Le point de vue d’un ingénieur en cryptographie sur l’échéance de l’informatique quantique

 (words.filippo.io)
6 points par GN⁺ 22 일 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Des recherches récentes rapprochent à quelques années l’émergence d’un ordinateur quantique cryptographiquement pertinent (CRQC), ce qui accroît brutalement l’urgence du déploiement de la cryptographie post-quantique (PQC)
  • Les travaux de Google et d’Oratomic montrent une réduction des ressources nécessaires pour attaquer des courbes elliptiques de 256 bits, confirmant une amélioration rapide de l’efficacité du matériel et des algorithmes
  • Des experts fixent 2029 comme date butoir pour la migration vers la PQC et avertissent que nous sommes entrés dans une « phase de menace impossible à nier »
  • Parmi les réponses proposées figurent l’adoption immédiate de ML-DSA et ML-KEM, la suppression progressive des systèmes non PQ et l’abandon de l’authentification hybride
  • En conclusion, le CRQC n’est plus une hypothèse mais un risque concret, et une transition complète vers la PQC avant 2029 est indispensable

Le point de vue d’un ingénieur en cryptographie sur l’échéance de l’informatique quantique

  • L’urgence du déploiement de la cryptographie post-quantique (PQC) a brutalement augmenté récemment
    • Il y a encore quelques mois, on pensait disposer d’une certaine marge, mais les résultats de recherche récents ont changé la donne
    • Des signaux montrent que l’émergence d’un ordinateur quantique cryptographiquement pertinent (CRQC) pourrait être avancée à quelques années seulement

Deux études récentes rendues publiques

  • L’équipe de recherche de Google a publié un article montrant une forte réduction du nombre de qubits logiques et de portes nécessaires pour casser des courbes elliptiques de 256 bits (NIST P-256, secp256k1, etc.)
    • Dans une architecture à horloge rapide fondée sur des qubits supraconducteurs, leurs calculs indiquent qu’une attaque pourrait être menée en quelques minutes
    • L’article est rédigé dans le contexte des cryptomonnaies, mais son implication réelle est encore plus grave pour les attaques de type homme du milieu contre le WebPKI
  • L’équipe de recherche d’Oratomic a présenté un scénario où 10 000 qubits physiques suffisent à casser une courbe elliptique de 256 bits sur un système d’atomes neutres doté d’une connectivité non locale (non-local connectivity)
    • C’est plus lent, mais si une clé peut être cassée ne serait-ce qu’une fois par mois, les conséquences peuvent être catastrophiques
  • Les deux études montrent une même tendance : hausse des performances matérielles, amélioration de l’efficacité algorithmique et baisse des exigences en correction d’erreurs

Avertissements des experts et changement d’horizon temporel

  • Heather Adkins et Sophie Schmieg de Google affirment que la « frontière quantique est bien plus proche que prévu » et désignent 2029 comme date limite de migration
    • Cela ne laisse que 33 mois, soit le calendrier le plus agressif proposé à ce jour
  • Scott Aaronson compare la situation à la période où les recherches sur la fission ont cessé d’être publiques en 1939-1940, et met en garde contre la possibilité de progrès radicaux non divulgués
  • Le calendrier présenté à RWPQC 2026 est devenu obsolète en quelques semaines à peine, et la vieille plaisanterie selon laquelle « l’ordinateur quantique est toujours à 10 ans » ne fonctionne plus
  • Le message commun des experts est clair : « nous sommes désormais dans une phase de menace impossible à nier »

Perception du risque et nécessité d’agir

  • La vraie question n’est pas « y aura-t-il probablement un CRQC en 2030 ? », mais « peut-on être certain qu’il n’y en aura pas en 2030 ? »
    • Quand on est responsable de la sécurité des utilisateurs, même une probabilité inférieure à 1 % ne peut pas être ignorée
  • Le scepticisme consistant à dire « c’est encore loin » est considéré comme un signe de manque d’expertise
    • Scott Aaronson illustre cela ainsi : après avoir compris la tolérance aux erreurs quantiques, demander « quand allez-vous factoriser 35 ? » revient à demander à un physicien du projet Manhattan en 1943 « quand allez-vous produire une petite explosion nucléaire ? »
  • Les prévisions peuvent se tromper, mais le risque d’avoir raison importe désormais plus que celui d’avoir tort, et le niveau de risque actuel est inacceptable

Ce qu’il faut faire maintenant

  • Un déploiement immédiat (Ship Now) est nécessaire
    • Même imparfaite, la PQC disponible aujourd’hui doit être adoptée sans attendre
    • Les signatures ML-DSA doivent remplacer les ECDSA, et les Merkle Tree Certificates pour le WebPKI sont déjà suffisamment avancés
  • Par le passé, on estimait avoir le temps d’adapter les protocoles à la taille des signatures, mais avec l’échéance de 2029, cette marge n’existe plus

Transition des systèmes d’échange de clés et d’authentification

  • L’échange de clés PQ basé sur ML-KEM progresse bien, mais les mesures suivantes sont nécessaires
    1. Les échanges de clés non PQ doivent être considérés immédiatement comme un risque d’attaque active, et signalés aux utilisateurs comme le fait OpenSSH
    2. Les échanges de clés non interactifs (NIKE) doivent être abandonnés pour l’instant, au profit exclusif de mécanismes d’authentification unidirectionnelle fondés sur des KEM

  • Le déploiement de nouveaux systèmes cryptographiques non PQ doit être interdit

    • ECDSA, les pairings, la cryptographie basée sur l’identité et autres ne sont plus pratiques
    • L’authentification hybride (classique + PQ) est inutile ; il faut passer à ML-DSA-44 pur
    • Les signatures hybrides ne sont qu’une source de complexité et de perte de temps, et la probabilité de voir apparaître un CRQC est plus élevée que celle d’une compromission classique de ML-DSA
    • Une exception reste possible dans les protocoles qui prennent déjà en charge les signatures multiples, avec une simple signature hybride en mode 2-of-2

Chiffrement symétrique et algorithme de Grover

  • Aucun changement nécessaire pour le chiffrement symétrique

    • Une simplification excessive autour de l’algorithme de Grover alimente l’idée erronée qu’il faudrait des clés de 256 bits
    • En réalité, des clés de 128 bits suffisent, et l’accélération quantique de Grover ne se parallélise pas
    • Exiger inutilement du 256 bits risque de nuire à l’interopérabilité et de retarder la transition vers la PQC

Impact sur l’écosystème logiciel et matériel

  • Plus de la moitié de la bibliothèque standard de Go pourrait bientôt devenir non sûre
    • Trouver l’équilibre entre attaques par rétrogradation et compatibilité descendante devient un nouveau défi
    • On peut s’attendre à une perturbation bien plus grande que lors de la transition de SHA-1 vers SHA-256

  • Les TEE (environnements d’exécution de confiance) — Intel SGX, AMD SEV-SNP, etc. — ne sont plus dignes de confiance faute de prise en charge des clés PQ

    • En raison de limites de vitesse au niveau matériel, une transition PQ est impossible, et ils doivent être rétrogradés au rang de simple defense in depth

Écosystèmes fondés sur la cryptographie et chiffrement de fichiers

  • Les systèmes d’identité fondés sur la cryptographie (par exemple atproto, les cryptomonnaies, etc.) doivent lancer leur migration immédiatement

    • Si elle n’est pas terminée avant l’arrivée d’un CRQC, il faudra choisir entre compromettre les utilisateurs ou supprimer les comptes
    • Le chiffrement de fichiers est particulièrement vulnérable aux attaques de type store-now-decrypt-later
    • Des fonctions d’avertissement et de blocage sont prévues pour les types de destinataires age non PQ
    • Les destinataires PQ ont été introduits pour la première fois dans age 1.3.0

Enseignement et transition générationnelle

  • Dans le cours doctoral de cryptographie de l’université de Bologne, RSA, ECDSA et ECDH ne sont plus abordés que comme des algorithmes hérités
    • Les étudiants les rencontreront comme des « technologies du passé » dans leur carrière réelle
    • Cela symbolise le fait que la transition vers la PQC constitue un tournant générationnel

Soutien et maintenance open source

  • Geomys est une organisation de maintenance spécialisée dans l’écosystème Go, soutenue par Ava Labs, Teleport, Tailscale et Sentry
    • Ces acteurs soutiennent la maintenance durable et la sécurité des protocoles cryptographiques open source
    • Teleport met l’accent sur le renforcement du contrôle d’accès contre la prise de contrôle de comptes et le phishing, tandis qu’Ava Labs insiste sur la fiabilité à long terme des protocoles cryptographiques de la blockchain

Conclusion

  • La possibilité d’apparition d’un CRQC n’est plus une hypothèse mais un risque concret
  • Une transition complète vers la PQC avant 2029 est indispensable
  • Il faut déployer immédiatement ML-KEM et ML-DSA et retirer progressivement les systèmes non PQ
  • Le moment est venu d’agir, pour les praticiens de la cryptographie comme pour les décideurs

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.