Le chiffrement 1 024 bits vit-il ses dernières années ?

Dans le monde de la cryptographie, il existe deux types d'algorithmes : l'algorithme symétrique, qui utilise des clés secrètes, et l'algorithme asymétrique, qui repose sur le couple clé privée, clé publique. L'algorithme asymétrique est la clé de voûte des PKI (Public Key Infrastructure) d'entreprise, pour les certificats sur Internet, la connexion sécurisée. La clé publique permet aussi de faire l'échange de clés secrètes. Ainsi, dans le cadre d'une transaction, le procédé asymétrique sera utilisé en début de processus, avant d'être remplacé ensuite par un algorithme à clé secrète.

Le chiffrement asymétrique, comme bien d'autres domaines de la sécurité, est régulièrement mis à l'épreuve. Parvenir à casser des clés de 1024 bits est un défi que plusieurs chercheurs ont d'ores et déjà entrepris de relever. Quant au 512 bits, il ne constitue plus une sécurité depuis 2005, puisque un nombre de 640 bits a été factorisé à l'aide de 30 PC en réseau, cadencés à 2,5 GHz. Il leur aura toutefois fallu 1 an de calcul.

Sans être théoriquement inviolable, une clé de 1 024 bits risque néanmoins de résister encore plusieurs années aux efforts. C'est notamment la position défendue par Ari Juels, directeur scientifique des laboratoires RSA. "Je ne crois pas que les clés 1 024 soient face à péril imminent. La recommandation consistant à se déplacer vers des clés plus longues est une démarche conservatrice mais prudente, et est appliquée depuis déjà plusieurs années. Personne n'est encore parvenu à factoriser une clé de 768 bits. Alors que la puissance de calcul augmente, les longueurs de clé nécessitent d'être ajustées".

Une équipe de chercheurs réunie à l'Ecole polytechnique fédérale de Lausanne (EPFL) est cependant parvenue à factoriser un nombre à 307 chiffres, ce qui équivaut à 1 017 bits. C'est donc un nouveau record, puisque le précédent était de 200 chiffres après 18 mois de calcul. Les travaux de l'EPFL ont néanmoins nécessité 11 mois de calcul intensif de 100 machines de type Pentium 3Ghz. Le nombre cassé n'a pas non plus été choisi aléatoirement, comme l'explique Sylvain Gautier.

"En réalité le nombre factorisé par l'équipe n'était pas un nombre ordinaire, mais un nombre choisi pour sa faiblesse. Arjen Lenstra de L'EPFL considère lui-même que cette factorisation équivaut à factoriser un nombre quelconque de 211 chiffres. Mais ça n'en reste pas moins une avancée. Dans de précédents travaux, il avait fallu 9 ans pour passer de la factorisation d'un nombre de Mersenne à 155 chiffres à celle d'un nombre quelconque de même longueur. Lenstra estime donc qu'il devrait s'écouler de 5 à 10 ans pour obtenir le même résultat et factoriser un nombre arbitraire à 307 chiffres".

L'inquiétude n'est donc a priori pas encore de rigueur dans les d'entreprises disposant d'une PKI. Ces dernières recourent en effet, en règle générale, à du chiffrement de 1 024 et 2 048 bits. Pour les retardataires employant encore des clés de 512, des migrations vers des longueurs supérieures sont en cours - ou devrait l'être. La Direction centrale de la sécurité des systèmes d'information (DCSSI) donne comme règle d'utiliser des clés des 1536-bits jusqu'en 2010. Au-delà, elle préconise du 2 048 bits. Elle va toutefois jusqu'à recommander le 2 048 avant l'année 2010.

"Une clé RSA 2 048 bits est généralement considérée comme appropriée pour une protection des données sur le long terme. Le National Institute of Standards (NIST) recommande l'utilisation du 2 048 jusqu'en 2030 et des clés RSA 3072 au-delà de cette date", précise quant à lui Ari Juels. En ce qui concerne la durée de vie du 1 024, le NIST la fixe, comme la DCSSI à l'horizon 2010.

Mais plutôt que d'attendre de voir la forteresse tomber ou de devoir sans cesse en consolider les murs en allongeant la clé, d'autres méthodes de chiffrement ne pourraient-elles être envisagées, et notamment la cryptographie quantique ?

"Le procédé consiste pour deux personnes souhaitant chiffrer un message à échanger des clés secrètes par un canal quantique. L'intérêt de la cryptographie quantique est que si une personne intercepte la clé secrète, celle-ci va être automatiquement modifiée. Le destinataire pourra dès lors détecter toute interception", définit Sylvain Gautier.

A l'heure actuelle cette méthode n'est pas industrialisée. Des solutions existent, mais le domaine demeure encore essentiellement au stade de la recherche. Le procédé comporte de plus plusieurs contraintes, comme notamment celle de la distance du canal quantique. Toujours dans le domaine quantique, l'ordinateur basé sur des bits quantiques, des qbits, présente lui aussi un intérêt en matière de cryptographie.

Son intérêt est notamment de pouvoir casser des clés asymétriques. Ainsi un ordinateur qui utiliserait 2n qbits pourrait factoriser un nombre de n bits. C'est-à-dire qu'un PC quantique de 2 048 qbits pourrait factoriser quasi instantanément un nombre de 1 024 bits. Toutefois, le modèle d'ordinateur quantique le plus avancé ne dépasse pas 16qbits. Il y a donc une marge avant qu'une clé de 1 024 ne soit menacée par ce biais.