31 Mai, 2018

La communauté de la sécurité exhortée à se préparer à l’informatique quantique

Electronique, Informatique, Logiciel, Matériel, NTIC, Sécurité, Technologie

Un haut responsable européen de la sécurité de l’information exhorte la communauté de la sécurité à se préparer à l’informatique quantique pour s’assurer que leurs processus de chiffrement soient prêts à temps

« Malgré les désaccords violents entre les cryptographes et les physiciens, il n’est pas question de savoir si, mais quand l’informatique quantique sera une réalité, et quand elle le sera, de nombreuses techniques de cryptage actuelles seront ouvertes au craquage ou fissuration », a déclaré Jaya Baloo, CISO (1) de KPN Telecom aux Pays-Bas.

« D’énormes progrès sont réalisés vers la construction d’ordinateurs quantiques viables, il est donc important que les professionnels de la sécurité informatique comprennent pourquoi cela constitue une menace pour de nombreuses méthodes de cryptage populaires et qu’ils commencent à agir dès maintenant pour les placer dans la meilleure position. « , a-t-elle confié.

De nombreux systèmes de chiffrement reposent sur le principe que les calculs mathématiques requis pour révéler les clés de chiffrement prendraient trop de temps, mais même les ordinateurs quantiques de base seront capables de déterminer le chiffrement assez rapidement pour que les attaquants puissent les utiliser.

La Chine est connue pour investir massivement dans le développement d’une capacité informatique quantique à la fois défensive et offensive. Bien que l’Europe investisse dans le développement de capacités d’informatique quantique, Jaya Baloo a déclaré que l’investissement annoncé jusqu’à présent ne représente qu’une fraction de ce que la Chine investit.

La bonne nouvelle est que tout le chiffrement symétrique actuellement utilisé est peu susceptible d’être affecté par l’arrivée de l’informatique quantique. « Tant que nous conservons le fait de rafraîchir les clés et que nous suivons les meilleures pratiques pour transférer les clés, nous sommes prêts à y aller », a déclaré Jaya Baloo.

« Le problème se pose quand il s’agit de cryptage asymétrique. C’est toute la cryptographie à clé publique qui est menacée parce qu’elle est basée sur des problèmes mathématiques complexes qui prendraient même beaucoup de temps à résoudre pour un super ordinateur, mais ce principe se disparaît avec les ordinateurs quantiques », a-t-elle dit.

Plus précisément, les ordinateurs quantiques devraient être en mesure de factoriser des nombres premiers très grands et de calculer très rapidement des logarithmes discrets, mais de nombreux algorithmes actuels reposent sur l’hypothèse que ces processus nécessitent actuellement beaucoup de temps, d’efforts et de puissance de calcul.

Bien qu’il soit déjà trop tard pour garantir que les processus de cryptage des entreprises soient complètement protégés contre les ordinateurs quantiques, car cela pourrait prendre jusqu’à 20 ans pour que les algorithmes de preuve informatique quantique mûrissent et soient pleinement intégrés dans les entreprises. Les professionnels de la sécurité peuvent et doivent le faire maintenant pour s’assurer qu’ils ne sont pas totalement sans défense.

«Il s’agit de s’assurer que les organisations soient agiles en matière de chiffrement et qu’elles aient la capacité de s’adapter et de mettre en œuvre des algorithmes et des chiffrements post-quantiques dès qu’ils seront disponibles», précise Jaya Baloo.

«Je veux encourager les professionnels de la sécurité de l’information à se documenter sur les situations actuelles de leurs organisations, à examiner et comprendre leur paysage cryptographique actuel et à réfléchir à la manière de l’appliquer», a-t-elle déclaré.

Trois domaines pour les professionnels de la sécurité à considérer.

Selon Jaya Baloo, il existe trois domaines dans lesquels les professionnels de la sécurité de l’information devraient envisager de prendre des mesures. « Il y a trois ans, nous parlions de comprendre le problème – maintenant nous devons parler de la compréhension de la solution », a-t-elle dit.

Premièrement, les organisations devraient envisager d’étendre au maximum la longueur de leurs clés de cryptage, quel que soit le système de cryptage utilisé, ce qui les aidera à se prémunir contre les premiers ordinateurs quantiques qui n’auront probablement pas atteint leur force maximale.

«À l’heure actuelle, les entreprises peuvent étendre la longueur de leur clé de chiffrement en modifiant simplement l’option de configuration appropriée et ainsi prolonger la durée de vie des algorithmes actuels», lance Jaya Baloo.

Deuxièmement, les grandes organisations qui gèrent de gros volumes d’informations sensibles qui doivent être gardées secrètes pendant longtemps, comme les institutions financières, devraient envisager de mettre en œuvre une distribution de clés quantiques pour préserver l’intégrité et la confidentialité des données. «Ce n’est pas pour toutes les organisations, mais certainement pour les institutions clés qui ont beaucoup d’informations importantes à protéger», a-t-elle déclaré.

Troisièmement, Jaya Baloo a déclaré que les organisations devraient commencer à se préparer à remplacer les algorithmes existants par des algorithmes post-quantiques. Bien que certains existent déjà, l’Institut national américain des normes et de la technologie (NIST) prévoit d’en publier de nouveaux une fois le processus de sélection terminé.

« Les organisations peuvent déjà commencer à considérer quelles sont leurs parties vitales où des algorithmes post-quantiques devraient être implémentés et parler à leurs fournisseurs pour s’assurer que les nouveaux algorithmes seront supportés par leur matériel lorsque les algorithmes seront publiés par NIST ».

Jaya Baloo doit discuter de ce sujet plus en détail lors d’Infosecurity Europe 2018 à Londres le 5 juin dans une présentation intitulée: Quantum computing: how should information cyber security professionals prepare ?