Google đã công bố một chương trình mới nhằm làm cho chứng chỉ HTTPS an toàn trước các máy tính lượng tử trong tương lai.

Chương trình này có tên PLANTS (PKI, Logs và Tree Signatures). Mục tiêu của nó là giải quyết các vấn đề về hiệu suất và băng thông do kích thước lớn của các thuật toán mật mã kháng lượng tử gây ra trong các kết nối TLS yêu cầu Certificate Transparency (CT).

Việc bảo vệ các kết nối TLS khỏi các cuộc tấn công của máy tính lượng tử có thể ảnh hưởng đáng kể đến hiệu suất của trình duyệt và làm tăng lượng băng thông cần thiết nếu các chứng chỉ số hiện nay chỉ đơn giản được thay thế bằng các chứng chỉ dùng mật mã kháng lượng tử.

Bas Westerbaan, kỹ sư nghiên cứu tại Cloudflare, cho biết mật mã hiện nay dễ bị tổn thương trước máy tính lượng tử nhưng có một lợi thế lớn: kích thước nhỏ và hiệu quả.

Ông giải thích rằng các hệ thống hiện tại đã quen với việc sử dụng mật mã rất nhỏ. Tuy nhiên, các thuật toán kháng lượng tử thường lớn hơn khoảng 40 lần, tạo ra thách thức khi áp dụng cho các kết nối web.

Thách thức hiệu suất của mật mã hậu lượng tử

Rebecca Krauthamer, CEO và đồng sáng lập công ty bảo mật hậu lượng tử QuSecure, cho biết các trình duyệt thực hiện hàng tỷ lần kết thúc TLS mỗi ngày và việc xác thực chứng chỉ nằm trên đường quan trọng của quá trình tải trang.

Trong hệ thống web hiện nay, quá trình bắt tay TLS thường bao gồm:

• nhiều chữ ký số

• nhiều khóa mật mã

• chuỗi chứng chỉ

• bằng chứng liên quan đến Certificate Transparency

Những chi phí này có thể chấp nhận được với chữ ký mật mã cổ điển nhỏ gọn, nhưng các chữ ký hậu lượng tử và khóa mật mã có kích thước lớn hơn nhiều.

Điều này làm tăng:

• lượng dữ liệu truyền qua mạng

• thời gian bắt tay TLS

• nguy cơ lỗi như phân mảnh dữ liệu hoặc quá tải hệ thống trung gian

Ở quy mô internet, các cái bắt tay TLS lớn hơn sẽ dẫn đến kết nối chậm hơn và tắc nghẽn mạng nhiều hơn, đặc biệt trên các đường truyền có băng thông hạn chế.

Google sử dụng Merkle Tree cho chứng chỉ HTTPS

Để giải quyết vấn đề này, Google đang phát triển một hệ thống chứng chỉ HTTPS mới dựa trên Merkle Tree Certificates (MTC).

Trong hệ thống PKI truyền thống, chứng chỉ thường bao gồm chuỗi chữ ký nối tiếp lớn và phức tạp.

Với MTC, hệ thống này được thay thế bằng các bằng chứng Merkle Tree nhỏ gọn hơn.

Trong mô hình mới:

• Cơ quan chứng nhận (CA) ký một “Tree Head” duy nhất đại diện cho hàng triệu chứng chỉ tiềm năng

• chứng chỉ gửi đến trình duyệt chỉ là bằng chứng nhỏ gọn cho thấy nó nằm trong cây đó

Nhờ cách tiếp cận này, các thuật toán mật mã hậu lượng tử mạnh mẽ có thể được sử dụng mà không gây ra chi phí băng thông lớn như các chuỗi chứng chỉ truyền thống.

Google cho biết MTC giúp tách biệt độ mạnh bảo mật của thuật toán khỏi kích thước dữ liệu truyền đến người dùng.

Mục tiêu là giữ cho web hậu lượng tử nhanh và liền mạch như internet hiện nay, ngay cả khi sử dụng bảo mật mạnh hơn.

Hệ sinh thái phụ thuộc mới

Jeremy Samuelson, phó chủ tịch điều hành về AI và đổi mới tại Integrated Quantum Technologies, cho rằng MTC là một giải pháp đầy hứa hẹn vì nó giúp việc xác thực hậu lượng tử trở nên khả thi mà không làm tăng kích thước mọi cái bắt tay TLS.

Tuy nhiên, ông cũng lưu ý rằng hệ thống này tạo ra một hệ sinh thái phụ thuộc mới, điều thường đi kèm với những thách thức vận hành.

Roger Grimes, cố vấn CISO tại KnowBe4, cho rằng MTC là một cách hoàn toàn mới để triển khai chứng chỉ số và TLS.

Điều đó có nghĩa là:

• phần mềm

• firmware

• phần cứng

được thiết kế cho hệ thống cũ sẽ cần được cập nhật hoặc thay thế.

Ông nhận định rằng sáng kiến của Google cho thấy thị trường đang chuyển từ lý thuyết sang triển khai thực tế trong lĩnh vực mật mã hậu lượng tử.

Việc áp dụng vẫn còn là dấu hỏi

Tim Williams, CTO của công ty tư vấn mật mã hậu lượng tử ProteQC, cho rằng việc MTC có trở thành tiêu chuẩn phổ biến hay không phụ thuộc vào mức độ chấp nhận của các nhà cung cấp khác trong hệ sinh thái internet.

Đối với nhiều tổ chức ngoài Google, những thay đổi này có thể là những điều chỉnh lớn mà họ chưa lên kế hoạch hoặc chưa có ngân sách.

Nhiều công ty có thể gặp khó khăn khi phải thích ứng với các thay đổi mà Google muốn triển khai trong thời gian ngắn.

Không chỉ là cập nhật trình duyệt

Antonio Sanchez, giám đốc chiến lược tại Quantum XChange, cho biết thông báo của Google nhấn mạnh sự cấp bách của việc chống lại các cuộc tấn công Harvest Now, Decrypt Later (HNDL).

Trong kiểu tấn công này, kẻ tấn công đánh cắp dữ liệu được mã hóa hôm nay và chờ đến khi có máy tính lượng tử để giải mã nó trong tương lai.

Ông nhấn mạnh rằng việc chuyển sang mật mã hậu lượng tử không phải là một bản vá phần mềm đơn giản.

Đó là một quá trình chuyển đổi kỹ thuật số lớn, đòi hỏi kiến trúc mới được thiết kế riêng cho thời đại lượng tử.

Allan Francis Beechinor, chiến lược gia AI tại EmergeGen, cho rằng động thái của Google là tín hiệu rằng niềm tin bảo mật hậu lượng tử cần được tích hợp sâu vào toàn bộ ngăn xếp web.

Việc chuyển đổi sớm cơ sở hạ tầng chứng chỉ buộc toàn bộ hệ sinh thái internet phải giải quyết các vấn đề về hiệu suất, quản trị và khả năng tương tác ngay từ bây giờ.

Một bước đi quan trọng cho internet

Bobby Kuzma, giám đốc hoạt động tấn công mạng tại ProCircular, cho biết Google là nhà phát triển trình duyệt đầu tiên triển khai rộng rãi một giải pháp chống lại các mối đe dọa lượng tử trong giao dịch TLS.

Brian Trzupek, phó chủ tịch sản phẩm tại DigiCert, gọi đây là một trong những bước đi quan trọng nhất trong việc chuẩn bị hạ tầng tin cậy của web cho kỷ nguyên hậu lượng tử.

Google đã thử nghiệm MTC với Cloudflare và đưa ra lộ trình ba giai đoạn nhằm xây dựng một kho chứng chỉ gốc kháng lượng tử hoàn toàn mới vào cuối năm 2027.

Thông báo này cho thấy kiến trúc PKI của web sẽ phải thay đổi trong tương lai, và các tổ chức muốn tiếp tục hoạt động trong hệ sinh thái internet cần bắt đầu chuẩn bị ngay từ bây giờ.

Ngoài ra, Google đang phát triển giải pháp này thông qua các tiêu chuẩn mở, bao gồm công việc trong nhóm IETF PLANTS và sự hợp tác với Cloudflare cùng cộng đồng các cơ quan chứng nhận.

Điều này nhằm đảm bảo rằng cơ sở hạ tầng mới có thể hoạt động cho toàn bộ internet, không chỉ cho một trình duyệt hay một nhà cung cấp dịch vụ đám mây.