Comme nous l’avions annoncé, le National Institute of Standards and Technology (NIST) du ministère américain du Commerce a publié en août 2024, trois nouvelles normes pour la cybersécurité post-quantique.
Les algorithmes de cryptage spécifiés sont conçus pour résister aux cyberattaques des ordinateurs quantiques.
Actuellement, les informations sensibles contenues dans les courriers électroniques, les virements bancaires… sont protégées par des techniques de chiffrement à clé publique qu’un ordinateur classique ne peut pas résoudre facilement. Cependant, les ordinateurs quantiques pourraient briser les chiffrements actuels.
Il est urgent de lancer le chantier
Aucun changement substantiel n’a été apporté aux normes depuis les versions préliminaires, mais le NIST a modifié les noms des algorithmes pour spécifier les versions qui apparaissent dans les trois normes finalisées.
La norme FIPS (Federal Information Processing Standard) 203 est destinée à être la norme principale pour le chiffrement général. Elle est basée sur l’algorithme CRYSTALS-Kyber, rebaptisé ML-KEM, abréviation de Module-Lattice-Based Key-Encapsulation Mechanism.
La norme FIPS 204 est destinée à être la norme principale de protection des signatures numériques. Elle utilise l’algorithme CRYSTALS-Dilithium, renommé ML-DSA (Module-Lattice-Based Digital Signature Algorithm).
La norme FIPS 205 est également conçue pour les signatures numériques. Elle utilise l’algorithme Sphincs+, rebaptisé SLH-DSA, abréviation de Stateless Hash-Based Digital Signature Algorithm. Cette norme repose sur une approche mathématique différente de celle de ML-DSA et est destinée à servir de méthode de secours si ML-DSA se révélait vulnérable.
« Ces normes finalisées comprennent des instructions pour les intégrer dans les produits et systèmes de chiffrement », explique Dustin Moody, mathématicien au NIST et responsable du projet de normalisation de cryptographie post-quantique.
David Espès, chercheur au Labsticc et professeur des Universités à l’Université de Bretagne Occidentale (UBO), recommandait d’hybrider ces algorithmes et de lancer immédiatement le chantier, qui est vital pour la sécurité de toutes les organisations.
Patrice Remeur