
Chiffrement post-quantique : la communauté internationale a jusqu’au 23/11 pour commenter les projets de normes NIST [EDITION ABONNES] Il y a tout juste un an, le National Institute of Standards and Technology (NIST), une agence gouvernementale américaine qui fait référence dans le domaine de la gestion des risques de cybersécurité, sélectionnait – après six ans d’une dure compétition – quatre algorithmes conçus pour résister aux (futures) attaques des ordinateurs quantiques (lire notre article). Les quatre algorithmes de cryptographie post-quantiques retenus, rappelons-le, ont vocation à garantir la sécurité des plates-formes "classiques", même contre un "attaquant quantique", en particulier dans le domaine des services bancaires en ligne et des logiciels de messagerie, mais aussi dans les divers secteurs de l’embarqué, les futurs ordinateurs quantiques ayant en effet la capacité potentielle de "craquer" les algorithmes utilisés aujourd’hui. Les choses avancent puisque le NIST a désormais entamé le processus de normalisation de ces algorithmes, dernière étape avant de rendre ces outils mathématiques disponibles pour que les entreprises puissent les intégrer dans leur infrastructure de chiffrement. Dans le détail, l’agence américaine a publié des projets de normes pour trois des quatre algorithmes sélectionnés en 2022, en l’occurrence Crystals-Kyber pour le chiffrement générique, et Crystals-Dilithium et Sphincs+ pour la protection des signatures numériques. Un projet de norme pour Falcon, le quatrième algorithme, sera publié vers la mi-2024. Le NIST appelle désormais la communauté cryptographique internationale à fournir des commentaires sur les projets de normes et ce jusqu'au 22 novembre 2023 inclus. Les trois algorithmes soumis à examens seront ensuite hissés au rang de normes de sécurité FIPS (Federal Information Processing Standard), en l’occurrence FIPS 203 (pour Crystals-Kyber), FIPS 204 (pour Crystals-Dilithium) et FIPS 205 (pour Sphincs+). Les publications fourniront des détails qui aideront les utilisateurs à mettre en œuvre les algorithmes dans leurs propres systèmes, et notamment une spécification technique complète des algorithmes et des notes pour une mise en œuvre efficace. On rappellera que le NIST, en plus des quatre algorithmes déjà sélectionnés, examine en ce moment même un deuxième ensemble d'algorithmes destinés à étoffer le premier ensemble. L’agence compte dans cette perspective publier l’année prochaine des projets de normes pour chacun des algorithmes éventuellement sélectionnés. Ces algorithmes supplémentaires – probablement un ou deux – sont conçus pour le chiffrement générique, mais ils reposent sur des problèmes mathématiques différents de ceux de Crystals-Kyber. Ils devraient offrir des méthodes de défense alternatives si l'un des premiers algorithmes de chiffrement post-quantique sélectionnés montre une faiblesse à l'avenir.

Chiffrement post-quantique : la communauté internationale a jusqu’au 23/11 pour commenter les projets de normes NIST

[EDITION ABONNES] Il y a tout juste un an, le National Institute of Standards and Technology (NIST), une agence gouvernementale américaine qui fait référence dans le domaine de la gestion des risques de cybersécurité, sélectionnait – après six ans d’une dure compétition – quatre algorithmes conçus pour résister aux (futures) attaques des ordinateurs quantiques (lire notre article).

Les quatre algorithmes de cryptographie post-quantiques retenus, rappelons-le, ont vocation à garantir la sécurité des plates-formes "classiques", même contre un "attaquant quantique", en particulier dans le domaine des services bancaires en ligne et des logiciels de messagerie, mais aussi dans les divers secteurs de l’embarqué, les futurs ordinateurs quantiques ayant en effet la capacité potentielle de "craquer" les algorithmes utilisés aujourd’hui.

Les choses avancent puisque le NIST a désormais entamé le processus de normalisation de ces algorithmes, dernière étape avant de rendre ces outils mathématiques disponibles pour que les entreprises puissent les intégrer dans leur infrastructure de chiffrement.

Dans le détail, l’agence américaine a publié des projets de normes pour trois des quatre algorithmes sélectionnés en 2022, en l’occurrence Crystals-Kyber pour le chiffrement générique, et Crystals-Dilithium et Sphincs+ pour la protection des signatures numériques. Un projet de norme pour Falcon, le quatrième algorithme, sera publié vers la mi-2024.

Le NIST appelle désormais la communauté cryptographique internationale à fournir des commentaires sur les projets de normes et ce jusqu'au 22 novembre 2023 inclus. Les trois algorithmes soumis à examens seront ensuite hissés au rang de normes de sécurité FIPS (Federal Information Processing Standard), en l’occurrence FIPS 203 (pour Crystals-Kyber), FIPS 204 (pour Crystals-Dilithium) et FIPS 205 (pour Sphincs+). Les publications fourniront des détails qui aideront les utilisateurs à mettre en œuvre les algorithmes dans leurs propres systèmes, et notamment une spécification technique complète des algorithmes et des notes pour une mise en œuvre efficace.

On rappellera que le NIST, en plus des quatre algorithmes déjà sélectionnés, examine en ce moment même un deuxième ensemble d'algorithmes destinés à étoffer le premier ensemble. L’agence compte dans cette perspective publier l’année prochaine des projets de normes pour chacun des algorithmes éventuellement sélectionnés. Ces algorithmes supplémentaires – probablement un ou deux – sont conçus pour le chiffrement générique, mais ils reposent sur des problèmes mathématiques différents de ceux de Crystals-Kyber. Ils devraient offrir des méthodes de défense alternatives si l'un des premiers algorithmes de chiffrement post-quantique sélectionnés montre une faiblesse à l'avenir.