Intervention de Henri GILBERT

La cryptographie symétrique repose sur le partage préalable par les interlocuteurs d'un secret commun, la clé. La cryptographie asymétrique échappe à la nécessité d'une possession préalable de secret et permet de régler de grands problèmes comme des échanges de données sécurisées dans de très grands réseaux.

Il est difficile de prédire si de tels ordinateurs existeront un jour et, dans l'affirmative, s'ils apparaîtront avant ou auprès 2035, mais la prudence commande de commencer à se prémunir dès maintenant contre les attaques de tels ordinateurs, afin notamment de prévenir les attaques rétroactives du type « enregistrer maintenant sur des systèmes actuels, cryptanalyser n années plus tard ». Pour des données hautement sensibles à protéger durablement, nous sommes dès aujourd'hui exposés à cette menace.

L'ANSSI recommande, comme la plupart des agences mondiales de sécurité, de commencer à prévenir cette menace quantique dès que possible, c'est-à-dire dans un délai de 1 à 4 ans, au moins dans deux cas : lorsque les informations sensibles nécessitent une protection de longue durée au-delà de 2030 ; pour les produits de sécurité susceptibles de continuer à être utilisés au-delà de 2030. Et cela, en déployant des solutions post-quantiques « hybrides ».

Un des grands avantages de la cryptographie post-quantique est d'être déployable dans les systèmes de communication numériques sans modifications majeures, tout en nécessitant quelques adaptations de la partie cryptographique. Elle enrichit la boîte à outils des algorithmes asymétriques actuellement déployés avec des algorithmes post-quantiques, dont la sécurité est fondée sur des problèmes mathématiques conjecturés comme résistant aux ordinateurs quantiques. Il existe 5 principales familles d'algorithmes asymétriques post-quantiques fondés sur les réseaux euclidiens et les codes correcteurs d'une part, et sur les graphes d'isogénies, la cryptographie multivariée et le hachage de l'autre.

L'ANSSI considère que la cryptographie post-quantique est une réponse réaliste à la menace quantique. La France abrite une proportion substantielle des compétences mondiales sur les quatre premières familles d'algorithmes mentionnées ainsi qu'un écosystème riche de la sécurité numérique capable de développer des solutions allant de la recherche publique aux entreprises de la sécurité numérique en passant par des start-up pour le développement de briques logicielles ou matérielles.

La cryptographie quantique est une autre réponse à la menace quantique, mais elle nécessite une infrastructure spécifique de liaisons quantiques point à point. L'ANSSI a rédigé un avis scientifique et technique sur les possibilités ouvertes par la cryptographie quantique. En tant que cryptologue, je rejoins les commentaires de Damien Stehlé qui sont convergents avec le contenu de l'avis.

La cryptographie quantique ne fournit pas un équivalent fonctionnel complet de la cryptographie asymétrique, notamment en raison de fortes contraintes de déploiement. En milieu terrestre, on ne peut pas avoir l'équivalent des capacités de routage actuelles sur un grand réseau et elle n'est pas déployable à grande échelle avec une haute sécurité pratique, sauf en prenant le risque d'utiliser des nœuds de confiance, ce qui fait considérablement chuter la sécurité.

Les possibilités ouvertes restent proches de ce que permettent des architectures de gestion de clé fondées uniquement sur la cryptographie symétrique, que l'ordinateur quantique menace faiblement.

L'emploi de la cryptographie quantique est envisageable dans un nombre limité de cas. La recommandation sera de l'utiliser en complément à une protection cryptographique, à titre de défense en profondeur.

La campagne de normalisation du National Institute of Standards and Technology (NIST) vise à sélectionner des algorithmes symétriques post-quantiques et à établir des clés et des signatures en vue de leur normalisation par l'État américain. Plus de 80 algorithmes issus du monde entier ont été examinés : au troisième tour, il reste 7 finalistes, dont 2 seront probablement sélectionnés avant fin 2021, et 8 finalistes alternatifs. La légitimité du NIST pour mener ce genre d'opération est paradoxale, car il s'agit d'un organisme national de normalisation ; elle provient de sa capacité unique à mobiliser la communauté de recherche. Il joue un formidable rôle d'accélérateur de la maturation du domaine. La recherche académique et industrielle française est très fortement représentée dans le processus engagé, puisque 5 finalistes et 4 alternatifs ont au moins un co-auteur français.

Notre perception de la maturité des techniques post-quantiques est assez bonne, notamment grâce aux efforts du NIST, mais elle ne doit pas être surestimée. On manque encore de recul, davantage que pour la cryptographie actuellement déployée, sur la sécurité classique et post-quantique des algorithmes, sur leur intégration dans des protocoles plus complexes et sur la sécurité des implémentations.

En conséquence, le remplacement direct des algorithmes asymétriques classiques existants par les nouveaux algorithmes asymétriques post-quantiques entraînerait un risque significatif de régression de la sécurité face aux attaquants actuels. Ce constat ne doit toutefois pas servir d'argument pour retarder le début de la migration, mais appelle certaines précautions afin de prévenir toute régression. Une courte phase d'apprentissage pourrait être tolérée afin que ces techniques deviennent un jour une solution de substitution complète.

Les préconisations de l'ANSSI sur la transition post-quantique sont les suivantes :

L'ANSSI publiera avant la fin de l'année un avis sur la cryptographie post-quantique où il sera question de migration et qui définira les grandes lignes d'un schéma de migration en 3 phases. La phase 1, au moins jusqu'en 2025, correspondra au début de la migration et à une phase d'apprentissage. La phase 2, jusqu'en 2030, visera un renforcement des exigences. La phase 3, après 2030 verra la finalisation de la migration.