Le compte à rebours est lancé pour Keyfactor Tech Days | Réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • PQC
  • Les nouveaux algorithmes à sécurité quantique sont là, et maintenant ?

Les nouveaux algorithmes à sécurité quantique sont là, et maintenant ?

PQC

L'attente de plusieurs années est terminée : Les normes fédérales de traitement de l'information (FIPS) définitives pour les trois premiers algorithmes cryptographiques à sécurité quantique sont enfin disponibles. algorithmes cryptographiques à sécurité quantique.

  1. FIPS 203 est la méthode d'encapsulation de clés ML-KEM, basée sur l'algorithme Kyber, soumise au concours d'algorithmes PQC.
  2. FIPS 204 est l'algorithme de signature numérique le plus générique, ML-DSA, basé sur l'algorithme Dilithium.
  3. FIPS 205 est l'algorithme de signature numérique par hachage, basé sur l'algorithme SPHINCS+.

Avec la publication des normes finales, il est important d'abandonner les projets d'algorithmes puisque les identifiants qui leur sont associés (OIDS) sont désormais obsolètes. Tout travail effectué avec les projets sera encore utile puisque les caractéristiques sont similaires dans les algorithmes finaux, mais toute l'interopérabilité future repose sur les normes finales.

Au-delà de l'abandon des projets d'algorithmes, à quoi peut-on s'attendre maintenant que les normes définitives sont disponibles ? Voici ce qu'il faut savoir.

Des mises à jour partout : Que peut-on attendre des fournisseurs de technologie ?

La publication de ces algorithmes à sécurité quantique a inauguré une période de forte activité, les fournisseurs de technologie s'efforçant d'effectuer les mises à jour nécessaires. Certaines de ces mises à jour peuvent être effectuées simultanément, tandis que d'autres doivent être effectuées de manière séquentielle, ce qui signifie qu'il faudra attendre quelques mois avant que tout soit en place et entièrement mis à jour. 

Les principales activités des vendeurs de software sont les suivantes

  • Mises à jour structurelles : Les organismes de normalisation finaliseront et publieront des mises à jour pour les structures telles que les certificats et les messages CMS.
  • Mises à jour des bibliothèques cryptographiques : Les fournisseurs mettront à jour les bibliothèques cryptographiques pour les adapter aux nouveaux algorithmes. Pour Keyfactor, cela signifie mettre à jour les API cryptographiques de Bouncy Castle , ce qui est une priorité absolue pour notre équipe.
  • Tests d'interopérabilité : Les équipes devront mener de nouveaux tests d'interopérabilité entre différentes bibliothèques, à la fois par rapport aux serveurs de test du NIST pour les algorithmes eux-mêmes et par rapport à des structures telles que les certificats et les messages CMS sous l'égide de l'IETF.
  • Mises à jour des applications : Une fois qu'elles seront publiées, les fournisseurs mettront à jour les applications avec les nouvelles versions des bibliothèques cryptographiques et d'autres détails de gestion, tels que les noms dans les interfaces utilisateur et les OID.
  • L'assurance qualité : Les fournisseurs devront également mener des efforts d'assurance qualité pour s'assurer que tout fonctionne correctement et en toute sécurité une fois les nouvelles mises à jour en place.

Et le travail ne s'arrête pas là. Nous devons également prendre en compte les mises à jour de hardware , car les modules de sécurité hardware (HSM) sont obligatoires dans la plupart des environnements de production. Par conséquent, les fournisseurs de HSM travaillent déjà sur des microprogrammes pour prendre en charge les nouveaux algorithmes. Ces mises à jour impliquent également des normes, telles que PKCS#11, qui doivent être mises à jour par l'organisation de normalisation. 

Une fois que le nouveau firmware HSM est disponible, les équipes peuvent mener des tests d'intégration afin de fournir un système PKI entièrement testé. La bonne nouvelle, c'est que la plupart des équipes ayant testé les projets d'algorithmes, tout est déjà prêt pour tester les normes finales le plus rapidement possible. 

Le jeu de l'attente : Combien de temps les mises à jour peuvent-elles prendre ?

Comme presque tout doit être mis à jour, à quoi peut-on s'attendre en ce qui concerne le calendrier ? Entre le nombre d'étapes à franchir et le fait qu'il s'agit de cybersécurité, il y a forcément des surprises, et il est donc difficile de fixer un calendrier précis.

Cela dit, si tout se passe comme prévu, nous pouvons nous attendre à voir d'abord des bibliothèques cryptographiques mises à jour, suivies par des applications mises à jour, et enfin, une nouvelle intégration HSM. Avec un peu de chance, nous pourrons présenter un système entièrement intégré et prêt à être mis en production à temps pour les fêtes de fin d'année. Bien entendu, le calendrier exact dépendra également des caractéristiques spécifiques dont chaque organisation a besoin dans le produit final.

Par exemple, la certification FIPS est très importante pour certaines organisations, mais elle est encore en cours d'élaboration au NIST. Cela signifie que la certification FIPS ne sera probablement pas terminée au moment où les nouveaux modules cryptographiques et HSM seront prêts. Il est difficile de prévoir le calendrier exact de la certification ; historiquement, il a varié entre deux et 18 mois, en fonction de la file d'attente au NIST et d'autres facteurs. Sur la base de ces antécédents, on peut raisonnablement s'attendre à ce qu'elle soit finalisée dans le courant de l'année 2025.

Même si la certification FIPS est importante pour votre projet, ne laissez pas l'absence de certification retarder votre projet - la certification viendra La certification viendra, et des solutions non certifiées peuvent être déployées dans le cadre de tests afin de faciliter le passage à la production le moment venu.

Planifier, planifier, planifier : Que faire maintenant pour anticiper le changement ?

Le jeu de l'informatique post-quantique s'accélère. Nous entrons dans le sprint final, alors que nous passons de la phase de planification à la phase de mise en œuvre de la transition.

Que faire maintenant ?

  • Commencez à planifier une mise à jour de vos systèmes de test vers les algorithmes finaux, dans le but de les mettre en production. 
  • Assurez-vous que vos fournisseurs disposent d'une feuille de route pour la prise en charge des versions finales des algorithmes.
  • Continuez à travailler sur la découverte, la crypto-agilité et la planification de vos migrations cryptographiques.

Il est essentiel de ne pas perdre de temps, car la transition est en marche. Nous verrons bientôt à quel point toute la planification effectuée par les équipes jusqu'à présent est importante.

Besoin d'aide dans votre transition vers le CQP ?

Keyfactor est là pour aider votre équipe à passer en douceur à la cryptographie post-quantique. Avec plusieurs produits prêts pour le quantique et un laboratoire PQC dédié, Keyfactor dispose de toutes les ressources dont vous avez besoin pour sécuriser vos systèmes et vos données et pour tester les certificats prêts pour le quantique.

Cliquez ici pour en savoir plus et commencer à utiliser le laboratoire PQC de Keyfactor..