Lộ trình hậu lượng tử của Circle: Làm thế nào để đổi khóa trước cho "đột nhập lượng tử"?

Tác giả: KarenZ, Foresight News

Nếu có một ngày máy tính lượng tử đủ mạnh, điều đầu tiên blockchain cần đối mặt có thể là hai giả định an ninh nền tảng hơn: chữ ký còn có thể chứng minh "tôi là tôi" không, và dữ liệu được mã hóa ngày nay có thể sẽ bị giải mã trong tương lai hay không.

Bài báo mới nhất của Circle công bố về lộ trình an ninh hậu lượng tử mang tên 《Circle’s Post-Quantum Security Roadmap》 thảo luận chính xác về vấn đề này. Phán đoán cốt lõi của nó rất rõ ràng: các hệ mật elliptic curve mà blockchain phổ biến dựa vào, bao gồm ECDSA, Ed25519, BLS, một khi gặp phải máy tính lượng tử đủ mạnh, sẽ trở nên vô hiệu. Điều phức tạp hơn nữa là, trên chuỗi EVM, khi tài khoản lần đầu phát broadcast giao dịch thường sẽ tiết lộ khóa công khai; trên các chuỗi như Bitcoin, các địa chỉ đã tiêu hoặc tái sử dụng, hoặc lộ khóa công khai dưới dạng script đặc biệt, cũng sẽ rơi vào vùng nguy hiểm tương tự.

Đội ngũ tác giả của bài báo cũng cho thấy, đây không phải là một bài viết phổ biến thông thường. Các tác giả bao gồm kỹ sư phần mềm trưởng của Circle Mira Belenkiy, kỹ sư nghiên cứu của Circle Duc V. Le, nhà kinh tế trưởng của Circle Gordon Liao, kỹ sư an toàn sản phẩm của Circle Vipin Singh Sehrawat, kỹ sư nghiên cứu Dragos Rotaru, cùng với đồng sáng lập Interop Labs – đơn vị phát triển ban đầu của mạng Axelar, hiện thuộc Circle Sergey Gorbunov và nhiều kỹ sư Circle khác; đồng thời, nhà nghiên cứu đại diện trong lĩnh vực mật mã ứng dụng của Stanford Dan Boneh cũng tham gia ký tên.

Điểm quan trọng nhất của bài báo không nằm ở việc "máy tính lượng tử có thể phá hủy tiền mã hóa hay không" theo kiểu tuyên truyền sợ hãi, mà là nó phân tách vấn đề thành một bài toán chuyển đổi kỹ thuật thực tế. Circle cho rằng, quá trình chuyển đổi hậu lượng tử không phải là một lần nhấn nút nâng cấp, mà là một "việc di chuyển dài hạn" xuyên qua ví, hợp đồng thông minh, dịch vụ lưu trữ, đám mây, nhà xác thực, quy định pháp luật.

Bài báo liệt kê một số loại rủi ro mà blockchain phải đối mặt trước các cuộc tấn công lượng tử.

Loại thứ nhất là giả mạo tài khoản. Chỉ cần khóa công khai của địa chỉ đã lộ, trong tương lai các hacker lượng tử có thể phục hồi khóa riêng, trực tiếp giả mạo giao dịch. Bài báo trích dẫn chỉ số Bitcoin RisQ Metrics của Project Eleven cho biết, đã có hàng triệu địa chỉ có số dư bị lộ trong nguy cơ lượng tử, trong đó ước tính có khoảng 14 triệu địa chỉ Bitcoin.

Loại thứ hai là rủi ro "thu thập trước, giải mã sau": kẻ tấn công ngày nay lưu trữ dữ liệu mã hóa, chờ đến khi máy tính lượng tử đủ mạnh mới giải mã.

Loại thứ ba là rủi ro tầng đồng thuận, nếu nhà xác thực phục hồi được khóa ký, có thể dẫn đến ký đôi, kiểm duyệt hoặc thậm chí viết lại lịch sử. Loại thứ tư là rủi ro tầng mạng, các phần phụ thuộc vào trao đổi khóa truyền thống như truyền thông P2P, RPC qua TLS cũng cần nâng cấp.

Lộ trình chuyển đổi ba giai đoạn của Circle

Lộ trình của Circle không đơn thuần là thay thế một thuật toán chữ ký bằng một thuật toán khác, mà chia thành ba bước: "chuẩn bị hiện tại", "chuyển đổi hỗn hợp", "chuyển đổi cuối cùng". Mỗi bước có mức độ ưu tiên rủi ro khác nhau: dữ liệu riêng tư cần được bảo vệ trước tiên, tài khoản và hợp đồng thông minh sẽ lần lượt chuyển đổi, còn tầng đồng thuận và hạ tầng sẽ chờ đến khi hệ sinh thái, phần cứng và tiêu chuẩn trở nên trưởng thành hơn.

Loại tấn công và các giai đoạn ứng phó trong lộ trình Arc, nguồn: bài báo lộ trình an ninh hậu lượng tử của Circle

Giai đoạn đầu là "chuẩn bị hiện tại". Mục tiêu của giai đoạn này không phải là loại bỏ ECDSA ngay lập tức, mà là để lại lối thoát chuyển đổi cho nhà phát triển và người dùng. Arc sẽ hỗ trợ xác thực chữ ký hậu lượng tử SLH-DSA-SHA2-128s trên mạng chính, cho phép tài khoản thông minh có thể xác thực chữ ký hậu lượng tử trên chuỗi. Nói đơn giản, Arc sẽ trang bị cho hợp đồng thông minh một hệ thống nhận diện khóa mới, nhưng chữ ký giao dịch gốc vẫn giữ ECDSA trong thời gian ngắn hạn, vì chữ ký hậu lượng tử có kích thước lớn hơn, xác thực chậm hơn, ảnh hưởng đến thông lượng và trải nghiệm người dùng.

Song song đó, Arc sẽ hỗ trợ mã hóa giao dịch memo bằng X-Wing HPKE, và bảo vệ nội dung giao dịch, trạng thái hợp đồng, dấu vết thực thi qua môi trường thực thi riêng tư (TEE). Circle đặt phần này lên trước vì "ngày hôm nay ghi lại, ngày mai giải mã" về rủi ro riêng tư là không thể đảo ngược, chữ ký có thể nâng cấp sau, nhưng dữ liệu đã bị rò rỉ thì không thể trở lại trạng thái riêng tư.

Ở tầng tài khoản, Circle còn đề xuất một số công cụ chuyển đổi. Ví dụ, qua EIP-4337 để trừu tượng hóa tài khoản, cho phép xác thực chữ ký hậu lượng tử của tài khoản thông minh; qua giải pháp hash-and-rotate, chỉ lưu trữ hash của khóa công khai trên chuỗi, nhằm rút ngắn thời gian mở khóa công khai rõ ràng; hoặc qua đăng ký khóa công khai hậu lượng tử, cho phép người dùng liên kết sẵn địa chỉ với khóa hậu lượng tử. Các thiết kế này nhằm mục đích giúp người dùng chuẩn bị chuyển đổi tài khoản mà không cần chờ đến khi giao thức nền tảng hoàn toàn thay đổi.

Giai đoạn thứ hai là "chuyển đổi hỗn hợp". Giai đoạn này thực tế nhất và phức tạp nhất. Hợp đồng USDC sẽ hỗ trợ đồng thời chữ ký truyền thống và chữ ký hậu lượng tử trong một thời gian, chờ hệ sinh thái chuẩn bị xong sẽ dùng cơ chế dự phòng để tắt chữ ký cổ điển. Circle cũng dự định chuyển toàn bộ quỹ lưu trữ lạnh sang hợp đồng đa chữ ký, để đồng bộ hóa quá trình chuyển đổi giữa các chuỗi và các thuật toán hậu lượng tử khác nhau. Vì hợp đồng USDC triển khai trên hơn 30 chuỗi, vấn đề không chỉ là nâng cấp đơn chuỗi, mà còn là vấn đề phân mảnh do các chuỗi tự chọn thuật toán và đặt thời gian khác nhau.

Bài báo đặc biệt nhấn mạnh về khó khăn của ecrecover. Nhiều hợp đồng EVM dùng ecrecover để xác thực chữ ký ECDSA, nhưng nhiều hợp đồng này đã không thể nâng cấp. Nếu đơn giản vô hiệu ecrecover, sẽ phá vỡ nhiều ứng dụng tồn đọng; còn để nó tiếp tục hoạt động, sẽ để lại nguy cơ giả mạo lượng tử. Circle đề xuất một khả năng khả thi là sửa đổi behavior của ecrecover tại tầng giao thức qua hard fork, để nó hỗ trợ chữ ký hậu lượng tử trong khi vẫn giữ ABI cũ. Giải pháp này rất có ý nghĩa thực tế, vì không chỉ phục vụ các hợp đồng mới, mà còn cố gắng tạo ra một lối thoát cho các hợp đồng cũ đã triển khai, khó sửa đổi.

Giai đoạn chuyển đổi còn bao gồm cập nhật hạ tầng nền tảng. Circle cần rà soát toàn bộ hệ mật trong nội bộ, đánh giá khả năng chuẩn bị hậu lượng tử của các nhà cung cấp dịch vụ đám mây, HSM, KMS, TEE, libp2p, TLS, v.v., và thay đổi khóa theo đúng trình tự. Bài báo đặc biệt nhắc nhở, nếu khóa A bảo vệ khóa B, và khóa B lại bảo vệ khóa C, thì phải thay đổi A trước, rồi đến B, cuối cùng mới đến C. Thứ tự sai sẽ khiến dù đã dùng thuật toán hậu lượng tử, các dữ liệu mã hóa bị chặn trong quá khứ vẫn có thể bị lộ trong tương lai.

Giai đoạn cuối cùng là "chuyển đổi cuối cùng". Khi hệ sinh thái, quy định pháp luật, ví phần cứng, nhà cung cấp đám mây và hạ tầng blockchain đã sẵn sàng, Circle mới thực hiện chuyển đổi cứng thực sự. Lúc đó, Arc và hợp đồng USDC có thể từ chối chữ ký ECDSA, các nhà xác thực sẽ chuyển sang các chữ ký hậu lượng tử; nếu một số chuỗi chứa USDC không thể đạt tiêu chuẩn an ninh hậu lượng tử đủ lâu, Circle thậm chí có thể xem xét tạm dừng một số chức năng hợp đồng hoặc thu hồi hỗ trợ, để tránh tài sản của người dùng bị phơi nhiễm trước nguy cơ giả mạo lượng tử.

Vấn đề lớn nhất là xử lý các tài khoản cũ

Nhưng chuyển đổi cuối cùng cũng mang lại vấn đề khó nhất: tài sản trong các tài khoản chưa chuyển đổi sẽ ra sao? Circle cho rằng, việc đóng băng các tài khoản không an toàn nhằm ngăn chặn trộm cắp, không nên tự động coi như là tịch thu tài sản. Nói cách khác, "ngừng kiểm soát chữ ký cũ" và "từ chối quyền sở hữu tài sản" phải được xử lý riêng biệt. Do đó, bài báo đặt trọng tâm vào việc khôi phục tài khoản, bao gồm chuyển sang Arc, khôi phục qua mnemonic và chứng minh không tiết lộ (zero-knowledge), qua TEE để chứng minh, hoặc trong phạm vi hạn chế, qua các tài liệu pháp lý ngoài chuỗi, chứng minh của bên giữ tài khoản, của sàn giao dịch hoặc di chúc.

Điều này dẫn đến một vấn đề chính sách rất quan trọng trong bài báo: khôi phục tài khoản. Sau khi bước vào thời kỳ lượng tử, chữ ký truyền thống không còn đủ để chứng minh quyền sở hữu, và KYC cũng có thể không chứng minh được ai là chủ sở hữu của một địa chỉ ẩn danh. Circle cho rằng, các cơ quan quản lý cần phải xác định rõ trước: trước hạn chót chuyển đổi, cần thông báo cho người dùng như thế nào, bằng chứng nào đủ để chứng minh quyền sở hữu tài sản, sau bao lâu không có ai yêu cầu, thì coi như tài sản không có chủ, và các quy định về di sản, chế tài, chống rửa tiền, lệnh tòa án sẽ được áp dụng ra sao. Bài báo nhận định, ngành công nghiệp còn khoảng 5 đến 10 năm để xây dựng các quy tắc này.

Bài báo còn có một nhận định bình tĩnh khác: chuyển đổi quá nhanh cũng có thể mang lại rủi ro lớn hơn. Ví dụ, các doanh nghiệp hiện dùng HSM để bảo vệ khóa riêng, nếu vì chạy theo chữ ký hậu lượng tử mà vội vàng xuất khóa ra CPU thông thường để ký, thì lại dễ bị hacker tấn công trộm cắp hơn. Circle nhấn mạnh rằng, quá trình chuyển đổi hậu lượng tử cần chuẩn bị sớm, nhưng không thể vì "trông có vẻ an toàn" mà giảm thiểu an ninh hiện tại.

Nói một cách dễ hiểu, Circle không nói rằng "máy tính lượng tử ngày mai sẽ phá vỡ blockchain", mà là: hạ tầng tài chính không thể chờ đến khi khóa bị chứng minh là đã mất hiệu lực mới bắt đầu đổi khóa. Đặc biệt là USDC, loại stablecoin hoạt động trên hơn 30 chuỗi, khó khăn thực sự không chỉ là chọn một thuật toán mới, mà còn là làm sao để ví, hợp đồng, dịch vụ lưu trữ, nhà xác thực, nhà cung cấp đám mây, cơ quan quản lý và người dùng cùng nhau hoàn tất quá trình chuyển đổi.

Tấn công lượng tử chưa thực sự xảy ra, nhưng chi phí chuyển đổi đã hiện hữu trước mắt.