De quoi parle-t-on ?

Le chiffrement des communications électroniques est à la base de notre économie moderne. Les algorithmes actuels nous mettent à l’abri d’une interception car les temps de calcul nécessaires pour casser une clé sont trop importants (car souvent basé sur la difficulté de décomposer un nombre en très grands nombres premiers. Source : ici).
Avec les algorithmes quantiques (et notamment le fameux algorithme de factorisation de Shor), le temps pour casser un code, chute drastiquement. (rappel : complexité O(log(n))).

Même si nous sommes encore aux balbutiement de l’informatique quantique, le fameux NIST (National Institute of Standard and Technology) a anticipé le problème depuis 2016. Il a lancé un appel aux chercheurs du monde entier pour trouver des algorithmes de chiffrement « incassables » avec des ordinateurs classiques ET quantiques. Ces algorithmes doivent, bien entendu, remplacer ceux existants sur n’importe quel terminal : quantique ou classique, téléphone, laptop, terminal bancaire, etc. La chronologie des travaux du NIST est la suivante :

• Avril 2016 : publication d’un rapport sur la résistance des algorithmes de crypto actuels aux ordinateurs quantiques.
• Décembre 2016 : un appel à contribution pour proposer des algorithmes crypto-résistants aux ordinateurs quantiques
• 2017-2018 : 69 réponses ont été reçues. 26 semblent satisfaisantes. La liste est consultable sur ce site.
• Janvier 2019-Janvier 2020 : une seconde étape démarre avec l’analyse en détail de ces algorithmes, notamment sous 2 angles : leur efficacité contre l’informatique quantique, et leur scalabilité (lightweight cryptography) : être capable de fonctionner sur des CPU variés  : des ordinateurs, des smartphones ou des cartes à puces.
• En décembre 2021, 7 algorithmes sont encore dans la course (sur les 26 sélectionnés au départ).

Ces ambitions sont résumées dans cet article, publié le 30 janvier sur le site du NIST.
Les algorithmes sélectionnés permettront de définir les nouvelles normes :  FIPS 186-4 (qui spécifie l’utilisation de signatures numériques).  NIST SP 800-56A et NIST SP 800-56B (les 2 spécifient l’usage des clés publiques en cryptographie).

Louons l’anticipation du NIST !

Les risques et la position de l’ANSSI

Le 14 avril 2022, l’ANSSI publie un avis scientifique et technique sur la migration vers la cryptographie post-quantique [28]. L’agence rappelle le risque désigné par « store now, decrypt later ». Dans l’incapacité de déchiffrer des informations chiffrées, les gouvernements peuvent très bien collecter des données sensibles aujourd’hui pour les déchiffrer plus tard, quand l’informatique quantique le permettra. Si cela est inutile pour les opérations bancaires du quotidien, cela peut être précieux pour des informations militaires ou des secrets d’états.
Comment se prémunir contre cette menace dans l’attente d’une validation d’un algorithme post-quantique ? (A noter que la vérification approfondie de ces algorithmes est impérative car le risque d’introduction d’une vulnérabilité volontaire dans une RFC n’est pas à exclure. En mars 2022, cet article du Monde explique comment le challenger chinois « Rainbow » s’est fait ainsi disqualifié.)

L’ANSSI écrit qu’elle n’approuvera aucun remplacement direct d’algorithme de chiffrement à court ou moyen terme. L’ANSSI n’est pas une agence de normalisation mais elle publie des recommandations et délivre des visas de sécurité.

Par contre, l’ANSSI préconise une transition « en biseau » en sécurisant les flux avec un chiffrement classique « pré-quantique » mais en chiffrant (une deuxième fois) avec un algorithme post-quantique. Cette technique d’hybridation est prévue en 3 phases et évoluera en fonction de la maturité des solutions post-quantiques jusqu’à l’abandon définitive (potentielle) du chiffrement classique le jour où le chiffrement post-quantique aura fait ses preuves.  Ce mécanisme hybride permet de se protéger contre les attaques actuelles (algo à clé publique pré-quantique reconnu) et de limiter les risques futurs de déchiffrement par des moyens de calcul quantiques.

Fig. Schéma de l’ANSSI expliquant l’approche hybride en 3 phases

Enfin, l’ANSSI introduit dans ce document la notion de cryptoagilité, indispensable pour bien implémenter cette stratégie. C’est à dire, la capacité d’un produit de pouvoir mettre à jour son algorithme de chiffrement post-quantique (en fonction des normalisations ou des progrès).

Et avant ?
Certaines normes (IEEE P1363 et X9.98 dans le domaine financier) ont déjà anticipé et ont normalisé des algorithmes cryptographiques à base de réseaux euclidiens (lattice cryptography).
Les types d’algorithmes principaux sont :

• Les réseaux euclidiens
• Les codes correcteurs d’erreur
• les polynômes multivariés

N’ayant pas de doctorat en mathématique, je suis incapable de vous expliquer les concepts. Si vous en avez le courage, rendez-vous sur 3 très bons articles en français :

• [14] Le blog de Stéphane Bortzmeyer qui consacre un article très marrant sur ce sujet
• [15] L’article Wikipedia sur les algo post-cryptographiques (moins rigolo que le [14], mais plus détaillé)
• [16] L’article dans la revue MISC « le grand défi du post-quantique« , très bien documenté. (avril 2016)
• [28] Avis Scientifique et technique de l’ANSSI sur la migration vers la cryptographie post-quantique

Page mise  jour le 08/05/2022.