Se préparer à un monde quantique : Examen de la trajectoire de migration des certificats hybrides

Pour la migration vers la cryptographie à sécurité quantiquele terme "hybride" est souvent utilisé. Dans certaines discussions, le terme lui-même conduit à un examen plus approfondi de ce qu'il signifie réellement.

Le terme "cryptosystème hybride" de Wikipedia n'est pas utile, car il le décrit comme une combinaison de cryptosystèmes asymétriques et symétriques. Ce n'est pas ce qu'il signifie dans le contexte des discussions sur la cryptographie post-quantique.

Ce que tout le monde entend par "cryptographie hybride" dans le contexte de la sécurité quantique, c'est la combinaison de la cryptographie asymétrique classique avec la cryptographie asymétrique post-quantique. Par exemple, EC + Dilithium, RSA + SPHINCS+, ECDH + Kyber, ou d'autres combinaisons où les algorithmes classiques ou traditionnels signifient généralement RSA ou EC et les post-quantiques signifient Dilithium SPHINCS+, Kyber, ou l'un des autres algorithmes post-quantiques proposés.

Si les nouveaux algorithmes post-quantiques sont contre un futur ordinateur quantique, pourquoi voudrions-nous des systèmes hybrides ?Pourquoi voudrions-nous des systèmes hybrides ? C'est une question que beaucoup de gens se posent. Et il est vrai qu'il y a un débat dans la communauté sur la nécessité des systèmes hybrides, et sur les avantages et les inconvénients des différents systèmes hybrides. Il y a (au moins) deux arguments en faveur des systèmes hybrides :

1. Au cours d'une phase de migration, il y aura des points d'extrémité compatibles avec le PQC et d'autres qui ne le sont pas. Pour leur permettre de communiquer, il faut une solution hybride rétrocompatible dans laquelle ils peuvent négocier les capacités. Si les deux points d'extrémité sont compatibles avec la PQC, ils peuvent utiliser la cryptographie post-quantique, mais si l'un des points d'extrémité n'est pas compatible avec la PQC, il peut se rabattre sur le cryptage classique.
2. Certains des nouveaux algorithmes post-quantiques et leurs implémentations ne sont pas aussi bien analysés et testés que les algorithmes de cryptage classiques, ce qui fait craindre que certains algorithmes PQC puissent, à l'avenir, être cassés par les ordinateurs d'aujourd'hui. En combinant astucieusement les algorithmes dans une conception hybride, il est possible d'imposer la vérification des deux. Si un futur ordinateur quantique casse RSA et EC alors que les algorithmes PQC sont sûrs, la partie PQC du système hybride protégera l'ensemble. Si les ordinateurs actuels sont capables de casser les algorithmes PQC et qu'il n'existe pas d'ordinateur quantique pertinent sur le plan cryptographique, l'algorithme classique protège l'ensemble.

Trois cas d'utilisation immédiate de la cryptographie hybride sont faciles à identifier :

• TLS connexions : protection des données en transit contre le décryptage par les ordinateurs d'aujourd'hui et les ordinateurs quantiques potentiels de demain.
  

• Identités numériques : généralement sous la forme de certificats pour protéger l'authentification contre les menaces actuelles et futures.
  

• Signatures numériques : protéger l'intégrité du code et des documents à l'avenir.

Certaines organisations sont opposées aux systèmes hybrides, tandis que d'autres y sont favorables. en favou. Les deux ont des arguments pour et contre, comme I mentionné plus haut. La conclusion la plus facile à tirer est que "cela dépend," qui est, malheureusement, l'une des phrases les plus utilisées dans le domaine de la cybersécurité lorsqu'on demande des conseils simples.Malheureusement, c'est l'une des phrases les plus utilisées dans le domaine de la cybersécurité lorsqu'il s'agit de donner un conseil simple. La question de savoir si l'on a besoin ou si l'on veut des systèmes hybrides dépends du cas d'utilisation, du niveau de menace, de la capacité à gérer la complexité et de nombreux autres facteurs.

Si j'osais oser tirer une quelconque de lansus, il y a beaucoup d'organisations compétentes dans le monde et si quelqu'unquelqu'un considère les systèmes hybrides comme essentiels, je ne m'y opposerai pas. Mais s'ils considèrent les systèmes hybrides comme essentiels, je ne m'y opposerai pas.s'ils considèrent les systèmes hybrides inutiles, je ne m'y opposerai pas non plus. En l'état actuel des choses, nous probablement devront vivre avec des solutions hybrides et non hybrides pendant longtemps.

Nous avons Nous avons identifié quatre voies de migration PKI différentes, en utilisant différents types de solutions non hybrides et de solutions hybrides actuellement proposées. Les noms donnés aux différentes approches sont de mon cru. La stratégie à adopter par une organisation dépend du cas d'utilisation et du degré de contrôle qu'elle exerce sur les points d'extrémité et leurs capacités.

1. Migration complète avec coupure nette : Un nouveau site PKI est créé à l'aide d'un algorithme post-quantique. Lorsque tous les points d'extrémité sont compatibles avec l'algorithme PQC, le site PKI classique est retiré et les certificats sont délivrés à partir du nouveau site PQC PKI. L'ancien PKI est fermé très rapidement après la mise en production du nouveau PKI .
2. Migration transitoire avec coupure douce : Un nouveau site PKI est mis en place à l'aide d'un algorithme post-quantique. Les deux ICP fonctionnent en parallèle et les clients peuvent recevoir un certificat classique ou un certificat PQC, ou les deux, en fonction de leurs capacités. L'ancienne et la nouvelle PKI fonctionnent en parallèle pendant une longue période.
3. Migration hybride rétrocompatible : Lorsqu'un nouveau site PKI est mis en place avec des certificats hybrides rétrocompatibles. Le nouveau site PKI peut délivrer des certificats à des dispositifs compatibles PQC, et les dispositifs non compatibles PQC ignoreront simplement les algorithmes PQC et négocieront la cryptographie classique. L'ancien site PKI peut être fermé et remplacé par le nouveau site hybride rétrocompatible PKI.
4. Migration composite non rétrocompatible : Lorsqu'un nouveau site PKI est créé avec des certificats hybrides non rétrocompatibles (composites). Semblable à une coupure dure ou douce en ce sens que les certificats PQC ne peuvent être délivrés qu'à des dispositifs capables de PQC, avec la caractéristique supplémentaire que la cryptographie post-quantique est également protégée par la cryptographie classique.

Les avantages et les inconvénients des différentes stratégies, et les exigences en matière d'environnement sont des sujets qui feront l'objet d'un autre article. Bien entendu, rien n'empêche de combiner les stratégies susmentionnées.

La migration vers un ensemble complet de nouveaux algorithmes ne sera pas une promenade de santé. Quelque chose peut sembler simple, mais en général, il y a beaucoup de choses qui existent avec des centaines de milliers de cas d'utilisation différents et des millions d'environnements différents. Il n'existe pas de solution unique, c'est pourquoi nous devons élaborer des stratégies de migration multiples et différentes, ce qui, malheureusement, ajoute à la complexité.

En attendant, découvrez comment les organisations font des progrès pour préparer et protéger leurs données contre la menace future de l'informatique quantique dans notre rapport, The State of Quantum Readiness in 2024(L'état de préparation à l'informatique quantique en 2024).