Tích hợp các khóa hậu lượng tử cho NymVPN

Giờ hãy cùng nhìn lại và xem tại sao điều này lại quan trọng đối với bảo mật dữ liệu.

Mã hóa hậu lượng tử là gì?

Mã hóa hiện đại được xây dựng dựa trên độ khó toán học. RSA dựa trên giả định gần như không thể phân tích thừa số các số rất lớn, trong khi mật mã đường cong Elliptic (ECC) dựa trên một giả định tương tự về logarit rời rạc. Các giao thức mã hóa như thế này là cơ chế bảo mật nền tảng bảo vệ VPN tunnel, các phiên giao dịch ngân hàng, ứng dụng nhắn tin và hầu hết lưu lượng truy cập web.

Máy tính lượng tử giải quyết những giả định này theo cách khác so với máy tính cổ điển. Ví dụ, thuật toán Shor, khi chạy trên một máy tính lượng tử đủ mạnh, có thể phân tích thừa số các số lớn trong thời gian đa thức. Khi khả năng này trở nên khả thi ở quy mô lớn, RSA và ECC không còn là những vấn đề khó khăn nữa mà trở thành những vấn đề có thể giải quyết được. Trên thực tế, mọi hệ thống vẫn dựa vào những yếu tố cơ bản đó đều có thể được đọc lại một cách hồi tố.

Hầu hết các cuộc thảo luận về rủi ro hậu lượng tử đều tập trung vào câu hỏi khi nào máy tính lượng tử sẽ đạt được điều đó. Từ góc độ quyền riêng tư, đây là câu hỏi sai vì mối đe dọa thực sự không nằm ở việc chờ đợi phần cứng đến. Mối đe dọa đó chính là hoạt động giám sát hàng loạt và thu thập dữ liệu đã diễn ra trong hơn hai thập kỷ qua.

Vấn đề “thu thập dữ liệu trước, giải mã sau”

Các đối thủ có đủ nguồn lực – từ các ISP đến các cơ quan tình báo nhà nước – không cần đến máy tính lượng tử để bắt đầu thu thập giá trị từ dữ liệu được mã hóa của bạn. Chúng có thể ghi lại dữ liệu ngay bây giờ, lưu trữ và giải mã một khi phần cứng bắt kịp. Đối với lưu lượng truy cập cần được giữ bí mật trong nhiều năm hoặc nhiều thập kỷ – từ hoạt động chính trị, hoạt động tài chính, hồ sơ y tế hoặc báo chí – thì nguy cơ bị lộ đã cao.

Chúng tôi biết rằng các chương trình giám sát trên quy mô lớn đã hoạt động theo cách này. Về mặt kinh tế thì rất đơn giản: dung lượng lưu trữ rẻ, và nội dung của các luồng dữ liệu được mã hóa hiện nay vẫn sẽ có giá trị khi việc giải mã trở nên khả thi trong tương lai.

Đây chính xác là lý do tại sao Nym xây dựng Mixnet Tạo Nhiễu ngay từ đầu: để bảo vệ siêu dữ liệu khỏi sự giám sát đang diễn ra ngay bây giờ, chứ không chỉ trong tương lai về mặt lý thuyết. Mã hóa hậu lượng tử là sự mở rộng của cùng một logic.

Lịch trình của NIST

Năm 2024, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã đặt ra một lịch trình chính thức về việc loại bỏ dần các hệ thống dựa trên RSA và ECC, với yêu cầu chuyển đổi hoàn toàn sang các thuật toán hậu lượng tử vào năm 2035. Các thuật toán tiềm năng – bao gồm CRYSTALS-Kyber (ML-KEM) cho việc trao đổi khóa và CRYSTALS-Dilithium và FALCON cho chữ ký số – đã được chọn để tiêu chuẩn hóa.

Hạn chót năm 2035 nghe có vẻ xa vời. Việc xây dựng một hệ thống mã hóa hậu lượng tử trên toàn bộ kiến ​​trúc, được thử nghiệm và triển khai trên quy mô lớn, không thể diễn ra nhanh chóng. Đối với một VPN phi tập trung xử lý lưu lượng người dùng thực trong điều kiện bất lợi, thời điểm thích hợp để bắt đầu không phải là khi có chỉ thị. Mà phải bắt đầu cách đây vài năm rồi. Thời điểm tốt thứ hai chính là bây giờ.

Roadmap của Nym cho bảo mật hậu lượng tử

Năm ngoái, Giám đốc Khoa học của Nym, Ania Piotrowska đã vạch ra lộ trình bảo mật hậu lượng tử của Nym. Giao thức Lewes đánh dấu sự hoàn thành giai đoạn đầu tiên trong ba giai đoạn, mỗi giai đoạn củng cố một lớp khác nhau của kiến ​​trúc.

Phase 1: ✅ Post-quantum key exchange

Giao thức Lewes hiện đã cho phép trao đổi khóa hậu lượng tử hoạt động trên tất cả các nền tảng trong NymVPN v2026.7. Với cơ chế trao đổi khóa chống lượng tử để thiết lập kênh, Giao thức Lewes không chỉ cải thiện tính bảo mật trước các mối đe dọa hậu lượng tử mà còn cải thiện đáng kể tốc độ kết nối.

Giai đoạn 2: Bảo vệ hậu lượng tử cho giao tiếp qua mix node

Bước tiếp theo là đưa lớp bảo vệ vào sâu bên trong các kênh liên lạc giữa chính các mix node. Việc áp dụng trao đổi khóa hậu lượng tử ở cấp độ này có nghĩa là các thông điệp được định tuyến qua mạng sẽ có khả năng chống lượng tử tại mỗi trạm chuyển tiếp, chứ không chỉ ở điểm vào.

Giai đoạn 3: Bảo vệ hậu lượng tử trong định dạng gói Sphinx

Sphinx là định dạng gói mật mã giúp cho mixnet hoạt động. Nó cung cấp khả năng định tuyến tin nhắn riêng tư về siêu dữ liệu bằng cách đóng gói lưu lượng truy cập thành các lớp mà mỗi node có thể bóc tách mà không cần biết bất cứ điều gì về nguồn gốc, đích đến hoặc nội dung của gói.

Việc nâng cấp Sphinx bằng trao đổi khóa hậu lượng tử sẽ lấp đầy lỗ hổng cuối cùng, đảm bảo lõi của mạng lưới Nym có khả năng chống lại phân tích mật mã lượng tử cũng như các kỹ thuật giám sát cổ điển. Bạn có thể đọc thêm về kế hoạch bảo mật mixnet hậu lượng tử của Nym tại đây.

Khi cả ba giai đoạn hoàn tất, cơ chế bảo vệ hậu lượng tử sẽ hoạt động trên mọi lớp của kết nối NymVPN: quá trình bắt tay khi thiết lập kết nối, mixnet và cơ chế định tuyến gói tin.

Phần kết luận

Kỷ nguyên hậu lượng tử không phải để khi đã xảy ra mới chuẩn bị. Những kẻ thù mà Nym được xây dựng để chống lại – các chương trình giám sát hàng loạt, các cơ quan tình báo, các chính phủ độc tài – cũng không chờ đợi. Họ đang thu thập thông tin. Giao thức Lewes chính là lời đáp trả đầu tiên.

Tài liệu tham khảo

1. Báo cáo nội bộ của NIST: Chuyển đổi sang các tiêu chuẩn mật mã hậu lượng tử
2. Chen, Moody, Yi-Kai Liu (2022): Mật mã hậu lượng tử: Các lược đồ chữ ký số bổ sung