Post-Quantum Cryptography

Định nghĩa

Post-Quantum Cryptography (PQC), thường được dịch sang tiếng Việt là mật mã hậu lượng tử hoặc mật mã kháng lượng tử, là một nhánh chuyên sâu của mật mã học hiện đại, tập trung vào việc thiết kế, phân tích và tiêu chuẩn hóa các hệ thống mật mã cổ điển — tức là hoạt động trên các kiến trúc máy tính cổ điển (von Neumann) — nhưng có khả năng duy trì tính bảo mật ngay cả khi đối mặt với các máy tính lượng tử đủ mạnh để phá vỡ các thuật toán mật mã hiện hành như RSA, ECC (Elliptic Curve Cryptography) hay Diffie–Hellman. Thuật ngữ "post-quantum" không hàm ý rằng các thuật toán này được thực thi trên máy tính lượng tử, mà chỉ nhấn mạnh rằng chúng được xây dựng sau và đối phó với sự xuất hiện của mối đe dọa lượng tử — cụ thể là khả năng khai thác các thuật toán lượng tử như Shor’s algorithm để phân tích thừa số nguyên lớn hoặc giải bài toán logarit rời rạc trong thời gian đa thức.

Từ góc độ lý thuyết tính toán, PQC thuộc về lớp các bài toán được giả định là khó giải ngay cả với mô hình tính toán lượng tử BQP (Bounded-error Quantum Polynomial time). Điều này khác biệt căn bản với mật mã lượng tử (quantum cryptography), vốn sử dụng các nguyên lý cơ học lượng tử (như rối lượng tử hay nguyên lý bất định) để thực hiện các giao thức truyền thông an toàn — ví dụ như Quantum Key Distribution (QKD). Trong khi QKD phụ thuộc vào phần cứng lượng tử vật lý và có giới hạn khoảng cách, độ tin cậy kênh và chi phí triển khai, thì PQC hoàn toàn tương thích với hạ tầng CNTT hiện hữu: nó chỉ yêu cầu thay đổi phần mềm và giao thức, không cần thay thế thiết bị đầu cuối, mạng hay hệ điều hành. Đây chính là lý do khiến PQC được xem là giải pháp khả thi và ưu tiên hàng đầu cho chiến lược chuyển đổi an ninh mạng toàn cầu trong thập kỷ tới.

Một đặc điểm then chốt cần làm rõ là PQC không phải là một thuật toán đơn lẻ, mà là một gia đình các phương pháp mật mã học dựa trên các bài toán toán học nền tảng khác nhau — từ lý thuyết lưới (lattices), mã sửa lỗi (coding theory), đa thức nhiều biến (multivariate polynomials), đến đường cong siêu elliptic và hàm băm dựa trên cấu trúc (hash-based signatures). Mỗi lớp thuật toán đều có những đặc trưng về độ phức tạp tính toán, kích thước khóa, hiệu năng xử lý và mức độ đã được kiểm chứng bởi cộng đồng nghiên cứu. Việc lựa chọn và tiêu chuẩn hóa các thuật toán PQC không chỉ là vấn đề kỹ thuật thuần túy, mà còn gắn liền với các yếu tố chiến lược quốc gia, chủ quyền dữ liệu, tuân thủ quy định pháp lý (như GDPR, Luật An ninh mạng Việt Nam) và khả năng tương tác liên hệ giữa các hệ thống thông tin xuyên biên giới.

Lịch sử và nguồn gốc

Nguồn gốc trực tiếp của Post-Quantum Cryptography bắt đầu từ năm 1994, khi nhà khoa học Peter W. Shor công bố thuật toán lượng tử mang tên ông — Shor’s algorithm — chứng minh rằng một máy tính lượng tử đủ lớn và ổn định có thể giải bài toán phân tích thừa số nguyên và logarit rời rạc trong thời gian đa thức, tức là với độ phức tạp O((log N)³), trái ngược hoàn toàn với độ phức tạp hàm mũ trên máy tính cổ điển. Phát hiện này lập tức làm lung lay nền tảng của gần như toàn bộ hạ tầng mật mã bất đối xứng hiện hành, vốn chiếm hơn 95% các giao thức bảo mật trên Internet (HTTPS, TLS 1.2/1.3, SSH, S/MIME, PKI…). Từ thời điểm đó, giới khoa học nhận ra rằng việc chuẩn bị trước cho một thế giới mà các thuật toán RSA-2048 hay ECC-256 không còn an toàn không phải là vấn đề của tương lai xa, mà là nhiệm vụ cấp bách của hiện tại — vì dữ liệu bị thu thập hôm nay (thông tin y tế, tài chính, ngoại giao) có thể bị lưu trữ và giải mã sau này khi máy tính lượng tử khả thi xuất hiện — hiện tượng được gọi là harvest now, decrypt later (thu thập ngay, giải mã sau).

Giai đoạn hình thành sơ khai (1996–2005) chứng kiến sự ra đời của nhiều đề xuất nền tảng: năm 1996, Hoffstein, Pipher và Silverman đề xuất hệ mật NTRU dựa trên lý thuyết lưới; năm 1978, McEliece đưa ra hệ mật mã dựa trên mã tuyến tính (code-based), trở thành một trong những ứng cử viên lâu đời nhất và chưa từng bị phá vỡ dù đã tồn tại hơn 45 năm; năm 2001, Courtois, Fiat và Shamir đề xuất chữ ký đa thức nhiều biến (MQ signature); và năm 2008, Bernstein và các cộng sự khởi xướng tiếp cận dựa trên hàm băm (hash-based signatures), dẫn đến chuẩn IETF RFC 8554 (XMSS) và RFC 8391 (LMS). Tuy nhiên, trong suốt hai thập kỷ đầu, các thuật toán PQC chủ yếu tồn tại trong phòng thí nghiệm, thiếu sự quan tâm từ phía công nghiệp và chưa có cơ chế đánh giá độc lập, hệ thống.

Bước ngoặt lịch sử diễn ra vào tháng 12 năm 2016, khi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) chính thức khởi động Quá trình Tiêu chuẩn Hóa Mật mã Hậu Lượng Tử (NIST Post-Quantum Cryptography Standardization Process). Đây là một sáng kiến toàn cầu, mở cửa cho mọi tổ chức, trường đại học và cá nhân trên thế giới gửi hồ sơ ứng tuyển. Giai đoạn 1 thu thập được 82 đề xuất; giai đoạn 2 (2017–2019) loại xuống còn 26 ứng cử viên tiến vào vòng đánh giá sâu; giai đoạn 3 (2020–2022) rút gọn còn 7 thuật toán lọt vào vòng chung kết và 8 thuật toán dự bị. Ngày 5 tháng 7 năm 2022, NIST công bố bốn thuật toán được chọn làm tiêu chuẩn đầu tiên: CRYSTALS-Kyber (cho trao đổi khóa), CRYSTALS-Dilithium (chữ ký số chính), FALCON (chữ ký số nhẹ cho thiết bị có tài nguyên hạn chế) và SPHINCS+ (chữ ký dựa trên hàm băm, dùng làm dự phòng). Đến tháng 8 năm 2024, NIST bổ sung thêm ba thuật toán nữa vào danh sách tiêu chuẩn: BIKE và HQC (cho trao đổi khóa dựa trên mã sửa lỗi), và GeMSS (chữ ký đa thức nhiều biến). Quá trình này không chỉ thiết lập khuôn khổ kỹ thuật mà còn tạo ra một hệ sinh thái đánh giá minh bạch, thúc đẩy hàng trăm công trình nghiên cứu, thử nghiệm triển khai thực tế và tích hợp vào các thư viện mã nguồn mở như OpenSSL, Open Quantum Safe, liboqs và Bouncy Castle.

Đặc điểm và tính chất

Mật mã hậu lượng tử sở hữu một tập hợp đặc điểm kỹ thuật và toán học phân biệt rõ ràng so với mật mã cổ điển, phản ánh cả yêu cầu bảo mật mới lẫn ràng buộc thực tiễn của môi trường triển khai. Các đặc điểm này không chỉ ảnh hưởng đến hiệu năng mà còn quyết định khả năng áp dụng rộng rãi trong các hệ thống khác nhau — từ máy chủ đám mây đến vi điều khiển IoT, từ thẻ thông minh đến hệ thống SCADA công nghiệp.

• Tính kháng lượng tử được chứng minh dựa trên các giả thuyết tính toán vững chắc: Khác với RSA hay ECC — an toàn dựa trên độ khó chưa được chứng minh tuyệt đối của các bài toán số học — các thuật toán PQC thường dựa trên các bài toán đã được nghiên cứu kỹ trong nhiều thập kỷ và có liên hệ chặt chẽ với các bài toán NP-khó hoặc giả-NP-khó trong các mô hình tính toán cổ điển và lượng tử. Ví dụ, bài toán Shortest Vector Problem (SVP) trong mạng lưới (lattice) được chứng minh là khó ngay cả với máy tính lượng tử nếu sử dụng các phép xấp xỉ phù hợp; bài toán giải mã ngẫu nhiên trong mã Goppa (McEliece) vẫn chưa có thuật toán lượng tử hiệu quả nào vượt qua được độ phức tạp hàm mũ.
• Kích thước khóa và chữ ký lớn hơn đáng kể: Do bản chất toán học, hầu hết thuật toán PQC yêu cầu kích thước khóa công khai và chữ ký lớn hơn nhiều lần so với ECC. Chẳng hạn, khóa Kyber768 có độ dài 1.184 byte, trong khi khóa ECDSA-P256 chỉ khoảng 64 byte; chữ ký Dilithium3 chiếm 3.293 byte, so với 72 byte của ECDSA. Điều này gây áp lực lên băng thông mạng, dung lượng lưu trữ và bộ nhớ đệm — đặc biệt nghiêm trọng trong các hệ thống nhúng, cảm biến không dây hoặc giao thức thời gian thực như CAN bus trong ô tô.
• Hiệu năng tính toán không đồng đều giữa các lớp thuật toán: Một số thuật toán như lattice-based (Kyber, Dilithium) có hiệu năng mã hóa/giải mã tốt nhờ các phép toán vector-matrix trên trường hữu hạn, dễ tối ưu hóa bằng phần cứng (SIMD, AVX2) và phần mềm (kỹ thuật Montgomery reduction). Ngược lại, các thuật toán code-based (BIKE, HQC) đòi hỏi xử lý ma trận thưa với độ phức tạp cao hơn, còn hệ thống đa thức nhiều biến (GeMSS) chịu ảnh hưởng nặng nề bởi chi phí ký và xác minh do phải giải hệ phương trình bậc hai. Vì vậy, việc lựa chọn thuật toán phải cân nhắc kỹ lưỡng giữa bảo mật, kích thước và tốc độ trong từng bối cảnh ứng dụng cụ thể.

Một đặc điểm quan trọng khác là tính trạng thái (stateful) và không trạng thái (stateless). Các sơ đồ chữ ký dựa trên hàm băm như XMSS và LMS là stateful — nghĩa là mỗi khóa riêng tư phải được sử dụng đúng một lần để đảm bảo an toàn, và hệ thống phải quản lý trạng thái đếm số lần ký — điều này gây khó khăn trong môi trường phân tán hoặc không đáng tin cậy. Trong khi đó, Dilithium và Falcon là stateless, cho phép sử dụng cùng một khóa riêng tư vô hạn lần mà không làm suy giảm bảo mật — đây là yêu cầu thiết yếu cho PKI truyền thống và các hệ thống chứng thực người dùng quy mô lớn.

Phân loại

Hệ mật dựa trên lý thuyết lưới (Lattice-Based Cryptography)

Đây là lớp thuật toán chiếm ưu thế trong tiêu chuẩn NIST, bao gồm Kyber (trao đổi khóa) và Dilithium/Falcon (chữ ký số). Cơ sở toán học nằm ở độ khó của các bài toán trên mạng lưới (lattice), như Shortest Independent Vectors Problem (SIVP), Learning With Errors (LWE) và Ring-LWE. Ưu điểm nổi bật là hiệu năng cao, khả năng chứng minh bảo mật dưới các giả thuyết mạnh, và tính linh hoạt để xây dựng cả hệ mật khóa công khai, chữ ký và thậm chí các giao thức tiên tiến như chứng minh không tiết lộ (zero-knowledge proofs) hay mật mã đồng cấu (homomorphic encryption). Nhược điểm chính là kích thước khóa và chữ ký còn khá lớn, và một số biến thể vẫn đang trong quá trình phân tích sâu về khả năng tấn công bên kênh (side-channel attacks).

Hệ mật dựa trên mã sửa lỗi (Code-Based Cryptography)

Đại diện tiêu biểu là McEliece (1978) và các biến thể hiện đại như BIKE và HQC — cả hai đều được NIST chọn làm tiêu chuẩn bổ sung. Hệ thống này dựa trên độ khó của bài toán giải mã ngẫu nhiên trong mã tuyến tính, đặc biệt là mã Goppa. McEliece nổi tiếng vì chưa từng bị phá vỡ trong hơn 45 năm, nhưng có nhược điểm lớn là kích thước khóa công khai rất lớn (hàng megabyte), gây cản trở triển khai thực tế. BIKE và HQC cải tiến bằng cách sử dụng mã quasi-cyclic và kỹ thuật nén, giảm kích thước xuống còn vài chục kilobyte, đồng thời duy trì độ an toàn cao. Lớp này đặc biệt phù hợp cho các ứng dụng yêu cầu độ bền dài hạn và ít nhạy cảm với kích thước khóa, như lưu trữ dữ liệu bí mật trong ngân hàng trung ương hoặc hệ thống quốc phòng.

Hệ mật dựa trên hàm băm (Hash-Based Cryptography)

SPHINCS+, XMSS và LMS thuộc nhóm này, trong đó chữ ký được xây dựng hoàn toàn từ các hàm băm mật mã (như SHA-2, SHA-3, hoặc SHAKE). Bảo mật của chúng chỉ phụ thuộc vào tính chất chống va chạm và một chiều của hàm băm — những thuộc tính đã được kiểm chứng kỹ lưỡng trong hàng chục năm. Đây là lớp duy nhất trong PQC có bảo mật được chứng minh không điều kiện (unconditional security), miễn là hàm băm cơ sở là an toàn. Tuy nhiên, chúng chỉ hỗ trợ chữ ký số, không thể dùng cho trao đổi khóa hay mã hóa, và yêu cầu quản lý trạng thái nghiêm ngặt (trừ SPHINCS+, vốn là stateless nhưng có kích thước chữ ký rất lớn — lên đến 41 KB cho mức bảo mật 128 bit).

Hệ mật đa thức nhiều biến (Multivariate Polynomial Cryptography)

GeMSS và Rainbow (đã bị loại khỏi vòng chung kết do bị tấn công hiệu quả năm 2022) thuộc nhóm này. Chúng xây dựng hệ mật từ hệ phương trình đa thức bậc hai trên các trường hữu hạn. Ưu điểm là tốc độ ký rất nhanh và kích thước khóa nhỏ, nhưng xác minh chậm và dễ bị tấn công đại số nếu cấu trúc không được thiết kế cẩn thận. GeMSS sử dụng kỹ thuật “hidden field equations” và “unbalanced oil and vinegar” để tăng độ phức tạp đại số, và hiện là lựa chọn được NIST chấp nhận cho các ứng dụng đặc thù yêu cầu hiệu năng ký cực cao trên phần cứng hạn chế.

Cơ chế hoạt động

Cơ chế hoạt động của Post-Quantum Cryptography không dựa trên một nguyên lý duy nhất, mà tùy thuộc vào lớp toán học nền tảng. Tuy nhiên, có thể khái quát chung qua ba bước cốt lõi: (1) Thiết lập tham số — chọn các cấu trúc toán học (ví dụ: một mạng lưới trên ℤ_qⁿ, một mã tuyến tính nhị phân, hoặc một tập hợp đa thức bậc hai), (2) Khởi tạo khóa — sinh cặp khóa công khai/bí mật sao cho việc tính khóa bí mật từ khóa công khai tương đương với việc giải một bài toán khó đã nêu, và (3) Thực thi giao thức — sử dụng các phép toán xác định (nhân ma trận, đánh giá đa thức, giải hệ phương trình, hoặc duyệt cây Merkle) để mã hóa, giải mã, ký hoặc xác minh. Ví dụ, trong Kyber, trao đổi khóa dựa trên giả thuyết Learning With Errors: bên gửi chọn một vector ngẫu nhiên và thêm nhiễu nhỏ (error) vào tích ma trận với khóa công khai của bên nhận; bên nhận sau đó khôi phục thông tin chung bằng cách loại bỏ nhiễu nhờ khóa bí mật của mình — nhiễu này là yếu tố khiến thuật toán Shor không thể áp dụng, vì nó phá vỡ tính cấu trúc đại số mà Shor cần khai thác.

Ứng dụng thực tế

Post-Quantum Cryptography đang được triển khai trong nhiều lĩnh vực then chốt. Trong hạ tầng Internet, các trình duyệt Chrome, Firefox và Edge đã tích hợp thử nghiệm hỗ trợ Kyber trong TLS 1.3 qua tùy chọn hybrid key exchange (kết hợp X25519 + Kyber768), cho phép duy trì bảo mật ngay cả nếu một trong hai thuật toán bị phá vỡ. Các nhà cung cấp dịch vụ đám mây như Google Cloud, AWS và Microsoft Azure đã công bố lộ trình tích hợp PQC vào khóa quản lý (KMS), chứng chỉ số và API bảo mật. Trong lĩnh vực tài chính, Ngân hàng Trung ương châu Âu (ECB) và Ngân hàng Nhà nước Việt Nam đã đưa PQC vào chương trình nâng cấp PKI quốc gia, nhằm bảo vệ giao dịch ngân hàng điện tử và hệ thống thanh toán liên ngân hàng. Các hệ thống ID kỹ thuật số như ePassport, thẻ căn cước công dân điện tử và chứng thư số cho doanh nghiệp cũng đang bắt đầu thử nghiệm chữ ký Dilithium thay thế cho RSA-2048. Ngoài ra, PQC còn được ứng dụng trong chuỗi cung ứng an toàn (secure firmware update cho thiết bị IoT), hệ thống điều khiển công nghiệp (ICS/SCADA), và thậm chí trong các giao thức truyền thông quân sự như STANAG 4609 của NATO.

Ưu điểm và hạn chế

Ưu điểm nổi bật nhất của PQC là khả năng bảo vệ hạ tầng thông tin hiện hữu trước mối đe dọa lượng tử mà không cần thay đổi kiến trúc phần cứng — điều khiến nó trở thành giải pháp duy nhất khả thi cho chuyển đổi an ninh mạng quy mô toàn cầu. Nó tương thích ngược với các giao thức hiện hành (TLS, CMS, X.509), dễ tích hợp vào thư viện mã nguồn mở và có thể triển khai theo mô hình lai (hybrid), kết hợp cả thuật toán cổ điển và hậu lượng tử để đảm bảo an toàn kép. Về mặt lý thuyết, nhiều thuật toán PQC đã được chứng minh an toàn dưới các giả thuyết mạnh, và một số (như McEliece, SPHINCS+) có lịch sử kiểm chứng thực tế kéo dài hàng chục năm.

Tuy nhiên, hạn chế cũng rất rõ ràng. Thứ nhất, kích thước khóa và chữ ký lớn gây áp lực lên băng thông, lưu trữ và hiệu năng — đặc biệt nghiêm trọng trong các thiết bị IoT, thẻ thông minh và hệ thống thời gian thực. Thứ hai, độ phức tạp trong triển khai và quản lý khóa tăng cao: cần cập nhật cơ sở hạ tầng PKI, điều chỉnh chính sách chứng thư, đào tạo nhân sự và kiểm thử lại toàn bộ chuỗi xác thực. Thứ ba, một số thuật toán vẫn đang trong quá trình phân tích sâu về khả năng tấn công bên kênh (timing, power analysis), và chưa có nhiều dữ liệu thực nghiệm về độ bền trong điều kiện vận hành dài hạn. Cuối cùng, sự thiếu đồng bộ toàn cầu về tiêu chuẩn — ngoài NIST, các tổ chức như ISO/IEC JTC 1/SC 27, BSI Đức và Viện Tiêu chuẩn Quốc gia Trung Quốc (GM/T) cũng đang xây dựng chuẩn riêng — có thể dẫn đến rào cản tương tác và phân mảnh hệ sinh thái.

Lưu ý quan trọng

Khi triển khai Post-Quantum Cryptography, cần lưu ý rằng đây không phải là “cứ nâng cấp là xong”. Trước hết, cần thực hiện đánh giá tác động toàn diện lên toàn bộ hệ thống: từ các thư viện mã hóa (OpenSSL, BoringSSL), giao thức mạng (TLS, DTLS, IKEv2), hệ thống PKI (CA, RA, OCSP), đến các thiết bị phần cứng (HSM, TPM, secure element). Thứ hai, không nên loại bỏ hoàn toàn mật mã cổ điển ngay lập tức — mô hình hybrid là bắt buộc trong giai đoạn chuyển đổi để đảm bảo tính liên tục và dự phòng. Thứ ba, cần theo dõi sát các bản cập nhật bảo mật từ NIST và các tổ chức tiêu chuẩn quốc tế, vì một số thuật toán PQC có thể bị suy yếu hoặc loại bỏ sau các phân tích mới (như trường hợp Rainbow năm 2022). Thứ tư, việc quản lý khóa PQC đòi hỏi chiến lược mới: ví dụ, khóa lattice-based không thể tái sử dụng vô hạn trong mọi ngữ cảnh như RSA, và khóa hash-based yêu cầu cơ chế đồng bộ trạng thái nghiêm ngặt. Cuối cùng, cần tránh sai lầm phổ biến là “giả định PQC tự động an toàn hơn”: bảo mật cuối cùng vẫn phụ thuộc vào cách triển khai — một cài đặt lỗi thời, thiếu kiểm soát truy cập hoặc bị tấn công bên kênh sẽ làm mất toàn bộ lợi ích của thuật toán nền tảng.