TL;DR. Mật mã lượng tử năm 2026 không còn là tranh luận về việc máy tính lượng tử sắp tới hay chưa. Đó là một chương trình di trú trải dài qua mật mã hậu lượng tử, tính linh hoạt mật mã, bảo đảm phân phối khoá lượng tử, tiêu chuẩn giao thức, mức độ sẵn sàng của nhà cung cấp và dữ liệu tài chính dài tuổi đã bị phơi nhiễm với rủi ro “thu hoạch nay, giải mã sau”.

Points clés

Vì sao tuần này quan trọng. Cuộc trò chuyện về tiêu chuẩn đã vượt khỏi giai đoạn trừu tượng.
Đường cơ sở mật mã 2026: bốn luồng công việc. Đường cơ sở đầu tiên là về thuật toán.
Việc các ngân hàng nên làm ngay bây giờ. Sản phẩm đầu tiên là một bảng kê vật liệu mật mã.
PQC, QKD và lai: bảng quyết định thực tiễn. Các ngân hàng hạng nhất cần một văn phòng chương trình, không phải một chứng minh khái niệm.

Tái thiết mật mã lượng tử 2026: tiêu chuẩn PQC, bảo đảm QKD và công việc di trú mà ngân hàng không thể trì hoãn

Mật mã lượng tử năm 2026 đã chia thành hai hướng thực tiễn. Mật mã hậu lượng tử nay đã là một chương trình triển khai, bởi vì NIST tuyên bố ba tiêu chuẩn hậu lượng tử đã sẵn sàng để sử dụng và các hệ thống liên bang phải coi chúng là tiêu chuẩn FIPS (NIST); phân phối khoá lượng tử đang trở thành vấn đề về bảo đảm và chứng nhận, bởi vì việc triển khai QKD cần ngôn ngữ đánh giá, hồ sơ bảo vệ và tiêu chuẩn vận hành chứ không chỉ là các trình diễn phòng thí nghiệm (ID Quantique / ETSI QKD 016).

Tóm tắt điều hành / Điểm chính

NIST đã đưa PQC vào giai đoạn triển khai. Các tiêu chuẩn hiện hành là FIPS 203 cho thiết lập khoá ML-KEM, FIPS 204 cho chữ ký ML-DSA và FIPS 205 cho chữ ký SLH-DSA, NIST kêu gọi các tổ chức xác định mật mã dễ tổn thương và bắt đầu di trú ngay (NIST).

NCSC Anh quốc đã thu hẹp lựa chọn thực tế. Họ khuyến nghị ML-KEM-768 và ML-DSA-65 cho hầu hết các trường hợp sử dụng, đồng thời cảnh báo rằng các hệ thống nên dựa vào triển khai vững chắc của tiêu chuẩn cuối cùng thay vì các thử nghiệm tương thích bản nháp (NCSC).

Mức sẵn sàng của giao thức không đồng đều. IETF đang cập nhật TLS và IPsec cho PQC và trao đổi khoá lai, nhưng NCSC cảnh báo các hệ thống vận hành nên ưu tiên các RFC đã công bố hơn là các Internet Draft đang thay đổi (NCSC).

Lai là cơ chế chuyển tiếp, không phải đích đến. Các sơ đồ khoá công khai lai cộng hậu lượng tử giúp phân giai đoạn di trú và phòng ngừa rủi ro triển khai, nhưng làm tăng độ phức tạp và có thể đòi hỏi một lần di trú thứ hai sang chỉ PQC sau này (NCSC).

QKD không phải là sự thay thế cho PQC. QKD có thể phục vụ các đường truyền chuyên biệt yêu cầu bảo đảm cao, nhưng tính phù hợp ngân hàng phụ thuộc vào chứng nhận, tính khả tương tác, chi phí vận hành và sự tích hợp với hệ thống quản lý khoá hiện có chứ không chỉ phụ thuộc vào vật lý (ID Quantique / ETSI QKD 016).

Câu hỏi ở cấp ngân hàng là kiểm kê. Một tổ chức tài chính không thể xác định vị trí của RSA, ECDH, ECDSA, EdDSA, mật mã VPN độc quyền, mẫu HSM, thời hạn chứng chỉ và mật mã do nhà cung cấp quản lý thì không thể di trú, bất kể có sẵn tiêu chuẩn nào.

Rủi ro đang diễn ra trực tiếp. Các cuộc tấn công “thu hoạch nay, giải mã sau” khiến dữ liệu tài chính dài tuổi bị tổn thương trước khi tồn tại máy tính lượng tử có liên quan về mật mã học, vì kẻ tấn công hôm nay chỉ cần thu thập bản mã.

Tính linh hoạt mật mã là kiểm soát bền vững. Kiến trúc thắng cuộc không phải là một lần đổi RSA sang ML-KEM; đó là khả năng nền tảng để xoay vòng thuật toán, tham số, thư viện, chứng chỉ, chính sách phần cứng và chế độ giao thức mà không cần xây lại ngân hàng.

Vì sao tuần này quan trọng #

Cuộc trò chuyện về tiêu chuẩn đã vượt khỏi giai đoạn trừu tượng. Hướng dẫn công khai của NIST nói các tổ chức nên bắt đầu áp dụng các tiêu chuẩn mới ngay, xác định nơi sử dụng thuật toán dễ tổn thương và lập kế hoạch cập nhật sản phẩm, dịch vụ và giao thức (NIST). Ngôn ngữ đó quan trọng vì nó biến PQC từ một chủ đề nghiên cứu thành một sự phụ thuộc làm mới công nghệ.

Thời điểm cũng quan trọng vì dữ liệu tài chính có chu kỳ bán huỷ về tính bảo mật dài. Tài liệu M&A, luồng kho bạc, điều tra trừng phạt, chứng từ định danh khách hàng, siêu dữ liệu định tuyến thanh toán và hồ sơ thanh toán bán buôn có thể vẫn nhạy cảm trong nhiều năm. Máy tính lượng tử phá vỡ mật mã khoá công khai cổ điển không cần tồn tại hôm nay để việc phơi nhiễm trở nên hợp lý hôm nay.

Đường cơ sở mật mã 2026: bốn luồng công việc #

1. Tiêu chuẩn PQC đã đủ chín muồi để lập kế hoạch #

Đường cơ sở đầu tiên là về thuật toán. Chương trình PQC của NIST nay cung cấp cho các lãnh đạo công nghệ những đích danh: ML-KEM cho thiết lập khoá, ML-DSA cho chữ ký số tổng quát và SLH-DSA cho chữ ký dựa trên hàm băm (NCSC). Tác động thực tiễn là các nhóm mua sắm, kiến trúc và quản lý nhà cung cấp có thể ngừng hỏi liệu tiêu chuẩn PQC có tồn tại không và bắt đầu hỏi khi nào từng hệ thống sẽ hỗ trợ chúng.

Điểm khó hơn là khả năng tương thích. NCSC cảnh báo các triển khai dựa trên tiêu chuẩn nháp có thể không tương thích với tiêu chuẩn cuối cùng, đây chính là loại chi tiết mà nếu bỏ qua sẽ phá vỡ các cuộc di trú của ngân hàng lớn (NCSC). Do đó các ngân hàng nên tách các thí điểm thử nghiệm khỏi đường đi di trú sản xuất.

2. Giao thức là điểm nghẽn #

Bản thân các thuật toán không bảo vệ lưu lượng ngân hàng. TLS, IPsec, SSH, S/MIME, API thanh toán, tích hợp HSM và các ngăn xếp quản lý chứng chỉ đều cần hỗ trợ ở mức giao thức. NCSC nói IETF đang cập nhật các giao thức được sử dụng rộng rãi như TLS và IPsec để các thuật toán PQC có thể được tích hợp vào trao đổi khoá và cơ chế chữ ký (NCSC).

Điều đó tạo ra một vấn đề triển khai theo giai đoạn. Một ngân hàng có thể kiểm kê mật mã ngay, yêu cầu lộ trình của nhà cung cấp ngay, và thiết kế tính linh hoạt mật mã ngay, nhưng có thể vẫn phải chờ các triển khai giao thức ổn định trước khi di chuyển các kênh sản xuất quan trọng cao.

3. QKD trở thành kỷ luật bảo đảm #

Phân phối khoá lượng tử vẫn liên quan đối với các đường truyền chuyên biệt, đặc biệt khi tổ chức kiểm soát các điểm cuối và tuyến mạng. Bước phát triển quan trọng của năm 2026 không phải là một hộp QKD mới đơn lẻ; đó là sự xuất hiện của ngôn ngữ chứng nhận, với ETSI GS QKD 016 được mô tả là một cột mốc về hồ sơ bảo vệ cho việc đánh giá sản phẩm QKD (ID Quantique / ETSI QKD 016).

Đối với các ngân hàng, điều này thay đổi cuộc trò chuyện mua sắm. Câu hỏi đúng không còn là QKD có an toàn lượng tử về nguyên tắc hay không. Câu hỏi đúng là liệu thiết bị, sự tích hợp, quy trình quản lý khoá, môi trường vận hành và bằng chứng chứng nhận có đáp ứng mô hình mối đe doạ của ngân hàng hay không.

4. Tính linh hoạt mật mã là kiến trúc #

Tính linh hoạt mật mã là khả năng thay đổi thuật toán mà không thay đổi toàn bộ hệ thống. Nó bao gồm thư viện phần mềm, đàm phán giao thức, chính sách HSM, hồ sơ chứng chỉ, thời hạn khoá, dịch vụ ký, bằng chứng kiểm toán và đường khôi phục. Không có nó, mọi cuộc di trú mật mã đều trở thành một dự án thủ công.

Đây là bài học kiến trúc cốt lõi. Chuyển đổi hậu lượng tử sẽ không phải là cuộc chuyển đổi mật mã cuối cùng mà hệ thống tài chính đối mặt. Các ngân hàng xây dựng tính linh hoạt mật mã ngay bây giờ sẽ có được một mặt phẳng kiểm soát tái sử dụng cho cập nhật thuật toán, rủi ro nhà cung cấp, thu hồi khẩn cấp và bằng chứng cho cơ quan quản lý.

Việc các ngân hàng nên làm ngay bây giờ #

Xây dựng kiểm kê tài sản mật mã #

Sản phẩm đầu tiên là một bảng kê vật liệu mật mã. Nó nên bao gồm thuật toán khoá công khai, độ dài khoá, các cơ quan cấp chứng chỉ, mẫu HSM, các phiên bản TLS, sản phẩm VPN, cổng thanh toán, API bên thứ ba, SDK di động, các trình bao mã hoá dữ liệu tĩnh, khoá ký, quy trình ký firmware và mật mã do nhà cung cấp quản lý.

Bảng kiểm kê nên phân biệt giữa tính bảo mật và tính xác thực. Dữ liệu mã hoá dài tuổi bị phơi nhiễm với rủi ro “thu hoạch nay, giải mã sau”, trong khi các khoá ký dài tuổi tạo ra rủi ro giả mạo trong tương lai nếu chúng vẫn dựa trên các thuật toán khoá công khai dễ tổn thương.

Phân đoạn theo chu kỳ bán huỷ của dữ liệu #

Không phải mọi dữ liệu đều cần cùng một thứ tự di trú. Một thông điệp uỷ quyền thẻ thời gian thực có thể có chu kỳ bán huỷ về tính bảo mật khác với một cuộc điều tra trừng phạt, hồ sơ thâu tóm doanh nghiệp, gói định danh ngân hàng tư nhân hay tài liệu phát hành nợ chính phủ. Đây là lý do vì sao di trú lượng tử thuộc về phân loại dữ liệu chứ không chỉ về an ninh mạng.

Ưu tiên nên là các hệ thống bảo vệ dữ liệu dài tuổi bằng thiết lập khoá dễ tổn thương. Đó là các hệ thống mà việc thu thập hôm nay tạo ra phơi nhiễm ngày mai.

Đưa lộ trình nhà cung cấp vào hợp đồng #

NIST nói rằng các sản phẩm, dịch vụ và giao thức cần cập nhật cho cuộc chuyển đổi (NIST). Điều này có nghĩa là ngôn ngữ mua sắm phải thay đổi. Các nhà cung cấp nên công bố lộ trình hỗ trợ PQC, khả năng tương thích với tiêu chuẩn cuối cùng, hành vi chế độ lai, ràng buộc mô-đun phần cứng, tác động hiệu suất, hỗ trợ hồ sơ chứng chỉ và kiểm soát dự phòng.

Một nhà cung cấp chỉ nói "lộ trình an toàn lượng tử" thì chưa trả lời câu hỏi. Ngân hàng cần ngày, thuật toán, ranh giới tích hợp và bằng chứng.

PQC, QKD và lai: bảng quyết định thực tiễn #

Kiểm soát	Sử dụng tốt nhất	Trạng thái 2026	Cảnh báo cho ngân hàng
ML-KEM / FIPS 203	Thiết lập khoá cho tính bảo mật bền vững	Đã chuẩn hoá và sẵn sàng cho lập kế hoạch triển khai (NIST)	Cần hỗ trợ giao thức và thư viện trước khi triển khai sản xuất quan trọng
ML-DSA / FIPS 204	Chữ ký số tổng quát	NCSC khuyến nghị cho hầu hết các trường hợp chữ ký tổng quát (NCSC)	Chuỗi chứng chỉ và di trú PKI khó khăn về vận hành
SLH-DSA / FIPS 205	Chữ ký dựa trên hàm băm cho ký firmware và phần mềm	Tiêu chuẩn cuối cùng của NIST được NCSC tham chiếu (NCSC)	Chữ ký lớn hơn có thể ảnh hưởng tới môi trường có hạn chế
Sơ đồ lai PQ/T	Di trú và khả năng tương tác tạm thời	Hữu ích như một biện pháp chuyển tiếp (NCSC)	Tăng độ phức tạp và có thể đòi hỏi di trú lần hai
QKD	Đường truyền chuyên biệt yêu cầu bảo đảm cao	Công tác bảo đảm đang trưởng thành thông qua hoạt động hồ sơ bảo vệ ETSI (ID Quantique / ETSI QKD 016)	Không giải quyết được xác thực ở quy mô internet hoặc kiểm kê mật mã doanh nghiệp tổng quát

Điều này có nghĩa gì theo từng loại tổ chức #

Ngân hàng toàn diện hạng nhất #

Các ngân hàng hạng nhất cần một văn phòng chương trình, không phải một chứng minh khái niệm. Mô hình vận hành mục tiêu nên kết hợp kiểm kê mật mã, áp đặt nhà cung cấp, quản lý lộ trình HSM, môi trường thử nghiệm cho TLS/IPsec lai và bằng chứng sẵn sàng cho cơ quan quản lý. Công việc đầu tiên có giá trị cao nhất không phải là thay đổi từng mật mã ngay; đó là xây dựng mặt phẳng kiểm soát giúp việc thay đổi an toàn.

Ngân hàng tầm trung và khu vực #

Các ngân hàng tầm trung nên coi PQC như một bài tập quản lý nhà cung cấp và chuẩn hoá nền tảng. Họ có thể tránh công việc tuỳ chỉnh đắt đỏ bằng cách tập trung hệ thống quanh các thư viện được hỗ trợ, các ngăn xếp TLS tiêu chuẩn, dịch vụ chứng chỉ được quản lý và các thời hạn rõ ràng từ nhà cung cấp. Rủi ro chính là mật mã ẩn bên trong các thiết bị, cổng thanh toán và middleware kế thừa.

Fintech, PSP và các tổ chức gần với tiền điện tử #

Các fintech có thể di chuyển nhanh hơn vì thường có ít neo tin cậy cũ. Rủi ro là sự tự mãn trong các API bên thứ ba, các mặc định KMS trên đám mây, hạ tầng ví và tích hợp lưu ký. Các công ty gần với tiền điện tử nên đặc biệt cẩn trọng không nhầm lẫn tự sự bảo mật bản địa blockchain với sự sẵn sàng hậu lượng tử.

Kỹ sư và kiến trúc sư bảo mật #

Kỷ luật kỹ thuật là cụ thể: thêm siêu dữ liệu thuật toán vào kiểm kê dịch vụ, ghi log các chế độ giao thức đã đàm phán, tạo cờ tính năng an toàn cho các thử nghiệm lai, rút ngắn thời hạn chứng chỉ ở những nơi có thể, loại bỏ các giả định thuật toán mã cứng và làm cho chính sách mật mã có thể triển khai qua cấu hình thay vì các nhánh mã.

Kết luận #

Tái thiết mật mã lượng tử không phải là một lần mua sắm công nghệ duy nhất. Đó là một mô hình vận hành mật mã. NIST đã cho ngành một đường cơ sở tiêu chuẩn, NCSC đã thu hẹp hướng dẫn thực tế, các tổ chức giao thức vẫn đang chuyển động và bảo đảm QKD đang trở nên chính thức hơn. Các tổ chức ngân hàng thắng cuộc chuyển đổi này sẽ không phải là những tổ chức công bố thí điểm lớn nhất. Họ sẽ là những tổ chức biết mật mã của mình sống ở đâu, biết dữ liệu nào cần được bảo vệ trước tiên và có thể thay đổi các nguyên thuỷ mật mã mà không cần xây lại ngân hàng.

Câu hỏi thường gặp #

Mật mã hậu lượng tử đã sẵn sàng cho các ngân hàng sử dụng chưa?

Nó đã sẵn sàng cho việc lập kế hoạch, làm việc với nhà cung cấp, thí điểm và một số công việc triển khai chọn lọc. NIST nói ba tiêu chuẩn đã sẵn sàng để được triển khai, trong khi NCSC cảnh báo việc sử dụng vận hành nên dựa trên các triển khai vững chắc của tiêu chuẩn cuối cùng và các giao thức ổn định (NIST, NCSC).

QKD có loại bỏ nhu cầu PQC không?

Không. QKD có thể hữu ích cho các đường truyền chuyên biệt được kiểm soát, nhưng PQC là đường di trú có khả năng mở rộng cho phần mềm tổng quát, giao thức internet, API, chứng chỉ và hệ thống doanh nghiệp. QKD cũng phụ thuộc vào các khung bảo đảm và chứng nhận trước khi có thể được coi là cơ sở hạ tầng cấp ngân hàng (ID Quantique / ETSI QKD 016).

Cái gì nên được di trú trước?

Các hệ thống bảo vệ dữ liệu nhạy cảm dài tuổi nên được ưu tiên. Điều đó bao gồm mã hoá lưu trữ, điều tra thanh toán, tài liệu kho bạc và thị trường vốn, hồ sơ định danh ngân hàng tư nhân, hồ sơ giao dịch chiến lược, các cơ quan cấp chứng chỉ gốc, ký firmware và các kênh liên ngân hàng.

Bẫy triển khai lớn nhất là gì?

Bẫy lớn nhất là coi PQC như một sự đổi chỗ thuật toán. Quá trình di trú chạm tới giao thức, chứng chỉ, HSM, nhà cung cấp, thử nghiệm hiệu năng, ứng phó sự cố, giám sát và quản trị. Không có tính linh hoạt mật mã, tổ chức chỉ đơn giản tạo lại cùng một vấn đề di trú cho lần thay đổi thuật toán tiếp theo.

Tài liệu tham khảo #

NIST, (2025). Mật mã hậu lượng tử ⧉.
NCSC, (2024). Các bước tiếp theo chuẩn bị cho mật mã hậu lượng tử ⧉.
NIST CSRC, (2026). Dự án mật mã hậu lượng tử của NIST ⧉.
ID Quantique, (2024). ETSI công bố hồ sơ bảo vệ QKD đầu tiên trên thế giới ⧉.

Đánh giá lần cuối 2026-05-18.

Cập nhật lần cuối 2026-05-18.