Dans notre monde numérique, y compris sur le marché des infrastructures à clé publique (PKI), les vagues de transformations s’accélèrent. Actuellement, l’informatique post-quantique se révèle comme étant une évolution essentielle.
Alors que le National Institute of Standards and Technology (NIST) devrait prochainement dévoiler les algorithmes qui remplaceront les algorithmes RSA/ECC, les acteurs de la cybersécurité attendent des réponses. Ils souhaitent en effet savoir à quoi les infrastructures à clés publiques et les certificats numériques ressembleront dans un monde post-quantique. Quelle sera leur incidence sur les organisations qui s’appuient sur des certificats SSL/TLS pour leur infrastructure de sécurité ? Pour rappel l’algorithme RSA tire son acronyme du nom de ses inventeurs Rivest, Shamir, Adleman. Quant aux ECC, ils désignent la cryptographie à courbe elliptique (Elliptic Curve Cryptography).
À ce jour, le NIST a organisé quatre conférences sur la normalisation des algorithmes post-quantiques, la prochaine devant se tenir en avril 2024. L’Institut devrait normaliser plus tard dans l’année les premiers algorithmes capables de résister aux ordinateurs quantiques. Pour en savoir plus, vous retrouverez ici le calendrier complet des événements et les grandes dates du programme post-quantique du NIST.
Cette étape n’est toutefois que la première d’une longue série. Il reste encore à surmonter d’autres obstacles avant que les certificats post-quantiques puissent être utilisés en toute sécurité :
- La RFC (Request For Comment) pour les certificats X.509 doit être actualisée afin de normaliser les identificateurs d’objets (OID) des nouveaux algorithmes. Cela concerne la façon dont nous référençons les algorithmes dans la structure de certificats (en cours).
- Les serveurs doivent être mis à jour pour pouvoir présenter ces nouveaux certificats.
- Les clients (navigateurs web) doivent également être mis à jour pour pouvoir utiliser ces nouveaux certificats.
- Pour les certificats de confiance publique, le forum des autorités de certification et éditeurs de navigateurs (Forum CA/B) doit proposer et approuver un bulletin de vote afin que ces nouveaux algorithmes soient acceptés.
- Les autorités de certification (AC) devront être en mesure de délivrer ces nouveaux certificats. Autrement dit, les fabricants de modules de sécurité matériels (HSM) devront aussi se mettre à jour afin de pouvoir prendre en charge ces certificats.
- La mise à jour des modules HSM nécessitera probablement une actualisation des RFC pour que les principales interfaces (ex. : certificats PKCS #11) puissent interagir avec ces modules.
- Le cadre de conformité régissant les HSM (FIPS-140) devra également être mis à jour afin de pouvoir prendre en charge cette évolution.
Bien que de nombreuses étapes restent à franchir avant l’intégration de ces nouveaux certificats dans l’actuelle structure de sécurité PKI – structure que nous avons appris à connaître et dont la fiabilité est établie –, il est essentiel d’anticiper et de réfléchir à ce que pourraient être les futurs certificats post-quantiques.
Hiérarchie des certificats
Les certificats post-quantiques sont semblables aux certificats de l’autorité de certification racine et de l’AC intermédiaire, car ils suivent la même structure :
- Les paramètres définissant les usages des clés limitent ce que les certificats peuvent faire.
- Les informations fournies par les listes de révocation de certificats (LRC)
- et le protocole OCSP (Online Certificate Status Protocol) indiquent où vérifier l’état du certificat.
- Ils peuvent aussi comporter des sections relatives aux systèmes cyber-physiques (CPS).
La principale différence tient cependant aux types de clés qu’ils utilisent ; les certificats post-quantiques utilisant des clés de plus grande taille afin de prévenir les risques d’exploitation, notamment ceux liés à la puissance des futurs ordinateurs quantiques.
Sélectionnés en 2022 par le NIST pour les signatures numériques, ces algorithmes seront probablement envisagés pour les certificats TLS X.509. Leur nom devrait changer afin de refléter les évolutions de la norme FIPS 204. Ainsi, au lieu de parler de Dilithium2/3/5, ces algorithmes seront renommés en ML-DSA-44/65/78.
L’utilisation de clés de plus grande taille et de signatures plus longues implique de transférer un volume de données plus important lors du processus de négociation SSL/TLS. Les algorithmes Dilithium et ML-DSA ne semblent cependant pas requérir d’augmentation significative des ressources pour la vérification. Pour l’utilisateur moyen, cette modification devrait donc rester imperceptible. La situation pourrait toutefois être différente pour les appareils de petite taille et moins puissants, comme ceux utilisés dans le domaine de l’Internet des objets (IoT), qui dépendent également de certificats SSL/TLS.
Les algorithmes d’échange de clés doivent également être révisés pour pouvoir assurer la sécurité du processus de négociation SSL/TLS (handshake) dans un environnement post-quantique. Il est probable qu’ils s’orienteront vers l’utilisation de Kyber, désormais désigné ML-KEM, en accord avec la norme FIPS 203. À l’instar des algorithmes Dilithium et ML-DSA, cette mise à jour entraînera une augmentation de la taille des clés et des textes chiffrés, mais la génération de clés pourrait néanmoins rester plus rapide.
Les nouveaux certificats post-quantiques reposent également entièrement sur les algorithmes Dilithium/ML-DSA et ne sont donc pas des certificats « hybrides ». Initialement, les certificats hybrides, conçus pour être signés à la fois avec des clés conventionnelles, telles que les clés RSA et ECC, et avec une clé post-quantique, avaient pour objectif de faciliter la transition vers des solutions de sécurité adaptées à l’ère post-quantique. Néanmoins, l’intérêt s’est progressivement orienté vers l’adoption de certificats entièrement post-quantiques.
Voir des exemples de certificats post-quantiques ici
Certificats d’entité finale
Émis pour des entreprises, des organisations et des particuliers, les certificats d’entité finale constituent quelques-uns des types de certificats les plus courants. Ils servent à sécuriser les sites Internet. Pour obtenir un tel certificat, le client doit soumettre une demande de signature de certificat (CSR) à l’autorité de certification (AC) par l’intermédiaire du portail web de l’AC, via une API ou en utilisant le protocole ACME. Ces CSR contiennent la clé publique RSA/ECC d’une paire de clés. Toutefois, pour demander un certificat compatible avec la sécurité post-quantique, la CSR ou la requête ACME doit spécifier un type de clé adaptée, comme Dilithium2.
Les protocoles utilisés pour générer les demandes de signature de certificat devront ainsi être mis à jour pour pouvoir prendre en charge les nouveaux algorithmes post-quantiques — y compris les clients ACME tels que acme.sh, certbot et lego, ou encore les serveurs web comme IIS, OpenSSL ou d’autres services gérés.
Cette procédure est très similaire à une demande de CSR classique. Elle comprend le SubjectDN, avec le nom commun et les informations sur l’organisation, ainsi que les Noms Alternatifs du Sujet (SAN), qui listent les ressources que le certificat SSL/TLS doit sécuriser, comme un nom de domaine ou une adresse IP. Une fois encore, la principale différence tient au type de clé, avec dans ce cas, l’algorithme Dilithium2/ML-DSA.
Une fois la CSR post-quantique soumise à l’autorité de certification, cette dernière vérifie l’authenticité de la demande et s’assure que le client contrôle bel et bien les ressources listées dans les SAN. Une fois ces vérifications effectuées, l’AC peut délivrer le certificat au client.
Ainsi, pour que le certificat puisse être utilisé en conjonction avec la clé privée correspondante, il contient bien l’intégralité des informations figurant dans la CSR, mais est désormais émis à partir d’une hiérarchie Dilithium sécurisée post-quantique.
Vérification de l’état des certificats
L’infrastructure d’une autorité de certification (AC) basée sur une PKI offre deux moyens de vérifier si un certificat a été révoqué : à l’aide du protocole OCSP et d’une liste de révocation de certificats, ces deux méthodes fonctionnant de manière légèrement différente.
Alors que les types de clés traditionnelles ne seront bientôt plus sécurisés, ces méthodes vont également devoir être révisées afin d’inclure les certificats post-quantiques. Sans cela, rien ne pourra empêcher des acteurs malintentionnés de tromper leurs cibles, en indiquant que des certificats valides ont été révoqués ou inversement, en supprimant la révocation de certificats qui ne devraient pourtant plus être considérés comme fiables.
Une LRC est un fichier publié par une AC, qui contient une liste de certificats révoqués. Cette liste est signée par le certificat émetteur pour que le client puisse s’y fier. Là encore, la signature sur la LRC est plus longue que celle des LRC actuelles utilisant des clés RSA/ECC. Cela ne devrait toutefois pas causer de problèmes majeurs, dans la mesure où les LRC peuvent déjà être assez longues lorsque l’AC a déjà traité un nombre important de révocations.
L’OCSP assure une fonction très similaire à celle de la LRC, à ceci près qu’il s’agit d’un modèle de demande et de réponse. L’AC gère un service OCSP, que le client interroge pour vérifier la validité d’un certificat. La demande OCSP ne devrait pas changer significativement, mais la réponse devra être mise à jour. Comme pour les objets de certificats eux-mêmes, la structure restera la même que le modèle actuel, mais les signatures et les clés seront nettement plus longues.
Retrouvez ici des exemples de LRC et de répondeur OCSP
Conclusion
L’informatique post-quantique est une technologie en pleine expansion, et de nombreuses organisations cherchent à se préparer au monde post-quantique pour être en mesure de faire face. Les certificats post-quantiques ressembleront cependant de près aux certificats actuellement utilisés. Cette transition exigera une étroite collaboration entre les autorités de certification, les clients et les dispositifs connectés pour pouvoir appréhender cette technologie naissante, mettre à jour nos systèmes et sécuriser nos futurs échanges et communications.
Les principaux usages des certificats post-quantiques, ainsi que leurs procédures d’émission et de sécurisation PKI, resteront pour une grande part identiques. Les principales modifications porteront sur l’actualisation des infrastructures de sécurité et des logiciels afin de pouvoir prendre en charge ces nouveaux types de certificats. Planifier l’adoption de ces certificats post-quantiques est essentiel, mais rassurez-vous, les certificats, les demandes de CSR et d’ACME, ainsi que les vérifications de révocation et de statut, conserveront une structure semblable à celle que nous maîtrisons déjà. Comprendre à quoi ressembleront ces certificats est l’un des nombreux moyens de nous préparer à un avenir post-quantique.
Alors que cette technologie continue à évoluer, GlobalSign prépare l’avenir pour sécuriser vos communications et vos certificats numériques. Nous focalisons nos investissements en R&D sur l’informatique post-quantique et vous apportons le soutien approprié pour que votre organisation soit prête à relever les défis de demain.
En savoir plus sur l’informatique post-quantique et votre autorité de certification