AWS, Google, IBM, NVIDIA... Alliance de Big Tech sur la cryptographie post-quantique

Une alliance pour la cryptographie post-quantique s’est constituée sous l’égide de la Fondation Linux. Comment se présente-t-elle ?

La Fondation Linux, désormais inscrite sur la carte de la cryptographie post-quantique ? Une initiative vient en tout cas d’y émerger : la Post-Quantum Cryptography Alliance.

Le comité consultatif technique se compose exclusivement d’acteurs étasuniens : y siègent AWS, Cisco, Google, IBM et NVIDIA. Même composition pour le conseil d’administration… avec néanmoins un siège supplémentaire attribué à l’université de Waterloo (Canada).

D’autres entreprises américaines figurent parmi les membres fondateurs. Nommément, Keyfactor (gestion des identités), QuSecure (cryptographie) et SandboxAQ (sécurité, simulation et optimisation quantiques). On en compte également trois européens : IntellectEU (fintech néerlandaise), Kudelski IoT (Suisse) et la QLR Foundation, association allemande à but non lucratif soutenant le développement de « solutions blockchain post-quantiques ».

Post-Quantum Cryptography Alliance : deux projets dans les cartons, quatre algos dans le viseur

La Post-Quantum Cryptography Alliance accompagnera le développement, la standardisation et l’implémentation d’algorithmes post-quantiques. Reflet de sa coloration américaine, elle s’entrevoit avant tout comme un guichet de bibliothèques et de packages logiciels qui permettront la mise en conformité avec les règles que la NSA a imposées aux propriétaires, exploitants et fournisseurs de systèmes relevant de la sécurité nationale des États-Unis.

Ces règles, édictées en septembre 2022, listent notamment deux options pour la signature de softwares et de firmwares. En l’occurrence, LMS (Leighton-Micali avec SHA-256/192) et XMSS (Xtended Merkle Signature Scheme). La partie post-quantique reste officiellement prospective en attendant la standardisation d’algorithmes. Mais la voie est déjà tracée. La NSA recommande CRYSTALS-Kyber (aussi appelé ML-KEM) pour l’encapsulation de clés et CRYSTALS-Dilithium (ML-DSA) pour les signatures numériques.

L’un et l’autre ont obtenu, en 2023, le statut de futures normes du NIST. Même chose pour Falcon (FN-DSA) et SPHINCS+ (SLH-DSA). PC Code Package en fait ses principaux axes de travail. Ce projet, placé sous l’égide de la Post-Quantum Cryptography Alliance, vise à développer des implémentations logicielles. En particulier, en C, en Rust et en assembleur optimisée AVX2. Il est question de les valider par audits externes et/ou méthodes formelles.

L’alliance a un deuxième projet pour débuter : Open Quantum Safe. Celui-ci n’est pas nouveau. Il trouve ses origines en 2014… à l’université de Waterloo. Il interviendra en amont de PC Code Package, en tant que plate-forme de prototypage. Ses deux grands axes de travail à l’heure actuelle : liboqs (bibliothèque C) et diverses intégrations au niveau de protocoles (SSH, TLS) et d’applications (OpenSSL par exemple).

À consulter en complément :

Informatique quantique ou IA, d’où viendra la menace ?
L’ANSSI révise sa position sur la cryptographie post-quantique
Cybersécurité : comment les « hackers d’Etat » utilisent les outils d’OpenAI

Lire aussi : Open Voice Network : le salut de Microsoft dans les assistants vocaux ?