Microsoft a publié des outils de chiffrement post-quantique (PQC) en accès anticipé pour Windows et Linux, permettant aux entreprises de tester une sécurité résistante au quantum en amont des menaces émergentes. La mise à jour introduit les algorithmes ML-KEM et ML-DSA normalisés par le NIST pour les échanges de clés et les signatures numériques, avec une prise en charge intégrée dans les versions Insider de Windows et SymCrypt-OpenSSL 1.9.0 pour Linux.Les ordinateurs basés sur la physique de la mécanique quantique n'existent pas encore en dehors des laboratoires sophistiqués, mais il est bien établi qu'ils finiront par exister. Au lieu de traiter les données dans l'état binaire des zéros et des uns, les ordinateurs quantiques fonctionnent avec des qubits, qui englobent une myriade d'états à la fois. Cette nouvelle capacité promet d'entraîner des découvertes d'une ampleur sans précédent dans toute une série de domaines, notamment la métallurgie, la chimie, la découverte de médicaments et la modélisation financière.
En 2024, une tendance émergeait du côté des pirates informatiques. Même si environ 80 % des entreprises recourent au chiffrement pour protéger leurs informations sensibles, les cybercriminels continuent de cibler des données chiffrées. L'objectif étant que, lorsque l'informatique quantique sera opérationnelle, elle permettrait le déchiffrement massif de données volées. Cette situation soulève des préoccupations légitimes, car les ordinateurs quantiques, en raison de leur rapidité de calcul, remettent en question la solidité des algorithmes de chiffrement actuellement utilisés.
Face à ce risque, Microsoft a décidé de mettre à jour Windows 11 avec un ensemble de nouveaux algorithmes de chiffrement capables de résister aux futures attaques des ordinateurs quantiques. Le but de Microsoft serait de donner un coup d'accélérateur à ce qui sera probablement la transition technologique la plus formidable et la plus importante de l'histoire moderne.
Envoyé par Microsoft
Alors que le paysage numérique continue d'évoluer, l'émergence de l'informatique quantique présente à la fois des opportunités et des défis importants. Dans de précédents articles de blog, nous avons évoqué la manière dont l'informatique quantique pourrait perturber les algorithmes de chiffrement contemporains, les contributions de Microsoft aux efforts de sécurité quantique dans l'ensemble du secteur, et l'ajout d'algorithmes PQC à SymCrypt, notre bibliothèque de chiffrement de base.
Nous sommes heureux d'annoncer la prochaine étape importante de notre parcours PQC : Nous rendons les capacités PQC disponibles pour Windows Insiders, Canary Channel Build 27852 et plus, et Linux, SymCrypt-OpenSSL version 1.9.0.
Cette avancée permettra aux clients de commencer à explorer et à expérimenter PQC dans leurs environnements opérationnels. En obtenant un accès anticipé aux capacités PQC, les organisations peuvent évaluer de manière proactive la compatibilité, les performances et l'intégration de ces nouveaux algorithmes dans leur infrastructure de sécurité existante. Cette approche pratique aide les équipes de sécurité à identifier les défis potentiels, à optimiser les stratégies de mise en œuvre et à faciliter la transition au fur et à mesure de l'évolution des normes industrielles. En outre, l'adoption rapide de la PQC permettra d'obtenir des informations précieuses sur la manière dont elle peut contribuer à atténuer les menaces émergentes, ce qui permettra aux entreprises de protéger plus efficacement les données sensibles contre les futures menaces quantiques.
Nous sommes heureux d'annoncer la prochaine étape importante de notre parcours PQC : Nous rendons les capacités PQC disponibles pour Windows Insiders, Canary Channel Build 27852 et plus, et Linux, SymCrypt-OpenSSL version 1.9.0.
Cette avancée permettra aux clients de commencer à explorer et à expérimenter PQC dans leurs environnements opérationnels. En obtenant un accès anticipé aux capacités PQC, les organisations peuvent évaluer de manière proactive la compatibilité, les performances et l'intégration de ces nouveaux algorithmes dans leur infrastructure de sécurité existante. Cette approche pratique aide les équipes de sécurité à identifier les défis potentiels, à optimiser les stratégies de mise en œuvre et à faciliter la transition au fur et à mesure de l'évolution des normes industrielles. En outre, l'adoption rapide de la PQC permettra d'obtenir des informations précieuses sur la manière dont elle peut contribuer à atténuer les menaces émergentes, ce qui permettra aux entreprises de protéger plus efficacement les données sensibles contre les futures menaces quantiques.
Présentation du chiffrement post-quantique dans Windows
En plus de l'ajout des algorithmes PQC à SymCrypt, Microsoft annonce ML-KEM et ML-DSA dans Windows Insiders par le biais de mises à jour de l'API Cryptography : Next Generation (CNG) et des fonctions de messagerie chiffrée et de certificat.
Les développeurs peuvent commencer à expérimenter ML-KEM dans des scénarios où l'encapsulation ou l'échange de clés publiques est souhaitée, afin de se préparer à la menace « récolter maintenant, déchiffrer plus tard ». Le tableau ci-dessous décrit les jeux de paramètres inclus dans cette mise à jour.
L'ajout de ML-DSA dans l'API Cryptography : Next Generation (CNG) permet aux développeurs de commencer à expérimenter les algorithmes PQC pour les scénarios qui nécessitent la vérification de l'identité, de l'intégrité ou de l'authenticité à l'aide de signatures numériques.
Avec les mises à jour PQC dans wincrypt, la surface API des certificats Windows, les clients peuvent expérimenter l'installation, l'importation et l'exportation de certificats ML-DSA vers et depuis le magasin de certificats. Les clients peuvent également expérimenter la validation des chaînes de certificats PQ et l'état de confiance.
Présentation du chiffrement post-quantique dans Linux
Malgré la mise à disposition de la PQC aux clients Windows via CNG et SymCrypt, Microsoft reconnait également que les utilisateurs Linux anticipent les mises à jour de la PQC dans le fournisseur SymCrypt pour OpenSSL 3. Ce fournisseur est un moyen naturel pour les programmeurs Linux d'utiliser la surface API d'OpenSSL alimentée par les opérations de chiffrement de SymCrypt. La version 1.9.0 de SymCrypt-OpenSSL permet d'expérimenter l'échange de clés hybrides TLS conformément au dernier projet Internet de l'IETF, offrant ainsi une opportunité précoce de se préparer aux menaces de type "récolter maintenant, déchiffrer plus tard".
En outre, cette fonctionnalité permet de mener des analyses approfondies sur la manière dont l'intégration des algorithmes PQC en mode hybride a un impact sur la taille des messages de la poignée de main, modifie la latence de la poignée de main TLS et a des effets sur l'efficacité globale de la connexion. De telles études sont essentielles pour comprendre les compromis opérationnels liés à l'adoption de PQC, ce qui permet aux entreprises de prendre des décisions éclairées alors qu'elles se préparent à un avenir où la sécurité à l'épreuve du quantum devient fondamentale.
Selon Microsoft, ces changements sont basés sur des spécifications provisoires et qu'au fur et à mesure que les normes évolueront, ils mettront à jour la mise en œuvre de SymCrypt-OpenSSL pour permettre l'interopérabilité et la conformité.
Voici les prochaines étapes selon Microsoft :
Envoyé par Microsoft
L'intégration de PQC dans Windows Insiders et Linux constitue une première étape importante pour permettre à nos clients d'explorer PQC dans leurs environnements. Ce n'est qu'un début : d'autres capacités et améliorations sont à venir.
Outre l'ajout de SLH-DSA à SymCrypt, CNG et SymCrypt-OpenSSL, nous prévoyons d'intégrer d'autres algorithmes pour permettre une conformité continue avec les réglementations mondiales, une sécurité solide et une large compatibilité au fur et à mesure que les normes PQC arrivent à maturité.
Les normes relatives à l'ICP et aux certificats prennent de l'ampleur au sein du groupe de travail LAMPS de l'IETF. Nous collaborons avec des partenaires industriels sur les normalisations X.509 concernant l'utilisation générale de ML-DSA, ML-DSA composite, SLH-DSA, ML-KEM, ML-KEM composite et LMS/XMSS. Ces efforts seront pertinents pour divers schémas de signature et cas d'utilisation de l'ICP, y compris ceux utilisés dans la signature des microprogrammes et des logiciels.
L'utilisation d'algorithmes PQC pour sécuriser les communications TLS évolue rapidement. Nous avons introduit l'échange de clés hybrides par l'intermédiaire de SymCrypt-OpenSSL pour Linux, mais nous nous efforçons activement d'offrir cette capacité à nos clients Windows par l'intermédiaire de la pile TLS de Windows (Schannel).
Nous collaborons également avec l'IETF pour développer et normaliser des mécanismes d'authentification à sécurité quantique, notamment Composite ML-DSA, ML-DSA pur et SLH-DSA pour TLS et d'autres protocoles de l'IETF. Lorsque ces normes seront finalisées, nous les mettrons à disposition via la pile TLS de Windows (Schannel), le fournisseur SymCrypt pour OpenSSL et SymCrypt Rust Wrapper sur Linux.
Il est important de noter que TLS 1.3 sera un prérequis pour PQC, et nous conseillons vivement aux clients de commencer la transition à partir des anciens protocoles TLS s'ils ne l'ont pas déjà fait.
Nous travaillons également activement à la prise en charge des algorithmes PQC dans les services de certification Microsoft Active Directory (ADCS). Cela permettra aux...
Outre l'ajout de SLH-DSA à SymCrypt, CNG et SymCrypt-OpenSSL, nous prévoyons d'intégrer d'autres algorithmes pour permettre une conformité continue avec les réglementations mondiales, une sécurité solide et une large compatibilité au fur et à mesure que les normes PQC arrivent à maturité.
Les normes relatives à l'ICP et aux certificats prennent de l'ampleur au sein du groupe de travail LAMPS de l'IETF. Nous collaborons avec des partenaires industriels sur les normalisations X.509 concernant l'utilisation générale de ML-DSA, ML-DSA composite, SLH-DSA, ML-KEM, ML-KEM composite et LMS/XMSS. Ces efforts seront pertinents pour divers schémas de signature et cas d'utilisation de l'ICP, y compris ceux utilisés dans la signature des microprogrammes et des logiciels.
L'utilisation d'algorithmes PQC pour sécuriser les communications TLS évolue rapidement. Nous avons introduit l'échange de clés hybrides par l'intermédiaire de SymCrypt-OpenSSL pour Linux, mais nous nous efforçons activement d'offrir cette capacité à nos clients Windows par l'intermédiaire de la pile TLS de Windows (Schannel).
Nous collaborons également avec l'IETF pour développer et normaliser des mécanismes d'authentification à sécurité quantique, notamment Composite ML-DSA, ML-DSA pur et SLH-DSA pour TLS et d'autres protocoles de l'IETF. Lorsque ces normes seront finalisées, nous les mettrons à disposition via la pile TLS de Windows (Schannel), le fournisseur SymCrypt pour OpenSSL et SymCrypt Rust Wrapper sur Linux.
Il est important de noter que TLS 1.3 sera un prérequis pour PQC, et nous conseillons vivement aux clients de commencer la transition à partir des anciens protocoles TLS s'ils ne l'ont pas déjà fait.
Nous travaillons également activement à la prise en charge des algorithmes PQC dans les services de certification Microsoft Active Directory (ADCS). Cela permettra aux...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
