L’ANSSI accélère sur la cryptographie post-quantique

Il y a maintenant deux ans que l’ANSSI a publié son avis sur la migration vers la cryptographie post-quantique. L’Agence vient de le mettre à jour. Elle souhaite aussi proposer des visas de sécurité avec la prise en compte du post-quantique.

Il faut dire que c’est un domaine qui bouge rapidement ces derniers temps. Les machines quantiques sont capables de gérer toujours plus de qubits (des bits quantiques), sans être pour autant une réelle menace à l’heure actuelle pour les systèmes de chiffrement. Nous avons pour rappel un dossier en cours sur l’informatique quantique.

• Informatique quantique, qubits : avez-vous les bases ?
• Informatique quantique, algorithme de Grover : entre mythe et espoir

Le niveau d’alerte n’a pas bougé… pour le moment

En guise d’introduction, l’Agence nationale de la sécurité des systèmes d'information explique que ce document « doit être lu comme un addendum à la publication de 2022 ». Elle reconnait dès le début de son avis que, « bien que la menace quantique n'ait pas connu d'avancée décisive depuis la publication de 2022, la cryptographie post-quantique […] devient de plus en plus une réalité ».

La question n’est en effet pas de savoir si une machine quantique suffisamment puissante arrivera un jour, mais quand. Elles sont pour le moment limitées à quelques dizaines de qubits en général, pas de quoi mettre à genoux les supercalculateurs et les systèmes de chiffrement. Il faut néanmoins se préparer et c’est le but de la cryptographie post-quantique : avoir dès maintenant des algorithmes capables de résister aux machines quantiques.

• • Faut-il avoir peur de l’apocalypse quantique ?

D’ailleurs, l'ANSSI « encourage toutes les industries à inclure la menace quantique dans leur analyse de risque et à envisager d'inclure des mesures de protection quantique dans les produits cryptographiques concernés ». Cela concerne en particulier « les produits visant une protection de la confidentialité au-delà de 2030 ou les produits qui sont susceptibles d'être encore utilisés après 2030 », sans mise à jour.

L’hybridation du pré et post quantique

Premier élément mis en avant : l’hybridation. Cette technique consiste « à combiner des algorithmes asymétriques post-quantiques avec une cryptographie asymétrique pré-quantique bien connue et bien étudiée ». Et l’ANSSI insiste lourdement sur la nécessité de mélanger les deux et ne pas se baser uniquement sur des algorithmes post-quantiques :

« En effet, même si les algorithmes post-quantiques ont fait l'objet d'une grande attention, ils ne sont
pas encore suffisamment matures pour garantir à eux seuls la sécurité. Par exemple, plusieurs algorithmes
post-quantiques ont subi des attaques classiques au cours des dernières années ».

On mélange donc des algorithmes classiques, largement éprouvés depuis des dizaines d’années mais « cassables » par des machines quantiques suffisamment puissantes, à des algorithmes capables de résister à des machines quantiques, mais avec peu de recul sur leur robustesse. Mathématiciens et théoriciens ne s’y sont pas encore cassés les dents assez longtemps pour les considérer comme sûrs.

• • Le chiffrement hybride classique et post quantique, comment ça marche

Cryptographie symétrique

Il est communément admis que la sécurité des algorithmes asymétriques partira en fumée avec l’arrivée des machines quantiques : « on considère que la sécurité est annulée », expliquait récemment Éric Brier (vice-président et CTO Cyber Defence Solutions chez Thales).

Sur les algorithmes symétriques, il est coutume de dire qu’il suffit de doubler la taille de la clé pour revenir à un niveau de sécurité équivalent. L’ANSSI joue tout de même la prudence : « bien qu'il n'y ait aucune preuve concrète que les mécanismes cryptographiques symétriques soient menacés de manière significative par les ordinateurs quantiques, on peut s'attendre à une accélération de la recherche exhaustive avec l'algorithme de Grover et d'autres algorithmes avancés basés sur Grover ».

L'ANSSI encourage ainsi « à dimensionner les paramètres des primitives symétriques de manière à assurer une sécurité post-quantique conjecturée ; en pratique, au moins le même niveau de sécurité que l'AES-256 pour les algorithmes de chiffrement par bloc et au moins le même niveau de sécurité que SHA2-384 pour les fonctions de hachage ». L’autorité reconnait que son positionnement est « légèrement plus conservateur » que ceux du NIST et du BSI.

Pas de liste fermée d’algorithmes post-quantiques

Concernant les algorithmes en général, l’ANSSI ne souhaite pas donner de liste fermée « afin de ne pas proscrire des algorithmes innovants qui pourraient être bien adaptés à certains cas d'utilisation particuliers » C’est « encore plus pertinent pour la cryptographie post-quantique qui est en constante évolution », ajoute-t-elle.

L’Agence publie néanmoins une liste non exhaustive, principalement destinée « aux non-experts qui cherchent des orientations ». On y retrouve des mécanismes d'encapsulation de clés asymétriques post quantiques (KEM) et des algorithmes de signatures.

Quatre d’entre eux sont ceux déjà sélectionnés par le NIST en juillet 2022 (trois mois après la mise en ligne du premier avis de l’ANSSI) : CRYSTALS-Kyber (ou ML-KEM), CRYSTALS-Dilithium, Falcon (ou FN-DSA) et SPHINCS+ (ou SLH-DSA).

• • Cryptographie post-quantique : les enjeux autour des quatre algorithmes sélectionnés par le NIST

Deux autres sont mis en avant dans le second avis. FrodoKEM, qui « est considéré comme une variante plus conservatrice de CRYSTALS-Kyber ». Sans entrer dans les détails, l’ANSSI explique que « sa sécurité est fondée sur le problème mathématique "Learning With Errors" (et non "Module Learning With Errors") ». L’algorithme FrodoKEM est par contre « plus lourd en ce qui concerne les tailles de clés et plus lent » que CRYSTALS-Kyber (oui, comme dans Star Wars).

Le paragraphe suivant est réservé aux férus de mathématiques, les autres, passez vite au suivant : « La propriété non structurée du réseau euclidien sous-jacent le rend plus sûr en théorie, car les attaques pourraient potentiellement tirer parti de la structure du réseau euclidien de CRYSTALS-Kyber et pourraient être déjouées par l'absence de structure dans le réseau utilisé par FrodoKEM ».

Enfin, nous avons le duo XMSS/LMS : « ces algorithmes de signature étaient initialement candidats à la campagne de normalisation post-quantique du NIST, mais en 2018, ils ont été placés dans un processus de normalisation distinct ». L’ANSSI les inclus dans sa liste.

Encore une fois, l’Agence nationale de la sécurité des systèmes d'information ne ferme pas la porte à d’autres solutions, bien au contraire. Elle explique que de bons candidats peuvent se trouver dans les algorithmes « encore en lice pour la campagne de normalisation du NIST ». Dans tous les cas, l’Agence recommande « toujours d'utiliser des algorithmes qui sont bien étudiés et analysés dans un grand nombre de publications de recherche », que ce soit en pré ou post quantique.

Il faut également suivre les évolutions et les alertes des algorithmes qu’on utilise, et se mettre à jour ou changer de crémerie lorsque des alertes sont données. Synology en a récemment fait les frais avec un générateur de nombres pseudo-aléatoires.

L’ANSSI accélère sur les visas de sécurité en phase 2

Dans l’avis de 2022, il était expliqué que la feuille route pour la délivrance des visas de sécurité comportait trois phases. Avec la première, les visas de sécurité de l’ANSSI n’assurent qu’une sécurité pré-quantique.

La deuxième devait débuter aux alentours de 2025, mais l’agence vise désormais 2024-2025. Durant cette seconde phase, l’ANSSI pourra « délivrer des visas de sécurité assurant une sécurité à long terme pré-quantique et éventuellement post-quantique (toujours avec hybridation obligatoire) ». Ainsi, « en plus de la reconnaissance classique de l'assurance de l'état de l'art, le certificat délivré par l'ANSSI pourra désormais mentionner la présence d'une protection post-quantique à l'état de l'art ».

La troisième phase permettra à l’ANSSI délivrer « des visas de sécurité assurant une sécurité à long terme pré-quantique et post-quantique avec hybridation facultative ». C’est un travail au long cours et « les spécificités de cette phase seront adaptées au cours de la prochaine décennie ».

L’Agence ne fait pas de pari sur l’avenir : « suivant le contexte, l’ANSSI pourrait continuer ou non de délivrer des visas de sécurité pour les produits ne revendiquant qu’une assurance de sécurité pré-quantique ».