Cryptographie post-quantique

Preparing for a quantum-safe future

La quasi-totalité des communications numériques sont protégées par trois cryptosystèmes : le chiffrement par clé publique, les signatures numériques et l’échange de clés.

Dans l’infrastructure à clés publiques actuelle, ces systèmes sont mis en œuvre par des algorithmes cryptographiques asymétriques RSA ou ECC. La cryptographie RSA et ECC dépendent de ce que l’on appelle l’« hypothèse de difficulté calculatoire » selon laquelle un problème de théorie des nombres (tel que la factorisation d’un nombre entier ou le problème de logarithme discret) n’a pas de solution efficace. En revanche, ces hypothèses s’appuient sur la puissance de traitement des ordinateurs classiques.

En 1994, Peter Shor a démontré qu’un ordinateur quantique suffisamment puissant et un algorithme spécifique plus tard nommé « algorithme de Shor » permettait de briser les algorithmes asymétriques reposant sur une hypothèse de difficulté calculatoire. En réalité, un ordinateur quantique doté d’un nombre de qubits et d’une profondeur de circuit suffisants serait capable de briser les algorithmes asymétriques instantanément. Une étude publiée par le groupe Quantum Computing Risk Study (Étude des risques en informatique quantique) de l’ASC X9 a d’ailleurs estimé les spécifications exactes requises à cet effet.

Algorithme Nombre de qubits logiques requis Profondeur de circuit requise
RSA-2048 4700 8 10^9
ECC NIST P-256 2330 1.3 10^112

Pour obtenir une explication détaillée sur la façon dont l’algorithme de Shor et les ordinateurs quantiques peuvent briser le chiffrement asymétrique, nous vous invitons à visionner cette vidéo.

La plupart des experts s’accordent à penser qu’un ordinateur quantique suffisamment puisant, doté du nombre de qubits et de la profondeur de circuit nécessaires pour briser les clés RSA et ECC pourrait voir le jour d’ici les 20 prochaines années.

Une vingtaine d’années, ça peut sembler long, mais il faut néanmoins se rappeler qu’il a fallu autant de temps à l’industrie PKI que nous connaissons pour arriver à ce qu’elle est aujourd’hui. D’après le Projet de cryptographie post-quantique du NIST,, "la simple substitution de nos algorithmes cryptographiques à clé publique est peu probable. Des efforts considérables seront nécessaires pour développer, standardiser et déployer de nouveaux cryptosystèmes post-quantiques."

C’est pourquoi DigiCert travaille d’ores et déjà avec plusieurs acteurs de l’industrie du post-quantique afin de créer un écosystème PKI capable de résister aux ordinateurs quantiques et d’évoluer pour répondre à toute menace future.

Vecteurs d’attaque quantique

La première étape d’une protection efficace contre de telles menaces à venir consiste à identifier les divers vecteurs d’attaque du paysage de l’informatique post-quantique.

Poignée de main TLS/SSL

Les ordinateurs quantiques constituent la pire menace pour les algorithmes cryptographiques asymétriques. Cela signifie que le cryptosystème utilisé pour signer numériquement les certificats et traiter les poignées de main SSL/TLS initiales constitue un vecteur d’attaque potentiel.

Heureusement, le NIST et l’ASC X9 affirment que les algorithmes cryptographiques symétriques (tels qu’AES) utilisés pour créer les clés de session destinées à protéger les données en transit après la poignée de main TLS/SSL initiale semblent résister aux attaques d’un ordinateur quantique. En fait, le doublement de la longueur des bits d’une clé symétrique (par ex., de AES-128 à AES-256) semblerait suffisant pour protéger contre les attaques d’ordinateurs quantiques. En effet, comme les clés symétriques reposent sur une chaîne de caractères pseudo-aléatoire, il faudrait utiliser une attaque par force brute ou exploiter certaines vulnérabilités connues pour briser le chiffrement, au lieu d’un algorithme (tel que l’algorithme de Shor, par exemple), pour briser la cryptographie asymétrique.

Le diagramme simplifié du processus de poignée de main TLS/SSL ci-dessous met en évidence les actions sensibles aux attaques d’ordinateurs quantiques et celles qui ne présentent pas de risques.

Poignée de main TLS/SSL basée sur des algorithmes cryptographiques asymétriques (RSA, ECC) et AES-256

Ce vecteur d’attaque menace la communication initiale avec les serveurs qui utilisent les certificats numériques de l’entité finale. Bien que cette menace soit importante, ce n’est pas le vecteur d’attaque le plus dangereux.

Même avec un ordinateur quantique suffisamment puissant, les ressources requises pour calculer la clé privée d’un certificat demeurent considérables. Pour cette raison, on peut présumer sans risque de se méprendre qu’aucun certificat numérique d’entité finale n’est suffisamment important pour justifier une attaque quantique. Par ailleurs, le fait de récréer une clé et de réémettre un certificat d’entité finale est relativement insignifiant.

Chaîne de confiance

Le vecteur d’attaque le plus dangereux que présente les ordinateurs quantiques est probablement la chaîne de confiance (chaîne de certificats) qu’utilisent les certificats numériques. Les algorithmes cryptographiques asymétriques RSA et ECC sont utilisés à tous les niveaux de la chaîne de confiance. Le certificat racine se signe lui-même et signe le certificat intermédiaire, tandis que le certificat intermédiaire signe les certificats d’entité finale.

Si un ordinateur quantique était en mesure de calculer la clé privée d’un certificat intermédiaire ou racine, les bases sur lesquelles l’infrastructure à clés publique a été construite s’effondreraient. En ayant accès à la clé privée, un attaquant pourrait émettre des certificats frauduleux qui seraient automatiquement approuvés dans les navigateurs. Et contrairement aux certificats d’entité finale, la substitution d’un certificat racine est tout sauf insignifiante.

Cryptosystèmes résistants aux menaces quantiques

Avant de pouvoir changer les cryptosystèmes de PKI actuels, il faut d’abord identifier les cryptosystèmes de substitution. Bien qu’il existe plusieurs cryptosystèmes résistants aux menaces quantiques, des recherches et des études plus approfondies sont nécessaires avant de pouvoir s’y fier pour protéger les informations sensibles.

Depuis la fin de l’année 2016, le projet de cryptographie post-quantique (Post-Quantum Cryptography, PQC) du NIST se pose en chef de file des recherches sur les cryptosystèmes résistants aux menaces quantiques. Jusqu’à présent, 26 algorithmes post-quantiques ont été identifiés comme algorithmes de substitution possibles. En revanche, des recherches et des essais plus poussés s’imposent encore avant de pouvoir standardiser et déployer ces cryptosystèmes.

D’après le calendrier du projet PQC du NIST,, une autre série d’éliminations aura lieu entre 2020 et 2021 et un projet de normes sera disponible entre 2022 et 2024.

Se préparer à un avenir post-quantique

La transition vers ces algorithmes de substitution doit avoir lieu bien avant la conception d’ordinateurs quantiques de grande puissance afin que les informations pouvant se trouver par la suite compromises par des cryptoanalyses quantiques ne soient plus sensibles lorsque ce danger se présentera.

NIST PQC project

En raison du temps nécessaire au développement, à la normalisation et au déploiement de techniques cryptographiques post-quantiques, DigiCert a d’ores et déjà commencé à étudier la faisabilité d’intégrer des algorithmes post-quantiques à des certificats hybrides reposant sur ce projet de normalisation de l’IETF.

Dans les semaines à venir, nous vous communiquerons des informations supplémentaires sur nos travaux en cryptologie post-quantique et le développement de certificats hybrides, ainsi que des informations sur les sujets suivants :

  • Mesures à prendre immédiatement pour vous préparer à l’avenir post-quantique
  • Informations sur les certificats hybrides et leur capacité à protéger les systèmes actuels
  • Boîte à outils PQC et guide de configuration