Lịch thời gian thực tế của mối đe dọa tính toán lượng tử đối với mật mã học: Đánh giá hợp lý các tranh cãi "5 năm, 10 năm hay lâu hơn"

Chúng ta thường nghe những tin đồn về những đột phá trong tính toán lượng tử. Nhưng liệu tính toán lượng tử có thực sự phá vỡ mã hóa hiện đại trong vòng năm năm tới không? Justin Thaler, đối tác nghiên cứu của a16z, trong phân tích sâu cho thấy, lịch trình về việc tính toán lượng tử sẽ đe dọa hệ thống mã hóa thường bị thổi phồng quá mức. Nghiên cứu này tiết lộ một thực tế cốt lõi: mặc dù tính toán lượng tử thực sự đặt ra rủi ro dài hạn, nhưng thời điểm xuất hiện của nó còn xa hơn nhiều so với nhiều người tuyên bố. Quan trọng hơn, các công cụ mã hóa khác nhau đối mặt với mức đe dọa hoàn toàn khác nhau — điểm khác biệt then chốt này thường bị bỏ qua.

Đe dọa của tính toán lượng tử đối với mã hóa không phải là một sự kiện đơn lẻ, mà là một vấn đề phức tạp cần phân tích chi tiết theo từng ứng dụng cụ thể. Bài viết này sẽ phân tích hệ thống các mốc thời gian thực, rủi ro thực tế và cách các ngành nên ứng phó.

Tiến bộ thực tế của tính toán lượng tử: Thực tế công nghệ vs Quảng cáo thương mại

Khi chúng ta nói về “tính toán lượng tử”, mọi người thường hình dung ra một máy tính lượng tử có khả năng phá vỡ các hệ thống mã RSA-2048 hoặc secp256k1 (được Bitcoin sử dụng, dựa trên elliptic curve). Loại máy tính này cần đáp ứng các điều kiện nghiêm ngặt: phải là loại chịu lỗi, có khả năng sửa lỗi, chạy thuật toán Shor, và quy mô đủ lớn để trong thời gian hợp lý (ví dụ trong vòng một tháng) có thể phá vỡ.

Dựa trên các báo cáo kỹ thuật công khai và đánh giá nguồn lực, chúng ta còn xa mới đạt được hệ thống như vậy. Mặc dù một số công ty tuyên bố có thể đạt được mục tiêu này vào năm 2030 hoặc thậm chí 2035, tiến bộ công nghệ hiện tại chưa hỗ trợ các dự đoán lạc quan đó. Hiện tại, các hệ thống ion trap, qubits siêu dẫn hay nguyên tử trung tính đều chưa gần đến quy mô cần thiết để phá RSA-2048. Việc phá vỡ loại mã này đòi hỏi hàng chục nghìn, thậm chí hàng triệu qubits vật lý — số lượng cụ thể phụ thuộc vào tỷ lệ lỗi và các phương pháp sửa lỗi.

Các giới hạn then chốt không chỉ nằm ở số lượng qubits, mà còn ở độ chính xác của các cổng logic, khả năng kết nối giữa các qubits, và độ sâu của mạch sửa lỗi cần thiết để chạy các thuật toán phức tạp. Hiện tại, một số hệ thống có hơn 1000 qubits vật lý, nhưng con số này mang tính gây hiểu lầm: chúng thiếu khả năng kết nối và độ chính xác cần thiết để thực hiện các tính toán phân tích mã hóa. Dù các hệ thống hiện đại gần đạt ngưỡng sửa lỗi lỗi vật lý, vẫn chưa ai có thể duy trì ổn định vài qubits logic, chưa nói đến hàng nghìn qubits logic chính xác cao, mạch sâu và tính toán chịu lỗi. Khoảng cách giữa chứng minh khái niệm và thực hiện phân tích mã hóa vẫn còn rất lớn.

Tại sao các tin tức lại gây nhầm lẫn như vậy?

Các bài báo thương mại và truyền thông thường gây ra sự nhầm lẫn. Các nguyên nhân chính gồm:

Hiện tượng “lợi thế lượng tử” gây hiểu lầm: Các nhiệm vụ hiện tại được trình diễn thường được thiết kế kỹ lưỡng, không phải là ứng dụng thực sự hữu ích, mà chỉ phù hợp để chạy trên phần cứng hiện có và trông có vẻ “nhanh”. Chi tiết quan trọng này thường bị bỏ qua trong các tuyên truyền.

Số lượng hàng nghìn qubits vật lý gây hiểu lầm: Thông thường, thuật ngữ này đề cập đến máy tính lượng tử dạng nhiệt (annealing), không phải máy tính dựa trên cổng (gate-based) có thể chạy Shor để phá mã công khai.

Lạm dụng thuật ngữ “qubits logic”: Qubits vật lý dễ bị ảnh hưởng bởi nhiễu, trong khi ứng dụng thực tế cần xây dựng “qubits logic” qua sửa lỗi. Chạy thuật toán Shor đòi hỏi hàng nghìn qubits logic, mỗi qubits này thường cần hàng trăm đến hàng nghìn qubits vật lý. Một số công ty tuyên truyền quá mức, nói rằng họ đạt được 48 qubits logic với mã sửa lỗi “độ-2” (chỉ phát hiện lỗi, không sửa), mỗi qubits logic chỉ cần 2 qubits vật lý — điều này hoàn toàn không chính xác.

Các lộ trình giả mạo trong kế hoạch phát triển: Nhiều dự án tuyên bố trong lộ trình của họ có “qubits logic” đủ lớn để chạy các thuật toán phức tạp, nhưng thực chất chỉ mới hỗ trợ các phép toán Clifford, có thể mô phỏng hiệu quả trên máy tính cổ điển, không đủ để chạy Shor với các “cổng phi-Clifford” như T-gate. Do đó, việc dự đoán đạt được hàng nghìn qubits logic trong thời gian tới không đồng nghĩa với khả năng phá mã công khai.

Những thực hành này làm méo mó nhận thức của công chúng (kể cả nhiều nhà quan sát có hiểu biết), gây ra sự lệch lạc trong hiểu biết về tiến trình của tính toán lượng tử.

Ngay cả các chuyên gia cũng phóng đại thời gian đe dọa

Ngay cả Scott Aaronson, một nhà nghiên cứu nổi tiếng về tính toán lượng tử, gần đây cũng nói rằng, xét tốc độ phát triển phần cứng “đáng kinh ngạc”, ông nghĩ rằng “trước cuộc bầu cử tổng thống Mỹ tiếp theo có thể xuất hiện máy tính lượng tử chịu lỗi, chạy Shor” là khả thi “thực sự”. Nhưng ông ngay lập tức làm rõ, điều này không có nghĩa là máy tính lượng tử có thể phá vỡ mã hóa — ngay cả việc có thể phân tích số 15=3×5 bằng phương pháp chịu lỗi, ông cho rằng đã đủ để đáp ứng lời hứa của mình. Đây vẫn chỉ là một ví dụ nhỏ, các thí nghiệm như vậy luôn nhắm vào số 15 vì tính toán modulo 15 rất đơn giản, còn các số lớn hơn như 21 thì phức tạp hơn nhiều.

Kết luận cốt lõi: Việc dự đoán trong vòng 5 năm tới sẽ có máy tính lượng tử có thể phá RSA-2048 hoặc secp256k1 — hai loại mã quan trọng đối với thực tế — không dựa trên các kết quả công nghệ công khai. Ngay cả khi mở rộng ra 10 năm, mục tiêu này vẫn còn rất xa vời. Do đó, sự phấn khích về tiến bộ không mâu thuẫn với đánh giá thời gian “cần hàng chục năm nữa”.

Hai loại đe dọa mã hóa có mức rủi ro hoàn toàn khác nhau

Chìa khóa để hiểu rõ mối đe dọa của tính toán lượng tử là nhận thức rằng các công cụ mã hóa khác nhau đối mặt với mức rủi ro hoàn toàn khác nhau. Sự khác biệt này cực kỳ quan trọng, nhưng thường bị bỏ qua.

“Hiện mã hóa, tương lai giải mã” chỉ dành cho một số công cụ

Cách thức hoạt động của tấn công “Harvest Now, Decrypt Later”: Kẻ tấn công thu thập dữ liệu mã hóa hiện tại, lưu trữ lại, chờ đến khi có máy tính lượng tử mới để giải mã. Các đối thủ cấp quốc gia có thể đã lưu trữ lượng lớn dữ liệu mã hóa của chính phủ Mỹ để giải mã sau này.

Loại tấn công này đe dọa trực tiếp các thuật toán mã hóa. Dữ liệu bí mật ngày nay, nếu mã hóa đúng cách, có thể vẫn còn giá trị trong nhiều thập kỷ tới, đến khi có máy tính lượng tử mới xuất hiện thì sẽ bị phá vỡ. Do đó, các hệ thống mã hóa cần chuyển sang mã hóa hậu lượng tử ngay lập tức, dù chi phí cao và có rủi ro. Đây là điều không thể tránh khỏi.

Tuy nhiên, tấn công này hoàn toàn không phù hợp với chữ ký số.

Chữ ký số đối mặt với rủi ro hoàn toàn khác

Chữ ký số (cơ sở của blockchain) không cần cung cấp tính bí mật để chống lại các tấn công phục hồi. Ngay cả khi có máy tính lượng tử, nó chỉ có thể giả mạo chữ ký trong tương lai, chứ không thể “giải mã” các chữ ký trong quá khứ. Miễn là bạn có thể chứng minh rằng chữ ký đó được tạo ra trước khi có máy tính lượng tử, thì chữ ký đó không thể bị giả mạo.

Điều này làm cho việc chuyển sang chữ ký hậu lượng tử ít cấp bách hơn so với chuyển đổi mã hóa. Các phương án chữ ký hậu lượng tử có chi phí (kích thước lớn hơn, hiệu năng thấp hơn, chưa hoàn thiện, có thể có lỗ hổng) cần được lên kế hoạch cẩn thận, không thể làm vội vàng.

Đặc tính riêng của chứng minh không kiến thức (zkSNARK)

Về zkSNARK, tình hình tương tự như chữ ký. Ngay cả khi zkSNARK sử dụng các thuật toán elliptic curve không chống lượng tử, thì tính “không kiến thức” của nó đã là đặc tính chống lượng tử. Tính năng này đảm bảo rằng chứng minh không tiết lộ thông tin bí mật — kể cả với máy tính lượng tử, cũng không thể tiết lộ — do đó không có “hiện lấy đi, tương lai giải mã” các bí mật. Vì vậy, zkSNARK ít bị ảnh hưởng bởi loại tấn công này.

Đánh giá mối đe dọa của tính toán lượng tử đối với hệ sinh thái blockchain

Hầu hết các chuỗi công khai không bị ảnh hưởng trực tiếp

Bitcoin, Ethereum và các chuỗi không riêng tư: Trong các blockchain này, mã hóa hậu lượng tử chủ yếu dùng để xác thực chữ ký (chữ ký số), chứ không phải để mã hóa dữ liệu. Những chữ ký này không bị đe dọa bởi tấn công “hiện mã hóa, tương lai giải mã”. Bitcoin là công khai — mối đe dọa lượng tử là về việc giả mạo chữ ký (đánh cắp tài sản), chứ không phải giải mã dữ liệu đã phát hành. Điều này loại bỏ nhu cầu chuyển đổi mã hóa hậu lượng tử ngay lập tức.

Thật không may, ngay cả các tổ chức như Cục Dự trữ Liên bang Mỹ cũng đã sai khi tuyên bố rằng Bitcoin dễ bị tấn công, làm quá mức tính cấp bách của việc chuyển đổi.

Tất nhiên, Bitcoin không thể hoàn toàn an toàn. Nó vẫn đối mặt với các giới hạn thời gian, chủ yếu liên quan đến việc thay đổi giao thức và sự phối hợp xã hội quy mô lớn.

Rủi ro thực sự của các đồng tiền riêng tư

Ngoại lệ là các chuỗi riêng tư. Nhiều chuỗi này mã hóa hoặc ẩn danh người nhận và số tiền. Những dữ liệu bí mật này có thể bị đánh cắp ngày hôm nay, rồi trong tương lai dùng máy tính lượng tử để giải mã, làm lộ toàn bộ giao dịch. Mức độ đe dọa phụ thuộc vào thiết kế (ví dụ, Monero với ký vòng và các kỹ thuật khác có thể cho phép phục hồi toàn bộ sơ đồ giao dịch). Do đó, nếu người dùng lo lắng về việc giao dịch của mình có thể bị tiết lộ trong tương lai, các chuỗi riêng tư nên chuyển sang các nguyên thủy hậu lượng tử hoặc các giải pháp hỗn hợp, hoặc thiết kế không ghi lại bí mật có thể giải mã trên chuỗi.

Thách thức đặc thù của Bitcoin: Quản trị chậm và vấn đề “tiền zombie”

Với Bitcoin, có hai yếu tố liên quan đến thực tế khiến việc lập kế hoạch chữ ký hậu lượng tử trở nên cấp bách, nhưng không liên quan trực tiếp đến công nghệ lượng tử:

Quản trị chậm: Quá trình phát triển của Bitcoin diễn ra chậm, bất kỳ bất đồng nào cũng có thể dẫn đến hard fork gây tổn hại.

Không thể chuyển đổi tự nguyện: Chủ sở hữu phải chủ động chuyển đổi coin của họ. Điều này có nghĩa là các coin bị bỏ rơi, dễ bị tấn công lượng tử, sẽ không được bảo vệ. Ước tính có thể có hàng triệu coin “ma” dễ bị tấn công lượng tử, trị giá hàng chục nghìn tỷ USD theo giá hiện tại.

Tuy nhiên, mối đe dọa lượng tử đối với Bitcoin không phải là ngày một ngày hai, mà là quá trình lựa chọn và thực hiện từng bước. Các cuộc tấn công lượng tử sớm sẽ rất đắt đỏ và chậm, và tổ chức tấn công sẽ chọn mục tiêu có giá trị cao. Ngoài ra, tránh tái sử dụng địa chỉ và không dùng Taproot (chứa công khai khóa công khai trực tiếp trên chuỗi) về cơ bản vẫn an toàn, miễn là khóa công khai chưa được tiết lộ — chúng chỉ xuất hiện khi thực hiện giao dịch, và sau đó sẽ có một khoảng thời gian ngắn để tấn công: người trung thực cố gắng xác nhận nhanh, trong khi đối thủ lượng tử cố gắng tính toán khóa riêng trước đó để lấy cắp.

Các coin đã bị lộ khóa công khai, như các output P2PK cũ, các địa chỉ dùng nhiều lần, hoặc các tài sản trong Taproot, dễ bị tấn công hơn. Các giải pháp phức tạp hơn gồm có: cộng đồng đồng ý “hạn chót” để không chuyển đổi, sau đó các coin chưa chuyển đổi sẽ bị coi là mất; hoặc để mặc cho các chủ sở hữu sau này có thể bị lấy cắp bởi máy tính lượng tử trong tương lai. Điều này có thể gây ra các vấn đề pháp lý và kỹ thuật nghiêm trọng.

Một vấn đề đặc thù của Bitcoin là khả năng xử lý giao dịch thấp. Ngay cả khi có kế hoạch chuyển đổi, với tốc độ hiện tại, việc chuyển đổi tất cả các khoản dễ bị tấn công trong vài tháng là khó khả thi.

Những thách thức này buộc Bitcoin phải bắt đầu lập kế hoạch chuyển đổi hậu lượng tử ngay bây giờ — không phải vì máy tính lượng tử có thể xuất hiện vào năm 2030, mà vì các công việc quản lý, phối hợp và logistics để chuyển đổi hàng trăm tỷ USD tài sản này cần nhiều năm để hoàn tất.

Lưu ý bổ sung: Các lỗ hổng liên quan chữ ký này không ảnh hưởng đến an toàn kinh tế của Bitcoin (ví dụ, hệ thống bằng chứng công việc). PoW dựa trên tính toán băm, chỉ có thuật toán Grover mới có thể tăng tốc gấp đôi, nhưng điều này đòi hỏi chi phí lớn, và khả năng tăng tốc này là không khả thi trong thực tế. Ngay cả khi xảy ra, nó chỉ mang lại lợi thế cho các thợ mỏ lớn, không làm phá vỡ mô hình an toàn kinh tế.

Chi phí và rủi ro của chữ ký hậu lượng tử

Tại sao không nên vội vàng triển khai chữ ký hậu lượng tử trong blockchain? Chúng ta cần hiểu các phương án mới này có chi phí hiệu năng như thế nào và mức độ tin cậy của các giải pháp còn đang phát triển.

Chữ ký hậu lượng tử chủ yếu dựa trên năm loại vấn đề toán học khó: hàm băm, mã hóa theo lưới, lưới, hệ phương trình bậc hai, elliptic curve. Sự đa dạng này xuất phát từ lý do hiệu năng và cấu trúc của các vấn đề này: cấu trúc càng mạnh, hiệu năng thường càng cao, nhưng có thể có nhiều lỗ hổng tấn công hơn. Đây là một sự đánh đổi căn bản.

Giải pháp dựa trên hàm băm: an toàn nhất (độ tin cậy cao nhất), nhưng hiệu năng kém nhất. Các tiêu chuẩn của NIST về hàm băm cho chữ ký nhỏ nhất là 7-8 KB, trong khi chữ ký elliptic curve hiện tại chỉ khoảng 64 byte — chênh lệch hàng trăm lần.

Giải pháp dựa trên lưới: hiện là trọng tâm của các nghiên cứu. Trong số các đề xuất của NIST, chỉ có ML-KEM (mật mã dựa trên lưới) đã được chọn, cùng với hai trong ba phương án chữ ký (ML-DSA, Falcon).

• Chữ ký ML-DSA có kích thước khoảng 2.4-4.6 KB, lớn hơn hiện tại 40-70 lần.
• Falcon có kích thước nhỏ hơn (0.7-1.3 KB), nhưng rất phức tạp để triển khai, đòi hỏi tính toán floating point cố định thời gian, đã gặp các tấn công side-channel thành công. Các nhà phát triển gọi đó là “thuật toán mã hóa phức tạp nhất tôi từng thực hiện”.
• Đảm bảo an toàn trong thực thi còn khó hơn: các chữ ký dựa trên lưới có nhiều giá trị trung gian và logic từ chối mẫu phức tạp hơn so với chữ ký elliptic curve, đòi hỏi các biện pháp phòng chống side-channel và lỗi phần cứng mạnh hơn.

So với các hệ thống lượng tử xa xôi, các vấn đề về thực thi này là mối đe dọa cấp bách hơn. Kinh nghiệm lịch sử cũng cảnh báo: các đề xuất tiêu chuẩn của NIST như Rainbow (dựa trên hệ MQ) hay SIKE/SIDH (dựa trên lưới) đã bị phá trong máy tính cổ điển. Điều này cho thấy việc tiêu chuẩn hóa và triển khai quá sớm có thể gây rủi ro lớn.

Hạ tầng internet trong việc chuyển đổi chữ ký mới cũng rất thận trọng, vì quá trình này kéo dài nhiều năm (ví dụ, việc chuyển đổi từ MD5/SHA-1 đã kéo dài nhiều năm, chưa hoàn tất).

Thách thức chung của hạ tầng internet và blockchain

Các yếu tố tích cực là các blockchain mã nguồn mở như Ethereum, Solana có thể nâng cấp nhanh hơn so với hạ tầng mạng truyền thống. Các yếu tố tiêu cực là, trong mạng truyền thống, việc thay đổi khóa thường xuyên giúp giảm thiểu bề mặt tấn công, còn các coin và khóa liên quan trong blockchain có thể duy trì lâu dài trạng thái dễ bị tấn công lượng tử.

Tổng thể, blockchain nên theo chiến lược thận trọng của cộng đồng PKI (cơ sở hạ tầng khóa công khai), lập kế hoạch chuyển đổi chữ ký một cách cẩn trọng. Cả hai đều không dễ bị tấn công “hiện mã hóa, tương lai giải mã”, và chi phí, rủi ro của chuyển đổi hậu lượng tử đều cao.

Một số đặc điểm riêng của blockchain khiến việc chuyển đổi sớm trở nên đặc biệt nguy hiểm:

Yêu cầu hợp nhất chữ ký: Blockchain thường cần hợp nhất nhanh nhiều chữ ký (ví dụ, BLS). BLS nhanh, nhưng không chống lượng tử. Các nghiên cứu về hợp nhất chữ ký dựa trên SNARK hậu lượng tử còn sơ khai, nhưng dự kiến trong vài tháng đến vài năm tới sẽ có các giải pháp dựa trên lưới thay thế, vượt trội hơn về độ dài chứng minh.

Tương lai của SNARK: Hiện cộng đồng chủ yếu hướng tới SNARK dựa trên hàm băm hậu lượng tử, nhưng tôi tin rằng trong vài tháng hoặc năm tới sẽ xuất hiện các SNARK dựa trên lưới thay thế, có hiệu năng vượt trội về độ dài chứng minh, khả năng mở rộng.

Vấn đề cấp bách hơn là đảm bảo an toàn thực thi. Trong vài năm tới, các lỗ hổng thực thi và tấn công side-channel đối với SNARK và chữ ký hậu lượng tử có thể gây ra mối đe dọa lớn hơn so với máy tính lượng tử. Đối với SNARK, mối đe dọa chính là lỗi phần mềm. Các chữ ký số và mã hóa đã phức tạp, SNARK còn phức tạp hơn. Thực tế, chữ ký số có thể xem như phiên bản tối giản của zkSNARK. Đối với chữ ký hậu lượng tử, các tấn công side-channel và lỗi phần cứng là mối đe dọa cấp bách hơn. Cộng đồng cần đầu tư nhiều năm để củng cố các hệ thống này.

Do đó, chuyển đổi quá sớm — trước khi các giải pháp hoàn thiện — có thể khiến hệ thống rơi vào tình trạng không tối ưu hoặc buộc phải chuyển đổi lại để sửa lỗi.

Đưa ra bảy chiến lược hướng tới tương lai

Dựa trên thực tế đã phân tích, tôi đề xuất các bên liên quan (từ nhà phát triển đến nhà hoạch định chính sách) các khuyến nghị sau. Nguyên tắc chỉ đạo: cần nghiêm túc xem xét mối đe dọa lượng tử, nhưng không nên giả định rằng trong năm 2030 sẽ xuất hiện máy tính lượng tử có thể phá vỡ hệ thống mã hóa (hiện tại chưa có kết quả hỗ trợ điều này). Tuy nhiên, có những việc chúng ta có thể và nên làm ngay bây giờ:

1. Triển khai ngay các giải pháp mã hóa hỗn hợp: ít nhất trong các trường hợp cần bảo vệ dài hạn và chi phí chấp nhận được. Nhiều trình duyệt, CDN, ứng dụng thông tin (như iMessage, Signal) đã bắt đầu triển khai. Các giải pháp hỗn hợp (hậu lượng tử + cổ điển) giúp phòng ngừa tấn công trong tương lai và giảm thiểu rủi ro của các lỗ hổng trong các phương án hậu lượng tử.

2. Trong các trường hợp có thể chấp nhận kích thước lớn, sử dụng chữ ký dựa trên hàm băm ngay bây giờ: ví dụ, cập nhật phần mềm/firmware ít tần suất (kích thước không quan trọng). Hiện có thể dùng chữ ký hỗn hợp dựa trên hàm băm (kết hợp các phương án). Nếu máy tính lượng tử xuất hiện sớm hơn dự kiến, đây là “phao cứu sinh” thận trọng.

3. Blockchain không cần vội vàng chuyển sang chữ ký hậu lượng tử, nhưng cần bắt đầu lập kế hoạch ngay lập tức.

4. Các nhà phát triển nên theo cách tiếp cận thận trọng của cộng đồng PKI, để các đề xuất trở nên chín chắn hơn.

5. Các chuỗi công khai như Bitcoin, Ethereum cần xác định rõ lộ trình chuyển đổi và chính sách xử lý “tiền zombie” dễ bị tấn công lượng tử. Đặc biệt, Bitcoin cần bắt đầu lập kế hoạch ngay, vì thách thức chính không phải là công nghệ (quản trị chậm, nhiều coin “ma” giá trị lớn).

6. Dành thời gian nghiên cứu để hoàn thiện SNARK hậu lượng tử và các chữ ký hợp nhất (có thể mất vài năm nữa), để tránh chọn các giải pháp không tối ưu quá sớm.

7. Đối với các ví tài khoản trong Ethereum: ví thông minh (ví có thể nâng cấp) có thể cung cấp lộ trình chuyển đổi mượt mà hơn, nhưng không khác biệt nhiều. Điều quan trọng là cộng đồng cần thúc đẩy nghiên cứu nguyên thủy hậu lượng tử và các kế hoạch ứng phó khẩn cấp. Các thiết kế như tách biệt danh tính tài khoản khỏi phương thức ký (ví dụ, account abstraction) có thể cung cấp tính linh hoạt, hỗ trợ chuyển đổi hậu lượng tử, đồng thời mở rộng các chức năng như tài trợ giao dịch, phục hồi xã hội.

8. Các chuỗi riêng tư nên ưu tiên chuyển đổi (nếu hiệu năng chấp nhận được): dữ liệu cá nhân đã dễ bị tấn công, cần chuyển sang các nguyên thủy hậu lượng tử hoặc thiết kế mới để không ghi lại dữ liệu có thể giải mã trên chuỗi.

9. Chiến lược ngắn hạn: tập trung bảo vệ tính an toàn của các hệ thống thực thi, không quá lo lắng về mối đe dọa lượng tử. Trong vài năm tới, các lỗ hổng thực thi và tấn công side-channel đối với SNARK và chữ ký hậu lượng tử còn nguy hiểm hơn nhiều so với máy tính lượng tử. Đầu tư kiểm thử, xác thực hình thức, phòng chống side-channel là ưu tiên để tránh bị mắc kẹt trong các giải pháp không an toàn.

10. Tiếp tục đầu tư nghiên cứu về tính toán lượng tử: từ góc độ an ninh quốc gia, cần duy trì đầu tư và đào tạo nhân lực. Nếu đối thủ chính có thể sớm sở hữu tính toán lượng tử cấp mã hóa, đó sẽ là rủi ro nghiêm trọng.

11. Nhận thức hợp lý về các tin tức về tính toán lượng tử: sẽ còn nhiều cột mốc quan trọng, nhưng mỗi cột mốc đều chứng minh chúng còn xa mục tiêu. Đánh giá các tin tức này như các báo cáo tiến trình cần phân tích phê phán, chứ không phải là tín hiệu để hành động vội vàng. Tất nhiên, đột phá công nghệ có thể thúc đẩy tiến trình, còn các giới hạn kỹ thuật có thể làm chậm lại. Tôi không khẳng định trong 5 năm tới không thể xảy ra, nhưng xác suất rất thấp.

Việc tuân thủ các khuyến nghị này sẽ giúp chúng ta tránh các rủi ro trực tiếp hơn, dễ xảy ra hơn: các lỗ hổng thực thi, chuyển đổi vội vàng, và các sai lầm trong quá trình chuyển đổi mã hóa.