Tại sao Mật mã Hậu siêu máy tính bắt đầu từ Thông tin đăng nhập

Dữ liệu mã hóa ngày nay, chẳng hạn như thông tin đăng nhập, có thể không còn giữ được tính bảo mật trong tương lai vì mật mã học khóa công khai bảo vệ chúng sẽ sớm bị phá vỡ bởi máy tính lượng tử. Mặc dù hiện nay chưa có máy móc nào có thể phá vỡ mật mã đường cong Elliptic hoặc RSA, phần cứng lượng tử đang tiến bộ nhanh chóng và chắc chắn sẽ thay đổi cách các tổ chức bảo vệ dữ liệu. Bản mã và thông tin đăng nhập bị kẻ tấn công thu thập hiện nay có thể được lưu trữ và giải mã ngay khi máy tính lượng tử xuất hiện.
Mật mã hậu siêu máy tính và bảo mật thông tin đăng nhập

Dữ liệu mã hóa ngày nay, chẳng hạn như thông tin đăng nhập (credentials), có thể không còn giữ được tính bảo mật trong tương lai vì mật mã học khóa công khai (public-key cryptography) bảo vệ chúng sẽ sớm bị phá vỡ bởi máy tính lượng tử (quantum computers). Mặc dù hiện nay chưa có máy móc nào có thể phá vỡ mật mã đường cong Elliptic (ECC) hay RSA, nhưng phần cứng lượng tử đang tiến bộ nhanh chóng và chắc chắn sẽ thay đổi cách các tổ chức bảo vệ dữ liệu của mình. Bản mã (ciphertext) và thông tin đăng nhập bị kẻ tấn công thu thập hiện nay có thể được lưu trữ và giải mã ngay khi công nghệ máy tính lượng tử kịp bắt kịp.

Mật mã kháng lượng tử cấp thiết đến mức nào?

Báo cáo Lộ trình Đe dọa Lượng tử năm 2025 của Global Risk Institute cho thấy các chuyên gia an ninh được khảo sát tin rằng một máy tính lượng tử có khả năng giải mã có thể sẽ xuất hiện trong vòng 15 năm tới, với tỷ lệ dự đoán từ 51-70%. Mối đe dọa này bắt nguồn từ năm 1994, khi Peter Shor chứng minh rằng một máy tính lượng tử mạnh mẽ có thể phân tích các số lớn thành thừa số nguyên tố và tính toán logarit rời rạc một cách hiệu quả. Tuy nhiên, thuật toán của Shor chỉ áp dụng cho mật mã học khóa công khai, không gây ra mối đe dọa đáng kể nào đối với mã hóa đối xứng như AES-256 hoặc các hàm băm hiện đại. Sự khác biệt này rất quan trọng vì mật mã học khóa công khai là phương thức mà hai hệ thống sử dụng để thiết lập lòng tin và thống nhất các khóa bảo vệ dữ liệu của họ. Nếu một máy tính lượng tử có thể phá vỡ bước đó, kẻ tấn công có thể mở khóa dữ liệu và thông tin đăng nhập được bảo vệ đằng sau nó.

Điều làm cho mối đe dọa lượng tử trở nên cấp bách ngay từ bây giờ, thay vì chỉ trong tương lai, là chiến thuật được gọi là Harvest Now, Decrypt Later (Thu thập ngay, Giải mã sau). Trong đó, kẻ tấn công thu giữ lưu lượng truy cập mã hóa ngày nay, lưu trữ lại và sau đó giải mã khi máy tính lượng tử xuất hiện. Với việc một máy tính lượng tử đủ khả năng có thể xuất hiện trong vòng 15 năm tới, bất kỳ dữ liệu nào bị đánh chặn và thu thập ngày hôm nay nên được coi là dữ liệu đã bị lộ.

Thời hạn Q-day

Mặc dù chưa rõ chính xác khi nào máy tính lượng tử sẽ xuất hiện, các cơ quan chính phủ đang đặt ra các thời hạn xung quanh cột mốc được gọi là Q-day – thời điểm mật mã học buộc phải thay đổi. Bộ thuật toán An ninh Quốc gia Thương mại 2.0 của NSA sẽ yêu cầu các hệ thống an ninh quốc gia mới bắt đầu hỗ trợ các thuật toán kháng lượng tử từ ngày 1 tháng 1 năm 2027. Trong khi các thời hạn được sắp xếp xen kẽ cho các danh mục hệ thống khác nhau trong suốt đầu những năm 2030, NSA hy vọng sẽ làm cho tất cả các hệ thống an ninh quốc gia có khả năng kháng lượng tử vào năm 2035. NIST cũng đang đi trên một lộ trình tương tự với dự thảo IR 8547, trong đó phản đối việc sử dụng RSA-2048 và ECC P-256 sau năm 2030 và cấm hoàn toàn sau năm 2035. Những mốc thời gian này có vẻ xa vời, nhưng một quá trình chuyển đổi toàn diện cho doanh nghiệp có thể mất từ 5 đến 15 năm, vì riêng giai đoạn khám phá và đánh giá đã có thể mất từ 1 đến 2 năm trong các doanh nghiệp lớn.

Tại sao thông tin đăng nhập mang lại rủi ro lớn trong tương lai hậu lượng tử

Không phải tất cả dữ liệu mã hóa trong một tổ chức đều chịu rủi ro như nhau khi mật mã bảo vệ nó trở nên lỗi thời. Hầu hết các bí mật, như mã thông báo phiên (session tokens), có thời gian bảo mật kéo dài trong vài tháng; nhưng thông tin đăng nhập có thể tồn tại trong nhiều năm hoặc chừng nào các hệ thống liên quan còn hoạt động. Đối với những kẻ tấn công, điều đó khiến thông tin đăng nhập trở nên đáng giá để thu thập ngay bây giờ và giữ cho đến khi máy tính lượng tử có thể giải mã chúng. Điều làm cho đây trở thành một rủi ro bảo mật lớn là quy mô, đặc biệt khi hầu hết các tổ chức có số lượng Danh tính không phải con người (Non-Human Identities - NHIs) ngày càng tăng như các tài khoản dịch vụ và API keys. Những thông tin đăng nhập máy này thường có tuổi thọ cao vì không có người dùng thực thụ chịu trách nhiệm thay đổi (rotate) chúng và chúng thường chưa được kiểm kê về mức độ phơi nhiễm mật mã, khiến chúng trở thành mục tiêu lý tưởng để thu thập.

Cách bắt đầu di chuyển sang lượng tử ưu tiên thông tin đăng nhập

Vì hầu hết rủi ro tập trung vào thông tin đăng nhập, quá trình di chuyển cũng nên bắt đầu từ đó. Các tổ chức nên thực hiện cách tiếp cận ưu tiên thông tin đăng nhập để di chuyển sang lượng tử bằng cách thực hiện các bước sau:

Kiểm kê hệ thống mật mã hiện có

Lý do chính khiến quá trình di chuyển diễn ra chậm chạp là do các tổ chức không thể liệt kê chi tiết các phụ thuộc mật mã của mình. Việc kiểm kê ưu tiên thông tin đăng nhập bắt đầu bằng cách tìm kiếm các hệ thống nắm giữ hoặc điều phối bí mật, bao gồm trình quản lý mật khẩu, trình quản lý bí mật và các nền tảng Quản lý Truy cập Đặc quyền (PAM). Giai đoạn này có khả năng làm lộ các tài khoản dịch vụ bị lãng quên, các bí mật bị mã hóa cứng (hardcoded secrets) hoặc các tích hợp đã không còn hoạt động trong nhiều năm.

Ưu tiên rủi ro hơn quy mô

Mặc dù các tổ chức có thể muốn bắt đầu bảo vệ các hệ thống lớn nhất của mình, nhưng việc ưu tiên dựa trên thời gian bảo mật (confidentiality lifetime) và khả năng tiếp cận của kẻ tấn công sẽ thông minh hơn. Với logic này, một bí mật nhỏ, tồn tại lâu dài dùng để truy cập vào các hệ thống quan trọng sẽ quan trọng hơn một tập dữ liệu khổng lồ nhưng ngắn hạn. Ưu tiên rủi ro theo cách này đảm bảo rằng những thông tin đăng nhập dễ bị tổn thương nhất bởi chiến thuật Harvest Now, Decrypt Later sẽ được bảo mật trước tiên.

Di chuyển sang mật mã học hỗn hợp (Hybrid Cryptography)

Thay vì thay thế hoàn toàn các thuật toán cổ điển, các tổ chức nên áp dụng mật mã học hỗn hợp bằng cách kết hợp một thuật toán cổ điển với một thuật toán kháng lượng tử trong cùng một lần trao đổi khóa. Điều này giữ cho kết nối được bảo vệ chống lại cả những kẻ tấn công truyền thống ngày nay và những kẻ tấn công lượng tử trong tương lai. Mật mã học hỗn hợp cũng giúp các tổ chức tránh việc đặt cược tất cả vào một thuật toán duy nhất, tương đối mới, vì thành phần cổ điển vẫn được giữ nguyên.

Xây dựng khả năng linh hoạt mật mã (Crypto-agility)

Vì các thuật toán sẽ bị lỗi thời và các tham số thay đổi, các tổ chức nên dự tính rằng quá trình di chuyển hiện tại sẽ không phải là lần cuối cùng. Hãy xây dựng với tư duy linh hoạt mật mã: bằng cách đó, việc hoán đổi thuật toán mật mã chỉ là thay đổi cấu hình thay vì phải đại tu toàn bộ kỹ thuật. Đối với thông tin đăng nhập, điều này có nghĩa là giữ mật mã ở một vị trí tập trung để khi cần thay đổi thuật toán, nó có thể được cập nhật một lần thay vì phải sửa lại trên nhiều ứng dụng, đường ống (pipelines) và tích hợp.

Bắt đầu bảo vệ ở nơi có rủi ro cao nhất

Mặc dù việc trì hoãn mật mã kháng lượng tử có thể rất hấp dẫn, các tổ chức phải nhớ rằng di chuyển sang lượng tử là một quá trình lâu dài và dữ liệu ngày nay phải được giữ bí mật trong tương lai xa. Máy tính lượng tử chưa cần tồn tại thì mối đe dọa từ việc thu thập và sau đó giải mã thông tin đăng nhập đã là một vấn đề thực tế. Vào tháng 11 năm 2025, việc triển khai mật mã kháng lượng tử đã bắt đầu trên tất cả các ứng dụng khách của Keeper, áp dụng Cơ chế đóng gói khóa hỗn hợp Kyber (Hybrid Key Encapsulation Mechanisms - KEM) để giúp bảo mật các kho lưu trữ (vaults) khỏi Harvest Now, Decrypt Later và các mối đe dọa máy tính lượng tử khác. Bảo vệ thông tin đăng nhập trước tương lai lượng tử là điều các tổ chức nên ưu tiên ngay bây giờ.

Lưu ý: Bài viết này được viết và đóng góp cho độc giả bởi Ashley D’Andrea, Chuyên viên viết nội dung tại Keeper Security.