Le point de vue d’un ingénieur en cryptographie sur l’échéance de l’informatique quantique

 (words.filippo.io)
6 points par GN⁺ 24 일 전 | 1 commentaires | Partager sur WhatsApp
  • Des recherches récentes rapprochent à quelques années l’émergence d’un ordinateur quantique cryptographiquement pertinent (CRQC), ce qui accroît brutalement l’urgence du déploiement de la cryptographie post-quantique (PQC)
  • Les travaux de Google et d’Oratomic montrent une réduction des ressources nécessaires pour attaquer des courbes elliptiques de 256 bits, confirmant une amélioration rapide de l’efficacité du matériel et des algorithmes
  • Des experts fixent 2029 comme date butoir pour la migration vers la PQC et avertissent que nous sommes entrés dans une « phase de menace impossible à nier »
  • Parmi les réponses proposées figurent l’adoption immédiate de ML-DSA et ML-KEM, la suppression progressive des systèmes non PQ et l’abandon de l’authentification hybride
  • En conclusion, le CRQC n’est plus une hypothèse mais un risque concret, et une transition complète vers la PQC avant 2029 est indispensable

Le point de vue d’un ingénieur en cryptographie sur l’échéance de l’informatique quantique

  • L’urgence du déploiement de la cryptographie post-quantique (PQC) a brutalement augmenté récemment
    • Il y a encore quelques mois, on pensait disposer d’une certaine marge, mais les résultats de recherche récents ont changé la donne
    • Des signaux montrent que l’émergence d’un ordinateur quantique cryptographiquement pertinent (CRQC) pourrait être avancée à quelques années seulement

Deux études récentes rendues publiques

  • L’équipe de recherche de Google a publié un article montrant une forte réduction du nombre de qubits logiques et de portes nécessaires pour casser des courbes elliptiques de 256 bits (NIST P-256, secp256k1, etc.)
    • Dans une architecture à horloge rapide fondée sur des qubits supraconducteurs, leurs calculs indiquent qu’une attaque pourrait être menée en quelques minutes
    • L’article est rédigé dans le contexte des cryptomonnaies, mais son implication réelle est encore plus grave pour les attaques de type homme du milieu contre le WebPKI
  • L’équipe de recherche d’Oratomic a présenté un scénario où 10 000 qubits physiques suffisent à casser une courbe elliptique de 256 bits sur un système d’atomes neutres doté d’une connectivité non locale (non-local connectivity)
    • C’est plus lent, mais si une clé peut être cassée ne serait-ce qu’une fois par mois, les conséquences peuvent être catastrophiques
  • Les deux études montrent une même tendance : hausse des performances matérielles, amélioration de l’efficacité algorithmique et baisse des exigences en correction d’erreurs

Avertissements des experts et changement d’horizon temporel

  • Heather Adkins et Sophie Schmieg de Google affirment que la « frontière quantique est bien plus proche que prévu » et désignent 2029 comme date limite de migration
    • Cela ne laisse que 33 mois, soit le calendrier le plus agressif proposé à ce jour
  • Scott Aaronson compare la situation à la période où les recherches sur la fission ont cessé d’être publiques en 1939-1940, et met en garde contre la possibilité de progrès radicaux non divulgués
  • Le calendrier présenté à RWPQC 2026 est devenu obsolète en quelques semaines à peine, et la vieille plaisanterie selon laquelle « l’ordinateur quantique est toujours à 10 ans » ne fonctionne plus
  • Le message commun des experts est clair : « nous sommes désormais dans une phase de menace impossible à nier »

Perception du risque et nécessité d’agir

  • La vraie question n’est pas « y aura-t-il probablement un CRQC en 2030 ? », mais « peut-on être certain qu’il n’y en aura pas en 2030 ? »
    • Quand on est responsable de la sécurité des utilisateurs, même une probabilité inférieure à 1 % ne peut pas être ignorée
  • Le scepticisme consistant à dire « c’est encore loin » est considéré comme un signe de manque d’expertise
    • Scott Aaronson illustre cela ainsi : après avoir compris la tolérance aux erreurs quantiques, demander « quand allez-vous factoriser 35 ? » revient à demander à un physicien du projet Manhattan en 1943 « quand allez-vous produire une petite explosion nucléaire ? »
  • Les prévisions peuvent se tromper, mais le risque d’avoir raison importe désormais plus que celui d’avoir tort, et le niveau de risque actuel est inacceptable

Ce qu’il faut faire maintenant

  • Un déploiement immédiat (Ship Now) est nécessaire
    • Même imparfaite, la PQC disponible aujourd’hui doit être adoptée sans attendre
    • Les signatures ML-DSA doivent remplacer les ECDSA, et les Merkle Tree Certificates pour le WebPKI sont déjà suffisamment avancés
  • Par le passé, on estimait avoir le temps d’adapter les protocoles à la taille des signatures, mais avec l’échéance de 2029, cette marge n’existe plus

Transition des systèmes d’échange de clés et d’authentification

  • L’échange de clés PQ basé sur ML-KEM progresse bien, mais les mesures suivantes sont nécessaires
    1. Les échanges de clés non PQ doivent être considérés immédiatement comme un risque d’attaque active, et signalés aux utilisateurs comme le fait OpenSSH
    2. Les échanges de clés non interactifs (NIKE) doivent être abandonnés pour l’instant, au profit exclusif de mécanismes d’authentification unidirectionnelle fondés sur des KEM

  • Le déploiement de nouveaux systèmes cryptographiques non PQ doit être interdit

    • ECDSA, les pairings, la cryptographie basée sur l’identité et autres ne sont plus pratiques
    • L’authentification hybride (classique + PQ) est inutile ; il faut passer à ML-DSA-44 pur
    • Les signatures hybrides ne sont qu’une source de complexité et de perte de temps, et la probabilité de voir apparaître un CRQC est plus élevée que celle d’une compromission classique de ML-DSA
    • Une exception reste possible dans les protocoles qui prennent déjà en charge les signatures multiples, avec une simple signature hybride en mode 2-of-2

Chiffrement symétrique et algorithme de Grover

  • Aucun changement nécessaire pour le chiffrement symétrique

    • Une simplification excessive autour de l’algorithme de Grover alimente l’idée erronée qu’il faudrait des clés de 256 bits
    • En réalité, des clés de 128 bits suffisent, et l’accélération quantique de Grover ne se parallélise pas
    • Exiger inutilement du 256 bits risque de nuire à l’interopérabilité et de retarder la transition vers la PQC

Impact sur l’écosystème logiciel et matériel

  • Plus de la moitié de la bibliothèque standard de Go pourrait bientôt devenir non sûre
    • Trouver l’équilibre entre attaques par rétrogradation et compatibilité descendante devient un nouveau défi
    • On peut s’attendre à une perturbation bien plus grande que lors de la transition de SHA-1 vers SHA-256

  • Les TEE (environnements d’exécution de confiance) — Intel SGX, AMD SEV-SNP, etc. — ne sont plus dignes de confiance faute de prise en charge des clés PQ

    • En raison de limites de vitesse au niveau matériel, une transition PQ est impossible, et ils doivent être rétrogradés au rang de simple defense in depth

Écosystèmes fondés sur la cryptographie et chiffrement de fichiers

  • Les systèmes d’identité fondés sur la cryptographie (par exemple atproto, les cryptomonnaies, etc.) doivent lancer leur migration immédiatement

    • Si elle n’est pas terminée avant l’arrivée d’un CRQC, il faudra choisir entre compromettre les utilisateurs ou supprimer les comptes
    • Le chiffrement de fichiers est particulièrement vulnérable aux attaques de type store-now-decrypt-later
    • Des fonctions d’avertissement et de blocage sont prévues pour les types de destinataires age non PQ
    • Les destinataires PQ ont été introduits pour la première fois dans age 1.3.0

Enseignement et transition générationnelle

  • Dans le cours doctoral de cryptographie de l’université de Bologne, RSA, ECDSA et ECDH ne sont plus abordés que comme des algorithmes hérités
    • Les étudiants les rencontreront comme des « technologies du passé » dans leur carrière réelle
    • Cela symbolise le fait que la transition vers la PQC constitue un tournant générationnel

Soutien et maintenance open source

  • Geomys est une organisation de maintenance spécialisée dans l’écosystème Go, soutenue par Ava Labs, Teleport, Tailscale et Sentry
    • Ces acteurs soutiennent la maintenance durable et la sécurité des protocoles cryptographiques open source
    • Teleport met l’accent sur le renforcement du contrôle d’accès contre la prise de contrôle de comptes et le phishing, tandis qu’Ava Labs insiste sur la fiabilité à long terme des protocoles cryptographiques de la blockchain

Conclusion

  • La possibilité d’apparition d’un CRQC n’est plus une hypothèse mais un risque concret
  • Une transition complète vers la PQC avant 2029 est indispensable
  • Il faut déployer immédiatement ML-KEM et ML-DSA et retirer progressivement les systèmes non PQ
  • Le moment est venu d’agir, pour les praticiens de la cryptographie comme pour les décideurs

À lire aussi

1 commentaires

 
GN⁺ 24 일 전
Commentaires sur Hacker News

  • Si l’arrivée d’ordinateurs quantiques réellement pratiques se rapproche, il faut donner la priorité à l’adoption de FIPS 203 (ML-KEM) pour l’échange de clés de session dans des protocoles comme TLS ou SSH
    ML-KEM est destiné à remplacer le Diffie-Hellman existant (classique comme à courbes elliptiques)
    Sans cela, un attaquant peut stocker les données aujourd’hui pour les déchiffrer plus tard
    En revanche, les certificats et les signatures électroniques ne peuvent pas être falsifiés rétroactivement, donc l’urgence est moindre
    Cela dit, dans les cas où la falsification a du sens, comme pour des documents numériques à valeur légale, il faut aussi des schémas de signature sûrs face au futur
    Des bibliothèques majeures comme OpenSSH et OpenSSL prennent déjà en charge ML-KEM, donc à l’échelle d’un serveur personnel, on peut l’adopter facilement sans changer tout le système d’authentification

    • Jusqu’à l’an dernier, j’étais du même avis, et c’était le consensus du secteur
      Mais si l’échéance peut avancer de 2035 à 2029, il devient temps de faire évoluer aussi les systèmes d’authentification en parallèle
      Le déploiement de ML-KEM se passe déjà bien, mais il faut désormais considérer les échanges de clés non quantiques comme un risque potentiel
      Autrement dit, si vous avez des données conservées plus de 3 ans, il faut les traiter comme un niveau d’alerte
    • Le point important est de ne pas remplacer complètement Diffie-Hellman existant, mais de l’utiliser en échange de clés hybride
      Ainsi, une attaque doit casser à la fois la cryptographie classique et la cryptographie résistante au quantique
      ML-KEM reste lui aussi un nouvel algorithme, donc il peut encore présenter des failles ; l’hybride est donc une défense réaliste
      Des experts comme Dan Bernstein (djb) soulignent aussi qu’opter pour autre chose que l’hybride est un choix irresponsable
    • En pratique, les documents juridiques et les horodatages cryptographiques sont déjà signés avec RSA ou des schémas à courbes elliptiques
      Dans ces cas-là, il faut migrer vers des signatures résistantes au quantique pour empêcher les falsifications futures

  • Cette discussion donne une impression de non-linéarité
    Pour RSA, la difficulté augmentait progressivement de 8 bits à 64 bits puis 256 bits, alors que l’informatique quantique n’a apporté aucun progrès sur RSA ou EC depuis 10 ans
    Dire que, soudainement, toutes les cryptos à clé publique pourraient être cassées en quelques années paraît étrange
    En pratique, tant qu’on n’aura pas vu du RSA-256 cassé en laboratoire, il est difficile d’en tirer des conclusions hâtives

    • Si l’on regarde le texte de Bas Westerbaan et le commentaire de Scott Aaronson, le point clé, c’est la correction d’erreurs (error correction)
      Une fois cela rendu possible, passer de RSA 32 bits à RSA 2048 bits ne change pas grand-chose
      C’est un peu comme une réaction nucléaire en chaîne : une fois auto-entretenue, augmenter la taille de la bombe n’est plus très difficile
      C’est pour cette raison que les experts disent que le calendrier peut s’accélérer
    • En réalité, sur les 10 dernières années, la précision des portes et le nombre de qubits ont été multipliés par plusieurs dizaines, et l’efficacité de la correction d’erreurs s’est fortement améliorée
      Les progrès de ces 4 dernières années ont été explosifs dans ce domaine
    • L’idée de ce texte est que l’échange de clés publiques est à risque, pas que le chiffrement symétrique qui suit soit lui-même menacé
    • À titre indicatif, le plus grand nombre factorisé jusqu’ici par un ordinateur quantique est 21

  • Je trouve que c’est un bon article
    Le fait que la standardisation des destinataires hybrides HPKE ait pris deux ans de retard à cause du CFRG m’a marqué
    L’IETF devrait faire son autocritique sur ce type de problème de processus

    • Je pense que l’argumentation anti-hybride avancée dans l’article est erronée
      Même si un CRQC existait aujourd’hui, un algorithme hybride ferait quand même monter le coût d’une attaque à au moins 1 million de dollars
      Quand on pense que certains candidats du 3e tour PQC pouvaient être cassés avec un simple laptop, c’est clairement préférable
    • Dommage de ne pas t’avoir vu à la dernière réunion du CRFG

  • Cet article me fait un peu revoir ma position selon laquelle « l’ordinateur quantique est encore loin et RSA reste acceptable »
    Merci d’avoir expliqué le risque de façon concrète, d’une manière compréhensible même pour les sceptiques

    • La remarque de Scott Aaronson m’a particulièrement marqué
      Son analogie — comprendre la tolérance aux erreurs quantiques, puis demander « quand allez-vous factoriser 35 ? », c’est comme demander à un scientifique du projet Manhattan en 1943 « quand allez-vous produire une petite explosion nucléaire ? » — a complètement changé ma façon de voir les choses

  • Soutenir qu’il faut omettre les clés hybrides est dangereux
    Ces nouveaux algorithmes n’ont pas encore assez d’épreuves en conditions réelles, donc un simple défaut pourrait provoquer des dégâts massifs

  • L’informatique quantique pourrait aussi servir à accélérer l’entraînement des LLM, donc Google a raison d’y investir
    Google et SoftBank ont investi 230 millions de dollars l’an dernier, et Microsoft, IBM et Google ont dépensé au total 15 milliards de dollars sur les 20 dernières années
    Mais quand on compare cela aux 150 milliards de dollars d’investissement annuel de Google dans les data centers, cela peut aussi être un signe que l’usage pratique est encore loin

  • Il est tout à fait possible qu’un gouvernement soit en train de développer un supercalculateur destiné à casser la cryptographie
    Comme pour le projet Manhattan, les principes sont déjà connus et il ne reste plus que des problèmes d’ingénierie
    Les gouvernements savent mobiliser les budgets, donc il est possible qu’un tel programme soit déjà en cours

    • À l’époque, la bombe à l’uranium (Little Boy) avait une structure assez simple pour qu’on soit confiant dans son succès sans essai préalable
      En revanche, la bombe au plutonium (Fat Man) était bien plus complexe, mais plus efficace, et elle a servi de base à la technologie des missiles nucléaires
      Les conceptions de Little Boy et Fat Man restent fascinantes à examiner aujourd’hui
    • Un ordinateur quantique, c’est un peu le zero-day ultime
      Une technologie qu’on n’utilise pas tout de suite, mais qu’on garde en réserve pour le moment décisif
    • J’ai du mal à croire que les gouvernements ne développent pas déjà ce type de technologie en secret
      On a déjà vu des exemples comme XKeyscore
    • Cela dit, le projet Manhattan était un gigantesque programme industriel mobilisant une part importante de la population américaine
      Il est peu probable qu’on revoie un jour une mobilisation de cette ampleur

  • Cet article m’a rappelé à quel point le chiffrement symétrique est important
    Tant que le PQE n’est pas pleinement en place, certains systèmes sensibles peuvent être renforcés avec du chiffrement symétrique basé sur des clés pré-partagées (PSK)
    Par exemple, faire tourner un VPN WireGuard avec une PSK oblige à distribuer les clés manuellement, mais rend le trafic collecté inutilisable
    Cette approche n’est pas scalable, mais elle peut constituer une couche de sécurité réaliste et immédiatement applicable
    Au final, le PQE reste la meilleure solution, mais comme les nouvelles mathématiques et les nouveaux systèmes sont encore peu éprouvés, il faut prévoir des protections complémentaires en parallèle

  • Je ne comprends pas pourquoi l’auteur insiste autant sur AES-128
    AES-256 ne coûte quasiment pas plus cher et protège mieux contre les attaques de type store-now-decrypt-later
    Les standards du secteur recommandent des clés de 256 bits, donc autant s’y tenir
    Des outils comme Age devraient eux aussi utiliser par défaut des clés de fichiers en 256 bits

    • Pourtant, le NIST et le BSI indiquent explicitement qu’AES-128, 196 et 256 sont tous sûrs même après l’ère quantique
      Le consensus du secteur est qu’AES-128 est suffisant
      Il n’existe pas de scénario où un CRQC menacerait le chiffrement symétrique
    • L’auteur dit clairement qu’AES-128 n’est pas un risque immédiat
      Forcer une migration vers 256 pourrait au contraire détourner l’attention des vraies transitions importantes

  • L’informatique quantique repose sur l’intrication (entanglement), ce qui peut donner l’impression d’un effet plus rapide que la lumière, mais en réalité cela ne viole pas les lois de la physique
    Il faut donc y voir moins de la science-fiction qu’un défi d’ingénierie extrêmement difficile