‘Ngày Q’ của điện toán lượng tử: Khủng hoảng an ninh mạng chưa từng có?
Giới công nghệ đang đếm ngược đến “Ngày Q”, ngày điện toán lượng tử đạt tới khả năng “bẻ khóa” mọi cơ chế bảo mật đang giúp bảo vệ phần lớn thông tin liên lạc trên mạng Internet.
Nhanh hơn dự kiến
"Đó là ngày mà mọi người, có thể là các đối thủ, sẽ có quyền truy cập vào một máy tính lượng tử có thể phá vỡ các mật mã đang được sử dụng" - Michele Mosca, đồng sáng lập kiêm CEO của công ty an ninh mạng EvolutionQ, cho biết.
"Ngày Q" đánh dấu thời điểm máy tính lượng tử tích lũy đủ tài nguyên và độ ổn định để bẻ khóa mật mã thông thường. Khi điều đó xảy ra, mọi giao dịch tài chính, hồ sơ y tế, email, lịch sử vị trí và ví tiền mã hóa được bảo vệ bởi các thuật toán phổ biến hiện nay đều có thể bị xâm nhập bởi một cỗ máy có khả năng giải các bài toán phức tạp đang giữ cho dữ liệu nhạy cảm được an toàn.
Các chuyên gia đã biết về rủi ro giả định của "Ngày Q" từ thập niên 1990. Nhưng Google gần đây cảnh báo rằng ngày đó có thể đến vào năm 2029 — mốc thời gian thu hẹp đáng kể so với dự đoán trước đó của nhiều chuyên gia an ninh mạng.
Tại bước ngoặt thay đổi cuộc chơi đó, "mọi thứ đang an toàn đột nhiên không còn an toàn nữa. Đó là một bước nhảy rất đột ngột," Mosca mô tả.
Kẻ xấu có thể đã đang thu thập dữ liệu mã hóa, với ý định thực hiện các cuộc tấn công "thu hoạch bây giờ, giải mã sau." Trong kịch bản này, thông tin bị đánh cắp, lưu trữ và sau đó được giải mã khi máy tính lượng tử sẵn sàng, ông nói thêm.
Mosca là đồng tác giả của Báo cáo Dòng thời gian Mối đe dọa Lượng tử, được công bố bởi Viện Rủi ro Toàn cầu tại Toronto. Ấn bản công bố ngày 9 tháng 3 đã dựa trên ý kiến của 26 chuyên gia, dự đoán rằng một máy tính lượng tử có khả năng phá mã mật mã là "hoàn toàn có thể" trong vòng 10 năm tới, và "có khả năng cao" trong 15 năm tới. "Nhiều tổ chức có thể không biết rằng họ hiện đang bị phơi bày trước mức độ rủi ro không thể chấp nhận được, đòi hỏi hành động khẩn cấp," các tác giả báo cáo viết.
“Trụ đỡ” vô hình bị đe dọa
Mật mã học là hệ thống vô hình đằng sau sự vận hành của nền kinh tế toàn cầu. Phần lớn bảo mật Internet hiện dựa trên mã hóa khai thác một đặc tính kỳ lạ của toán học: Trong khi nhân các số tương đối dễ dàng, quá trình chia lại ngược lại. Được gọi là RSA — được đặt theo tên của Ron Rivest, Adi Shamir và Leonard Adleman — đây là một trong những thuật toán mã hóa phổ biến nhất. Báo cáo Dòng thời gian Mối đe dọa Lượng tử định nghĩa máy tính có khả năng phá mã là máy tính bẻ khóa mã hóa RSA trong 24 giờ.
Khác với máy tính tiêu chuẩn xử lý thông tin tuần tự bằng bit (0 hoặc 1), máy tính lượng tử sử dụng "qubit" có thể biểu diễn 0, 1 hoặc cả hai đồng thời. Đặc tính này cho phép máy tính lượng tử lưu trữ và xử lý thông tin phức tạp hơn rất nhiều.
Thách thức chính mà lĩnh vực này cần vượt qua là tạo ra các qubit bền hơn. Các linh kiện nhạy cảm này thường chỉ hoạt động trong môi trường chân không cực lạnh, những điều kiện giúp giữ chúng ổn định và ít bị lỗi hơn.
"Phát súng cảnh báo"
Máy tính lượng tử trong tương lai có thể phá vỡ mật mã thế hệ thứ hai bảo vệ tiền mã hóa và các hệ thống khác với số lượng qubit ít hơn nhiều so với nhận định trước đây, theo một báo cáo đồng tác giả bởi nhân viên Google và các học giả tại Đại học California, Berkeley, Đại học Stanford và Ethereum Foundation, một tổ chức phi lợi nhuận hỗ trợ blockchain Ethereum.
Được biết đến với tên gọi “mật mã đường cong elip” hay ECC, kỹ thuật mã hóa này sử dụng toán học phức tạp hơn thuật toán RSA. Nó dựa vào các phương trình có thể biểu diễn dưới dạng đường cong trên đồ thị, và tạo ra khóa mã hóa dựa trên các điểm khác nhau trên đường đó.
Tuy nhiên, Google cho biết trong bài đăng rằng nhóm nghiên cứu đã phát hiện mức giảm khoảng 20 lần số lượng qubit vật lý cần thiết để giải bài toán cơ bản làm nền tảng cho ECC. Công ty nói thêm rằng họ đã phát triển một phương pháp mới để mô tả các lỗ hổng bảo mật mà máy tính lượng tử trong tương lai đặt ra, "để chúng có thể được xác minh mà không cung cấp lộ trình cho kẻ xấu."
Hầu hết các công nghệ blockchain và tiền mã hóa hiện dựa vào ECC cho các khía cạnh quan trọng của bảo mật, báo cáo cho biết. Mặc dù các giải pháp bảo vệ khả thi có tồn tại, bài viết nhấn mạnh "chúng sẽ cần thời gian để triển khai, làm tăng tính cấp bách của việc hành động."
Báo cáo có thể coi là một "phát súng cảnh báo", đặc biệt với cộng đồng tiền mã hóa. Theo Catherine Mulligan, học giả thỉnh giảng và nghiên cứu viên tại Viện Khoa học và Công nghệ An ninh thuộc Đại học Hoàng gia London, đặc tính phi tập trung của tiền mã hóa khiến việc nâng cấp bảo mật cần có sự đồng thuận giữa các kỹ sư. Họ có xu hướng tranh cãi rất nhiều về cách thực hiện các nâng cấp đó. Tuy nhiên, tin tốt là là các chính phủ, bao gồm Hoa Kỳ và Vương quốc Anh, đã công bố các tiêu chuẩn cho mật mã thời hậu lượng tử.
Các hướng dẫn này chủ yếu liên quan đến nâng cấp phần mềm dựa trên toán học "phức tạp hơn nhiều bậc" so với các phương pháp truyền thống, Mulligan cho biết. Ngoài ra, một số công ty và chính phủ có thể kết hợp điều đó với mật mã khóa lượng tử, đặc biệt cho thông tin có độ nhạy cảm cao.
Mật mã này cho phép hai bên muốn chia sẻ dữ liệu nhạy cảm phải thiết lập một khóa mã hóa an toàn với tính bảo mật được đảm bảo bởi các định luật vật lý, chứ không phải độ khó tính toán của một bài toán. Giao thức này được hình thành lần đầu vào thập niên 1980, sử dụng các photon ánh sáng để tạo ra khóa bảo mật giữa hai bên. Tuy nhiên, phương pháp này đòi hỏi phần cứng chuyên dụng có thể khiến nó đắt đỏ và khó triển khai hơn.
Chống tấn công mạng lượng tử: Ưu tiên bảo vệ thiết bị y sinh
Hồ sơ sức khỏe điện tử và thông tin di truyền có thể là mục tiêu hàng đầu cho các kiểu tấn công mạng bằng máy tính lượng tử. "Bạn có thể nâng cấp phần mềm, nhưng bạn không thể thực sự nâng cấp ADN của mình," Mulligan nói.
Seoyoon Jang, nghiên cứu sinh tiến sĩ ngành kỹ thuật điện và khoa học máy tính tại Viện Công nghệ Massachusetts (MIT), đang nghiên cứu cách bảo vệ các thiết bị y sinh như bơm insulin và máy tạo nhịp tim khỏi các cuộc tấn công tiềm tàng. Những thiết bị nhỏ bé, được sử dụng rộng rãi này thường quá hạn chế về năng lượng để chạy các giao thức bảo mật đòi hỏi nhiều tính toán.
Cô đưa ra kịch bản xấu nhất trong đó thiết bị bên ngoài, thường là điện thoại thông minh kết nối với bơm insulin để điều chỉnh liều lượng, bị tấn công. "Khi chúng ta tiến vào thời đại giám sát sức khỏe từ xa, những thiết bị này sẽ có mặt ở khắp nơi." Jang nói.
Cùng với các đồng nghiệp, Jang đã phát triển một vi mạch có kích thước tương đương đầu kim cực nhỏ, tích hợp sẵn biện pháp bảo vệ cần thiết cho an ninh mạng hậu lượng tử. Thiết bị đạt hiệu suất năng lượng cao gấp 20 đến 60 lần so với các kỹ thuật bảo mật mà họ so sánh.
Công trình tiên phong được tài trợ một phần bởi Cơ quan Dự án Nghiên cứu Tiên tiến về Y tế hay ARPA-H, trực thuộc Bộ Y tế và Dịch vụ Nhân sinh Mỹ. Jang cho biết đây là con chip đầu tiên thực sự cố gắng thu hẹp khoảng cách về bảo vệ thiết bị khỏi công nghệ lượng tử.
'Ngày Q' chưa phải tận thế
Một số nhà nghiên cứu so sánh mối đe dọa lượng tử với sự cố Y2K. "Tôi biết rằng chúng ta có những kịch bản ngày tận thế," Mulligan nói. "Về cơ bản, lý do không có sự cố Y2K là vì mọi người đã nỗ lực đủ nhiều để đảm bảo chúng ta không gặp phải nó." Mulligan cho biết bà nghĩ đó có lẽ cũng là điều sẽ xảy ra với mối đe dọa lượng tử đối với an ninh mạng.
Tuy nhiên, liệu mối đe dọa mới có được ứng phó đủ khẩn trương hay không vẫn chưa rõ ràng. Hơn 90% doanh nghiệp vẫn thiếu lộ trình xử lý các mối đe dọa an ninh này, theo dữ liệu được McKinsey trích dẫn.
Chi phí tiềm tàng của việc không chuẩn bị đầy đủ là chóng mặt. Một báo cáo năm 2023 của Viện Hudson, ước tính rằng một cuộc tấn công mạng bằng máy tính lượng tử vào Dịch vụ Chuyển tiền Fedwire của Cục Dự trữ Liên bang Mỹ có thể kích hoạt sụp đổ tài chính và dẫn đến suy thoái kinh tế kéo dài 6 tháng.
Dustin Moody, nhà toán học tham gia vào lĩnh vực mật mã hậu lượng tử tại Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) cho biết các công ty lớn, đa quốc gia nhận thức rõ về mối đe dọa và "đang hành động khá nhanh." Tuy nhiên, ông nói rằng có giới hạn cho những gì cá nhân và doanh nghiệp nhỏ có thể làm.
Nhà Trắng khuyến nghị năm 2035 là năm mà các tổ chức nên hoàn tất việc áp dụng mật mã hậu lượng tử, Moody cho biết. NIST đã hoàn thiện một bộ thuật toán mã hóa vào năm 2024 được thiết kế để chống chịu các cuộc tấn công mạng từ máy tính lượng tử.
"Nếu mọi người chuyển đổi đúng hạn, chúng ta sẽ ổn, nhưng vấn đề là điều đó sẽ không xảy ra trong thực tế. Chúng ta đã có các cuộc chuyển đổi cách mã hóa trong quá khứ, thường mất từ 10 đến 20 năm. Cuộc chuyển đổi lần này sẽ phức tạp hơn và tốn kém hơn các lần trước. Vì vậy, nếu một máy tính lượng tử xuất hiện trong năm năm nữa, quá trình chuyển đổi sẽ chưa bắt kịp." Moody nhấn mạnh
Hơn nữa, trong khi các tổ chức áp dụng biện pháp bảo vệ an toàn lượng tử, làm vậy chỉ bảo vệ được dữ liệu trong tương lai trước mối. Trong khi đó, rủi ro rằng các cuộc tấn công "lưu trữ bây giờ, giải mã sau" có thể đang được tiến hành.
Báo cáo Dòng thời gian Mối đe dọa Lượng tử cho biết đặc biệt khó đánh giá rủi ro lượng tử đối với an ninh mạng vì các nỗ lực nghiên cứu bí mật. Điều đó có thể đồng nghĩa với việc các tiến bộ trong công nghệ này đang bị che giấu khỏi tầm mắt.
Google cho biết rằng họ đang nhắm mục tiêu năm 2029 "để bảo đảm kỷ nguyên lượng tử" bằng mật mã hậu lượng tử. Mốc thời gian phản ánh những tiến bộ trong lĩnh vực điện toán lượng tử, công ty cho biết. "Bằng cách này, chúng tôi hy vọng cung cấp sự rõ ràng và tính cấp bách cần thiết để tăng tốc chuyển đổi kỹ thuật số không chỉ cho Google mà còn cho toàn ngành," Google tuyên bố trong một bài đăng trên blog. Tương tự, công ty dịch vụ điện toán đám mây CloudFlare cũng thông báo hiện cũng đang nhắm mục tiêu năm 2029.
.jpg)