**Một thực tiễn bảo mật hướng tới tương lai, cùng khám phá các giải pháp bảo mật cho Web2 và Web3 trong kỷ nguyên sau lượng tử**

Trong thời đại công nghệ phát triển nhanh chóng, bảo mật là một hành trình liên tục của sự khám phá và tiến bộ. Máy tính lượng tử, như một công nghệ tiên tiến, mang lại những cơ hội to lớn đồng thời đặt ra mối đe dọa dài hạn tiềm tàng đối với các hệ thống mã hóa khóa công khai hiện tại (chẳng hạn như RSA, ECC), vốn bảo vệ an ninh kỹ thuật số toàn cầu. Nhận thấy xu hướng này, chúng tôi lựa chọn khám phá chủ động thay vì chờ đợi thụ động.

Hôm nay, chúng tôi rất vui mừng chia sẻ một kết quả khám phá quan trọng: KuCoin, phối hợp với dự án mã nguồn mở pqc-gateway (https://github.com/web3infra-foundation/pqc-gateway) dưới sự bảo trợ của Web3 Infrastructure Foundation (W3IF) và đối tác kỹ thuật flomesh.io, đã hoàn thành thành công bằng chứng khái niệm (POC) cho một cổng mã hóa kháng lượng tử (PQC) và mở cửa cho công chúng trải nghiệm. Đây là một bước tiến vững chắc trên hành trình dài hướng tới an ninh sau lượng tử.

 

**Về Web3 Infrastructure Foundation (W3IF)**
Quỹ W3IF (trang web chính thức: https://web3infra.foundation/) là một tổ chức phi lợi nhuận về phần mềm mã nguồn mở có trụ sở tại Hồng Kông, nhằm tập hợp các dự án cơ sở hạ tầng Web3 mã nguồn mở chất lượng cao trên toàn cầu, thúc đẩy xây dựng hệ sinh thái công nghệ phi tập trung bao quát các lĩnh vực trọng điểm như thuật toán đồng thuận, bằng chứng không tiết lộ (zero-knowledge proofs), xác thực danh tính phi tập trung (DID), và tính toán tin cậy. Dự án pqc-gateway, một phần của sự hợp tác này, là một thành phần quan trọng trong hệ sinh thái của quỹ.

 

• PQC, viết tắt của post-quantum cryptography (mật mã hậu lượng tử) hoặc quantum-resistant cryptography (mật mã kháng lượng tử). Đây không phải là một thuật toán cụ thể, mà là một lớp các thuật toán mật mã thế hệ mới có khả năng chống lại các cuộc tấn công từ máy tính lượng tử trong tương lai.

• Vấn đề cốt lõi mà PQC giải quyết là: tính bảo mật của các thuật toán mã hóa bất đối xứng được sử dụng rộng rãi (chẳng hạn như RSA, ECC) dựa trên sự phức tạp tính toán của một số vấn đề toán học. Tuy nhiên, máy tính lượng tử có thể sử dụng các qubit đặc biệt của chúng (chẳng hạn thuật toán Shor) để giải quyết các vấn đề này trong thời gian rất ngắn, đe dọa hệ thống bảo mật của mọi thứ từ truyền thông mạng đến tài sản blockchain dựa trên các thuật toán này.
• Giá trị của PQC nằm ở khả năng, ngay cả khi máy tính lượng tử mạnh mẽ ra đời, việc phá vỡ các thuật toán PQC sẽ vẫn rất khó về mặt lý thuyết. Nó hướng tới việc xây dựng một cây cầu bảo mật mới có thể vượt qua "kỷ nguyên lượng tử".

Các cơ quan quản lý và thiết lập tiêu chuẩn toàn cầu cũng đã thực hiện các hành động chủ động, chỉ ra hướng đi và sự cấp thiết của việc chuyển đổi này:

• Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã dẫn đầu và hoàn thành việc tiêu chuẩn hóa lô thuật toán PQC đầu tiên (chẳng hạn như Kyber, Dilithium, v.v.), đánh dấu một con đường công nghệ rõ ràng ^[1] . Đồng thời, nhiều thuật toán khác đã bước vào phiên bản dự thảo cuối cùng, và hệ sinh thái đang nhanh chóng trưởng thành.

• Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã ban hành chiến lược quốc gia bắt buộc yêu cầu chuyển đổi từ các thuật toán khóa công truyền thống (RSA, ECC) phải được hoàn tất vào khoảng năm 2030. Từ năm 2035, tất cả các thiết bị và phần mềm mới dùng cho hệ thống an ninh quốc gia phải chỉ dùng các thuật toán PQC ^[2] .

• . Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) cũng đã bắt đầu chuẩn bị cho tương lai, soạn thảo một đề xuất dành cho các tổ chức tài chính toàn cầu với tiêu đề "Post-Quantum Cryptography Readiness for the Financial Industry (PQFIF)", chỉ ra rằng bảo mật kháng lượng tử sắp trở thành yêu cầu bắt buộc về tuân thủ tài chính ^[3] .

. Tất cả những điều này cho thấy rằng chuyển đổi sang PQC không còn là câu hỏi "nếu", mà là "khi nào" và "như thế nào".

 

Trong bối cảnh này, KuCoin đã hợp tác với dự án mã nguồn mở pqc-gateway và đối tác kỹ thuật. flomesh.io dưới sự bảo trợ của W3IF Foundation nhằm đưa các nghiên cứu lý thuyết vào ứng dụng thực tiễn. Chúng tôi đã cùng nhau xây dựng một môi trường bằng chứng khái niệm (proof-of-concept) cho cổng kết nối chống lại các cuộc tấn công lượng tử.

Nguyên lý cốt lõi là: Trong quá trình thiết lập kết nối HTTPS giữa trình duyệt của người dùng và máy chủ KuCoin, các thuật toán trao đổi khóa và xác thực được thay thế từ RSA/ECC truyền thống sang các thuật toán chống lượng tử (PQC) theo tiêu chuẩn bản thảo của NIST.

Chúng tôi chân thành mời bạn trải nghiệm kết quả ban đầu này: truy cập https://pqctest.kucoin.biz, kết nối của bạn đã được bảo vệ bằng mã hóa hậu lượng tử (post-quantum cryptography).

Để có trải nghiệm tốt nhất, chúng tôi khuyến nghị sử dụng các phiên bản trình duyệt sau đây:

• Chrome: Phiên bản 142.0.7444.135 trở lên

• Safari: Phiên bản 26.0.1 trở lên

• Firefox: Phiên bản 144.0.2 trở lên

Ví dụ, trong trình duyệt Chrome, nhấn F12 để mở bảng điều khiển, chọn Security panel, nếu trình duyệt của bạn hỗ trợ PQC, bạn sẽ thấy tại mục Connection trong phần Key exchange rằng thuật toán trao đổi khóa của bạn đã sử dụng thuật toán X25519MLKEM768 PQC, điều này cho biết rằng giao tiếp của bạn đã được bảo vệ bằng PQC.

Chuyển đổi PQC từ các tiêu chuẩn lý thuyết sang giải pháp áp dụng thực tiễn trong môi trường sản xuất là một hành trình đầy thách thức. Trong thực hành POC này, chúng tôi đã nghiên cứu sâu về một số vấn đề cốt lõi cùng đội dự án pqc-gateway của W3IF Foundation và flomesh.io, đây cũng là những "vùng nước sâu" mà toàn ngành phải đối mặt:

1. Hiệu suất và Chi phí: Cân bằng giữa bảo mật và hiệu quả cũng như các hướng tối ưu hóa trong tương lai

Đây là thách thức trực tiếp nhất đối với việc triển khai PQC, chủ yếu được phản ánh qua hai khía cạnh: tính toán và truyền tải.

• Chi phí tính toán:Tải trọng tính toán của hầu hết các thuật toán PQC vượt xa so với ECC hiện tại. Ví dụ, tốc độ tạo và xác minh chữ ký của thuật toán chữ ký Dilithium chậm hơn nhiều lần so với ECDSA truyền thống. Đối với các cổng giao dịch hiệu suất cao như KuCoin, điều này có nghĩa là tăng đáng kể tải CPU, có thể ảnh hưởng trực tiếp đến tốc độ truy vấn và độ trễ dịch vụ của hệ thống.

• Tăng tải truyền thông (Băng thông):Đây hiện là một trong những điểm đau lớn nhất đối với PQC.

• • Trao đổi khóa:Kích thước ciphertext và khóa công khai của thuật toán Kyber vào khoảng 1-2KB, trong khi ECDH truyền thống chỉ từ 32-64 byte.
  • Chữ ký:Kích thước chữ ký của Dilithium vào khoảng 2-4KB, trong khi chữ ký ECDSA thường chỉ từ 64-128 byte.
• Thách thức đối với chứng chỉ và Hạ tầng khóa công khai (PKI):
  • Mở rộng chuỗi chứng chỉ: Chuỗi chứng chỉ TLS thông thường bao gồm chứng chỉ thực thể cuối, chứng chỉ CA trung gian và chứng chỉ CA gốc. Nếu tất cả đều sử dụng chữ ký PQC, kích thước của toàn bộ chuỗi chứng chỉ có thể lên đến vài chục KB. Trình duyệt có thể cần tải xuống hàng trăm KB dữ liệu chứng chỉ trong quá trình bắt tay, điều này có thể ảnh hưởng nghiêm trọng đến tốc độ tải trang đầu tiên và trải nghiệm người dùng.
• Tác động tổng thể và các giải pháp trong tương lai:Quá trình bắt tay TLS 1.3 hoàn chỉnh, nếu sử dụng hoàn toàn các thuật toán PQC để thay thế các thuật toán hiện tại, có thể khiến lượng dữ liệu truyền tải tăng gấp 10-20 lần. Đây là một thách thức lớn đối với các kịch bản nhạy cảm với độ trễ mạng và môi trường hạn chế băng thông (chẳng hạn như mạng di động).

Hướng tới tương lai, chúng tôi dự định hợp tác chặt chẽ với W3IF Foundation và các đối tác kỹ thuật để cùng khám phá các giải pháp mang tính hệ thống: 

• • Chuyển tải phần cứng: Nghiên cứu việc sử dụng phần cứng chuyên dụng (chẳng hạn như các card mạng thông minh, card tăng tốc mã hóa) để đảm nhận các nhiệm vụ tính toán cường độ cao PQC, giải phóng CPU để xử lý các hoạt động kinh doanh cốt lõi.
  • Công nghệ nén chứng chỉ: Khám phá các thuật toán nén hiệu quả để giải quyết vấn đề kích thước lớn của chứng chỉ PQC, giảm đáng kể lượng dữ liệu truyền tải mà không làm giảm bảo mật.
  • Tối ưu hóa tập lệnh CPU: Thúc đẩy và áp dụng các tập lệnh CPU được tối ưu hóa cho các thuật toán PQC chủ đạo nhằm nâng cao hiệu quả tính toán từ gốc.

Mục tiêu của chúng tôi là cuối cùng đạt được sự đồng hành của bảo mật và hiệu quả thông qua các đổi mới công nghệ này.

 

2. Giao thức và Khả năng tương tác: Sự phức tạp của hợp tác trong hệ sinh thái

TLS là một hệ sinh thái giao thức phức tạp, và việc áp dụng PQC đòi hỏi sự hợp tác từ tất cả các bên, bao gồm cả việc mở rộng giao thức và hệ thống chứng chỉ.

• Tính tương thích với hệ sinh thái hiện tại và lộ trình triển khai từng bước:Những đổi mới công nghệ toàn diện và đột phá là không thực tế ở cấp độ cơ sở hạ tầng internet. Do đó, triển khai từng bước là con đường khả thi duy nhất.
  • Giải quyết thách thức về tính tương thích:Trong POC này, chúng tôi đã thành công trong việc giải quyết các vấn đề tương thích với hệ sinh thái hiện tại thông qua thiết kế cổng thông minh và các chiến lược đàm phán giao thức. Cổng của chúng tôi có thể xác định thông minh khả năng hỗ trợ PQC của khách hàng (trình duyệt). Đối với những trình duyệt chưa hỗ trợ PQC, cổng có thể tự động chuyển đổi sang các thuật toán mã hóa truyền thống, đảm bảo rằng tất cả người dùng đều có thể truy cập trang web một cách trơn tru, qua đó đảm bảo tính khả dụng toàn diện của dịch vụ. Đây là một tiến bộ quan trọng mà chúng tôi đã đạt được trong thực hành này.
  • Tình trạng hiện tại và hạn chế của việc hỗ trợ trình duyệt:Tại sao hiện tại bạn chỉ thấy PQC ở cấp độ trao đổi khóa.
    Hiện tại, các trình duyệt phổ biến (Chrome, Safari, Firefox) đang ở giai đoạn đầu hỗ trợ PQC. Chiến lược hỗ trợ của họ là dần dần và theo từng giai đoạn:

1. 1. Ưu tiên hỗ trợ cho trao đổi khóa:Các phiên bản trình duyệt hiện tại chủ yếu tích hợp hỗ trợ cho các thuật toán PQC (như Kyber) ở giai đoạn trao đổi khóa. Điều này là do trao đổi khóa ảnh hưởng trực tiếp đến bảo mật của các khóa phiên trong các giao tiếp sau đó, điều này rất quan trọng để bảo vệ chống lại các cuộc tấn công "lưu trữ ngay bây giờ, giải mã sau". Vì vậy, khi bạn truy cập vào tên miền thử nghiệm của chúng tôi, trình duyệt của bạn đã sẵn sàng đàm phán một khóa phiên chống lượng tử với cổng của chúng tôi bằng các thuật toán PQC.
   2. Sự chậm trễ trong việc hỗ trợ chữ ký số:Hỗ trợ cho chữ ký số (chủ yếu được sử dụng cho xác thực danh tính máy chủ, tức là xác minh chuỗi chứng chỉ) vẫn đang được cải thiện trong các trình duyệt. Đây là lý do tại sao, trong trải nghiệm hiện tại, việc áp dụng PQC chủ yếu được thể hiện ở cấp độ trao đổi khóa. Toàn ngành vẫn cần đợi các trình duyệt và các nhà cung cấp chứng chỉ (CAs) hoàn toàn theo kịp ở cấp độ chữ ký.

 

3. Quản lý bảo mật các tài liệu khóa nhạy cảm

Nâng cấp mật mã không chỉ đơn giản là thay đổi thuật toán; nó còn đặt ra các yêu cầu mới đối với quản lý toàn bộ vòng đời bảo mật. Làm thế nào để tạo an toàn, lưu trữ, xoay vòng và hủy các khóa riêng tương ứng với thuật toán PQC, đảm bảo rằng thông tin nhạy cảm mới, có thể phức tạp hơn không bị rò rỉ, là một thách thức phức tạp và quan trọng hơn cả việc thay thế thuật toán. Chúng tôi đang điều chỉnh và xác thực hệ thống quản lý khóa trưởng thành hiện có với các tính năng mới của PQC.

Mặc dù có nhiều thách thức, việc xác thực POC của cổng này đã mở ra cánh cửa cho các kịch bản ứng dụng PQC rộng hơn. Bảo mật của nền tảng giao dịch chỉ là điểm khởi đầu; bảo mật của chính blockchain, đặc biệt là bảo mật của ví và hợp đồng thông minh, cũng đối mặt với các thách thức từ điện toán lượng tử. Trong tương lai, chúng tôi sẽ mở rộng tầm nhìn khám phá của mình sang lĩnh vực on-chain, cam kết bảo vệ an toàn toàn diện cho tài sản kỹ thuật số của người dùng:

• Ví chống lượng tử: Khám phá việc sử dụng các thuật toán PQC để tạo và lưu trữ khóa riêng, hoặc xây dựng các hệ thống chữ ký chống lượng tử nhằm bảo vệ cơ bản tài sản ví khỏi các mối đe dọa từ điện toán lượng tử trong tương lai.

• Ứng dụng DApp an toàn: Hỗ trợ và thúc đẩy các nhà phát triển DApp sử dụng các thuật toán PQC cho việc xác thực danh tính người dùng và ký giao dịch, xây dựng nền tảng bảo mật hậu lượng tử cho toàn bộ hệ sinh thái ứng dụng phi tập trung.

• Giao dịch on-chain và hợp đồng thông minh: Nghiên cứu các định dạng chữ ký giao dịch thế hệ mới và cơ chế xác minh hợp đồng thông minh tương thích với PQC, đảm bảo rằng các hoạt động on-chain luôn an toàn và đáng tin cậy trong kỷ nguyên lượng tử.

Tầm nhìn của chúng tôi là xây dựng một hệ thống bảo mật chống lượng tử ba chiều, từ các nền tảng giao dịch đến mạng lưới blockchain, từ các dịch vụ tập trung đến các ứng dụng phi tập trung, thực sự bảo vệ an ninh trên chuỗi của mọi người.

Sự hợp tác POC này với W3IF Foundation, flomesh.io và dự án mã nguồn mở pqc-gateway của họ, cùng với phân tích chuyên sâu về các thách thức và lập kế hoạch tương lai của chúng tôi, chỉ là điểm khởi đầu cho hành trình di chuyển hậu lượng tử của KuCoin. Chúng tôi không tự nhận rằng đã giải quyết được tất cả các vấn đề, nhưng chúng tôi tin tưởng rằng việc khám phá sớm, thực hành chủ động, và hợp tác mở là những cách tốt nhất để đối phó với những bất định trong tương lai.

KuCoin luôn xem an ninh tài sản và dữ liệu của người dùng là trách nhiệm hàng đầu. Thông qua việc khám phá toàn diện từ các nền tảng giao dịch đến hệ sinh thái blockchain, chúng tôi không chỉ hướng đến việc nâng cao rào cản công nghệ bảo mật của chính mình mà còn tích lũy các thực tiễn tốt nhất cho ngành trong việc triển khai PQC. Chúng tôi mong muốn hợp tác với nhiều đối tác và người dùng hơn để cùng xây dựng một hệ sinh thái tài sản kỹ thuật số an toàn hơn, tự tin đối mặt với kỷ nguyên tính toán tiếp theo.

Vì an ninh thực sự bắt nguồn từ sự tôn trọng tương lai và hành động bắt đầu từ dưới chân chúng ta.

Tài liệu tham khảo:

[1] NIST PQC Standardization: https://csrc.nist.gov/projects/post-quantum-cryptography/selected-algorithms-2022
[2] NSA Cybersecurity Advisory - PQC Migration: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3498776/post-quantum-cryptography-cisa-nist-and-nsa-recommend-how-to-prepare-now/
[3] SEC - PQFIF Draft Recommendations: https://www.sec.gov/files/cft-written-input-daniel-bruno-corvelo-costa-090325.pdf

 

Tuyên bố từ chối trách nhiệm: Trang này được dịch bằng công nghệ AI (do GPT cung cấp) để thuận tiện cho bạn. Để biết thông tin chính xác nhất, hãy tham khảo bản gốc tiếng Anh.