Chiffrement post-quantique d’OpenSSH

• OpenSSH prend en charge des algorithmes post-quantiques pour se protéger contre les attaques d’ordinateurs quantiques
• Depuis la version 9.0, il applique par défaut l’algorithme sntrup761x25519-sha512 pour la connexion, et depuis la version 10.0, mlkem768x25519-sha256 est désormais le mode de connexion par défaut
• À partir de la version 10.1, un message d’avertissement apparaît quand un échange de clés non post-quantique est utilisé
• La plupart des algorithmes de signature existants (RSA, ECDSA, etc.) devraient aussi être pris en charge dans le futur
• Pour protéger le trafic existant en toute sécurité, les algorithmes post-quantiques doivent être appliqués à la fois côté serveur et côté client

Introduction du chiffrement post-quantique dans OpenSSH

OpenSSH prend en charge plusieurs algorithmes de négociation de clés qui restent sûrs face aux attaques d’ordinateurs quantiques
Il recommande d’utiliser ces algorithmes pour toutes les connexions SSH

Depuis OpenSSH 9.0 (2022), sntrup761x25519-sha512 fournit par défaut un algorithme de négociation de clés (KexAlgorithms) post-quantique, et mlkem768x25519-sha256 a été ajouté à partir de la version 9.9
Depuis OpenSSH 10.0, mlkem768x25519-sha256 est défini comme mode de chiffrement par défaut

Afin de favoriser l’adoption des algorithmes post-quantiques, OpenSSH affiche à partir de la version 10.1 l’avertissement suivant lorsqu’un échange de clés sans résistance post-quantique est utilisé

** WARNING: connection is not using a post-quantum kex exchange algorithm. **
This session may be vulnerable to "store now, decrypt later" attacks.
The server may need to be upgraded. See https://openssh.com/pq.html

Cet avertissement est affiché par défaut, mais il peut être désactivé via l’option WarnWeakCrypto de ssh_config(5)

Contexte

Un ordinateur quantique est un appareil qui calcule en codant l’information dans des états quantiques
Il peut résoudre rapidement certains problèmes mathématiques impossibles à traiter pour des ordinateurs classiques

Le principe mathématique de nombreux algorithmes de chiffrement repose sur des problèmes qui peuvent être aisément résolus par un ordinateur quantique
Si un ordinateur quantique suffisamment puissant (à un niveau cryptographiquement significatif) venait à apparaître, ces systèmes cryptographiques pourraient être compromis
Les algorithmes utilisés pour la négociation de clés et les signatures numériques sont particulièrement exposés

Bien que ces ordinateurs quantiques n’existent pas encore, les experts prévoient leur arrivée dans les 5 à 20 ans ou au milieu des années 2030

La protection de la confidentialité d’une connexion SSH repose sur la négociation de clés
Si un attaquant casse cet algorithme d’échange, il peut déchiffrer le contenu de toutes les sessions
En outre, même sans interception en temps réel, il est possible d’effectuer des attaques de type « store now, decrypt later » qui consistent à stocker des sessions chiffrées pour les déchiffrer plus tard quand un ordinateur quantique sera disponible

OpenSSH renforce donc la prise en charge du chiffrement post-quantique pour contrer ce type d’attaque

FAQ

Q : J’ai reçu un message indiquant qu’un avertissement est apparu dans SSH, que dois-je faire ?

• OpenSSH affiche un avertissement sur les connexions utilisant un chiffrement non sûr face au quantique à partir de la version 10.1
• Cela signifie que le serveur connecté ne prend pas en charge d’algorithme de négociation de clés post-quantique (mlkem768x25519-sha256, sntrup761x25519-sha512)
• La meilleure solution consiste à mettre à jour le serveur vers OpenSSH 9.0 au minimum (9.9 pour le second cas) et à vérifier que les algorithmes concernés ne sont pas désactivés dans KexAlgorithms
• Si la mise à jour du serveur n’est pas possible, ou si vous acceptez ce risque, vous pouvez aussi masquer l’avertissement en activant l’option WarnWeakCrypto dans ssh_config(5)
• Si nécessaire, appliquez ce réglage pour un hôte spécifique comme suit

  Match host unsafe.example.com
      WarnWeakCrypto no
  

Q : Pourquoi se préparer maintenant alors qu’il n’existe pas encore d’ordinateur quantique ?

• C’est en raison de l’attaque de type « store now, decrypt later » mentionnée plus haut
• Le trafic que vous envoyez aujourd’hui pourrait être déchiffré plus tard, il est donc recommandé d’utiliser dès maintenant une connexion sûre vis-à-vis du quantique

Q : Vous avez dit que les algorithmes de signature étaient aussi risqués, pourquoi ce n’est pas prioritaire ?

• La plupart des algorithmes de signature actuels (RSA, ECDSA, etc.) peuvent également être neutralisés par un ordinateur quantique
• En revanche, dans ce cas, les sessions de trafic précédentes ne sont pas stockées en vue d’un futur déchiffrement
• La priorité pour les signatures, c’est de retirer progressivement les anciennes clés de signature au fur et à mesure que l’arrivée d’un ordinateur quantique se rapproche
• OpenSSH prévoit également de prendre en charge des algorithmes de signature post-quantiques à l’avenir

Q : Pourquoi c’est important si l’on pense que les ordinateurs quantiques resteront impossibles ?

• Certains considèrent qu’un ordinateur quantique ne sera jamais réalisable, mais les obstacles actuels sont un problème d’ingénierie, non de physique fondamentale
• Si les ordinateurs quantiques deviennent possibles, les mesures prises aujourd’hui protégeront des quantités massives de données utilisateurs
• Même si l’on s’avérait finalement en avance, il ne s’agit que d’une migration vers un chiffrement mathématiquement plus robuste

Q : Les algorithmes post-quantiques ne pourraient-ils pas aussi être vulnérables ?

• OpenSSH adopte une approche prudente
• Il n’a sélectionné que des algorithmes qui ont fait l’objet d’un examen approfondi ces dernières années, mais il reste possible qu’une nouvelle méthode d’attaque soit découverte
• Pour s’en prémunir, il a retenu des algorithmes avec une marge de sécurité confortable, ce qui laisse une forte probabilité de rester opérationnellement sûr, même s’ils s’avéraient plus faibles que prévu
• En outre, les algorithmes post-quantiques d’OpenSSH sont tous de type "hybride"
  • Par exemple, mlkem768x25519-sha256 combine ML-KEM (post-quantique) et l’algorithme classique ECDH/x25519
  • Ainsi, même si l’algorithme post-quantique est compromis à l’avenir, le niveau de sécurité au moins équivalent à l’existant est conservé