Le fournisseur d’équipements de test et de mesure Keysight s’engage sur le marché de la cryptographie post-quantique (PQC) en annonçant une solution automatisée, présentée comme inédite sur le marché, conçue pour tester la robustesse des implémentations des algorithmes PQC. Cette solution, qui s’inscrit au sein de la suite Keysight Inspector (issue du rachat acté en mars 2024, et effectué en toute discrétion, de la société néerlandaise Riscure, spécialiste des tests de sécurité), constitue une extension significative de cette plateforme qui aide les fournisseurs d’équipements et de puces à identifier et à corriger les vulnérabilités matérielles.
Pour rappel, la cryptographie post-quantique a vocation à améliorer la sécurité à l’heure de la potentialité de nouvelles menaces liées à l’avènement d’ordinateurs quantiques capables de "craquer" les algorithmes de chiffrement actuels, notamment RSA et ECC, et donc de compromettre la sécurité des données les plus sensibles, voire la souveraineté des pays. Les nouveaux algorithmes PQC sont aussi jugés essentiels dans les situations où des données chiffrées sont actuellement récupérées et stockées en supposant qu'elles pourront être déchiffrées ultérieurement, éventuellement par des organisations malveillantes.
Cependant, note Keysight, les nouvelles technologies post-quantiques supposées résister aux attaques quantiques peuvent s’avérer vulnérables aux méthodes d'attaque matérielles existantes. A ce titre Keysight Inspector, qui est un produit de l’entité Riscure Security Solutions (issue du rachat de Riscure par la firme américaine), est censé répondre à ce défi. Selon Keysight, cette plateforme de test de sécurité peut désormais être utilisée pour tester les implémentations de l’algorithme Dilithium, l'un des algorithmes PQC sélectionnés par le NIST (National Institute of Standards and Technology), une agence gouvernementale américaine qui fait référence dans le domaine de la gestion des risques de cybersécurité.
Pour les utilisateurs qui mettent en œuvre cet algorithme dans un équipement ou dans le silicium, Keysight Inspector permet aux concepteurs de vérifier que les produits sont sécurisés contre les menaces. La solution de test pourra également être utilisée pour les organismes gouvernementaux et les laboratoires de test de sécurité qui souhaitent vérifier la solidité de produits tiers.
Avec le processus de normalisation en cours, Keysight prévoit que des dizaines de nouveaux algorithmes de sécurité vont voir le jour dans de multiples applications et secteurs d'activité. Et ces algorithmes nécessiteront des implémentations vérifiables. La société américaine compte donc fournir à terme les outils de test nécessaires, ainsi que des services de certification par l'intermédiaire de Keysight Inspector.
En outre, Keysight Inspector peut également tester les puces et analyser la conception silicium avant l'implémentation physique en simulant le code hardware au préalable. A ce titre, Riscure a travaillé avec la société avec PQShield, un développeur de solutions PQC, pour effectuer des analyses pré et post-silicium des produits de cette entreprise britannique (distribuée en France par Isit).
« La résilience post-quantique ne garantit pas une sécurité totale, rappelle Marc Witteman, directeur du Device Security Research Lab de Keysight. Nous avons observé des incidents au cours desquels les technologies les plus récentes de chiffrement post-quantique ont souffert de menaces liées au hardware. Avec la mise en œuvre de cette technologie à grande échelle, la nécessité d'un test complet devient évidente et nous répondons à ce besoin en ajoutant la capacité de test des algorithmes post-quantiques à la solution Keysight Inspector, notre plateforme complète de test de la sécurité des produits. »
Keysight fera une démonstration live de Keysight Inspector en piratant une implémentation PQC fonctionnant sur un processeur couramment utilisé lors de la conférence RSA qui se tient du 6 au 9 mai à San Francisco (Etats-Unis).
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC