De l’importance des standards en cryptographie et de leur conception

Quand peut-on faire confiance à un système cryptographique ? Quelles garanties de sécurité apporte-t-il ? Ces questions que se pose, ou devrait se poser, chaque usager, acteur du monde économique et social ou simple citoyen, ne sont pas nouvelles. Elles préoccupaient déjà l’armée française à la fin du XIX^e siècle : réalisant, suite à la défaite de 1870, que les systèmes qu’elle utilisait étaient bien peu adaptés à la généralisation des communications télégraphiques, elle commanda une étude au linguiste néerlandais Auguste Kerckhoffs afin qu’il décrive ce que pourrait être “une méthode de cryptographie destinée à régler pour un temps illimité la correspondance des différents chefs d’armée entre eux”. Dans son traité La Cryptographie militaire paru en 1883, Kerckhoffs pose alors une série de principes, considérée comme le fondement de la cryptographie moderne, et en particulier celui qui, aujourd’hui encore, peut sembler contre-intuitif : “l’Administration doit absolument renoncer aux méthodes secrètes, et établir en principe qu’elle n’acceptera qu’un procédé qui puisse être enseigné au grand jour dans nos écoles militaires, que nos élèves seront libres de communiquer à qui leur plaira, et que nos voisins pourront même copier et adopter”. En termes modernes, les spécifications d’un système cryptographique doivent être publiques, car préserver leur secret est illusoire ; la sécurité du système ne doit donc reposer que sur une quantité secrète, une clé ou un mot de passe, suffisamment courte pour être facile à retenir, à échanger et à changer si jamais elle devait être compromise.

Plus d’un demi-siècle plus tard, au sortir de la Seconde Guerre Mondiale, c’est Claude Shannon qui apporte un autre argument en faveur de ce principe fondamental. Il montre en effet qu’un système cryptographique ne peut préserver la confidentialité d’une communication de manière parfaite que si les deux interlocuteurs partagent une clé secrète aussi longue que les messages à échanger. Cette condition étant impossible à mettre en œuvre, aucun des systèmes cryptographiques utilisés en pratique ne garantit une confidentialité parfaite : il est toujours possible de retrouver de l’information sur le contenu du message d’origine à partir du message chiffré. Puisqu’il est donc possible d’attaquer tous les systèmes que nous utilisons, ce qui les différencie est la difficulté de réaliser une telle attaque.

C’est pourquoi la sécurité des procédés fondamentaux, appelés primitives cryptographiques, qui réalisent les fonctionnalités élémentaires comme le chiffrement, découle essentiellement des résultats de la cryptanalyse, c’est-à-dire de la recherche d’attaques. Ces primitives cryptographiques sont ensuite combinées au sein de protocoles plus complexes, tels une messagerie sécurisée comme Signal, le protocole TLS utilisé par les navigateurs web…, dont la sécurité est démontrée sous l’hypothèse que les primitives cryptographiques résistent à la cryptanalyse. Ainsi la confiance que nous pouvons accorder aux primitives cryptographiques dépend-elle de l’effort de cryptanalyse qui leur a été consacré. Plus une primitive a fait l’objet d’attaques dont on a pu démontrer qu’elles resteront infructueuses, plus nous pouvons lui faire confiance. À l’inverse, une primitive qui n’est pas passée sous les fourches caudines des cryptanalystes n’offre aucune garantie de sécurité, a fortiori si ses spécifications sont restées secrètes.

Les primitives cryptographiques les plus sûres sont donc celles qui ont été standardisées au terme d’une procédure impliquant l’ensemble de la communauté scientifique. C’est ainsi que depuis 25 ans, les efforts de standardisation prennent la forme de concours internationaux : tout cryptographe peut soumettre une primitive répondant au cahier des charges publié par l’organisme de standardisation (généralement le NIST américain). Ensuite, toutes les propositions reçues sont rendues publiques, et soumises à la sagacité des cryptanalystes du monde entier pendant plusieurs années. C’est seulement après 5 à 10 ans que le NIST choisira la primitive qui sera standardisée au vu de la résistance, prouvée ou empirique, aux tentatives d’attaques des différents candidats, et également de leurs performances.

Pourquoi définir de nouveaux standards ?

Bien entendu, la cryptanalyse continue de progresser, et peut aboutir à de nouvelles attaques, après la fin du processus de standardisation. Mais ce fonctionnement offre indéniablement des garanties de sécurité. Ainsi, le standard de chiffrement symétrique¹, l’algorithme AES, standardisé il y a 25 ans, conserve toujours une marge de sécurité conséquente. Pourtant, il s’est avéré depuis lors indispensable de standardiser de nouvelles primitives. Une première raison est l’émergence de nouvelles applications pour lesquelles les standards existants n’étaient pas adaptés. Ainsi, l’AES n’a pas les performances requises pour sécuriser des dispositifs ne disposant que de très peu de ressources, comme les cartes sans contact, ce qui a conduit à la standardisation en 2024 d’un chiffrement à bas coût, au terme d’un concours débuté en 2019.

Une deuxième raison motivant la définition de nouveaux standards est l’apparition de nouvelles attaques. Les progrès de la cryptanalyse sur la fonction de hachage² SHA-1 ont par exemple nécessité de la remplacer par un nouveau standard, SHA-3. Plus récemment, la possible construction d’un ordinateur quantique fait peser une menace sur les primitives asymétriques (i.e., qui ne requièrent pas le partage d’un secret entre les protagonistes) fondées sur des problèmes issus de la théorie des nombres (RSA³, Diffie-Hellman⁴…). En effet, un algorithme, imaginé par Peter Shor en 1994, permet de casser ces primitives avec une complexité polynomiale en la taille des paramètres du système. Augmenter raisonnablement la taille des clés ne suffit donc pas à s’en prémunir. Nous sommes cependant bien loin de posséder un ordinateur quantique capable d’attaquer les systèmes actuellement mis en œuvre : le plus grand nombre sans propriété spécifique factorisé à ce jour par un dispositif quantique reste 21 (une tentative de factorisation quantique de 35 a échoué en 2019), alors que les systèmes cryptographiques utilisent des nombres de plus de 900 chiffres décimaux. Cependant, il est primordial que les chercheurs se préoccupent dès maintenant de définir des alternatives, appelées primitives post-quantiques, qui ne seraient pas vulnérables aux attaques quantiques. En effet, la conception de primitives solides est un processus long, et certaines données très sensibles doivent par ailleurs être protégées pendant plusieurs années, voire décennies. Ceci impose d’anticiper une menace significative causée par un ordinateur quantique, même si, d’après les spécialistes du domaine, les chances que cela se produise avant 20 ans restent minces.

La cryptographie post-quantique

C’est ainsi que le NIST a lancé en 2016 un processus de standardisation de primitives post-quantiques, qui n’est pas encore complètement clos à l’heure actuelle. Il est important de remarquer qu’une seule classe de primitives est vulnérable à l’attaque dévastatrice de Shor : les primitives asymétriques (chiffrement à clé publique, échange de clef ou signature⁵ reposant sur la difficulté de la factorisation ou du calcul du logarithme discret. Dans l’état actuel des connaissances, les autres familles de primitives, chiffrements symétriques tel l’AES, fonctions de hachage…, font principalement l’objet d’attaques quantiques génériques qui nécessitent de doubler la taille des clés et des états internes des primitives, ce qui impose diverses modifications, mais ne pose pas de problème conceptuel majeur.

Suite à l’analyse des 69 soumissions, le NIST a sélectionné en 2022 quatre primitives post-quantiques, puis une en 2025 : trois signatures (CRYSTALS-Dilithium, FALCON, SPHINCS+), et deux mécanismes d’établissement d’une clé pour le chiffrement (CRYSTALS-Kyber et HQC). Chacune de ces propositions a été conçue par un groupe d’une dizaine, voire vingtaine, de cryptographes, parmi lesquels figurent des chercheurs d’organismes de recherche ou d’universités français (à part pour SPHINCS+). Ces cinq algorithmes ne reposent pas tous sur le même type de problème algorithmique : trois de ces nouvelles primitives utilisent des algorithmes à base de réseaux euclidiens, une d’entre elles (HQC) repose sur un problème issu de la théorie des codes correcteurs, et la dernière (SPHINCS+) est une signature à base de hachage. Une telle diversité est en effet souhaitable dans la mesure où nous ne disposons pas encore de suffisamment de recul sur la sécurité de ces primitives, sur leur résistance aux attaques classiques et aux attaques quantiques. Leur sécurité étant bien moins établie que celle des standards traditionnels, éprouvés depuis des décennies, il est important de suivre l’adage recommandant de ne pas mettre tous ses œufs dans le même panier.

Ce processus de standardisation ouvre désormais la voie à de multiples travaux de recherche en cryptanalyse, mais aussi sur la mise en œuvre sécurisée de ces nouvelles primitives, sur l’optimisation de leurs performances… Sans nul doute, le domaine de la cryptographie post-quantique connaîtra encore des évolutions significatives dans les prochaines années. Mais celui de la cryptographie classique n’est pas en reste : nul ne peut prétendre que les progrès de la cryptanalyse “classique” ne seront pas plus rapides ou dévastateurs que ceux de l’ordinateur quantique.