập trình được.

Trong trường hợp không khẩn cấp, nếu Ethereum thêm hỗ trợ chữ ký hậu lượng tử, ví hợp đồng thông minh có thể chuyển sang xác minh hậu lượng tử bằng nâng cấp hợp đồng — còn EOAs có thể cần chuyển coin sang địa chỉ an toàn hậu lượng tử mới (dù chắc chắn Ethereum cũng sẽ cung cấp cơ chế di chuyển chuyên biệt cho EOAs).

Trong tình huống khẩn cấp lượng tử, các nhà nghiên cứu Ethereum đã đề xuất kế hoạch hard fork để đóng băng tài khoản dễ bị tấn công và cho phép người dùng phục hồi coin bằng cách chứng minh biết mnemonic qua SNARKs hậu lượng tử. Cơ chế này áp dụng cho cả EOA và ví hợp đồng thông minh chưa nâng cấp.

Ảnh hưởng thực tế đến người dùng: ví hợp đồng thông minh có kiểm toán tốt, nâng cấp được có thể cho lộ trình di chuyển mượt hơn đôi chút — nhưng khác biệt không lớn, và đánh đổi bằng niềm tin vào nhà cung cấp ví và quản trị nâng cấp. Quan trọng hơn là cộng đồng Ethereum tiếp tục làm việc về nguyên thủy hậu lượng tử và kế hoạch ứng phó khẩn cấp.

Bài học thiết kế rộng hơn cho người xây dựng: Hôm nay nhiều blockchain gắn chặt nhận diện tài khoản với nguyên thủy mật mã cụ thể — Bitcoin, Ethereum với chữ ký ECDSA trên {secp}256{k}1, chain khác với EdDSA. Thách thức di chuyển hậu lượng tử cho thấy giá trị của việc tách nhận diện tài khoản khỏi bất kỳ phương án chữ ký cụ thể nào. Việc Ethereum hướng tới tài khoản thông minh và các nỗ lực trừu tượng hóa tài khoản trên chain khác phản ánh xu hướng này: cho phép tài khoản nâng cấp logic xác thực mà không phải bỏ lịch sử và trạng thái on-chain. Việc tách biệt này không khiến di chuyển hậu lượng tử thành chuyện nhỏ, nhưng thật sự mang lại linh hoạt hơn so với hard-code tài khoản vào một phương án chữ ký duy nhất. (Nó cũng hỗ trợ các tính năng không liên quan như giao dịch tài trợ, phục hồi xã hội, đa chữ ký…)

Với chain riêng tư, những chain mã hóa hoặc che giấu chi tiết giao dịch, nên ưu tiên chuyển đổi sớm hơn nếu hiệu năng cho phép.

Người dùng trên các chain này hiện phơi nhiễm với tấn công HNDL, dù mức độ tùy thiết kế. Các chain mà chỉ cần sổ cái công khai cũng có thể giải ẩn danh truy vết hoàn toàn thì rủi ro cấp bách hơn cả.

Xem xét phương án hỗn hợp (hậu lượng tử + cổ điển) để phòng trường hợp phương án hậu lượng tử bị phát hiện là không an toàn ngay với máy tính cổ điển, hoặc thay đổi thiết kế để tránh đặt bí mật có thể giải mã lên chain.

Trong ngắn hạn, ưu tiên bảo mật triển khai — không phải giảm nhẹ đe dọa lượng tử.

Đặc biệt với nguyên thủy mật mã phức tạp như {SNARKs} và chữ ký hậu lượng tử, lỗi chương trình và tấn công triển khai (kênh phụ, tiêm lỗi) sẽ là rủi ro bảo mật lớn hơn nhiều so với máy tính lượng tử liên quan đến mật mã trong vài năm tới.

Đầu tư ngay vào kiểm toán, kiểm thử fuzz, xác minh hình thức, cũng như chiến lược phòng thủ chiều sâu / bảo mật phân tầng — đừng để lo ngại lượng tử che mờ mối đe dọa lỗi chương trình cấp bách hơn!

Tài trợ phát triển máy tính lượng tử.

Một hệ quả an ninh quốc gia quan trọng của tất cả điều trên là, ta cần tiếp tục tài trợ và phát triển nhân tài cho máy tính lượng tử.

Nếu một đối thủ chính đạt được năng lực tính toán lượng tử liên quan đến mật mã trước Mỹ, đó sẽ là rủi ro an ninh quốc gia nghiêm trọng với chúng ta và phần còn lại của thế giới.

Giữ góc nhìn đúng về các thông báo máy tính lượng tử.

Khi phần cứng lượng tử trưởng thành, vài năm tới sẽ có nhiều cột mốc. Trớ trêu thay, chính tần suất các thông báo này lại chứng minh chúng ta còn xa máy tính lượng tử liên quan đến mật mã: mỗi cột mốc là một cây cầu cần vượt qua, và mỗi lần vượt là