Connaissez-vous Hyperform, µPQRS, PQTLS, RESQUE et X7PQC ? Ils font partie des projets de recherche que la France finance dans le domaine des technos quantiques et post-quantiques. Leur point commun : ils ont trait à la cryptographie.
Hyperform vise à développer des composants post-quantiques pour cinq cas d’usage sectoriels. µPQRS, un microcontrôleur sécurisé. PQTLS, un substitut aux primitives actuelles du protocole HTTPS. RESQUE, un VPN et un HSM. X7PQC, une technologie qui « protègera infrastructures et communications »…
L’ANSSI les mentionne tous dans une publication récente. Par son intermédiaire, l’agence met à jour la position qu’elle avait communiquée voilà près de deux ans au sujet de la cryptographie post-quantique.
Entre-temps, la menace quantique « n’a pas connu d’avancée décisive », nous annonce-t-on. Mais les efforts de R&D sur la cryptographie post-quantique « ont fortement augmenté, tant du point de vue de la sécurité théorique que des implémentations sécurisées ».
Quatre schémas ont obtenu le statut de futures normes du NIST, note l’ANSSI. Nommément, CRYSTALS-Kyber, CRYSTALS-Dilithium, Falcon et SPHINCS+. Elle les présente tous comme « appropriés au moins pour les produits cryptographiques courants ».
CRYSTALS-Kyber (aussi appelé ML-KEM) entre dans la catégorie des mécanismes d’encapsulation de clés. Opter pour lui implique un certain nombre de consignes :
– Éviter de modifier les paramètres de l’instance normalisée
– Utiliser le niveau de sécurité NIST le plus élevé ; de préférence, le 5 (équivalent à l’AES-256) ou le 3 (AES-192)
– Employer autant que possible des clés éphémères
– Exploiter la version sécurisée contre les attaques actives (IND-CCA) qui sera normalisée par le NIST
Sur ce dernier, On ne peut, dans des cas, considérer comme sûre la version sécurisée contre les attaquants passifs (IND-CPA) en mode statique ou éphémère, ajoute l’ANSSI sur le dernier point. Exemple dans les protocoles authentifiés disposant de preuves de sécurité.
L’ANSSI cite aussi FrodoKEM. Et lui applique les mêmes recommandations que pour CRYSTALS-Kyber, dont il est une variante plus conservatrice.
Sur la partie signatures numériques, CRYSTALS-Delithium (ML-DSA) est cité. Avec, là aussi, la recommandation de ne pas modifier les paramètres de l’instance normalisée et d’utiliser le niveau NIST 5 ou 3.
Même conseils pour Falcon (FN-DSA), avec un avertissement supplémentaire. La mise en œuvre n’étant pas simple, attention à respecter la conception pour éviter les attaques qui exploiteraient des erreurs d’implémentation.
Autres candidats à la campagne NIST, XMSS et LMS font finalement l’objet d’un processus de normalisation distinct. L’ANSSI souligne, à leur sujet, qu’il est critique de protéger l’état interne de l’algorithme. Une remarque qui ne vaut pas pour SPHINCS+ (SLH-DSA), lequel n’a pas d’état interne à conserver.
Pour Falcon, XMSS et LMS, on peut se passer de la recommandation de l’agence sur l’hybridation. Cette procédure consiste, pour les mécanismes d’encapsulation, à combiner la clé dérivée avec une ou plusieurs clés des types suivants :
– Prépartagée(s), stockée(s) par les deux parties
– Calculées à l’aide de mécanismes post-quantiques
La combinaison par concaténation ne garantit pas la sécurité contre les attaquants passifs, affirme l’ANSSI. La raison : en cas de compromission d’une clé sous-jacente, la clé concaténée n’est pas uniformément aléatoire. Additionner les clés (OR ou XOR) ne protège par ailleurs pas contre les attaquants actifs, en raison des attaques mix and match. Aussi, on utilisera une fonction de dérivation de clé.
Pour les signatures, un moyen « robuste et naturel » consiste à concaténer et à accepter le résultat si et seulement si toutes les signatures sont valides. À plus haut niveau, il est possible d’hybrider au niveau du certificat. L’ANSSI ne cite totuefois pas de schéma, les conceptions et les preuves de sécurité étant encore en évolution.
De manière générale, faute d’une maturité suffisante des algorithmes, l’hybridation doit s’imposer « partout où une protection post-quantique est nécessaire, à la fois à court et à moyen terme ». On appliquera a fortiori cette approche pour les produits de sécurité destinés à protéger des données passé 2030. Ainsi qu’à ceux qu’on utilisera après cette échéance sans mises à jour.
À consulter en complément :
Informatique quantique ou IA, d’où viendra la menace ?
Quels standards pour la cryptographie post-quantique ?
L’OTAN se signale sur la cryptographie post-quantique
Cryptographie post-quantique : les banques centrales expérimentent sur l’axe France-Allemagne
Illustration © Siarhei – Adobe Stock
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…