MỐI ĐE DỌA LƯỢNG TỬ ĐỐI VỚI MẬT MÃ HIỆN TẠI

Trong bối cảnh chuyển đổi số toàn cầu, mật mã đóng vai trò nền tảng bảo đảm tính an toàn và tin cậy cho mọi hoạt động truyền thông và giao dịch điện tử. Tuy nhiên, sự xuất hiện của máy tính lượng tử - với khả năng xử lý song song dựa trên các hiện tượng cơ học lượng tử như chồng chập và vướng víu - đang tạo ra thách thức mang tính cách mạng đối với các hệ thống mật mã truyền thống. Hai thuật toán lượng tử chủ đạo được xem là nguồn gốc của mối đe dọa này.

Thứ nhất, thuật toán Shor (năm 1994) có thể phân tích số nguyên lớn và giải bài toán logarit rời rạc trong thời gian đa thức, làm mất hoàn toàn tính bảo mật của các hệ mật mã khóa công khai phổ biến như RSA và ECC (ECDSA, ECDH) - vốn là nền tảng của hạ tầng khóa công khai (PKI), chữ ký số và giao thức bảo mật TLS.

Thứ hai, thuật toán Grover (1996) cho phép tăng tốc tìm kiếm vét cạn, làm giảm một nửa mức an toàn của các hệ mã hóa đối xứng như AES, buộc các hệ thống phải sử dụng độ dài khóa lớn hơn (ví dụ từ AES-128 lên AES-256) để duy trì mức bảo mật tương đương.

Viễn cảnh được gọi là “Ngày Q” (Q-Day) - thời điểm máy tính lượng tử đạt năng lực đủ mạnh để phá vỡ các thuật toán mật mã hiện nay - được nhiều chuyên gia dự báo có thể xảy ra trong vòng 10 đến 20 năm tới. Đặc biệt đáng lo ngại là kịch bản “lưu trữ trước, giải mã sau” (store now, decrypt later), trong đó kẻ tấn công có thể thu thập và lưu trữ dữ liệu mật từ thời điểm hiện tại nhằm chờ đợi công nghệ lượng tử đủ khả năng giải mã trong tương lai. Điều này đồng nghĩa với việc ngay cả những dữ liệu được bảo mật ngày nay cũng có thể không còn an toàn về lâu dài.

Đối với Việt Nam, khi tiến trình chuyển đổi số đang diễn ra mạnh mẽ, phần lớn hạ tầng trọng yếu của Chính phủ điện tử, tài chính - ngân hàng và viễn thông vẫn dựa trên các hệ mật mã cổ điển. Nếu các thuật toán này bị vô hiệu hóa, toàn bộ cơ chế chứng thực số và giao dịch điện tử sẽ bị ảnh hưởng nghiêm trọng, gây ra nguy cơ đối với an ninh quốc gia và chủ quyền số. Trước thực tế đó, ngành Cơ yếu Việt Nam đã sớm nhận diện nguy cơ và nhấn mạnh tầm quan trọng của việc nghiên cứu, phát triển và triển khai các thuật toán mật mã kháng lượng tử, nhằm chủ động xây dựng nền tảng bảo mật vững chắc trong kỷ nguyên hậu lượng tử.

CÁC HƯỚNG TIẾP CẬN MẬT MÃ TRONG KỶ NGUYÊN LƯỢNG TỬ

Trước thách thức mang tính bước ngoặt mà máy tính lượng tử đặt ra, cộng đồng mật mã quốc tế đang tập trung phát triển song song hai hướng tiếp cận chủ đạo: mật mã lượng tử (Quantum Cryptography) và mật mã hậu lượng tử (PostQuantum Cryptography - PQC). Mỗi hướng mang triết lý bảo mật riêng, phản ánh hai cách tiếp cận đối lập: dựa vào các định luật vật lý lượng tử hoặc củng cố nền tảng toán học của mật mã cổ điển.

Mật mã lượng tử - Phân phối khóa lượng tử

Mật mã lượng tử, với trọng tâm là phân phối khóa lượng tử (Quantum Key Distribution - QKD), sử dụng các nguyên lý cơ học lượng tử để thiết lập khóa bí mật chung giữa hai thực thể liên lạc. Độ an toàn của QKD không dựa trên giả định tính toán, mà dựa vào các định luật vật lý - nơi mọi hành vi nghe lén đều để lại dấu vết. Theo giao thức BB84, nếu một đối tượng thứ ba (Eve) cố gắng đo lường hay can thiệp vào các photon được truyền đi, trạng thái lượng tử của chúng sẽ thay đổi, cho phép hai bên hợp pháp (Alice và Bob) phát hiện ngay lập tức sự xâm nhập. Đây là ưu điểm vượt trội mà các hệ mật mã cổ điển không thể đạt được.

Tuy nhiên, QKD vẫn tồn tại nhiều giới hạn thực tiễn. Trước hết, QKD chỉ đảm nhiệm việc phân phối khóa, không mã hóa dữ liệu; các thông điệp vẫn cần được bảo vệ bằng mã đối xứng như AES. Thứ hai, công nghệ này đòi hỏi hạ tầng truyền dẫn chuyên biệt, chẳng hạn sợi quang hoặc liên kết quang học trong không gian tự do, vốn không thể triển khai trực tiếp trên mạng Internet hiện có. Thứ ba, chi phí và khoảng cách truyền là trở ngại lớn: tín hiệu photon bị suy hao nhanh, giới hạn trong vài trăm kilômét nếu không có trạm lặp tin cậy hoặc vệ tinh lượng tử (như vệ tinh Micius của Trung Quốc). Cuối cùng, QKD không tự giải quyết bài toán xác thực danh tính, nên vẫn phải kết hợp với các cơ chế khóa bí mật chia sẻ sẵn hoặc thuật toán PQC để ngăn chặn tấn công xen giữa (Man-in-the-Middle).

Vì những hạn chế trên, các cơ quan an ninh hàng đầu như NSA (Mỹ), BSI (Đức) và ANSSI (Pháp) khuyến nghị không triển khai QKD ở quy mô quốc gia, mà tập trung vào nghiên cứu và phát triển PQC như giải pháp khả thi, linh hoạt và có thể tích hợp ngay trên hạ tầng hiện hữu.

Mật mã hậu lượng tử

Khác với QKD, PQC hướng tới việc xây dựng các thuật toán bảo mật mới có khả năng chống lại tấn công lượng tử, nhưng vẫn hoạt động hiệu quả trên máy tính cổ điển. Các thuật toán PQC dựa trên những bài toán toán học có độ phức tạp cao, mà ngay cả máy tính lượng tử cũng không thể giải nhanh.

Các nhóm thuật toán PQC chủ yếu gồm:

- Mật mã dựa trên mạng (Lattice-based): Dựa trên độ khó của các bài toán trên mạng điểm, như LWE (Learning With Errors). Đây là hướng có tiềm năng nhất, cân bằng giữa hiệu năng và độ an toàn.

- Mật mã dựa trên mã (Code-based): Dựa trên việc giải mã các mã sửa lỗi, tiêu biểu là Classic McEliece, có độ an toàn cao nhưng kích thước khóa rất lớn.

- Mật mã dựa trên hàm băm (Hash-based): Sử dụng tính một chiều của hàm băm, với đại diện là SPHINCS+, có độ an toàn được hiểu rõ nhất nhưng kích thước chữ ký lớn.

- Các hướng khác như đa thức nhiều biến (Multivariate) hay isogeny-based, tuy nhiên một số thuật toán tiêu biểu (như Rainbow, SIKE) đã bị phá vỡ, cho thấy sự non trẻ của các dòng nghiên cứu này.

Chương trình chuẩn hóa PQC do Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) khởi xướng là cột mốc quan trọng trong tiến trình toàn cầu hóa mật mã hậu lượng tử. Tháng 7/2022, NIST công bố 04 thuật toán đầu tiên được lựa chọn để chuẩn hóa:

- Thỏa thuận khóa (KEM): CRYSTALS-Kyber (dựa trên Lattice).

- Chữ ký số: CRYSTALS-Dilithium, Falcon (cùng dựa trên Lattice).

- Chữ ký số dự phòng: SPHINCS+ (dựa trên hàm băm).

Ưu điểm nổi bật của PQC là khả năng tích hợp liền mạch vào hạ tầng hiện có, bao gồm các giao thức TLS, VPN, HSM, mà không yêu cầu thay đổi phần cứng quy mô lớn. Dù vậy, PQC vẫn đối mặt với thách thức về hiệu năng và kích thước khóa lớn hơn đáng kể so với RSA/ECC. Trong giai đoạn chuyển đổi, giải pháp được khuyến nghị là áp dụng mô hình mật mã lai (Hybrid Cryptography), kết hợp song song thuật toán cổ điển (như ECDH) với thuật toán PQC (như Kyber). Mô hình này tạo ra hai lớp bảo vệ độc lập, buộc kẻ tấn công phải phá vỡ đồng thời cả hai hệ để giải mã được thông tin, từ đó đảm bảo an toàn vững chắc trong giai đoạn chuyển tiếp sang kỷ nguyên hậu lượng tử.

THỰC TIỄN TRIỂN KHAI TRÊN THẾ GIỚI

Triển khai mật mã lượng tử (QKD)

Trên thế giới, Trung Quốc là quốc gia tiên phong trong nghiên cứu và ứng dụng công nghệ phân phối khóa lượng tử. Năm 2016, nước này đã phóng thành công vệ tinh lượng tử Micius, đánh dấu bước ngoặt trong việc truyền khóa lượng tử giữa các trạm mặt đất ở khoảng cách hàng nghìn kilômét. Bên cạnh đó, tuyến mạng cáp quang lượng tử Bắc Kinh - Thượng Hải, dài hơn 2.000 km đã được xây dựng để phục vụ các kênh truyền thông bảo mật giữa các cơ quan chính phủ và ngân hàng lớn.

Tại châu Âu, Liên minh châu Âu khởi động chương trình EuroQCI (European Quantum Communication Infrastructure) với mục tiêu xây dựng mạng lượng tử thống nhất toàn khu vực, kết hợp cả hạ tầng mặt đất và vệ tinh để hình thành “lá chắn lượng tử” châu Âu. Các quốc gia Nhật Bản, Hàn Quốc và Singapore cũng đã triển khai các mạng QKD thử nghiệm quy mô quốc gia, hướng đến ứng dụng trong lĩnh vực chính phủ điện tử và tài chính - ngân hàng.

Tuy nhiên, nhìn chung, QKD hiện vẫn ở giai đoạn thí điểm, chủ yếu phục vụ các ứng dụng đặc thù có yêu cầu bảo mật cực cao do chi phí đầu tư lớn, giới hạn khoảng cách truyền và yêu cầu hạ tầng kỹ thuật chuyên biệt.

Chuẩn hóa và triển khai mật mã hậu lượng tử

Khác với QKD, PQC đang trở thành hướng đi chủ đạo trong chiến lược bảo mật toàn cầu. Sau khi NIST công bố kết quả lựa chọn bốn thuật toán PQC đầu tiên (tháng 7/2022), cộng đồng quốc tế đã nhanh chóng thúc đẩy quá trình chuẩn hóa và triển khai thực tiễn.

Tổ chức IETF (Internet Engineering Task Force) đã xây dựng các dự thảo chuẩn RFC để tích hợp PQC vào các giao thức Internet cốt lõi như TLS, SSH và IPsec. Các tập đoàn công nghệ hàng đầu, điển hình là Google (với thử nghiệm CECPQ2 trên trình duyệt Chrome) và Cloudflare, đã tiến hành triển khai thử nghiệm PQC nhằm đánh giá hiệu năng và khả năng tương thích với hạ tầng hiện có.

Ở cấp chính sách, Hoa Kỳ ban hành Bản ghi nhớ An ninh Quốc gia số 10 (NSM-10) vào tháng 5/2022, yêu cầu tất cả cơ quan liên bang lập kế hoạch chuyển đổi sang các thuật toán hậu lượng tử trong những năm tới. Các cơ quan an ninh mạng hàng đầu châu Âu như BSI (Đức), NCSC (Anh) và ANSSI (Pháp) cũng đưa ra các khuyến nghị tương tự, khuyến khích sớm thử nghiệm PQC và chuẩn bị lộ trình chuyển đổi.

Tại Việt Nam, quá trình triển khai PQC đang ở giai đoạn khởi đầu. Ban Cơ yếu Chính phủ chỉ đạo Học viện Kỹ thuật mật mã tiến hành các đề tài nghiên cứu và thử nghiệm tích hợp PQC, trong đó có thuật toán CRYSTALS-Dilithium, vào các thiết bị phần cứng bảo mật (HSM) do Việt Nam tự phát triển. Đây là bước đi quan trọng nhằm chủ động chuẩn bị cho quá trình chuyển đổi sang môi trường an toàn hậu lượng tử trong các hệ thống thông tin trọng yếu của quốc gia.

Bảng 1. Các thuật toán mật mã hậu lượng tử được NIST lựa chọn (năm 2022)

CHIẾN LƯỢC VÀ KHUYẾN NGHỊ CHO VIỆT NAM

Để ứng phó hiệu quả với rủi ro lượng tử, Việt Nam cần một chiến lược chủ động, đồng bộ và theo lộ trình. Trước hết, xây dựng lộ trình chuyển đổi PQC cấp quốc gia do Ban Cơ yếu Chính phủ chủ trì: rà soát, phân loại và đánh giá rủi ro đối với các hệ thống trọng yếu - được định nghĩa cụ thể trong [6]; triển khai thí điểm PQC trên các tuyến, dịch vụ ưu tiên; từng bước chuyển sang mật mã lai (hybrid) để bảo đảm tính liên tục và khả năng tương thích. Song song, đẩy mạnh tự chủ công nghệ “Make in Vietnam”: phát triển thư viện PQC đạt chuẩn, tích hợp vào các sản phẩm chiến lược như HSM, VPN, phần mềm ký số, qua đó kiểm soát chất lượng, giảm phụ thuộc bên ngoài và chủ động nâng cấp khi tiêu chuẩn thay đổi.

Bên cạnh PQC, thí điểm QKD cho các kênh tối mật ở quy mô hẹp - giữa các cơ quan đầu não của Đảng, Nhà nước, Quân đội, Công an nhằm đánh giá tính khả dụng, chi phí và mô hình vận hành trong điều kiện hạ tầng Việt Nam. Về nguồn lực, đổi mới chương trình đào tạo tại các cơ sở trọng điểm (đặc biệt Học viện Kỹ thuật mật mã) theo hướng chuyên sâu về PQC/QKD, đồng thời nâng cao nhận thức cho nhà hoạch định chính sách và đội ngũ quản trị hệ thống về rủi ro “lưu trữ trước, giải mã sau” và yêu cầu crypto-agility. Cuối cùng, tăng cường hợp tác quốc tế: tham gia tích cực IETF, ETSI và các bệ thử liên thông; xây dựng dự án hợp tác với các đối tác giàu kinh nghiệm (Nhật Bản, EU, Singapore) để rút ngắn khoảng cách công nghệ và bảo đảm Việt Nam hòa nhịp với tiến trình chuẩn hóa hậu lượng tử toàn cầu.

KẾT LUẬN

Cuộc cách mạng lượng tử đang đặt ra thách thức căn bản cho nền mật mã hiện đại. Khi máy tính lượng tử đạt đủ năng lực tính toán, các thuật toán khóa công khai như RSA hay ECC sẽ mất an toàn, kéo theo nguy cơ giải mã dữ liệu được bảo vệ hôm nay trong tương lai. Bài viết đã phân tích rủi ro này, đặc biệt là kịch bản “lưu trữ trước, giải mã sau”, cùng hai hướng ứng phó chủ đạo. Đối với Việt Nam, việc xây dựng lộ trình chuyển đổi sang PQC là yêu cầu cấp thiết để bảo vệ chủ quyền số quốc gia. Chiến lược cần kết hợp triển khai mật mã lai, thí điểm QKD cho các kênh trọng yếu, song song với tự chủ công nghệ, đào tạo nhân lực và hợp tác quốc tế trong kỷ nguyên hậu lượng tử.

[Quý độc giả đón đọc Tạp chí An toàn thông tin số 5 (087) 2025 tại đây]