Préparer la migration post-quantique : une course pour sauver Internet | JD Supra

Les agences nationales et les institutions scientifiques sont bien conscientes de la menace que représentent les ordinateurs quantiques pour la cryptographie existante. En 2015, la National Security Agency des États-Unis a publié pour la première fois des avertissements sur la nécessité de passer à des algorithmes résistants au quantum. Un an plus tard, le National Institute of Standards and Technology (« NIST ») a lancé une initiative de normalisation pour la cryptographie post-quantique et les paramètres de fonctionnement sécurisés. La cryptographie post-quantique est l’étude des systèmes cryptographiques pouvant être exécutés sur un ordinateur conventionnel et suffisamment sécurisés contre les ordinateurs quantiques et conventionnels. Cependant, le processus d’essai est long et le NIST continue d’examiner et d’examiner les algorithmes potentiels de résistance quantique. L’initiative a identifié cinq classes de systèmes cryptographiques qui sont actuellement résistants au quantum : basés sur des réseaux ; équations quadratiques multivariées ; basé sur le hachage ; basé sur le code ; et l’isogénie des courbes elliptiques supersingulières. Le NIST devrait annoncer le premier algorithme à se qualifier pour la normalisation dans les deux prochaines années.

Pendant cette période de transition, alors que le monde attend les découvertes du NIST, des mesures peuvent être prises dès maintenant pour commencer à sécuriser les données contre l’informatique quantique et à préparer la migration à venir. Les organisations doivent commencer les travaux d’ingénierie nécessaires pour préparer leur infrastructure à la mise en œuvre de la cryptographie post-quantique dès que la migration est prête. Pour commencer à se préparer dès maintenant, les experts recommandent aux organisations de créer un index de référence pour les applications qui utilisent le chiffrement et de s’assurer que les systèmes actuels et futurs ont une agilité cryptographique suffisante. L’indexation de référence permet aux organisations d’évaluer les vulnérabilités quantiques en s’assurant que toutes les applications sont migrées, minimisant ainsi le risque d’incidents survenant dans une partie de leur écosystème numérique. Il est essentiel que les organisations effectuent une évaluation continue de leurs risques et migrent rapidement pour prévenir l’insécurité systémique des données.

Les organisations doivent élaborer un plan de transition vers un chiffrement résistant au quantum. Une planification à l’avance minimisera les temps d’arrêt du système et offrira une flexibilité pour répondre à tout défaut de mise en œuvre. Les organisations peuvent utiliser leur index de référence pour s’assurer que tout leur matériel est capable d’utiliser un cryptage résistant au quantum. Le processus de migration nécessitera une planification et une budgétisation compliquées, mais en commençant à se préparer dès maintenant pour la migration à venir vers la cryptographie post-quantique, les organisations peuvent assurer une transition moins perturbatrice.

De plus, pour protéger les données contre les attaques potentielles « capturer maintenant, exploiter plus tard », les entreprises peuvent commencer à mettre en œuvre une approche hybride du chiffrement en utilisant à la fois des schémas classiques et post-quantiques. La migration rapide des applications vers un chiffrement résistant au quantum est la seule mesure proactive que les organisations peuvent prendre pour atténuer ce risque. Si une organisation met en œuvre un chiffrement hybride, il est essentiel de rester au courant des découvertes du NIST au cas où l’algorithme de résistance quantique choisi s’avérerait cassable. De plus, le cryptage post-quantique mis en œuvre peut devoir être mis à jour afin de s’aligner sur les paramètres de fonctionnement sécurisés du NIST.
Alors que la course continue à protéger Internet contre la menace d’exploitation à l’aide d’ordinateurs quantiques, il est essentiel que les organisations se préparent aujourd’hui aux complexités impliquées dans une migration mondiale vers des algorithmes cryptographiques post-quantiques. La sécurité des informations numériques d’aujourd’hui en dépend.

¹ Vasileios Mavroeidies et al., L’impact de l’informatique quantique sur la cryptographie actuelle9 IJACSA 1, 1 (31 mars 2018).
² L’informatique quantique a figuré sur la liste des technologies émergentes de Gartner à plusieurs reprises au fil des ans. Cet article de 2019 estimait 5 à 10 ans avant que des résultats cohérents ne soient obtenus, permettant la commercialisation de l’informatique quantique. https://www.gartner.com/smarterwithgartner/the-cios-guide-to-quantum-computing/
³ Campagna M., LaMacchia B. et Ott D. (2020) Cryptographie post-quantique : Défis de préparation et tempête qui approche. https://cra.org/ccc/resources/ccc-led-whitepapers/#2020-quadrennial-papers