Note de la rédaction : Nous remercions tout particulièrement Tomas Gustavsson et David Hook, deux des plus grands experts de la cryptographie appliquée et de l'PKI, d'avoir rédigé ce blog. Les idées et la profondeur technique partagées ici sont le résultat direct de leur profonde expertise et de leur étroite collaboration.
À mesure que le paysage de la cryptographie post-quantique (PQC) évolue, une chose est claire : le succès ne viendra pas d'un travail isolé. L'interopérabilité - entre les algorithmes, les bibliothèques, les protocoles et l'infrastructure réelle - est essentielle pour rendre la PQC utilisable, fiable et sûre à grande échelle.
Chez Keyfactor, nous avons adopté une approche pratique de la CQP en testant et en contribuant activement à nos produits - en commençant par EJBCA, SignServer et Bouncy Castle - et en nous engageant avec l'écosystème plus large, y compris OpenSSL, CryptLib, WolfSSL, les vendeurs de modules de sécurité Hardware et les organismes de normes ouvertes tels que l'IETF, le NIST et X9.
Notre objectif est simple : démontrer que la cryptographie post-quantique n'est pas une simple idée théorique - elle fonctionne. Aujourd'hui.
Il ne s'agit pas seulement de nous. Il s'agit de collaboration, car lorsque nous testons ensemble, que nous partageons ouvertement les résultats et que nous itérons avec la communauté, tout le monde en profite.
Un laboratoire vivant pour l'interopérabilité des CQP
Nous maintenons une ressource vivante qui documente les tests d'interopérabilité du monde réel avec les algorithmes, les protocoles et les formats PQC à travers de multiples outils et étapes du cycle de vie. Nous souhaitons partager des configurations et des observations pratiques qui reflètent ce qui est réellement nécessaire pour faire fonctionner la PQC dans les déploiements modernes d'PKI et de signature.
Voici un aperçu de ce que nous avons testé jusqu'à présent :
TLS 1.3 Authentification + échange de clés
- Cas d'utilisation :TLS mutuel (mTLS) avec des certificats PQC
- Outils : EJBCA + OpenSSL 3.5 + Bouncy Castle
- Résultat : Succès de l'utilisation de ML-DSA pour l'authentification et de ML-KEM pour l'échange de clés - une étape importante vers des communications sécurisées crypto-agiles.
Signature et validation du CMS
- Cas d'utilisation : Signature de codes, de conteneurs et de documents avec PQC
- Outils : SignServer, Bouncy Castle, OpenSSL
- Résultat : Vérification inter-bibliothèques des messages signés par la CMS avec ML-DSA et SLH-DSA. Le cryptage avec ML-KEM a également été validé.
Délivrance de certificats
- Cas d'utilisation : Délivrer, renouveler et révoquer des certificats compatibles PQC
- Outils : EJBCA, Bouncy Castle, OpenSSL
- Résultat : Les CSR PQC sont générés et traités ; les certificats, les LCR et les réponses OCSP sont validés dans toutes les bibliothèques.
Certificats hybrides
- Cas d'utilisation : Migration progressive à l'aide de certificats hybrides (par exemple, ECDSA + ML-DSA)
- Outils : EJBCA, Bouncy Castle et WolfSSL
- Résultat : TLS avec des certificats hybrides fonctionne aujourd'hui. Les tests sont en cours dans le cadre de la norme X9.146. D'autres tests sont en cours pour des cas particuliers tels que le stockage à double clé et la validation de signature.
Modules de sécuritéHardware (HSM)
- Cas d'utilisation : Gestion des clés PQC dans du hardware sécurisé
- Fournisseurs : Securosys, Fortanix, Crypto4A, Utimaco et CryptoNext
- Résultats : Premiers succès avec le support LMS et ML-DSA, avec des travaux en cours pour valider les limites de taille des objets et les cas limites d'intégration.
La collaboration stimule l'innovation et les normes
Ce travail est possible grâce à la collaboration active entre les responsables de la maintenance, les responsables de la mise en œuvre et l'ensemble de la communauté des open-source . En participant au IETF PQC Hackathon et contribuer aux tests continus de l 'ACVP nous permet de détecter les bogues à temps, de nous aligner sur les projets en évolution et de faire avancer les défis communs - de la gestion de la taille des signatures aux nuances d'encodage des clés privées, des CMS et des PKCS#12.
Ces collaborations ne sont pas seulement techniques. Elles contribuent à instaurer la confiance, la transparence et l'alignement - des ingrédients essentiels lorsqu'il s'agit de déployer quelque chose d'aussi fondamental que de nouvelles primitives cryptographiques.
Rejoignez le voyage - Essayez vous-même
Si vous travaillez dans le domaine de l'PKI, de la signature ou de l'infrastructure de sécurité, il est temps de commencer à expérimenter la CQP. Vous n'avez pas besoin d'attendre les normes finales - les protocoles, les formats et les mises à jour d'algorithmes sont stables, et des bibliothèques comme Bouncy Castle et OpenSSL prennent déjà en charge des implémentations testables.
Nous mettons continuellement à jour notre environnement de laboratoire de cryptographie post-quantique (PQC) pour prendre en charge de nouveaux cas d'utilisation. Essayez-le dès aujourd'hui !
Cette page présente nos efforts en matière de tests d'interopérabilité. Nous la mettrons à jour au fur et à mesure de nos progrès : Interopérabilité et cryptographie prête pour l'avenir
L'EJBCA, SignServer et Bouncy Castle offrent également une interopérabilité et une couverture de certification plus larges que le PQC, répondant ainsi à vos besoins dans le cadre des normes cryptographiques actuelles et futures.
EJBCA :ejbca
SignServer :signserver
Bouncy Castle :bouncycastle
Ressources connexes
Pour en savoir plus sur les outils, les normes et la collaboration qui font progresser le CQP, consultez ces références clés :
IETF Hackathon - Certificats PQC : https://github.com/IETF-Hackathon/pqc-certificates?tab=readme-ov-file#ietf-hackathon-pqc-certificates
Almanach PQC : https://downloads.bouncycastle.org/java/docs/PQC-Almanac.pdf
Faisons en sorte que le PQC ne soit pas seulement prêt, mais qu'il soit utilisable, fiable et digne de confiance. Ensemble.
