ML-KEM : le standard post-quantique du NIST

Le 14 août 2024 : un tournant pour la cryptographie

Le 14 août 2024, le National Institute of Standards and Technology (NIST) a publié trois standards cryptographiques conçus pour résister aux attaques des futurs ordinateurs quantiques. FIPS 203 définit ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism), un mécanisme d'encapsulation de clés. FIPS 204 standardise ML-DSA (Module-Lattice-Based Digital Signature Algorithm), un algorithme de signature numérique. FIPS 205 introduit SLH-DSA (Stateless Hash-Based Digital Signature Algorithm), une alternative de signature basée sur les fonctions de hachage. Ces trois publications marquent l'aboutissement d'un processus de sélection lancé en 2016 et constituent la première réponse normative concrète à la menace quantique.

Qu'est-ce que ML-KEM ?

ML-KEM est un mécanisme d'encapsulation de clés dérivé de l'algorithme CRYSTALS-Kyber, candidat sélectionné à l'issue du troisième tour de la compétition post-quantique du NIST. L'encapsulation de clés (KEM) est une primitive cryptographique qui permet à deux parties d'établir un secret partagé sans jamais le transmettre directement sur le réseau. Concrètement, l'expéditeur génère un secret aléatoire, l'encapsule à l'aide de la clé publique du destinataire, et transmet le résultat chiffré. Seul le détenteur de la clé privée correspondante peut récupérer le secret original. Ce secret partagé sert ensuite à dériver les clés de chiffrement symétrique utilisées pour protéger les communications.

Le problème MLWE : la sécurité mathématique

La sécurité de ML-KEM repose sur le problème MLWE (Module Learning with Errors), une variante structurée du problème LWE (Learning with Errors). Le principe est le suivant : étant donné un système d'équations linéaires bruitées sur un anneau de polynômes, retrouver le secret sous-jacent est un problème considéré comme calculatoirement difficile, y compris pour un ordinateur quantique. Contrairement à la factorisation d'entiers (RSA) ou au logarithme discret sur courbes elliptiques (ECDH), aucun algorithme quantique connu ne résout efficacement MLWE. Cette résistance a été étudiée de manière approfondie par la communauté cryptographique depuis plus de deux décennies, ce qui confère à ML-KEM une base de confiance solide.

Trois niveaux de sécurité

ML-KEM se décline en trois jeux de paramètres correspondant à des niveaux de sécurité croissants. ML-KEM-512 offre un niveau de sécurité équivalent à AES-128 (niveau NIST 1), avec des clés publiques de 800 octets et des textes chiffrés de 768 octets. ML-KEM-768 atteint un niveau comparable à AES-192 (niveau NIST 3), avec des clés publiques de 1 184 octets et des textes chiffrés de 1 088 octets. ML-KEM-1024 fournit le plus haut niveau de sécurité, équivalent à AES-256 (niveau NIST 5), avec des clés publiques de 1 568 octets et des textes chiffrés de 1 568 octets. Ces tailles restent raisonnables par rapport aux performances d'un réseau moderne, bien en deçà des dizaines de kilo-octets requis par d'autres familles d'algorithmes post-quantiques.

Pourquoi remplacer RSA et ECDH ?

Les échanges de clés RSA et ECDH, qui protègent aujourd'hui la quasi-totalité des communications numériques, reposent respectivement sur la difficulté de factoriser de grands entiers et de calculer des logarithmes discrets sur courbes elliptiques. En 1994, Peter Shor a démontré qu'un ordinateur quantique suffisamment puissant pourrait résoudre ces deux problèmes en temps polynomial, rendant ces algorithmes obsolètes. L'approche « harvest now, decrypt later » signifie qu'un adversaire peut déjà collecter des flux chiffrés aujourd'hui pour les déchiffrer dès qu'un calculateur quantique sera disponible. ML-KEM n'est pas vulnérable à l'algorithme de Shor, car le problème MLWE n'appartient pas à la même classe de complexité. La migration vers ML-KEM est donc une mesure de précaution nécessaire, même avant l'avènement d'un ordinateur quantique opérationnel.

Avantages par rapport aux autres candidats PQC

Au cours du processus de sélection du NIST, ML-KEM s'est distingué par l'équilibre entre la taille de ses clés, la vitesse de ses opérations et la maturité de son analyse de sécurité. Les alternatives encore en compétition pour le quatrième tour du NIST présentent des compromis différents. BIKE et HQC, fondés sur les codes correcteurs d'erreurs, offrent des clés légèrement plus compactes mais des textes chiffrés plus volumineux et des temps d'encapsulation plus longs. Classic McEliece, fondé sur les codes de Goppa, propose une sécurité éprouvée depuis plus de quarante ans mais avec des clés publiques de plusieurs centaines de kilo-octets, ce qui le rend impraticable pour de nombreuses applications réseau. ML-KEM représente le meilleur compromis disponible entre performance, compacité et confiance cryptographique, ce qui explique sa sélection comme standard principal.

Recommandations de l'ANSSI et du BSI

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) et le Bundesamt für Sicherheit in der Informationstechnik (BSI) ont publié une position conjointe sur la transition post-quantique. Leur recommandation est claire : les déploiements doivent utiliser ML-KEM-768 au minimum, et ML-KEM-1024 pour les données les plus sensibles. Pendant la période de transition, l'utilisation d'un mode hybride est obligatoire. Cela signifie combiner un échange de clés classique (typiquement X25519 ou ECDH P-384) avec un échange ML-KEM, de sorte que la sécurité reste garantie même si l'un des deux mécanismes venait à être compromis. Cette approche prudente permet de bénéficier de la protection post-quantique sans sacrifier la confiance acquise dans les algorithmes classiques éprouvés.

Feuille de route européenne

L'Union européenne a intégré la transition post-quantique dans sa stratégie de cybersécurité. La recommandation est que tous les nouveaux échanges de clés protégeant des données sensibles utilisent des algorithmes PQC approuvés par le NIST d'ici 2030. Pour les infrastructures critiques couvertes par la directive NIS2 et le règlement DORA, cette échéance pourrait être avancée. Les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE) doivent dès à présent évaluer leur exposition au risque quantique et planifier la migration de leurs protocoles cryptographiques. La réglementation européenne rejoint ainsi le positionnement américain (NSA CNSA 2.0), qui impose également une migration complète vers la cryptographie post-quantique avant la fin de la décennie.

L'intégration Cryptosphere : ML-KEM-1024 en FPGA

Les chiffreurs Cryptosphere intègrent ML-KEM-1024 directement dans le FPGA, en mode hybride avec X25519. L'échange de clés s'exécute entièrement dans le domaine de sécurité matériel, sans qu'aucune clé intermédiaire ne transite par le CPU hôte. L'implémentation hardware offre des performances déterministes compatibles avec le chiffrement de ligne à 800 Gbps, sans la variabilité des implémentations logicielles soumises aux aléas de l'ordonnancement et du cache. La combinaison d'un KEM post-quantique au plus haut niveau de sécurité NIST, d'un échange classique éprouvé, et d'une isolation matérielle totale constitue la réponse la plus complète disponible face à la menace quantique. La crypto-agilité du FPGA garantit en outre qu'un éventuel successeur de ML-KEM pourra être déployé par simple mise à jour du firmware, sans remplacement matériel.