La cryptologie post quantique

La cryptologie post quantique est un ensemble de techniques de cryptologie bien plus puissantes que les techniques actuelles basées sur l’informatique classique. A terme ces techniques pourraient décrypter tous les messages actuels ce qui mets en risque les échanges.

La cryptologie post quantique définitions

Le terme cryptologie post quantique est une abréviation pour “Post-Quantum Cryptography”.

Son objectif principal est de remplacer les équipements ou logiciels des systèmes cryptographiques actuels pour protéger vos données ou informations contre une attaque quantique éventuelle.

Les algorithmes PQC reposent sur des équations mathématiques (telles que la cryptographie basée sur un réseau ou multivariée) considérées comme trop difficiles à résoudre pour les ordinateurs quantiques.

Elle protège les données contre les tentatives de déchiffrement effectuées via des ordinateurs classiques et quantiques.

La PQC entend sécuriser les données tant face aux futurs ordinateurs quantiques qu’aux protocoles et systèmes réseau actuels.

• Elle repose sur des équations mathématiques très complexes, exploitant les avantages des propriétés quantiques pour créer des équations si difficiles à résoudre que même les ordinateurs quantiques ne peuvent “sauter” des étapes pour aboutir directement à la solution correcte.
• Sa structure de base étant la même que celle du chiffrement classique, la PQC peut être déployée à l’aide de méthodes similaires et elle peut protéger les systèmes actuels.
• La transition post-quantique concerne en premier lieu la cryptographie asymétrique, notamment pour les usages en confidentialité et échanges de clé pour se prémunir contre des attaques rétroactives. Cela inclut également les signatures numériques.

Ce sont des méthodes pour se protéger maintenant des futures systèmes quantiques tout en utilisant des technologies accessibles.

Définir des normes de cryptage

L’enjeu de la normalisation dans le domaine de la cryptographie post-quantique (PQC) est multifacette et crucial pour anticiper et contrer la menace posée par les futurs ordinateurs quantiques capables de briser les algorithmes cryptographiques actuels.

1. Garantir la sécurité future des communications et des données sensibles : Les algorithmes de chiffrement actuels, comme RSA et ECC, reposent sur des problèmes mathématiques difficiles à résoudre pour les ordinateurs classiques, mais qui deviendront vulnérables face aux ordinateurs quantiques dotés d’algorithmes comme celui de Shor. La normalisation vise à sélectionner et valider de nouveaux algorithmes PQC basés sur des problèmes mathématiques réputés insolubles, même pour les ordinateurs quantiques. Ces normes sont essentielles pour protéger l’ensemble des communications numériques sécurisées, des transactions bancaires aux échanges gouvernementaux.
2. Lutter contre la menace “récolter maintenant, déchiffrer plus tard” (Harvest Now, Decrypt Later – HNDL) : Des acteurs malveillants stockent déjà des données chiffrées aujourd’hui, dans l’espoir de pouvoir les déchiffrer plus tard lorsque des ordinateurs quantiques puissants seront disponibles. La normalisation de la PQC fournit les outils nécessaires pour commencer à protéger les données dès maintenant contre cette menace future.
3. Faciliter une transition coordonnée et harmonisée : Le passage à la PQC est un processus complexe qui prendra plusieurs années et nécessite la mise à jour non seulement des algorithmes, mais aussi des protocoles et des appareils. Une approche harmonisée et coordonnée, encouragée notamment par la Commission européenne pour les États membres de l’UE, est nécessaire pour assurer l’interopérabilité entre les pays, les secteurs et les systèmes. La normalisation, comme celle menée par le NIST, fournit un ensemble commun d’algorithmes sur lesquels la communauté peut s’appuyer.
4. Guider les organisations dans leur préparation et leur migration : De nombreuses organisations, y compris les bénéficiaires de l’ANSSI, manquent de compréhension des enjeux, de moyens et de planification pour la transition. La normalisation apporte des recommandations claires et un cadre technique pour l’élaboration de feuilles de route de préparation, l’inventaire des actifs cryptographiques, l’identification des cas d’usage prioritaires et la migration.
5. Stimuler l’émergence et le déploiement de solutions PQC : L’absence d’offre de services et de solutions d’accompagnement à la transition est un frein majeur. En définissant des standards validés, les organismes de normalisation soutiennent l’émergence de produits et solutions permettant de faciliter la transition. Cela encourage les fournisseurs à développer des offres et les acheteurs (organisations) à considérer le sujet comme d’actualité.
6. Fournir une base pour d’éventuelles obligations réglementaires : L’absence d’obligation réglementaire est parfois le seul levier efficace pour faire avancer les entités régulées. La normalisation, en rendant la menace concrète et en définissant les contre-mesures, peut servir de fondement à de futures réglementations qui prioriseront la prise en compte de la menace quantique.
7. Aborder les défis techniques de l’implémentation : Les nouveaux algorithmes PQC ont des spécificités, notamment en termes de performances et de résistance aux attaques (comme les attaques par canaux auxiliaires ou par injection de fautes), particulièrement pour les systèmes embarqués ou contraints. Le processus de normalisation et les travaux associés (comme ceux d’IDEMIA Secure Transactions) sont essentiels pour développer les méthodes d’implémentation sécurisées et optimisées nécessaires pour des applications concrètes.
8. Permettre l’adoption d’approches transitoires comme l’hybride et la crypto-agilité : Compte tenu du temps nécessaire pour évaluer pleinement la robustesse des nouveaux algorithmes (10 à 20 ans), la normalisation recommande souvent des approches hybrides (combinant algorithmes classiques et PQC). De plus, elle souligne la nécessité de la crypto-agilité, la capacité de mettre à jour les solutions cryptographiques déployées à distance, pour s’adapter aux évolutions futures des standards et aux découvertes de vulnérabilités.

Quelle est la stratégie de la France

La France, notamment par l’intermédiaire de l’ANSSI, et l’Union Européenne (UE), préparent activement la transition vers la cryptographie post-quantique (PQC) en s’appuyant sur plusieurs axes stratégiques.

Au niveau de l’Union Européenne :

La Commission Européenne a publié une recommandation le 11 avril 2024 pour encourager les États membres à élaborer et mettre en œuvre une approche harmonisée dans le cadre de la transition vers la cryptographie post-quantique.

L’objectif principal est de garantir la sécurité future des infrastructures et services numériques de l’UE face aux progrès de l’informatique quantique qui menacent les algorithmes cryptographiques actuels.

La PQC est perçue comme une solution compatible avec les infrastructures existantes, permettant un déploiement relativement rapide.

Un point crucial de cette approche harmonisée est de favoriser l’interopérabilité entre les pays membres, assurant le fonctionnement fluide des systèmes et services au-delà des frontières nationales.

Au niveau de la France (via l’ANSSI et ses acteurs) :

L’ANSSI mène un travail de long terme pour accompagner les acteurs publics et économiques dans la préparation à la menace quantique et faciliter l’émergence de solutions technologiques innovantes.

L’ANSSI a mené une enquête (juillet-septembre 2023) auprès de ses bénéficiaires (entités soumises à exigences réglementaires de cybersécurité comme les OIV) pour évaluer leur état de préparation et les freins à la transition. Cette enquête a révélé qu’une majorité des bénéficiaires est potentiellement à risque vis-à-vis des attaques rétroactives (HNDL – “récolter maintenant, déchiffrer plus tard”), notamment en raison de l’usage de VPN ou de certificats avec une longue durée de vie (>10 ans).

Les travaux d’analyse de risque quantique, la planification, le budget, et l’identification des cas d’usage prioritaires sont largement absents. Aucun plan de transition post-quantique n’existe pour la quasi-totalité des enquêtés.

Des chercheurs français (ex: Inria, ENS Lyon) participent activement à la compétition de normalisation du NIST en proposant des algorithmes pour le chiffrement et la signature basés sur différentes approches mathématiques (réseaux euclidiens, codes correcteurs, systèmes multivariés, fonctions de hachage).

Des acteurs industriels basés en France et en Europe, comme IDEMIA Secure Transactions, sont également impliqués dans la préparation. Ils contribuent aux efforts de normalisation (NIST, ETSI, GSMA, GlobalPlatform, FIDO) et mènent des recherches et développements pour l’implémentation concrète des algorithmes PQC, notamment pour les systèmes embarqués aux contraintes fortes (performances, résistance aux attaques par canaux auxiliaires/injection de fautes).

IDEMIA Secure Transactions réalise des preuves de concepts pour protéger les données contre le HNDL et préparer la migration, impliquant l’intégration de PQC dans des cartes à puce, SIMs 5G, et appareils IoT. Ils dirigent également le consortium Hyperform, financé par France 2030 et l’UE, axé sur la protection de bout en bout des données dans des écosystèmes complexes en utilisant la crypto-agilité. Ils ont des partenariats de recherche en Europe avec l’INRIA et le CEA.

La cryptologie post quantique est au cœur des risques cyber bien que moins médiatisée que d’autres sujets. L’arrivée proche et massive d’ordinateurs quantiques met en risque toute la sécurité des échanges et des protocoles.

Sources :

Cryptographie post quantique définitions

Recommandations post quantique de l’Europe

Qu’est ce que la cryptologie post quantique