Le NIST donne le départ de la longue marche vers la sécurité quantique
La course est lancée pour parvenir à une « sécurité quantique » en trouvant des algorithmes qui résistent au craquage par des ordinateurs quantiques. Et le NIST a récemment donné le départ, en annonçant les quatre premiers concurrents.
Le calcul quantique est une technologie si balbutiante que même ceux qui s'aventurent à faire des prédictions sur l'avenir ont du mal à dire quelle innovation hors normes il déclenchera.
Toutefois, tout le monde est d'accord pour dire qu'il devrait un jour ou l'autre sonner le glas de la cryptographie asymétrique (clé publique) telle que nous la connaissons, laquelle renforce le système des identités machine qui permet à notre monde en ligne d'exister.
Par conséquent, la course est lancée pour parvenir à une « sécurité quantique » en trouvant des algorithmes qui résistent au craquage par des ordinateurs quantiques. Et le NIST a récemment donné le départ, en annonçant les quatre premiers concurrents.
Le changement n'est pas imminent, mais des directeurs informatiques intelligents voudront commencer à le planifier dès maintenant. Et ils devront supposer que la transition entre les mondes pré- et post-quantiques sera caractérisée par une utilisation hybride des nouvelles et des anciennes identités machines.
L'énigme quantique pour les cryptographes
Les ordinateurs d'aujourd'hui traitent et stockent des informations dans un système numérique binaire - à savoir avec des zéros et des uns. Les ordinateurs quantiques utilisent des qubits : des particules quantiques qui ne se comportent pas selon les règles traditionnelles de la physique.
Cela signifie effectivement qu'elles peuvent être un zéro et un un en même temps, ce qui théoriquement réduit considérablement le temps nécessaire pour traiter les données et résoudre les problèmes mathématiques.
Cela représente le coeur du défi pour les cryptographes. Les systèmes de chiffrement à clé publique actuels s'appuient sur des problèmes mathématiques que les ordinateurs trouvent extrêmement difficiles à résoudre au vu de leur puissance de traitement. Les ordinateurs quantiques, quant à eux, ont le potentiel de résoudre ces problèmes en un clin d'oeil, ce qui signifie qu'ils seront capables de casser les standards actuels de chiffrement très facilement.
Une transfusion pour Internet qui prendra du temps
Pourquoi est-ce important si ce système de chiffrement est bouleversé ? Depuis la production du premier crypto-système par RSA en 1977, le chiffrement par clé publique est le mécanisme principal pour établir la confiance et l'authentification en ligne, en renforçant les certificats numériques et les clés cryptographiques qui donnent l'identité des machines.
Ces identités machines se sont développées pour devenir la principale méthode de sécurisation de toutes nos opérations, de nos communications en ligne à nos transactions financières, des données de clients sensibles aux secrets de la sécurité nationale.
Lire aussi : Frénésie quantique : comment l'informatique quantique impactera-t-elle la cybersécurité ?
Elles permettent à toutes les machines - des serveurs et applications aux clusters et micro-services Kubernetes - de communiquer en toute sécurité. Elles fonctionnent dans notre monde numérique comme le sang qui coulent dans nos veines. Leur remplacement par des versions résistant au quantique ressemblera à une transfusion de l'ensemble d'Internet.
Toutefois, malgré des discours de « crypto-apocalypse » lorsque les ordinateurs quantiques commenceront enfin à arriver en ligne et à craquer les systèmes actuels de chiffrement, la réalité devrait être bien moins dramatique. Il n'y aura pas de scénario apocalyptique dans lequel tous les secrets du monde seront exposés et l'économie mondiale telle que nous la connaissons cessera de fonctionner.
Par contre, il est fort probable que nous constations un passage lent et régulier vers la sécurité quantique, mené par les besoins des équipes et marchés leaders. Cela a pris près de 40 ans depuis le début du crypto-système original de RSA pour en arriver où nous en sommes aujourd'hui. Par conséquent, le passage à la résistance quantique est susceptible de prendre des décennies plutôt que des jours, des semaines ou des années.
Établissement de normes
L'Institut national de Normalisation et de Technologie (NIST) du gouvernement américain ouvre la voie ici par ses efforts visant à développer une norme cryptographique post-quantique à laquelle les organisations pourront se rallier. Le chemin a déjà été long puisqu'il a commencé en 2016 lorsque le NIST a fait appel aux plus grands esprits mondiaux en matière de cryptographie pour concevoir de nouvelles façons de résister à une attaque d'ordinateurs quantiques.
En juillet, une étape importante a été franchie après qu'il a annoncé le premier groupe de quatre algorithmes résistant aux ordinateurs quantiques. Quatre algorithmes supplémentaires seront annoncés très bientôt.
Pourquoi autant ? Parce que le NIST reconnaît que la cryptographie est déployée dans de nombreux cas d'utilisation différents, et qu'une norme efficace doit soutenir des approches variées. Elle doit également atténuer le risque qu'un ou plusieurs algorithmes deviennent vulnérables au craquage quantique malgré tout.
Ainsi, le NIST a sélectionné l'algorithme CRYSTALS-Kyber pour le « chiffrement général » - en mettant en évidence ses clés de chiffrement et sa vitesse de fonctionnement relativement petites.
Et pour des signatures numériques - comme celles actuellement utilisées dans les identités machines TLS - il a sélectionné les algorithmes CRYSTALS-Dilithium, FALCON et SPHINCS+. CRYSTALS-Dilithium est recommandé comme algorithme primaire, FALCON étant utile pour des applications qui nécessitent des signatures plus petites. SPHINCS+ est considéré comme plus grand et plus lent que les deux autres, mais il est basé sur une approche mathématique différente et peut donc s'avérer une option de secours utile.
Plus important, les choses s'accélérant du point de vue des normes, les organisations se trouvent maintenant face à un chemin plus clair vers la planification de leur propre avenir post-quantique.
Le voyage commence aujourd'hui
Nous risquons d'être tentés de continuer à ne rien faire. Après tout, ce type de planification demandera des efforts considérables - nous parlons ici d'une transformation qui peut s'assimiler à changer la façon dont vous conduisez ou le courant dans une prise électrique. Mais bien que le système d'identité machine actuel fonctionne relativement bien, ce ne sera pas toujours le cas.
Maintenant que des normes initiales existent, cela a du sens de commencer à planifier des tests de laboratoire. Choisir une application et comprendre les impacts en matière de performances des nouveaux algorithmes, comment traiter les identités machines plus importantes et comment faire fonctionner les doubles modes pré- et post-quantiques.
Ce dernier point est important, car - tout comme le passage aux véhicules électriques en commençant par des véhicules hybrides - pendant plusieurs décennies, le monde est susceptible de passer à la sécurité quantique par le biais d'une approche hybride.
Cela impliquera d'utiliser d'anciennes identités machines en même temps que les nouvelles, au fur et à mesure que nous passerons des normes actuelles à celles de demain. Il sera crucial d'avoir un plan de contrôle pour l'automatisation de la gestion de ces identités machines pour ce modèle hybride, car cela nous permettra d'avoir une visibilité sur les identités machines qui sont utilisées et dans quel contexte ainsi que sur leurs performances.
Il est difficile de prédire exactement combien de temps cette période de transition va durer. Mais c'est certainement une échéance dont bon nombre d'industriels d'aujourd'hui ne verront pas la fin.
Toutefois, comme le changement climatique, c'est une chose que nous ne pouvons laisser de côté en attenant qu'une autre génération s'en occupe. Il convient donc de sélectionner une application à tester et d'en tenir compte dans le budget de l'an prochain. Il serait bon d'envisager d'avoir la première application résistante au quantique et de la faire fonctionner sur un plan de cinq ans.
La feuille de route peut changer au fil des décennies. Mais il est temps de commencer ces premières étapes.
Kevin Bocek, - Venafi.
Sur le même thème
Voir tous les articles Cybersécurité