Informatique quantique : examen de la loi sur la préparation à la cybersécurité de l’informatique quantique | Aperçus | Hollande & Chevalier

Dans les derniers jours de 2022 et du 117e Congrès, le président Biden a promulgué la loi HR7535, la loi sur la préparation à la cybersécurité de l’informatique quantique. La loi reconnaît la menace future que le décryptage quantique représente pour les agences administratives fédérales et ordonne un examen de la cryptographie des données des agences pour se préparer à un moment, peut-être de nombreuses années à partir d’aujourd’hui, où l’informatique quantique sera capable de décrypter ces données. Cet article examine la nouvelle loi ainsi que ce qui a motivé le Congrès à agir.

Pourquoi préparer la cybersécurité pour l’informatique quantique ?

Presque tout ce qui est sensible et qui est transmis ou stocké sur des ordinateurs est crypté. Par exemple, le cryptage protège nos comptes bancaires, nos dossiers médicaux et la messagerie basée sur les applications. Le chiffrement prend un bloc de données lisibles et le rend illisible pour tout le monde, sauf pour les utilisateurs qui détiennent une clé cryptographique et peuvent la déchiffrer. Comme pour un cadenas de vélo physique, les schémas de cryptage peuvent être décryptés même sans la clé. Tout comme un cadenas de vélo physique, à mesure qu’un schéma de cryptage devient de plus en plus complexe, la probabilité que quiconque puisse le décrypter de manière réaliste diminue.

Certains types d’ordinateurs quantiques sont susceptibles d’être d’excellents « sélecteurs » de chiffrement à l’avenir. Les calculs nous disent que si de tels ordinateurs étaient jamais construits à l’échelle – un événement difficile à prévoir mais qui pourrait être dans plus d’une décennie – ils seraient alors efficaces pour décrypter les schémas de cryptage les plus largement utilisés qui existent aujourd’hui. En effet, utiliser les schémas de cryptage modernes les plus populaires revient à acheter un cadenas de vélo coûteux en sachant que, à un moment inconnu dans le futur, il ne servira à rien contre les voleurs.

Développer la cryptographie post-quantique / Algorithmes quantiques sûrs

Les ordinateurs quantiques sont des grands maîtres des échecs qui ne peuvent pas attacher leurs chaussures et oublier où ils mettent leur portefeuille : ils sont très bons pour une certaine classe de problèmes, mais nuls pour d’autres. (Un ordinateur quantique aurait du mal, par exemple, à faire quelque chose d’aussi basique que le rendu de cette page Web.) plus résistant à une attaque de décryptage quantique.

En 2016, le National Institute of Standards and Technology (NIST) a lancé un long concours public pour développer ces schémas cryptographiques « post-quantiques », qui sont un sous-ensemble d' »algorithmes quantiques sûrs ». Le NIST a décrit le problème de décryptage quantique comme sa motivation pour le projet :

Ces dernières années, de nombreuses recherches ont été menées sur les ordinateurs quantiques, des machines qui exploitent les phénomènes de la mécanique quantique pour résoudre des problèmes mathématiques difficiles ou insolubles pour les ordinateurs conventionnels. Si des ordinateurs quantiques à grande échelle sont un jour construits, ils pourront casser bon nombre des cryptosystèmes à clé publique actuellement utilisés. Cela compromettrait gravement la confidentialité et l’intégrité des communications numériques sur Internet et ailleurs.

L’objectif déclaré du NIST était « de développer des systèmes cryptographiques sécurisés contre les ordinateurs quantiques et classiques, et pouvant interagir avec les protocoles et réseaux de communication existants ».

En 2022, le projet en cours a identifié plusieurs algorithmes candidats prometteurs, notamment CRYSTALS-Kyber (pour l’établissement de clés) et CRYSTALS-Dilithium (pour les signatures numériques). Le NIST travaille actuellement à normaliser ces algorithmes pour une utilisation à grande échelle.

Loi sur la préparation à la cybersécurité de l’informatique quantique

Le décryptage quantique pourrait également compromettre les secrets gouvernementaux. Ainsi, avec le décryptage quantique à l’horizon, le Congrès a adopté et le président a promulgué la Loi sur la préparation à la cybersécurité de l’informatique quantique pour atténuer la menace imminente.

La loi reconnaît la menace que l’informatique quantique représente pour la sécurité nationale :

(1) La cryptographie est essentielle pour la sécurité nationale des États-Unis et le fonctionnement de l’économie des États-Unis.

(2) Les protocoles de chiffrement les plus répandus aujourd’hui s’appuient sur les limites de calcul des ordinateurs classiques pour assurer la cybersécurité.

(3) Les ordinateurs quantiques pourraient un jour avoir la capacité de repousser les limites du calcul, nous permettant de résoudre des problèmes jusqu’ici insolubles, comme la factorisation d’entiers, qui est importante pour le chiffrement.

(4) Les progrès rapides de l’informatique quantique suggèrent la possibilité pour les adversaires des États-Unis de voler aujourd’hui des données cryptées sensibles à l’aide d’ordinateurs classiques, et d’attendre que des systèmes quantiques suffisamment puissants soient disponibles pour les décrypter.

Sections 2(a), 3(d)(9) (définissant un « ordinateur quantique » comme « un ordinateur qui utilise les propriétés collectives des états quantiques, telles que la superposition, l’interférence et l’intrication, pour effectuer des calculs »).

La loi exige que le directeur du Bureau et de la gestion et du budget (OMB) élabore et publie des directives pour les agences administratives « sur la migration des technologies de l’information vers la cryptographie post-quantique ». Article 4(a). Ces directives doivent inclure « une exigence pour chaque agence d’établir et de maintenir un inventaire actuel des technologies de l’information utilisées par l’agence qui sont vulnérables au décryptage par les ordinateurs quantiques ». Article 4(a)(1).

Suite à ces conseils, les agences feront ensuite rapport à l’OMB avec leur inventaire de l’informatique vulnérable au décryptage quantique. Article 4(b). Un an après la publication par le NIST de ses normes de cryptographie post-quantique, l’OMB publiera de nouvelles directives pour préparer les agences à la migration de leurs données vers les nouvelles normes résilientes quantiques. Article 4(c). Tout au long de cette période, et pendant les cinq années suivantes, l’OMB rendra compte au Congrès des progrès de la migration. Article 4(e). Cette longue période reconnaît la difficulté que les agences, dont beaucoup s’appuient encore sur des systèmes hérités plus anciens, auront à réviser leurs schémas de chiffrement.

La loi exempte tous les systèmes de sécurité nationale. Section 5. La migration de ces systèmes vers la cryptographie post-quantique est cependant déjà en cours.

Alors que la loi contribuera grandement à renforcer les données des agences contre une attaque quantique, à certains égards, le chat est déjà sorti du sac. Les pirates d’aujourd’hui peuvent obtenir des données cryptées et les stocker pendant des années, sachant qu’un futur ordinateur quantique sera capable de les décrypter. Cette technique est parfois appelée « récolter maintenant, décrypter plus tard », et la loi ne peut pas protéger les données déjà compromises d’un décryptage ultérieur. Pourtant, la reconnaissance et l’atténuation des menaces futures par le gouvernement constituent une étape importante vers la protection de ses données à l’avenir.