Getty Images
La norme industrielle FIDO2 adoptée il y a cinq ans offre le moyen le plus sécurisé connu de se connecter à des sites Web, car elle ne repose pas sur des mots de passe et dispose de la forme la plus sécurisée d’authentification à deux facteurs intégrée. Cependant, comme de nombreux systèmes de sécurité existants aujourd’hui, FIDO est confronté à une menace inquiétante, quoique lointaine, de l’informatique quantique, qui entraînera un jour l’effondrement complet de la cryptographie actuellement solide comme le roc que la norme utilise.
Au cours de la dernière décennie, les mathématiciens et les ingénieurs se sont efforcés d’éviter cette cryptopocalypse avec l’avènement du PQC – abréviation de cryptographie post-quantique – une classe de cryptage qui utilise des algorithmes résistants aux attaques de l’informatique quantique. Cette semaine, des chercheurs de Google ont annoncé la sortie de la première implémentation d’un cryptage résistant aux quantiques destiné à être utilisé dans le type de clés de sécurité qui constituent les éléments de base de FIDO2.
L’implémentation la plus connue de FIDO2 est la forme d’authentification sans mot de passe : les mots de passe. Jusqu’à présent, il n’existe aucun moyen connu de contourner les mots de passe lors d’attaques de phishing d’identifiants. Des dizaines de sites et de services permettent désormais aux utilisateurs de se connecter à l’aide de mots de passe, qui utilisent des clés cryptographiques stockées dans les clés de sécurité, les smartphones et autres appareils.
« Bien que les attaques quantiques soient encore dans un avenir lointain, le déploiement de la cryptographie à l’échelle d’Internet est une entreprise colossale, c’est pourquoi il est vital de le faire le plus tôt possible », Elie Bursztein et Fabian Kaczmarczyck, directeur de recherche en cybersécurité et IA et ingénieur logiciel, respectivement, chez Google a écrit. « En particulier, pour les clés de sécurité, ce processus devrait être progressif, car les utilisateurs devront en acquérir de nouvelles une fois que FIDO aura standardisé la cryptographie résiliente de la cryptographie post-quantique et que cette nouvelle norme sera prise en charge par les principaux fournisseurs de navigateurs. »
Le chemin vers le PQC est semé d’embûches. RSA et d’autres algorithmes de chiffrement sont utilisés depuis des décennies sans aucun moyen connu de les briser. Au fil des années, ces résultats ont permis de croire que leur utilisation est sûre. Les algorithmes PQC en sont à leurs balbutiements, ce qui fait craindre à juste titre qu’on ne puisse pas encore leur faire confiance. Un exemple concret : un algorithme PQC appelé SIKE. L’année dernière, après avoir été candidat au quatrième tour d’un programme géré par l’Institut national des normes et de la technologie du ministère américain du Commerce, SIKE a été complètement et spectaculairement détruit par un seul ordinateur classique.
L’algorithme PQC utilisé dans la mise en œuvre des clés de sécurité FIDO2 adopte une approche plus prudente. Il combine l’algorithme de signature numérique à courbe elliptique, considéré comme incassable par l’informatique classique mais facilement brisé par l’informatique quantique, avec un algorithme PQC connu sous le nom de Crystals-Dilithium. Crystals-Dilithium est désormais l’un des trois algorithmes PQC sélectionnés par le NIST pour être utilisé avec les signatures numériques.
Le Dilithium particulier utilisé dans la mise en œuvre de la clé numérique récemment publiée semble résoudre une variété de problèmes. Premièrement, pour qu’il soit brisé, un attaquant devrait vaincre à la fois le cryptage ECDSA et le cryptage PCQ qui sous-tend sa sécurité. Et deuxièmement, les clés qu’il utilise sont minuscules par rapport à de nombreux autres algorithmes PQC actuellement en circulation. Dans l’article de cette semaine, les chercheurs de Google ont écrit :
Notre implémentation proposée repose sur une approche hybride qui combine l’algorithme de signature ECDSA testé au combat et l’algorithme de signature résistant quantique récemment standardisé, Dilithium. En collaboration avec l’ETH, nous avons développé ce nouveau schéma de signature hybride qui offre le meilleur des deux mondes. S’appuyer sur une signature hybride est essentiel car la sécurité du Dilithium et d’autres algorithmes résistants aux quantiques récemment standardisés n’ont pas encore résisté à l’épreuve du temps et les récentes attaques contre Rainbow (un autre algorithme résilient quantique) démontrent la nécessité de faire preuve de prudence. Cette prudence est particulièrement justifiée pour les clés de sécurité, car la plupart ne peuvent pas être mises à niveau – même si nous y travaillons pour OpenSK. L’approche hybride est également utilisée dans d’autres efforts post-quantiques, comme la prise en charge de TLS par Chrome.
Sur le plan technique, un grand défi consistait à créer une implémentation Dilithium suffisamment petite pour fonctionner sur du matériel contraint par les clés de sécurité. Grâce à une optimisation minutieuse, nous avons pu développer une implémentation optimisée pour la mémoire Rust qui ne nécessitait que 20 Ko de mémoire, ce qui était suffisamment petit. Nous avons également passé du temps à nous assurer que la vitesse de notre signature de mise en œuvre était bien dans les spécifications de clés de sécurité attendues. Cela dit, nous pensons que l’amélioration de la vitesse de signature en tirant parti de l’accélération matérielle permettrait aux touches d’être plus réactives.
À l’avenir, nous espérons voir cette implémentation (ou une variante de celle-ci) être standardisée dans le cadre de la spécification de clé FIDO2 et prise en charge par les principaux navigateurs Web afin que les informations d’identification des utilisateurs puissent être protégées contre les attaques quantiques. Si vous souhaitez tester cet algorithme ou contribuer à la recherche de clés de sécurité, rendez-vous sur notre implémentation open source OpenSK.
La sécurité du RSA et d’autres formes traditionnelles de cryptage asymétrique repose sur des problèmes mathématiques dont la réponse est facile à vérifier mais difficile à calculer. RSA, par exemple, repose sur la difficulté de factoriser les nombres premiers. Trouver les nombres premiers pour le nombre 27 919 645 564 169 759 est difficile, mais une fois que quelqu’un apprend que les nombres premiers sont 48 554 491 et 575 016 749, la vérification prend quelques secondes (merci à Boot.dev pour l’exemple).
Une méthode de factorisation connue sous le nom d’algorithme de Shor permet théoriquement de résoudre ce type de problèmes. Cela signifie à son tour une mort certaine pour de nombreux systèmes cryptographiques protégeant désormais les sessions Web cryptées, les données bancaires et médicales, ainsi que d’autres secrets. La seule chose qui freine ce scénario apocalyptique est la quantité massive de ressources informatiques quantiques requises.
Alors que les ordinateurs classiques ne peuvent pas exécuter l’algorithme de Shor de manière suffisamment efficace pour casser les clés RSA utilisées aujourd’hui, les ordinateurs quantiques dotés d’une puissance suffisante seront capables de les résoudre en huit heures. Personne ne sait quand ce jour viendra, même si un expert dans le domaine a récemment déclaré que ce ne serait pas de notre vivant. Néanmoins, comme l’ont souligné les chercheurs de Google, l’adoption de tout système PQC sera lente, il est donc logique de commencer à travailler le plus tôt possible.