L’organisme de normalisation européen Etsi a publié un profil de protection (PP) destiné à l’évaluation de la sécurité des modules d’échange (ou de distribution) quantique de clé (QKD, Quantum Key Distribution). Ce profil, labellisé Etsi GS QKD 016, est présenté comme une première industrielle et anticipe les besoins à terme d’une cryptographie post-quantique.
« Le développement d'ordinateurs quantiques à grande échelle menace la plupart des technologies de cryptographie à clé publique utilisées aujourd'hui, rappelle Günther Welsch, directeur de la division Information Assurance Technology and IT Management de l’Office fédéral allemand de la sécurité de l'information (BSI). Dans certains cas d'usage, l’échange quantique de clé pourrait fournir un complément à la cryptographie post-quantique pour atténuer cette menace. Afin de développer des dispositifs QKD fiables et dignes de confiance, des exigences de sécurité et des critères d'évaluation appropriés sont cruciaux et le profil de protection publié par l’Etsi est un premier pas important dans cette direction. »
On rappellera que l’échange de clé est un protocole cryptographique qui vise à établir un secret partagé entre deux participants qui communiquent sur un canal non sécurisé, secret qui sert par exemple à générer une clé cryptographique commune permettant ensuite auxdits participants de chiffrer leurs communications. Quant à l’échange quantique de clé, il fonde sa sécurité non pas sur la difficulté calculatoire supposée de certains problèmes, comme c'est le cas pour les protocoles cryptographiques utilisés aujourd'hui, mais sur l'impossibilité supposée de violer les principes de la physique quantique.
Selon l’Etsi, la technologie QKD permet de générer des clés secrètes aléatoires partagées en utilisant les propriétés quantiques des signaux optiques. Les tentatives de mesure de ces signaux en transit sont détectables, et un protocole QKD peut en tenir compte pour s'assurer - de manière quantifiable - que seules des clés sécurisées sont délivrées.
Dans ce cadre, la spécification Etsi vise à ce que des fabricants puissent soumettre des paires de modules QKD pour évaluation dans le cadre d'un processus de certification de sécurité. Modules qui pourront être utilisés par des opérateurs télécoms ou des entreprises pour sécuriser leurs réseaux en sachant que les produits dûment certifiés ont été soumis à l'examen d'un processus formel d'évaluation de la sécurité.
Le profil de protection spécifie en pratique des exigences de haut niveau, depuis la mise en œuvre physique de protocoles QKD du type « préparation et mesure » jusqu'à l’émission des clés secrètes finales. « La publication de ce premier profil de protection est une étape importante pour aider à certifier les modules QKD dans le cadre du programme de certification de sécurité largement reconnu des Critères communs pour l'évaluation de la sécurité des technologies de l'information », s’est félicité Martin Ward, président du groupe de spécification (ISG) QKD de l’Etsi.