Google a présenté un nouvel algorithme qui renforce la sécurité des clés de sécurité FIDO contre les ordinateurs quantiques. L’algorithme combine l’ECDSA, une méthode de signature numérique, avec Dilithium, un algorithme post-quantique qui résiste aux attaques quantiques. Cette innovation vise à prévenir la cryptopocalypse, c’est-à-dire la rupture de la cryptographie actuelle par l’informatique quantique. Les clés de sécurité FIDO permettent aux utilisateurs de se connecter sans mot de passe à des sites web en utilisant des clés cryptographiques stockées dans des appareils.FIDO est une norme industrielle qui offre le moyen le plus sûr de se connecter à des sites web sans utiliser de mots de passe. Elle repose sur des clés de sécurité, des appareils qui stockent des clés cryptographiques et qui intègrent une authentification à deux facteurs. Cependant, FIDO utilise une cryptographie qui pourrait être compromise par l’informatique quantique, une technologie qui pourrait briser la plupart des systèmes de sécurité actuels. Pour éviter cette cryptopocalypse, Google a combiné l’ECDSA, une méthode de signature numérique utilisée par FIDO, avec Dilithium, un algorithme post-quantique qui résiste aux attaques quantiques.
Cette approche permet de renforcer la sécurité des clés de sécurité FIDO tout en conservant leur compatibilité avec les normes existantes. Google espère que cette innovation encouragera l’adoption de la cryptographie post-quantique et contribuera à préserver la sécurité en ligne à l’ère quantique.
FIDO2 est la dernière spécification de la FIDO Alliance (Fast Identity Online) non commerciale créée dans le but de développer des normes libres de droits pour une authentification sécurisée au niveau mondial sur le World Wide Web. Après FIDO Universal Second Factor (FIDO U2F) et FIDO Universal Authentication Framework (FIDO UAF), FIDO2 est déjà le troisième standard à voir le jour grâce au travail de l’Alliance.
Comment FIDO2 garantit la sécurité des connexions Web
L’objectif principal de la FIDO Alliance est l’élimination progressive des mots de passe sur Internet et la FIDO Alliance a ainsi favorisé le développement de FIDO2. Pour cela, le chemin de communication sécurisé entre le client (le navigateur) et les services Web respectifs est d’abord configuré ou enregistré afin d’être disponible en permanence pour les connexions ultérieures. Dans ce processus, les clés FIDO2 mentionnées plus haut sont générées et vérifiées, et fournissent la base du chiffrement de la procédure de connexion. La procédure est la suivante :
- L’utilisateur s’enregistre auprès du service en ligne et génère une nouvelle paire de clés sur l’appareil utilisé, composée alors d’une clef privée (Private Key) et d’une clé publique FIDO2 (Public Key) ;
- Alors que la clé privée est stockée sur l’appareil et n’est connue que du côté client, la clé publique est enregistrée dans la base de données des clés du service Web ;
- Les authentifications ultérieures ne sont désormais possibles qu’en justifiant la clé privée, qui doit toujours être déverrouillée par l’action de l’utilisateur. Il existe plusieurs options telles que la saisie d’un code PIN, l’appui sur un bouton, la saisie vocale ou l’insertion d’un matériel à deux facteurs (token FIDO2) distinct. Certains systèmes d’exploitation tels que Windows 10 et Android peuvent désormais également servir de jetons (tokens) de sécurité.
La base de FIDO2 est constituée du Client to Authenticator Protocol (CTAP) et du standard de W3C WebAuthn, qui se combinent pour permettre l’authentification lorsque les utilisateurs s’identifient avec des authentificateurs cryptographiques (comme la biométrie ou les codes PIN) ou des authentificateurs externes (comme les clés FIDO, les appareils portables ou mobiles) sur un terminal WebAuthn en toute sécurité (également appelé FIDO2 Server) généralement associé à un site Web ou une application Web.
Après plus de dix ans de travail sur la question d’élimination des mots de passe dans le monde, l'Alliance FIDO, une association industrielle qui travaille spécifiquement sur l'authentification sécurisée, pense avoir enfin identifié la pièce manquante du puzzle. Jeudi, l'organisation a publié un livre blanc qui expose la vision de la FIDO pour résoudre les problèmes d'utilisabilité qui ont entravé les fonctions sans mot de passe et, apparemment, les ont empêchées d'être largement adoptées.
Les membres de la FIDO tels qu'Intel et Qualcomm, de développeurs de plateformes de premier plan tels qu'Amazon et Meta, d'institutions financières telles qu'American Express et Bank of America, ainsi que des développeurs des principaux systèmes d'exploitation Google, Microsoft et Apple ont collaboré à la rédaction de ce livre blanc. Le document est conceptuel et non technique, mais après des années d'investissement pour intégrer les normes sans mot de passe FIDO2 et WebAuthn dans Windows, Android, iOS et d'autres systèmes, tout repose désormais sur le succès de cette nouvelle étape.
Dilithium est un système de signature numérique qui est fortement sécurisé contre les attaques par message choisi sur la base de la dureté des problèmes de treillis sur les treillis de modules. La notion de sécurité signifie qu'un adversaire ayant accès à un oracle de signature ne peut pas produire une signature d'un message dont il n'a pas encore vu la signature, ni produire une signature différente d'un message qu'il a déjà vu signé. Dilithium est l'un des algorithmes candidats soumis au projet de cryptographie post-quantique du NIST.
La conception de Dilithium est basée sur la technique « Fiat-Shamir avec abandons » de Lyubashevsky qui utilise l'échantillonnage par rejet pour rendre les schémas Fiat-Shamir basés sur des treillis compacts et sûrs. Le schéma avec les plus petites tailles de signature utilisant cette approche est celui de Ducas, Durmus, Lepoint et Lyubashevsky qui est basé sur l'hypothèse NTRU et utilise de manière cruciale l'échantillonnage gaussien pour créer des signatures.
L'échantillonnage gaussien étant difficile à mettre en œuvre de manière sûre et efficace, nous avons choisi d'utiliser uniquement la distribution uniforme. Dilithium améliore le schéma le plus efficace qui n'utilise que la distribution uniforme, dû à Bai et Galbraith, en utilisant une nouvelle technique qui réduit la clé publique de plus d'un facteur 2. Dilithium aurait la plus petite clé publique + taille de signature de tous les schémas de signature basés sur un treillis qui n'utilisent que l'échantillonnage uniforme.
Envoyé par Google
La mise en œuvre que nous proposons repose sur une approche hybride qui combine l'algorithme de signature ECDSA, qui a fait ses preuves, et l'algorithme de signature à résistance quantique récemment normalisé, Dilithium. En collaboration avec l'ETH, nous avons développé ce nouveau schéma de signature hybride qui offre le meilleur des deux mondes.
Il est essentiel de s'appuyer sur une signature hybride, car la sécurité de Dilithium et d'autres algorithmes de résistance quantique récemment normalisés n'a pas encore résisté à l'épreuve du temps, et les récentes attaques contre Rainbow (un autre algorithme de résistance quantique) démontrent la nécessité de faire preuve de prudence. Cette prudence est particulièrement justifiée pour les clés de sécurité, car la plupart d'entre elles ne peuvent pas être mises à jour - bien que nous y travaillions pour OpenSK. L'approche hybride est également utilisée dans d'autres efforts post-quantiques, comme la prise en charge de TLS par Chrome.
D'un point de vue technique, l'un des principaux défis consistait à créer une implémentation de Dilithium suffisamment petite pour fonctionner sur le matériel contraint des clés de sécurité. Grâce à une optimisation minutieuse, nous avons pu développer une implémentation optimisée pour la mémoire Rust qui ne nécessite que 20 Ko de mémoire, ce qui est suffisamment petit. Nous avons également passé du temps à nous assurer que la vitesse de signature de notre implémentation était bien conforme à la spécification attendue des clés de sécurité. Cela dit, nous pensons que l'amélioration de la vitesse de signature en exploitant l'accélération matérielle permettrait aux clés d'être plus réactives.
À l'avenir, nous espérons que cette implémentation (ou une variante de celle-ci) sera normalisée dans le cadre de la spécification des clés FIDO2 et prise en charge par les principaux navigateurs web afin que les informations d'identification des utilisateurs puissent être protégées contre les attaques quantiques. Si vous souhaitez tester cet algorithme ou contribuer à la recherche sur les clés de sécurité, rendez-vous sur notre site OpenSK.
Il est essentiel de s'appuyer sur une signature hybride, car la sécurité de Dilithium et d'autres algorithmes de résistance quantique récemment normalisés n'a pas encore résisté à l'épreuve du temps, et les récentes attaques contre Rainbow (un autre algorithme de résistance quantique) démontrent la nécessité de faire preuve de prudence. Cette prudence est particulièrement justifiée pour les clés de sécurité, car la plupart d'entre elles ne peuvent pas être mises à jour - bien que nous y travaillions pour OpenSK. L'approche hybride est également utilisée dans d'autres efforts post-quantiques, comme la prise en charge de TLS par Chrome.
D'un point de vue technique, l'un des principaux défis consistait à créer une implémentation de Dilithium suffisamment petite pour fonctionner sur le matériel contraint des clés de sécurité. Grâce à une optimisation minutieuse, nous avons pu développer une implémentation optimisée pour la mémoire Rust qui ne nécessite que 20 Ko de mémoire, ce qui est suffisamment petit. Nous avons également passé du temps à nous assurer que la vitesse de signature de notre implémentation était bien conforme à la spécification attendue des clés de sécurité. Cela dit, nous pensons que l'amélioration de la vitesse de signature en exploitant l'accélération matérielle permettrait aux clés d'être plus réactives.
À l'avenir, nous espérons que cette implémentation (ou une variante de celle-ci) sera normalisée dans le cadre de la spécification des clés FIDO2 et prise en charge par les principaux navigateurs web afin que les informations d'identification des utilisateurs puissent être protégées contre les attaques quantiques. Si vous souhaitez tester cet algorithme ou contribuer à la recherche sur les clés de sécurité, rendez-vous sur notre site OpenSK.
Inventé par Ron Rivest, Adi Shamir et Len Adleman, le système RSA (nommé d’après les initiales de ses auteurs) fut présenté pour la première fois en août 1977, dans la chronique mathématique de Martin Gardner de la revue Scientific American. Les circonstances de sa découverte sont assez amusantes : ces trois auteurs avaient décidé de travailler ensemble pour démontrer l’impossibilité logique des systèmes cryptographiques « à clé publique ». Ils échouèrent donc en découvrant un système de cryptographie à clé publique, le système RSA. Mais cet échec n’en est pas vraiment un : l’efficacité du système RSA à clé publique est depuis lors reconnue et a assuré la renommée de ses auteurs !
Le système RSA est aujourd’hui un système universel servant dans une multitude d’applications. Sa technique est protégée par un brevet dans certains pays (aux États-Unis, ce brevet a expiré en septembre 2000). Elle a été vendue à près de 350 entreprises et on estime que plus de 300 millions de programmes installés peuvent utiliser le RSA, les transactions sécurisées via internet par exemple l’emploient pour la plupart. Internet fait un usage systématique du RSA pour assurer la confidentialité du courrier électronique et authentifier les utilisateurs.
La sécurité du RSA et d'autres formes traditionnelles de chiffrement asymétrique repose sur des problèmes mathématiques dont la réponse est facile à vérifier, mais difficile à calculer. Le RSA, par exemple, repose sur la difficulté de factoriser les nombres premiers. Une méthode de factorisation connue sous le nom d'algorithme de Shor permet théoriquement de résoudre ce type de problèmes.
Algorithme de Shor
L'algorithme de Shor est l'un des premiers algorithmes quantiques à avoir démontré des avantages par rapport aux algorithmes classiques. En termes généraux, l'algorithme de Shor nous permet de trouver la décomposition en nombres premiers de très grands nombres en O((logN)3) temps et O(logN) espace.
Actuellement, la sécurité d'Internet repose principalement sur le système de chiffrement RSA, qui implique le cryptage à l'aide d'un grand nombre composé de deux grands nombres premiers. La recherche de grands nombres premiers est donc très utile pour décrypter les messages. L'algorithme de Shor utilise la mécanique quantique pour trouver de tels nombres premiers, et ainsi casser le cryptage RSA beaucoup plus rapidement et efficacement que dans le cas classique.
Google a donc présenté un nouvel algorithme qui renforce la sécurité des clés de sécurité FIDO contre les ordinateurs quantiques. Cette innovation est importante pour protéger la confidentialité et l’identité des utilisateurs qui se connectent sans mot de passe à des sites web. Toutefois, Google n’est pas le seul acteur à travailler sur la cryptographie post-quantique. D’autres entreprises et organismes, comme Microsoft, IBM ou le NIST, développent également des solutions pour anticiper l’arrivée de l’informatique quantique.
Il reste donc à voir si l’algorithme de Google sera adopté par la communauté FIDO et s’il sera compatible avec les autres standards post-quantiques. Par ailleurs, Google devra faire preuve de transparence et d’éthique dans l’utilisation de ses clés de sécurité, afin de ne pas abuser de sa position dominante sur le marché du web.
Source : Google
Et vous ?
À votre avis, quels sont les risques potentiels liés à l’utilisation de clés de sécurité FIDO pour se connecter sans mot de passe à des sites web ? Quels sont selon vous, les avantages et les inconvénients de combiner l’ECDSA avec Dilithium par rapport à utiliser uniquement un algorithme post-quantique ? Quelle est la fiabilité de l’algorithme Dilithium par rapport aux autres algorithmes post-quantiques sélectionnés par le NIST ? Quels seraient les obstacles et les opportunités pour l’adoption de la cryptographie post-quantique par les utilisateurs et les fournisseurs de services en ligne ?Voir aussi :
Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe et appellent les sites et entreprises à l'adopter 
