Pháp sẽ ngừng chứng nhận các sản phẩm không an toàn lượng tử từ năm 2027, khuyến nghị doanh nghiệp chuyển đổi trước năm 2030

Cơ quan an ninh mạng của Pháp (ANSSI) vào ngày 17/6 đã công bố rằng từ năm 2027 sẽ ngừng cấp chứng nhận cho các sản phẩm an ninh thiếu công nghệ mã hóa kháng lượng tử, đồng thời khuyến nghị các doanh nghiệp chỉ mua các sản phẩm an toàn trước lượng tử trước năm 2030. Do chứng nhận ANSSI là yêu cầu bắt buộc đối với các cơ quan chính phủ của Pháp và các đơn vị vận hành hạ tầng thiết yếu, động thái này về thực chất đặt ra thời hạn loại bỏ đối với các hệ thống mã hóa cũ.

Thông báo của ông Souissi, Giám đốc ANSSI, tại hội nghị lượng tử ở Pháp: Quản trị, kế hoạch ngành và vấn đề chủ quyền

Giám đốc ANSSI Samih Souissi cho biết tại hội nghị lượng tử ở Pháp rằng việc điều chỉnh chính sách lần này không chỉ liên quan đến khía cạnh kỹ thuật: “Đây không chỉ là một vấn đề kỹ thuật. Đây là vấn đề về quản trị, kế hoạch phát triển ngành, giám sát và chủ quyền.”

Souissi nhấn mạnh thời hạn dừng cấp chứng nhận vào năm 2027 và khuyến nghị mua sắm vào năm 2030 nhằm tạo đủ thời gian chuyển đổi cho ngành, đồng thời phòng ngừa các mối đe dọa mang tính hệ thống mà điện toán lượng tử đặt ra đối với các hệ thống bảo vệ mã hóa hiện tại.

Đánh giá mối đe dọa của IBM Jerry Chow và Qperfect

Ông Jerry Chow, lãnh đạo cấp cao của IBM, tại hội nghị lượng tử ở Pháp cho biết mối đe dọa của điện toán lượng tử đối với các công nghệ mã hóa hiện có có thể xuất hiện vào giữa những năm 2030, phù hợp với khung lộ trình chính sách 2027-2030 của ANSSI.

Qperfect cảnh báo rằng thuật toán chữ ký số dựa trên đường cong elliptic (ECDSA) — công nghệ mã hóa chuẩn được sử dụng rộng rãi trong blockchain — có thể là một trong những hệ thống đầu tiên bị máy tính lượng tử bẻ khóa.

Phản hồi của ngành từ OVHcloud và Capgemini

Ông Pascal Brill, Giám đốc đổi mới của Capgemini, cho biết với Reuters rằng khi các ngân hàng và khu vực dịch vụ công đánh giá những phần nào cần thay đổi, nhu cầu đang tăng lên: “Thị trường này đang trở nên rất lớn, và quy mô sẽ vô cùng khổng lồ.”

Còn ông Fanny Bouton, phụ trách mảng kinh doanh lượng tử của OVHcloud, cho rằng doanh nghiệp phải đối mặt với gánh nặng tuân thủ kép — vừa phải đáp ứng yêu cầu chứng nhận của ANSSI, vừa phải đồng thời đáp ứng các tiêu chuẩn tương ứng của Ủy ban châu Âu và cơ quan NIST của Mỹ (Viện Tiêu chuẩn và Công nghệ Quốc gia): “Là một doanh nghiệp của Pháp và châu Âu, chúng tôi phải chịu những ràng buộc lớn hơn.”

Câu hỏi thường gặp

Chứng nhận ANSSI có ý nghĩa bắt buộc gì đối với các cơ quan ở Pháp?

Theo Reuters, khi sử dụng công nghệ mã hóa trong các cơ quan chính phủ của Pháp và trong các hạ tầng thiết yếu thì phải có chứng nhận ANSSI. Do đó, quyết định về thời hạn dừng chứng nhận vào năm 2027 của ANSSI, xét về thực chất, đặt ra một thời hạn cứng buộc chính phủ Pháp và các đơn vị vận hành hạ tầng thiết yếu phải chuyển sang các sản phẩm an toàn trước lượng tử, thay vì chỉ là hướng dẫn mang tính khuyến nghị.

Mối đe dọa của cuộc tấn công “thu thập trước, giải mã sau” là gì?

Theo báo cáo, “Harvest Now, Decrypt Later” (thu thập ngay, giải mã sau) là việc kẻ tấn công thu thập và lưu trữ dữ liệu được mã hóa ngay bây giờ, rồi khi máy tính lượng tử đủ mạnh sẽ bẻ khóa lớp bảo vệ mã hóa hiện tại. Ông Jerry Chow của IBM cho biết mối đe dọa này có thể trở thành hiện thực vào giữa những năm 2030, và đây là một trong những động lực chính khiến ANSSI chủ động đặt ra thời hạn chứng nhận vào năm 2027.

ECDSA và vấn đề an toàn trước lượng tử có ý nghĩa gì đối với tiền mã hóa?

Theo cảnh báo của Qperfect tại hội nghị lượng tử ở Pháp, ECDSA có thể là một trong những chuẩn mã hóa đầu tiên bị máy tính lượng tử bẻ khóa, trong khi ECDSA là chuẩn chữ ký số được áp dụng rộng rãi trong các blockchain chủ đạo như Bitcoin và Ethereum. Các hệ thống AI như Claude Mythos của Anthropic cũng đã đề cập vấn đề này trong các nghiên cứu liên quan. Việc điều chỉnh chính sách của ANSSI Pháp và xu hướng chuyển dịch toàn cầu sang an toàn trước lượng tử có tác động trực tiếp đến cấu trúc bảo mật dài hạn của ngành blockchain.