Google a présenté un nouvel algorithme qui renforce la sécurité des clés de sécurité FIDO contre les ordinateurs quantiques. L’algorithme combine l’ECDSA, une méthode de signature numérique, avec Dilithium, un algorithme post-quantique qui résiste aux attaques quantiques. Cette innovation vise à prévenir la cryptopocalypse, c’est-à-dire la rupture de la cryptographie actuelle par l’informatique quantique. Les clés de sécurité FIDO permettent aux utilisateurs de se connecter sans mot de passe à des sites web en utilisant des clés cryptographiques stockées dans des appareils.FIDO est une norme industrielle qui offre le moyen le plus sûr de se connecter à des sites web sans utiliser de mots de passe. Elle repose sur des clés de sécurité, des appareils qui stockent des clés cryptographiques et qui intègrent une authentification à deux facteurs. Cependant, FIDO utilise une cryptographie qui pourrait être compromise par l’informatique quantique, une technologie qui pourrait briser la plupart des systèmes de sécurité actuels. Pour éviter cette cryptopocalypse, Google a combiné l’ECDSA, une méthode de signature numérique utilisée par FIDO, avec Dilithium, un algorithme post-quantique qui résiste aux attaques quantiques.
Cette approche permet de renforcer la sécurité des clés de sécurité FIDO tout en conservant leur compatibilité avec les normes existantes. Google espère que cette innovation encouragera l’adoption de la cryptographie post-quantique et contribuera à préserver la sécurité en ligne à l’ère quantique.
FIDO2 est la dernière spécification de la FIDO Alliance (Fast Identity Online) non commerciale créée dans le but de développer des normes libres de droits pour une authentification sécurisée au niveau mondial sur le World Wide Web. Après FIDO Universal Second Factor (FIDO U2F) et FIDO Universal Authentication Framework (FIDO UAF), FIDO2 est déjà le troisième standard à voir le jour grâce au travail de l’Alliance.
Comment FIDO2 garantit la sécurité des connexions Web
L’objectif principal de la FIDO Alliance est l’élimination progressive des mots de passe sur Internet et la FIDO Alliance a ainsi favorisé le développement de FIDO2. Pour cela, le chemin de communication sécurisé entre le client (le navigateur) et les services Web respectifs est d’abord configuré ou enregistré afin d’être disponible en permanence pour les connexions ultérieures. Dans ce processus, les clés FIDO2 mentionnées plus haut sont générées et vérifiées, et fournissent la base du chiffrement de la procédure de connexion. La procédure est la suivante :
- L’utilisateur s’enregistre auprès du service en ligne et génère une nouvelle paire de clés sur l’appareil utilisé, composée alors d’une clef privée (Private Key) et d’une clé publique FIDO2 (Public Key) ;
- Alors que la clé privée est stockée sur l’appareil et n’est connue que du côté client, la clé publique est enregistrée dans la base de données des clés du service Web ;
- Les authentifications ultérieures ne sont désormais possibles qu’en justifiant la clé privée, qui doit toujours être déverrouillée par l’action de l’utilisateur. Il existe plusieurs options telles que la saisie d’un code PIN, l’appui sur un bouton, la saisie vocale ou l’insertion d’un matériel à deux facteurs (token FIDO2) distinct. Certains systèmes d’exploitation tels que Windows 10 et Android peuvent désormais également servir de jetons (tokens) de sécurité.
La base de FIDO2 est constituée du Client to Authenticator Protocol (CTAP) et du standard de W3C WebAuthn, qui se combinent pour permettre l’authentification lorsque les utilisateurs s’identifient avec des authentificateurs cryptographiques (comme la biométrie ou les codes PIN) ou des authentificateurs externes (comme les clés FIDO, les appareils portables ou mobiles) sur un terminal WebAuthn en toute sécurité (également appelé FIDO2 Server) généralement associé à un site Web ou une application Web.
Après plus de dix ans de travail sur la question d’élimination des mots de passe dans le monde, l'Alliance FIDO, une association industrielle qui travaille spécifiquement sur l'authentification sécurisée, pense avoir enfin identifié la pièce manquante du puzzle. Jeudi, l'organisation a publié un livre blanc qui expose la vision de la FIDO pour résoudre les problèmes d'utilisabilité qui ont entravé les fonctions sans mot de passe et, apparemment, les ont empêchées d'être largement adoptées.
Les membres de la FIDO tels qu'Intel et Qualcomm, de développeurs de plateformes de premier plan tels qu'Amazon et Meta, d'institutions financières telles qu'American Express et Bank of America, ainsi que des développeurs des principaux systèmes d'exploitation Google, Microsoft et Apple ont collaboré à la rédaction de ce livre blanc. Le document est conceptuel et non technique, mais après des années d'investissement pour intégrer les normes sans mot de passe FIDO2 et WebAuthn dans Windows, Android, iOS et d'autres systèmes, tout repose désormais sur le succès de cette nouvelle étape.
Dilithium est un système de signature numérique qui est fortement sécurisé contre les attaques par message choisi sur la base de la dureté des problèmes de treillis sur les treillis de modules. La notion de sécurité signifie qu'un adversaire ayant accès à un oracle de signature ne peut pas produire une signature d'un message dont il n'a pas encore vu la signature, ni produire une signature différente d'un message qu'il a déjà vu signé. Dilithium est l'un des algorithmes candidats soumis au projet de cryptographie post-quantique du NIST.
La conception de Dilithium est basée sur la technique « Fiat-Shamir avec abandons » de Lyubashevsky qui utilise l'échantillonnage par rejet pour rendre les schémas Fiat-Shamir basés sur des treillis compacts et sûrs. Le schéma avec les plus petites tailles de signature utilisant cette approche est celui de Ducas, Durmus, Lepoint et Lyubashevsky qui est basé sur l'hypothèse NTRU et utilise de manière cruciale l'échantillonnage gaussien pour créer des signatures.
L'échantillonnage gaussien étant difficile à mettre en œuvre de manière sûre et efficace, nous avons choisi d'utiliser uniquement la distribution uniforme. Dilithium améliore le schéma le plus efficace qui n'utilise que la distribution uniforme, dû à Bai et Galbraith, en utilisant une nouvelle technique qui réduit la clé publique de plus d'un facteur 2. Dilithium aurait la plus petite clé publique + taille de signature de tous les schémas de signature basés sur un treillis qui n'utilisent que l'échantillonnage uniforme.
Envoyé par Google
La mise en œuvre que nous proposons repose sur une approche hybride qui combine l'algorithme de signature ECDSA, qui a fait ses preuves, et l'algorithme de signature à résistance quantique récemment normalisé, Dilithium. En collaboration avec l'ETH, nous avons développé ce nouveau schéma de signature hybride qui offre le meilleur des deux mondes.
Il est essentiel de s'appuyer sur une signature hybride, car la sécurité de Dilithium et d'autres algorithmes de résistance quantique récemment normalisés n'a pas encore résisté à l'épreuve du temps, et les récentes attaques contre Rainbow (un autre algorithme de résistance quantique) démontrent la nécessité de faire preuve de prudence. Cette prudence est particulièrement justifiée pour les clés de sécurité, car la plupart d'entre elles ne peuvent pas être mises à jour - bien que nous y travaillions pour OpenSK. L'approche hybride est également utilisée dans d'autres efforts post-quantiques, comme la prise en charge de TLS par Chrome.
D'un point de vue technique, l'un des principaux défis consistait à créer une implémentation de Dilithium suffisamment petite pour fonctionner sur le matériel contraint des clés de sécurité. Grâce à une optimisation minutieuse, nous avons pu développer une implémentation optimisée pour la mémoire Rust qui ne nécessite que 20 Ko de mémoire, ce qui est suffisamment petit. Nous avons également passé du temps à nous assurer que la vitesse de signature de notre implémentation était bien conforme à la spécification attendue des clés de sécurité. Cela dit, nous pensons que l'amélioration de la vitesse de signature en exploitant l'accélération matérielle permettrait aux clés d'être plus réactives.
À l'avenir, nous espérons que cette implémentation (ou une variante de celle-ci) sera normalisée dans le cadre de la spécification des clés FIDO2 et prise en charge par les principaux navigateurs web afin que les informations d'identification des utilisateurs puissent être protégées contre les attaques quantiques. Si vous souhaitez tester cet algorithme ou contribuer à la recherche sur les clés de sécurité, rendez-vous sur notre site OpenSK.
Il est essentiel de s'appuyer sur une signature hybride, car la sécurité de Dilithium et d'autres algorithmes de résistance quantique récemment normalisés n'a pas encore résisté à l'épreuve du temps, et les récentes attaques contre Rainbow (un autre algorithme de résistance quantique) démontrent la nécessité de faire preuve de prudence. Cette prudence est particulièrement justifiée pour les clés de sécurité, car la plupart d'entre elles ne peuvent pas être mises à jour - bien que nous y travaillions pour OpenSK. L'approche hybride est également utilisée dans d'autres efforts post-quantiques, comme la prise en charge de TLS par Chrome.
D'un point de vue technique, l'un des principaux défis consistait à créer une implémentation de Dilithium suffisamment petite pour fonctionner sur le matériel contraint des clés de sécurité. Grâce à une optimisation minutieuse, nous avons pu développer une implémentation optimisée pour la mémoire Rust qui ne nécessite que 20 Ko de mémoire, ce qui est suffisamment petit. Nous avons également passé du temps à nous assurer que la vitesse de signature de notre implémentation était bien conforme à la spécification attendue des clés de sécurité. Cela dit, nous pensons que l'amélioration de la vitesse de signature en exploitant l'accélération matérielle permettrait aux clés d'être plus réactives.
À l'avenir, nous espérons que cette implémentation (ou une variante de celle-ci) sera normalisée dans le cadre de la spécification des clés FIDO2 et prise en charge par les principaux navigateurs web afin que les informations d'identification des utilisateurs puissent être protégées contre les attaques quantiques. Si vous souhaitez tester cet algorithme ou contribuer à la recherche sur les clés de sécurité, rendez-vous sur notre site OpenSK.
Inventé par Ron Rivest, Adi Shamir et Len Adleman, le système RSA (nommé d’après les initiales de ses auteurs) fut présenté pour la première fois en août 1977, dans la chronique mathématique de Martin Gardner de la revue Scientific American. Les circonstances de sa découverte sont assez amusantes : ces trois auteurs avaient décidé de travailler ensemble pour démontrer l’impossibilité logique des systèmes cryptographiques « à clé publique ». Ils échouèrent donc en découvrant un système de cryptographie à clé publique, le système RSA. Mais cet échec n’en est pas...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?