Le National Institute of Standards and Technology (NIST) a annoncé les choix définitifs pour le troisième tour de son concours post-quantique. Comme tous les bons thrillers, le chapitre du troisième tour s'est terminé par un léger rebondissement.
En décembre 2016, le NIST a annoncé un concours visant à sélectionner de nouveaux algorithmes de chiffrement à clé publique résistants au quantum, qui remplaceront à terme les algorithmes de cryptographie à clé publique standard (comme RSA), car ils deviennent de plus en plus vulnérables aux progrès de la technologie. Si vous souhaitez en savoir plus, mon collègue Ted Shorter a récemment couvert l'histoire de la compétition et pourquoi elle est importante dans sa rubrique Forbes.
Les algorithmes figurant sur la liste de normalisation sont CRYSTALS-KYBER, CRYSTALS-Dilithium, Falcon et SPHINCS+. Le premier est un algorithme de chiffrement, ou plus précisément un mécanisme d'encapsulation de clés (KEM), et les trois derniers sont des algorithmes de signature. C'est un peu une surprise, car l'intention initiale était de sélectionner deux algorithmes dans chaque catégorie et un seul algorithme basé sur un treillis dans chaque classe. Au lieu de cela, nous avons un KEM et trois signatures, deux des algorithmes de signature étant basés sur des treillis !
Un quatrième tour a également été annoncé, avec les algorithmes suivants sélectionnés : BIKE, Classic McEliece, HQC et SIKE. Il s'agit également de KEM. Cela ne signifie pas que la recherche d'algorithmes de signature est terminée, mais qu'un nouvel appel à algorithmes de signature sera lancé dans le courant de l'année. Il est possible que certains des candidats de la troisième série ou des candidats alternatifs soient relancés pour être soumis à cette occasion.
Où en sommes-nous maintenant ? Si vous voulez vous limiter aux finalistes du troisième tour, la réponse la plus simple est de regarder le cadre CRYSTAL. Si l'utilisation de la bande passante et la vitesse de vérification sont importantes pour vous, vous pouvez également vous tourner vers Falcon. D'autre part, si vous recherchez un schéma de signature conservateur qui repose sur une primitive (relativement) simple, SPHINCS+, bien qu'un peu plus lent et un peu plus grand, est également une bonne option.
Si les KEM sont votre truc, n'oubliez pas le cycle 4. Bien que CRYSTALS-KYBER se soit imposé comme le premier choix, les caractéristiques de certains algorithmes du quatrième tour sont assez différentes de celles de CRYSTALS-KYBER. Il est donc encore possible de faire des compromis entre les besoins en bande passante et la vitesse des différentes opérations.
Si vous souhaitez en savoir plus, le rapport sur l'état d'avancement de la troisième série est disponible ici. Le document, en particulier la section 4, vaut la peine d'être lu. Le point le plus important est sans doute qu'il apparaît que seuls Rainbow et GeMSS, tels qu'ils ont été présentés lors du troisième cycle, ont été finalement rejetés pour des raisons de sécurité. FrodoKEM, par exemple, a même été jugé louable pour sa conception conservatrice, mais pas pour ses performances. Il est probable que nous entendrons parler de certains des autres candidats du troisième tour à l'avenir.
Enfin, du point de vue de la Bouncy Castle nous disposons désormais de la dernière version de SPHINCS+, ainsi que des candidats SIKE et Classic McEliece de l'épreuve 4. Nous espérons publier les autres bientôt. Vous pouvez les trouver sur le dépôt GitHub de Bouncy Castleici avec des implémentations en Java et en C#. Bouncy Castle a également attribué des identifiants non officiels pour rendre possible la génération de certificats et SPHINCS+ est maintenant également dans la dernière version de Signserver Community avec d'autres à suivre.
N'oubliez pas que même les finalistes retenus peuvent changer légèrement avant que le NIST ne publie les normes définitives. Il ne s'agit donc pas d'implémentations qu'il faut se hâter de mettre en production, surtout s'il s'agit d'un projet à long terme, mais si vous voulez savoir dans quelle mesure vos systèmes sont vraiment crypto-agiles, les nouveaux algorithmes valent la peine d'être essayés et il existe maintenant des outils pour rendre cela possible.
