Faut-il avoir peur de l’apocalypse quantique ?

Faut-il avoir peur de l’apocalypse quantique ?

La vraie question est plutôt : êtes-vous prêt ?

Avatar de l'auteur
Sébastien Gavois

Publié dans

Hardware

12/10/2023
27

Faut-il avoir peur de l’apocalypse quantique ?

Lors de la conférence d’ouverture des Assises de la cybersécurité 2023, Thales était présent pour parler intelligence artificielle (notamment les grands modèles de langage) et quantique. Sur ce dernier point, le thème était : « l’apocalypse quantique, ou pas ? ». En clair, verra-t-on (et quand) des attaques réelles ? Pas d’annonce fracassante sur le sujet, mais des rappels utiles et une mise au point. 

Avant de se lancer dans l’analyse de la situation, Éric Brier (vice-président et CTO Cyber Defence Solutions chez Thales) rappelle quelques points importants sur les implications – pour le moment théoriques – des calculateurs quantiques.

Les promesses

Le chiffrement symétrique (type AES) « se retrouve amputé de la moitié de la force des clés ». De l’AES sur 256 bits se retrouve ainsi au niveau de sécurité de l’AES sur 128 bits seulement. Corollaire, il suffit de doubler la taille des clés pour récupérer le même niveau de protection même avec des machines quantiques. Sur du chiffrement asymétrique (type RSA), « le résultat est encore bien pire et on considère que la sécurité est annulée ».

Enfin, troisième grande famille, souvent laissée de côté : les fonctions de hachage. Elles servent pour rappel à vérifier l'intégrité des données. « Une attaque quantique reviendrait à oublier de vérifier un tiers des bits des hachés », loin d’être négligeable. Maintenant que les bases sont posées, passons à l’ordinateur quantique en lui-même… que l’on ne devrait pas vraiment appeler ordinateur, mais plutôt calculateur car il n’est pas question de remplacer son PC par un PC quantique. 

Quantique ou pas, les lois physiques s’appliquent

Dans tous les cas, « l'ordinateur quantique n'est pas tout-puissant », rappelle à très juste titre le CTO de Thales : « Il y a une certaine gamme de problèmes mathématiques qu’il résout parfaitement bien, et d'autres sur lesquels il n’est pas spécialement efficace ».

Éric Brier explique que, bien trop souvent, « on oublie que c'est finalement un objet qui répond à des lois physiques et les lois physiques, ça se calcule. On peut très bien le simuler sur un ordinateur classique […] ». Il estime qu’on peut actuellement manipuler « une vingtaine de qubits, peut-être un peu plus sans trop de soucis ». Pas de quoi bouleverser la donne, mais de se préparer au mieux et d’anticiper.

La grande question (et 42 n’est pas la réponse) est de savoir quand un calculateur quantique suffisamment puissant pour rebattre les cartes arrivera.

Les annonces des constructeurs n’aident pas 

Pour répondre à cette question, le plus simple et logique serait de regarder ce qu’il se passe du côté des constructeurs. Ils sont entrés depuis un moment déjà dans une course à l’échalote quantique et à celui qui aura le plus de qubits.

En fond, la question de la suprématie, mais qui n’est finalement pas si fondamentale que cela. L’ordinateur quantique est déjà supérieur aux ordinateurs classiques, par exemple avec D-Wave qui utilise du « recuit simulé quantique » et qui donne de bons résultats sur l’optimisation de fonction. 

Le principal problème, c'est que les annonces des fabricants de calculateurs quantiques ne « nous aident pas tellement », indique Éric Brier. Il donne plusieurs raisons qui tournent autour des qubits efficaces, des taux d’erreurs, de la profondeur, du temps de calcul… 

Un exemple est mis en avant avec la machine IBM disposant de 433 qubits. Avec 433 qubits, on pourrait de prime abord se dire que « ça commence à faire beaucoup pour de l'AES sur 128 bits : on a quatre fois plus, on est tout bon ? » Eh bien non, car l’annonce ne parle pas des qubits logiques, c’est-à-dire ceux que l’on peut utiliser dans la « vraie vie ».

Quantique Eric Brier Thales Assises Monaco

Les qubits annoncés par les constructeurs sont « entachés d'erreur ». Et la différence est importante : « Parfois, on est obligé d'utiliser 100 qubits physiques pour arriver à un seul qubit logique. Là, ça nous ramènerait à 4, on est loin du compte ». Multiplier les qubits physiques pour un même qubit logique permet de réduire les risques d’erreur, mais limite les possibilités de calculs.

Dans cet exemple, si une petite proportion de la centaine de qubits physiques produisent des erreurs, la centaine de qubits donne un résultat statistiquement fiable. Bien évidemment, suivant les technologies et les machines, le nombre de 100 peut varier, à la hausse ou à la baisse.

Le raisonnement est le même pour la machine à 10 000 qubits dans un horizon de 10 ans : on pourrait passer de 100 000 qubits réels à 1 000 logiques. Forcément, on voit mal un fabricant présenter une machine de 4 qubits quand il peut en mettre plus de 400 en avant dans sa communication. 

Profondeur et temps de calcul souvent passés sous silence

Éric Brier revient de nouveau sur un point souvent passé sous silence : « Un autre aspect dont on ne parle pas assez, c'est la profondeur et le temps de calcul. Puisque les erreurs se propagent, il faut prendre soin d'avoir une forme de stabilité très importante. Pour rappel, coder un simple algorithme AES avec un ordinateur quantique, c’est traverser des dizaines de milliers de portes logiques quantiques »… avec autant de risques de voir le système quantique s’effondrer avant d’arriver au bout de son calcul. 

Les fabricants ne précisent pas combien de portes peuvent être passés par leur calculateur quantique. Même une machine avec 100 000 qubits logiques (et donc utilisables) ne servira pas à grand-chose si on ne peut passer que quelques (dizaines/centaines de) portes. La profondeur et le temps disponible (même sans passer des portes, un système quantique a une durée de vie limitée) pour réaliser les opérations sont deux informations aussi au moins importantes que le nombre de qubits. 

Le mot du jour est « humilité » 

Quant à se lancer dans une prospective sur l’avenir proche du quantique, c’est mission impossible : « Je pense que le mot humilité est le bon, et c'est un domaine  […] où il faut juste savoir se dire : on ne sait pas. On ne sait pas quand ça va arriver et on ne sait pas s'il n'y aura pas une nouvelle méthode pour coder les qubits ». La photonique permet d’utiliser des qubits à température ambiante, quand les autres techniques nécessitent de descendre très bas dans les températures, parfois à se rapprocher du zéro absolu. 

Ce sont les techniques actuelles, mais de nouveaux qubits pourraient voir le jour. Thales cite en exemple les lampes utilisées pendant un temps puis remplacées très avantageusement par les transistors. La révolution « qubique »  pourrait arriver… ou pas : « on n’en sait rien ».

Eric Brier cite trois éléments à prendre en compte quand on parle de quantique. Comme nous l’avons déjà expliqué à de nombreuses reprises, il est possible d’enregistrer des échanges chiffrés dans le but de les décrypter plus tard, dès qu’une machine quantique sera disponible. Des services de renseignements le font déjà. 

Deuxième point, « la durée de vie des certificats dans les infrastructures. On a parfois des cas où ça dure 20 ans, et 20 ans ça paraît loin. Ça peut donner quand même beaucoup de chances aux développeurs de calculateurs quantiques de faire des percées ». Les différentes personnes avec qui nous en parlons s’attendent généralement à voir arriver des avancées importantes dans les 5 à 10 prochaines années, sans certitude évidemment. 

La cryptographie hybride

Dernier point. Le temps et la possibilité de mettre à jour des systèmes. « Je pense particulièrement aux systèmes embarqués qui sont déployés » : « On a parfois des dizaines, voire des centaines, de millions d'appareils qui sont déployés sur le terrain, et très difficiles à joindre. On peut parfois mettre à jour leur logiciel [et/ou] les clés à distance », mais pas toujours. 

Il faut donc prendre en compte dès maintenant le risque quantique, enfin plus précisément, il aurait fallu s’en occuper depuis des années. La cryptographie hybride est une solution mise en avant par l’intervenant de Thales : « c’est un peu comme avoir deux moteurs. Un moteur thermique et un moteur électrique ». Le but est de combiner la cryptographie classique – « avec laquelle on vit parfaitement bien » – et la cryptographique quantique plus récente et donc moins ancrée dans les mœurs et sur laquelle on peut encore se poser des questions de sécurité. Elle a par contre l’avantage de protéger du grand méchant quantique.

« Toute une cyber à réinventer »

Une solution « c'est d’utiliser les deux » avec un message qui « est chiffré en utilisant chacune des deux méthodes », classique et quantique. Pour la signature d’un fichier ou d’un certificat, « on va poser deux signatures, à nouveau avec chacune des méthodes ». Une manière de mélanger le meilleur des deux mondes : jouer la sécurité avec des protocoles classiques éprouvés depuis des dizaines d’années et se préparer à l’avenir.

Dernier point, à prendre en considération : la sécurisation des communications quantiques, « c'est-à-dire l'échange d'information qui utilisent le principe de superposition des états quantiques ». En effet, « il nous faudra oublier, peut-être réinventer, des notions telles que les sondes réseau et les agents embarqués, puisque ce sont des agents qu'on ne pourra plus utiliser, car ils détruisent cette superposition quantique. Il y aura donc toute une cyber à réinventer ».

Comme l’explique le CEA, l’état de superposition est très fragile : « Toute interaction, aussi minime soit-elle, avec l’extérieur (que ce soit par le biais d’interactions environnementales ou de mesures effectuées sur le système) a pour effet de détruire la superposition quantique : c’est la décohérence ». Or, les sondes réseau et les agents embarqués effectuent justement des mesures. 

27

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les promesses

Quantique ou pas, les lois physiques s’appliquent

Les annonces des constructeurs n’aident pas 

Profondeur et temps de calcul souvent passés sous silence

Le mot du jour est « humilité » 

La cryptographie hybride

« Toute une cyber à réinventer »

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (27)


fdorin Abonné
Le 12/10/2023 à 11h 50

Une solution « c’est d’utiliser les deux » avec un message qui « est chiffré en utilisant chacune des deux méthodes », classique et quantique.




Je ne suis pas sur de comprendre :




  • est-ce que le message est chiffré 2x, une fois via de la cryptographie classique, et une autre fois via de la cryptographie quantique. On disposerait alors de 2 messages chiffrés différents

  • ou est-ce que le message est chiffré d’abord via de la cryptographie classique, puis le message chiffré est à nouveau chiffré via de la cryptographie quantique ? (et donc, au final, un seul message chiffré)



Les deux sont possibles, mais ne répondent pas au même besoin :




  • le premier, permet simplement d’amener la transition au moment où (si ?) on change de type de cryptographie. Mais du coup, cela affaiblie le chiffrement du message, dans la mesure où un même message aura 2 “variantes” chiffrées, notamment si une faille est détectée dans un des algorithmes de chiffrements (autant les algo classiques sont éprouvés, autant ce n’est pas le cas des algo quantiques)

  • le second permet une double sécurisation, mais ne permet pas vraiment d’anticiper le changement de type de cryptographie.



Du coup, j’ai l’impression que c’est le point 1) qui est retenu à la lecture de l’article, mais ce n’est pas forcément très clair…


refuznik Abonné
Le 12/10/2023 à 12h 24

C’est marrant qu’il cite IBM, je l’aurais plus vu parler des promesses de Meta avec son ordi. quantique :fou3:



C’est ce que comprends moi aussi c’est bien le point 1 que tu dis.


Mihashi Abonné
Le 12/10/2023 à 12h 38

refuznik

C’est marrant qu’il cite IBM, je l’aurais plus vu parler des promesses de Meta avec son ordi. quantique :fou3:



C’est ce que comprends moi aussi c’est bien le point 1 que tu dis.


De ce que je comprends c’est la seconde solution.
La première n’a vraiment aucun intérêt.





  • le second permet une double sécurisation, mais ne permet pas vraiment d’anticiper le changement de type de cryptographie.




Bah si, il permet de continuer à avoir des messages sécurisé contre un ordinateur quantique mais avec la sécurité éprouvé de la cryptographie « classique » (qui ne va pas disparaître au moment où l’ordinateur quantique va naître…) contre un ordinateur « classique ».


fdorin Abonné
Le 12/10/2023 à 13h 44

refuznik

C’est marrant qu’il cite IBM, je l’aurais plus vu parler des promesses de Meta avec son ordi. quantique :fou3:



C’est ce que comprends moi aussi c’est bien le point 1 que tu dis.



Mihashi a dit:


De ce que je comprends c’est la seconde solution. La première n’a vraiment aucun intérêt.




Oh que si, la première a un intérêt : préparer une transition. Il faut garder à l’esprit que l’utilisation d’un algorithme de cryptographie nécessite que cette algo soit connue de l’expéditeur et du destinataire.



Le jour où l’expéditeur change de techno, le destinataire doit lors faire de même. C’est une coordination très compliquée à avoir (si c’était si simple, cela ferait belle lurette que l’IPv4 aurait été abandonnée au profit de l’IPv6).



Cela permet aussi, dans l’IoT (au sens large, j’y inclus les smartphones) de continuer de fonctionner lorsque les serveurs auront migrés.




Cqoicebordel a dit:



Par contre, ce qui est décrit comme utilisant les deux algos en parallèle (et donc proche de l’option 1), c’est la signature, qui ne change pas le message, mais qui le certifie. Si une des technos est cassée (→on peut créer de faux certificats pour certifier des messages), on aura toujours l’autre algo pour double-vérifier.




Ce n’est pas ce que j’ai compris. Ce n’est pas pour pallier le cassage d’un des algo, mais pour préparer une transition entre ceux qui supporteront la cryptographie quantique et les autres.



Comme quoi la question mérite d’être posée, tant les avis divergent :)


Mihashi Abonné
Le 12/10/2023 à 14h 00

fdorin


Mihashi a dit:


De ce que je comprends c’est la seconde solution. La première n’a vraiment aucun intérêt.




Oh que si, la première a un intérêt : préparer une transition. Il faut garder à l’esprit que l’utilisation d’un algorithme de cryptographie nécessite que cette algo soit connue de l’expéditeur et du destinataire.



Le jour où l’expéditeur change de techno, le destinataire doit lors faire de même. C’est une coordination très compliquée à avoir (si c’était si simple, cela ferait belle lurette que l’IPv4 aurait été abandonnée au profit de l’IPv6).



Cela permet aussi, dans l’IoT (au sens large, j’y inclus les smartphones) de continuer de fonctionner lorsque les serveurs auront migrés.




Cqoicebordel a dit:



Par contre, ce qui est décrit comme utilisant les deux algos en parallèle (et donc proche de l’option 1), c’est la signature, qui ne change pas le message, mais qui le certifie. Si une des technos est cassée (→on peut créer de faux certificats pour certifier des messages), on aura toujours l’autre algo pour double-vérifier.




Ce n’est pas ce que j’ai compris. Ce n’est pas pour pallier le cassage d’un des algo, mais pour préparer une transition entre ceux qui supporteront la cryptographie quantique et les autres.



Comme quoi la question mérite d’être posée, tant les avis divergent :)


Contrairement à l’IPv4/IPv6, où les deux peuvent co-exister, quand l’ordinateur quantique va arriver, la transition se fera complètement et instantanément : tout ce qui n’utilise pas la cryptographie quantique sera « en clair ». Envoyer des messages avec des cryptographies en // ne sert à rien. Au contraire, ça reviendra à envoyer en clair…


Le 12/10/2023 à 13h 16

Les différentes personnes avec qui nous en parlons s’attendent généralement à voir arriver des avancées importantes dans les 5 à 10 prochaines années




Comme toujours, XKCD a la traduction pour ce passage https://xkcd.com/678/



Je comprend la deuxième : on cumule les deux chiffrements, comme ça, même si y’en a un qui est cassé (que ce soit parce que l’ordi quantique s’est amélioré, ou que l’algo quantique utilisé ne soit finalement pas si fort), le message reste quand même sécurisé.



Par contre, ce qui est décrit comme utilisant les deux algos en parallèle (et donc proche de l’option 1), c’est la signature, qui ne change pas le message, mais qui le certifie. Si une des technos est cassée (→on peut créer de faux certificats pour certifier des messages), on aura toujours l’autre algo pour double-vérifier.


fdorin Abonné
Le 12/10/2023 à 14h 20

Mihashi a dit:


Contrairement à l’IPv4/IPv6, où les deux peuvent co-exister, quand l’ordinateur quantique va arriver, la transition se fera complètement et instantanément : tout ce qui n’utilise pas la cryptographie quantique sera « en clair ».




Soit on a une compréhension vraiment à l’opposé de l’article, soit tu ne l’as pas lu.


Mihashi Abonné
Le 12/10/2023 à 14h 35

Je l’ai lu :langue:



Cette section est pourtant assez claire :




La cryptographie hybride
Dernier point. Le temps et la possibilité de mettre à jour des systèmes. « Je pense particulièrement aux systèmes embarqués qui sont déployés » : « On a parfois des dizaines, voire des centaines, de millions d’appareils qui sont déployés sur le terrain, et très difficiles à joindre. On peut parfois mettre à jour leur logiciel [et/ou] les clés à distance », mais pas toujours.




Il faut commencer à mettre de la cryptographie quantique dans les ordis/objets pour qu’ils soient prêts quand l’ordinateur quantique sera là.




Il faut donc prendre en compte dès maintenant le risque quantique, enfin plus précisément, il aurait fallu s’en occuper depuis des années. La cryptographie hybride est une solution mise en avant par l’intervenant de Thales : « c’est un peu comme avoir deux moteurs. Un moteur thermique et un moteur électrique ». Le but est de combiner la cryptographie classique – « avec laquelle on vit parfaitement bien » – et la cryptographique quantique plus récente et donc moins ancrée dans les mœurs et sur laquelle on peut encore se poser des questions de sécurité. Elle a par contre l’avantage de protéger du grand méchant quantique.




On utilise la cryptographie classique bien éprouvée pour bien protéger tant que l’ordinateur quantique n’est pas encore là. Et, par dessus, la cryptographie quantique encore balbutiante pour protéger de l’ordinateur quantique, quand il sera là.


PSXBH Abonné
Le 12/10/2023 à 14h 47

Pour les questions de double cryptographie et comment ça fonctionne dans la vraie vie, pour se protéger du cas cité dans la news, voir cette actualité récente autour de la messagerie Signal :



https://signal.org/blog/pqxdh/


fdorin Abonné
Le 12/10/2023 à 15h 34

Mihashi a dit:


Cette section est pourtant assez claire :



Il faut commencer à mettre de la cryptographie quantique dans les ordis/objets pour qu’ils soient prêts quand l’ordinateur quantique sera là.




Il faut commencer à mettre de la cryptographie quantique oui. Mais cela ne signifie pas l’imposer :




  • le double chiffrement série (algo classique + algo quantique en série) revient à l’imposer.

  • le double chiffrement parallèle (algo classique OU algo quantique) revient à le proposer.



La section, pourtant assez claire pour reprendre tes dires, ne dit rien à ce sujet, et c’est mon interrogation initiale ;)




On utilise la cryptographie classique bien éprouvée pour bien protéger tant que l’ordinateur quantique n’est pas encore là. Et, par dessus, la cryptographie quantique encore balbutiante pour protéger de l’ordinateur quantique, quand il sera là.




Ce qui est bien, c’est que l’analogie faite avec la voiture hybride va plutôt dans mon sens : proposer les deux techno, mais on ne les utilise jamais en même moment ;) C’est l’une ou l’autre, en fonction des possibilités de communication.



Qu’on soit bien d’accord, quand on contrôle les deux côtés, client et serveur, c’est “facile” de passer de l’un à l’autre (et encore, il faudrait une période de transition où le support de la cryptographie quantique sera disponible mais pas imposé pour éviter toute rupture de service).



Par contre, de manière plus globale sur Internet, ce sera beaucoup plus compliquée. Il faudra potentiellement faire des adaptations au niveau des infrastructures, mettre à jour les clients et les serveurs. Tout ne pourra pas se faire en même temps (sinon, comme déjà dit, cela ferait bien longtemps que nous utiliserions tous IPv6 et que IPv4 aurait disparu)


Mihashi Abonné
Le 13/10/2023 à 06h 59

Tes analogies ne sont pas bonnes, car elles présentent des solutions qui permettent de FAIRE quelque chose de deux manières différentes, et donc oui, c’est mieux de pouvoir faire l’un ou l’autre.
Pour la cryptographie l’objectif c’est d’EMPÊCHER (que quelqu’un d’autre n’accède à l’information) et là, aucun intérêt de faire les deux en //, ça ne fait que fortement diminuer la performance globale : la cryptographie classique se fera poutrée par un ordinateur quantique, et on manque de recule sur la cryptographie quantique (qui peux donc parfois se faire casser par un ordinateur classique !). Faire les deux en parallèle rendrait le chiffrement très peu efficace, on aurait les points faibles de deux méthodes…



Pour le problème de la transition avec des parties non prêtes, tu peux très bien continuer à communiquer avec les parties qui ne sont pas encore prêtes pour la cryptographie quantique avec de la cryptographie classique, et communiquer avec les parties qui sont prêtes en cryptographie hybride.



Le lien donné par PSXBH montre bien que c’est comme ça que ça fonctionne : « any attacker must break both X25519 and CRYSTALS-Kyber to compute the same shared secret ».



Et une autre partie de l’article qui montre bien que c’est ça qui est prévu :




Une solution « c’est d’utiliser les deux » avec un message qui « est chiffré en utilisant chacune des deux méthodes », classique et quantique. Pour la signature d’un fichier ou d’un certificat, « on va poser deux signatures, à nouveau avec chacune des méthodes ».




Il y a bien la différence entre « chiffré en utilisant chacune des deux méthodes » pour les informations à chiffrer et « deux signatures […] avec chacune des méthodes » pour les signatures.



 



Je me suis fait la même remarque :transpi:
Je crois que c’est pour illustrer ce propos :




les annonces des fabricants de calculateurs quantiques ne « nous aident pas tellement »



Le 12/10/2023 à 17h 52

J’aime bien la diapo où ils citent Le Monde et Ouest France… du coup ils ont appris ce que c’était que l’ordinateur quantique dans les mêmes pages que madame Michu?


fdorin Abonné
Le 13/10/2023 à 07h 21

Mihashi a dit:


Tes analogies ne sont pas bonnes, car elles présentent des solutions qui permettent de FAIRE quelque chose de deux manières différentes, et donc oui, c’est mieux de pouvoir faire l’un ou l’autre. Pour la cryptographie l’objectif c’est d’EMPÊCHER (que quelqu’un d’autre n’accède à l’information) et là, aucun intérêt de faire les deux en //, ça ne fait que fortement diminuer la performance globale




Tu n’as justement pas compris un passage de l’article je pense.




Dernier point. Le temps et la possibilité de mettre à jour des systèmes. « Je pense particulièrement aux systèmes embarqués qui sont déployés » : « On a parfois des dizaines, voire des centaines, de millions d’appareils qui sont déployés sur le terrain, et très difficiles à joindre. On peut parfois mettre à jour leur logiciel [et/ou] les clés à distance », mais pas toujours.




Si je suis bien d’accord que faire les deux en parallèle, cela va affaiblir (forcément, on a 2 messages chiffrés au lieu d’un), il me parait totalement illusoire de faire les deux en série actuellement, car il faudrait maitriser la MAJ de tous les clients en même temps. Sur un réseau à l’échelle d’internet, c’est tout simplement impossible.



Quand on regarde l’actualité plus ou moins récente, et qu’on voit que certains services IoT, des télé connecté ou même smartphone se retrouve déconnectés parce que trop vieux et pas mis à jour et que les versions des algo ne sont plus bons (pour les exemples récents, manque de support TLS 1.2 ou fin d’une des chaines de certification de Let’s encrypt qui a provoqué de nombreux problème).



Dans la logique, si on veut éviter ça, il faudrait effectivement que les différents dispositifs supporte la cryptographie quantique (mais le supporte, sans l’imposer) pour pouvoir continuer d’être utiliser actuellement ET à l’avenir.



L’intérêt de faire en parallèle, c’est donc de préparer à l’avenir. Par exemple, aujourd’hui, quand tu ouvres une communications avec TLS, client et serveur se mettent d’accord sur la version et sur un algo à utiliser.



Ce que je ne comprends pas dans l’article, c’est qu’il parle de faire un double chiffrement. Le double chiffrement en série est ce qu’il faudrait faire, mais impossible à mettre en oeuvre en pratique (car imposerait de mettre à jour tout le monde en même temps à l’échelle planétaire).
Le double chiffrement en parallèle me parait “stupide” car pourquoi avoir 2 messages chiffrés au lieu d’un ?



La seule solution que je vois, c’est de supporter les algo quantique, pour pouvoir les proposer, et que le choix de l’algo se fasse ensuite comme se qui se fait aujourd’hui avec TLS. Sauf que ce n’est pas vraiment dans ce sens qu’à été écrit l’article.



Du coup, ce point me parait flou.




Le lien donné par PSXBH montre bien que c’est comme ça que ça fonctionne : « any attacker must break both X25519 and CRYSTALS-Kyber to compute the same shared secret ».




Non. Signal est un cas particulier : signal control protocole, client et serveur. A son échelle, c’est donc possible.



A l’échelle d’internet, comment fais-tu, quand il faut mettre à jour client, serveur, voire même infrastructure (pour les solutions genre IPSec) ?


Mihashi Abonné
Le 13/10/2023 à 07h 28

fdorin a dit:


Tu n’as justement pas compris un passage de l’article je pense.




Lequel ?




A l’échelle d’internet, comment fais-tu, quand il faut mettre à jour client, serveur, voire même infrastructure (pour les solutions genre IPSec) ?




Par exemple, TLS 1.4 (en hybride) et fallback sur TLS 1.3 comme ce qui a toujours été fait…


fdorin Abonné
Le 13/10/2023 à 08h 23

Finalement, je viens de comprendre notre désaccord :)



En fait, il faut comprendre l’article comme la mise en place d’un nouveau type d’algorithme, constitué d’un algo classique puis d’un algo quantique. Après, à charge au client/serveur d’utiliser ou pas ce nouveau type d’algorithme en fonction des possibilités de chacune des parties.



Et donc ce passage




Une solution « c’est d’utiliser les deux » avec un message qui « est chiffré en utilisant chacune des deux méthodes », classique et quantique.




N’est pas à comprendre comme on mixte directement les deux, mais on propose un algorithme qui est un mixte des deux. A charge à qui le veut/peut de les utiliser ensuite.


fdorin Abonné
Le 13/10/2023 à 07h 58

Mihashi a dit:


Lequel ?




Le passage cité juste en dessus de mon commentaire ;)




Par exemple, TLS 1.4 (en hybride) et fallback sur TLS 1.3 comme ce qui a toujours été fait…




Donc ce n’est pas du série. C’est ce que je te dis depuis le début : l’algo est proposé, pas imposé. Alors que si tu le fais en série, il est imposé.


Mihashi Abonné
Le 13/10/2023 à 08h 26

fdorin a dit:


Le passage cité juste en dessus de mon commentaire ;)




C’est mon message, pas l’article :keskidit:



Edit : Ah, « en dessous » !
Si, j’ai très bien compris, il dit qu’il faut mettre dès à présent de la crypto hybride dans les appareils. Sinon, quand l’ordinateur quantique sera là tous ces appareils seront dépassés et à jeter à la poubelle. C’est pas un problème de transition, mais d’anticipation.




Donc ce n’est pas du série. C’est ce que je te dis depuis le début : l’algo est proposé, pas imposé. Alors que si tu le fais en série, il est imposé.




Non, il est proposé en hybride/série (crypto + classique), si l’autre ne le supporte pas alors on se rabat sur de la crypto classique seule. Jamais les deux en parallèle.


fdorin Abonné
Le 13/10/2023 à 08h 54

Mihashi a dit:


Edit : Ah, « en dessous » !




Oups, sorry. C’est ça d’écrire pendant un webinar :D




Non, il est proposé en hybride/série (crypto + classique), si l’autre ne le supporte pas alors on se rabat sur de la crypto classique seule. Jamais les deux en parallèle.




Oui, cf. mon commentaire sur la compréhension de notre désaccord ;)



Proposer la méthode hybride avec un fallback ne me pose pas de souci. Mais tel que c’est présenté dans l’article, je trouve que ce n’est pas clair car la méthode hybride apparait comme une obligation, pas comme une alternative.


Mihashi Abonné
Le 13/10/2023 à 09h 35

fdorin a dit:


la méthode hybride apparait comme une obligation, pas comme une alternative.




C’est une obligation si on veut être protégé contre un ordinateur quantique.


fdorin Abonné
Le 13/10/2023 à 10h 10

Mihashi a dit:


C’est une obligation si on veut être protégé contre un ordinateur quantique.




Qui n’existe pas encore. Et une “obligation” aujourd’hui reviendrait à une rupture des communications avec la quasi-totalité des clients (qui ne sont pas, pour la plupart, compatible).


Mihashi Abonné
Le 13/10/2023 à 13h 29

fdorin a dit:


Qui n’existe pas encore.




Peut-être demain ou après-demain…




Et une “obligation” aujourd’hui reviendrait à une rupture des communications avec la quasi-totalité des clients (qui ne sont pas, pour la plupart, compatible).




Non, pas si tu utilises du fallback pour ceux non compatibles.
Par contre, quand l’ordinateur quantique sera là, il faudra en effet cesser toute communication avec eux… (mais ça c’est valable quelque soit le choix ou non-choix fait)


fdorin Abonné
Le 13/10/2023 à 13h 31

Mihashi a dit:


Peut-être demain ou après-demain…




Vu l’article, avec la différence entre qubit physique et qubit logique, c’est plus pour après-après-après demain ;)




Non, pas si tu utilises du fallback pour ceux non compatibles.




S’il existe un fallback, ce n’est plus une obligation !!


Triton Abonné
Le 13/10/2023 à 20h 24

De ce que je comprends, je serais plus de l’avis de Mihashi :




  1. Aujourd’hui, il y a déjà des terminaux déployés avec la crypto classique.

  2. Les ordinateurs quantiques arrivent à grands pas (on ne sait juste pas la distance restant à parcourir :transpi: ).

  3. La proposition est de commencer dès à présent à déployer la double crypto en autorisant toujours la bascule sur classique seule parce qu’on sait le niveau de protection suffisant aujourd’hui.

  4. Le jour où les ordinateurs quantiques sont au niveau nécessaire pour être une menace sur la crypto classique, les terminaux seront déjà à jour pour la plupart et on pourra interdire la bascule de compatibilité.


Le 16/10/2023 à 09h 44

Triton a dit:


De ce que je comprends, je serais plus de l’avis de Mihashi :




  1. Aujourd’hui, il y a déjà des terminaux déployés avec la crypto classique.

  2. Les ordinateurs quantiques arrivent à grands pas (on ne sait juste pas la distance restant à parcourir :transpi: ).

  3. La proposition est de commencer dès à présent à déployer la double crypto en autorisant toujours la bascule sur classique seule parce qu’on sait le niveau de protection suffisant aujourd’hui.

  4. Le jour où les ordinateurs quantiques sont au niveau nécessaire pour être une menace sur la crypto classique, les terminaux seront déjà à jour pour la plupart et on pourra interdire la bascule de compatibilité.




Ou alors, on fait de la crypto post-quantique, qui fonctionne très bien sur des terminaux non quantiques.


Triton Abonné
Le 16/10/2023 à 11h 43

Oui mais comme indiqué dans l’article et repris par Mihashi, on n’a pas encore assez de recul sur les algos post quantiques.



L’idée est donc de garder la crypto classique pour le moment puisqu’on sait précisément ce qu’elle vaut face aux ordinateur classiques et quantiques actuels.



En revanche, il serait effectivement possible de basculer en post-quantique avant que les ordis quantiques soient au niveau si on a le recul nécessaire.


Le 16/10/2023 à 13h 06

Triton a dit:


Oui mais comme indiqué dans l’article et repris par Mihashi, on n’a pas encore assez de recul sur les algos post quantiques.




À part un lien vers un autre article NI, il n’est pas question de post quantique ici. Est-ce un abus de langage en parlant de crypto quantique ? Parce qu’il ne me semble pas qu’on puisse imaginer dans un futur proche de remplacer les PC par des ordinateurs quantiques.




L’idée est donc de garder la crypto classique pour le moment puisqu’on sait précisément ce qu’elle vaut face aux ordinateur classiques et quantiques actuels.




Et en cas de dump rejoué ultérieurement (même si rien ne dit qu’un ordinateur quantique capable existera un jour), il serait plutôt souhaitable d’utiliser de la crypto post-quantique.


Mihashi Abonné
Le 16/10/2023 à 18h 29

deathscythe0666 a dit:


À part un lien vers un autre article NI, il n’est pas question de post quantique ici. Est-ce un abus de langage en parlant de crypto quantique ? Parce qu’il ne me semble pas qu’on puisse imaginer dans un futur proche de remplacer les PC par des ordinateurs quantiques.




Oui, oui, c’est un abus de langage pour dire cryptographie post-quantique.



Et comme dit dans l’annonce, on ne va pas à priori remplacer les PC par des ordinateurs quantiques (mais il y aura peut-être des serveurs, des chipsets, etc. quantiques).




l’ordinateur quantique en lui-même… que l’on ne devrait pas vraiment appeler ordinateur, mais plutôt calculateur car il n’est pas question de remplacer son PC par un PC quantique.