Les ordinateurs quantiques deviennent de plus en plus puissants. Ils risquent un jour d’être capables de casser la cryptographie moderne à clé publique. En l’absence de contre-mesures, cela conduirait certainement à l’effondrement de notre société moderne. C’est pourquoi l’on élabore des alternatives. Outre la normalisation de nouveaux algorithmes cryptographiques résistants aux ordinateurs quantiques, la distribution quantique de clé (“Quantum Key Distribution” – QKD) est présentée comme une alternative encore plus sûre. Cet article examine de plus près cette technique. De quoi s’agit-il ? Quand est-elle utile ? Quels sont les défis ? Quel est son rapport avec la cryptographie résistante aux attaques quantiques ?
La menace
La cryptographie à clé publique est – bien que quasi invisible – omniprésente dans notre société numérique. Elle est notamment nécessaire pour signer des documents ou des transactions bancaires, ainsi que pour l’authentification et la communication sécurisées avec pratiquement tous les services internet. Afin d’établir un canal de communication sécurisé, deux parties doivent d’abord se mettre d’accord sur une clé symétrique à l’aide d’un schéma de chiffrement à clé publique. Cette clé symétrique permet alors à ces deux entités de communiquer de manière sécurisée à l’aide d’un chiffrement symétrique.
Bien que la cryptographie symétrique résiste assez bien aux futures attaques quantiques, de puissants ordinateurs quantiques pourraient un jour – personne ne sait vraiment quand – compromettre la cryptographie à clé publique moderne. Même si ce scénario semble aujourd’hui lointain, le BSI (agence allemande de cybersécurité), la NSA (agence états-unienne de renseignement), la CISA (agence états-unienne de cybersécurité) et le NIST (organisme états-unien de normalisation), entre autres, mettent en garde contre l’attaque harvest now, decrypt later (récolter maintenant, déchiffrer plus tard) : les attaquants peuvent aujourd’hui collecter des messages chiffrés à grande échelle. Lorsque ceux-ci auront accès à un ordinateur quantique suffisamment puissant dans quelques années, ils seront en mesure de déchiffrer des messages, qui pourraient être encore très sensibles à ce moment-là. Pensons par exemple aux données médicales, aux secrets militaires et à la propriété intellectuelle qui restent sensibles pendant plusieurs décennies. L’urgence est souvent justifiée par le théorème de Mosca.
Réponse 1 : Algorithmes cryptographiques résistants au quantum
Afin de contrer cette menace, le NIST a déjà entamé en 2016 une procédure visant à proposer de nouveaux algorithmes normalisés résistants aux ordinateurs quantiques pour les signatures numériques, d’une part, et d’autre part, pour le chiffrement à clé publique et l’établissement de clés (public-key encryption & key establishment). Ces algorithmes, comme la génération actuelle de cryptographie à clé publique, peuvent être exécutés par des ordinateurs classiques.
La cryptographie à clé publique moderne repose sur plusieurs hypothèses. Par exemple, l’algorithme RSA, qui date des années 1970, repose sur la supposition qu’un ordinateur est incapable de décomposer un nombre naturel qui est le produit de deux nombres premiers suffisamment grands – par exemple, 2048 bits chacun – pour le décomposer en ses facteurs premiers. Après plus de 50 ans, cette supposition est toujours valable, même pour les ordinateurs classiques. Cependant, de puissants ordinateurs quantiques pourraient le faire avec efficacité, en utilisant l’algorithme de Shor.
La cryptographie résistante aux ordinateurs quantiques repose également sur des hypothèses mathématiques. Nous supposons donc ici que les ordinateurs classiques et les ordinateurs quantiques sont incapables de résoudre efficacement certains problèmes. Nous ne pouvons pas le prouver – cela reste une hypothèse – et nous n’en sommes donc jamais sûrs à 100 %. Bien qu’avec le temps, la confiance dans ces hypothèses cryptographiques s’accroisse, certains peuvent encore ressentir un certain malaise.
Réponse 2 : Distribution quantique de clé
Une deuxième réponse à la menace posée par les ordinateurs quantiques se concentre uniquement sur l’établissement de clés (key establishment) et porte le nom de distribution quantique de clé (quantum key distribution – QKD). La beauté de la QKD réside dans le fait que deux parties peuvent se mettre d’accord sur une clé symétrique sans s’appuyer sur de telles hypothèses mathématiques ; théoriquement, la QKD repose uniquement sur les principes de la mécanique quantique, en particulier la superposition ou l’intrication. Plusieurs protocoles ont été proposés (tels que BB84 et E91).
Dans le cadre de la QKD, des particules dans un état quantique – généralement des photons – sont échangées sur le canal quantique. Il s’agit soit d’une liaison par fibre optique attribuée exclusivement à ces parties, soit d’une liaison par satellite. L’observation d’une particule dans un état quantique fait de toute façon sortir la particule de son état quantique. Par conséquent, si une partie écoute le protocole, elle sera rapidement détectée. Seule la clé est convenue sur le canal quantique, tandis que l’échange réel de données chiffrées a lieu sur un canal classique.
La Commission européenne encourage cette technique par le biais de l’initiative EuroQCI « European Quantum Communication Infrastructure. » Elle implique les 27 États membres et l’Agence spatiale européenne (ESA). Il existe une composante terrestre axée sur les communications par fibre optique et une composante spatiale axée sur les communications par satellite. Cette seconde composante fera partie du programme IRIS² de la Commission européenne pour un système de communication sécurisé par satellite. Ces quatre dernières années, l’Europe a déjà investi quelque 180 millions d’euros dans EuroQCI. Les ambitions sont vastes, comme en témoigne notamment la citation suivante : « L’EuroQCI sera une infrastructure de communication quantique sécurisée couvrant l’ensemble de l’UE, y compris ses territoires d’outre-mer. » La branche belge d’EuroQCI est BeQCI.
D’autres pays, en particulier la Chine, investissent également massivement dans la QKD. Une fois de plus, la Chine a confirmé sa position de leader mondial dans le domaine de QKD en devenant la première à mettre en œuvre avec succès un protocole de QKD sur un câble (spiralé) de plus de 1 000 km en 2023.
Défis
La QKD se heurte toutefois à un certain nombre de difficultés. Celles-ci ont été énumérées dans un document de synthèse technique conjoint de janvier 2024 des agences de cybersécurité allemande (BSI) et française (ANSSI), de l’agence de renseignement néerlandaise (AIVD) et des forces armées suédoises. Pour résumer, il est actuellement trop tôt pour déployer la QKD dans la pratique. Nous en exposons les raisons ci-dessous.
Coût et rapidité
Contrairement aux algorithmes résistants aux ordinateurs quantiques, la QKD exige un matériel spécialisé, dont le coût est pour le moment élevé, et nécessite des connexions par fibre optique non partagées et exclusives. La maintenance de l’ensemble du système de QKD est également coûteuse.
La perte de puissance du signal augmente de manière exponentielle en fonction de la distance. Les solutions commerciales ne dépassent pas 100 km, les solutions expérimentales quelques centaines de kilomètres. Sur une distance de 10 km, les vitesses les plus élevées rapportées en laboratoire sont de 15 mégaoctets par seconde, pour 100 km, elles tombent à 240 bits par seconde. Une installation couvrant effectivement une distance géographique de 30 km – c’est-à-dire ne se limitant pas à un câble de fibre optique enroulé dans un laboratoire – a atteint 6 000 bits par seconde. L’installation de test mentionnée précédemment en Chine sur une longueur de 1 002 km de fibre optique avait une vitesse de 0,0034 bits par seconde. Dans ce dernier cas, il faudrait donc 21 heures pour se mettre d’accord sur une clé de 256 bits. Il convient de noter qu’il n’est généralement pas nécessaire d’avoir des débits extrêmement élevés, étant donné que – comme indiqué précédemment – seule la clé est convenue sur ce canal, tandis que l’échange réel de données chiffrées a lieu sur un canal classique.
Les distances plus longues nécessitent aujourd’hui des nœuds de confiance (trusted nodes), comme par exemple les satellites. Les nœuds de confiance ont en principe accès aux clés convenues et présentent donc un risque sérieux pour la sécurité. À terme, les répéteurs quantiques pourraient offrir une solution, mais ceux-ci en sont encore au stade de la recherche fondamentale, et il n’est pas encore question d’application pratique.
Déni de service
L’écoute ou toute interférence sur le canal quantique entraîne l’impossibilité de facto de s’entendre sur les clés. Qu’il s’agisse d’une connexion par fibre optique (attribuée exclusivement) ou d’une connexion par satellite, le choix d’un autre itinéraire pour contourner les interférences n’est pas possible. Lorsque le protocole de QKD est mis en œuvre sur une connexion exclusive par fibre optique, contrairement aux communications contemporaines, il n’existe aucun chemin alternatif en cas de rupture de câble.
Authentification
La QKD ne détecte que les attaquants passifs (qui écoutent) (bien qu’il faille être prudent à cet égard également). Une attaque par l’homme du milieu (attaquant actif) est toujours possible : Si Alice et Bob veulent exécuter un protocole de QKD l’un avec l’autre, il est possible qu’ils exécutent à leur insu le protocole de QKD non pas l’un avec l’autre, mais chacun avec Charlie (l’homme du milieu). De cette manière, Charlie découvre les clés que Bob et Alice utilisent pour chiffrer leurs messages. Si Charlie peut également se positionner comme un homme du milieu dans la communication de données actuelles, il peut intercepter et déchiffrer toutes les communications cryptées. Ce scenario est illustré dans la figure ci-dessous. Bien que ce scénario semble improbable, il est inacceptable d’un point de vue cryptographique. L’authentification des entités est donc indispensable.
Une première façon d’y parvenir est d’utiliser des codes d’authentification de message (message authentication code – MAC). Chaque message envoyé contiendrait une étiquette (code) qui ne peut être créée et vérifiée qu’à l’aide d’une clé partagée à l’avance. Bien entendu, la question est de savoir comment s’assurer que les deux parties peuvent partager une clé qui n’est pas trop ancienne. Si nous partageons quand même une clé secrète à l’avance, l’avantage de la QKD – qui vise simplement à se mettre d’accord sur une clé – devient moins évident.
Un second moyen d’obtenir un canal authentifié consiste à signer numériquement les messages échangés à l’aide d’un système de signature numérique résistant aux attaques quantiques. Cependant, un tel schéma repose sur des hypothèses mathématiques dont la QKD voulait se débarrasser.
En résumé, la QKD n’est pas une solution en soi, mais elle a besoin du soutien de techniques d’authentification. Les signatures numériques et les MAC sont les techniques existantes pour cela, et peut-être qu’avec le temps, d’autres approches plus appropriées seront trouvées.
Maturité
Le document de synthèse mentionné précédemment indique en outre que la technique de QKD n’est pas suffisamment mûre pour des utilisations pratiques aujourd’hui. Il y est fait référence à l’absence de normes et à des preuves de sécurité encore insuffisamment développées. Afin d’éviter que toutes sortes de vulnérabilités ne se glissent dans les dispositifs de QKD, des efforts restent à faire pour mettre en place des procédures d’évaluation et de certification rigoureuses.
Conclusions
La QKD est une technique passionnante, mais pour la rendre utilisable dans la pratique, il faudra remédier aux lacunes constatées. Quant à savoir dans quelle mesure cela réussira, il s’agit pour l’instant d’un pari risqué. Quoi qu’il en soit, de nombreuses recherches seront nécessaires.
Hormis quelques cas d’utilisation de niche, il est sage de s’appuyer aujourd’hui et dans un avenir proche sur la cryptographie à clé publique pour convenir des clés. Pour cela, nous n’avons pas besoin de matériel spécial, de satellites ou de connexions exclusives par fibre optique. Après tout, la cryptographie à clé publique résistante aux attaques quantiques, qui, contrairement à la QKD, peut être utilisée à d’autres fins que le choix de clés, fonctionne également sur des ordinateurs classiques.
Le document de synthèse conclut donc :
In light of the urgent need to stop relying only on quantum-vulnerable public-key cryptography for key establishment, the clear priority should therefore be the migration to post-quantum cryptography in hybrid solutions with traditional symmetric keying or classically secure public-key cryptography.
La NSA, a également écrit en 2021 :
NSA does not consider QKD a practical security solution for protecting national security information
En résumé, la QKD est une technique qui mérite d’être approfondie, mais dont la mise en pratique est trop éloignée dans le futur pour être pertinente pour Smals et ses membres aujourd’hui.
Ce post est une contribution individuelle de Kristof Verslype, cryptographe chez Smals Research. Cet article est écrit en son nom propre et n’impacte en rien le point de vue de Smals.Cela t’intéresse de travailler chez Smals ? Jette un coup d’œil à leurs offres d’emploi actuelles.