Let's Encrypt hướng tới tương lai hậu lượng tử với Merkle Tree Certificates

Let's Encrypt, tổ chức cung cấp chứng chỉ SSL/TLS miễn phí lớn nhất thế giới, vừa công bố kế hoạch đầy tham vọng để chuẩn bị cho kỷ nguyên máy tính lượng tử. Theo đó, họ sẽ triển khai Merkle Tree Certificates (MTCs) — một phương pháp tiếp cận mới mang lại khả năng xác thực hậu lượng tử (post-quantum) cho web mà không hy sinh tốc độ hay độ tin cậy.

Bài viết này sẽ đi sâu vào kế hoạch này và lý do tại sao MTCs được xem là chìa khóa cho tương lai an toàn của hạ tầng khóa công cộng Web (Web PKI).

Vấn đề cấp bách về bảo mật

Trong vài năm qua, các cuộc thảo luận về mật mã học hậu lượng tử chủ yếu tập trung vào mã hóa (encryption). Lý do là khá trực quan: một kẻ tấn công có thể ghi lại lưu lượng được mã hóa ngày hôm nay và giải mã nó trong tương lai khi máy tính lượng tử đủ mạnh để phá vỡ các thuật toán toán học cơ bản.

Tuy nhiên, vấn đề xác thực (authentication) — phần của TLS xác nhận máy chủ đúng là người nó tự nhận — trước đây được coi là ít cấp bách hơn. Máy tính lượng tử cần phải giả mạo chữ ký theo thời gian thực, không phải hồi tố, do đó mối đe dọa đối với xác thực phụ thuộc vào sự tồn tại của một máy tính lượng tử có liên quan đến mật mã (CRQC).

Nhưng sự an tâm đó đang dần bị xói mòn. Tại Hoa Kỳ, bộ tiêu chuẩn CNSA 2.0 của NSA đã định hướng các hệ thống an ninh quốc gia chuyển sang các thuật toán hậu lượng tử trong giai đoạn 2030-2035. Liên minh Châu Âu cũng đặt mục tiêu chuyển đổi các hệ thống rủi ro cao vào cuối năm 2030. Google và Cloudflare thậm chí còn đẩy nhanh tiến độ này lên năm 2029.

Kích thước handshake TLS so sánh giữa các phương pháp

Thách thức riêng của Web PKI

Web PKI là một trong những nơi khó khăn nhất để triển khai chữ ký hậu lượng tử, và nguyên nhân nằm ở kích thước.

ML-DSA-44, một trong các thuật toán chữ ký hậu lượng tử tiêu chuẩn của NIST, có độ dài chữ ký khoảng 2.420 byte. Trong khi đó, các thuật toán dùng hiện nay nhỏ hơn nhiều: RSA-2048 là 256 byte và ECDSA-P256 chỉ là 64 byte. Khóa công khai của ML-DSA-44 cũng lớn hơn đáng kể (1.312 byte so với 64 byte của ECDSA).

Một bắt tay TLS (handshake) điển hình hiện nay chứa năm chữ ký và hai khóa công khai. Việc thay thế chúng bằng các phiên bản ML-DSA sẽ đẩy kích thước của một lần bắt tay TLS vượt quá 10 kilobyte. Nghiên cứu của Cloudflare cho thấy ở quy mô đó, một tỷ lệ đáng kể các kết nối TLS sẽ thất bại trên các mạng thực tế, và phần còn lại sẽ bị chậm lại.

Các bắt tay lớn hơn sẽ ảnh hưởng đến mọi kết nối TLS, gây ra băng thông hạn chế, kết nối chậm hơn và trải nghiệm người dùng kém hơn — tất cả để đổi lấy bảo mật trước một mối đe dọa chưa hiện hữu. Đây là cái giá quá đắt để bật theo mặc định.

Merkle Tree Certificates (MTCs)

Một thiết kế khác gọi là Merkle Tree Certificates (MTCs) đã nổi lên trong năm qua, và Let's Encrypt tin rằng đây là hướng đi mạnh mẽ cho Web PKI hậu lượng tử.

Thay vì phát hành chứng chỉ từng cái một và ký từng cái riêng lẻ, một tổ chức cấp chứng chỉ MTC sẽ phát hành chứng chỉ theo lô (batches), với một chữ ký duy nhất bao phủ toàn bộ lô. Các trình duyệt cập nhật các chữ ký lô này (gọi là "landmarks") một cách riêng biệt khỏi quá trình bắt tay TLS.

Chi phí xác thực của MTCs so với phương pháp truyền thống

Trong trường hợp phổ biến nhất, toàn bộ đường dẫn xác thực trong một bắt tay MTC chỉ bao gồm một chữ ký, một khóa công khai và một bằng chứng bao gồm (inclusion proof). Điều này nhỏ hơn cả bắt tay Web PKI hiện nay, mặc dù MTCs sử dụng các thuật toán hậu lượng tử.

MTCs không chỉ tối ưu hóa kích thước. Vì mọi chứng chỉ đều là một phần của cây Merkle đã được công bố, tính minh bạch trở thành thuộc tính vốn có của quá trình phát hành. Với MTCs, một chứng chỉ không thể tồn tại bên ngoài cây Merkle. Tính minh bạch chứng chỉ (Certificate Transparency) được tích hợp sẵn ngay từ đầu.

Kế hoạch của Let's Encrypt

Let's Encrypt lên kế hoạch hỗ trợ Merkle Tree Certificates làm hướng đi cho Web PKI hậu lượng tử. Họ nhắm đến môi trường thử nghiệm (staging) phát hành MTCs vào cuối năm 2026 và môi trường sẵn sàng vận hành (production) vào năm 2027.

Đây không phải là một nỗ lực nhỏ. Việc phát hành MTCs ở quy mô của Let's Encrypt yêu cầu những thay đổi đáng kể trong toàn bộ stack của họ: từ hạ tầng phát hành, giao thức ACME mà người dùng dùng để lấy chứng chỉ, đến công cụ thu hồi và hạ tầng nhật ký minh bạch.

Cùng với công việc MTC, họ cũng đang theo dõi các tiêu chuẩn cho chữ ký ML-DSA trong X.509 và TLS.

Điều này có nghĩa gì với người dùng Let's Encrypt

Hiện tại, không có gì thay đổi. Các chứng chỉ Let's Encrypt hiện tại của bạn sẽ tiếp tục được cấp và gia hạn đúng như trước đây. Khi chứng chỉ hậu lượng tử có sẵn từ Let's Encrypt, chúng sẽ đến theo cách mà dịch vụ luôn làm: miễn phí, tự động hóa và dành cho bất kỳ ai có máy khách ACME.

Quá trình chuyển đổi sẽ mất thời gian. Các tiêu chuẩn vẫn đang được hoàn thiện, và các chương trình root vẫn đang định nghĩa các yêu cầu của họ. Let's Encrypt sẽ giữ cho cộng đồng được thông báo khi công việc tiến triển.

Nếu bạn vận hành máy chủ, hãy đảm bảo rằng chúng hỗ trợ trao đổi khóa lai hậu lượng tử (X25519MLKEM768). Các trình duyệt và hệ điều hành lớn đã hỗ trợ điều này, và việc bật nó ở phía máy chủ là một trong những hành động có tác động cao nhất bạn có thể làm trong năm nay.

Let's Encrypt đã xây dựng hạ tầng cho web công cộng kể từ năm 2013 với nguyên tắc an ninh nên có sẵn cho mọi người, tự động và miễn phí. Sự chuyển đổi sang lượng tử là sự thay đổi mang tính thế hệ trong cách thức hoạt động của an ninh dưới bề mặt đó.