Sự ra đời của Quy định chung về Bảo vệ Dữ liệu (GDPR) của Liên minh châu Âu đã báo trước một kỷ nguyên bảo vệ mới cho các quyền và tự do cá nhân. Ban đầu GDPR không được lưu tâm, giờ đây với các khoản phạt liên quan đến vi phạm GDPR tích lũy gần mốc 3 tỷ euro, các tổ chức cần cân nhắc lại về cách tiếp cận của họ đối với quy định này. Với tính toán lượng tử, liệu các tổ chức có đi lại con đường tương tự như của GDPR không? Các nhà nghiên cứu và kỹ sư công nghệ về an ninh mạng đang quan tâm đúng mức đến điện toán lượng tử (vốn có cả tích cực lẫn tiêu cực) hay chưa?
Vai trò của mã hóa
Về cơ bản nhất, mã hóa là hành động lấy một đoạn thông tin mà con người có thể đọc được và biến nó thành văn bản không thể hiểu được. Mặc dù mã hóa không phải là mối quan tâm hàng đầu đối với hầu hết chúng ta, nhưng mã hóa đã trở thành một yếu tố hỗ trợ quan trọng cho các hoạt động then chốt khác nhau trong đời sống hàng ngày mà chúng ta vốn coi là đương nhiên.
Hai hình thức mã hóa chính, thứ nhất là mã hóa đối xứng, ở đó cùng một khóa được sử dụng để mã hóa và giải mã dữ liệu; thứ hai là mã hóa bất đối xứng, bao gồm một cặp khóa được liên kết về mặt toán học. Mặc dù cấu trúc toán học là khác nhau, nhưng gần như tất cả các giao tiếp trên Internet đều sử dụng cả mật mã đối xứng và bất đối xứng. Do đó, cả hai hình thức mật mã này cần phải được đảm bảo an toàn.
Tại sao chúng ta nên lo lắng ngay từ bây giờ?
Mã hóa không phải là không có rủi ro và mối lo ngại. Sự hiện thực hóa các máy tính lượng tử thương mại đủ mạnh để phá vỡ mã hóa khóa công khai sẽ là mối đe dọa đáng kể đối với an ninh quốc gia, tài chính, sức khỏe và dữ liệu riêng tư.
Nhiều khía cạnh của mật mã dựa trên các luận cứ toán học về độ phức tạp tính toán. Tính an toàn của một thuật toán bắt nguồn từ thực tế là không ai tìm ra cách phá vỡ thuật toán trong một khoảng thời gian hợp lý đủ để trở thành mối quan tâm.
Nhìn chung, các thuật toán mật mã sẽ có các tham số cung cấp các mức độ an toàn khác nhau. Ví dụ: khóa RSA có thể được sinh theo các kích cỡ khác nhau, tùy thuộc vào mức độ an toàn của khóa. Tuy nhiên, chúng ta sinh khóa càng lâu thì thuật toán càng trở nên không có tính thực hành, do đó cần có sự cân bằng giữa tính khả dụng và tính an toàn.
Nhiều vụ vi phạm dữ liệu nhấn mạnh rằng hầu hết các tổ chức đều lưu trữ dữ liệu vượt quá thời gian lưu giữ theo quy định hoặc tính hữu ích của dữ liệu. Khi đó xuất hiện rủi ro “lưu trữ trước, giải mã sau”, tức là dữ liệu bị đánh cắp không cần phải được giải mã ngay lập tức, mà có thể được giải mã ở thời điểm có giá trị trong tương lai. Sở hữu trí tuệ, dữ liệu tài chính, dữ liệu chăm sóc sức khỏe và các dữ liệu nhạy cảm khác bị đánh cắp ngày nay vẫn có thể liên quan trong thập kỷ tới. Ngoài ra, vào tháng 10/2021, các quan chức tình báo Mỹ đã chỉ ra điện toán lượng tử là một trong năm mối đe dọa chính bên ngoài, cùng với các mối đe dọa khác là trí tuệ nhân tạo, công nghệ sinh học, chất bán dẫn và hệ thống tự quản (autonomous system) [2]. Máy tính lượng tử quy mô lớn có thể cho phép giải mã hầu hết các giao thức an ninh mạng phổ biến cũng như tất cả lưu lượng được ghi lại trước đó, gây rủi ro cho sự thịnh vượng kinh tế, an ninh quốc gia và phần lớn cuộc sống hàng ngày của chúng ta.
Chuẩn bị cho một thế giới hậu lượng tử
Điện toán lượng tử cũng đặt ra câu hỏi về quy định và luật pháp. Ví dụ: theo GDPR (Điều 5) và các luật tương tự khác, có yêu cầu rằng dữ liệu cá nhân phải được “xử lý theo cách đảm bảo an toàn dữ liệu cá nhân thích hợp... bằng cách sử dụng các biện pháp kỹ thuật hoặc cách thức tổ chức phù hợp”. Yêu cầu này sẽ khó có thể được đáp ứng nếu các tổ chức tiếp tục áp dụng mã hóa thông thường trong kỷ nguyên lượng tử.
Ngoài ra, nhiều vụ vi phạm dữ liệu thu hút sự chú ý toàn cầu từ các cơ quan quản lý, luật sư tranh tụng và các vụ kiện tập thể là kết quả của việc kiểm tra tình trạng mạng (Cyber Hygiene) kém, thông tin đăng nhập bị đánh cắp/yếu hoặc các lỗ hổng đã biết. Các tổ chức gặp rủi ro gì khi họ cố ý tiếp tục sử dụng mã hóa thông thường vốn dễ bị tổn thương trước tấn công lượng tử? Liệu dữ liệu bị đánh cắp ở hiện tại và bị lộ về sau này do những tiến bộ điện toán lượng tử trong tương lai có dẫn đến các vụ kiện và hình phạt tập thể không? Có thể cho rằng, phần lớn dữ liệu liên lạc ngày nay đã được ghi lại, lưu trữ và sẵn sàng để giải mã sau này.
Bắt đầu từ đâu?
Điều quan trọng cần lưu ý là các công nghệ lượng tử không phải là mới đối với chúng ta. Cơ học lượng tử đã cho phép tạo các thiết bị như MRI, đèn LED và thậm chí cả đồng hồ GPS trong ô tô của bạn. Mặc dù thời gian để hiện thực hóa máy tính lượng tử có quy mô đủ lớn là không rõ ràng (dự đoán là sau năm 2030), bước đầu tiên là công nhận tác động của điện toán lượng tử đối với mật mã ngày nay và các giải pháp an ninh mạng hiện tại phần lớn sẽ không đủ an toàn. Các rủi ro an toàn như vậy cần phải được xem xét ngay từ thời điểm bây giờ.
Một giải pháp dành cho các tổ chức là bắt đầu nghĩ về các thuật toán mật mã hậu lượng tử (PQC) và thay thế các thuật toán hiện tại bằng các thuật toán kháng lượng tử mới. Năm ngoái, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã chỉ định bốn thuật toán mã hóa đầu tiên mà họ tin rằng sẽ an toàn sau sự xuất hiện của điện toán lượng tử. Các tổ chức nên đánh giá tính an toàn của các thuật toán ứng viên hậu lượng tử và chuyển sang sử dụng các thuật toán này để đảm bảo tính an toàn dữ liệu. Bắt đầu bằng cách xác định các lựa chọn thuật toán tốt nhất và lập kế hoạch chuyển đổi, lưu ý rằng các thuật toán PQC vẫn đang được phát triển.
Bản thân công nghệ lượng tử cung cấp một hướng đi khác, thông qua phân phối khóa lượng tử (QKD) và các kỹ thuật mã hóa khác. QKD sử dụng các tính chất của vật lý lượng tử: sự liên đới (entanglement) và tính phi định xứ (non-locality) của các bên ở xa và độ bất định lượng tử (quantum uncertainty) nhằm tạo ra và phân phối một bí mật được chia sẻ giữa những người dùng một cách an toàn trên các kênh không an toàn, sau đó có thể được sử dụng cho truyền thông điệp an toàn. QKD đảm bảo tính an toàn về phía trước nhưng yêu cầu kỹ thuật công nghệ chuyên dụng như cơ sở hạ tầng cáp quang chất lượng cao.
Lưu ý tính an toàn về phía trước giúp bảo vệ các khóa phiên (session key) không bị thỏa hiệp. Mặc dù QKD an toàn về mặt “lý thuyết thông tin”, tuy nhiên, trên thực tế, có những thách thức chứng nhận về xác thực giữa các bên, tính nhạy cảm của phần cứng vật lý, mất kênh và từ chối dịch vụ đã ngăn cản việc áp dụng QKD. QKD vẫn đang được nghiên cứu và phát triển để có khả năng khắc phục những thách thức đó.
Các tổ chức cũng cần xem xét việc cập nhật các chính sách mua sắm với quy định rằng các giao dịch mua công nghệ trong tương lai yêu cầu tính linh hoạt về mật mã (tức là có khả năng thêm và chuyển sang các thuật toán mới hơn, an toàn hơn khi sẵn sàng).
Trên thực tế, không nên nhìn nhận an toàn lượng tử như một sự thay thế hoàn toàn cho các biện pháp an toàn hiện có mà thay vào đó là một hình thức an toàn bổ sung cần được quản lý cùng với cơ sở hạ tầng hiện tại. Các tổ chức sẽ cần tính đến cách thức cài đặt, triển khai, quản lý và duy trì cả tính an toàn truyền thống và an toàn hậu lượng tử trên hệ thống của họ.
Tài liệu tham khảo [1] Leonard Kleinman, “The Quantum Effect On Cybersecurity”, Forbes, Feb 9, 2023. [2] NCSC Fact Sheet – Protecting Critical and Emerging U.S. Technologies from Foreign Threats. 21 October 2021. |
Đỗ Đại Chí (Tổng hợp)
08:13 | 23/12/2015
14:00 | 23/02/2024
15:00 | 22/05/2013
15:00 | 10/01/2014
14:00 | 17/08/2023
13:00 | 07/10/2024
Với sự phát triển mạnh mẽ của ngành công nghiệp trò chơi điện tử (game online), việc các vật phẩm ảo có thể quy đổi thành giá trị tiền thật đã trở nên rất phổ biến. Điều này vô tình tạo cơ hội thuận lợi để kẻ tấn công thực hiện hành vi chiếm đoạt tài sản.
08:00 | 05/09/2024
Giữa những trang sử vàng của cuộc kháng chiến chống Mỹ, có những câu chuyện về những người lính thầm lặng, những người không trực tiếp cầm súng chiến đấu nhưng lại nắm giữ một vũ khí vô cùng lợi hại, đó là thông tin. Họ là những chiến sĩ cơ yếu, những người đã cống hiến cả cuộc đời mình cho sự nghiệp bảo vệ bí mật quốc gia, góp phần không nhỏ vào thắng lợi của dân tộc. Ông Nguyễn Văn Khôi, một cựu chiến binh cơ yếu, là một trong những nhân chứng sống của thời kỳ hào hùng đó.
07:00 | 29/08/2024
Ngày 29/8/2012, Thủ tướng Chính phủ ký Quyết định về kế hoạch thực hiện Luật Cơ yếu nhằm xác định trách nhiệm và phân công nhiệm vụ cụ thể cho các Bộ, ngành, địa phương có liên quan đến hoạt động cơ yếu, đảm bảo cho việc triển khai thực hiện Luật được đồng bộ, đạt hiệu quả thiết thực
14:00 | 23/08/2024
Ngày 23/8, tại Hà Nội, sự kiện Ngày hội Trí tuệ nhân tạo Việt Nam năm 2024 (AI4VN 2024) diễn ra với chủ đề "Mở khóa sức mạnh trí tuệ nhân tạo tạo sinh”. AI4VN 2024 là sự kiện thường niên, do Bộ Khoa học và Công nghệ chỉ đạo, Báo VnExpress, Công ty Cổ phần Dịch vụ trực tuyến FPT (FPT Online) tổ chức, với sự phối hợp của Câu lạc bộ Các Khoa - Viện - Trường Công nghệ thông tin - Truyền thông (FISU).
Khoảng giữa năm 1995, cơ quan An ninh Quốc gia Mỹ (National Security Agency - NSA) bắt đầu công bố hàng nghìn thông điệp được giải mật từ dự án VENONA. Đó là các thông điệp được truyền trong hoạt động ngoại giao và hoạt động tình báo của Liên Xô được trao đổi từ năm 1940. Trong đó, có chứa các thông tin liên quan đến Cơ quan tình báo trung ương Liên Xô (Komitet Gosudarstvennoy Bezopasnosti - KGB), Cơ quan Tình báo Quân đội Nga (Glavnoye Razvedyvatel’noye Upravleniye - GRU), Cơ quan Dân ủy Nội vụ (Narodnyy Komissariat Vnutrennikh Del - NKVD)…. Đây là kết quả hợp tác truyền thông tình báo của Mỹ, Anh và một số nước đồng minh. Bài viết dưới đây trình bày khái quát các kết quả chính và nguyên nhân thám mã thành công của dự án VENONA.
15:00 | 30/12/2018
Trong 02 ngày 09 và 10/10, tại Hà Nội, Cục Cơ yếu Bộ Tổng Tham mưu tổ chức Hội nghị tập huấn nghiệp vụ công tác quản lý xây dựng lực lượng Cơ yếu Quân đội năm 2024. Thiếu tướng Hoàng Văn Quân, Cục trưởng Cục Cơ yếu Bộ Tổng tham mưu dự và chỉ đạo Hội nghị.
08:00 | 11/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024