
L’Etsi publie ses recommandations et stratégies de migration pour la cryptographie post-quantique [EDITION ABONNES] Alors que l’émergence des ordinateurs quantiques fait peser des menaces potentielles sur les algorithmes actuels de chiffrement asymétrique (et sur les secteurs d’activité qui s’appuient sur ce type de cryptographie), l’organisme de normalisation européen Etsi a publié durant l’été un rapport technique ...qui définit des stratégies de migration et édicte des recommandations pour des schémas « post-quantiques ». La « cryptographie post-quantique » (PQC) est un terme qui désigne une branche de la cryptographie visant à garantir la sécurité des plates-formes matérielles « classiques » même face à un attaquant quantique. De fait, en raison de leur puissance de calcul, les futurs ordinateurs quantiques auront la capacité potentielle de « craquer » des algorithmes bien connus comme RSA et ECC sur lesquels s’appuient des standards Internet divers et variés comme TLS, S/MIME ou PGP/GPG, utilisés pour protéger les communications avec les cartes à puce, les PC, les serveurs ou les systèmes de contrôle/commande industriels. Pour autant, précise l’Etsi, reconnaître la menace et savoir qu’un algorithme cryptographique post-quantique existe ne présument en rien de la capacité d’une entreprise à protéger ses actifs. Selon l’organisme de normalisation, l'ensemble de l'entreprise doit en effet être prêt dès aujourd’hui à migrer vers un nouvel état cryptographique entièrement post-quantique (FQSCS, Fully Quantum-Sage Cryptographic State). Dans cette perspective, le rapport technique TR 103 619 de l’Etsi définit un cadre d'actions qu'une organisation doit entreprendre pour faciliter la migration vers cet « état ». Un cadre qui se décline en trois étapes : l’inventaire des actifs, la préparation du plan de migration et l’exécution proprement dite de la migration. Selon le rapport, la migration ne peut en effet être planifiée sans connaissance préalable des actifs de l’entreprise qui seront impactés par un ordinateur quantique. L’élaboration de cet inventaire, et sa maintenance, nécessiteront un gestionnaire attitré et un budget spécifique, sachant qu'il pourra s'agir d'une extension du processus de gestion des stocks existant avec un accent particulier porté sur les propriétés cryptographiques. La deuxième étape implique une planification détaillée avec l'hypothèse générale que la migration se fera sur une base comparable : un actif protégé par chiffrement asymétrique le sera de la même façon après la migration. L’Etsi reconnaît toutefois que certains actifs pourront être considérablement repensés et pourront peut-être même retirés de la circulation... La dernière étape est l'élément clé de la migration elle-même et le rapport de l’organisme européen propose une série de check-lists pour aborder en détail la gestion et la planification du processus. Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC

L’Etsi publie ses recommandations et stratégies de migration pour la cryptographie post-quantique

[EDITION ABONNES] Alors que l’émergence des ordinateurs quantiques fait peser des menaces potentielles sur les algorithmes actuels de chiffrement asymétrique (et sur les secteurs d’activité qui s’appuient sur ce type de cryptographie), l’organisme de normalisation européen Etsi a publié durant l’été un rapport technique ...qui définit des stratégies de migration et édicte des recommandations pour des schémas « post-quantiques ».

La « cryptographie post-quantique » (PQC) est un terme qui désigne une branche de la cryptographie visant à garantir la sécurité des plates-formes matérielles « classiques » même face à un attaquant quantique. De fait, en raison de leur puissance de calcul, les futurs ordinateurs quantiques auront la capacité potentielle de « craquer » des algorithmes bien connus comme RSA et ECC sur lesquels s’appuient des standards Internet divers et variés comme TLS, S/MIME ou PGP/GPG, utilisés pour protéger les communications avec les cartes à puce, les PC, les serveurs ou les systèmes de contrôle/commande industriels.

Pour autant, précise l’Etsi, reconnaître la menace et savoir qu’un algorithme cryptographique post-quantique existe ne présument en rien de la capacité d’une entreprise à protéger ses actifs. Selon l’organisme de normalisation, l'ensemble de l'entreprise doit en effet être prêt dès aujourd’hui à migrer vers un nouvel état cryptographique entièrement post-quantique (FQSCS, Fully Quantum-Sage Cryptographic State).

Dans cette perspective, le rapport technique TR 103 619 de l’Etsi définit un cadre d'actions qu'une organisation doit entreprendre pour faciliter la migration vers cet « état ». Un cadre qui se décline en trois étapes : l’inventaire des actifs, la préparation du plan de migration et l’exécution proprement dite de la migration.

Selon le rapport, la migration ne peut en effet être planifiée sans connaissance préalable des actifs de l’entreprise qui seront impactés par un ordinateur quantique. L’élaboration de cet inventaire, et sa maintenance, nécessiteront un gestionnaire attitré et un budget spécifique, sachant qu'il pourra s'agir d'une extension du processus de gestion des stocks existant avec un accent particulier porté sur les propriétés cryptographiques. La deuxième étape implique une planification détaillée avec l'hypothèse générale que la migration se fera sur une base comparable : un actif protégé par chiffrement asymétrique le sera de la même façon après la migration. L’Etsi reconnaît toutefois que certains actifs pourront être considérablement repensés et pourront peut-être même retirés de la circulation... La dernière étape est l'élément clé de la migration elle-même et le rapport de l’organisme européen propose une série de check-lists pour aborder en détail la gestion et la planification du processus.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC