Google vient de prsenter son modle de menace pour la cryptographie post-quantique. Elle recommande aussi de renforcer la scurit des donnes ds maintenant avec un algorithme scurit quantique.
Si on ne chiffre pas les donnes avec un algorithme scurit quantique ds maintenant, un attaquant capable de stocker les communications actuelles pourra les dchiffrer dans une dizaine d’annes seulement. Cette attaque « stocker maintenant-dchiffrer plus tard » est la principale motivation de l’adoption actuelle de la cryptographie post-quantique (PQC), mais d’autres menaces futures lies l’informatique quantique ncessitent galement un plan bien conu pour faire migrer les algorithmes cryptographiques classiques actuels vers la PQC.
L’quipe Cryptographie de Google partage ses dernires rflexions et raisons concernant la migration vers la PQC, en commenant par le modle de menace avec lequel ils travaillent. tant donn la longueur des dlais, ses positions peuvent voluer au fil du temps. L’artile qui suit prsente leur comprhension au dbut de l’anne 2024.
Considrations sur l’ordre de priorit
Les principales considrations sur l’ordre de priorit des menaces quantiques de Google sont les suivantes :
- Faisabilit de l’attaque quantique en question.
- Existence d’attaques « stocker maintenant-dchiffrer plus tard » (store-now-decrypt-later).
- Cas d’utilisation ncessitant des cls publiques fixes d’une dure de vie de plusieurs dizaines d’annes.
- La ncessit d’une recherche exploratoire sur les systmes qui pourraient ncessiter une refonte substantielle pour fonctionner avec des algorithmes post-quantiques, en particulier lorsqu’une collaboration plus large de l’industrie est ncessaire.
Contexte
Les ordinateurs quantiques menacent la cryptographie principalement par le biais de deux algorithmes : l’algorithme de Shor pour la factorisation des entiers et la rsolution des logarithmes discrets et la recherche de Grover, qui peut inverser une fonction de bote noire. Comme mentionn, l’une des principales considrations pour l’tablissement des priorits est de savoir si un systme est dj menac actuellement si un adversaire a accs un ordinateur quantique l’avenir. Le stockage des textes chiffrs aujourd’hui et leur dchiffrage plus tard en est un excellent exemple, qui ncessite le dploiement d’une PQC bien avant l’avnement des ordinateurs quantiques.
Sur cette base, on peut grosso modo regrouper la cryptographie en quatre technologies diffrentes :
- Le chiffrement asymtrique et l’accord de cl, qui utilisent une paire de cls prive/publique pour tablir une cl qui peut ensuite tre utilise pour la cryptographie symtrique. Impact par l’algorithme de Shor et vulnrable aux attaques de type « stocker maintenant-dchiffrer plus tard« .
- Signatures numriques, utilisant une paire de cls prive/publique pour authentifier les donnes et assurer la non-rpudiation. Elles sont affectes par l’algorithme de Shor, mais ne sont pas vulnrables aux attaques de type « stocker maintenant-dchiffrer plus tard« .
- Cryptographie « fantaisiste » : Cette catgorie dpend de l’algorithme spcifique et du cas d’utilisation, mais de nombreuses techniques de prservation de la vie prive (par exemple les signatures aveugles, ORPF, …) seront affectes par l’algorithme de Shor et sont partiellement vulnrables aux attaques de type « stocker maintenant-dchiffrer plus tard« . Nombre de ces techniques doivent faire l’objet de recherches plus approfondies. Google recommande une valuation minutieuse de l’impact des menaces quantiques sur ces systmes.
- La cryptographie symtrique, qui utilise une seule cl secrte pour chiffrer et authentifier les donnes : Dans l’tat actuel, la cryptographie symtrique n’est pas affecte par les ordinateurs quantiques toutes fins pratiques. L’algorithme de Grover pourrait tre utilis comme attaque dans ce cas, mais il est actuellement considr comme infaisable pour les ordinateurs quantiques, mme moyen terme.
Algorithmes
Heureusement, le NIST a travaill la normalisation de nouveaux algorithmes scurit quantique qui traiteront le chiffrement asymtrique et l’accord de cl, ainsi que les signatures numriques. Pour un aperu rapide, les algorithmes se prsentent comme suit, pour le niveau de scurit par Google dans son modle.
Le NIST prvoit de publier d’autres normes, tant pour l’accord de cl que pour les signatures, afin de disposer de systmes bass sur un ensemble plus large d’hypothses mathmatiques et permettant diffrents compromis entre la taille de la cl publique et la taille du texte chiffr/de la signature. Il est noter que la finalisation de ces futures normes prendra plusieurs annes.
Dploiement hybride
Bien que les algorithmes PQC actuellement proposs aient fait l’objet de nombreuses analyses cryptographiques au cours de la dernire dcennie, ils sont encore un peu moins mrs que la cryptographie classique, et Google recommande de les utiliser de manire hybride, ce qui exige qu’un attaquant casse la fois l’algorithme classique et l’algorithme post-quantique. Cependant, il y a quelques mises en garde ce sujet.
Cas d’utilisation
La cryptographie classique est omniprsente dans les logiciels et les infrastructures modernes. La cryptographie post-quantique aura un impact sur de nombreux dploiements existants. En gardant l’esprit les informations de la section « Contexte » ci-dessus, les cas d’utilisation suivants sont des proccupations majeures et chacun d’entre eux prsente ses propres difficults. Bien que Google donne ses recommandations pour les diffrents cas d’utilisation, il convient de noter que des normes sont encore en cours d’laboration et qu’elles fourniront des orientations plus dfinitives quant aux algorithmes utiliser.
Chiffrement en transit
Le chiffrement en transit comprend principalement TLS, SSH, la messagerie scurise (comme Signal, qui est utilis dans RCS, et MLS), et, pour Google, ALTS. La principale menace dans ce domaine est celle du « stocker maintenant-dchiffrer plus tard« . Il est donc urgent de dployer des systmes d’encapsulation de cls PQC comme Kyber (ML-KEM, FIPS 203). Afin d’attnuer cette menace, il suffit d’ajouter une cl PQC phmre l’accord de cl initial. Les cls PQC long terme (par exemple, les AC publiques ou prives) relvent de l’infrastructure cl publique et devront faire l’objet d’un consensus au sein de la communaut avant que des dploiements significatifs puissent avoir lieu.
La bonne nouvelle concernant le chiffrement en transit est qu’il existe un nombre limit de piles. Les plus pertinentes pour Google sont, comme mentionn ci-dessus, TLS, SSH, Signal et ALTS, qui, l’heure actuelle, ont toutes commenc dployer des algorithmes PQC. La nature phmre des cls ncessaires au chiffrement en transit joue galement en notre faveur, ce qui fait de ce cas d’utilisation, bien que le plus urgent, le plus facile mettre en uvre pour des raisons techniques et sociales.
Google :
Notre recommandation actuelle pour le chiffrement en transit est d’utiliser Kyber768 pour l’accord de cl en hybride avec X25519 ou P256.
Signatures de microprogrammes
Les signatures de microprogrammes sont utilises pour scuriser la racine de la chane de confiance du dmarrage scuris. La cl publique de ces signatures doit gnralement tre grave dans le silicium ou tre protge d’une manire ou d’une autre contre les modifications et les manipulations. Dans la plupart des cas, il est donc impossible de modifier le schma de signature pour ce cas d’utilisation. Pour les appareils ayant une dure de vie de dix ans ou plus, on se retrouve dans une situation similaire celle des attaques « stocker maintenant-dchiffrer plus tard« , o on doit mettre en uvre les algorithmes scurit quantique ds maintenant, puisqu’on ne pourra pas les modifier une date ultrieure. Cette situation est encore complique par les longs dlais de production souvent impliqus dans les implmentations matrielles des algorithmes cryptographiques.
Google :
Notre recommandation actuelle pour la signature des microprogrammes est d’utiliser le schma de signature sans tat bas sur le hachage SPHINCS+ (FIPS 205, SLH-DSA).
Signatures logicielles
Les signatures logicielles sont similaires aux signatures de microprogrammes et sont ncessaires pour garantir un dmarrage scuris et rendre les dploiements rsistants la falsification des binaires et du code source. Contrairement aux signatures de microprogrammes, la cl publique de la signature logicielle peut gnralement tre mise jour et repose sur les signatures de niveau infrieur pour l’authenticit. En outre, les binaires et le code source sont gnralement assez volumineux, et la signature et la vrification ne sont pas particulirement limites en termes de ressources. Ce cas d’utilisation bnficie donc de la plus grande souplesse et d’un calendrier relativement souple.
Ce cas d’utilisation est en plein dveloppement et, mme si le calendrier est relativement souple, il pourrait tre judicieux d’inclure les signatures PQ dans les normes en cours d’laboration.
Google :
Notre recommandation actuelle est d’utiliser soit Dilithium3 (FIPS 204, ML-DSA) en hybride avec ECDSA/EdDSA/RSA, soit SPHINCS+ (FIPS 205, SLH-DSA) pour ce cas d’utilisation.
Infrastructure cl publique
L’infrastructure cl publique est l’infrastructure utilise pour assurer l’authenticit du cryptage en transit, ainsi que des identits fiables pour les machines et les personnes.
L’ICP repose gnralement sur des chanes de certificats, c’est–dire des cls publiques auxquelles est attache une signature vrifiable par une cl situe plus haut dans la chane. Cela rend l’ICP, dans sa forme actuelle, extrmement sensible aux augmentations de taille des systmes post-quantiques. Une seule signature Dilithium3 + une seule cl publique psent plus de 5 Ko, ce qui rend tout dploiement de l’ICP avec des intermdiaires trs coteux. Pour l’ICP Web en particulier, on sait que certains dispositifs commencent tomber en panne lorsque les paquets dpassent 10 30 kB. Ce problme pourrait tre rsolu, mais une grave pnalit de performance subsiste dans tous les cas.
Google :
Il existe plusieurs solutions autres que le simple remplacement des signatures classiques par des signatures scurit quantique, qui pourraient rsoudre les problmes de performance de l’ICP. Nous cherchons actuellement exprimenter dans ce domaine afin de recueillir des donnes pour formuler des recommandations plus solides.
Jetons
Les jetons asymtriques sans tat, tels que les jetons Web JSON (JWT), constituent une autre utilisation rpandue des signatures numriques. Les jetons qui utilisent la cryptographie symtrique, ou qui utilisent des techniques avec tat comme mesure de dfense en profondeur, ne sont pas affects par les menaces quantiques. Pour les jetons asymtriques, la principale difficult rside dans les contraintes de taille qui leur sont souvent imposes. Par exemple, un jeton cens tre sauvegard en tant que cookie a une limite suprieure de 4096 octets disponibles pour l’ensemble du jeton. Une signature Dilithium3 occuperait 3309 de ces octets, si elle tait encode en binaire, et 4412 octets ne correspondraient pas cette exigence si elle tait encode en base64.
Les jetons sans tat s’accompagnent de problmes de scurit indpendants, et il est prudent de passer des jetons avec tat, ne serait-ce que pour garantir des systmes plus robustes. Certains des systmes de la deuxime rampe du concours du NIST ont de trs petites signatures, mais de grandes cls publiques ; cette approche pourrait tre un autre outil pour rpondre ce cas d’utilisation.
Google :
Notre principale recommandation est d’utiliser des jetons avec tat lorsque c’est possible, compte tenu des avantages supplmentaires qu’ils offrent en matire de scurit. En outre, nous souhaitons mener des expriences dans ce domaine afin de recueillir des donnes qui nous permettront de formuler des recommandations plus solides.
Autres cas d’utilisation
Il existe d’autres cas d’utilisation qui n’entrent dans aucune de ces catgories. Par exemple, dans certains cas, les documents doivent tre chiffrs de manire asymtrique, c’est–dire sparment du chiffrement en transit. Ce cas d’utilisation comprend principalement les courriels chiffrs et signs via S/MIME, mais aussi divers protocoles utilisant HPKE ou PGP, ou utilisant directement des signatures numriques.
Un autre des protocoles de chiffrement asymtrique les plus importants est l’importation de cls pour les HSM.
Ces cas d’utilisation sont moins sensibles la taille du texte chiffr, de sorte que l’utilisation de Kyber (FIPS 203/ML-KEM) en hybride avec ECDH/X25519 ne devrait pas poser beaucoup de problmes. Pour S/MIME en particulier, des difficults supplmentaires pourraient rsulter de l’existence de plusieurs destinataires.
Un autre cas d’utilisation, li mais non quivalent aux HSM voqus ci-dessus, est celui des racines de confiance matrielles telles que les cls de scurit ou les TPM, qui sont confrontes leurs propres difficults lies aux contraintes matrielles.
La prservation de la vie prive et d’autres schmas plus fantaisistes ncessiteront des recherches supplmentaires pour tre dploys en toute scurit. Google prvoit de donner une vue d’ensemble et de lancer un appel l’action dans un billet de blog.
Acteurs de la menace et dlais
L’absence de confidentialit et d’authenticit scurit quantique peut tre exploite par les acteurs de la menace. Si les menaces sur la confidentialit sont plus directes, les menaces sur l’authenticit sont souvent bien plus tendues et dvastatrices.
Acteurs de la menace
- tats-nations
Les tats-nations sont les plus susceptibles d’arriver les premiers un ordinateur quantique pertinent sur le plan cryptographique. Ils essaieront trs probablement de dployer l’ordinateur quantique de manire pouvoir le nier, afin d’viter d’informer leurs adversaires de leurs capacits. Les tats-nations sont trs susceptibles de cibler les dploiements dans le nuage d’autres tats-nations clients, et peuvent viser les dissidents politiques et d’autres cibles surveiller. Les tats-nations peuvent galement cibler Google ou d’autres fournisseurs d’infrastructures pour des raisons militaires ou conomiques.
Bien qu’il soit difficile de construire un ordinateur quantique pertinent sur le plan cryptographique, une fois la machine construite, il ne devrait pas tre trs coteux de casser une cl publique donne. tant donn la nature phmre des cls de chiffrement en transit, les premires cibles les plus probables seraient des cls plus statiques, telles que celles requises pour l’infrastructure cl publique (PKI), ainsi que la rupture de communications stockes considres comme prsentant un grand intrt. Au fur et mesure que les ordinateurs quantiques deviennent moins chers, ils pourraient cibler des groupes de victimes de plus en plus larges.
Certains se sont inquits du fait que des tats-nations pourraient essayer de crer des portes drobes ou d’affaiblir les algorithmes publis par le NIST, comme cela a t fait dans le pass dans le cas de Dual_EC_DRBG. Pour prvenir ces inquitudes, les normes du NIST ont t conues dans le cadre d’un concours public. En outre, si la plupart des dploiements se font de manire hybride, la possibilit de casser l’algorithme PQC ne serait d’aucune utilit tant qu’un ordinateur quantique ne serait pas disponible, ce qui laisserait au public plusieurs annes pour dcouvrir d’ventuelles portes drobes.
- Menaces internes
Google et d’autres entreprises travaillent la construction d’un ordinateur quantique, qui pourrait ventuellement prsenter un intrt sur le plan cryptographique. Comme pour d’autres technologies trs prises, les menaces d’initis restent un vecteur. cette fin, les entreprises devront prendre les prcautions ncessaires pour protger leurs joyaux de la couronne afin d’viter qu’ils ne soient vols ou exploits par une menace manant d’un tat-nation ou par d’autres attaquants motivs.
- Ransomware et autres acteurs de la menace motivation financire
Pour les acteurs de la menace motivs par des raisons financires, la principale considration sera la disponibilit des ordinateurs quantiques. Si les cas d’utilisation des ordinateurs quantiques restent limits, l’accs ces derniers pourrait tre trop difficile obtenir pour un acteur de la menace motiv par des raisons financires. S’ils sont disponibles des prix relativement bas, soit directement, soit via des dploiements en nuage, il est probable qu’ils seront utiliss pour obtenir des ranons ou commettre des actes d’espionnage industriel, en exploitant des domaines qui n’ont pas migr vers des protocoles scurit quantique.
- Le paysage rglementaire
La PQC est devenue un sujet d’actualit avec plusieurs dcrets aux tats-Unis, exigeant du gouvernement amricain qu’il s’efforce de dployer une cryptographie scurit quantique. Des cadres rglementaires tels que la CNSA 2.0 exigent d’emble l’utilisation de la PQC dans des dlais assez courts, et d’autres cadres de conformit tels que le FIPS suivront bientt. En dehors des tats-Unis, la BSI et l’ANSSI ont galement t actives dans ce domaine et ont commenc demander des feuilles de route PQC pour des dploiements plus long terme.
Dlais
Les meilleures estimations globales du risque li aux ordinateurs quantiques dont nous disposons peuvent tre rsumes dans ce graphique du Global Risk Institute.
Estimations des experts du Global Risk Institute
Sur la base de ce calendrier, corrobor par l’quipe d’informatique quantique de Google, Google Quantum AI, le risque principal d’un ordinateur quantique cryptographiquement pertinent se situe dans un dlai de 10 15 ans. Google prvoit des amliorations significatives dans ce domaine d’ici 2030, ce qui devrait constituer une bonne vrification mi-parcours du calendrier.
Conclusion
Malgr les longs dlais qui nous sparent de la prvalence des ordinateurs quantiques cryptographiques, Goolge espre que l’aperu partag dans cet article aidera comprendre quels sont les domaines les plus risque et sur lesquels on devrait commencer concentrer notre attention l’heure actuelle.
Google prvoit de publier d’autres articles sur la PQC l’avenir. L’tat de l’art volue, tout comme les conseils et les meilleures pratiques recommandes !
Source : quipe Cryptographie de Google
Et vous ?
Quel est votre avis sur le sujet ?
Pensez-vous que les recommandations de Google soient crdibles ou pertinentes ?
Voir aussi :