Lý thuyết mật mã thường tạo ấn tượng rất mạnh. Các định nghĩa chặt chẽ, giả định rõ ràng và chứng minh đẹp mắt khiến người học dễ tin rằng chỉ cần có thuật toán đúng là hệ thống sẽ an toàn. Nhưng khi bước sang thế giới triển khai, mọi thứ phức tạp hơn nhiều. Chính vì vậy, thách thức lớn nhất của mật mã không phải là tạo ra công thức, mà là đưa công thức ấy vào đời sống kỹ thuật mà không làm vỡ toàn bộ hệ thống.
Một trong những khó khăn đầu tiên là tính tương thích. Thuật toán mật mã có thể rất tốt trên giấy nhưng lại không khớp với các giao thức đã tồn tại, các thư viện đang dùng hoặc thiết bị có tài nguyên hạn chế. Khi một tổ chức đã vận hành nhiều năm, việc thay đổi một cơ chế mã hóa hay chữ ký số không đơn giản là thay một đoạn mã. Nó kéo theo cập nhật quy trình, kiểm tra chéo, đồng bộ hóa hệ thống, đào tạo người dùng và đánh giá tác động ở nhiều lớp. Vì thế, người nghiên cứu mật mã muốn đi vào thực tế phải hiểu rằng an toàn không chỉ là đúng, mà còn phải triển khai được.
Một thách thức khác là hiệu năng. Lý thuyết có thể chấp nhận những phép toán phức tạp, nhưng hệ thống thực cần phản hồi nhanh, ổn định và tiết kiệm tài nguyên. Nếu một cơ chế bảo mật làm chậm hệ thống quá nhiều, người vận hành có thể tìm cách vô hiệu hóa nó, hoặc người dùng sẽ có xu hướng lách quy trình. Đó là nghịch lý rất thường gặp khi giải pháp an toàn hơn trên danh nghĩa nhưng lại bị giảm hiệu lực trong thực tế vì không phù hợp với ngữ cảnh triển khai. Bởi vậy, mọi nghiên cứu mật mã ứng dụng đều cần đánh giá song song giữa mức an toàn và chi phí sử dụng.
Quản lý khóa cũng là một chốt kỹ thuật khó. Một hệ thống mật mã mạnh đến đâu cũng có thể sụp đổ nếu khóa bị lộ, bị lưu sai cách hoặc bị thay đổi không đúng quy trình. Khi đưa mật mã vào thực tế, người làm bảo mật phải tính đến vòng đời khóa. Nếu thiếu một khâu, cả mô hình sẽ có lỗ hổng.
Môi trường thực còn mang đến những rủi ro rất đời thường như lỗi cài đặt, thư viện không đồng nhất, khác biệt giữa môi trường thử nghiệm và môi trường sản xuất, hoặc sự can thiệp vô tình của con người. Vì vậy, người học phải rèn thói quen kiểm tra giả định, rà soát cấu hình và nghĩ như người triển khai chứ không chỉ như người chứng minh. Đó là bước chuyển quan trọng từ lý thuyết sang kỹ nghệ.
Chính vì có nhiều thách thức như vậy, đề tài về mật mã ứng dụng luôn rất đáng làm. Trong an toàn thông tin, chấp nhận giới hạn không phải là yếu đuối; đó là dấu hiệu của tư duy trưởng thành. Một nghiên cứu tốt về mật mã ứng dụng luôn biết đặt câu hỏi đúng ở ranh giới giữa tính đúng đắn toán học và khả năng triển khai bền vững.
