Apple a annoncé un nouveau protocole cryptographique post-quantique pour iMessage, appelé PQ3. Apple affirme que ce protocole "révolutionnaire" et "à la pointe de la technologie" fournit "des défenses étendues contre les attaques quantiques, même les plus sophistiquées". Apple estime que les protections du protocole PQ3 "surpassent celles de toutes les autres applications de messagerie largement déployées".Selon Apple, le protocole PQ3 est la mise à jour de sécurité cryptographique la plus importante de l'histoire d'iMessage.
Nous annonçons aujourd'hui la plus importante mise à niveau de la sécurité cryptographique dans l'histoire d'iMessage avec l'introduction de PQ3, un protocole cryptographique post-quantique révolutionnaire qui fait progresser l'état de l'art en matière de messagerie sécurisée de bout en bout. Avec un chiffrement résistant aux compromis et des défenses étendues contre les attaques quantiques les plus sophistiquées, PQ3 est le premier protocole de messagerie à atteindre ce que nous appelons le niveau 3 de sécurité - offrant des protections de protocole qui surpassent celles de toutes les autres applications de messagerie largement déployées. À notre connaissance, PQ3 possède les propriétés de sécurité les plus solides de tous les protocoles de messagerie à l'échelle mondiale.
Le protocole PQ3 remplacera complètement le protocole de cryptographie existant d'iMessage dans toutes les conversations prises en charge dans le courant de l'année. Tous les appareils participant à une conversation iMessage doivent être mis à jour avec les versions logicielles susmentionnées ou plus récentes pour être éligibles.
iMessage avec PQ3 : une messagerie quantique sécurisée à grande échelle
Lors de son lancement en 2011, iMessage a été la première application de messagerie largement répandue à proposer un chiffrement de bout en bout par défaut, et Apple a considérablement amélioré sa cryptographie au fil des ans. Ils ont récemment renforcé le protocole cryptographique d'iMessage en 2019 en passant de RSA à la cryptographie à courbe elliptique (ECC) et en protégeant les clés de chiffrement sur l'appareil avec Secure Enclave, ce qui les rend beaucoup plus difficiles à extraire d'un appareil, même pour les adversaires les plus sophistiqués.
Cette mise à jour du protocole est allée encore plus loin en ajoutant une couche de défense supplémentaire : un mécanisme de reclé périodique pour assurer l'autorégénération cryptographique, même dans le cas extrêmement improbable où une clé serait compromise. Chacune de ces avancées a été formellement vérifiée par une évaluation symbolique, une pratique exemplaire qui fournit de solides garanties quant à la sécurité des protocoles cryptographiques.
Historiquement, les plateformes de messagerie ont utilisé la cryptographie classique à clé publique, telle que RSA, les signatures à courbe elliptique et l'échange de clés Diffie-Hellman, pour établir des connexions chiffrées sécurisées de bout en bout entre les appareils. Tous ces algorithmes sont basés sur des problèmes mathématiques difficiles qui ont longtemps été considérés comme trop intensifs en termes de calcul pour que les ordinateurs puissent les résoudre, même en tenant compte de la loi de Moore.
Toutefois, l'essor de l'informatique quantique menace de modifier l'équation. Un ordinateur quantique suffisamment puissant pourrait résoudre ces problèmes mathématiques classiques de manière fondamentalement différente et donc, en théorie, le faire assez rapidement pour menacer la sécurité des communications cryptées de bout en bout.
Bien qu'il n'existe pas encore d'ordinateurs quantiques dotés de cette capacité, les attaquants disposant de ressources considérables peuvent déjà se préparer à leur arrivée éventuelle en tirant parti de la forte baisse des coûts de stockage des données modernes. Le principe est simple : ces attaquants peuvent collecter de grandes quantités de données cryptées actuelles et les classer en vue d'une consultation ultérieure. Même s'ils ne peuvent décrypter aucune de ces données aujourd'hui, ils peuvent les conserver jusqu'à ce qu'ils acquièrent un ordinateur quantique capable de les décrypter à l'avenir, un scénario d'attaque connu sous le nom de "Harvest Now, Decrypt Later" (récolter maintenant, décrypter plus tard).
Pour atténuer les risques liés aux futurs ordinateurs quantiques, la communauté cryptographique travaille sur la cryptographie post-quantique (PQC) : de nouveaux algorithmes à clé publique qui fournissent les éléments de base de protocoles sécurisés au niveau quantique, mais qui ne nécessitent pas d'ordinateur quantique pour fonctionner - c'est-à-dire des protocoles qui peuvent fonctionner sur les ordinateurs classiques, non quantiques, qu'on utilise tous aujourd'hui, mais qui resteront sécurisés contre les menaces connues que poseront les futurs ordinateurs quantiques.
Pour comprendre comment les différentes applications de messagerie atténuent les attaques, il est utile de les placer sur un spectre de propriétés de sécurité. Mais il n'existe pas de comparaison standard à utiliser à cette fin.
Apple présente ci-dessous sa propre progression simple et grossière des niveaux de sécurité des messageries :
Nous commençons à gauche avec la cryptographie classique et progressons vers la sécurité quantique, qui traite les menaces actuelles et futures des ordinateurs quantiques. La plupart des applications de messagerie existantes relèvent soit du niveau 0 (pas de chiffrement de bout en bout par défaut et pas de sécurité quantique), soit du niveau 1 (chiffrement de bout en bout par défaut, mais pas de sécurité quantique).
Il y a quelques mois, Signal a ajouté la prise en charge du protocole PQXDH, devenant ainsi la première application de messagerie à grande échelle à introduire la sécurité post-quantique dans l'établissement initial de la clé. Il s'agit d'une étape bienvenue et essentielle qui, à notre échelle, a fait passer Signal du niveau 1 au niveau 2 de sécurité.
Au niveau 2, l'application de la cryptographie post-quantique est limitée à l'établissement initial de la clé, offrant une sécurité quantique uniquement si le matériel de la clé de conversation n'est jamais compromis. Mais les adversaires sophistiqués d'aujourd'hui sont déjà incités à compromettre les clés de chiffrement, car cela leur donne la possibilité de décrypter les messages protégés par ces clés tant que celles-ci ne changent pas.
Pour protéger au mieux la messagerie chiffrée de bout en bout, les clés post-quantiques doivent changer en permanence afin de limiter la part d'une conversation qui peut être exposée par la compromission d'une seule clé à un moment donné - aujourd'hui et avec les futurs ordinateurs quantiques. C'est pourquoi nous pensons que les protocoles de messagerie devraient aller encore plus loin et atteindre le niveau 3 de sécurité, où la cryptographie post-quantique est utilisée pour sécuriser à la fois l'établissement initial de la clé et l'échange continu de messages, avec la capacité de restaurer rapidement et automatiquement la sécurité cryptographique d'une conversation, même si une clé donnée est compromise.
Il y a quelques mois, Signal a ajouté la prise en charge du protocole PQXDH, devenant ainsi la première application de messagerie à grande échelle à introduire la sécurité post-quantique dans l'établissement initial de la clé. Il s'agit d'une étape bienvenue et essentielle qui, à notre échelle, a fait passer Signal du niveau 1 au niveau 2 de sécurité.
Au niveau 2, l'application de la cryptographie post-quantique est limitée à l'établissement initial de la clé, offrant une sécurité quantique uniquement si le matériel de la clé de conversation n'est jamais compromis. Mais les adversaires sophistiqués d'aujourd'hui sont déjà incités à compromettre les clés de chiffrement, car cela leur donne la possibilité de décrypter les messages protégés par ces clés tant que celles-ci ne changent pas.
Pour protéger au mieux la messagerie chiffrée de bout en bout, les clés post-quantiques doivent changer en permanence afin de limiter la part d'une conversation qui peut être exposée par la compromission d'une seule clé à un moment donné - aujourd'hui et avec les futurs ordinateurs quantiques. C'est pourquoi nous pensons que les protocoles de messagerie devraient aller encore plus loin et atteindre le niveau 3 de sécurité, où la cryptographie post-quantique est utilisée pour sécuriser à la fois l'établissement initial de la clé et l'échange continu de messages, avec la capacité de restaurer rapidement et automatiquement la sécurité cryptographique d'une conversation, même si une clé donnée est compromise.
Les conversations iMessage entre les appareils qui prennent en charge PQ3 passent automatiquement au protocole de chiffrement post-quantique. Au fur et à mesure qu'Apple acquérera de l'expérience opérationnelle avec PQ3 à l'échelle mondiale d'iMessage, il remplacera complètement le protocole existant dans toutes les conversations prises en charge cette année.
Conception de PQ3
Plus qu'un simple remplacement d'un algorithme existant par un nouveau, Apple a reconstruit le protocole cryptographique d'iMessage à partir de zéro pour faire progresser l'état de l'art en matière de chiffrement de bout en bout et pour répondre aux exigences suivantes :
- Introduire la cryptographie post-quantique dès le début d'une conversation, de sorte que toutes les communications soient protégées contre les adversaires actuels et futurs.
- Atténuer l'impact des compromissions de clés en limitant le nombre de messages passés et futurs pouvant être déchiffrés avec une seule clé compromise.
- Utiliser une conception hybride pour combiner les nouveaux algorithmes post-quantiques avec les algorithmes actuels de la courbe elliptique, en veillant à ce que le PQ3 ne soit jamais moins sûr que le protocole classique existant.
- Amortir la taille des messages afin d'éviter une surcharge excessive due à la sécurité accrue.
- Utiliser des méthodes de vérification formelle pour fournir des garanties de sécurité solides pour le nouveau protocole.
PQ3 introduit une nouvelle clé de chiffrement post-quantique dans l'ensemble des clés publiques que chaque appareil génère localement et transmet aux serveurs Apple dans le cadre de l'enregistrement iMessage. Pour cette application, ils ont choisi d'utiliser les clés publiques post-quantiques Kyber, un algorithme qui a fait l'objet d'un examen minutieux de la part de la communauté mondiale de la cryptographie et qui a été sélectionné par le NIST comme norme de mécanisme d'encapsulation des clés basé sur le treillis modulaire, ou ML-KEM. Cela permet aux dispositifs de l'émetteur d'obtenir les clés publiques d'un récepteur et de générer des clés de chiffrement post-quantique pour le tout premier message, même si le récepteur n'est pas en ligne. C'est ce qu'ils appellent l'établissement de la clé initiale.
Apple inclut ensuite - dans les conversations - un mécanisme périodique de recodage post-quantique qui a la capacité de s'auto-guérir en cas de compromission de la clé et de protéger les messages futurs. Dans PQ3, les nouvelles clés envoyées avec la conversation sont utilisées pour créer de nouvelles clés de chiffrement des messages qui ne peuvent pas être calculées à partir des clés précédentes, ce qui ramène la conversation à un état sûr même si les clés précédentes ont été extraites ou compromises par un adversaire. PQ3 est le premier protocole de messagerie cryptographique à grande échelle à introduire cette nouvelle propriété de recléage post-quantique.
PQ3 utilise une conception hybride qui combine la cryptographie à courbe elliptique et le chiffrement post-quantique à la fois lors de l'établissement initial de la clé et lors du recodage. Ainsi, la nouvelle cryptographie est purement additive, et pour mettre en échec la sécurité du PQ3, il faut mettre en échec à la fois la cryptographie ECC classique existante et les nouvelles primitives post-quantiques. Cela signifie également que le protocole bénéficie de toute l'expérience que nous avons accumulée en déployant le protocole ECC et ses implémentations.
Le recodage dans PQ3 implique la transmission d'une nouvelle clé publique en bande avec les messages cryptés que les appareils échangent. Une nouvelle clé publique basée sur la méthode Elliptic Curve Diffie-Hellman (ECDH) est transmise en ligne avec chaque réponse. La clé post-quantique utilisée par PQ3 a une taille de fil significativement plus importante que le protocole existant, donc pour répondre à l'exigence de taille de message, Apple a conçu le recléage à sécurité quantique pour qu'il se produise périodiquement plutôt qu'à chaque message. Pour déterminer si une nouvelle clé post-quantique est transmise, PQ3 utilise une condition de recomposition qui vise à équilibrer la taille moyenne des messages sur le fil, à préserver l'expérience de l'utilisateur dans les scénarios de connectivité limitée et à maintenir le volume global des messages dans les limites de la capacité de notre infrastructure de serveurs. Si nécessaire, les futures mises à jour logicielles pourront augmenter la fréquence de recomposition de la clé de façon à assurer la compatibilité avec tous les appareils prenant en charge PQ3.
Avec PQ3, iMessage continue de s'appuyer sur des algorithmes cryptographiques classiques pour authentifier l'expéditeur et vérifier la clé de compte de vérification de la clé de contact, car ces mécanismes ne peuvent pas être attaqués rétroactivement par les futurs ordinateurs quantiques. Pour tenter de s'insérer au milieu d'une conversation iMessage, un adversaire aurait besoin d'un ordinateur quantique capable de casser l'une des clés d'authentification avant ou au moment de la communication. En d'autres termes, ces attaques ne peuvent pas être réalisées dans le cadre d'un scénario "Harvest Now, Decrypt Later" - elles nécessitent l'existence d'un ordinateur quantique capable d'effectuer les attaques en même temps que la communication attaquée.
Selon Apple, une telle capacité n'existera pas avant de nombreuses années, mais au fur et à mesure que la menace des ordinateurs quantiques évoluera, ils continueront à évaluer la nécessité d'une authentification post-quantique pour contrecarrer de telles attaques.
Un protocole formellement prouvé
La dernière exigence d'Apple pour iMessage PQ3 est la vérification formelle - une preuve mathématique des propriétés de sécurité prévues du protocole. PQ3 a fait l'objet d'un...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.