Introduction
Le Centre pour la cybersécurité se réjouit de l’étape importante qui a été franchie pour protéger notre cyberécosystème à l’ère post-quantique.
Le National Institute of Standards and Technology (NIST) des États-Unis a annoncé les sélections initiales dans le cadre de la normalisation de la cryptographie post-quantique (CPQ). Une fois publiées, les normes CPQ du NIST permettront aux développeurs de mettre à niveau les solutions de cybersécurité pour qu’elles puissent résister à la menace que l’informatique quantique fait peser sur la cryptographie.
CRYSTALS-KYBER est un mécanisme d’encapsulation de clé permettant de protéger la confidentialité des données en créant des clés symétriques partagées. Il vise à remplacer la négociation de clé reposant sur la courbe elliptique Diffie-Hellman (ECDH pour Elliptic Curve Diffie Hellman) et le transport de clé RSA.
CRYSTALS-Dilithium, Falcon et SPHINCS+ sont des mécanismes de signature numérique. Ils permettront d’authentifier les données et les systèmes distants dans le but de prévenir l’accès non autorisé et les infections par maliciel. Ils visent à remplacer l’algorithme de signature numérique à courbe elliptique (ECDSA pour Elliptic Curve Digital Signature Algorithm) et le mécanisme de signature RSA.
Bien que cette annonce représente un pas important vers la normalisation, le Centre pour la cybersécurité continue de recommander aux organisations d’attendre la diffusion d’avis additionnels avant d’utiliser ces algorithmes pour protéger des données ou des systèmes.
Contexte
Le NIST a démarré son projet de CPQ (en anglais seulement) en 2016 en lançant un appel de propositions à l’échelle internationale. Le projet avait comme objectif de trouver, d’évaluer et de normaliser de nouveaux algorithmes de chiffrement conçus pour résister à la menace que pose l’informatique quantique.
En novembre 2017, le NIST a présenté les 69 soumissions valides qu’il avait reçues. Au cours des années suivantes, le NIST a épuré la liste de candidats à la suite d’évaluations réalisées à l’échelle internationale. Ces efforts ont permis d’analyser et de comparer la sécurité, la vitesse des algorithmes et les besoins en bande passante des candidats. En mars 2021, le Centre pour la cybersécurité a publié un sommaire des finalistes.
Prochaines étapes avant le déploiement de la CPQ
Au cours de la prochaine année, le NIST présentera une norme provisoire comportant les spécifications des algorithmes et des recommandations sur les paramètres. Des experts examineront rigoureusement cette norme provisoire pour s’assurer que les spécifications sont claires et exactes, de manière à en faciliter la mise en œuvre. La norme définitive devrait être publiée en 2024, après quoi le Centre pour la cybersécurité mettra à jour sa liste d’algorithmes cryptographiques approuvés.
Le Centre pour la cybersécurité travaille en partenariat avec le NIST dans le cadre du Programme de validation des modules cryptographiques (PVMC), et nous avons l’intention de collaborer avec le NIST pour mettre à jour le Programme de validation des algorithmes cryptographiques (PVAC) conformément au PVMC, dans le but de tester la mise en œuvre de ces nouveaux algorithmes CPQ. Le Centre pour la cybersécurité recommande aux clients d’acheter et d’utiliser des modules cryptographiques testés et validés dans le cadre du PVMC et comportant des certificats d’algorithmes accordés dans le cadre du PVAC.
D’autres organismes de normalisation, comme l’Internet Engineering Task Force (IETF), apporteront les mises à jour nécessaires aux protocoles de cybersécurité à l’appui de ces nouveaux algorithmes CPQ. Le Centre pour la cybersécurité siège à des groupes de travail de l’IETF pour aider à veiller à ce que ces protocoles de cybersécurité essentiels soient robustes et sécurisés. Lorsque les normes liées aux protocoles auront été mises à jour, le Centre pour la cybersécurité révisera ses Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062) pour tenir compte de la CPQ.
Le Centre pour la cybersécurité recommande de faire évaluer et certifier les produits de cybersécurité pour qu’ils soient conformes à la norme sur les Critères communs au moyen d’une cible de sécurité et d’un rapport de certification qui comporte les exigences de sécurité liées au protocole sélectionné. Par conséquent, une fois que les normes liées aux protocoles auront été mises à jour, les centres d’évaluation selon les critères communs devront prendre en charge les tests et les méthodes d’évaluation visant les protocoles qui utilisent les nouveaux algorithmes CPQ.
Autres candidats
Les algorithmes CPQ annoncés par le NIST pour cette première série de normes sont considérés comme les candidats les plus matures et devraient pouvoir être utilisés dans la majorité des applications. Le NIST a néanmoins affirmé qu’il continuerait d’envisager d’autres candidats CPQ lors d’une quatrième ronde du projet CPQ. L’objectif consiste à créer un ensemble de candidats additionnels tirés de plusieurs familles mathématiques différentes (consultez notre sommaire des finalistes pour connaître les familles mathématiques). Les candidats additionnels ne seront normalisés qu’après la première série.
Comme divers algorithmes CPQ seront accessibles, il importera pour les organisations d’assurer l’agilité cryptographique.
Ce que vous pouvez faire maintenant
Les organisations devraient prendre certaines mesures dès maintenant pour se préparer à la migration vers la CPQ une fois que le Centre pour la cybersécurité l’aura recommandé. Ces mesures sont présentées dans la publication Préparez votre organisation à la menace que pose l’informatique quantique pour la cryptographie (ITSAP.00.017).
Le Centre pour la cybersécurité déploie des efforts au sein du gouvernement du Canada et auprès des infrastructures essentielles pour veiller à ce que la transition vers la CPQ se fasse en douceur et au moment opportun. Si vous avez d’autres questions, communiquez avec le Centre pour la cybersécurité par courriel à contact@cyber.gc.ca ou par téléphone au 1-888-CYBER-88.
À propos de nous
Le Centre canadien pour la cybersécurité, qui fait partie du Centre de la sécurité des télécommunications, est l’autorité de cybersécurité et de cryptographie du Canada.