Créée en 2015, la firme londonienne Crypto Quantique a développé un procédé fondateur s’appuyant sur l’effet tunnel quantique qui redéfinit le concept de sécurité pour les produits IoT. Elle a pu réussir à faire vérifier l’immunité de sa technologie aux attaques par canaux auxiliaires par un laboratoire de test indépendant ...spécialiste de la cybersécurité.
Le Britannique, rappelons-le, propose un bloc d’IP permettant d’implanter des fonctions PUF (Physically Unclonable Functions) au sein de circuits semi-conducteurs Cmos pour créer à la demande des identités et des clés de chiffrement uniques, immuables et infalsifiables (qui constituent ensemble une racine de confiance matérielle). Menée durant trois mois par la société eShard, l’analyse de sécurité a conclu que l’IP analogique QDID ( Quantum Driven IDentity) de Crypto Quantique était en mesure de résister au potentiel d’attaques requis pour la certification EAL4+ des Critères communs.
Dans le détail, la technologie QDID s’appuie sur la mesure des courants infimes générés par l’effet tunnel quantique (qui désigne la propriété que possède un électron de franchir une barrière de potentiel même si son énergie est inférieure à l'énergie minimale requise pour la franchir). Une approche jugée plus robuste que d’autres technologies de sécurité pour puces, dont beaucoup sont sensibles aux attaques par canaux auxiliaires. Ces attaques exploitent en fait des variables physiques (liées aux clés de chiffrement) pour extraire des valeurs binaires. Par exemple, si une cellule mémoire consomme plus d'énergie lorsqu'elle passe à l’état 1 qu'à l’état 0, la mesure de la différence peut révéler des secrets au sein du semi-conducteur.
Des technologies existent pour atténuer cet inconvénient majeur, mais elles peuvent être d'un coût prohibitif à déployer. Selon Crypto Quantique, la technologie QDID élimine le problème. Elle offrirait aux fabricants de semi-conducteurs un moyen plus simple de répondre aux contraintes de sécurité les plus exigeantes des appareils IoT, en leur permettant d'atteindre un niveau de certification EAL4+ pour leurs produits sans mesures supplémentaires coûteuses.
En pratique, la mise en œuvre d’une IP QDID produit des matrices de 64 x 64 cellules, chaque cellule étant constituée de deux transistors. La technologie exploite ensuite l'effet tunnel quantique qui se produit à travers la couche d'oxyde Cmos. Les électrons se propagent à travers cette couche à des degrés divers, en fonction de son épaisseur et de la structure atomique en des points particuliers. Sachant que les variations de ces caractéristiques physiques sont complètement aléatoires et inévitables au moment de la fabrication du circuit.
Les courants mis en jeu sont de l'ordre de quelques femtoampères, soit l’équivalent de quelques dizaines d'électrons. L’ID QDID est néanmoins capable de mesurer avec précision ces flux d'électrons pour générer des 1 ou des 0 aléatoires en fonction des lectures de cellules adjacentes. « Les attaques par canaux auxiliaires sur les identités et les clés de chiffrement constituent la plus grande menace pour la sécurité d’équipements de périphérie IoT, souligne Shahram Mossayebi, le CEO de Crypto Quantique. L’évaluation menée par eShard a démontré de manière indépendante que les semi-conducteurs au cœur des appareils IoT peuvent être conçus pour atteindre facilement et à faible coût un niveau de certification de sécurité EAL4+. Et ce en utilisant l'entropie quantique pour générer des identités et des clés sécurisées. Toutes ces valeurs réellement aléatoires sont générées à la demande et n'ont pas besoin d'être stockées, ce qui élimine une faiblesse de sécurité importante du procédé d'injection de clés. »