Comment sécuriser des informations dans un monde d'ordinateurs quantiques ?
Treize, 53, 433… la taille des ordinateurs quantiques est donnée en termes de bits quantiques, ou « qubits ».
Il n’est jamais facile de faire des prédictions, mais il est admis que la cryptographie sera modifiée par l’avènement des ordinateurs quantiques. Il est devenu banal de dire que la protection de la vie privée est une question essentielle dans notre société de l’information : chaque jour, de grandes quantités de données confidentielles sont échangées, par exemple via l’internet. La sécurité de ces transactions est cruciale et dépend principalement d’un seul concept : la complexité, ou plus précisément la complexité informatique. Les informations confidentielles restent secrètes parce que tout ennemi ou espion désireux de les lire doit résoudre un problème mathématique extrêmement complexe.
En fait, les problèmes utilisés pour la cryptographie sont si complexes pour nos algorithmes et ordinateurs actuels que l’échange d’informations reste sûr en pratique, car résoudre le problème puis pirater le protocole prendrait un temps ridiculement long (des années, voir plusieurs milliers d’années, par exemple).
L’exemple le plus emblématique de cette approche est le protocole RSA (pour ses inventeurs Ron Rivest, Adi Shamir et Leonard Adleman), le schéma utilisé de nos jours pour sécuriser nos transmissions d’informations (par exemple les transactions bancaires). Sa sécurité repose sur le fait que nous ne connaissons pas d’algorithme efficace pour factoriser les grands nombres. Alors que la factorisation est un problème mathématique facile, que beaucoup d’entre nous ont déjà rencontré à l’école (étant donné un grand nombre, le but est de trouver deux nombres dont le produit est égal au nombre initial, en laissant de côté la solution triviale donnée par le nombre initial et un – par exemple, si le nombre initial est 6, la solution est 2 et 3, car 6=2x3), les protocoles cryptographiques sont construits de telle manière que l’ennemi, pour décrypter le message, doit factoriser un très grand nombre (pas 6 !), ce qui est actuellement impossible en pratique.
Mais si l’on construit des dispositifs informatiques plus puissants, pour lesquels les problèmes mathématiques utilisés actuellement pour la cryptographie sont faciles à résoudre, notre paradigme actuel en matière de protection de la vie privée doit être repensé. En d’autres termes, tandis que les ordinateurs classiques peuvent avoir besoin de durées folles pour résoudre les versions les plus ardues d’un problème (l’âge de l’univers par exemple), les ordinateurs quantiques idéaux devraient être capables de le faire en quelques minutes… ou, si l’on considère des modèles plus réalistes d’ordinateurs quantiques, peut-être en quelques heures.
C’est pourquoi les cryptographes développent des solutions pour remplacer RSA et atteindre la « sécurité quantique », c’est-à-dire des protocoles cryptographiques qui sont sûrs contre un ennemi qui a accès à un ordinateur quantique. Pour ce faire, il existe deux approches principales : la cryptographie post-quantique et la distribution de clés quantiques.
En quoi consiste la cryptographie post-quantique ?
La cryptographie post-quantique maintient le paradigme de sécurité basé sur la complexité : on cherche les problèmes mathématiques qui restent difficiles même pour les ordinateurs quantiques, et on les utilise pour construire des protocoles cryptographiques. L’idée est toujours qu’un ennemi a besoin d’un temps ridiculement long pour pirater le protocole. Les chercheurs travaillent d’arrache-pied pour développer des algorithmes de cryptographie post-quantique, et le NIST (le « National Institute of Standards and Technology » américain) a lancé un processus pour solliciter et évaluer ces algorithmes. Les candidats choisis ont été annoncés en juillet 2022.
La cryptographie post-quantique présente un avantage majeur : elle est basée sur des logiciels. Elle est donc bon marché et, surtout, son intégration dans les infrastructures existantes est simple, puisqu’il suffit de remplacer le protocole précédent, par exemple RSA, par le nouveau.
Mais la cryptographie post-quantique présente également un risque évident : notre confiance dans la « difficulté » des nouveaux algorithmes face aux ordinateurs quantiques est limitée. En effet, il faut rappeler qu’il n’est pas prouvé qu’aucun des protocoles cryptographiques basés sur la notion de complexité est sûr : il n’existe pas de preuve (mathématique) qu’ils ne peuvent pas être résolus efficacement sur un ordinateur classique ou quantique !
C’est par exemple le cas de la factorisation. On ne peut pas exclure qu’un algorithme classique de factorisation efficace soit trouvé un jour – auquel cas la sécurité basée sur le protocole s’effondrerait, même sans ordinateur quantique. On pense que c’est peu probable, car des chercheurs (très intelligents) cherchent depuis des siècles un algorithme efficace pour la factorisation, sans succès. Mais on ne peut pas l’exclure.
Dans le cas des nouveaux algorithmes, la preuve de leur complexité est beaucoup plus limitée, car ils ont été inventés récemment et ils n’ont pas encore été beaucoup mis à l’épreuve – ni par des chercheurs (toujours très intelligents) ni par un ordinateur quantique (car aucun n’est disponible). Parfois, les tests de difficulté sont assez rapides : l’un des algorithmes proposés dans l’initiative du NIST a été par la suite craqué en une heure sur un PC standard.
La sécurité physique quantique pour sécuriser les communications
La deuxième approche de la sécurité quantique est la distribution de clés quantiques. Ici, nous avons un changement de paradigme, puisque la sécurité des protocoles n’est plus basée sur des considérations de complexité, mais sur les lois de la physique quantique. On parle donc de sécurité physique quantique.
Sans entrer dans les détails, une clé secrète est distribuée à l’aide de qubits et la sécurité du protocole découle du principe d’incertitude d’Heisenberg, qui implique que toute intervention de l’espion est détectée car elle modifie l’état de ces qubits.
Le principal avantage de la distribution de clés quantiques est qu’elle est basée sur des phénomènes quantiques, qui ont été vérifiés dans de nombreux laboratoires expérimentaux.
Le principal problème pour son adoption est qu’elle nécessite un nouveau matériel (quantique). Il est donc coûteux et son intégration dans les infrastructures existantes n’est pas facile. Pourtant, d’importantes initiatives sont en cours, par exemple pour le déploiement de la distribution de clés quantiques à l’échelle européenne.
Il faut combiner le logiciel et le matériel
Quelle approche adopter ? Cette question est souvent présentée comme une dichotomie et même cet article a pu donner cette impression jusqu’ici. En fait, je pense que la voie à suivre est de combiner la distribution de clés quantique (voir matérielle) et post-quantique (voie logicielle). La distribution quantique des clés nous a montré que la physique quantique nous fournit de nouveaux outils et recettes pour garantir nos secrets, au-delà des arguments de complexité standard. Si les deux approches sont combinées, les pirates informatiques auront beaucoup plus de mal à pirater les protocoles de sécurité, car ils devront faire face à la fois à des problèmes de calcul complexes et à des phénomènes quantiques.
Antonio Acín, Professor and group leader
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.