L'approche hybride classique + post-quantique : la voie recommandée par l'ANSSI

La transition vers la cryptographie post-quantique soulève une question légitime : les nouveaux algorithmes (ML-KEM, ML-DSA) sont-ils suffisamment matures pour être déployés seuls ? L'ANSSI et le NIST recommandent une période de transition hybride, combinant algorithmes classiques et post-quantiques.

Le principe de l'hybridation

Dans une connexion TLS 1.3 ou IPsec hybride, l'établissement de clé utilise simultanément deux mécanismes : par exemple X25519 (ECDH classique) et ML-KEM-1024. La clé de session finale est dérivée des deux secrets via une fonction de dérivation de clé (KDF).

La sécurité garantie est la suivante : si l'un des deux mécanismes est compromis (faille algorithmique ou percée quantique), l'autre maintient la confidentialité du canal. Cette propriété est formellement démontrée — la sécurité du schéma hybride est au moins égale à celle du plus fort des deux composants.

Pourquoi ne pas passer directement au tout post-quantique

ML-KEM et ML-DSA ont été standardisés par le NIST en 2024 après 8 ans d'analyse par la communauté cryptographique internationale. Mais leur déploiement à grande échelle est récent. L'approche hybride offre une assurance supplémentaire pendant la période où la cryptanalyse classique de ces algorithmes continue de progresser.

L'ANSSI précise dans ses recommandations que l'hybridation est la stratégie à privilégier jusqu'à ce que les algorithmes post-quantiques bénéficient d'un recul suffisant d'analyse. Cette position prudente est partagée par le BSI allemand et le NCSC britannique.

Implémentation dans les protocoles réseau

TLS 1.3 : le groupe X25519MLKEM768 est implémenté dans les versions récentes d'OpenSSL (3.x) et pris en charge par les navigateurs récents. Pour les niveaux de sécurité supérieurs, ML-KEM-1024 est utilisé en combinaison avec X25519 ou P-384.

IPsec/IKEv2 : l'hybridation est définie dans le RFC 9370 et le référentiel ANSSI pour IPsec en mode Diffusion Restreinte. Les implémentations compatibles sont disponibles dans les piles IPsec open source.

SSH : l'intégration est en cours dans OpenSSH 9.x, avec un mécanisme d'échange de clés hybride basé sur ML-KEM.

Durée de la période hybride

L'ANSSI n'a pas fixé de date de fin pour la période hybride. La bascule vers le tout post-quantique interviendra lorsque les algorithmes auront démontré leur robustesse sur un volume significatif de déploiements et que la communauté cryptographique aura convergé sur leur maturité. L'horizon estimé se situe entre 2028 et 2032.

Cette période de transition ne doit pas être perçue comme un délai supplémentaire avant d'agir. Au contraire, déployer aujourd'hui un chiffrement hybride (X25519 + ML-KEM-1024) permet simultanément d'être conforme aux recommandations actuelles de l'ANSSI, de se protéger contre la menace HNDL immédiate, et d'anticiper la certification future qui exigera des algorithmes post-quantiques.

Impact sur les performances

Le surcoût de l'hybridation se concentre sur la phase d'établissement de la session. Les messages d'échange de clés sont plus volumineux (ajout d'environ 1,5 Ko pour ML-KEM-1024), et le calcul initial est doublé. Cependant, une fois la session établie, le chiffrement symétrique (AES-256-GCM) est identique — l'impact sur le débit en régime permanent est nul.

Pour les applications à latence sensible, le surcoût d'établissement est de l'ordre de quelques millisecondes en logiciel. En accélération matérielle, ce surcoût est inférieur à la microseconde et ne constitue pas un facteur limitant.