Một mối đe dọa mới đối với an ninh mạng (không phải máy tính lượng tử)

Một mối đe dọa mới đối với an ninh mạng (không phải máy tính lượng tử)

Kỷ nguyên điện toán lượng tử đã chính thức bắt đầu, và đây là một tín hiệu tích cực. Công nghệ lượng tử hứa hẹn sẽ giúp con người mở rộng tri thức và đưa ra các quyết định phức tạp với tốc độ vượt trội. Tuy nhiên, mặt trái của kỷ nguyên này là nó cũng mang đến khả năng phá vỡ các thuật toán mã hóa VPN hiện tại.

Để đối phó, các chính phủ, tổ chức tiêu chuẩn và nhà cung cấp giải pháp an ninh mạng đang phối hợp nhằm đảm bảo các mạng công cộng vẫn duy trì được tính bảo mật trước các mối đe dọa an ninh mạng dựa trên năng lực của máy tính lượng tử — cả ở hiện tại và trong tương lai. Thực tế, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) gần đây đã công bố ba thuật toán mật mã hậu lượng tử (Post-Quantum Cryptography – PQC). Đây là một bước tiến quan trọng, nhưng đồng thời cũng mở ra khả năng xuất hiện những mối đe dọa mới.

Các thuật toán PQC này sẽ thay thế các hệ mật mã khóa công khai vốn sẽ trở nên dễ bị tấn công khi có sự trợ giúp của máy tính lượng tử. Vì các thuật toán mới có thể triển khai trên hạ tầng VPN hiện hữu chỉ bằng nâng cấp phần mềm, nên chúng mang lại con đường nhanh chóng để các giải pháp VPN hiện tại trở nên “chống lượng tử.” Điều này dẫn đến việc một số nhà cung cấp an ninh mạng tuyên bố rằng khách hàng nên nâng cấp lên giải pháp PQC của họ ngay từ bây giờ.

Tuy nhiên, việc chỉ dựa vào PQC ở thời điểm hiện tại chưa chắc đã là phương án an toàn nhất. Trên thực tế, cách tiếp cận này có thể vô tình tạo ra những lỗ hổng bảo mật mới trong hệ thống mạng.

Những bất định xoay quanh mật mã hậu lượng tử (PQC)

Nguyên nhân chính dẫn đến sự hoài nghi hiện nay nằm ở tính mới mẻ của các thuật toán. Các tiêu chuẩn PQC, chẳng hạn như những thuật toán đang được NIST xem xét, vẫn đang ở giai đoạn đầu của việc triển khai ở cấp độ sản xuất. Dù đã trải qua quá trình kiểm chứng lý thuyết sâu rộng, nhưng cho đến nay chưa có thuật toán nào được ứng dụng rộng rãi trong môi trường sản xuất thực tế. Trên lý thuyết, chúng có vẻ vững chắc, nhưng thực tế vẫn chưa có gì đảm bảo rằng chúng sẽ đứng vững trước các cuộc tấn công quy mô lớn — dù đến từ máy tính cổ điển hay máy tính lượng tử. Hoàn toàn có khả năng các thuật toán mới này, hoặc cách triển khai chúng, sẽ bộc lộ điểm yếu khi vận hành trong điều kiện thực tế.

Một vấn đề then chốt là chúng ta sẽ không thể biết chính xác mức độ “kháng lượng tử” của các thuật toán này cho đến khi máy tính lượng tử được ứng dụng phổ biến. Đây là một tình huống “tiến thoái lưỡng nan”: chúng ta cần mã hóa an toàn trước lượng tử trước khi máy tính lượng tử chính thức xuất hiện, nhưng lại không thể chắc chắn về độ an toàn của các thuật toán này cho đến khi chúng thực sự được thử nghiệm ngoài môi trường nghiên cứu và học thuật. Hơn nữa, vẫn tồn tại khả năng các lỗ hổng mới sẽ bị khai thác bởi các hình thức tấn công từ máy tính cổ điển mà chúng ta chưa lường trước được.

Rủi ro từ tấn công cổ điển đối với PQC: Bài học từ SIKE

Một rủi ro đáng chú ý là ngay cả những thuật toán PQC đầy triển vọng vẫn có thể bị tấn công bởi các phương pháp cổ điển (máy tính số thông thường). Ví dụ điển hình là Supersingular Isogeny Key Encapsulation (SIKE) — một thuật toán mật mã hậu lượng tử từng được đánh giá cao như một ứng viên tiềm năng cho trao đổi khóa an toàn trước lượng tử.

Tuy nhiên, vào năm 2022, SIKE đã bị phá vỡ chỉ bằng một cuộc tấn công từ máy tính cổ điển, cho thấy ngay cả các thuật toán PQC được xem là chặt chẽ về mặt lý thuyết cũng có thể tồn tại điểm yếu. Điều này nhấn mạnh sự cần thiết phải thận trọng khi triển khai PQC quá sớm, bởi độ bền vững của chúng có thể không như kỳ vọng — đặc biệt khi phải đối mặt với các cuộc tấn công tinh vi từ hệ thống máy tính cổ điển.

Rủi ro tiềm ẩn khi chuyển hoàn toàn sang PQC ngay lúc này

Xét đến những lỗ hổng có thể xảy ra, các nhà cung cấp khuyến nghị triển khai toàn bộ PQC ngay lập tức — thay thế hoàn toàn các thuật toán cổ điển bằng PQC — có thể đang hành động một cách thiếu thận trọng. Mối lo ngại lớn nhất nằm ở việc chưa có bộ tiêu chuẩn rõ ràng về cách triển khai các thuật toán này một cách an toàn.

Trong khi cộng đồng mật mã học vẫn đang nỗ lực xây dựng các tiêu chuẩn, chúng ta vẫn đang ở giai đoạn thử nghiệm. Các thư viện và công cụ phục vụ cho việc triển khai PQC an toàn ở quy mô lớn vẫn chưa trưởng thành. Nếu không có các thư viện mật mã “chuẩn hóa” và ổn định, bất kỳ triển khai PQC nào ở thời điểm này đều có nguy cơ “không an toàn ngay từ thiết kế,” dễ tạo ra lỗ hổng hơn là tăng cường bảo mật.

Chiến lược an toàn trước lượng tử: Tiếp cận lai (Hybrid)

Vậy tổ chức nên lựa chọn gì nếu PQC không phải là “cây gậy thần” giải quyết mọi vấn đề? Câu trả lời có thể nằm ở chiến lược mật mã lai (hybrid cryptography), vốn kết hợp điểm mạnh của mật mã cổ điển với các kỹ thuật kháng lượng tử.

Một cách tiếp cận là Hybrid PQC, kết hợp các thuật toán mã hóa truyền thống (như RSA hoặc ECC) với thuật toán hậu lượng tử. Cách tiếp cận này tạo ra một lớp phòng thủ đa tầng: nếu một thuật toán bị phá vỡ, thuật toán còn lại vẫn duy trì được tính an toàn. Đây có thể coi là một giai đoạn chuyển tiếp hợp lý, cho phép tổ chức tiếp tục sử dụng các hệ mật mã cổ điển đã được kiểm chứng, đồng thời chuẩn bị kỹ lưỡng cho kỷ nguyên lượng tử.

Một hướng đi tiềm năng khác là Quantum Key Distribution (QKD). QKD tận dụng nguyên lý cơ học lượng tử để tạo và phân phối khóa mã hóa. Ưu điểm là QKD hoàn toàn miễn nhiễm với tấn công từ máy tính lượng tử. Tuy nhiên, hạn chế của nó là yêu cầu hạ tầng sợi quang chuyên dụng cùng chi phí rất cao, khiến việc ứng dụng rộng rãi khó có thể diễn ra sớm. Dù vậy, đây chắc chắn là lựa chọn mạnh mẽ cho các tổ chức có yêu cầu bảo mật ở mức cao và đủ nguồn lực để đầu tư cho mã hóa “tương lai hóa.”

Ngoài ra, Symmetric Key Establishment (chẳng hạn như Distributed Symmetric Key Establishment – DSKE) cũng là một giải pháp thay thế tiệm cận QKD. Phương pháp này bổ sung thêm khóa đối xứng ngoài kênh (out-of-band) để gia cố cơ chế phân phối khóa vốn dễ bị tấn công như Diffie-Hellman. Việc kết hợp khóa đối xứng với Diffie-Hellman (theo chuẩn RFC8784) có thể gia tăng độ an toàn tổng thể, đồng thời đảm bảo khả năng chống chịu trước cả tấn công từ máy tính cổ điển lẫn máy tính lượng tử.

Chắc chắn trong sự bất định: Lên kế hoạch cho một tương lai khó đoán

Sự phát triển của máy tính lượng tử đang phủ bóng lên tương lai của mã hóa, nhưng đây chưa phải là mối nguy cấp bách ngay lúc này. Hiện tại, mối quan tâm lớn hơn nằm ở việc đảm bảo tuân thủ khung quy định pháp lý đang thay đổi nhanh chóng, đồng thời xây dựng một chiến lược an toàn trước lượng tử mà không phụ thuộc hoàn toàn vào các thuật toán chưa được kiểm chứng.

Juniper tin rằng cách tiếp cận kết hợp giữa mật mã cổ điển và mật mã hậu lượng tử chính là lớp phòng thủ tối ưu trong bối cảnh bất định về điện toán lượng tử. Các giải pháp PQC lai (Hybrid PQC), kết hợp cùng các công nghệ như QKD và Symmetric Key Establishment, sẽ mang lại tính linh hoạt và khả năng chống chịu trước những mối đe dọa đang không ngừng phát triển.

Để chuẩn bị cho một tương lai an toàn trước lượng tử, các tổ chức cần sự linh hoạt, tầm nhìn xa và sẵn sàng ứng dụng những kỹ thuật mã hóa mới khi chúng dần trưởng thành. Nhưng quan trọng hơn hết, cần phải hiểu rằng mối đe dọa lượng tử, dù rất đáng chú ý, vẫn chưa phải là kẻ thù số một của chúng ta ở thời điểm hiện tại.

Bạn có thể tìm hiểu thêm về cách Juniper Beyond Labs đang hợp tác cùng hệ sinh thái đối tác để phát triển các giải pháp VPN “crypto-agile” và “quantum-safe” bao gồm danh mục toàn diện về các giải pháp phân phối khóa an toàn trước lượng tử tại đây.

Chúc các bạn thực hiện thành công. Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc. Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo!