L’ANSSI révise sa position sur la cryptographie post-quantique

Clément Bohic,
Linkedin
cryptographie post-quantique position ANSSI

En avril 2022, l’ANSSI avait communiqué sa position sur la cryptographie post-quantique. Elle vient d’y greffer un addendum.

Connaissez-vous Hyperform, µPQRS, PQTLS, RESQUE et X7PQC ? Ils font partie des projets de recherche que la France finance dans le domaine des technos quantiques et post-quantiques. Leur point commun : ils ont trait à la cryptographie.

Hyperform vise à développer des composants post-quantiques pour cinq cas d’usage sectoriels. µPQRS, un microcontrôleur sécurisé. PQTLS, un substitut aux primitives actuelles du protocole HTTPS. RESQUE, un VPN et un HSM. X7PQC, une technologie qui « protègera infrastructures et communications »…

L’ANSSI les mentionne tous dans une publication récente. Par son intermédiaire, l’agence met à jour la position qu’elle avait communiquée voilà près de deux ans au sujet de la cryptographie post-quantique.

Entre-temps, la menace quantique « n’a pas connu d’avancée décisive », nous annonce-t-on. Mais les efforts de R&D sur la cryptographie post-quantique « ont fortement augmenté, tant du point de vue de la sécurité théorique que des implémentations sécurisées ».

Quatre schémas ont obtenu le statut de futures normes du NIST, note l’ANSSI. Nommément, CRYSTALS-Kyber, CRYSTALS-Dilithium, Falcon et SPHINCS+. Elle les présente tous comme « appropriés au moins pour les produits cryptographiques courants ».

Deux algorithmes post-quantiques cités pour l’encapsulation de clés…

CRYSTALS-Kyber (aussi appelé ML-KEM) entre dans la catégorie des mécanismes d’encapsulation de clés. Opter pour lui implique un certain nombre de consignes :

– Éviter de modifier les paramètres de l’instance normalisée
– Utiliser le niveau de sécurité NIST le plus élevé ; de préférence, le 5 (équivalent à l’AES-256) ou le 3 (AES-192)
– Employer autant que possible des clés éphémères
– Exploiter la version sécurisée contre les attaques actives (IND-CCA) qui sera normalisée par le NIST

Sur ce dernier, On ne peut, dans des cas, considérer comme sûre la version sécurisée contre les attaquants passifs (IND-CPA) en mode statique ou éphémère, ajoute l’ANSSI sur le dernier point. Exemple dans les protocoles authentifiés disposant de preuves de sécurité.

L’ANSSI cite aussi FrodoKEM. Et lui applique les mêmes recommandations que pour CRYSTALS-Kyber, dont il est une variante plus conservatrice.

… et cinq pour les signatures numériques

Sur la partie signatures numériques, CRYSTALS-Delithium (ML-DSA) est cité. Avec, là aussi, la recommandation de ne pas modifier les paramètres de l’instance normalisée et d’utiliser le niveau NIST 5 ou 3.

Même conseils pour Falcon (FN-DSA), avec un avertissement supplémentaire. La mise en œuvre n’étant pas simple, attention à respecter la conception pour éviter les attaques qui exploiteraient des erreurs d’implémentation.

Autres candidats à la campagne NIST, XMSS et LMS font finalement l’objet d’un processus de normalisation distinct. L’ANSSI souligne, à leur sujet, qu’il est critique de protéger l’état interne de l’algorithme. Une remarque qui ne vaut pas pour SPHINCS+ (SLH-DSA), lequel n’a pas d’état interne à conserver.

Cryptographie hybride : concaténer, oui mais…

Pour Falcon, XMSS et LMS, on peut se passer de la recommandation de l’agence sur l’hybridation. Cette procédure consiste, pour les mécanismes d’encapsulation, à combiner la clé dérivée avec une ou plusieurs clés des types suivants :

– Prépartagée(s), stockée(s) par les deux parties
– Calculées à l’aide de mécanismes post-quantiques

La combinaison par concaténation ne garantit pas la sécurité contre les attaquants passifs, affirme l’ANSSI. La raison : en cas de compromission d’une clé sous-jacente, la clé concaténée n’est pas uniformément aléatoire. Additionner les clés (OR ou XOR) ne protège par ailleurs pas contre les attaquants actifs, en raison des attaques mix and match. Aussi, on utilisera une fonction de dérivation de clé.

Pour les signatures, un moyen « robuste et naturel » consiste à concaténer et à accepter le résultat si et seulement si toutes les signatures sont valides. À plus haut niveau, il est possible d’hybrider au niveau du certificat. L’ANSSI ne cite totuefois pas de schéma, les conceptions et les preuves de sécurité étant encore en évolution.

De manière générale, faute d’une maturité suffisante des algorithmes, l’hybridation doit s’imposer « partout où une protection post-quantique est nécessaire, à la fois à court et à moyen terme ». On appliquera a fortiori cette approche pour les produits de sécurité destinés à protéger des données passé 2030. Ainsi qu’à ceux qu’on utilisera après cette échéance sans mises à jour.

À consulter en complément :

Informatique quantique ou IA, d’où viendra la menace ?
Quels standards pour la cryptographie post-quantique ?
L’OTAN se signale sur la cryptographie post-quantique
Cryptographie post-quantique : les banques centrales expérimentent sur l’axe France-Allemagne

Illustration © Siarhei – Adobe Stock