Blog

Premiers standards PQC : un événement majeur pour la sécurité des données

Auteur : Arnaud DUFOURNET, Chief Marketing Officer

Ils étaient très attendus par les professionnels de la sécurité informatique. Anne Neuberger, la conseillère adjointe à la sécurité nationale des États-Unis en visite à Londres en mai dernier, avait annoncé leur publication pour juillet. C’est finalement au cœur de l’été que le NIST (National Institute of Standards and Technology) a publié la version finalisée des trois premiers standards sur les algorithmes de chiffrement post-quantique.  Cette publication marque un tournant décisif dans la sécurité des données. Alors que des chercheurs du monde entier s’efforcent à mettre au point un ordinateur quantique capable de briser nos systèmes de chiffrement actuels, l’urgence de la transition vers une nouvelle cryptographie ne fait plus aucun doute.

Une sélection commencée en 2016

C’est donc le 13 août 2024 que le NIST a officiellement publié les trois premiers standards PQC. Ils sont le résultat d’un concours international lancé en 2016 par le NIST afin de trouver une parade à la menace quantique. Après l’étude de 82 algorithmes provenant de 25 pays, ce concours a permis d’en faire émerger quatre : deux pour sécuriser les échanges de clés et deux autres pour protéger la signature électronique.

Pour rappel, la cryptographie à clés publiques est vulnérable aux attaques quantiques. Elle est principalement utilisée pour protéger les signatures numériques, le transport de clés et l’authentification d’identité. Dans la perspective d’une attaque de type HNDL*, il est crucial de sécuriser en priorité les deux premiers usages. Concernant l’authentification d’identité, une attaque ne peut être menée qu’après le Q-day, c’est-à-dire à partir du moment où les ordinateurs quantiques seront suffisamment puissants pour exécuter l’algorithme de Shor et briser les systèmes cryptographiques asymétriques.

Les quatre algorithmes retenus après trois « rounds » d’analyse, sont le fruit de la collaboration entre plusieurs institutions académiques et organisations de recherche. Parmi celles-ci, IBM Research peut se targuer d’être impliqué dans trois des quatre algorithmes sélectionnés pour la normalisation.

Des algorithmes qui changent de nom

Le 24 août 2023 dans la foulée de l’annonce du résultat du troisième round de son concours, le NIST avait publié des projets de standards pour trois des quatre algorithmes retenus : CRYSTALS-Kyber, CRYSTALS-Dilithium et SPHINCS+. Chaque algorithme hérite alors d’un nom de standard, respectivement : FIPS** 203, FIPS 204 et FIPS 205. Le NIST a laissé jusqu’au 22 novembre 2023 la possibilité pour les experts de faire des commentaires et des suggestions. Le NIST a ensuite pris quelques mois pour digérer les retours et apporter quelques précisions et clarifications. Au final, un an plus tard, il y a assez peu de différences entre les projets et les standards publiés. Le principal changement réside dans le renommage des algorithmes.

  • CRYSTALS-Kyber devient ML-KEM
  • CRYSTALS-Dilithium devient ML-DSA
  • SPHINCS+ devient SLH-DSA
CRYSTALS-KYBER devient ML-KEM

ML-KEM pour Module-Lattice-Based Key-Encapsulation Mechanism, est un mécanisme d’encapsulation de clés permettant de partager un secret via un réseau de communication public. Cet algorithme repose sur des problèmes de réseaux euclidiens structurés, en particulier la difficulté de trouver des vecteurs courts. Sélectionné par le NIST pour son niveau de sécurité et ses performances, ML-KEM présente plusieurs avantages, dont la taille relativement petite des clés de chiffrement et sa rapidité d’exécution. Trois niveaux de sécurité sont disponibles : ML-KEM 512, ML-KEM 768 et ML-KEM 1024, avec une augmentation de la taille des clés à chaque niveau.

CRYSTALS-DILITHIUM devient ML-DSA

ML-DSA pour Module-Lattice-Based Digital Signature Algorithm, est un mécanisme de signature numérique conçu pour empêcher les modifications non autorisées des données et authentifier l’identité du signataire. Comme ML-KEM, cet algorithme repose sur des problèmes de réseaux euclidiens. Sélectionné par le NIST pour son niveau de sécurité et son efficacité, ML-DSA se distingue par sa rapidité et son efficacité en termes de calcul et de taille de signature, notamment par rapport aux algorithmes PQC basés sur des fonctions de hachage. Son implémentation est également relativement simple. Trois niveaux de sécurité sont disponibles : ML-DSA-44, ML-DSA-65 et ML-DSA-87, avec une taille de clé qui reste supérieure à celle des algorithmes pré-quantiques.

SPHINCS+ devient SLH-DSA

SLH-DSA pour Stateless Hash-Based Digital Signature Algorithm, est un mécanisme de signature numérique basé sur des constructions en arbre de hachage. Proposé comme une alternative à ML-DSA, cet algorithme a été jugé suffisamment sécurisé par le NIST. Il est particulièrement recommandé pour des cas d’usage tels que la signature de logiciels, de documents ou de courriers électroniques.

Des algorithmes que nous utilisons déjà sans le savoir

De grandes entreprises américaines n’ont pas attendu la publication des standards pour implémenter la cryptographie résistante au quantique. Pressenti depuis de nombreux mois comme l’algorithme recommandé pour chiffrer les échanges de clés, ML-KEM (anciennement Kyber) a déjà été déployé par les géants de la Tech.

En septembre 2023, Signal a annoncé avoir intégré la cryptographie post-quantique pour protéger les communications, en utilisant une approche hybride combinant Kyber et Diffie-Hellman. En février 2024, Apple a suivi en annonçant la disponibilité du protocole PQ3 pour sa messagerie iMessage sur iOS 17.4 et macOS 14.4, combinant également Kyber avec de la cryptographie utilisant des courbes elliptiques. Plus récemment, en mai dernier, Meta a communiqué sur sa migration vers Kyber pour l’échange de clés en TLS. De même, Google a annoncé que la version 124 de Google Chrome utilise l’algorithme KEM Kyber768 pour les connexions TLS 1.3 et QUIC, afin de protéger le trafic Chrome TLS contre les attaques quantiques.

La protection des communications internet devient à l’évidence une priorité pour les géants du secteur. L’adoption de la PQC, bien que transparente pour les utilisateurs, est de plus en plus visible dans le trafic internet opéré par Cloudflare : déjà 17 % des requêtes HTTPS sur les trois derniers mois. La prise de conscience de la menace quantique est réelle aux États-Unis mais encore à renforcer en Europe. Pourtant les experts estiment que le Q-day pourrait survenir au cours de la prochaine décennie. La standardisation d’algorithmes prêts à être utilisés est le signal pour enclencher la migration vers cette nouvelle cryptographie. La première étape consiste à faire l’inventaire des systèmes cryptographiques qui sont en risque (voir un précédent article à ce sujet).

De son côté le NIST poursuit la sélection d’algorithmes pour amener de la diversité. Un quatrième tour est en cours pour disposer de suppléants à ML-KEM. La standardisation de FALCON (FN-DSA) doit intervenir d’ici la fin d’année mais en parallèle, un nouveau concours a vu le jour pour la signature électronique. L’objectif est de continuer à évaluer d’autres algorithmes candidats à la normalisation et qui ne sont pas basés sur les réseaux euclidiens. Toujours avec l’idée qu’en cryptographie, la diversité des problèmes garantit plus de sécurité.


Pour en savoir plus sur la communication du NIST.

Pour en savoir plus les 3 standards :


* Harvest Now, Decrypt Later : attaque consistant à capturer dès à présent des communications chiffrées pour les déchiffrer ultérieurement

** FIPS : Federal Information Processing Standards

Inscrivez-vous à notre newsletter