Les NIST dévoile ses trois nouvelles normes de cryptographie post-quantique ! »>Normes de Cryptographie Post-Quantique Annoncées par le NIST

Actuellement, la majorité des données circulant sur Internet, qu’il s’agisse de transactions bancaires, de dossiers médicaux ou de communications sécurisées, repose sur un système de cryptage connu sous le nom de RSA, du nom de ses inventeurs Rivest, Shamir et Adleman. Ce système s’appuie sur un principe fondamental : il est presque impossible de déterminer les facteurs premiers d’un grand nombre dans un délai raisonnable, même avec les superordinateurs les plus puissants. Cependant, l’émergence de grands ordinateurs quantiques pourrait rendre cette tâche triviale, menaçant ainsi la sécurité de l’ensemble d’Internet.

Heureusement, les ordinateurs quantiques ne surpassent les ordinateurs classiques que pour un nombre limité de problèmes, et de nombreux schémas de cryptage demeurent inaltérés par cette technologie. Récemment, l’Institut National des Normes et de la Technologie des États-Unis (NIST) a annoncé la standardisation de trois nouveaux schémas de cryptographie post-quantique. Avec ces normes, le NIST exhorte les administrateurs de systèmes informatiques à commencer la transition vers une sécurité post-quantique dès que possible.

« Notre défi consiste maintenant à remplacer le protocole dans chaque appareil, ce qui n’est pas une tâche facile. » —Lily Chen, NIST

Pourquoi la Cryptographie Post-Quantique est-elle Urgente ?

La plupart des spécialistes estiment que des ordinateurs quantiques à grande échelle ne seront pas opérationnels avant au moins une décennie. Pourquoi le NIST s’inquiète-t-il alors dès maintenant ? Deux raisons principales expliquent cette préoccupation.

Premièrement, de nombreux appareils utilisant la sécurité RSA, tels que les véhicules et certains dispositifs IoT, devraient rester en service pendant au moins dix ans. Il est donc crucial qu’ils soient dotés d’une cryptographie résistante aux menaces quantiques avant leur déploiement.

« Pour nous, il n’est pas envisageable d’attendre et de voir ce qui se passe. Nous voulons être prêts et mettre en œuvre des solutions dès que possible. » —Richard Marty, LGT Financial Services

Deuxièmement, un individu malveillant pourrait potentiellement télécharger et stocker des données cryptées aujourd’hui, puis les déchiffrer une fois qu’un ordinateur quantique suffisamment puissant sera disponible. Ce concept, connu sous le nom de « récolter maintenant, déchiffrer plus tard », représente une menace pour les données sensibles, même si celles-ci ne peuvent être compromises qu’à l’avenir.

Les experts en sécurité de divers secteurs commencent à prendre au sérieux la menace des ordinateurs quantiques, selon Joost Renes, architecte principal de la sécurité et cryptographe chez NXP Semiconductors. « En 2017 et 2018, les gens demandaient : ‘Qu’est-ce qu’un ordinateur quantique ?’ Maintenant, ils se demandent : ‘Quand les normes de cryptographie post-quantique seront-elles publiées et laquelle devrions-nous adopter ?’ »

La Compétition du NIST pour le Meilleur Algorithme Résistant aux Menaces Quantiques

En 2016, le NIST a lancé une compétition publique pour identifier le meilleur algorithme de cryptographie post-quantique. Au total, 82 propositions ont été soumises par des équipes de 25 pays différents. Depuis, le NIST a procédé à quatre tours d’élimination, réduisant finalement le nombre d’algorithmes à quatre en 2022.

Ce processus a été un effort collectif, le NIST ayant sollicité les contributions de la communauté de recherche en cryptographie, de l’industrie et des parties prenantes gouvernementales. « L’industrie a fourni des retours très précieux », déclare Chen du NIST.

Les quatre algorithmes retenus portent des noms évocateurs : CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ et FALCON. Cependant, ces noms ont été remplacés par des désignations plus formelles : Norme Fédérale de Traitement de l’Information (FIPS) 203 à 206. Les FIPS 203, 204 et 205 sont au cœur de l’annonce d’aujourd’hui, tandis que le FIPS 206, anciennement connu sous le nom de FALCON, devrait être standardisé d’ici fin 2024.

Les algorithmes se divisent en deux catégories : le cryptage général, utilisé pour protéger les informations transmises via un réseau public, et la signature numérique, qui sert à authentifier les individus. Les signatures numériques sont essentielles pour prévenir les attaques de logiciels malveillants, souligne Chen.

La Résilience de la Cryptographie par Réseaux de Lattice face aux Vulnérabilités

Plus tôt cette année, un préprint publié sur arXiv a suscité des inquiétudes au sein de la communauté de cryptographie post-quantique. L’article, rédigé par Yilei Chen de l’Université Tsinghua à Pékin, prétendait démontrer que la cryptographie basée sur les réseaux de lattice, qui constitue la base de deux des trois protocoles du NIST, n’était pas à l’abri des attaques quantiques. Cependant, une inspection plus approfondie a révélé une faille dans l’argumentation de Yilei Chen, et la cryptographie par réseaux de lattice est toujours considérée comme sécurisée contre les attaques quantiques.

Cette situation met en lumière le problème central de tous les schémas de cryptographie : il n’existe aucune preuve que les problèmes mathématiques sur lesquels ces schémas reposent soient réellement « difficiles ». La seule preuve, même pour les algorithmes RSA standards, est que des tentatives de décryptage ont échoué pendant longtemps. Étant donné que les normes de cryptographie post-quantique, y compris la cryptographie par réseaux de lattice, sont plus récentes, il y a moins de certitudes quant à leur invulnérabilité.

Cependant, l’échec de cette dernière tentative renforce la crédibilité de l’algorithme. La faille dans l’argument de l’article a été identifiée en une semaine, ce qui témoigne d’une communauté active d’experts travaillant sur ce problème. « Le résultat de cet article n’est pas valide, ce qui signifie que la réputation de la cryptographie par réseaux de lattice reste intacte », déclare Lily Chen du NIST. « De nombreuses personnes ont essayé de briser cet algorithme. Beaucoup s’y attellent avec acharnement, et cela nous donne confiance. »

Bien que l’annonce du NIST soit prometteuse, le travail de transition de tous les appareils vers les nouvelles normes ne fait que commencer. Cela nécessitera du temps et des ressources financières pour protéger pleinement le monde contre les menaces des futurs ordinateurs quantiques.

« Nous avons consacré 18 mois à la transition et investi environ un demi-million de dollars », déclare Marty de LGT Financial Services. « Nous avons quelques instances de cryptographie post-quantique, mais pour une transition complète, je ne pourrais pas vous donner de chiffre, il y a encore beaucoup à faire. »

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *