Home>Kiến thức - Kỹ thuật>Tìm hiểu về Post-Quantum Cryptography (PQC) của Cisco.

Tìm hiểu về Post-Quantum Cryptography (PQC) của Cisco.

1. Post-Quantum Cryptography (PQC) là gì?

Theo định nghĩa của Cisco, PQC (còn gọi là mật mã kháng lượng tử) là các thuật toán mật mã được thiết kế để chạy trên các hệ thống máy tính truyền thống nhưng có khả năng chống lại các cuộc tấn công từ một máy tính lượng tử quy mô lớn (CRQC).

Khác với mật mã lượng tử (Quantum Cryptography) dựa trên các định luật vật lý, PQC dựa trên các bài toán toán học cực kỳ phức tạp mà ngay cả máy tính lượng tử cũng không thể giải quyết hiệu quả trong thời gian ngắn. Mục tiêu chính là thay thế các thuật toán khóa công khai hiện tại như RSA, Diffie-Hellman và ECC – vốn sẽ trở nên lỗi thời khi máy tính lượng tử đủ mạnh xuất hiện.

Máy tính lượng tử là thiết bị tính toán thế hệ mới sử dụng các nguyên lý của cơ học lượng tử, như chồng chập (superposition) và vướng víu (entanglement), để xử lý thông tin. Không giống máy tính cổ điển dùng bit (0 hoặc 1), nó sử dụng qubit (quantum bit) có thể tồn tại ở cả hai trạng thái cùng lúc. Điều này cho phép thực hiện nhiều phép tính song song, giải quyết các bài toán phức tạp (mô phỏng phân tử, tối ưu hóa) vượt quá khả năng của siêu máy tính hiện nay. 

2. Chiến lược và Công nghệ PQC của Cisco

Cisco tiếp cận PQC theo mô hình "full-stack", tích hợp từ phần cứng, phần mềm đến các giao thức mạng.

  • Các thuật toán tiêu chuẩn: Cisco tuân thủ chặt chẽ các tiêu chuẩn của NIST (FIPS 203, 204, 205). Các thuật toán trọng tâm bao gồm:

    • ML-KEM (Kyber): Dùng cho thiết lập khóa an toàn.

    • ML-DSA (Dilithium): Dùng cho chữ ký số.

    • SLH-DSA (SPHINCS+): Thuật toán chữ ký số dựa trên hàm băm (Hash-based).

  • Mô hình Hybrid (Lai): Cisco không chuyển đổi ngay lập tức mà sử dụng giải pháp lai. Trong một phiên làm việc (ví dụ TLS handshake), các thuật toán truyền thống (ECDHE) sẽ chạy song song với các thuật toán PQC (ML-KEM). Điều này đảm bảo tính tương thích ngược và duy trì bảo mật ngay cả khi một trong hai thuật toán bị phát hiện có lỗ hổng.

  • Crypto-Agility (Sự linh hoạt mật mã): Đây là khả năng cho phép các thiết bị Cisco (Router, Switch) có thể cập nhật hoặc thay thế các thuật toán mật mã một cách nhanh chóng thông qua phần mềm mà không cần thay đổi phần cứng, giúp hệ thống luôn sẵn sàng trước các phát hiện mới về toán học lượng tử.

3. Ứng dụng thực tế trong bảo mật hệ thống mạng Cisco

Cisco đang tích hợp PQC vào ba lớp quan trọng của hạ tầng mạng:

a. Bảo mật thiết bị (Secure Products & Trust Anchor)

  • Secure Boot: Cisco phát triển phiên bản "Quantum-safe Secure Boot". Sử dụng chữ ký dựa trên hàm băm (Hash-based Signatures - HBS) để xác thực firmware. Điều này ngăn chặn kẻ tấn công sử dụng máy tính lượng tử để giả mạo bản cập nhật phần mềm hoặc chèn mã độc vào thiết bị.

  • Trust Anchor Technologies: Các chip bảo mật trên các dòng như Catalyst 9000 hay Router 8000 được thiết kế để lưu trữ và xử lý các khóa kháng lượng tử ngay từ cấp độ phần cứng.

b. Bảo mật dữ liệu truyền tải (Secure Communications)

  • PQ-TLS & IPsec: Cisco đang tích hợp PQC vào các giao thức TLS 1.3 và IKEv2/IPsec. Điều này bảo vệ các kết nối VPN và lưu lượng web khỏi cuộc tấn công "Harvest Now, Decrypt Later" (Thu thập dữ liệu mã hóa hiện nay để giải mã bằng máy tính lượng tử trong tương lai).

  • SD-WAN: Ứng dụng PQC để bảo mật các kênh điều khiển (Control Plane) và dữ liệu (Data Plane) giữa các chi nhánh trong mạng diện rộng.

c. Kiến trúc Zero Trust

  • Xác thực kháng lượng tử: Tích hợp PQC vào quá trình cấp chứng chỉ số và định danh người dùng, đảm bảo rằng nền tảng lòng tin (Trust) không bị phá vỡ khi máy tính lượng tử xuất hiện.

Lộ trình thực hiện của Cisco

Cisco dự kiến triển khai rộng rãi các giải pháp phần cứng hỗ trợ hoàn toàn tiêu chuẩn NIST PQC vào khoảng giai đoạn 2025 - 2026, với mục tiêu đạt trạng thái an toàn lượng tử toàn diện cho hạ tầng khách hàng vào năm 2030.

Danh mục sản phẩm

 

Liên hệThỏa thuận sử dụng | Chính sách bảo mật