Cryptographie quantique, cryptographie résistante au quantique : quelles différences ?
Publié le 26/9/2023
Auteur : Arnaud DUFOURNET, Chief Marketing Officer
En juillet dernier, le Gartner publiait la dernière édition de son « Hype Cycle » sur la sécurité des données. Il s’agit d’une représentation graphique de la maturité et de l’adoption de technologies et d’applications dans ce domaine. La cryptographie post-quantique et la cryptographie quantique (ou distribution de clés quantiques) figurent parmi les technologies très prometteuses à plus ou moins long terme, c’est-à-dire d’ici deux à cinq ans. Cryptographie post-quantique (PQC ou post-quantum cryptography en anglais) et cryptographie quantique (QKD ou quantum key distribution en anglais) font souvent l’objet de confusion. Cette publication du Gartner est l’occasion de rappeler les grandes différences entre ces deux technologies ainsi que les usages que l’on peut en attendre.
Cryptographie quantique ou QKD
Commençons tout d’abord par la plus ancienne des deux technologies. Inventée par l’Américain Charles Bennett et le Canadien Gilles Brassard en 1984, la cryptographie quantique s’appuie sur le principe de la QKD, qui consiste à permettre l’échange de clés de chiffrement, généralement symétriques, par voie optique (fibre optique, liaison aérienne ou satellite). Cette méthode de communication est par essence inviolable, car elle exploite un principe fondamental de la mécanique quantique : l’intrication de particules (généralement des photons). Toute tentative d’intrusion dans la chaîne de transmission engendre une perturbation qui est détectée immédiatement par le protocole de communication et provoque l’arrêt instantané de la communication. C’est évidemment le principal intérêt de cette technologie.
Brique essentielle d’un futur internet quantique, elle présente néanmoins plusieurs inconvénients majeurs. La première limite est qu’elle nécessite un réseau physique nouveau et dédié à ce mode de communication. En outre, il est difficile d’étendre des réseaux quantiques sur de grandes distances.
Même si de gros progrès ont été effectués depuis sa genèse (la première transmission par fibre optique en 1989 n’avait qu’une portée de 30 cm seulement), le nouveau record établi en juin dernier par une société suisse, Terra Quantum, dépasse tout juste les 1 000 kilomètres. « Réaliser de la QKD sur de grandes distances nécessite de mettre en œuvre des répéteurs de confiance entre deux terminaisons, ce qui augmente le périmètre devant être maîtrisé », avait confié Gérôme Billois à l’occasion de la réalisation du livre blanc de TheGreenBow sur la cryptographie au cœur de la révolution quantique. Enfin, dernier inconvénient de taille, la distribution de clés quantiques ne permet pas d’assurer l’authentification de la source émettrice. Il faut lui adjoindre des mécanismes cryptographiques post-quantiques complémentaires.
Cryptographie post-quantique ou PQC
L’objectif de la cryptographie post-quantique, ou résistante au quantique, est de résister à des attaques d’ordinateurs quantiques capables de jouer l’algorithme de Shor et de Grover (voir notre article « Cryptographie post-quantique : pourquoi faut-il s’y intéresser maintenant ? ». Certains voient cette technologie comme concurrente de la cryptographie quantique. D’autres la voient au contraire complémentaire. Constituée d’algorithmes fondés sur des problèmes mathématiques nouveaux (réseaux euclidiens, codes correcteurs d’erreurs, inversion de polynômes multivariés…), la cryptographie résistante au quantique a pour vocation de remplacer les algorithmes asymétriques existants, tels que Diffie-Hellman, RSA et ECC, réputés vulnérables aux attaques quantiques.
Pour cela, le NIST (National Institute of Standards and Technology) a lancé un concours en 2016 pour mobiliser la communauté cryptographique internationale. Le troisième tour a abouti en juillet 2022 à la sélection de quatre algorithmes (un pour le chiffrement et trois pour la signature électronique) dont les standards d’implémentation seront publiés en avril 2024.
La grande différence avec la QKD est que la PQC se déploie dans les infrastructures de sécurité existantes et permet de répondre dès aujourd’hui à une menace existante : les attaques de type « Harvest Now Decrypt Later » dont la finalité est de s’emparer de données sensibles et à durée de vie longue, pour pouvoir les déchiffrer dans quelques années avec un ordinateur quantique. C’est la raison pour laquelle les grandes agences de sécurité (CISA, ENISA, ANSSI, NCSC, BSI …) recommandent vivement aux entreprises et aux administrations de migrer vers cette nouvelle cryptographie dès que possible.
Ce chantier s’annonce très long (voir notre article de blog « Migration vers la cryptographie résistante au quantique : pourquoi commencer maintenant ? ») tant les clés RSA, Diffie-Hellman sont omniprésentes dans nos échanges de données au quotidien. Les expériences passées ont montré qu’il fallait souvent une bonne décennie pour migrer des systèmes (logiciels, équipements et les services associés). Dans le secteur financier, on se rappelle, par exemple, que la migration de MD5 (Message Digest 5), une fonction de hachage cryptographique, a pris plus de dix ans à être supprimée à partir du moment où en 2008, cet algorithme avait été réputé vulnérable. D’où la nécessité de planifier et de démarrer au plus vite la migration vers la cryptographie résistante au quantique.
PQC vs QKD : ce que recommandent les agences de sécurité
Du fait de son caractère inviolable, la QKD s’avère prometteuse notamment pour protéger les communications très sensibles comme les communications militaires. Pour autant, la QKD ne constitue pas à ce jour une alternative à la cryptographie actuelle, en particulier celle basée sur des clés RSA. En premier lieu, elle nécessite de nouvelles infrastructures qui seront couteuses à maintenir. De plus, elle ne fonctionne que sur des distances encore trop courtes par rapport aux besoins, ce qui limite singulièrement les cas d’usages. C’est le constat que fait la NSA (National Security Agency) et qui ajoute un dernier élément en défaveur de la QKD : la NSA relève que la QKD accroît le risque d’attaque par déni de service. En effet, l’agence américaine fait remarquer que la confidentialité repose sur le principe que si une communication est écoutée alors la perturbation engendrée fait tomber instantanément la communication. Il est par conséquent tentant pour un cyberattaquant de répéter les perturbations afin d’empêcher les communications. D’autre part, la NSA voit la cryptographie résistante au quantique comme une solution moins couteuse et plus facile à maintenir. C’est pour toutes ces raisons qu’elle demande d’utiliser en priorité la PQC pour protéger les communications. De la même manière, l’ANSSI (lire le document de position de l’ANSSI « Should Quantum Key Distribution be used for secure connections? ») et son homologue britannique le NCSC (consulter le livre blanc « Quantum security technologies ») ne recommandent pas non plus l’usage de la cryptographie quantique pour sécuriser l’accès aux systèmes d’information.
Toutefois à terme, la PQC pourrait se combiner avec la QKD pour lui apporter des fonctions de signature, d’authentification et de chiffrement très robustes. C’est la vision que partage Eleni Diamanti, directrice de recherche au CNRS. Pour notre livre blanc, elle avait confié être « convaincue qu’une hybridation des deux approches cryptographiques sera vertueuse pour l’avenir ». Pour approfondir le sujet et en savoir plus sur ces deux technologies, nous vous recommandons la lecture de ce livre blanc.
