Sélection par le NIST de futurs standards en cryptographie post-quantique

Le NIST a publié le 5 juillet dernier une liste de quatre premiers algorithmes vainqueurs d’une campagne initiée en 2016 pour la standardisation d’algorithmes cryptographiques post-quantiques (c’est-à-dire conjecturés résistants aux ordinateurs quantiques).

Publié le 18 Juillet 2022 Mis à jour le 10 Août 2023

Ces futurs standards devraient devenir des options par défaut préconisées par l’ANSSI pour la sélection d’algorithmes post-quantiques dans la majorité des produits de sécurité - sous réserve que ces algorithmes post-quantiques soient combinés avec des algorithmes classiques éprouvés à travers des mécanismes hybrides.

Le NIST (National Institute of Standards and Technology, organisme de standardisation américain) organise depuis 2016 un concours international en vue de la standardisation d’algorithmes cryptographiques post-quantiques. Dans le cadre de ce concours, le NIST a publié le 5 juillet dernier une liste de quatre premiers algorithmes sélectionnés : un algorithme d’établissement de clé nommé CRYSTALS-Kyber ; et trois algorithmes de signature nommés CRYSTALS-Dilithium, FALCON et SPHINCS+. Les trois premiers de ces algorithmes sont fondés sur les réseaux euclidiens structurés ; le dernier, SPHINCS+, est fondé sur des constructions en arbres de hachage.

Ces quatre algorithmes serviront donc de base à la rédaction de normes fédérales américaines. Cependant, la portée de l’annonce du NIST est en fait internationale ; cela est dû non seulement au caractère international de la compétition dans laquelle la communauté de recherche en cryptographie est très fortement impliquée, mais aussi au fait que les futures normes américaines seront également de facto utilisées comme standards industriels internationaux.

En complément des quatre vainqueurs déjà cités, un prolongement de la campagne de standardisation est prévu pour quatre algorithmes : il s’agit des algorithmes d’établissement de clé BIKE, HQC, Classic McEliece (tous trois fondés sur les codes correcteurs d’erreur) et SIKE (fondé sur les graphes d’isogénies de courbes elliptiques). Certains de ces algorithmes pourraient donc ultérieurement rejoindre le même processus de standardisation que les quatre algorithmes déjà sélectionnés. L’objectif final du NIST est effectivement de pouvoir standardiser un éventail varié d’algorithmes de manière à couvrir une majorité de cas d’usages.

D’un point de vue scientifique, l’ANSSI est satisfaite du choix effectué par le NIST. Les algorithmes choisis paraissent en effet offrir des perspectives raisonnables quant à leur sécurité à long terme. L’on peut donc désormais considérer les quatre algorithmes CRYSTALS-Kyber, CRYSTALS-Dilithium, FALCON et SPHINCS+ comme des choix à envisager dans la majorité des cas pour la sélection d’algorithmes post-quantiques pour la conception de produits de sécurité.

Toutefois, il est important de noter que l’étape franchie par le NIST dans son processus de standardisation ne constitue pas une validation définitive de la sécurité des algorithmes retenus. Par conséquent, la doctrine française en ce qui concerne les algorithmes post-quantiques, présentée dans un avis scientifique et technique en janvier 2022, n’est pas modifiée par cette annonce. En effet, même si ces algorithmes sont prometteurs, l’ANSSI ne recommande en aucun cas le remplacement direct des algorithmes actuels par ces nouveaux futurs standards. Dans les années qui viennent, ces algorithmes post-quantiques devront encore être utilisés dans un mode hybride, c’est à dire combinés avec un algorithme à clé publique pré-quantique reconnu et éprouvé (à l’exception de mécanismes uniquement fondés sur la sécurité de fonctions de hachage comme SPHINCS+, pour lesquels l’hybridation est optionnelle). Les modes d’hybridation en cours de standardisation par l’ETSI et les spécifications IETF en cours d’élaboration pour l’hybridation dans les protocoles de communications sécurisées TLS 1.3 et IKEv2 pourraient par exemple être des solutions pour les futurs déploiements.

Notons de plus que la sélection opérée par le NIST ne doit pas être comprise comme une liste « fermée » d’algorithmes post-quantiques utilisables. En effet, certains algorithmes qui n’ont pas été retenus mais qui semblent disposer d’une sécurité à long terme au moins équivalente à celle des algorithmes sélectionnés (comme par exemple le mécanisme d’établissement de clé FrodoKEM, fondé sur les réseaux euclidiens non structurés) peuvent demeurer des options dignes d’intérêt pour des applications de haute sécurité suffisamment peu contraintes en termes de bande passante. D’une manière générale, l’ANSSI souhaite continuer à encourager la recherche et la R&D en cryptographie post-quantique, qu’il s’agisse de l’analyse de la difficulté des problèmes mathématiques sous-jacents, de l’intégration des algorithmes post-quantiques dans des protocoles hybrides de communication, de l’analyse de sécurité formelle des modes d’hybridation ou de la conception et l’analyse d’implémentations sécurisées.

Les quatre algorithmes sélectionnés et les quatre algorithmes retenus pour le prolongement de la campagne de standardisation résultent de coopérations internationales. Mais la liste de leurs co-auteurs et leurs affiliations n’en illustrent pas moins de manière frappante l’extraordinaire vitalité de la recherche française et de la recherche européenne en cryptographie.