L'avenir d'un monde doté de systèmes quantiques va-t-il aussi être plus sûr ? Cette semaine, le National Institute of Standards and Technology (NIST) des États-Unis a annoncé les algorithmes qui ont été choisis lors du troisième tour de son concours pour créer une norme de cryptographie post-quantique (PQC) basée sur des algorithmes de chiffrement capables de résister aux capacités des processeurs quantiques. Le NIST a fait une annonce avec plusieurs couches. Au cœur se trouvent deux principaux algorithmes : CRYSTALS-Kyber pour l'établissement d'une clé et CRYSTALS-Dilithium pour les signatures numériques. Les deux partagent la même approche théorique, ce qui pourrait simplifier la mise en œuvre simultanée des deux. Le NIST a également annoncé que les algorithmes de signatures numériques Falcon et SPHINCS+ seraient standardisés. Il continuera également à étudier plusieurs autres algorithmes et peut-être à les standardiser lors du quatrième tour du concours. Le NIST avait initialement promis que les résultats seraient disponibles début 2022, mais a ensuite publié une déclaration indiquant que les résultats avaient été retardés, mais pas pour des raisons techniques. Le concours a commencé en 2016 et évolue lentement. Les mathématiques sont complexes et il faut parfois des années pour commencer à comprendre suffisamment bien les algorithmes pour repérer les faiblesses, sachant que les problèmes potentiels n'apparaissent pas aussi avant des décennies. Cette appréhension montre la manière dont le NIST a procédé pour son choix.

En 2020, à la fin du deuxième tour du concours, le NIST a choisi sept algorithmes comme finalistes et en a désigné huit autres comme suppléants pour une étude plus approfondie. Depuis, des universitaires et des experts ont examiné des algorithmes, sondé des faiblesses et recherché des attaques potentielles. Le NIST a également demandé aux employés du gouvernement d'agences comme la NSA des évaluations classifiées. Le concours était motivé par le fait que certains des algorithmes les plus couramment utilisés sont également ceux qui pourraient être les plus menacés par l'émergence d'un ordinateur quantique performant. Des algorithmes comme RSA ou Diffie-Hellman reposent sur l'exponentiation répétée dans un champ ou un anneau fini, et ceux-ci sont facilement attaqués avec l'algorithme de Shor. D'autres systèmes de chiffrement courants utilisent quant à eux des courbes elliptiques qui peuvent également être menacés. Cette vaste classe d'algorithmes comprend bon nombre de normes les plus couramment utilisées pour les signatures numériques ou la négociation de clés. Par exemple, FIPS (Federal Information Processing Standard) 186-4, Digital Signature Standard (DSS) comprend trois algorithmes de signature numérique approuvés par le NIST : DSA, RSA et ECDSA... qui pourraient être cassés par un système quantique efficace. Certains des algorithmes symétriques comme AES ou SHA256 peuvent être aussi vulnérables à l'algorithme de Shor car ils utilisent une technique différente. Pourtant, d'autres algorithmes comme celui de Grover peuvent prendre en charge des attaques partielles. Le domaine de l'informatique quantique est encore jeune. Des algorithmes encore à découvrir qui peuvent fournir des types d'attaques entièrement différents.

Que sont les algorithmes CRYSTALS ?

Les deux algorithmes CRYSTALS (Cryptographic Suite for Algorithmic Lattices) qui ont remporté la couronne reposent sur la dureté de ce que l'on appelle souvent le problème d'apprentissage de modules avec erreurs (MLWE). Le défi consiste à prendre plusieurs points d'échantillonnage, dont certains pourraient être des distracteurs, et à déterminer ou « apprendre » la fonction qui les génère. Il s'agit d'une base relativement nouvelle pour les algorithmes de chiffrement, mais elle semble être solide et, surtout, suffisamment différente pour qu'aucun algorithme quantique connu ne puisse le résoudre rapidement. Les algorithmes CRYSTALS utilisent également ce que les algébristes appellent un « anneau cyclotomique puissance de deux », ce qui rend le calcul simple et rapide avec les processeurs standard. Les évaluations des algorithmes ont loué la rapidité de sa mise en œuvre.

Le NIST s'est également engagé à standardiser deux autres algorithmes connus sous le nom de Falcon et SPHINCS+ pour compléter les principaux choix. Falcon pourrait proposer des signatures numériques plus petites, ce qui peut être essentiel pour certaines applications où la taille est importante. SPHINCS+ est un algorithme sans état basé sur le hachage qui utilise une approche très différente reposant sur l'exploitation de l'un des nombreux algorithmes de hachage standard déjà disponibles. Le NIST imagine que cela pourrait être une bonne sauvegarde au cas où une large faiblesse apparaîtrait. Il ne repose pas sur l'arithmétique dans un treillis comme les autres algorithmes.

Quatre algorithmes de chiffrement restent à l'étude

Comme Steve Jobs pourrait le dire : juste une dernière chose. Quatre autres algorithmes passent au quatrième tour. Ils ne seront pas la norme principale ni même la première alternative, mais le comité veut encourager l'expérimentation et les tests, sans doute au cas où des faiblesses dans le premier choix apparaîtraient. Les quatre sont : BIKE, Classic McEliece, HQC et SIKE. Tous reposent sur des problèmes mathématiques différents et donc toute attaque contre, disons, MLWE, pourrait ne pas les affecter. Les plans pour ces quatre algorithmes varient. Dans l'annonce, le NIST suggère qu'il choisira BIKE ou HQC, deux algorithmes basés sur le problème des codes structurés, comme norme supplémentaire à la fin du quatrième tour du processus. SIKE et McEliece sont tous deux dans une position plus nébuleuse d'être suffisamment attractifs pour rester, mais pas assez attractifs pour s'engager à créer une norme complète. SIKE, par exemple, offrirait de petites clés et des textes chiffrés. Le NIST suggère qu'ils peuvent choisir de transformer l'un ou l'autre en une norme complète à la fin du quatrième tour.

Le NIST donnera plus de détails dans son prochain rapport Third Round of the NIST Post-Quantum Cryptography Standardization Process qui sera publié dans son Computer Security Resource Center. Ils prévoient également la 4e conférence de normalisation NIST PQC du 29 novembre au 1er décembre 2022. Le quatrième cycle du processus devrait être similaire aux trois premiers cycles en ce sens que le NIST sollicitera des commentaires et utilisera ensuite ces informations pour affiner les algorithmes. En parallèle, ils travailleront à l'écriture de standards plus concrets pour la mise en œuvre des algorithmes. L'un des objectifs sera de choisir les meilleurs paramètres qui contrôlent, par exemple, le nombre de tours ou la taille des touches. Il est également clair que le processus est loin d'être terminé. Dans l'annonce, le NIST a suggéré qu'il demandera de nouvelles propositions d'algorithmes pour « diversifier son portefeuille de signatures, de sorte que les schémas de signature qui ne sont pas basés sur des réseaux structurés sont du plus grand intérêt ».

Implications pratiques en matière de sécurité

La bonne nouvelle est que les équipes de sécurité auront désormais le choix entre plusieurs normes. Les principales normes CRYSTALS seront sûrement au centre des préoccupations, mais les développeurs les plus prudents avec les horizons temporels les plus profonds voudront explorer la prise en charge de certaines ou de toutes les alternatives. Si le code doit s'exécuter pendant une longue période, il est difficile de savoir quels algorithmes peuvent devenir la proie. Ceux qui défendent activement les systèmes n'ont rien d'autre à faire que d'esquisser des plans futurs. Les résultats ne ressemblent pas à la découverte d'une faille dans une base de code commune comme, par exemple, celle trouvée dans la bibliothèque Log4J. Le processus a commencé parce que les gens ont commencé à spéculer ouvertement sur ce qui pourrait arriver à la sécurité sur Internet si un ordinateur quantique doté d'une puissance importante devait apparaître. Le but du concours est de produire des alternatives au cas où une telle machine apparaîtrait comme par magie. Néanmoins, l'annonce signifie que les développeurs de bibliothèques de cryptographie peuvent commencer à proposer la nouvelle norme à l'avenir. Cela peut prendre plusieurs années avant que les développeurs aient la possibilité d'utiliser les algorithmes CRYSTALS à la place d'autres normes plus traditionnelles. Les architectes et les ingénieurs peuvent commencer à ajouter ces nouveaux algorithmes à leurs spécifications comme alternatives aux normes actuelles. Cela donnerait à leurs nouvelles conceptions plus de résilience à l'avenir.

Les professionnels de la sécurité peuvent se consoler de la lenteur du développement du matériel quantique fonctionnel. Bien qu'il y ait eu des projets de grande envergure gérés par des entreprises bien financées, peu d'annonces ont été faites concernant des machines qui affectent directement la sécurité. Google, par exemple, a fièrement diffusé la nouvelle de ce qu'ils ont appelé la « suprématie quantique », mais cela implique un autre type de calcul qui ne représente pas l'état de l'art exécutant l'algorithme de Shor. Cependant, les chercheurs qui tentent de factoriser des nombres pour attaquer RSA se concentrent souvent sur des nombres entiers avec une structure connue qui peuvent être exploités pour simplifier considérablement le processus. En conséquence, certains détracteurs qualifient les tentatives de « cascades » qui reposent sur la connaissance de la réponse avant de commencer le calcul. Ils reconnaissent qu'il s'agit d'événements utiles et d'expériences précieuses, mais ce n'est peut-être pas le genre de progrès qui menacerait la sécurité actuelle. Cela nécessiterait la capacité d'attaquer de grands nombres arbitraires sans la structure spéciale. John Mattsson, spécialiste de la sécurité chez Ericsson, suggère que les progrès dans le développement de matériel quantique ne semblaient pas suivre les promesses. « Mon expérience personnelle est que les chercheurs personnellement impliqués dans l'informatique quantique sont beaucoup plus optimistes », a déclaré Mattsson. « Il se peut, bien sûr, que les chercheurs travaillant sur l'informatique quantique fassent des estimations correctes, mais l'histoire a montré que les chercheurs sont souvent trop optimistes quant au moment où leurs recherches auront des implications commerciales ». Même si les ordinateurs quantiques sont loin d'être aussi dangereux que des loups qui hurlent à la porte, le concours offre une opportunité aux RSSI et autres professionnels de la sécurité de revoir leurs plans pour l'avenir. Le processus offre une chance de développer de nouveaux algorithmes et de nouvelles techniques. Ceux-ci peuvent actualiser les protocoles existants et fournir une sauvegarde au cas où l'une des normes existantes développerait une faiblesse qui ne dépend pas de l'informatique quantique.