Nous commençons à voir le début de la fin - ou la fin du début - de la façon dont nous avons procédé sur le site PKI au cours des 30 dernières années. La menace de l'informatique quantique contre nos bien-aimées clés RSA et EC, bien qu'elle ait été annoncée, ne se concrétisera pas avant dix ans, comme cela a été le cas au cours des vingt dernières années.
De nouveaux domaines de la physique ou de l'informatique doivent être découverts avant que quiconque puisse construire un ordinateur quantique capable de casser les clés asymétriques contemporaines. À moins que ces progrès scientifiques ne changent véritablement la face du monde, la construction d'un ordinateur quantique restera l'apanage de quelques grands acteurs.
Malgré cela, il y a de bonnes raisons de prendre la menace au sérieux - un tel saut pourrait se produire plus rapidement que nous ne le prévoyons, et nous devons encore protéger une grande partie des données que nous envoyons aujourd'hui contre un décryptage non désiré des décennies plus tard.
Alors que la compétition et l'évaluation en cours par le NIST des algorithmes à sécurité quantique devraient, espérons-le, s'achever vers le milieu de cette année, les algorithmes de chiffrement eux-mêmes ne sont, bien sûr, qu'une pièce du puzzle. La gestion des clés, d'un point de vue pratique, repose sur la prise en charge des algorithmes choisis par les fournisseurs de HSM, et l'écosystème PKI doit également migrer. Bien que la production de certificats X.509 à l'aide des candidats du NIST ait été expérimentée pendant plusieurs années, nous avons vu avec la migration de SHA1 que le défi réside dans la transition.
Le problème pratique comporte deux éléments principaux :
- Il faudra du temps pour que tous les clients prennent en charge les nouveaux algorithmes.
- Les certificats peuvent être délivrés pour une durée de validité de plusieurs années.
Ignorer l'un ou l'autre de ces deux points et opter pour un passage à l'atome unique peut avoir et aura un impact sur la société dans de nombreux domaines.
Heureusement, ce problème n'a pas été ignoré et plusieurs candidats à des certificats transitoires, capables de gérer à la fois des clés anciennes et des clés à sécurité quantique, sont en cours d'élaboration. Comme pour les algorithmes de chiffrement, chacun a ses avantages et ses inconvénients, et des domaines d'application différents.
Explorons quelques-unes des différentes options ci-dessous sur les options post-quantiques.
Certificats hybrides
Hybrideségalement connu sous le nom de Catalyst ou X.509 Alternative, est la plus simple et la plus directe des propositions. Le projet est promu par l'ISARA, Entrust et Cisco, et bien qu'il ait été (in)célèbre il y a quelques années pour des questions de brevets, celles-ci ont été résolues depuis. Comme le suggère l'un de ses noms, c'est à ce jour la seule proposition qui a été normalisée en tant que clé alternative X.509 et qui fait l'objet de discussions au sein de l'ITU-T X.509, X9.146 (20240122), ainsi que dans un contexte non quantique au sein de l'ISO 15118-20.
La norme de certificat hybride propose d'ajouter trois extensions non critiques, à savoir
- La clé alternative
- L'algorithme de signature alternatif
- La signature alternative
Dans la pratique, l'ancienne signature est construite sur l'ensemble du certificat, à l'exception de l'autre signature, tandis que l'autre signature est construite sur l'ensemble du certificat, à l'exception de l'ancienne signature.
La nature non critique des extensions signifie que les clients existants ne sont pas affectés par la rencontre d'un certificat hybride, tandis que la simplicité de la mise en œuvre favorise un soutien généralisé de la part des émetteurs de certificats et des consommateurs. En outre, la norme ISO 15118-20 étudie actuellement des cas d'utilisation non quantiques dans lesquels il peut être avantageux de fournir une clé de signature et une clé de chiffrement dans un seul certificat.
Le jour venu, la transition consisterait à ce que le serveur et le client acceptent d'utiliser uniquement la clé publique définie dans l'extension au lieu de celle encodée dans le champ X.509 standard.
Keyfactor EJBCA prend totalement en charge les certificats hybrides (ainsi que Dilithum, Falcon et Kyber dans leur état actuel de candidats) à partir de EJBCA 8.3.0.
Caméléons
Tout en remportant d'emblée la palme du nom et du concept les plus intéressants, les Caméléons poussent plus loin le concept des hybrides. Le projet Chameleon, rédigé par DigiCert et Entrust, implique l'émission de deux certificats au cours du même processus d'émission :
- Un certificat de base
- Un certificat Delta
En partant de la fin, le certificat Delta utiliserait alors des algorithmes de chiffrement à sécurité quantique, tandis que le certificat de base contiendrait une clé publique héritée et l'ajout d'une extension non critique appelée Descriptor. La clé de la transition réside dans le fait que le certificat Delta peut être dérivé en utilisant la base et le descripteur, ce qui permet une transition alors que la nature non critique de l'extension ne bloque pas les clients existants.
L'avantage des caméléons par rapport aux hybrides est que les deux certificats peuvent avoir non seulement des clés différentes, mais aussi des validités et des utilisations de clés différentes. Ils peuvent même être révoqués indépendamment l'un de l'autre. Il s'agit non seulement d'une solution élégante, mais elle permet aux caméléons d'avoir de nombreuses autres utilisations, comme la possibilité de dériver un certificat SMIME à partir d'un certificat TLS . Cependant, la complexité supplémentaire crée naturellement un obstacle plus important pour les émetteurs et les consommateurs.
Composites
Les certificats composites, dont le projet est promu par Entrust, CableLabs et D-Trust, sont la première proposition à impliquer une rupture nette avec X.509.
Les composites adoptent une approche différente en utilisant une forme de signature complexe appelée signature composite, dans laquelle plusieurs signatures sont combinées en une seule construction, qui reste valide même si un ou plusieurs (mais pas tous) des algorithmes de chiffrement sont cassés. Cela permet non seulement de résoudre le problème de la transition, mais aussi de tenir compte de la relative nouveauté des mathématiques qui sous-tendent la plupart des algorithmes de chiffrement candidats du NIST, afin de minimiser l'impact en cas de découverte d'une vulnérabilité dans quelques années.
Le principal inconvénient de Composites peut également être considéré comme son principal avantage, à savoir l'absence de compatibilité ascendante. Les douleurs liées à la dépréciation de SHA1 sont encore vives pour beaucoup en raison de l'inertie du côté du client, et forcer une rupture nette pourrait être la meilleure solution pour l'écosystème.
Un autre problème non trivial hérité des chiffrements à sécurité quantique est la taille des clés et/ou des signatures qui leur sont associées (en fonction du chiffre), ce qui fait que les composites dotés de plusieurs clés à sécurité quantique ne sont peut-être pas un bon choix pour les applications exigeantes en termes de bande passante.
Certificats Merkle Tree
Même en 2024, le battage médiatique autour de la blockchain continue de faire parler de lui. Non, je plaisante. Comme le proposent Google et Cloudflare, les certificats Merkle Tree renoncent à inclure une signature dans le certificat lui-même, principalement pour contrer les grandes tailles de signature associées aux algorithmes de chiffrement à sécurité quantique, comme nous l'avons vu précédemment.
Au lieu de cela, les signatures seraient stockées dans un arbre de Merkle, généralement dans les journaux de transparence des certificats basés sur Trillian, déjà utilisés dans la sphère publique TLS depuis de nombreuses années. Cela permettrait aux certificats à sécurité quantique de conserver une taille inférieure à 1 000 octets, ce qui constituerait un avantage décisif sur le site TLS et dans d'autres environnements à faible bande passante.
Cette solution présente toutefois des inconvénients, le plus évident étant qu'un consommateur de certificat doit être connecté au(x) journal(s) afin de vérifier le certificat, ce qui ajoute un autre élément critique au temps de fonctionnement du journal. Il peut également y avoir un délai important entre la délivrance et l'utilisation, pouvant aller jusqu'à une heure, en raison des calculs complexes nécessaires pour encoder un autre nœud dans un journal - même les auteurs du projet reconnaissent qu'il s'agit là d'un inconvénient sérieux.
Résumé
Contrairement à l'évaluation du chiffrement à sécurité quantique, aucun organisme gouvernemental ne décide laquelle des normes proposées deviendra la nouvelle norme. Bien qu'elles varient considérablement en termes de complexité et d'impact, les partisans de chacune d'entre elles prévoient un cas d'utilisation qu'elles doivent résoudre, et c'est donc le marché lui-même qui décidera en fin de compte de l'endroit où nous atterrirons.
À l'adresse Keyfactor, les défis techniques sont la raison pour laquelle nous nous brossons les dents et mettons nos chaussettes le matin ; par conséquent, proposer de nouveaux cas d'utilisation et de nouvelles solutions revient simplement à nous menacer de passer un bon moment. Ainsi, alors que le Ragnarök quantique se profile à l'horizon, de notre point de vue, l'avenir est radieux.
Prenez quelques minutes pour explorer le PQC Lab de Keyfactor, un endroit où les responsables informatiques, les professionnels de la sécurité et les développeurs peuvent apprendre, explorer et se préparer au monde post-quantique.
