Cryptographie Post-Quantique pour la Défense : Exigences CNSA 2.0 et Calendrier de Transition

Des ordinateurs quantiques capables d'exécuter l'algorithme de Shor à grande échelle briseraient la cryptographie à clé publique qui sous-tend pratiquement toutes les communications sécurisées actuelles : RSA, la cryptographie à courbe elliptique (ECC) et l'échange de clés Diffie-Hellman deviendraient tous insécurisés. Pour les systèmes de défense, il ne s'agit pas d'un problème futur hypothétique à traiter éventuellement — c'est une menace connue avec un calendrier crédible qui nécessite une préparation active dès maintenant.

La stratégie d'attaque « harvest now, decrypt later » (HNDL) signifie que les adversaires collectent déjà aujourd'hui des communications de défense chiffrées, les stockant pour les déchiffrer dès qu'un ordinateur quantique suffisamment puissant sera disponible. Les informations classifiées à longue durée de vie — plans stratégiques, sources et méthodes de renseignement, évaluations des capacités — sont particulièrement à risque : si elles sont chiffrées aujourd'hui avec des algorithmes qui seront brisés d'ici 2035, leur confidentialité a une date d'expiration effective.

La Menace Quantique : Estimations du Calendrier

L'algorithme de Shor, développé en 1994, fournit une méthode en temps polynomial pour factoriser de grands entiers — le fondement mathématique de la sécurité RSA — lorsqu'il est exécuté sur un ordinateur quantique suffisamment grand. L'algorithme de Shor résout également le problème du logarithme discret qui sous-tend ECC et Diffie-Hellman. Un ordinateur quantique assez grand pour exécuter l'algorithme de Shor contre les tailles de clés actuelles (RSA 2048 bits, ECC 256 bits) nécessite des millions de qubits logiques avec des taux d'erreur très faibles — bien au-delà des capacités matérielles actuelles.

Les estimations publiques les plus crédibles pour un « ordinateur quantique cryptographiquement pertinent » (CRQC) — suffisamment grand pour briser la cryptographie à clé publique actuellement déployée — vont de 2030 à 2035, avec une incertitude significative dans les deux sens. L'avis CNSA 2.0 de la NSA de 2022 n'approuve pas de calendrier spécifique mais utilise 2035 comme horizon de planification pour les systèmes nécessitant une protection post-quantique. Certaines évaluations de renseignement sont plus agressives. La posture appropriée pour les programmes de défense est de se préparer à la disponibilité d'un CRQC d'ici 2030 — l'extrémité conservatrice de la plage — plutôt que le point médian ou l'extrémité optimiste.

NSA CNSA 2.0 : Algorithmes Mandatés et Exigences de Transition

La Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), publiée par la Direction de la cybersécurité de la NSA en septembre 2022, spécifie les algorithmes cryptographiques approuvés pour protéger les systèmes de sécurité nationale (NSS) à l'ère post-quantique. CNSA 2.0 remplace CNSA 1.0 et impose les algorithmes post-quantiques suivants :

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism), standardisé comme FIPS 203 et basé sur l'algorithme CRYSTALS-Kyber, est l'algorithme d'établissement de clés approuvé. ML-KEM remplace RSA et ECDH pour l'échange de clés dans des protocoles tels que TLS. Trois jeux de paramètres sont définis : ML-KEM-512 (niveau de sécurité équivalent à AES-128), ML-KEM-768 (AES-192) et ML-KEM-1024 (AES-256). CNSA 2.0 spécifie ML-KEM-1024 pour les applications NSS.

ML-DSA (Module-Lattice-Based Digital Signature Algorithm), standardisé comme FIPS 204 et basé sur CRYSTALS-Dilithium, est l'algorithme de signature numérique approuvé pour la plupart des applications, remplaçant RSA-PSS et ECDSA. ML-DSA offre une sécurité de signature avec des tailles de clés plus petites que les alternatives basées sur des hachages et des opérations de signature et de vérification relativement rapides.

SLH-DSA (Stateless Hash-Based Digital Signature Algorithm), standardisé comme FIPS 205 et basé sur SPHINCS+, est un algorithme de signature numérique alternatif dont la sécurité repose sur des fonctions de hachage plutôt que sur les mathématiques des réseaux — offrant une diversité de sécurité au cas où la cryptographie basée sur les réseaux serait affaiblie par de futures avancées mathématiques. SLH-DSA a des tailles de signature significativement plus grandes et des opérations plus lentes que ML-DSA, mais convient aux applications où les algorithmes basés sur les réseaux ne sont pas autorisés ou où une diversité de sécurité supplémentaire est requise.

Calendrier de transition CNSA 2.0 : la NSA exige que les nouveaux systèmes de sécurité nationale déployés à partir de 2025 doivent prendre en charge les algorithmes CNSA 2.0. Les systèmes existants disposent d'un calendrier de migration progressif avec des jalons intermédiaires et une date limite ferme de 2030 pour compléter la transition. Les systèmes qui ne peuvent pas être migrés d'ici 2030 doivent avoir des plans d'exception ou de remplacement approuvés.

Impact sur les Logiciels de Défense : TLS, Firmware et PKI

TLS 1.3 avec KEM post-quantique. Le changement le plus immédiatement impactant est le remplacement des algorithmes d'échange de clés TLS. TLS 1.3, la norme actuelle pour les communications web et API chiffrées, utilise ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) pour l'établissement des clés. Sous CNSA 2.0, cela doit être remplacé par ou augmenté avec ML-KEM. L'IETF a publié RFC 9180 et des brouillons connexes pour l'encapsulation de clés PQC dans TLS. Les principales bibliothèques TLS (OpenSSL, BoringSSL) ont implémenté un support expérimental des suites de chiffrement PQC ; le support de qualité production mûrit rapidement.

Signatures numériques sur le firmware. Les systèmes d'armes et les plateformes matérielles militaires utilisent des signatures numériques pour vérifier l'intégrité du firmware — l'assurance cryptographique que le firmware n'a pas été altéré entre la fabrication et le déploiement. Ces signatures sont longévives (la clé de signature peut être utilisée pendant toute la durée de vie de production d'une plateforme, 10 à 20 ans) et sont donc plus exposées aux attaques HNDL. CNSA 2.0 spécifie que la signature du firmware pour le matériel NSS doit passer à ML-DSA ou SLH-DSA.

Migration PKI. L'infrastructure PKI de défense — autorités de certification, infrastructure de révocation de certificats, gestion des certificats pour les utilisateurs, appareils et services — utilise des clés RSA ou ECC tout au long. La migration de la PKI signifie non seulement émettre de nouveaux certificats post-quantiques, mais aussi retirer les anciens certificats, distribuer de nouvelles ancres de confiance à tous les systèmes qui en dépendent, et s'assurer que tous les logiciels qui valident les certificats peuvent traiter les formats de certificats post-quantiques. Il s'agit d'une migration d'infrastructure complexe et pluriannuelle qui doit commencer maintenant pour respecter la date limite de 2030.

Approche Hybride Pendant la Transition

Pendant la période de transition, lorsque les systèmes sont partiellement migrés et doivent interopérer à la fois avec des homologues CNSA 1.0 et CNSA 2.0, une approche de cryptographie hybride combine des algorithmes classiques et post-quantiques dans le même échange de protocole. Dans une connexion TLS hybride, une part de clé ECDHE et une part de clé ML-KEM sont toutes deux incluses ; la clé de session finale est dérivée des deux. Cela offre une sécurité à la fois contre les adversaires classiques (si PQC a des faiblesses imprévues) et contre les adversaires quantiques (si la cryptographie classique est brisée).

L'approche hybride est approuvée par la NSA pour la période de transition comme stratégie de « ceinture et bretelles » : elle n'affaiblit pas la sécurité classique tout en ajoutant une résistance quantique. NIST SP 800-227 (IPD) fournit des orientations sur les mécanismes d'établissement de clés hybrides. Les programmes de défense devraient mettre en œuvre des suites de chiffrement hybrides maintenant — cela réduit le risque quantique des attaques HNDL sur les communications actuelles pendant que la transition complète PQC-uniquement se poursuit.