Le NIST (National Institute of Standards and Technology, organisme de standardisation américain) organise depuis 2016 un concours international en vue de la standardisation d’algorithmes cryptographiques post-quantiques. Dans le cadre de ce concours, le NIST a publié le 6 juillet dernier une liste de quatre premiers algorithmes sélectionnés : un algorithme d’établissement de clé nommé CRYSTALS-Kyber ; et trois algorithmes de signature nommés CRYSTALS-Dilithium, FALCON et SPHINCS+. Les trois premiers de ces algorithmes sont fondés sur les réseaux euclidiens structurés ; le dernier, SPHINCS+, est fondé sur des constructions en arbres de hachage.
Ces quatre algorithmes serviront donc de base à la rédaction de normes fédérales américaines. Cependant, la portée de l’annonce du NIST est en fait internationale ; cela est dû non seulement au caractère international de la compétition dans laquelle la communauté de recherche en cryptographie est très fortement impliquée, mais aussi au fait que les futures normes américaines seront également _de facto_ utilisées comme standards industriels internationaux.
En complément des quatre vainqueurs déjà cités, un prolongement de la campagne de standardisation est prévu pour quatre algorithmes : il s’agit des algorithmes d’établissement de clé BIKE, HQC, Classic McEliece (tous trois fondés sur les codes correcteurs d’erreur) et SIKE (fondé sur les graphes d’isogénies de courbes elliptiques). Certains de ces algorithmes pourraient donc ultérieurement rejoindre le même processus de standardisation que les quatre algorithmes déjà sélectionnés. L’objectif final du NIST est effectivement de pouvoir standardiser un éventail varié d’algorithmes de manière à couvrir une majorité de cas d’usages.
D’un point de vue scientifique, l’ANSSI est satisfaite du choix effectué par le NIST. Les algorithmes choisis paraissent en effet offrir des perspectives raisonnables quant à leur sécurité à long terme. On peut donc désormais considérer les quatre algorithmes CRYSTALS-Kyber, CRYSTALS-Dilithium, FALCON et SPHINCS+ comme des choix à envisager dans la majorité des cas pour la sélection d’algorithmes post-quantiques pour la conception de produits de sécurité.
Toutefois, il est important de noter que l’étape franchie par le NIST dans son processus de standardisation ne constitue pas une validation définitive de la sécurité des algorithmes retenus. Par conséquent, la doctrine française en ce qui concerne les algorithmes post-quantiques, présentée dans un avis scientifique et technique en janvier 2022, n’est pas modifiée par cette annonce. En effet, même si ces algorithmes sont prometteurs, l’ANSSI ne recommande en aucun cas le remplacement direct des algorithmes actuels par ces nouveaux futurs standards. Dans les années qui viennent, ces algorithmes post-quantiques devront encore être utilisés dans un mode hybride, c’est à dire combinés avec un algorithme à clé publique pré-quantique reconnu et éprouvé (à l’exception de mécanismes uniquement fondés sur la sécurité de fonctions de hachage comme SPHINCS+, pour lesquels l’hybridation est optionnelle). Les modes d’hybridation en cours de standardisation par l’ETSI et les spécifications IETF en cours d’élaboration pour l’hybridation dans les protocoles de communications sécurisées TLS 1.3 et IKEv2 pourraient par exemple être des solutions pour les futurs déploiements.
Notons de plus que la sélection opérée par le NIST ne doit pas être comprise comme une liste « fermée » d’algorithmes post-quantiques utilisables. En effet, certains algorithmes qui n’ont pas été retenus mais qui semblent disposer d’une sécurité à long terme au moins équivalente à celle des algorithmes sélectionnés (comme par exemple le mécanisme d’établissement de clé FrodoKEM, fondé sur les réseaux euclidiens non structurés) peuvent demeurer une option digne d’intérêt pour des applications de haute sécurité suffisamment peu contraintes en termes de bande passante. D’une manière générale, l’ANSSI souhaite continuer à encourager la recherche et la R&D en cryptographie post-quantique, qu’il s’agisse de l’analyse de la difficulté des problèmes mathématiques sous-jacents, de l’intégration des algorithmes post-quantiques dans des protocoles hybrides de communication, de l’analyse de sécurité formelle des modes d’hybridation ou de la conception et l’analyse d’implémentations sécurisées.
Les quatre algorithmes sélectionnés et les quatre algorithmes retenus pour le prolongement de la campagne de standardisation résultent de coopérations internationales. Mais la liste de leurs co-auteurs et leurs affiliations n’en illustrent pas moins de manière frappante l’extraordinaire vitalité de la recherche française et de la recherche européenne en cryptographie.