Apple a annonc un nouveau protocole cryptographique post-quantique pour iMessage, appel PQ3. Apple affirme que ce protocole « rvolutionnaire » et « la pointe de la technologie » fournit « des dfenses tendues contre les attaques quantiques, mme les plus sophistiques« . Apple estime que les protections du protocole PQ3 « surpassent celles de toutes les autres applications de messagerie largement dployes« .
Selon Apple, le protocole PQ3 est la mise jour de scurit cryptographique la plus importante de l’histoire d’iMessage.
Nous annonons aujourd’hui la plus importante mise niveau de la scurit cryptographique dans l’histoire d’iMessage avec l’introduction de PQ3, un protocole cryptographique post-quantique rvolutionnaire qui fait progresser l’tat de l’art en matire de messagerie scurise de bout en bout. Avec un chiffrement rsistant aux compromis et des dfenses tendues contre les attaques quantiques les plus sophistiques, PQ3 est le premier protocole de messagerie atteindre ce que nous appelons le niveau 3 de scurit – offrant des protections de protocole qui surpassent celles de toutes les autres applications de messagerie largement dployes. notre connaissance, PQ3 possde les proprits de scurit les plus solides de tous les protocoles de messagerie l’chelle mondiale.
PQ3 sera progressivement dploy pour les conversations iMessage prises en charge partir d’iOS 17.4, iPadOS 17.4, macOS 14.4 et watchOS 10.4 en mars, et il est dj prsent dans les dernires versions bta de ces mises jour, selon Apple. visionOS ne prendra pas en charge le protocole PQ3 lors du dploiement initial, a confirm l’entreprise.
Le protocole PQ3 remplacera compltement le protocole de cryptographie existant d’iMessage dans toutes les conversations prises en charge dans le courant de l’anne. Tous les appareils participant une conversation iMessage doivent tre mis jour avec les versions logicielles susmentionnes ou plus rcentes pour tre ligibles.
iMessage avec PQ3 : une messagerie quantique scurise grande chelle
Lors de son lancement en 2011, iMessage a t la premire application de messagerie largement rpandue proposer un chiffrement de bout en bout par dfaut, et Apple a considrablement amlior sa cryptographie au fil des ans. Ils ont rcemment renforc le protocole cryptographique d’iMessage en 2019 en passant de RSA la cryptographie courbe elliptique (ECC) et en protgeant les cls de chiffrement sur l’appareil avec Secure Enclave, ce qui les rend beaucoup plus difficiles extraire d’un appareil, mme pour les adversaires les plus sophistiqus.
Cette mise jour du protocole est alle encore plus loin en ajoutant une couche de dfense supplmentaire : un mcanisme de recl priodique pour assurer l’autorgnration cryptographique, mme dans le cas extrmement improbable o une cl serait compromise. Chacune de ces avances a t formellement vrifie par une valuation symbolique, une pratique exemplaire qui fournit de solides garanties quant la scurit des protocoles cryptographiques.
Historiquement, les plateformes de messagerie ont utilis la cryptographie classique cl publique, telle que RSA, les signatures courbe elliptique et l’change de cls Diffie-Hellman, pour tablir des connexions chiffres scurises de bout en bout entre les appareils. Tous ces algorithmes sont bass sur des problmes mathmatiques difficiles qui ont longtemps t considrs comme trop intensifs en termes de calcul pour que les ordinateurs puissent les rsoudre, mme en tenant compte de la loi de Moore.
Toutefois, l’essor de l’informatique quantique menace de modifier l’quation. Un ordinateur quantique suffisamment puissant pourrait rsoudre ces problmes mathmatiques classiques de manire fondamentalement diffrente et donc, en thorie, le faire assez rapidement pour menacer la scurit des communications cryptes de bout en bout.
Bien qu’il n’existe pas encore d’ordinateurs quantiques dots de cette capacit, les attaquants disposant de ressources considrables peuvent dj se prparer leur arrive ventuelle en tirant parti de la forte baisse des cots de stockage des donnes modernes. Le principe est simple : ces attaquants peuvent collecter de grandes quantits de donnes cryptes actuelles et les classer en vue d’une consultation ultrieure. Mme s’ils ne peuvent dcrypter aucune de ces donnes aujourd’hui, ils peuvent les conserver jusqu’ ce qu’ils acquirent un ordinateur quantique capable de les dcrypter l’avenir, un scnario d’attaque connu sous le nom de « Harvest Now, Decrypt Later » (rcolter maintenant, dcrypter plus tard).
Pour attnuer les risques lis aux futurs ordinateurs quantiques, la communaut cryptographique travaille sur la cryptographie post-quantique (PQC) : de nouveaux algorithmes cl publique qui fournissent les lments de base de protocoles scuriss au niveau quantique, mais qui ne ncessitent pas d’ordinateur quantique pour fonctionner – c’est–dire des protocoles qui peuvent fonctionner sur les ordinateurs classiques, non quantiques, qu’on utilise tous aujourd’hui, mais qui resteront scuriss contre les menaces connues que poseront les futurs ordinateurs quantiques.
Pour comprendre comment les diffrentes applications de messagerie attnuent les attaques, il est utile de les placer sur un spectre de proprits de scurit. Mais il n’existe pas de comparaison standard utiliser cette fin.
Apple prsente ci-dessous sa propre progression simple et grossire des niveaux de scurit des messageries :
Nous commenons gauche avec la cryptographie classique et progressons vers la scurit quantique, qui traite les menaces actuelles et futures des ordinateurs quantiques. La plupart des applications de messagerie existantes relvent soit du niveau 0 (pas de chiffrement de bout en bout par dfaut et pas de scurit quantique), soit du niveau 1 (chiffrement de bout en bout par dfaut, mais pas de scurit quantique).
Il y a quelques mois, Signal a ajout la prise en charge du protocole PQXDH, devenant ainsi la premire application de messagerie grande chelle introduire la scurit post-quantique dans l’tablissement initial de la cl. Il s’agit d’une tape bienvenue et essentielle qui, notre chelle, a fait passer Signal du niveau 1 au niveau 2 de scurit.
Au niveau 2, l’application de la cryptographie post-quantique est limite l’tablissement initial de la cl, offrant une scurit quantique uniquement si le matriel de la cl de conversation n’est jamais compromis. Mais les adversaires sophistiqus d’aujourd’hui sont dj incits compromettre les cls de chiffrement, car cela leur donne la possibilit de dcrypter les messages protgs par ces cls tant que celles-ci ne changent pas.
Pour protger au mieux la messagerie chiffre de bout en bout, les cls post-quantiques doivent changer en permanence afin de limiter la part d’une conversation qui peut tre expose par la compromission d’une seule cl un moment donn – aujourd’hui et avec les futurs ordinateurs quantiques. C’est pourquoi nous pensons que les protocoles de messagerie devraient aller encore plus loin et atteindre le niveau 3 de scurit, o la cryptographie post-quantique est utilise pour scuriser la fois l’tablissement initial de la cl et l’change continu de messages, avec la capacit de restaurer rapidement et automatiquement la scurit cryptographique d’une conversation, mme si une cl donne est compromise.
Selon Apple, iMessage atteint dsormais cet objectif grce un nouveau protocole cryptographique appel PQ3, qui offre la meilleure protection contre les attaques quantiques et devient le seul service de messagerie largement disponible atteindre le niveau 3 de scurit. La prise en charge de PQ3 commencera avec les versions publiques d’iOS 17.4, iPadOS 17.4, macOS 14.4 et watchOS 10.4, et se trouve dj dans les versions bta et developer preview correspondantes.
Les conversations iMessage entre les appareils qui prennent en charge PQ3 passent automatiquement au protocole de chiffrement post-quantique. Au fur et mesure qu’Apple acqurera de l’exprience oprationnelle avec PQ3 l’chelle mondiale d’iMessage, il remplacera compltement le protocole existant dans toutes les conversations prises en charge cette anne.
Conception de PQ3
Plus qu’un simple remplacement d’un algorithme existant par un nouveau, Apple a reconstruit le protocole cryptographique d’iMessage partir de zro pour faire progresser l’tat de l’art en matire de chiffrement de bout en bout et pour rpondre aux exigences suivantes :
- Introduire la cryptographie post-quantique ds le dbut d’une conversation, de sorte que toutes les communications soient protges contre les adversaires actuels et futurs.
- Attnuer l’impact des compromissions de cls en limitant le nombre de messages passs et futurs pouvant tre dchiffrs avec une seule cl compromise.
- Utiliser une conception hybride pour combiner les nouveaux algorithmes post-quantiques avec les algorithmes actuels de la courbe elliptique, en veillant ce que le PQ3 ne soit jamais moins sr que le protocole classique existant.
- Amortir la taille des messages afin d’viter une surcharge excessive due la scurit accrue.
- Utiliser des mthodes de vrification formelle pour fournir des garanties de scurit solides pour le nouveau protocole.
PQ3 introduit une nouvelle cl de chiffrement post-quantique dans l’ensemble des cls publiques que chaque appareil gnre localement et transmet aux serveurs Apple dans le cadre de l’enregistrement iMessage. Pour cette application, ils ont choisi d’utiliser les cls publiques post-quantiques Kyber, un algorithme qui a fait l’objet d’un examen minutieux de la part de la communaut mondiale de la cryptographie et qui a t slectionn par le NIST comme norme de mcanisme d’encapsulation des cls bas sur le treillis modulaire, ou ML-KEM. Cela permet aux dispositifs de l’metteur d’obtenir les cls publiques d’un rcepteur et de gnrer des cls de chiffrement post-quantique pour le tout premier message, mme si le rcepteur n’est pas en ligne. C’est ce qu’ils appellent l’tablissement de la cl initiale.
Apple inclut ensuite – dans les conversations – un mcanisme priodique de recodage post-quantique qui a la capacit de s’auto-gurir en cas de compromission de la cl et de protger les messages futurs. Dans PQ3, les nouvelles cls envoyes avec la conversation sont utilises pour crer de nouvelles cls de chiffrement des messages qui ne peuvent pas tre calcules partir des cls prcdentes, ce qui ramne la conversation un tat sr mme si les cls prcdentes ont t extraites ou compromises par un adversaire. PQ3 est le premier protocole de messagerie cryptographique grande chelle introduire cette nouvelle proprit de reclage post-quantique.
PQ3 utilise une conception hybride qui combine la cryptographie courbe elliptique et le chiffrement post-quantique la fois lors de l’tablissement initial de la cl et lors du recodage. Ainsi, la nouvelle cryptographie est purement additive, et pour mettre en chec la scurit du PQ3, il faut mettre en chec la fois la cryptographie ECC classique existante et les nouvelles primitives post-quantiques. Cela signifie galement que le protocole bnficie de toute l’exprience que nous avons accumule en dployant le protocole ECC et ses implmentations.
Le recodage dans PQ3 implique la transmission d’une nouvelle cl publique en bande avec les messages crypts que les appareils changent. Une nouvelle cl publique base sur la mthode Elliptic Curve Diffie-Hellman (ECDH) est transmise en ligne avec chaque rponse. La cl post-quantique utilise par PQ3 a une taille de fil significativement plus importante que le protocole existant, donc pour rpondre l’exigence de taille de message, Apple a conu le reclage scurit quantique pour qu’il se produise priodiquement plutt qu’ chaque message. Pour dterminer si une nouvelle cl post-quantique est transmise, PQ3 utilise une condition de recomposition qui vise quilibrer la taille moyenne des messages sur le fil, prserver l’exprience de l’utilisateur dans les scnarios de connectivit limite et maintenir le volume global des messages dans les limites de la capacit de notre infrastructure de serveurs. Si ncessaire, les futures mises jour logicielles pourront augmenter la frquence de recomposition de la cl de faon assurer la compatibilit avec tous les appareils prenant en charge PQ3.
Avec PQ3, iMessage continue de s’appuyer sur des algorithmes cryptographiques classiques pour authentifier l’expditeur et vrifier la cl de compte de vrification de la cl de contact, car ces mcanismes ne peuvent pas tre attaqus rtroactivement par les futurs ordinateurs quantiques. Pour tenter de s’insrer au milieu d’une conversation iMessage, un adversaire aurait besoin d’un ordinateur quantique capable de casser l’une des cls d’authentification avant ou au moment de la communication. En d’autres termes, ces attaques ne peuvent pas tre ralises dans le cadre d’un scnario « Harvest Now, Decrypt Later » – elles ncessitent l’existence d’un ordinateur quantique capable d’effectuer les attaques en mme temps que la communication attaque.
Selon Apple, une telle capacit n’existera pas avant de nombreuses annes, mais au fur et mesure que la menace des ordinateurs quantiques voluera, ils continueront valuer la ncessit d’une authentification post-quantique pour contrecarrer de telles attaques.
Un protocole formellement prouv
La dernire exigence d’Apple pour iMessage PQ3 est la vrification formelle – une preuve mathmatique des proprits de scurit prvues du protocole. PQ3 a fait l’objet d’un examen approfondi de la part des quipes pluridisciplinaires d’Apple en matire d’ingnierie et d’architecture de scurit (SEAR), ainsi que de certains des plus grands experts mondiaux en cryptographie. Il s’agit notamment d’une quipe dirige par le professeur David Basin, chef du groupe de scurit de l’information l’ETH Zrich et l’un des inventeurs de Tamarin – un outil de vrification des protocoles de scurit de premier plan qui a galement t utilis pour valuer PQ3 – ainsi que du professeur Douglas Stebila de l’universit de Waterloo, qui a effectu des recherches approfondies sur la scurit post-quantique pour les protocoles internet. Chacun a adopt une approche diffrente mais complmentaire, en utilisant des modles mathmatiques diffrents pour dmontrer que tant que les algorithmes cryptographiques sous-jacents restent srs, PQ3 l’est aussi. Enfin, une socit tierce de conseil en scurit de premier plan a complt l’examen interne de la mise en uvre par une valuation indpendante du code source de PQ3, qui n’a rvl aucun problme de scurit.
Dans la premire analyse mathmatique, Security analysis of the iMessage PQ3 protocol, le professeur Douglas Stebila s’est concentr sur ce que l’on appelle les preuves par le jeu. Cette technique, galement connue sous le nom de rduction, dfinit une srie de « jeux » ou d’noncs logiques pour montrer que le protocole est au moins aussi solide que les algorithmes qui le sous-tendent. L’analyse de Stebila montre que le PQ3 assure la confidentialit mme en prsence de certains compromis de cls contre des adversaires classiques et quantiques, la fois dans la phase initiale d’tablissement des cls et dans la phase continue de recomposition des cls du protocole. L’analyse dcompose les nombreuses couches de drivations de cls jusqu’aux cls de message et prouve que, pour un attaquant, il est impossible de les distinguer d’un bruit alatoire. Grce une dmonstration approfondie qui prend en compte diffrents chemins d’attaque pour les attaquants classiques et quantiques dans les preuves, Stebila montre que les cls utilises pour PQ3 sont sres tant que le problme Diffie-Hellman de la courbe elliptique reste difficile ou que le KEM post-quantique de Kyber reste sr.
Professeur Douglas Stebila
Le protocole iMessage PQ3 est un protocole cryptographique bien conu pour la messagerie scurise qui utilise des techniques de pointe pour la communication crypte de bout en bout. Dans mon analyse utilisant la mthodologie rductionniste de la scurit, j’ai confirm que le protocole PQ3 assure la confidentialit post-quantique, ce qui peut donner aux utilisateurs confiance dans la confidentialit de leur communication, mme face aux amliorations potentielles de la technologie de l’informatique quantique.
Dans la seconde valuation, A Formal Analysis of the iMessage PQ3 Messaging Protocol, le professeur David Basin, Felix Linker et le docteur Ralf Sasse de l’ETH Zrich utilisent une mthode appele valuation symbolique. Comme le souligne le rsum de l’article, cette analyse comprend un modle formel dtaill du protocole iMessage PQ3, une spcification prcise de ses proprits de scurit granularit fine et des preuves vrifies par machine l’aide de l’outil symbolique de pointe Tamarin. L’valuation a donn lieu une analyse fine des proprits de secret de PQ3, prouvant que « en l’absence de compromission de l’expditeur ou du destinataire, toutes les cls et tous les messages transmis sont secrets » et que « les compromissions peuvent tre tolres dans un sens bien dfini o l’effet de la compromission sur le secret des donnes est limit dans le temps et dans l’effet », ce qui confirme que PQ3 rpond aux objectifs d’Apple.
Professeur David Basin
Nous fournissons un modle mathmatique de PQ3 et prouvons ses proprits de secret et d’authenticit l’aide d’un outil de vrification pour les preuves de scurit vrifies par machine. Nous prouvons ces proprits mme lorsque le protocole fonctionne en prsence d’adversaires trs puissants qui peuvent corrompre les parties ou possder des ordinateurs quantiques et donc mettre en chec la cryptographie classique. PQ3 va plus loin que Signal en ce qui concerne les dfenses post-quantiques. Dans PQ3, un algorithme scuris post-quantique fait partie du ratcheting et est utilis de manire rpte, plutt qu’une seule fois dans l’initialisation comme dans Signal. Notre vrification fournit un trs haut degr d’assurance que le protocole tel qu’il est conu fonctionne de manire scurise, mme dans le monde post-quantique.
Entrer dans les dtails : Conception de PQ3 et protection contre les futures menaces quantiques
Jusqu’ prsent, on a expos les objectifs de conception d’Apple, dcrit comment PQ3 les atteint et expliqu comment ils ont vrifi la confiance dans le protocole l’aide d’valuations indpendantes. Si vous souhaitez comprendre plus en dtail les fondements cryptographiques, le reste de l’article est une plonge plus profonde dans la faon dont Apple a construit le protocole PQ3.
tablissement d’une cl post-quantique
iMessage permet un utilisateur d’enregistrer plusieurs appareils sur le mme compte. Chaque appareil gnre son propre jeu de cls de chiffrement, et les cls prives ne sont jamais exportes vers un systme externe. Les cls publiques associes sont enregistres auprs de l’Identity Directory Service (IDS) d’Apple pour permettre aux utilisateurs de s’envoyer des messages l’aide d’un simple identifiant : adresse lectronique ou numro de tlphone. Lorsqu’un utilisateur envoie un message partir de l’un de ses appareils, tous ses autres appareils et tous les appareils du destinataire reoivent le message. Les messages sont changs par le biais de sessions en binme tablies entre le dispositif d’envoi et chaque dispositif de rception. Le mme message est crypt successivement pour chaque dispositif de rception, avec des cls drives uniquement pour chaque session. Dans la suite de cette description, nous nous concentrerons sur une seule session d’appareil appareil.
tant donn que l’appareil rcepteur peut ne pas tre en ligne lorsque la conversation est tablie, le premier message d’une session est chiffr l’aide des cls de chiffrement publiques enregistres auprs du serveur IDS.
Chaque appareil quip de PQ3 enregistre deux cls de chiffrement publiques et les remplace rgulirement par de nouvelles :
- une cl publique d’encapsulation post-quantique Kyber-1024
- une cl publique d’accord de cl classique P-256 Elliptic Curve.
Ces cls de chiffrement sont signes avec ECDSA l’aide d’une cl d’authentification P-256 gnre par la Secure Enclave de l’appareil, ainsi qu’un horodatage utilis pour limiter leur validit. La cl publique d’authentification du dispositif est elle-mme signe par la cl du compte de vrification de la cl de contact, ainsi que par certains attributs tels que la version du protocole cryptographique pris en charge. Ce processus permet l’expditeur de vrifier que les cls de chiffrement publiques de l’appareil destinataire ont t tlcharges par le destinataire prvu, et il protge contre les attaques par dclassement.
Lorsque l’appareil d’Alice instaure une nouvelle session avec l’appareil de Bob, son appareil demande au serveur IDS le paquet de cls associ l’appareil de Bob. Le sous-ensemble de l’ensemble de cls qui contient la cl d’authentification de l’appareil et les informations de version est valid l’aide de la vrification de la cl de contact. L’appareil valide ensuite la signature couvrant les cls de chiffrement et les horodatages, ce qui atteste que les cls sont valides et n’ont pas expir.
L’appareil d’Alice peut alors utiliser les deux cls de chiffrement publiques pour partager deux cls symtriques avec Bob. La premire cl symtrique est calcule par un change de cls ECDH qui combine une cl de chiffrement phmre d’Alice avec la cl publique P-256 enregistre de Bob. La seconde cl symtrique est obtenue par encapsulation d’une cl Kyber avec la cl publique post-quantique de Bob.
Pour combiner ces deux cls symtriques, nous commenons par extraire leur entropie en invoquant deux fois HKDF-SHA384-Extract – une fois pour chacune des cls. Le secret de 48 octets qui en rsulte est ensuite combin avec une chane de sparation de domaine et des informations de session – qui comprennent les identifiants de l’utilisateur, les cls publiques utilises dans l’change de cls et le secret encapsul – en invoquant nouveau HKDF-SHA384-Extract pour driver l’tat initial de clavetage de la session. Cette combinaison garantit que l’tat initial de la session ne peut pas tre driv sans connatre les deux secrets partags, ce qui signifie qu’un attaquant devrait casser les deux algorithmes pour rcuprer le secret rsultant, satisfaisant ainsi notre exigence de scurit hybride.
Recomposition post-quantique
Le reclage continu de la session cryptographique est conu de manire ce que les cls utilises pour crypter les messages passs et futurs ne puissent pas tre recalcules, mme par un attaquant hypothtique puissant capable d’extraire l’tat cryptographique de l’appareil un moment donn. Le protocole gnre une nouvelle cl unique pour chaque message, qui inclut priodiquement une nouvelle entropie qui n’est pas drive de manire dterministe de l’tat actuel de la conversation, ce qui confre au protocole des proprits d’autorparation. Notre approche de recomposition des cls s’inspire du ratcheting, une technique qui consiste driver une nouvelle cl de session partir d’autres cls et s’assurer que l’tat cryptographique progresse toujours dans une direction. PQ3 combine trois cliquets pour raliser un chiffrement post-quantique.
Le premier cliquet, appel cliquet symtrique, protge les messages les plus anciens d’une conversation afin de garantir le secret de l’information. Pour chaque message, nous drivons une cl de chiffrement par message partir de la cl de session actuelle. La cl de session actuelle est elle-mme drive en une nouvelle cl de session, ce qui permet de faire progresser l’tat. Chaque cl de message est supprime ds qu’un message correspondant est dchiffr, ce qui empche les anciens cryptogrammes rcolts d’tre dchiffrs par un adversaire capable de compromettre l’appareil un moment ultrieur, et offre une protection contre les messages rejous. Ce processus utilise des cls et des valeurs intermdiaires de 256 bits, ainsi que la fonction de drivation HKDF-SHA384, qui offre une protection contre les ordinateurs classiques et quantiques.
Le second cliquet, appel cliquet ECDH, protge les messages futurs en mettant jour la session avec de l’entropie frache provenant d’un accord de cl courbe elliptique, garantissant qu’un adversaire perd la capacit de dcrypter les nouveaux messages mme s’il a compromis les cls de session antrieures – une proprit appele scurit post-compromission. Le cliquet bas sur l’ECDH a un flux symtrique : la cl prive de la cl publique du cliquet sortant de l’expditeur est utilise avec la dernire cl publique reue du destinataire pour tablir un nouveau secret partag entre l’expditeur et le destinataire, qui est ensuite mlang au matriel de cl de la session. Le nouveau protocole PQ3 pour iMessage utilise les cls NIST P-256 Elliptic Curve pour effectuer ce cliquet, ce qui n’impose qu’une petite surcharge de 32 octets sur chaque message.
tant donn que le deuxime cliquet utilise la cryptographie classique, le protocole PQ3 ajoute galement un cliquet bas sur Kyber KEM excut sous condition. Ce troisime cliquet complte le cliquet bas sur l’ECDH pour fournir une scurit post-compromission contre les attaques quantiques de type « Harvest Now, Decrypt Later« .
L’utilisation d’un cliquet post-quantique peut entraner une surcharge importante du rseau par rapport un cliquet bas sur l’ECDH au mme niveau de scurit. Le KEM post-quantique ncessite l’envoi d’une cl publique et d’un secret encapsul au lieu d’une seule cl publique sortante. En outre, la structure mathmatique sous-jacente de la scurit quantique exige des paramtres de taille beaucoup plus importante pour les cls publiques et les cls encapsules que pour les courbes elliptiques.
Pour limiter la surcharge de taille induite par le renouvellement frquent des cls tout en prservant un niveau lev de scurit, le KEM post-quantique est instanci avec Kyber-768. Contrairement aux cls publiques enregistres par l’IDS et utilises pour l’tablissement initial des cls, les cls publiques cliquet ne sont utilises qu’une seule fois pour encapsuler un secret partag avec le destinataire, ce qui limite considrablement l’impact de la compromission d’une seule cl. Toutefois, alors qu’un surcot de 32 octets li au cliquet ECDH est acceptable pour chaque message, le cliquet KEM post-quantique augmente la taille du message de plus de 2 kilo-octets. Pour viter des retards visibles dans la livraison des messages lorsque la connectivit des appareils est limite, ce cliquet doit tre amorti sur plusieurs messages.
Nous avons donc mis en uvre un critre adaptatif de recomposition post-quantique qui tient compte du nombre de messages sortants, du temps coul depuis la dernire recomposition et des conditions de connectivit actuelles. Au dpart, cela signifie que le cliquet post-quantique est effectu environ tous les 50 messages, mais le critre est limit de telle sorte que le recadrage est toujours garanti au moins une fois tous les 7 jours. Plus la menace des ordinateurs quantiques et la capacit de l’infrastructure voluent dans le temps, les futures mises jour logicielles pourront augmenter la frquence de recomposition des cls tout en prservant une compatibilit ascendante totale.
L’excution des cliquets de cl publique, qu’ils soient bass sur ECDH ou Kyber, ncessite l’envoi et la rception d’un message. Bien que les utilisateurs puissent ne pas rpondre immdiatement un message, iMessage inclut des accuss de rception crypts qui permettent aux appareils de complter rapidement le cliquet, mme sans rponse du destinataire, tant que l’appareil est en ligne. Cette technique permet d’viter les retards dans le processus de recomposition de la cl et contribue une rcupration efficace aprs la compromission.
Comme pour l’tablissement de la cl de session initiale, les secrets tablis par les trois cliquets sont tous combins avec une cl de session volutive utilisant HKDF-SHA384 par le biais d’appels squentiels la fonction Extract. la fin de ce processus, nous obtenons une cl de message finale, qui peut maintenant tre utilise pour chiffrer la charge utile.
Remplissage et chiffrement
Pour viter les fuites d’informations sur la taille du message, PQ3 ajoute un rembourrage au message avant de le chiffrer. Ce remplissage est mis en uvre avec l’heuristique Padm, qui limite spcifiquement la fuite d’informations des textes chiffrs de longueur maximale M un optimum pratique de O(log log M) bits. Cela est comparable un remplissage une puissance de deux, mais se traduit par un surcot infrieur d’au maximum 12 %, voire moins pour les charges utiles plus importantes. Cette approche constitue un excellent quilibre entre confidentialit et efficacit, et prserve l’exprience de l’utilisateur dans les scnarios de connectivit limite des appareils.
La charge utile rembourre est chiffre avec AES-CTR l’aide d’une cl de chiffrement de 256 bits et d’un vecteur d’initialisation, tous deux drivs de la cl du message. Alors que les algorithmes cl publique ncessitent des changements fondamentaux pour atteindre la scurit quantique, les algorithmes de cryptographie symtrique tels que le chiffrement par bloc AES ne ncessitent que le doublement de la taille de la cl pour maintenir leur niveau de scurit contre les ordinateurs quantiques.
Authentification
Chaque message est sign individuellement avec ECDSA l’aide de la cl d’authentification de l’appareil courbe elliptique P-256 protge par Secure Enclave. L’appareil rcepteur vrifie la correspondance entre l’identifiant de l’expditeur (adresse lectronique ou numro de tlphone) et la cl publique utilise pour la vrification de la signature. Si les deux utilisateurs ont activ la vrification de la cl de contact et vrifi la cl de compte de l’autre, le dispositif vrifie que les cls d’authentification du dispositif sont prsentes dans le journal de transparence des cls et que la cl de compte correspondante correspond la cl de compte stocke dans le trousseau iCloud de l’utilisateur.
La cl d’authentification de l’appareil est gnre par la Secure Enclave et n’est jamais expose au reste de l’appareil, ce qui permet d’empcher l’extraction de la cl prive mme si le processeur d’application est compltement compromis. Si un pirate compromet le processeur d’application, il peut tre en mesure d’utiliser la Secure Enclave pour signer des messages arbitraires. Mais une fois que l’appareil aura t remis en tat par un redmarrage ou une mise jour logicielle, il ne sera plus en mesure d’usurper l’identit de l’utilisateur. Cette approche offre des garanties plus solides que d’autres protocoles de messagerie dans lesquels la cl d’authentification est parfois partage entre les appareils ou dans lesquels l’authentification n’a lieu qu’au dbut de la session.
La signature du message couvre un large ventail de champs, y compris les identifiants uniques des utilisateurs et de leurs jetons de notification push, la charge utile chiffre, les donnes authentifies, un indicateur de cl de message driv du cliquet qui lie la signature un emplacement unique dans le cliquet, et toute information de cl publique utilise dans le protocole. L’inclusion de ces champs dans la signature garantit que le message ne peut tre utilis que dans le contexte prvu par l’expditeur, et tous les champs sont documents de manire exhaustive dans les documents de recherche de Stebila, Basin et de leurs collaborateurs.
Conclusion
La messagerie chiffre de bout en bout a fait l’objet d’un nombre considrable d’innovations ces dernires annes, notamment des avances significatives en matire de cryptographie post-quantique avec le protocole PQXDH de Signal et de transparence des cls avec l’Auditable Key Directory de WhatsApp. S’appuyant sur son hritage de pionnier en tant que premire application de messagerie largement disponible fournir un chiffrement de bout en bout par dfaut, iMessage a continu offrir des protections avances. iMessage Contact Key Verification est le systme de transparence des cls le plus sophistiqu pour la messagerie dploy grande chelle, et reprsente l’tat actuel de la technique mondiale en matire de vrification automatique des cls. Le nouveau protocole cryptographique PQ3 pour iMessage combine l’tablissement d’une cl initiale post-quantique avec trois cliquets continus pour l’autorgnration contre la compromission des cls, dfinissant l’tat de l’art mondial en matire de protection des messages contre les attaques Harvest Now, Decrypt Later et les futurs ordinateurs quantiques.
Source : Apple
Et vous ?
Quel est votre avis sur le sujet ?
Pensez-vous que PQ3 soit une rvolution pour la scurit cryptographique post-quantique ?
Voir aussi :