Aktuelles
Les nouveaux algorithmes à sécurité quantique sont là, et maintenant ?
novembre 2024 par Pierre Codis, Directeur de Ventes France Benelux et Europe du Sud, de Keyfactor
Après une attente de plusieurs années, les normes fédérales de traitement de l’information finales pour les trois premiers algorithmes cryptographiques à sécurité quantique FIPS 203 (méthode d’encapsulation de clés ML-KEM, basée sur l’algorithme Kyber, soumise au concours d’algorithmes PQC), FIPS 204 (algorithme de signature numérique le plus générique, ML-DSA, basé sur l’algorithme Dilithium) et FIPS 205 (algorithme de signature numérique par hachage, basé sur l’algorithme SPHINCS+) sont enfin disponibles.
A quoi s’attendre maintenant que les normes définitives sont disponibles ?
La publication des algorithmes à sécurité quantique a inauguré une période d’activité intense, les fournisseurs de technologie s’efforçant d’effectuer les mises à jour nécessaires. Certaines de ces mises à jour peuvent être effectuées simultanément, tandis que d’autres doivent être effectuées de manière séquentielle, ce qui signifie qu’il faudra attendre quelques mois avant que tout soit entièrement mis à jour. Vont être concernés :
• Les mises à jour structurelles : les organismes de normalisation finaliseront et publieront des mises à jour pour les structures telles que les certificats X509, les messages CMS, TLS,
• Les mises à jour des bibliothèques cryptographiques : Les fournisseurs ont et continuent à mettre à jour les bibliothèques cryptographiques pour les adapter aux nouveaux algorithmes. A titre d’exemple, BouncyCastle est d’ores et déjà disponible et OpenSSL le sera bientôt.
• Les tests d’interopérabilité : Les équipes devront mener de nouveaux tests d’interopérabilité entre différentes bibliothèques, à la fois par rapport aux serveurs de test du NIST pour les algorithmes eux-mêmes et par rapport à des structures telles que les certificats et les messages CMS sous l’égide de l’IETF.
• Les mises à jour des applications : Une fois qu’elles seront publiées, les fournisseurs mettront à jour les applications avec les nouvelles versions des bibliothèques cryptographiques et d’autres détails de gestion, tels que les noms dans les interfaces utilisateur et les OID.
• L’assurance qualité : Les fournisseurs devront également mener des efforts d’assurance qualité pour s’assurer que tout fonctionne correctement et en toute sécurité une fois les nouvelles mises à jour en place.
Et ce n’est qu’un début, il s’agit également de prendre en compte les mises à jour matérielles, car les modules de sécurité matériels (HSM) sont obligatoires dans la plupart des environnements de production. Par conséquent, les fournisseurs de HSM travaillent déjà sur des microprogrammes pour prendre en charge les nouveaux algorithmes. Ces mises à jour impliquent également des normes, telles que PKCS#11, qui doivent être mises à jour par l’organisation de normalisation.
Une fois que le nouveau firmware HSM est disponible, les équipes peuvent mener des tests d’intégration afin de fournir un système PKI entièrement testé. La bonne nouvelle, c’est que la plupart des équipes ayant testé les projets d’algorithmes, tout est déjà prêt pour tester les normes finales le plus rapidement possible.
Combien de temps ces mises à jour peuvent-elles prendre ?
Entre le nombre d’étapes à franchir et le fait qu’il s’agit de cybersécurité, il y a forcément des surprises. Toutefois, on estime que dans un premier temps les bibliothèques cryptographiques seront mises à jour, suivies par des applications, et enfin, une nouvelle intégration HSM. Ce qui laisse à supposer que les systèmes seront entièrement intégrés et prêts à être mis en production à temps pour la fin 2025. Ce calendrier dépendra également des caractéristiques spécifiques liées à chaque entreprise.
Ainsi, la certification FIPS est très importante pour certaines organisations, mais elle est encore en cours d’élaboration au NIST. Cela signifie que la certification FIPS ne sera probablement pas terminée au moment où les nouveaux modules cryptographiques et HSM seront prêts. Il est difficile de prévoir le calendrier exact de la certification ; historiquement, il a varié entre 2 et 18 mois, en fonction de la file d’attente au NIST et d’autres facteurs. Il est donc raisonnable d’imaginer qu’elle soit finalisée au cours de l’année 2025.
Même si la certification FIPS est importante, il convient de ne pas laisser pas l’absence de certification retarder les projets, des solutions non certifiées pouvant être déployées dans le cadre de tests pour faciliter le passage à la production le moment venu.
Planifier, planifier, planifier : comment anticiper le changement ?
Le jeu de l’informatique post-quantique s’accélère. Le sprint final est lancé, et l’on a basculé de la phase de planification à la phase de mise en œuvre de la transition. Que faire maintenant ? Commencer à planifier une mise à jour des systèmes de test vers les algorithmes finaux pour les mettre en production, s’assurez-vous que les fournisseurs disposent d’une feuille de route pour la prise en charge des versions finales des algorithmes, continuer à travailler sur la découverte, la crypto-agilité et la planification des migrations cryptographiques.
Il est essentiel de ne pas perdre de temps, car la transition est en marche.
