ในปัจจุบัน ความคาดการณ์เกี่ยวกับ“คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับอภินิหารทางเข้ารหัส (CRQC)” ว่าจะเกิดขึ้นเมื่อไร มักจะเป็นไปในทางที่เกินความเป็นจริงและเกินความสมเหตุสมผล—ซึ่งนำไปสู่การเรียกร้องให้เปลี่ยนผ่านเข้ารหัสแบบหลังควอนตัมอย่างเร่งด่วนและครอบคลุม
แต่คำเรียกร้องเหล่านี้มักจะมองข้ามต้นทุนและความเสี่ยงของการเปลี่ยนผ่านก่อนเวลาอันควร รวมถึงการละเลยความแตกต่างด้านความเสี่ยงระหว่างอภินิหารทางเข้ารหัสพื้นฐานต่างๆ:
- การเข้ารหัสหลังควอนตัม (Post-quantum encryption) จำเป็นต้องนำไปใช้อย่างเร่งด่วน แม้ว่าจะมีต้นทุนสูง: “การดักจับข้อมูลก่อน แล้วถอดรหัสภายหลัง” (HNDL) ได้เกิดขึ้นแล้ว การเข้ารหัสข้อมูลที่ละเอียดอ่อนในปัจจุบัน ถึงแม้ในอีกหลายสิบปีข้างหน้า เมื่อคอมพิวเตอร์ควอนตัมเกิดขึ้น ก็ยังอาจมีคุณค่าอยู่ แม้ว่าการนำเข้ารหัสหลังควอนตัมจะทำให้เกิดภาระด้านประสิทธิภาพและความเสี่ยงด้านการดำเนินการ แต่เมื่อเผชิญกับการโจมตีแบบ HNDL ข้อมูลที่ต้องเก็บเป็นความลับในระยะยาวก็ไม่มีทางเลือกอื่นนอกจากต้องดำเนินการ
- การลงนามหลังควอนตัม (Post-quantum signatures) กลับมีตรรกะในการคำนวณที่แตกต่างโดยสิ้นเชิง: มันไม่ได้รับผลกระทบจากการโจมตีแบบ HNDL และต้นทุนและความเสี่ยงของการลงนามหลังควอนตัม (ขนาดที่ใหญ่ขึ้น ประสิทธิภาพที่ด้อยลง เทคโนโลยีที่ยังไม่สมบูรณ์ รวมถึงบั๊กที่อาจเกิดขึ้น) ทำให้เราต้องพิจารณาแผนการเปลี่ยนผ่านอย่างรอบคอบและไม่เร่งรีบ
การทำความเข้าใจความแตกต่างเหล่านี้เป็นสิ่งสำคัญ การเข้าใจผิดจะบิดเบือนการวิเคราะห์ต้นทุนผลประโยชน์ นำไปสู่การมองข้ามความเสี่ยงด้านความปลอดภัยที่รุนแรงกว่า เช่น บั๊กในโค้ด
ในกระบวนการเปลี่ยนผ่านไปสู่เข้ารหัสหลังควอนตัม ความท้าทายที่แท้จริงคือการจับคู่ความเร่งด่วนกับภัยคุกคามที่แท้จริง บทความนี้จะชี้แจงความเข้าใจผิดเกี่ยวกับภัยคุกคามจากควอนตัมโดยครอบคลุมถึงการเข้ารหัส การลงนาม และการพิสูจน์ความรู้แบบศูนย์ (โดยเฉพาะผลกระทบต่อบล็อกเชน)
เรายังห่างไกลจากภัยคุกคามจากควอนตัมแค่ไหน?
แม้จะมีการสร้างความตื่นตัวอย่างมาก แต่ความเป็นไปได้ที่จะเกิด“คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับอภินิหารทางเข้ารหัส (CRQC)” ในทศวรรษ 2020 นั้นต่ำมาก
คำว่า “CRQC” ที่ฉันกล่าวถึงคือ คอมพิวเตอร์ควอนตัมที่มีความผิดพลาดน้อยและผ่านการแก้ไขข้อผิดพลาดแล้ว ซึ่งมีขนาดเพียงพอที่จะรันอัลกอริทึม Shor เพื่อโจมตีอัลกอริธึมการเข้ารหัสแบบวงกลม (เช่น การแคร็ก secp256k1 หรือ RSA-2048 ภายในหนึ่งเดือน)
จากการศึกษาจากเส้นทางสัญลักษณ์สำคัญและทรัพยากรที่ประมาณการอย่างสมเหตุสมผล เรายังห่างไกลจากการสร้างเครื่องดังกล่าวมาก แม้ว่าบริษัทบางแห่งจะอ้างว่า CRQC อาจเกิดขึ้นก่อนปี 2030 หรือ 2035 แต่ความก้าวหน้าที่เปิดเผยในปัจจุบันไม่ได้สนับสนุนคำกล่าวเหล่านั้น
ในเชิงวัตถุประสงค์ เมื่อพิจารณาสถาปัตยกรรมเทคโนโลยีปัจจุบัน—เช่น ระบบ ion-trap คิวบิตซุปเปอร์คอนดักติ้ง ระบบอะตอมกลาง—ไม่มีแพลตฟอร์มใดในปัจจุบันที่ใกล้เคียงกับการรันอัลกอริทึม Shor ที่ต้องใช้คิวบิตทางกายภาพหลายแสนถึงหลายล้านอัน (ขึ้นอยู่กับอัตราความผิดพลาดและแผนการแก้ไขข้อผิดพลาด)
อุปสรรคไม่ใช่แค่จำนวนคิวบิต แต่รวมถึงความแม่นยำของเกต (Gate Fidelity) การเชื่อมต่อของคิวบิต และความลึกของวงจรแก้ไขข้อผิดพลาดที่จำเป็นต่อการรันอัลกอริทึมควอนตัมอย่างลึกซึ้ง แม้ปัจจุบัน ระบบบางระบบมีคิวบิตทางกายภาพเกิน 1,000 อัน แต่การดูเพียงจำนวนเป็นการเข้าใจผิดอย่างร้ายแรง ระบบเหล่านี้ขาดความเชื่อมต่อและความแม่นยำที่จำเป็นสำหรับการคำนวณทางเข้ารหัส
ล่าสุด ระบบเริ่มเข้าใกล้ขีดจำกัดข้อผิดพลาดทางกายภาพที่เหมาะสมต่อการเกิดข้อผิดพลาดของการแก้ไขข้อผิดพลาดควอนตัม แต่ยังไม่มีใครสามารถแสดงให้เห็นถึงคิวบิตเชิงตรรกะที่มีความลึกของวงจรแก้ไขข้อผิดพลาดอย่างต่อเนื่องเกินกว่าหลายอัน… ยิ่งไปกว่านั้น การรันอัลกอริทึม Shor ที่มีความซับซ้อนจริงต้องการคิวบิตเชิงตรรกะที่มีความแม่นยำสูงและความลึกของวงจรที่แก้ไขข้อผิดพลาดได้หลายพันอัน ระยะห่างระหว่าง “พิสูจน์ว่าการแก้ไขข้อผิดพลาดควอนตัมในหลักการเป็นไปได้” กับ “การบรรลุขนาดที่ใช้ในการวิเคราะห์ความปลอดภัยทางเข้ารหัส” ยังคงกว้างมาก
โดยสรุป: เว้นแต่จำนวนคิวบิตและความแม่นยำจะเพิ่มขึ้นหลายระดับ CRQC ก็ยังคงเป็นสิ่งที่อยู่ห่างไกล
อย่างไรก็ตาม ผู้คนมักจะเข้าใจผิดง่ายจากข้อมูลประชาสัมพันธ์ของบริษัทและข่าวในสื่อ นี่คือแหล่งที่มาของความเข้าใจผิดบางประการ:
- การแสดง “ความได้เปรียบเชิงควอนตัม” ซึ่งในปัจจุบันเป็นการทดสอบกับภารกิจที่ออกแบบมาโดยมนุษย์เท่านั้น การเลือกภารกิจเหล่านี้ไม่ได้เพราะมันใช้งานได้จริง แต่เพราะสามารถรันบนฮาร์ดแวร์ในปัจจุบันและแสดงให้เห็นถึงความเร่งของควอนตัมอย่างมาก—ซึ่งมักจะถูกปกปิดในประกาศ
- บริษัทที่อ้างว่ามีคิวบิตทางกายภาพหลายพันอัน: ซึ่งมักหมายถึงเครื่องควอนตัมแบบควอนตัมออนนิ่ง (Quantum Annealers) ไม่ใช่เครื่องที่รันอัลกอริทึม Shor สำหรับโจมตีคีย์สาธารณะ
- การใช้คำว่า “คิวบิตเชิงตรรกะ” อย่างเกินความเป็นจริง: อัลกอริทึมควอนตัม (เช่น Shor) ต้องการคิวบิตเชิงตรรกะหลายพันอัน การแก้ไขข้อผิดพลาดด้วยควอนตัมสามารถใช้คิวบิตทางกายภาพจำนวนมากเพื่อสร้างคิวบิตเชิงตรรกะเดียว—โดยทั่วไปหลายร้อยถึงหลายพันอัน แต่บางบริษัทก็ใช้คำนี้อย่างผิดๆ ตัวอย่างเช่น การประกาศล่าสุดอ้างว่าใช้คิวบิตทางกายภาพเพียงสองอันเพื่อสร้างคิวบิตเชิงตรรกะ 48 อัน ซึ่งเป็นรหัสที่มีการสำรวจผิดพลาดเท่านั้น ไม่สามารถแก้ไขข้อผิดพลาดได้จริง คิวบิตเชิงตรรกะที่แท้จริงสำหรับการวิเคราะห์ความปลอดภัยต้องใช้คิวบิตทางกายภาพจำนวนหลายร้อยถึงหลายพันอัน
- เล่นกับนิยาม: แผนภูมิบางอย่างใช้คำว่า “คิวบิตเชิงตรรกะ” เพื่ออ้างถึงคิวบิตที่รองรับเพียงการดำเนินการแบบ Clifford ซึ่งสามารถจำลองโดยคอมพิวเตอร์คลาสสิกได้อย่างมีประสิทธิภาพ จึงไม่เพียงพอที่จะรันอัลกอริทึม Shor
แม้แผนภูมิเป้าหมายจะเป็น “การสร้างคิวบิตเชิงตรรกะหลายพันอันใน X ปี” ก็ไม่ได้หมายความว่าบริษัทคาดว่าจะรัน Shor เพื่อแคร็กเข้ารหัสแบบคลาสสิกในปีนั้น
กลยุทธ์การตลาดเหล่านี้บิดเบือนความเข้าใจของสาธารณชน (แม้แต่ผู้สังเกตการณ์ระดับสูงบางคน) เกี่ยวกับความใกล้เข้ามาของภัยคุกคามควอนตัม
อย่างไรก็ตาม นักวิทยาศาสตร์บางคนก็รู้สึกตื่นเต้นกับความก้าวหน้า เช่น Scott Aaronson เคยกล่าวไว้ว่า เนื่องจากความก้าวหน้าของฮาร์ดแวร์ เขาเชื่อว่า “เป็นไปได้ที่จะรันอัลกอริทึม Shor บนคอมพิวเตอร์ควอนตัมที่มีความผิดพลาดน้อยก่อนการเลือกตั้งประธานาธิบดีสหรัฐคนต่อไป” แต่เขาก็ชัดเจนว่า นี่ไม่เท่ากับ CRQC ที่สามารถคุกคามความปลอดภัยของเข้ารหัส: การแตก 15 = 3 × 5 บนระบบที่มีความผิดพลาดต่ำก็ถือเป็น “การทำนายที่สำเร็จ” ซึ่งแตกต่างอย่างสิ้นเชิงจากการแคร็ก RSA-2048
ในความเป็นจริง การทดลองในเชิงควอนตัมที่แตก 15 ทั้งหมดใช้วงจรที่ลดความซับซ้อน ไม่ใช่การรัน Shor แบบเต็มรูปแบบ; การแตก 21 ก็ต้องการคำใบ้และทางลัดเพิ่มเติม
โดยสรุป: ไม่มีความคืบหน้าเปิดเผยใดที่พิสูจน์ว่า เราจะสร้างคอมพิวเตอร์ควอนตัมที่สามารถแคร็ก RSA-2048 หรือ secp256k1 ได้ภายใน 5 ปีข้างหน้า
แม้แต่ในสิบปีข้างหน้าก็ยังเป็นการคาดการณ์ที่ค่อนข้างเกินจริง
รัฐบาลสหรัฐได้เสนอเป้าหมายให้เสร็จสิ้นการเปลี่ยนผ่านระบบภายในปี 2035 ซึ่งเป็นเพียงกำหนดเวลาโครงการเปลี่ยนผ่านเท่านั้น ไม่ใช่การทำนายว่า CRQC จะเกิดขึ้นในเวลานั้น
การโจมตี HNDL เหมาะกับระบบเข้ารหัสประเภทใด?
“HNDL (Harvest Now, Decrypt Later)” หมายถึง การที่ผู้โจมตีเก็บข้อมูลการสื่อสารที่เข้ารหัสไว้ในปัจจุบัน แล้วรอให้คอมพิวเตอร์ควอนตัมปรากฏขึ้นในอนาคตจึงค่อยถอดรหัส
คู่แข่งระดับประเทศมีแนวโน้มเก็บข้อมูลการสื่อสารของรัฐบาลสหรัฐในระยะเวลาขยายใหญ่เพื่อรอการถอดรหัสในอนาคต ดังนั้น ระบบเข้ารหัสจึงควรเปลี่ยนแปลงทันที โดยเฉพาะในสถานการณ์ที่ข้อมูลต้องเก็บเป็นความลับนานกว่า 10–50 ปีขึ้นไป
แต่การลงนามดิจิทัล (Digital Signatures) ที่พึ่งพาบล็อกเชนแตกต่างจากการเข้ารหัสแบบปกติ: ไม่มีข้อมูลลับใดที่สามารถนำมาใช้ในการโจมตีแบบย้อนกลับได้
กล่าวอีกนัยหนึ่ง เมื่อคอมพิวเตอร์ควอนตัมปรากฏขึ้นจริง ก็สามารถปลอมแปลงลายเซ็นได้ตั้งแต่ช่วงนั้น แต่ลายเซ็นในอดีตจะไม่ได้รับผลกระทบ เพราะไม่มีข้อมูลลับที่รั่วไหล เพียงแค่สามารถพิสูจน์ได้ว่าลายเซ็นที่สร้างขึ้นก่อน CRQC จะไม่สามารถปลอมแปลงได้
ดังนั้น ความเร่งด่วนในการเปลี่ยนไปใช้การลงนามหลังควอนตัมจึงต่ำกว่าการเปลี่ยนแปลงของการเข้ารหัสอย่างมาก
แพลตฟอร์มหลักก็ได้ดำเนินกลยุทธ์ที่สอดคล้องกันแล้ว:
- Chrome และ Cloudflare ได้เปิดใช้งานโหมดผสมผสานของ X25519+ML-KEM สำหรับ TLS
- Apple iMessage (PQ3) และ Signal (PQXDH, SPQR) ก็ได้เปิดใช้งานการเข้ารหัสหลังควอนตัมแบบผสมผสานแล้ว
แต่การใช้งานการลงนามหลังควอนตัมในโครงสร้างพื้นฐานเว็บสำคัญก็ถูกเลื่อนออกไปอย่างมีนัยสำคัญ—จะเกิดขึ้นเมื่อ CRQC ใกล้เข้ามาจริงๆ เนื่องจากการลงนามหลังควอนตัมในปัจจุบันยังมีประสิทธิภาพต่ำและช้ากว่ามาก
ในลักษณะเดียวกัน zkSNARKs (เทคนิคพิสูจน์ความรู้แบบศูนย์แบบสั้นและไม่เชื่อมต่อกัน) ก็มีความคล้ายคลึงกัน แม้จะใช้วงกลม (Elliptic Curve) ซึ่งไม่ปลอดภัยต่อควอนตัม ผลด้านความรู้ในระดับศูนย์ก็ยังคงน่าเชื่อถือในสภาพแวดล้อมควอนตัม
การรับประกันว่าการพิสูจน์ความรู้จะไม่รั่วไหลข้อมูลลับใดๆ ทำให้แฮกเกอร์ไม่สามารถ “รวบรวมคำพิสูจน์ในปัจจุบัน แล้วในอนาคตจึงถอดรหัส” ได้ ดังนั้น zkSNARKs จึงไม่ง่ายต่อการถูกโจมตีแบบ HNDL เช่นเดียวกับลายเซ็นในปัจจุบันที่ปลอดภัย ผลลัพธ์คือ การพิสูจน์ zkSNARK ที่สร้างก่อน CRQC ก็เป็นความเชื่อถือได้—แม้จะใช้เข้ารหัสวงกลมก็ตาม เฉพาะเมื่อ CRQC เกิดขึ้นเท่านั้นที่ผู้โจมตีจะสามารถปลอมคำพิสูจน์เท็จได้ การแลกเปลี่ยนคุณค่าอย่างต่อเนื่องตลอด 24 ชั่วโมงและสร้างโลกดิจิทัลใหม่ที่มีมูลค่ามากกว่าระบบเศรษฐกิจมนุษย์ทั้งหมดก็จะดำเนินไปอย่างไม่หยุดหย่อน
