Mối lo ngại về AES 128 trong kỷ nguyên lượng tử là sai lầm, chuyên gia khẳng định

Mối lo ngại về AES 128 trong kỷ nguyên lượng tử là sai lầm, chuyên gia khẳng định

Trong bối cảnh ngày càng nhiều sự chú ý đổ dồn vào mối đe dọa hiện hữu mà máy tính lượng tử mang lại cho các hình thức mã hóa quan trọng và phổ biến nhất hiện nay, kỹ sư mật mã Filippo Valsorda muốn làm rõ một điều: Trái ngược với những quan niệm sai lầm phổ biến khó xóa bỏ, AES 128 hoàn toàn ổn định trong thế giới hậu lượng tử.

AES 128 là biến thể được sử dụng rộng rãi nhất của Tiêu chuẩn Mã hóa Nâng cao (Advanced Encryption Standard - AES), một bộ mã hóa khối được Viện Tiêu chuẩn và Kỹ thuật Quốc gia Hoa Kỳ (NIST) chính thức thông qua vào năm 2001. Mặc dù thông số kỹ thuật cho phép kích thước khóa 192 và 256 bit, AES 128 vẫn được coi là lựa chọn ưu tiên vì nó đạt được điểm cân bằng hoàn hảo giữa tài nguyên tính toán cần thiết để sử dụng và mức độ bảo mật mà nó mang lại.

Trong suốt lịch sử 30 năm, không có lỗ hổng nào được biết đến, và tấn công vét cạn (brute-force) là cách duy nhất được biết đến để phá vỡ nó. Với 2 mũ 128 (khoảng 3,4 x 10 mũ 38) tổ hợp khóa khả thi, một cuộc tấn công như vậy sẽ mất khoảng 9 tỷ năm nếu sử dụng toàn bộ tài nguyên khai thác Bitcoin vào năm 2026.

Hiểu lầm về thuật toán Grover

Trong thập kỷ qua, sự tự tin của công chúng vào AES 128 đã bị lung lay bởi một sự hiểu lầm thú vị. Các nhà mật mã học và toán học nghiệp dư đã dựa trên một chuỗi phương trình được gọi là thuật toán Grover để tuyên bố về sự "kết thúc" của AES 128 khi máy tính lượng tử có liên quan về mặt mật mã (CRQC) trở thành hiện thực. Họ lập luận rằng một CRQC sẽ làm giảm hiệu quả bảo mật thực tế xuống chỉ còn 2 mũ 64.

Nếu điều này là đúng, con số đó đủ nhỏ để cho phép cùng một tài nguyên khai thác Bitcoin nêu trên có thể vét cạn nó trong chưa đầy một giây. Tuy nhiên, so sánh này chỉ mang tính chất minh họa.

Vấn đề cốt lõi nằm ở khả năng xử lý song song

Thực tế, một CRQC gần như chắc chắn không thể chạy các cụm ASIC của Bitcoin. Quan trọng hơn, chúng không thể xử lý công việc theo kiểu song song (parallelize) như những người nghiệp dư này vẫn lầm tưởng. Sự khác biệt cơ bản trong kiến trúc xử lý của máy tính lượng tử so với máy tính cổ điển khiến cho kịch bản "tấn công trong tích tắc" trên là không khả thi về mặt thực tế.

Do đó, việc lo lắng rằng AES 128 sẽ trở nên vô dụng trước sức mạnh của máy tính lượng tử là một quan niệm sai lầm, cần được sửa đổi để tập trung nguồn lực vào những thách thức thực sự hơn trong quá trình chuyển đổi sang bảo mật hậu lượng tử.