Chrome 145 phát "Báo động đỏ": Chính thức chặn kết nối HTTPS không đạt chuẩn Kháng Lượng Tử (PQC) từ đầu năm 2026

Baron Darkness · Lúc 09:39:47

Chrome 145 phát "Báo động đỏ": Chính thức chặn kết nối HTTPS không đạt chuẩn Kháng Lượng Tử (PQC) từ đầu năm 2026

Không còn là những lời cảnh báo suông hay các lá cờ thử nghiệm (feature flags) ẩn sâu trong cấu hình. Trong bản cập nhật Beta của Chrome 145 vừa được tung ra sáng nay, Google đã chính thức kích hoạt "Giai đoạn 1" của lộ trình PQC (Post-Quantum Cryptography). Theo đó, trình duyệt này sẽ bắt đầu hiển thị cảnh báo "Kết nối lỗi thời" (Obsolete Connection) đối với các website vẫn sử dụng chuẩn mã hóa RSA/ECC truyền thống mà không có lớp bảo vệ Hybrid Kyber.

Chrome 145 phát Báo động đỏ Chính thức chặn kết nối HTTPS không đạt chuẩn Kháng Lượng Tử (PQC)...png

1. Tại sao lại là bây giờ? Mối đe dọa "Harvest Now, Decrypt Later"

Nhiều người tự hỏi: "Máy tính lượng tử thương mại vẫn chưa phổ biến, tại sao phải vội?".
Google và Cloudflare đưa ra câu trả lời chung: Harvest Now, Decrypt Later (Thu thập ngay, giải mã sau).
Tin tặc và các tổ chức gián điệp mạng hiện đang tích cực đánh cắp các dữ liệu được mã hóa bằng chuẩn cũ (RSA-2048, ECC P-256). Dù hiện tại họ chưa thể đọc được, nhưng chỉ cần lưu trữ đó, chờ đợi 3-5 năm nữa khi máy tính lượng tử đủ mạnh, toàn bộ bí mật thương mại, dữ liệu y tế và tài chính sẽ bị giải mã trong vài giây.

Chrome 145 ra đời để chặn đứng dòng chảy dữ liệu này.

2. Giải mã ML-KEM (FIPS 203): Khi toán học "Lưới" lên ngôi

Để thay thế các chuẩn cũ, Google đã áp dụng tiêu chuẩn ML-KEM (trước đây là Kyber), vừa được NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ) phê chuẩn là FIPS 203.

Tại sao RSA và ECC chết? RSA dựa trên bài toán phân tích thừa số nguyên tố, còn ECC dựa trên logarit rời rạc. Thuật toán Shor trên máy tính lượng tử có thể giải quyết hai bài toán này cực nhanh.
Sức mạnh của ML-KEM: Nó dựa trên Lattice-based Cryptography (Mật mã dựa trên lưới), cụ thể là bài toán "Module Learning with Errors" (MLWE). Hãy tưởng tượng việc tìm một điểm cụ thể trong một lưới đa chiều bị làm nhiễu loạn. Đối với máy tính cổ điển lẫn lượng tử hiện nay, việc giải bài toán này là bất khả thi về mặt thời gian.

3. Cơ chế "Hybrid Key Exchange": Lớp bảo vệ kép

Google không loại bỏ hoàn toàn cái cũ ngay lập tức. Chrome 145 sử dụng cơ chế lai: X25519Kyber768.

Đây là sự kết hợp giữa:

X25519: Thuật toán đường cong Elliptic hiện tại (nhanh, đã được kiểm chứng an toàn với máy tính cổ điển).
Kyber768: Thuật toán kháng lượng tử (bảo vệ trước tương lai).

Tại sao cần Hybrid? Để đề phòng trường hợp thuật toán Kyber mới mẻ có chứa lỗ hổng toán học chưa được phát hiện. Nếu Kyber bị phá vỡ, lớp X25519 vẫn bảo vệ dữ liệu như chuẩn hiện tại. Hai chìa khóa cùng khóa một cánh cửa – an toàn tuyệt đối.

4. Ai sẽ bị ảnh hưởng nặng nề nhất?

Đợt cập nhật này là cơn ác mộng cho các hệ thống Legacy (cũ kỹ):

Vấn đề về kích thước gói tin: Key của Kyber lớn hơn nhiều so với ECC (khoảng 1KB so với 32 bytes). Điều này có thể gây ra hiện tượng phân mảnh gói tin (packet fragmentation) trên các mạng UDP cũ, ảnh hưởng trực tiếp đến giao thức QUIC/HTTP3.
Thiết bị IoT & Middlebox: Các Firewall hoặc thiết bị cân bằng tải (Load Balancer) kiểm tra sâu gói tin (DPI) có thể chặn kết nối vì thấy kích thước Client Hello lạ lẫm, tưởng nhầm là tấn công DDoS.

5. DevOps cần làm gì ngay lập tức?

Nếu bạn đang quản trị hệ thống, hãy kiểm tra ngay:

Cập nhật OpenSSL/BoringSSL: Đảm bảo thư viện mã hóa của Server hỗ trợ chuẩn FIPS 203 (ML-KEM).
Kiểm tra MTU (Maximum Transmission Unit): Đảm bảo hạ tầng mạng xử lý tốt các gói tin handshake kích thước lớn hơn bình thường để tránh drop gói tin.
Monitor Logs: Theo dõi log của Web Server để phát hiện các cảnh báo Client Hello bị từ chối do sai version.