1. Giới thiệu tổng quan

Mật mã học (cryptography) là nền tảng bảo vệ tính bí mật, tính toàn vẹn và tính xác thực của hệ thống số. Trong nhiều thập kỷ, hạ tầng Internet, chữ ký số, chứng chỉ số, VPN, email và hệ thống thanh toán dựa nhiều vào RSA, Diffie-Hellman và ECC. Sự phát triển của điện toán lượng tử (quantum computing) làm thay đổi giả định an toàn này, vì một máy tính lượng tử đủ mạnh có thể phá các bài toán toán học đang bảo vệ mật mã khóa công khai hiện nay.

Bài viết này trình bày mật mã hậu lượng tử (Post-Quantum Cryptography, PQC) theo hướng có thể sử dụng đánh giá rủi ro và lập kế hoạch chuyển đổi hệ thống. Nội dung bao gồm nền tảng toán học, thuật toán chuẩn hóa, crypto inventory, risk assessment, roadmap chuyển đổi, best practices và kiến trúc quantum-ready.

1.1 Lịch Sử Phát Triển Mật mã Học

Lịch sử mật mã học có thể chia thành bốn kỷ nguyên lớn, mỗi kỷ nguyên phản ánh năng lực tính toán và nhu cầu bảo mật của thời đại:

Thời gian	Mô tả
~50 TCN đến 1800s	Mật mã cổ điển (Classical Cryptography): Mã Caesar, Vigenère, Playfair. Bảo mật dựa trên sự bí mật của thuật toán. Có thể bị phá bằng phân tích tần số. Enigma machine của Đức Quốc xã là đỉnh cao của kỷ nguyên này.
1949 đến 1975	Mật mã đối xứng hiện đại: Claude Shannon công bố Communication Theory of Secrecy Systems (1949). DES (1977) được NIST chuẩn hóa: đây là lần đầu tiên mật mã được tiêu chuẩn hóa chính thức. Bảo mật dựa trên tính bí mật của khóa, không phải thuật toán.
1976 đến 2000s	Mật mã khóa công khai (Asymmetric Cryptography): Diffie & Hellman giới thiệu trao đổi khóa công khai (1976). RSA ra đời (1977). ECC được đề xuất độc lập bởi Koblitz và Miller (1985). Đây là nền tảng của TLS, PKI, mã hóa email, blockchain.
2001 đến nay	Kỷ nguyên AES và chuẩn hóa toàn cầu: AES (Rijndael) thay thế DES. SHA-2, SHA-3. TLS 1.3 (2018). Đây là giai đoạn mật mã được tích hợp sâu vào mọi lớp hạ tầng CNTT.
2016 đến nay	Kỷ nguyên PQC: NIST khởi động cuộc thi Post-Quantum Cryptography (2016). Google thử nghiệm quantum supremacy (2019). NIST công bố chuẩn FIPS 203/204/205 (2024). Đây là giai đoạn chuyển đổi quan trọng nhất trong lịch sử mật mã.

1.2 Sự Xuất Hiện của Điện Toán Lượng Tử

Điện toán lượng tử (Quantum Computing) khai thác các hiện tượng cơ học lượng tử: chồng chất (superposition), vướng víu (entanglement) và giao thoa (interference): để xử lý thông tin theo cách hoàn toàn khác với máy tính cổ điển.

Các cột mốc quan trọng trong phát triển lượng tử:

Năm	Sự kiện	Tổ chức	Ý nghĩa
1994	Thuật toán Shor	AT&T Bell Labs	Phá vỡ RSA trên lý thuyết
1996	Thuật toán Grover	Bell Labs	Tăng tốc tìm kiếm bậc hai
2019	Quantum Supremacy	Google	53 qubit, bài toán lấy mẫu xác suất
2023	IBM Condor 1,121 qubits	IBM	Hơn 1,000 qubit vật lý
2024	Google Willow 105 qubits	Google	Sửa lỗi lượng tử đột phá
2025	Microsoft Azure Quantum	Microsoft	Topological qubit thực nghiệm
2026	Dự báo: ~10,000 qubit	Nhiều tổ chức	Tiến tới CRQC

Khái niệm quan trọng nhất cần theo dõi là CRQC (Cryptographically Relevant Quantum Computer): máy tính lượng tử có khả năng thực thi thuật toán Shor với đủ qubit logic (ước tính 4,000 đến 4 triệu qubit vật lý tùy thuộc vào tỷ lệ sửa lỗi) để phá vỡ RSA-2048 trong thời gian thực tế. Phần lớn chuyên gia dự báo CRQC sẽ xuất hiện trong khoảng 2030 đến 2040.

1.3 Tại Sao Điện Toán Lượng Tử Trở Thành Mối Đe Dọa?

Bảo mật của nhiều hệ mật mã hiện nay dựa trên giả định rằng một số bài toán toán học rất khó giải bằng máy tính cổ điển. RSA dựa trên bài toán phân tích thừa số nguyên. Diffie Hellman và ECDH dựa trên bài toán logarit rời rạc. Các thuật toán đối xứng như AES và các hàm băm như SHA dựa trên không gian khóa hoặc tính một chiều đủ lớn.

Điện toán lượng tử làm thay đổi giả định này. Thuật toán Shor có thể phá trực tiếp RSA, Diffie Hellman, ECDH và ECDSA khi có máy tính lượng tử đủ mạnh. Thuật toán Grover không phá hoàn toàn AES và SHA, nhưng làm giảm mức an toàn hiệu dụng. Vì vậy, nhóm khóa công khai cần được thay thế bằng PQC, còn nhóm đối xứng và hàm băm cần tăng kích thước tham số khi dữ liệu cần bảo vệ dài hạn.

Thuật toán	Nền tảng bảo mật	Độ phức tạp cổ điển	Độ phức tạp lượng tử	Trạng thái
RSA-2048	Phân tích thừa số nguyên	$e^{O(n^{1/3})}$ (GNFS)	$O(n^3)$ (Shor)	BỊ PHÁ
ECDH P-256	Logarit rời rạc trên đường cong eliptic	$O(\sqrt{p})$	$O(\log^2 p)$ (Shor)	BỊ PHÁ
DH-3072	Logarit rời rạc	$e^{O(n^{1/3})}$	$O(n^3)$ (Shor)	BỊ PHÁ
AES-128	Hoán vị phụ thuộc khóa	$O(2^{128})$	$O(2^{64})$ (Grover)	YẾU HỚN
AES-256	Hoán vị phụ thuộc khóa	$O(2^{256})$	$O(2^{128})$ (Grover)	AN TOÀN
SHA-256	Hàm một chiều	$O(2^{256})$	$O(2^{128})$ (Grover)	AN TOÀN
SHA-384/512	Hàm một chiều	$O(2^{384/512})$	$O(2^{192/256})$	AN TOÀN

RSA, DH, ECDH và ECDSA không còn phù hợp cho bảo mật dài hạn vì bị Shor phá trực tiếp. AES và SHA không bị phá hoàn toàn, nhưng cần chọn tham số đủ lớn. Với dữ liệu nhạy cảm, lựa chọn an toàn hơn là AES 256 và SHA 384 hoặc SHA 512.

1.4 Các khái niệm cốt lõi của PQC

️Harvest Now, Decrypt Later (HNDL) : Chiến lược tấn công trong đó đối thủ thu thập và lưu trữ dữ liệu mã hóa ngay hôm nay, với kỳ vọng giải mã khi CRQC có sẵn trong tương lai. Đây là mối đe dọa tức thì ngay cả khi CRQC chưa tồn tại. Dữ liệu có vòng đời bảo mật 10 đến 30 năm (bí mật quốc gia, hồ sơ y tế, sở hữu trí tuệ) đang bị thu thập ngay bây giờ.
Cryptographic Agility: Khả năng thay thế thuật toán mật mã trong hệ thống mà không cần kiến trúc lại toàn bộ. Bao gồm: tách biệt logic mật mã khỏi business logic, sử dụng abstraction layer, hỗ trợ nhiều algorithm suite đồng thời. Đây là thiết kế quan trọng nhất cho hệ thống tương lai.
Crypto Migration: Quá trình có hệ thống để chuyển toàn bộ hạ tầng mật mã của tổ chức từ các thuật toán dễ bị tổn thương sang PQC. Bao gồm nhiều giai đoạn: khám phá, đánh giá, lập kế hoạch, thử nghiệm, triển khai, xác thực và vận hành liên tục.
Crypto Inventory: Danh mục đầy đủ tất cả các thành phần mật mã trong tổ chức: thuật toán sử dụng, khóa, chứng chỉ, thư viện, giao thức, điểm tích hợp. Đây là bước đầu tiên không thể thiếu của bất kỳ chương trình PQC nào. Không thể bảo vệ những gì bạn không biết.
Quantum Readiness: Mức độ sẵn sàng của tổ chức để đối phó với mối đe dọa từ điện toán lượng tử. Bao gồm: nhận thức rủi ro, tồn kho mật mã, lộ trình chuyển đổi, kiểm soát ưu tiên, và khả năng ứng phó nhanh khi CRQC xuất hiện.

Cảnh báo HNDL: Mối đe dọa tức thì. Theo báo cáo của NSA (2022) và CISA (2023), nhiều quốc gia có chương trình thu thập dữ liệu lớn quy mô quốc gia với mục đích HNDL. Dữ liệu TLS, VPN, email được mã hóa bằng RSA/ECDH hiện nay có thể bị giải mã trong vòng 10 đến 15 năm. Đây không phải mối đe dọa tương lai: nó đang xảy ra ngay hôm nay.

2. Nền Tảng Toán Học

Mật mã khóa công khai (public key cryptography) là nền tảng của nhiều hệ thống bảo mật hiện đại như TLS, VPN, PKI, chữ ký số, mã hóa email và xác thực phần mềm. Các thuật toán phổ biến hiện nay như RSA, Diffie Hellman và ECC đều dựa trên các bài toán toán học khó đối với máy tính cổ điển. Tuy nhiên, các bài toán này không còn an toàn khi xuất hiện máy tính lượng tử đủ mạnh chạy thuật toán Shor.

2.1 Nền tảng mật mã khóa công khai hiện nay

Mật mã khóa công khai (public key cryptography) là nền tảng của nhiều hệ thống bảo mật hiện đại, bao gồm TLS, VPN, PKI, chữ ký số, mã hóa email và xác thực phần mềm. Các thuật toán phổ biến như RSA, Diffie Hellman và ECC đều dựa trên những bài toán toán học khó đối với máy tính cổ điển. Tuy nhiên, các bài toán này có thể bị phá bởi máy tính lượng tử đủ mạnh khi chạy thuật toán Shor.

2.1.1 RSA và bài toán phân tích thừa số nguyên

RSA do Rivest, Shamir và Adleman đề xuất năm 1977. Thuật toán này dựa trên bài toán phân tích thừa số nguyên (integer factorization problem). Ý tưởng chính là nhân hai số nguyên tố lớn $p$ và $q$ để tạo thành một số lớn $N$. Việc tính $N$ rất dễ, nhưng việc tìm lại $p$ và $q$ từ $N$ là rất khó nếu $N$ đủ lớn.

Quy trình sinh khóa RSA gồm các bước chính sau.

Chọn hai số nguyên tố lớn $p$ và $q$.

Tính $N = p \cdot q$.

Tính $\phi(N) = (p-1)(q-1)$.

Chọn $e$ sao cho $1 < e < \phi(N)$ và $\gcd(e,\phi(N)) = 1$.

Tính $d \equiv e^{-1} \pmod{\phi(N)}$.

Khóa công khai là $(N,e)$.

Khóa bí mật là $(N,d)$.

Khi mã hóa, bản rõ $m$ được chuyển thành bản mã $c$ theo công thức:

$c = m^e \pmod{N}$.

Khi giải mã, hệ thống dùng khóa bí mật $d$ để khôi phục lại bản rõ:

$m = c^d \pmod{N}$.

Tính đúng đắn của RSA dựa trên quan hệ sau:

$m^{ed} \equiv m^{k\phi(N)+1} \equiv m \pmod{N}$.

Quan hệ này xuất phát từ định lý Euler. Vì vậy, nếu không biết khóa bí mật $d$, kẻ tấn công phải tìm cách phân tích $N$ thành $p$ và $q$.

Với máy tính cổ điển, thuật toán phân tích số nguyên mạnh nhất hiện nay là General Number Field Sieve. Độ phức tạp của thuật toán này thường được mô tả như sau:

$T_{\mathrm{GNFS}}(N) = \exp\left((64/9)^{1/3} \cdot (\ln N)^{1/3} \cdot (\ln\ln N)^{2/3}\right)$.

Với RSA 2048, chi phí tấn công cổ điển xấp xỉ $2^{112}$ phép toán. Mức này vẫn được xem là an toàn trước máy tính cổ điển lớn. Tuy nhiên, thuật toán Shor có thể giải bài toán phân tích thừa số trong thời gian đa thức trên máy tính lượng tử đủ mạnh. Vì vậy, RSA không còn là lựa chọn an toàn cho các hệ thống cần bảo vệ dài hạn trong bối cảnh hậu lượng tử.

2.1.2 Diffie Hellman và bài toán logarit rời rạc

Diffie Hellman được đề xuất năm 1976. Giao thức này cho phép hai bên thiết lập một khóa bí mật chung qua kênh công khai mà không cần gửi trực tiếp khóa bí mật qua mạng.

Hai bên thống nhất công khai một nhóm cyclic $G = \langle g \rangle$ có cấp $p$.

Alice chọn bí mật $a$, sau đó tính và gửi giá trị công khai:

$A = g^a \pmod{p}$.

Bob chọn bí mật $b$, sau đó tính và gửi giá trị công khai:

$B = g^b \pmod{p}$.

Alice tính khóa chung:

$K = B^a \pmod{p}$.

Bob tính khóa chung:

$K = A^b \pmod{p}$.

Hai kết quả này bằng nhau vì:

$B^a = (g^b)^a = g^{ab} \pmod{p}$.

$A^b = (g^a)^b = g^{ab} \pmod{p}$.

Do đó, khóa bí mật chung là:

$K = g^{ab} \pmod{p}$.

Độ an toàn của Diffie Hellman dựa trên bài toán logarit rời rạc (discrete logarithm problem). Cụ thể, khi biết $g$, $p$ và $A$, kẻ tấn công phải tìm $a$ sao cho:

$g^a \equiv A \pmod{p}$.

Bài toán này khó với máy tính cổ điển khi tham số đủ lớn. Tuy nhiên, thuật toán Shor có thể giải bài toán logarit rời rạc trong thời gian đa thức. Vì vậy, Diffie Hellman truyền thống không còn an toàn trước máy tính lượng tử đủ mạnh.

2.1.3 ECC và logarit rời rạc trên đường cong eliptic

Mật mã đường cong eliptic (elliptic curve cryptography) sử dụng cấu trúc toán học của các điểm trên đường cong eliptic. Trên trường hữu hạn $\mathbb{F}_p$, một đường cong eliptic thường được biểu diễn bởi phương trình:

$E: y^2 \equiv x^3 + ax + b \pmod{p}$.

Để đường cong hợp lệ, biệt thức phải khác 0:

$\Delta = -16(4a^3 + 27b^2) \neq 0$.

Trong ECDH, hai bên sử dụng một điểm sinh $G \in E(\mathbb{F}_p)$ có cấp $n$.

Alice chọn ngẫu nhiên khóa bí mật:

$a \xleftarrow{R} \{1,\ldots,n-1\}$.

Alice tính khóa công khai:

$Q_A = aG$.

Bob chọn ngẫu nhiên khóa bí mật:

$b \xleftarrow{R} \{1,\ldots,n-1\}$.

Bob tính khóa công khai:

$Q_B = bG$.

Alice tính khóa chung:

$K = aQ_B$.

Bob tính khóa chung:

$K = bQ_A$.

Hai kết quả này bằng nhau vì:

$aQ_B = a(bG) = abG$.

$bQ_A = b(aG) = abG$.

Do đó, khóa bí mật chung là:

$K = abG$.

ECC dựa trên bài toán logarit rời rạc trên đường cong eliptic (elliptic curve discrete logarithm problem). Khi biết $G$ và $Q_A = aG$, kẻ tấn công phải tìm lại $a$. Bài toán này rất khó với máy tính cổ điển. Nhờ vậy, ECC đạt mức an toàn tương đương RSA với khóa ngắn hơn nhiều. Ví dụ, ECC 256 bit thường được xem là tương đương khoảng RSA 3072 bit.

Tuy nhiên, ECC cũng bị thuật toán Shor phá vỡ. Điều này có nghĩa là ECDH và ECDSA không còn phù hợp cho các hệ thống cần bảo vệ dữ liệu trong thời gian dài.

RSA, Diffie Hellman và ECC vẫn là nền tảng của hạ tầng mật mã hiện nay. Tuy nhiên, nền tảng an toàn của chúng đều phụ thuộc vào các bài toán mà thuật toán Shor có thể giải hiệu quả trên máy tính lượng tử đủ mạnh. Vì vậy, các tổ chức cần từng bước chuyển sang mật mã hậu lượng tử (post quantum cryptography), đặc biệt với các hệ thống xử lý dữ liệu nhạy cảm, chứng chỉ số, khóa phiên, chữ ký phần mềm và tài sản số có vòng đời bảo mật dài.

2.2 Thuật Toán Shor và Grover

Thuật Toán Shor (1994)

Thuật toán Shor giải bài toán phân tích thừa số nguyên và logarit rời rạc trong thời gian đa thức $O((\log N)^3)$ trên máy tính lượng tử. Ý tưởng cốt lõi là sử dụng Quantum Fourier Transform (QFT) để tìm chu kỳ của hàm $f(x) = a^x \bmod N$ :

Hình. Flowchart: Thuật toán Shor (Phân tích N = p $\cdot$ q)

Thuật Toán Grover (1996)

Thuật toán Grover tìm kiếm phần tử trong cơ sở dữ liệu không có cấu trúc với $N$ phần tử trong $O(\sqrt{N})$ bước, so với $O(N)$ của tìm kiếm cổ điển. Tác động lên mật mã đối xứng:

Grover's Algorithm Impact:

AES-128: $2^{128} \rightarrow 2^{64}$. Không an toàn.

AES-192: $2^{192} \rightarrow 2^{96}$. Biên giới.

AES-256: $2^{256} \rightarrow 2^{128}$. An toàn.

SHA-256: $2^{256} \rightarrow 2^{128}$. An toàn.

2.3 Phân Tích Định Lượng Tác Động

Mục này dùng để đánh giá mức độ suy giảm an toàn của các thuật toán mật mã hiện nay khi đối mặt với máy tính lượng tử có ý nghĩa mật mã (cryptographically relevant quantum computer). Hai thuật toán lượng tử cần chú ý là Shor và Grover. Shor phá trực tiếp RSA, Diffie Hellman, ECDSA và ECDH. Grover không phá hoàn toàn mật mã đối xứng và hàm băm, nhưng làm giảm mức an toàn hiệu dụng xuống xấp xỉ một nửa.

Thuật toán	Kích thước hiện tại	Tác động Shor/Grover	Bảo mật thực tế còn lại	Khuyến nghị
RSA-1024	1024 bit	Shor: phá hoàn toàn, ~1h CRQC	0 bit	NGAY LẬP TỨC
RSA-2048	2048 bit	Shor: phá trong vài giờ CRQC	0 bit	THAY THẾ NGAY
RSA-4096	4096 bit	Shor: chậm hơn nhưng vẫn phá	0 bit	THAY THẾ
ECDSA P-256	256 bit	Shor: phá nhanh hơn RSA-2048	0 bit	THAY THẾ NGAY
ECDH P-384	384 bit	Shor: phá hoàn toàn	0 bit	THAY THẾ NGAY
AES-128	128 bit	Grover: 64 bit bảo mật	64 bit	NÂNG CẤP AES-256
AES-256	256 bit	Grover: 128 bit bảo mật	128 bit	GIỮ NGUYÊN
SHA-256	256 bit	Grover: 128 bit collision	128 bit	GIỮ NGUYÊN
SHA-3-256	256 bit	Grover: 128 bit bảo mật	128 bit	GIỮ NGUYÊN
3DES	112 bit	Grover: 56 bit	56 bit	THAY THẾ NGAY

Nhóm thuật toán khóa công khai như RSA, ECDSA và ECDH cần được xem là không an toàn trong dài hạn vì Shor có thể phá trực tiếp nền tảng toán học của chúng. Tổ chức nên ưu tiên thay thế các thuật toán này bằng cơ chế hậu lượng tử (post quantum mechanism), đặc biệt trong PKI, TLS, VPN, code signing và hệ thống định danh.

Nhóm thuật toán đối xứng và hàm băm không bị phá hoàn toàn, nhưng cần nâng mức tham số. AES 128 nên được nâng lên AES 256 đối với dữ liệu nhạy cảm. SHA 256 và SHA 3 256 vẫn có thể tiếp tục sử dụng trong nhiều bối cảnh, nhưng hệ thống có yêu cầu bảo vệ dài hạn nên cân nhắc SHA 384 hoặc SHA 512 để tăng biên an toàn.

3. Phân Loại Mật mã hậu lượng tử

Mật mã hậu lượng tử (Post Quantum Cryptography, PQC) được xây dựng trên các bài toán toán học hiện chưa có thuật toán hiệu quả, ngay cả khi giả định sự tồn tại của máy tính lượng tử mạnh. Mục tiêu của PQC là thay thế các cơ chế khóa công khai hiện nay như RSA, Diffie Hellman và ECC trong những bài toán quan trọng như thiết lập khóa và chữ ký số. Về mặt chức năng, các thuật toán PQC thường được chia thành hai nhóm lớn. Nhóm thứ nhất là cơ chế mã hóa khóa công khai và thiết lập khóa, thường được biểu diễn dưới dạng KEM và PKE. Nhóm thứ hai là chữ ký số, dùng để xác thực và bảo đảm toàn vẹn dữ liệu. Hình Taxonomy: Post Quantum Cryptography minh họa cấu trúc phân loại này.

Trong hệ sinh thái PQC hiện nay có năm hướng tiếp cận chính. Nhóm thứ nhất là lattice based cryptography. Đây là nhánh quan trọng nhất và cũng là nhánh trưởng thành nhất ở thời điểm hiện tại. Các chuẩn chính của NIST đều tập trung vào hướng này, trong đó ML KEM thuộc nhóm thiết lập khóa và ML DSA thuộc nhóm chữ ký số. Ưu điểm lớn của lattice based là hiệu năng tốt, kích thước tham số tương đối cân bằng và phù hợp với triển khai thực tế trên nhiều nền tảng.

Nhóm thứ hai là code based cryptography. Hướng này dựa trên độ khó của bài toán giải mã mã tuyến tính. Classic McEliece là đại diện lâu đời nhất và đã được nghiên cứu trong nhiều thập kỷ. HQC là một hướng khác đang được quan tâm trong nhóm này. Ưu điểm chính của code based là nền tảng an toàn đã được nghiên cứu khá sâu, nhưng hạn chế thường nằm ở kích thước khóa công khai, đặc biệt với Classic McEliece.

Nhóm thứ ba là hash based cryptography. Hướng này chủ yếu được sử dụng cho chữ ký số. Đại diện tiêu biểu là SLH DSA, vốn được chuẩn hóa từ SPHINCS Plus. Điểm mạnh của nhóm này là nền tảng bảo mật khá bảo thủ vì chỉ dựa trên tính an toàn của hàm băm. Tuy nhiên, chữ ký thường lớn hơn so với các cơ chế lattice based.

Nhóm thứ tư là multivariate cryptography. Nhóm này dựa trên độ khó của hệ phương trình đa biến trên trường hữu hạn. Đây từng là một hướng rất được kỳ vọng cho chữ ký số, nhưng nhiều đề xuất đã bị phá hoặc không đạt độ tin cậy cần thiết để chuẩn hóa. Vì vậy, mức độ trưởng thành hiện nay của nhóm này thấp hơn đáng kể so với lattice based, code based và hash based.

Nhóm thứ năm là isogeny based cryptography. Hướng này dựa trên bài toán isogeny giữa các đường cong elliptic siêu đặc biệt. Trước đây, SIKE từng được xem là ứng viên tiềm năng nhờ kích thước khóa nhỏ. Tuy nhiên, SIKE đã bị phá, cho thấy mức độ rủi ro còn cao và hiện nhóm này không còn được xem là lựa chọn ưu tiên trong triển khai thực tế.

Từ góc nhìn triển khai, có thể thấy taxonomy của PQC không chỉ là phân loại học thuật mà còn phản ánh mức độ sẵn sàng áp dụng. Ở thời điểm hiện nay, lattice based là hướng chủ đạo cho cả thiết lập khóa và chữ ký số. Hash based đóng vai trò bổ sung quan trọng cho chữ ký số. Code based là lựa chọn có giá trị về mặt đa dạng nền tảng toán học, còn multivariate và isogeny based chủ yếu mang ý nghĩa nghiên cứu nhiều hơn là triển khai rộng rãi.

3.1 Lattice-based Cryptography

Lattice-based cryptography là nhánh quan trọng nhất và được chuẩn hóa rộng rãi nhất trong PQC. Bảo mật dựa trên hai bài toán khó:

Learning With Errors (LWE), LWE Problem được phát biểu như sau:

Cho $\mathbf{A} \in \mathbb{Z}_q^{m \times n}$ và $\mathbf{s} \in \mathbb{Z}_q^n$ là vector bí mật.
Nhiễu $\mathbf{e} \sim \chi_\sigma^m$ có phân phối nhỏ.
LWE sample: $\mathbf{b} = \mathbf{A}\mathbf{s} + \mathbf{e} \pmod{q}$.

Bài toán LWE: cho $(\mathbf{A}, \mathbf{b})$, tìm $\mathbf{s}$.
Phiên bản Module-LWE (MLWE) sử dụng module trên vành đa thức $R_q = \mathbb{Z}_q[X]/(X^n+1)$ , cân bằng tốt giữa hiệu năng và bảo mật: đây là nền tảng của CRYSTALS-Kyber (ML-KEM).

Các thuật toán dựa trên Lattice based:

Thuật toán	Nền tảng	Ưu điểm	Nhược điểm	Trưởng thành
ML-KEM (Kyber)	MLWE	Hiệu năng cao, khóa nhỏ nhất trong PQC KEM	Tham số phức tạp	NIST FIPS 203
ML-DSA (Dilithium)	MLWE+SIS	Chữ ký nhỏ, xác minh nhanh	Signing phức tạp hơn	NIST FIPS 204
FN-DSA (Falcon)	NTRU lattice	Chữ ký rất nhỏ, dùng cho IoT	Khó implement an toàn	NIST Draft

3.2 Code-based Cryptography

Code-based cryptography dựa trên độ khó giải mã một mã tuyến tính chung (General Linear Code Decoding). Đây là lớp PQC lâu đời nhất, McEliece đề xuất năm 1978.

McEliece Encryption

KeyGen: $G_{\mathrm{pub}} = S \cdot G \cdot P$.
$S \in \mathbb{F}_2^{k \times k}$ là ma trận khả nghịch bí mật.
$G \in \mathbb{F}_2^{k \times n}$ là ma trận sinh Goppa code.
$P \in \mathbb{F}_2^{n \times n}$ là ma trận hoán vị bí mật.
Enc: $\mathbf{c} = \mathbf{m}G_{\mathrm{pub}} + \mathbf{e}$, với $\mathrm{wt}(\mathbf{e}) \leq t$.
Dec: sử dụng $S$ và $P$ để decode với thuật toán Patterson.

So sánh ba thuật toán thuộc nhóm mật mã dựa trên mã sửa lỗi (code based cryptography).

Thuật toán	Kích thước khóa công khai	Ưu điểm	Nhược điểm	Trạng thái
Classic McEliece	261 KB đến 1 MB	Bảo mật rất mạnh, 50 năm nghiên cứu	Khóa công khai khổng lồ	NIST Vòng 4
HQC	~3-7 KB	Khóa nhỏ hơn McEliece	Mới hơn, ít phân tích	NIST Vòng 4
BIKE	~3-7 KB	Hiệu năng tốt	An toàn chưa được chứng minh đầy đủ	Vòng 4 (loại)

3.3 Hash-based Cryptography

Hash-based signatures dựa hoàn toàn vào bảo mật của hàm băm mật mã: bài toán không bị ảnh hưởng bởi thuật toán Shor. Bảo mật chỉ phụ thuộc vào tính an toàn của SHA-2 hoặc SHA-3.
SPHINCS+ / SLH-DSA (FIPS 205)
Hình. Cấu trúc SPHINCS+: Hypertree of Merkle Trees

Bảo mật chỉ dựa vào hàm băm: không giả định gì về khó khăn của bài toán số học. Nếu SHA-256 an toàn, SLH-DSA an toàn. Lý tưởng cho môi trường đòi hỏi bảo mật tối đa, chấp nhận chữ ký lớn hơn (7 đến 50 KB).

3.4 Multivariate Cryptography

Dựa trên độ khó giải hệ phương trình đa thức đa biến trên trường hữu hạn (MQ: Multivariate Quadratic problem):
Cho hệ phương trình $f_1(x_1,\ldots,x_n)=c_1$.
$f_2(x_1,\ldots,x_n)=c_2$.
$\vdots$
$f_m(x_1,\ldots,x_n)=c_m$.
Với $f_i \in \mathbb{F}_q[x_1,\ldots,x_n]$ bậc 2, tìm nghiệm $(x_1,\ldots,x_n)$ là NP-hard.

Đại diện: Rainbow, GeMSS, HFE: tất cả đều bị phá trong NIST vòng 3 (Rainbow bị phá 2022, GeMSS bị phá 2023). Hiện tại MAYO và UOV đang được nghiên cứu trong vòng 4 nhưng chưa được chuẩn hóa.

3.5 Isogeny-based Cryptography

Dựa trên ánh xạ đồng cấu (isogeny) giữa các đường cong eliptic siêu kỳ dị (supersingular). Đại diện nổi tiếng nhất SIKE (SIDH) bị phá hoàn toàn vào tháng 7/2022 bởi Castryck & Decru [3] chỉ bằng một laptop trong 62 phút: một bài học cảnh báo về việc không nên chỉ dựa vào một ứng viên PQC.
Bài Học SIKE 2022: SIKE từng được coi là ứng viên mạnh trong NIST Round 4 với kích thước khóa nhỏ nhất. Tuy nhiên, một tấn công toán học hoàn toàn mới (sử dụng định lý Kani về glue-and-split) đã phá hoàn toàn trong giờ. Điều này nhấn mạnh: không bao giờ đặt cược toàn bộ vào một thuật toán duy nhất. Cryptographic agility là bắt buộc.

4. Chuẩn Hóa Quốc Tế

4.1 NIST PQC Competition (2016 đến 2024)

NIST bắt đầu chương trình chuẩn hóa mật mã hậu lượng tử (post quantum cryptography) từ năm 2016. Mục tiêu là lựa chọn các thuật toán có thể thay thế RSA, Diffie Hellman và ECC trước nguy cơ từ máy tính lượng tử. Quá trình này kéo dài nhiều vòng, kết hợp đánh giá toán học, hiệu năng, khả năng triển khai và mức độ an toàn của từng ứng viên.

2016: Tháng 12: NIST công bố cuộc thi PQC. 69 ứng viên được nộp vào 2017.
2019: Vòng 2: 26 ứng viên vào vòng 2. Phân tích bảo mật, hiệu năng, và khả năng triển khai.
2020: Vòng 3: 7 finalists + 8 alternates. Vòng 3 tập trung phân tích sâu. SIKE bị loại sau khi bị phá (2022).
2022: Tháng 7: NIST công bố lựa chọn ban đầu: CRYSTALS-Kyber, CRYSTALS-Dilithium, FALCON, SPHINCS+. Vòng 4 cho code-based (McEliece, HQC, BIKE).
2024: Tháng 8: NIST công bố chính thức: FIPS 203 (ML-KEM/Kyber), FIPS 204 (ML-DSA/Dilithium), FIPS 205 (SLH-DSA/SPHINCS+). FN-DSA (Falcon) đang trong quá trình chuẩn hóa.
2024: Tháng 12: NIST công bố HQC là ứng viên vòng 4 được chọn làm backup cho ML-KEM (dự kiến chuẩn hóa 2026 đến 2027).

Quá trình chuẩn hóa của NIST cho thấy PQC đã chuyển từ giai đoạn nghiên cứu sang giai đoạn triển khai. Từ năm 2024, các tổ chức đã có ba chuẩn nền tảng để bắt đầu gồm ML KEM cho thiết lập khóa, ML DSA cho chữ ký số và SLH DSA cho chữ ký dựa trên hàm băm. Từ năm 2025, HQC tiếp tục được chọn để chuẩn hóa nhằm bổ sung thêm lựa chọn KEM và giảm rủi ro phụ thuộc vào một họ thuật toán duy nhất.

4.2 Phân Tích FIPS 203, 204, 205

NIST đã ban hành ba chuẩn chính cho mật mã hậu lượng tử (post quantum cryptography). FIPS 203 quy định ML KEM cho thiết lập khóa. FIPS 204 quy định ML DSA cho chữ ký số. FIPS 205 quy định SLH DSA, một chuẩn chữ ký số dựa trên hàm băm. Ba chuẩn này tạo nền tảng kỹ thuật để các tổ chức bắt đầu thay thế RSA, ECDH và ECDSA trong những hệ thống cần bảo vệ dài hạn.

FIPS 203: ML-KEM (CRYSTALS-Kyber):

ML KEM, trước đây là CRYSTALS Kyber, là cơ chế đóng gói khóa (key encapsulation mechanism) dựa trên Module LWE. Thuật toán này được dùng để thiết lập khóa bí mật giữa hai bên qua kênh công khai. Trong thực tế, ML KEM phù hợp để thay thế các cơ chế như RSA key transport hoặc ECDH trong TLS, VPN, email và các giao thức bảo mật hiện đại.

Tham số	ML-KEM-512	ML-KEM-768	ML-KEM-1024
NIST Level	1 (AES-128)	3 (AES-192)	5 (AES-256)
Khóa công khai	800 bytes	1,184 bytes	1,568 bytes
Khóa bí mật	1,632 bytes	2,400 bytes	3,168 bytes
Ciphertext	768 bytes	1,088 bytes	1,568 bytes
Keygen (cycles)	~26,000	~41,000	~59,000
Encaps (cycles)	~29,000	~46,000	~65,000
Decaps (cycles)	~26,000	~43,000	~62,000
Ứng dụng	IoT, embedded	TLS, VPN (khuyến nghị)	Govt secrets, long-term

Trong triển khai thực tế, ML KEM 768 thường là lựa chọn cân bằng nhất giữa hiệu năng, kích thước và mức an toàn. ML KEM 512 phù hợp với thiết bị hạn chế tài nguyên. ML KEM 1024 phù hợp với hệ thống cần biên an toàn cao hơn.

FIPS 204: ML-DSA (CRYSTALS-Dilithium)

ML DSA, trước đây là CRYSTALS Dilithium, là chuẩn chữ ký số (digital signature) dựa trên lattice. Thuật toán này được dùng để thay thế RSA signature và ECDSA trong các hệ thống cần xác thực, toàn vẹn và chống chối bỏ, ví dụ PKI, code signing, firmware signing và ký tài liệu số.

Tham số	ML-DSA-44	ML-DSA-65	ML-DSA-87
NIST Level	2	3	5
Khóa công khai	1,312 bytes	1,952 bytes	2,592 bytes
Khóa bí mật	2,528 bytes	4,000 bytes	4,864 bytes
Chữ ký	2,420 bytes	3,293 bytes	4,595 bytes
Sign (cycles)	~196,000	~309,000	~480,000
Verify (cycles)	~137,000	~207,000	~288,000

ML DSA 65 là lựa chọn cân bằng cho nhiều hệ thống doanh nghiệp. ML DSA 44 phù hợp với nhu cầu an toàn thấp hơn hoặc môi trường cần tối ưu tài nguyên. ML DSA 87 phù hợp với hệ thống yêu cầu mức bảo vệ cao và dữ liệu có vòng đời dài.

FIPS 205: SLH-DSA (SPHINCS+)

SLH DSA, dựa trên SPHINCS Plus, là chuẩn chữ ký số dựa trên hàm băm (hash based signature). Khác với ML DSA, SLH DSA không dựa trên lattice mà dựa vào tính an toàn của SHA 2 hoặc SHA 3. Đây là lựa chọn quan trọng để tăng đa dạng thuật toán, đặc biệt trong các use case cần mức tin cậy cao và chấp nhận chữ ký lớn hơn.

Variant	Kích thước khóa (pk+sk)	Kích thước chữ ký	NIST Level	Đặc điểm
SLH-DSA-SHA2-128s	32+64 bytes	7,856 bytes	1	Small sig, slow sign
SLH-DSA-SHA2-128f	32+64 bytes	17,088 bytes	1	Fast sign, large sig
SLH-DSA-SHA2-192s	48+96 bytes	16,224 bytes	3	Small sig
SLH-DSA-SHAKE-256f	64+128 bytes	49,856 bytes	5	Max security

SLH DSA phù hợp với code signing, firmware signing, root of trust và các môi trường cần thuật toán chữ ký có nền tảng bảo mật độc lập với lattice. Hạn chế chính là kích thước chữ ký lớn và chi phí ký cao hơn ML DSA.

FIPS 203, FIPS 204 và FIPS 205 phục vụ ba nhu cầu khác nhau. ML KEM dùng để thiết lập khóa. ML DSA dùng cho chữ ký số hiệu năng tốt và phù hợp triển khai rộng. SLH DSA dùng cho chữ ký số dựa trên hàm băm, đóng vai trò bổ sung quan trọng để tăng đa dạng thuật toán. Với hệ thống doanh nghiệp, lựa chọn thực tế có thể bắt đầu từ ML KEM 768 cho thiết lập khóa, ML DSA 65 cho chữ ký số, và SLH DSA cho các use case cần bảo mật dài hạn hoặc yêu cầu nền tảng thuật toán độc lập.

4.3 So Sánh Tổng Hợp Thuật Toán PQC

Bảng dưới đây tổng hợp các thuật toán PQC tiêu biểu theo chức năng, kích thước khóa, kích thước chữ ký hoặc ciphertext, mức an toàn NIST và tình trạng chuẩn hóa. Trong bảng, KEM là cơ chế đóng gói khóa dùng cho thiết lập khóa bí mật. SIG là thuật toán chữ ký số. PK là khóa công khai. SK là khóa bí mật. CT là ciphertext trong cơ chế KEM.

Thuật toán	Loại	PK (bytes)	SK (bytes)	Sig/CT (bytes)	NIST Level	Trạng thái	Dùng cho
ML-KEM-768	KEM	1,184	2,400	1,088 (CT)	3	FIPS 203	TLS, VPN, Email
ML-DSA-65	SIG	1,952	4,000	3,293	3	FIPS 204	Chữ ký số, PKI
SLH-DSA-128s	SIG	32	64	7,856	1	FIPS 205	Code signing, firmware
FN-DSA-512 (Falcon)	SIG	897	1,281	666	1	Draft FIPS	IoT, bandwidth-limited
Classic McEliece-348864	KEM	261,120	6,492	128 (CT)	1	Vòng 4	Backup KEM
HQC-128	KEM	2,249	2,289	4,497 (CT)	1	Vòng 4	Backup KEM
RSA-2048 (so sánh)	PKE/SIG	256	1,190	256	:	KHÔNG AN TOÀN QC	:
ECDSA P-256 (so sánh)	SIG	64	32	64	:	KHÔNG AN TOÀN QC	:

Trong bối cảnh triển khai năm 2026, lựa chọn thực tế nên đi theo hướng ưu tiên rõ ràng. Với thiết lập khóa, ML KEM 768 là lựa chọn mặc định cho TLS, VPN và API bảo mật. Với dữ liệu nhạy cảm dài hạn, có thể dùng ML KEM 1024 để tăng biên an toàn. Với chữ ký số, ML DSA 65 là lựa chọn cân bằng cho PKI, ký tài liệu và ký phần mềm. Với môi trường hạn chế băng thông hoặc thiết bị IoT, FN DSA 512 có thể là lựa chọn phù hợp khi chuẩn hóa hoàn tất. Với code signing và firmware signing, SLH DSA hoặc ML DSA đều có thể được cân nhắc tùy yêu cầu về kích thước chữ ký, tốc độ ký và mức độ bảo thủ của nền tảng an toàn. Trong giai đoạn chuyển đổi, hybrid mode như X25519 kết hợp ML KEM 768 vẫn là hướng triển khai an toàn để duy trì tương thích với hạ tầng hiện tại.

5. Những Hệ Thống Bị Ảnh Hưởng

Hầu hết hệ sinh thái CNTT hiện đại đều phụ thuộc vào mật mã khóa công khai. Các thành phần như PKI, TLS, VPN, IAM, code signing, firmware signing, service mesh và cloud KMS thường sử dụng RSA, ECDSA, ECDH hoặc Diffie Hellman. Đây là các thuật toán có thể bị phá bởi thuật toán Shor khi máy tính lượng tử có ý nghĩa mật mã xuất hiện. Vì vậy, tổ chức cần đánh giá tác động theo từng lớp hệ thống, xác định mức ưu tiên và lập kế hoạch chuyển đổi sang mật mã hậu lượng tử (post quantum cryptography).

Hệ thống / Giao thức	Thuật toán bị ảnh hưởng	Mức ảnh hưởng	Độ khó chuyển đổi	Ưu tiên
PKI / CA Infrastructure	RSA-2048/4096, ECDSA	NGHIÊM TRỌNG	Cao: liên quan toàn bộ trust chain	P0
TLS 1.2/1.3	ECDH, RSA (key exchange & cert)	NGHIÊM TRỌNG	Trung bình: cần update lib+cert	P0
HTTPS	TLS dependent	NGHIÊM TRỌNG	Thấp: theo TLS	P0
VPN (IPsec/IKEv2)	DH, ECDH, RSA	NGHIÊM TRỌNG	Cao: vendor-dependent	P0
SSH	RSA, ECDH	CAO	Thấp: OpenSSH đã hỗ trợ hybrid	P1
S/MIME / PGP	RSA, ECDSA	CAO	Cao: hệ sinh thái phân tán	P1
Code Signing	RSA, ECDSA	NGHIÊM TRỌNG	Trung bình	P0
Container Signing (Cosign)	ECDSA P-256	CAO	Thấp: Sigstore đang cập nhật	P1
IAM / OAuth / OIDC	RSA (JWT), ECDSA	CAO	Trung bình	P1
Active Directory / Kerberos	RSA (PKINIT), DH	CAO	Cao: Microsoft roadmap cần theo dõi	P1
Kubernetes / Service Mesh	mTLS (ECDSA/RSA certs)	CAO	Thấp-Trung: cert-manager update	P1
Cloud KMS	RSA, ECDH	CAO	Thấp: AWS/Azure/GCP đang triển khai	P1
IoT / Firmware	ECDSA, RSA	NGHIÊM TRỌNG	Rất cao: hardware constraints	P0
SCADA / ICS / OT	RSA, DH, legacy protocols	NGHIÊM TRỌNG	Rất cao: vòng đời thiết bị 20+ năm	P0
Blockchain / Cryptocurrency	ECDSA (secp256k1)	NGHIÊM TRỌNG	Rất cao: consensus change cần	P1
SBOM Signing	RSA, ECDSA	CAO	Thấp: in-toto/cosign	P2
Zero Trust Architecture	mTLS, JWT, SPIFFE	CAO	Trung bình	P1
Mobile App (iOS/Android)	ECDH, RSA	CAO	Thấp: OS-managed	P2
Microservices API	JWT/RSA, mTLS	TRUNG BÌNH	Thấp-Trung	P2

Trong bảng trên, P0 là nhóm cần xử lý sớm nhất vì ảnh hưởng trực tiếp đến trust chain, dữ liệu dài hạn hoặc hạ tầng trọng yếu. P1 là nhóm cần đưa vào roadmap chuyển đổi chính thức. P2 là nhóm có thể xử lý sau nhưng vẫn cần được đưa vào Crypto Inventory để theo dõi.

Nhóm đáng lo ngại nhất là IoT, firmware, SCADA, ICS và OT. Các thiết bị này thường có vòng đời 15 đến 30 năm, ít được cập nhật và có quy trình thay đổi rất chậm. Một thiết bị được triển khai hôm nay với RSA hoặc ECDSA có thể vẫn còn hoạt động khi CRQC xuất hiện. Vì vậy, mọi thiết bị IoT và OT mua mới cần yêu cầu vendor cung cấp PQC roadmap, khả năng cập nhật firmware và kế hoạch hỗ trợ thuật toán hậu lượng tử.

6. Các Framework để đánh giá rủi ro liên quan Quantum

NIST, CISA và NSA đều thống nhất rằng chương trình chuyển đổi sang mật mã hậu lượng tử (post quantum cryptography) phải bắt đầu từ đánh giá rủi ro tổng thể, không phải từ việc thay thuật toán ngay lập tức. Lý do là tổ chức cần biết rõ tài sản nào đang được bảo vệ, hệ thống nào đang sử dụng mật mã dễ bị tổn thương, và đâu là khu vực có mức ưu tiên chuyển đổi cao nhất. Framework này tổng hợp định hướng từ NIST IR 8547, CISA PQC Readiness và NSA CNSA 2.0 để hỗ trợ quá trình đó.

Hình. Quantum Risk Assessment Framework: Quy trình tổng thể

Quy trình bắt đầu từ việc thu thập đầu vào, bao gồm tài sản, dữ liệu, hợp đồng, log và cấu hình. Trên cơ sở đó, tổ chức thực hiện lần lượt năm giai đoạn. Giai đoạn 1 là Asset Inventory, nhằm xác định dữ liệu, hệ thống và chủ sở hữu. Giai đoạn 2 là Crypto Inventory, nhằm ghi nhận thuật toán, khóa và chứng chỉ đang được sử dụng. Giai đoạn 3 là Threat Analysis, tập trung đánh giá các rủi ro như HNDL, CRQC và thời hạn bảo mật của dữ liệu. Giai đoạn 4 là Risk Scoring, trong đó rủi ro được định lượng theo mức độ quan trọng của tài sản, mức độ phơi lộ và tính khẩn cấp. Giai đoạn 5 là Migration Plan, nơi tổ chức xây dựng kế hoạch thay thế, kiểm thử và sắp xếp thứ tự ưu tiên.

Đầu ra của toàn bộ quy trình là một backlog chuyển đổi PQC có thứ tự ưu tiên rõ ràng. Cách tiếp cận này giúp tổ chức tránh triển khai dàn trải, đồng thời bảo đảm nguồn lực được tập trung vào những hệ thống có rủi ro cao nhất và khó chuyển đổi nhất.

6.1 Phân loại Crypto Asset

Sau khi hoàn thành Crypto Inventory, tổ chức cần phân loại tài sản mật mã theo mức độ nhạy cảm, thời gian cần bảo vệ và độ khó chuyển đổi. Mục tiêu của bước này là xác định nhóm nào phải chuyển đổi trước, nhóm nào cần đưa vào kế hoạch trung hạn, và nhóm nào phụ thuộc vào vòng đời phần cứng hoặc vendor.

Tài sản	Mô tả	Ưu tiên PQC	Thời gian chuyển đổi
Tier 1: Dữ liệu nhạy cảm dài hạn	Bí mật quốc gia, bằng sáng chế, hồ sơ y tế 10+ năm, dữ liệu tài chính	KHẨN CẤP	6 đến 12 tháng
Tier 2: PKI & Trust Infrastructure	Root CA, Intermediate CA, Code signing certificates	NGHIÊM TRỌNG	12 đến 24 tháng
Tier 3: Network Security	TLS, VPN, SSH endpoints, API gateways	CAO	18 đến 36 tháng
Tier 4: Application Layer	JWT, OAuth, session tokens, application-level crypto	TRUNG BÌNH-CAO	24 đến 48 tháng
Tier 5: Hardware / Embedded	IoT, firmware signing, HSM, TPM	PHỨC TẠP	36 đến 72 tháng (theo vòng đời HW)

Cách đọc bảng này rất đơn giản. Tier càng thấp thì mức ưu tiên càng cao. Tier 1 và Tier 2 cần được xử lý sớm vì liên quan đến dữ liệu dài hạn và nền tảng tin cậy của tổ chức. Tier 3 và Tier 4 nên được đưa vào roadmap chuyển đổi chính thức. Tier 5 thường mất nhiều thời gian nhất vì phụ thuộc phần cứng, firmware, vendor và chu kỳ thay thế thiết bị.

6.2 Công thức chấm điểm rủi ro

Quantum Risk Score (QRS)

$\mathrm{QRS} = V_c \cdot w_1 + V_q \cdot w_2 + E \cdot w_3 + I \cdot w_4 + T \cdot w_5$.

Trong đó $V_c$ là classical vulnerability, $V_q$ là quantum vulnerability, $E$ là exposure, $I$ là impact và $T$ là time-criticality.

$w_1 + w_2 + w_3 + w_4 + w_5 = 1$.

$\mathrm{QRS} \in [0,10]$.

Trong đó:

$V_c$ : Mức độ dễ bị tổn thương bởi tấn công cổ điển hiện tại (0 đến 10)

$V_q$ : Mức độ dễ bị tổn thương bởi CRQC (0 đến 10, RSA/ECDSA = 10, AES-256 = 2)

$E$ : Mức độ phơi bày: liệu dữ liệu có thể bị intercepted và lưu trữ (0 đến 10)

$I$ : Business Impact nếu bị compromised (0 đến 10)

$T$ : Time-criticality = $\max(0, (Y_\text{data-sensitivity} - Y_\text{CRQC}) / Y_\text{data-sensitivity})$

6.3 Ma trận rủi ro: Quantum Threat

Ma trận rủi ro lượng tử dùng để xác định mức ưu tiên xử lý dựa trên hai yếu tố: mức tác động (impact) và khả năng xảy ra (likelihood). Impact càng cao và likelihood càng lớn thì mức rủi ro càng nghiêm trọng. Các hệ thống nằm trong vùng nguy cấp cần được đưa vào backlog chuyển đổi PQC trước.

Impact ↓ / Likelihood $\rightarrow$	Rất thấp	Thấp	Trung bình	Cao	Rất cao
Thảm họa	Trung bình	Cao	Nguy cấp	Nguy cấp	Nguy cấp
Nghiêm trọng	Thấp	Trung bình	Cao	Nguy cấp	Nguy cấp
Đáng kể	Thấp	Thấp	Trung bình	Cao	Nguy cấp
Giới hạn	Thấp	Thấp	Thấp	Trung bình	Cao
Không đáng kể	Thấp	Thấp	Thấp	Thấp	Trung bình

Cách đọc ma trận như sau. Nếu một hệ thống có impact ở mức thảm họa và likelihood ở mức rất cao, hệ thống đó thuộc vùng nguy cấp. Đây là nhóm phải được ưu tiên chuyển đổi trước, đặc biệt khi dữ liệu có thời hạn bảo mật dài hoặc hệ thống khó thay thế.

Ví dụ, SCADA, ICS, dữ liệu y tế và dữ liệu chính phủ thường có vòng đời bảo mật từ 20 đến 30 năm. Nếu các hệ thống này vẫn dùng RSA, ECDSA hoặc DH, rủi ro sẽ nằm tại ô thảm họa $\times$ $\times$ rất cao $\rightarrow$ $\to$ nguy cấp. Với nhóm này, tổ chức cần hành động ngay bằng cách kiểm kê crypto asset, đánh giá vendor roadmap, lập kế hoạch hybrid hoặc PQC migration, và đưa vào nhóm ưu tiên cao nhất.

7. Crypto Inventory & Discovery

Crypto Inventory là quá trình phát hiện, ghi nhận và phân loại toàn bộ thành phần mật mã đang tồn tại trong hệ thống. Các thành phần này có thể là thuật toán, khóa, chứng chỉ, thư viện, cấu hình TLS, API mật mã, secret, HSM, KMS hoặc các cơ chế ký số. Đây là bước bắt buộc trước khi xây dựng lộ trình chuyển đổi sang mật mã hậu lượng tử (post quantum cryptography). Một tổ chức không thể chuyển đổi những thành phần mà mình chưa nhìn thấy hoặc chưa quản lý được.

7.1 Phương Pháp Discovery Theo Lớp

Hình. Crypto Discovery: Kiến trúc đa lớp

Hình trên mô tả cách phát hiện crypto artifacts theo nhiều lớp trong hệ thống. Mỗi lớp phản ánh một nguồn thông tin khác nhau. Khi các nguồn này được thu thập đầy đủ, tổ chức có thể xây dựng một Crypto Inventory thống nhất và dùng nó làm đầu vào cho đánh giá rủi ro.

Layer 1 là runtime telemetry. Lớp này thu thập log, trace và dữ liệu từ service mesh để biết thuật toán nào đang được sử dụng thật trong quá trình vận hành.
Layer 2 là KMS, HSM và Vault. Lớp này cho biết loại khóa, mục đích sử dụng khóa, lịch sử rotation và chính sách quản lý khóa.
Layer 3 là network scan. Lớp này phát hiện các endpoint sử dụng TLS, VPN, SSH và các giao thức có cơ chế mật mã.
Layer 4 là Certificate và PKI. Lớp này kiểm kê RSA, ECDSA, CA chain, thời hạn chứng chỉ và các trust anchor quan trọng.
Layer 5 là configuration. Lớp này kiểm tra cipher suite, policy, secret và các cấu hình bảo mật trong ứng dụng hoặc hạ tầng.
Layer 6 là dependency và SBOM. Lớp này phát hiện thư viện TLS, OpenSSL, BouncyCastle và các thư viện mật mã khác đang được đóng gói trong phần mềm.
Layer 7 là source code. Lớp này phát hiện import API mật mã, khóa hardcoded, thuật toán cũ và cách lập trình viên đang gọi các hàm crypto.

Sau khi thu thập dữ liệu từ bảy lớp, hệ thống chuẩn hóa thông tin vào Crypto Inventory. Mỗi bản ghi cần có tối thiểu các trường như algorithm, key length, location, owner và business criticality. Từ đó, tổ chức xác định thành phần nào đang dùng thuật toán dễ bị lượng tử phá vỡ, thành phần nào cần thay thế trước, và thành phần nào cần kiểm thử thêm.

Đầu ra cuối cùng là Risk Backlog. Đây là danh sách các việc cần xử lý theo thứ tự ưu tiên, bao gồm thay thuật toán, cập nhật chứng chỉ, điều chỉnh cấu hình, kiểm thử tương thích, bổ sung hybrid mode hoặc lập kế hoạch migration cho hệ thống quan trọng.

7.2 Ví dụ thực tế

Mục này minh họa cách phát hiện các thành phần mật mã yếu trong ba lớp phổ biến của hệ thống: source code, container image và network endpoint. Mục tiêu không phải là thay thế ngay thuật toán, mà là tạo dữ liệu đầu vào cho Crypto Inventory và Risk Backlog.

Semgrep Rule: Phát hiện RSA/ECC không an toàn (Java)

Semgrep có thể được dùng để quét source code và phát hiện các API mật mã không còn phù hợp trong bối cảnh hậu lượng tử. Ví dụ dưới đây minh họa rule phát hiện RSA, ECDSA và DES hoặc 3DES trong mã Java.

# semgrep rule: detect-weak-crypto-java.yml
rules:
  - id: detect-rsa-keygen
    patterns:
      - pattern: KeyPairGenerator.getInstance(RSA)
    message: RSA key generation detected: RSA không an toàn với CRQC. Cân nhắc ML-KEM.
    severity: WARNING
    languages: [java]
    metadata:
      category: pqc-migration
      references: [https://doi.org/10.6028/NIST.FIPS.203]

  - id: detect-ecdsa
    patterns:
      - pattern: Signature.getInstance(SHA256withECDSA)
    message: ECDSA detected: cần chuyển sang ML-DSA (FIPS 204).
    severity: WARNING
    languages: [java]

  - id: detect-des-3des
    pattern-either:
      - pattern: Cipher.getInstance(DESede/...)
      - pattern: Cipher.getInstance(DES/...)
    message: DES/3DES deprecated. Dùng AES-256-GCM.
    severity: ERROR

Kết quả quét bằng Semgrep giúp xác định vị trí thuật toán yếu trong source code, module sở hữu, mức độ nghiêm trọng và hướng xử lý ban đầu. Các phát hiện này nên được đưa vào Crypto Inventory với các trường như algorithm, location, owner, severity và recommended action.

Trivy: Scan Container Image

Trivy có thể hỗ trợ phát hiện thư viện có lỗ hổng trong container image và xuất SBOM để phục vụ phân tích dependency. Trong chương trình PQC, SBOM giúp xác định ứng dụng đang dùng thư viện mật mã nào, phiên bản nào, và có phụ thuộc vào OpenSSL, libssl hoặc các thư viện crypto khác hay không.

# Scan image tìm crypto vulnerabilities
trivy image --severity HIGH,CRITICAL \
            --vuln-type os,library \
            --ignore-unfixed \
            myregistry.io/myapp:latest

# Export SBOM để phân tích crypto dependencies
trivy image --format cyclonedx \
            --output sbom-myapp.json \
            myregistry.io/myapp:latest

# Kiểm tra phiên bản OpenSSL trong image
trivy image --format json \
            myregistry.io/myapp:latest | \
  jq '.Results[].Vulnerabilities[] | select(.PkgName | test(openssl|libssl))'

Kết quả từ Trivy không trực tiếp cho biết hệ thống đã sẵn sàng PQC hay chưa, nhưng nó giúp phát hiện dependency có liên quan đến crypto. Đây là dữ liệu quan trọng để tạo CBOM (Crypto Bill of Materials) và đánh giá khả năng nâng cấp thư viện trong lộ trình migration.

OpenSSL / Nmap: Certificate Discovery

OpenSSL và Nmap có thể được dùng để kiểm tra chứng chỉ, public key algorithm, curve đang sử dụng và cipher suite của các endpoint trong mạng nội bộ. Đây là lớp discovery quan trọng vì nhiều hệ thống dùng TLS, VPN hoặc SSH mà không được ghi nhận đầy đủ trong tài liệu kiến trúc.

# Kiểm tra TLS và chứng chỉ của một endpoint
openssl s_client -connect api.example.com:443 \
  -showcerts -verify 5 2>/dev/null | \
  openssl x509 -noout -text | \
  grep -E Public.Key.Algorithm|RSA.Public.Key|Curve:

# Nmap scan tìm TLS cipher suite yếu trong subnet
nmap --script ssl-enum-ciphers -p 443 \
     --script-args ssl-enum-ciphers.chunked=1 \
     192.168.1.0/24 -oX tls-scan.xml

# Lọc RSA keys và ECC curves không khuyến nghị
nmap --script ssl-cert -p 443 192.168.1.0/24 | \
  grep -E RSA|secp256r1|secp384r1|commonName

Kết quả từ OpenSSL và Nmap giúp phát hiện endpoint nào đang dùng RSA, ECDSA, ECDH hoặc cipher suite không còn phù hợp. Các endpoint này cần được gắn owner, business criticality và mức ưu tiên xử lý trong Risk Backlog.

Ba nhóm công cụ trên phục vụ ba lớp discovery khác nhau. Semgrep phát hiện crypto yếu trong source code. Trivy phát hiện dependency và SBOM liên quan đến crypto trong container image. OpenSSL và Nmap phát hiện chứng chỉ, TLS endpoint và cipher suite trong mạng. Khi kết hợp các nguồn này, tổ chức có thể xây dựng Crypto Inventory đầy đủ hơn và có căn cứ thực tế để lập kế hoạch chuyển đổi sang PQC.

8. Lộ Trình Chuyển Đổi Sang Post-Quantum Cryptography

Chuyển đổi sang mật mã hậu lượng tử (post quantum cryptography) là một chương trình dài hạn ở cấp tổ chức, không phải một dự án kỹ thuật đơn lẻ. Mục tiêu của chương trình là xác định các thành phần mật mã đang sử dụng, đánh giá rủi ro lượng tử, lựa chọn chiến lược chuyển đổi phù hợp và triển khai theo thứ tự ưu tiên. Với các hệ thống quan trọng, tổ chức nên lập kế hoạch theo mốc 2030 đến 2033, tương tự định hướng của NSA CNSA 2.0 cho hệ thống chính phủ Hoa Kỳ.

Phase	Thời gian	Trọng tâm	Nội dung thực hiện	Đầu ra chính
Phase 1	0 đến 3 tháng	Assessment	Đánh giá tổng thể mức độ sẵn sàng hậu lượng tử (quantum readiness). Xác định executive sponsor. Thành lập PQC Task Force.	Quantum Risk Report
Phase 2	3 đến 9 tháng	Discovery	Thực hiện Crypto Inventory toàn diện. Scan source code, network, certificates, cloud. Phân tích SBOM để phát hiện thư viện và thành phần mật mã đang sử dụng.	Crypto Asset Register đầy đủ
Phase 3	6 đến 12 tháng	Planning	Xây dựng migration roadmap chi tiết. Lựa chọn thuật toán PQC theo từng use case. Xác định hybrid strategy. Đánh giá vendor. Lập kế hoạch ngân sách.	PQC Migration Roadmap
Phase 4	12 đến 18 tháng	Pilot	Triển khai thử nghiệm trên môi trường non critical. Thực hiện lab testing, performance benchmarking, integration testing. Tổng hợp lesson learned.	Pilot Report và bộ khuyến nghị triển khai
Phase 5	18 đến 48 tháng	Migration	Triển khai theo thứ tự ưu tiên: PKI ( \rightarrow ) TLS/VPN ( \rightarrow ) Code signing ( \rightarrow ) IAM ( \rightarrow ) Applications ( \rightarrow ) IoT/OT. Duy trì hybrid mode trong giai đoạn chuyển đổi.	Hệ thống được chuyển đổi sang PQC theo mức ưu tiên rủi ro
Phase 6	Song song	Validation	Thực hiện penetration testing, red team, interoperability testing. Kiểm tra FIPS compliance. Tổ chức third party audit và regression testing.	Báo cáo xác thực an toàn và tuân thủ
Phase 7	Ongoing	Operation	Thiết lập PQC aware monitoring. Quản lý certificate lifecycle. Cập nhật incident response. Theo dõi vendor patch management. Đào tạo đội ngũ vận hành.	Năng lực vận hành PQC ổn định
Phase 8	Ongoing	Continuous Improvement	Theo dõi cập nhật từ NIST, NSA, CISA. Kiểm thử cryptographic agility. Tích hợp threat intelligence. Thực hiện annual quantum readiness review.	Chương trình PQC được cải tiến liên tục

Cách triển khai phù hợp là bắt đầu từ đánh giá rủi ro và Crypto Inventory, sau đó mới lựa chọn thuật toán và triển khai kỹ thuật. Các hệ thống có dữ liệu nhạy cảm dài hạn, PKI, TLS, VPN, code signing, IAM, IoT và OT cần được ưu tiên trước. Trong giai đoạn chuyển đổi, hybrid mode giúp duy trì tương thích với hạ tầng hiện tại, đồng thời bổ sung lớp bảo vệ hậu lượng tử.

8.1 Chi Tiết Từng Giai Đoạn

Bảng dưới đây mô tả rõ mục tiêu, đầu ra, chỉ số đo lường và vai trò chịu trách nhiệm trong từng giai đoạn chuyển đổi sang mật mã hậu lượng tử (post quantum cryptography). Cách trình bày này giúp chương trình PQC không chỉ dừng ở mức kỹ thuật, mà có thể được quản trị như một chương trình chuyển đổi cấp tổ chức. Trong bảng này, RACI được hiểu như sau. R là Responsible, người trực tiếp thực hiện. A là Accountable, người chịu trách nhiệm cuối cùng. C là Consulted, bên cần tham vấn. I là Informed, bên cần được cập nhật thông tin.

Điểm quan trọng là mỗi giai đoạn phải có deliverables và KPI rõ ràng. Nếu không có Crypto Inventory DB, tổ chức không thể lập roadmap chính xác. Nếu không có pilot và validation, việc chuyển đổi PQC có thể gây lỗi tương thích, tăng độ trễ hoặc phá vỡ trust chain hiện có.

Giai đoạn	Mục tiêu chính	Deliverables	KPI	RACI chính
Assessment	Hiểu rõ baseline quantum risk của tổ chức	Quantum Risk Report, Executive Briefing, Budget Estimate	Tỷ lệ hệ thống đã đánh giá \$\\geq\$ 80%	CISO (A), Security Architect (R)
Discovery	Hoàn thành Crypto Asset Register	Crypto Inventory DB, CBOM (Crypto Bill of Materials), Heatmap	Coverage \$\\geq\$ 95% hệ thống, 100% Tier 1-2	Security Eng (R), DevSecOps (R), CIO (I)
Planning	Roadmap chi tiết với timeline và budget	PQC Migration Plan, Vendor Evaluation Report, Algorithm Selection	Roadmap được board approve trong Q+1	CISO (A), Enterprise Architect (R), CFO (C)
Pilot	Xác nhận feasibility trên môi trường thực	Pilot Report, Performance Benchmarks, Integration Test Results	Latency increase < 20%, Zero regression	DevSecOps (R), Cloud Eng (R), QA (C)
Migration	Triển khai PQC theo thứ tự ưu tiên	Migrated Systems Registry, Hybrid Config Docs, Updated CAs	% hệ thống Tier 1-2 migrated theo timeline	Cloud/Infra Eng (R), CISO (A), Risk (C)
Validation	Xác nhận bảo mật và compliance sau migration	Pentest Report, Compliance Attestation, Audit Trail	Zero critical findings, FIPS compliance \$\\geq\$ 99%	Security (R), Audit (C), CISO (A)

8.2 Hybrid Cryptography: Chiến Lược Chuyển Đổi An Toàn

Trong giai đoạn chuyển đổi sang mật mã hậu lượng tử (post quantum cryptography), lựa chọn thực tế nhất là Hybrid Cryptography. Cách tiếp cận này kết hợp một thuật toán cổ điển đã được triển khai rộng rãi với một thuật toán PQC mới trong cùng một quy trình thiết lập khóa. Mục tiêu là duy trì mức an toàn hiện có của hệ thống, đồng thời bổ sung khả năng chống lại tấn công lượng tử trong tương lai.

Trong mô hình hybrid, khóa phiên không phụ thuộc vào một thuật toán duy nhất. Ví dụ, với TLS 1.3, hệ thống có thể kết hợp X25519 và ML KEM 768 để tạo vật liệu khóa chung. X25519 cung cấp mức an toàn cổ điển đã được kiểm chứng trong thực tế. ML KEM 768 bổ sung lớp bảo vệ hậu lượng tử. Vì vậy, kẻ tấn công phải phá vỡ cả hai thành phần mới có thể khôi phục khóa phiên. Cách triển khai này đặc biệt phù hợp với giai đoạn các chuẩn PQC còn đang được tích hợp dần vào trình duyệt, máy chủ, thư viện mật mã, thiết bị mạng và dịch vụ cloud.

Hybrid mode đã xuất hiện trong nhiều hệ sinh thái thực tế. Chrome bắt đầu hỗ trợ X25519Kyber768 cho TLS từ Chrome 116, và cơ chế này được dùng để thiết lập khóa phiên trong kết nối TLS. Cloudflare cũng đã triển khai kết nối post quantum giữa Cloudflare và origin server, đồng thời chuyển dần từ biến thể tiền chuẩn X25519Kyber768 sang ML KEM theo chuẩn cuối cùng.

Trong SSH, OpenSSH đã bật post quantum key agreement mặc định từ phiên bản 9.0 thông qua sntrup761x25519 sha512. Các phiên bản mới hơn bổ sung mlkem768x25519 sha256, và OpenSSH 10.0 đặt cơ chế này làm mặc định.

Trong hệ thống nhắn tin bảo mật, Signal mô tả PQXDH là giao thức thỏa thuận khóa mở rộng từ X3DH. PQXDH dùng kết hợp cơ chế dựa trên Diffie Hellman với PQ KEM để thiết lập khóa bí mật, đồng thời cung cấp post quantum forward secrecy cho phiên liên lạc.

Vì vậy, Hybrid Cryptography không nên được hiểu là giải pháp tạm thời đơn giản. Đây là chiến lược giảm rủi ro trong giai đoạn chuyển đổi. Nó cho phép tổ chức triển khai PQC sớm, kiểm thử tương thích, đo hiệu năng, phát hiện lỗi tích hợp, và vẫn duy trì khả năng tương thích với hạ tầng mật mã hiện có.

9. Best Practices Tổng Hợp

Các thực hành dưới đây được tổng hợp từ NIST SP 1800 38, NSA CNSA 2.0, CISA PQC Roadmap, ENISA Guidelines, CSA PQC Guidance và OWASP Cryptographic Failures. Mục tiêu của bảng là chuyển các khuyến nghị kỹ thuật thành danh sách hành động có thể áp dụng trong tổ chức. Mức ưu tiên P0 thể hiện các việc cần triển khai sớm vì ảnh hưởng trực tiếp đến rủi ro mật mã. Mức ưu tiên P1 thể hiện các việc cần được đưa vào kế hoạch triển khai chính thức sau khi tổ chức đã có cơ chế quản trị và inventory ban đầu.

Lĩnh vực	Best Practice	Nguồn	Ưu tiên
Governance	Bổ nhiệm Quantum Security Officer / PQC Lead chính thức	NIST, NSA	P0
Đưa PQC vào Board-level risk register và ISO 27001 controls	ENISA, CISA	P0
Thiết lập Crypto Governance Committee với đại diện từ CISO, CTO, Legal, Compliance	CSA	P1
Architecture	Implement Cryptographic Agility ngay từ thiết kế: tách crypto logic thành abstraction layer	NIST, OWASP	P0
Sử dụng Hybrid mode (classical + PQC) trong giai đoạn chuyển đổi	NIST, IETF	P0
Không tự triển khai PQC từ scratch: sử dụng thư viện đã được kiểm định (liboqs, BoringSSL-PQC)	OWASP	P0
PKI	Lên kế hoạch dual-certificate PKI: cấp chứng chỉ song song RSA + PQC	NIST	P1
Đánh giá lại Root CA và Intermediate CA: chuẩn bị root re-key với PQC	NSA CNSA 2.0	P1
Rút ngắn certificate validity về 1 năm để dễ rollover	CA/B Forum, NIST	P1
DevSecOps	Tích hợp Crypto Scanner (Semgrep, CodeQL) vào CI/CD pipeline: fail build nếu phát hiện deprecated crypto	OWASP, NIST	P1
Tạo CBOM (Crypto Bill of Materials) cho mọi release	NIST, CISA	P1
Không sử dụng ECB mode, RC4, MD5, SHA-1, DES, 3DES trong code mới	OWASP CWE-327	P0
Key Management	Nâng cấp AES-128 $\rightarrow$ AES-256, SHA-256 $\rightarrow$ SHA-384 cho dữ liệu nhạy cảm	NSA CNSA 2.0	P1
HSM phải hỗ trợ PQC key storage: đánh giá roadmap vendor ngay	NIST, NSA	P1
Supply Chain	Yêu cầu PQC roadmap từ mọi vendor phần mềm và hardware có crypto	CISA, NSA	P1
Ưu tiên mua thiết bị IoT/OT với firmware update capability và PQC support	ENISA, NIST	P1

Nhìn tổng thể, chương trình PQC không chỉ là việc thay một thuật toán mật mã. Đây là một chương trình chuyển đổi có tác động đến governance, architecture, PKI, DevSecOps, key management và supply chain. Tổ chức nên bắt đầu từ governance và crypto inventory, sau đó triển khai cryptographic agility, hybrid mode, kiểm soát CI/CD, và yêu cầu vendor cung cấp roadmap rõ ràng. Khi các hoạt động này được vận hành đồng bộ, tổ chức sẽ có nền tảng đủ tốt để chuyển đổi sang PQC mà không làm gián đoạn hệ thống hiện tại.

10. Thiết Kế Hệ Thống Quantum-Ready

Một kiến trúc quantum-ready không chỉ thay thế thuật toán mà còn tích hợp cryptographic agility vào mọi lớp thiết kế. Phần này trình bày các mẫu kiến trúc tham chiếu.

10.1 Crypto Abstraction Layer Pattern

Crypto Abstraction Layer là mẫu kiến trúc dùng để tách logic nghiệp vụ khỏi chi tiết triển khai mật mã. Mục tiêu chính là giúp hệ thống có khả năng thay đổi thuật toán, thư viện, khóa và chế độ vận hành mà không phải sửa trực tiếp vào business logic. Đây là nền tảng quan trọng của cryptographic agility trong giai đoạn chuyển đổi sang post quantum cryptography.

Hình bên dưới mô tả một kiến trúc nhiều lớp cho hệ thống doanh nghiệp. Ở lớp trên cùng, Business Logic Layer chỉ xử lý nghiệp vụ như thanh toán, đăng nhập, ký giao dịch, bảo vệ dữ liệu hoặc xác thực tài liệu. Lớp này không được gọi trực tiếp các thuật toán như RSA, ECDSA, AES, ML KEM hay ML DSA. Thay vào đó, nó chỉ gọi các hàm nghiệp vụ mật mã thông qua Crypto Service Interface.

Crypto Service Interface đóng vai trò là cổng truy cập thống nhất cho các thao tác mật mã. Các hàm thường gặp gồm encrypt, sign, verify, encapsulate và decapsulate. Lớp này che giấu chi tiết thuật toán phía dưới. Nhờ vậy, mã nghiệp vụ không cần biết hệ thống đang dùng classical provider, hybrid provider hay PQC provider.

Bên dưới Crypto Service Interface là Policy và Algorithm Registry. Đây là lớp quyết định thuật toán nào được sử dụng trong từng ngữ cảnh. Ví dụ, với dữ liệu nội bộ ngắn hạn, hệ thống có thể dùng classical provider như AES 256 và SHA 384. Với kết nối cần chuyển đổi an toàn, hệ thống có thể dùng hybrid provider như X25519 kết hợp ML KEM hoặc ECDSA kết hợp ML DSA. Với hệ thống đã sẵn sàng hậu lượng tử, registry có thể chọn PQC provider như ML KEM, ML DSA hoặc SLH DSA.

Ba provider trong hình thể hiện ba chế độ triển khai khác nhau. Classic Provider phục vụ các hệ thống hiện tại và các thành phần legacy. Hybrid Provider phục vụ giai đoạn chuyển đổi, khi tổ chức cần duy trì tương thích với mật mã cổ điển nhưng đồng thời bổ sung khả năng chống tấn công lượng tử. PQC Provider phục vụ trạng thái đích, khi hệ thống đã chuyển sang các thuật toán hậu lượng tử được chuẩn hóa.

Ở lớp dưới cùng là KMS, HSM và Vault. Đây là nơi quản lý khóa, kiểm soát truy cập, audit và rotation. Các provider không nên tự lưu khóa trong mã nguồn hoặc file cấu hình. Thay vào đó, mọi thao tác liên quan đến khóa cần đi qua hệ thống quản lý khóa tập trung. Cách này giúp giảm nguy cơ lộ khóa, hỗ trợ audit, đáp ứng yêu cầu tuân thủ và cho phép xoay vòng khóa có kiểm soát.

Ý nghĩa chính của pattern này là kiểm soát sự thay đổi của mật mã ở tầng kiến trúc, thay vì để thuật toán bị gắn cứng trong từng module ứng dụng. Khi cần thay RSA bằng ML KEM, thay ECDSA bằng ML DSA, hoặc bật hybrid mode cho một nhóm dịch vụ, tổ chức chỉ cần cập nhật policy, registry và provider tương ứng. Business logic vẫn giữ nguyên.

Mẫu Crypto Abstraction Layer đặc biệt quan trọng với hệ thống doanh nghiệp lớn vì thuật toán mật mã thường xuất hiện rải rác trong nhiều lớp như application, API gateway, TLS, PKI, IAM, code signing, cloud service và thiết bị nội bộ. Nếu không có abstraction layer, việc chuyển đổi sang PQC sẽ trở thành quá trình sửa mã phân tán, khó kiểm soát và dễ tạo lỗi tương thích.

Tóm lại, Crypto Abstraction Layer là cơ chế thiết kế giúp hệ thống sẵn sàng cho PQC. Pattern này tạo ra ranh giới rõ ràng giữa nghiệp vụ, giao diện mật mã, chính sách thuật toán, provider triển khai và hệ thống quản lý khóa. Nhờ đó, tổ chức có thể triển khai cryptographic agility, vận hành hybrid mode và từng bước chuyển đổi sang post quantum cryptography mà không làm gián đoạn hệ thống hiện tại.

10.2 Zero Trust Architecture: Quantum-Ready

Kiến trúc Zero Trust sẵn sàng hậu lượng tử (Zero Trust Quantum Ready Architecture) kết hợp nguyên tắc Zero Trust với mật mã hậu lượng tử (post quantum cryptography). Mục tiêu là bảo đảm mọi người dùng, thiết bị, service và workload đều được xác minh trước khi truy cập. Đồng thời, các kết nối quan trọng phải sẵn sàng chuyển sang hybrid hoặc PQC khi cần.

Trong kiến trúc này, luồng truy cập bắt đầu từ user và device. Hệ thống kiểm tra posture check để đánh giá danh tính, trạng thái thiết bị, bản vá, cấu hình và rủi ro phiên truy cập. Kết nối đến API Gateway nên dùng mTLS hybrid để duy trì tương thích với hệ thống hiện tại và bổ sung khả năng chống tấn công lượng tử.

API Gateway là điểm thực thi chính sách (policy enforcement point). Thành phần này kiểm tra quyền truy cập, ngữ cảnh, mức rủi ro và chính sách mã hóa trước khi cho phép request đi sâu vào hệ thống. Sau đó, Service Mesh quản lý giao tiếp giữa các service. Mỗi service có danh tính riêng và phải được xác thực khi gọi sang service khác.

Các workload như app, service và job xử lý nghiệp vụ nhưng không tự quản lý khóa hoặc tự chọn thuật toán mật mã. Mọi thao tác liên quan đến khóa cần đi qua KMS, HSM hoặc Vault. Data Stores lưu dữ liệu nghiệp vụ, log và dữ liệu nhạy cảm nên phải được mã hóa, phân quyền và ghi log đầy đủ.

PQC PKI cung cấp chứng chỉ và danh tính mật mã cho gateway, service mesh và workload. Thành phần này hỗ trợ crypto agility, giúp hệ thống chuyển từ chứng chỉ cổ điển sang chứng chỉ hybrid hoặc PQC mà không phải thay đổi toàn bộ kiến trúc.

Observability theo dõi log, sự kiện, chứng chỉ, thuật toán, độ dài khóa và trạng thái cấu hình. Mục tiêu là phát hiện crypto event bất thường, chứng chỉ sắp hết hạn, inventory drift hoặc service quay lại dùng thuật toán cũ.

Tóm lại, Zero Trust Quantum Ready Architecture đưa PQC vào đúng các điểm kiểm soát quan trọng của hệ thống: định danh, kết nối, chính sách truy cập, quản lý khóa, chứng chỉ, workload, dữ liệu và giám sát. Đây là nền tảng để doanh nghiệp triển khai cryptographic agility và giảm rủi ro trong giai đoạn hậu lượng tử.

10.3 DevSecOps Pipeline: PQC Integration

DevSecOps Pipeline tích hợp PQC là cách đưa kiểm soát mật mã hậu lượng tử (post quantum cryptography) vào toàn bộ vòng đời phát triển phần mềm. Mục tiêu là phát hiện sớm thuật toán lỗi thời, kiểm tra metadata mật mã trong SBOM, ký artifact bằng thuật toán phù hợp, và giám sát drift sau khi hệ thống vận hành.

Pipeline bắt đầu từ giai đoạn Code. Tại đây, lập trình viên viết mã trong IDE và hệ thống dùng công cụ như Semgrep crypto để phát hiện hardcoded key, thuật toán yếu, mode mã hóa không an toàn hoặc API mật mã không còn phù hợp. Đây là lớp kiểm soát sớm nhất để tránh đưa lỗi mật mã vào repository.

Ở giai đoạn Build, CI policy kiểm tra dependency và cấu hình build. Quality gate 1 bảo đảm mã mới không sử dụng RSA hoặc ECDH cho các use case cần chuyển sang PQC hoặc hybrid. Nếu phát hiện thuật toán không được phép, pipeline có thể cảnh báo hoặc chặn build.

Ở giai đoạn Test, hệ thống chạy crypto test và hybrid TLS test. Mục tiêu là kiểm tra ứng dụng có hoạt động đúng với cấu hình classical, hybrid hoặc PQC hay không. Quality gate 2 yêu cầu SBOM phải có crypto metadata, bao gồm thư viện mật mã, thuật toán, độ dài khóa, certificate và vị trí sử dụng trong phần mềm.

Ở giai đoạn Package, hệ thống tạo SBOM và ký artifact. Với môi trường đã sẵn sàng PQC, artifact có thể được ký bằng SLH DSA hoặc thuật toán chữ ký PQC phù hợp. Việc này giúp bảo vệ tính toàn vẹn của phần mềm và chuẩn bị cho chuỗi cung ứng phần mềm hậu lượng tử.

Ở giai đoạn Deploy, policy gate kiểm tra cấu hình PQC trước khi triển khai. Quality gate 3 xác minh artifact đã ký và chứng chỉ hợp lệ. Cấu hình triển khai cũng cần bảo đảm service không quay lại dùng thuật toán cũ hoặc cipher suite không đạt yêu cầu.

Ở giai đoạn Operate, hệ thống giám sát runtime và phát hiện inventory drift. Thành phần monitor theo dõi certificate, thuật toán đang dùng, cấu hình TLS, thư viện mật mã, log và sự kiện bất thường. Nếu hệ thống phát hiện service dùng lại RSA, ECDH, SHA 1, 3DES hoặc cấu hình không đúng policy, sự kiện phải được đưa vào risk backlog để xử lý.

11. Tương Lai Của Mật mã hậu lượng tử

Mật mã hậu lượng tử (post quantum cryptography) không phải là một thay đổi đơn lẻ về thuật toán. Đây là một quá trình chuyển đổi dài hạn của toàn bộ hạ tầng bảo mật. Từ nay đến năm 2040, các tổ chức sẽ phải đồng thời xử lý ba hướng lớn: thay thế thuật toán khóa công khai dễ bị lượng tử phá vỡ, duy trì hybrid mode trong giai đoạn chuyển đổi, và xây dựng năng lực quản trị mật mã tự động.

Xu hướng	Thời điểm dự kiến	Ảnh hưởng	Mức độ chắc chắn
CRQC (Cryptographically Relevant QC)	2030 đến 2040	RSA/ECDSA hoàn toàn lỗi thời	Cao
Hybrid PQC trở thành mặc định	2025 đến 2027	TLS 1.4 dự kiến native hybrid support	Rất cao
Quantum Key Distribution (QKD)	2028 đến 2035	Trao đổi khóa an toàn vật lý lượng tử: bổ sung PQC, không thay thế	Trung bình
Quantum Internet	2030 đến 2040	Mạng entanglement toàn cầu: bảo mật tuyệt đối theo cơ học lượng tử	Thấp
AI-assisted Crypto Analysis	2025 đến 2030	LLM/AI phân tích lỗ hổng crypto trong code, tự động đề xuất PQC migration	Rất cao
Autonomous Crypto Governance	2028 đến 2035	Hệ thống tự động phát hiện, đánh giá và rollover crypto keys không cần can thiệp thủ công	Trung bình
PQC trên Blockchain	2026 đến 2030	Ethereum, Bitcoin cần hard fork để thay ECDSA secp256k1: rủi ro cao cho tài sản crypto	Cao
NIST PQC Round 5 (nếu cần)	2025 đến 2026	Chuẩn hóa HQC + Falcon chính thức, có thể thêm signature schemes mới	Rất cao

11.1 Quantum Key Distribution: bổ sung hay thay thế

Phân phối khóa lượng tử (quantum key distribution) sử dụng đặc tính vật lý của photon để phát hiện nghe lén trong quá trình truyền khóa. Về lý thuyết, nếu có bên thứ ba can thiệp vào kênh lượng tử, trạng thái lượng tử sẽ bị thay đổi và hệ thống có thể phát hiện dấu hiệu bất thường.

Tuy nhiên, QKD không phải là giải pháp thay thế trực tiếp cho PQC. PQC có thể triển khai bằng phần mềm, thư viện và giao thức trên Internet hiện có. Ngược lại, QKD cần hạ tầng vật lý chuyên dụng như cáp quang lượng tử hoặc vệ tinh. Vì vậy, QKD phù hợp hơn với chính phủ, ngân hàng trung ương, quốc phòng và hạ tầng trọng yếu.

Tiêu chí	PQC	QKD
Hạ tầng yêu cầu	Software/library update	Cáp quang chuyên dụng hoặc vệ tinh
Khoảng cách	Không giới hạn (Internet)	~100km (cáp), ~1000km (vệ tinh)
Chi phí	Thấp: software	Rất cao: phần cứng chuyên dụng
Bảo mật	Tính toán (computational security)	Vật lý lượng tử (unconditional)
Phù hợp cho	Mọi tổ chức, mọi use case	Chính phủ, ngân hàng, hạ tầng quốc gia
Tình trạng	FIPS chuẩn hóa (2024)	Thương mại hóa sơ bộ (ID Quantique, Toshiba)
Khuyến nghị	Triển khai ngay	Nghiên cứu + pilot cho Tier 1

Kết luận về QKD là rõ ràng. PQC nên được xem là hướng triển khai chính cho bảo mật phổ quát. QKD là lớp bổ sung cho các kênh truyền thông đặc biệt quan trọng. Chiến lược dài hạn hợp lý là dùng PQC cho bảo mật end to end trên diện rộng, đồng thời dùng QKD cho một số tuyến truyền thông trọng yếu khi chi phí và hạ tầng cho phép.

11.2 AI for Cryptography: cơ hội và rủi ro

Trí tuệ nhân tạo (artificial intelligence) đang ảnh hưởng mạnh đến mật mã học theo cả hướng phòng thủ và tấn công. Ở chiều phòng thủ, AI có thể hỗ trợ phát hiện deprecated crypto trong codebase lớn, phân tích SBOM, xây dựng Crypto Inventory, đánh giá vendor roadmap và đề xuất kế hoạch PQC migration. Đây là năng lực quan trọng vì nhiều tổ chức không biết chính xác thuật toán, khóa, chứng chỉ và thư viện mật mã đang nằm ở đâu trong hệ thống.

Ở chiều tấn công, AI có thể làm tăng hiệu quả của phân tích side channel, fuzzing giao thức, tìm lỗi cấu hình và phát hiện sai sót trong implementation. AI không phá vỡ trực tiếp các thuật toán PQC đã được thiết kế đúng, nhưng có thể giúp khai thác các triển khai yếu, ví dụ lỗi sinh số ngẫu nhiên, lỗi quản lý khóa, lỗi thời gian thực thi hoặc lỗi xử lý ciphertext.

AI cũng có vai trò trong thiết kế và kiểm chứng giao thức. Các công cụ formal verification như Tamarin Prover và ProVerif có thể được kết hợp với AI để hỗ trợ mô hình hóa, kiểm tra giả định an toàn và phát hiện lỗi logic trong giao thức mật mã. Trong quản trị, LLM có thể hỗ trợ tổng hợp Crypto Inventory, tạo migration plan, đọc tài liệu vendor và phát hiện khoảng trống tuân thủ.

Tóm lại, tương lai của PQC sẽ không chỉ phụ thuộc vào thuật toán được chuẩn hóa. Thành công của PQC phụ thuộc vào khả năng triển khai đúng, quản trị tốt, giám sát liên tục và tự động hóa ở quy mô doanh nghiệp. PQC, QKD, AI và cryptographic agility sẽ cùng tạo thành nền tảng bảo mật mới cho giai đoạn hậu lượng tử.

12. Kết Luận

Mật mã hậu lượng tử (post quantum cryptography) không còn là vấn đề của tương lai. Rủi ro thu thập trước, giải mã sau (Harvest Now, Decrypt Later) đã tồn tại ngay hôm nay. Khi máy tính lượng tử có ý nghĩa mật mã (cryptographically relevant quantum computer) xuất hiện, các hệ mật mã như RSA, ECDSA và ECDH sẽ không còn bảo đảm an toàn cho dữ liệu dài hạn. Vì vậy, tổ chức càng chậm chuẩn bị thì chi phí chuyển đổi càng lớn và rủi ro càng cao.

12.1 Các phát hiện chính

HNDL là rủi ro hiện tại. Dữ liệu mã hóa bằng RSA, ECDSA hoặc ECDH hôm nay có thể bị lưu lại để giải mã trong tương lai. NIST đã có nền tảng chuẩn hóa rõ ràng. FIPS 203, FIPS 204 và FIPS 205 là cơ sở kỹ thuật để bắt đầu chuyển đổi. Cryptographic agility là yêu cầu bắt buộc. Hệ thống phải có khả năng thay đổi thuật toán mà không phải thiết kế lại toàn bộ. Hybrid mode là giải pháp chuyển tiếp phù hợp. Việc kết hợp thuật toán cổ điển với PQC giúp giảm rủi ro trong giai đoạn chuyển đổi. IoT và OT là nhóm khó chuyển đổi nhất. Vòng đời thiết bị dài đòi hỏi yêu cầu PQC phải được đưa vào kế hoạch mua sắm từ sớm. Crypto Inventory là điểm khởi đầu. Không có danh mục mật mã thì không thể đánh giá rủi ro, lập roadmap hoặc ưu tiên migration. Không nên phụ thuộc vào một thuật toán duy nhất. Bài học từ SIKE cho thấy một ứng viên có thể bị phá, nên cần đa dạng thuật toán và có phương án thay thế.

12.2 Khuyến Nghị Theo Nhóm Đối Tượng

Đối tượng	Khuyến nghị ưu tiên cao nhất	Timeline
Chính phủ / Cơ quan Nhà nước	(1) Ban hành chính sách PQC quốc gia tương tự NSA CNSA 2.0 (2) Yêu cầu FIPS 203/204/205 trong mọi hệ thống mua sắm mới từ 2026 (3) Ưu tiên bảo vệ dữ liệu phân loại mật (classified) khỏi HNDL ngay lập tức	Ngay: 2026
Doanh nghiệp lớn	(1) Khởi động Crypto Inventory trong Q3-Q4 2026 (2) Thành lập PQC Task Force với executive sponsorship (3) Yêu cầu PQC roadmap trong mọi hợp đồng vendor mới (4) Triển khai hybrid TLS 1.3 cho APIs và VPN	2026 đến 2028
Trường Đại Học	(1) Đưa PQC vào chương trình giảng dạy Mật mã học và ATTT (2) Tích hợp CRYSTALS-Kyber/Dilithium vào lab thực hành (3) Khuyến khích nghiên cứu PQC implementation, side-channel analysis	2026 đến 2027
Nhà Nghiên Cứu	(1) Tập trung vào implementation security của PQC (side-channel, fault injection) (2) Nghiên cứu PQC-native protocols (TLS 2.0, SSH4, post-quantum blockchain) (3) Phân tích security of HQC, Falcon, McEliece trong NIST Round 4	Ongoing
Nhà Phát Triển Phần Mềm	(1) Sử dụng thư viện PQC đã được kiểm định: liboqs, BouncyCastle PQC, AWS-LC (2) Implement Crypto Abstraction Layer: đừng hardcode algorithm (3) Tích hợp Semgrep/CodeQL vào pipeline: fail build với deprecated crypto (4) Đọc và tuân thủ OWASP Cryptographic Failures (A02:2021)	Ngay

Điện toán lượng tử không chấm dứt mật mã học. Nó buộc mật mã học bước sang một giai đoạn mới, trong đó tổ chức phải quản trị thuật toán, khóa, chứng chỉ, thư viện và giao thức một cách chủ động hơn.

Câu hỏi trọng tâm không còn là liệu điện toán lượng tử có phá vỡ mật mã hiện tại hay không. Câu hỏi đúng là tổ chức đã sẵn sàng chuyển đổi trước khi rủi ro đó trở thành hiện thực hay chưa.

Impact ↓ / Likelihood \(\rightarrow\)	Rất thấp	Thấp	Trung bình	Cao	Rất cao
Thảm họa	Trung bình	Cao	Nguy cấp	Nguy cấp	Nguy cấp
Nghiêm trọng	Thấp	Trung bình	Cao	Nguy cấp	Nguy cấp
Đáng kể	Thấp	Thấp	Trung bình	Cao	Nguy cấp
Giới hạn	Thấp	Thấp	Thấp	Trung bình	Cao
Không đáng kể	Thấp	Thấp	Thấp	Thấp	Trung bình

Mật mã hậu lượng tử và Chiến Lược Chuyển Đổi Hệ Thống