Cryptographie post-quantique : évaluez votre crypto et intégrez des algorithmes post quantiques
L'avènement de l'informatique quantique constitue une menace importante pour la sécurité de nos activités fortement numérisées.
Les ordinateurs quantiques ont le potentiel de casser certains chiffrements classiques, tels que RSA, ECC (Elliptic Curve Cryptography), Diffie-Hellman, DSA (Digital Signature Algorithm) et ECDSA (Elliptic Curve Digital Signature Algorithm), compromettant ainsi la confidentialité et l'intégrité des données sensibles. Pour traiter les risques afférents de déchiffrement, d’échange des clés ou de falsification des signatures numériques, la communauté cryptographique a développé des solutions de cryptographie résistante aux ordinateurs quantiques aussi appelée cryptographie post-quantique (PQC).
Le National Institute of Standards and Technology (NIST) a lancé le processus de recherche PQC en 2016 avec la participation de nombreux laboratoires, universités et entreprises comme IBM. Après compétitions et sélections, trois algorithmes viennent d’être officialisés et publiés par le NIST comme faisant partie des trois premières normes mondiales de cryptographie PQC : ML-KEM (initialement CRYSTALS-Kyber) pour l'encapsulation de clés (Key Encapsulation Mechanism, KEM), ML-DSA (initialement CRYSTALS-Dilithium) comme schéma de génération de clés de signature numérique et SLH-DSA (initialement SPHINCS) pour construire un schéma de signature hiérarchique basé sur l’identité.
Les organisations, et en particulier les Entités Essentielles et Importantes au sens de NIS2, commencent dès maintenant à déployer ces standards normalisés. Après une un cadrage du projet, qui peut être long et complexe en cas d'utilisation importante du chiffrement dans leurs systèmes d’information, une analyse des risques permet d’identifier les actifs numériques, essentiels et supports, les plus critiques et protégés par une cryptographie non résistante, afin de prioriser les actions de déploiement.
L’étape suivante essentielle vise à dresser l’inventaire des technologies cryptographiques en usage dans leurs systèmes et leurs applications, quels que soient les langages de programmation (Python, série C, série Java, Cobol ou autres) sur tous les types de systèmes (Unix, Windows, zOS, Power) et pour tous les usages (signature, hachage, chiffrement, authentification, aléas…). Cette identification se fait par relecture des programmes lorsque le code source est lisible pour identifier les suites cryptographiques utilisées, et par l’analyse des flux réseau chiffrés, voire des chiffrements en mémoire pour les systèmes le permettant.
Alors, les organisations lancent des projets de remplacement des anciens algorithmes par des nouveaux algorithmes PQC résistants, pour assurer la sécurité de l’avenir. Par ailleurs, la distribution des clés cryptographiques est aussi un vaste sujet d’étude puis de projets, afin de profiter des propriétés quantiques pour une distribution sûre et pérenne.