ML-KEM vs RSA : comprendre la transition algorithmique post-quantique

Depuis 50 ans, la sécurité des échanges réseau repose sur des problèmes mathématiques que les ordinateurs classiques ne peuvent pas résoudre en temps raisonnable : factorisation de grands entiers (RSA), logarithme discret (ECDH, ECDSA). Un ordinateur quantique suffisamment puissant résout ces problèmes exponentiellement plus vite via l'algorithme de Shor. ML-KEM et ML-DSA sont les nouveaux standards conçus pour résister à cette attaque.

RSA et ECDH : la fin d'une ère

RSA-2048 offre aujourd'hui une sécurité estimée à 112 bits contre les attaques classiques. Face à un ordinateur quantique de 4 000 qubits logiques, il est cassé en quelques heures. Les estimations sur les délais varient, mais les agences nationales (ANSSI, BSI, NSA) s'accordent sur une fenêtre de risque opérationnel à horizon 2030-2035.

ECDH sur les courbes P-256 ou X25519, bien que plus efficace que RSA en termes de taille de clé, est tout aussi vulnérable à l'algorithme de Shor. La sécurité de ces algorithmes repose sur le logarithme discret sur courbe elliptique — un problème que l'algorithme de Shor résout en temps polynomial.

ML-KEM (FIPS 203) — mécanisme d'encapsulation de clé

ML-KEM (Module Lattice Key Encapsulation Mechanism) est basé sur la difficulté du problème Module-LWE (Learning With Errors sur réseau modulaire). Ce problème est résistant à l'algorithme de Shor et aux algorithmes quantiques connus. ML-KEM-1024 offre une sécurité équivalente à AES-256 contre les attaques quantiques. Il remplace ECDH dans les protocoles d'établissement de clé.

ML-DSA (FIPS 204) — signature numérique

ML-DSA (Module Lattice Digital Signature Algorithm) assure l'authentification et l'intégrité avec les mêmes fondements mathématiques que ML-KEM. ML-DSA-65 est le niveau recommandé par l'ANSSI pour les systèmes à longue durée de vie. Il remplace RSA-PSS et ECDSA dans les infrastructures à clés publiques (PKI) et les protocoles d'authentification.

Les deux algorithmes reposent sur les réseaux euclidiens modulaires mais ont des primitives et des usages distincts. ML-KEM sert à l'échange de clés : deux parties s'accordent sur un secret partagé qui sera utilisé comme clé de chiffrement symétrique (AES-256-GCM). ML-DSA sert à prouver l'authenticité et l'intégrité d'un message ou d'un certificat.

L'approche hybride

En phase de transition, les recommandations ANSSI et NIST préconisent l'usage hybride : ML-KEM-1024 combiné à X25519 (ECDH). Cela garantit qu'en cas de faille découverte dans l'un des algorithmes, l'autre maintient la sécurité du tunnel. Cette approche est adoptée dans les implémentations récentes de TLS 1.3 et IPsec.

Le surcoût de l'hybridation est modéré. La taille des messages d'établissement de clé augmente (ML-KEM-1024 ajoute environ 1,5 Ko aux échanges initiaux), mais n'a pas d'impact mesurable sur le débit une fois la session établie. Le chiffrement symétrique (AES-256-GCM) reste identique.

Implications pour les infrastructures

La migration n'est pas un simple remplacement d'algorithme. Elle implique de revoir les protocoles (IKEv2/IPsec, TLS, SSH), les infrastructures à clés publiques (PKI), les modules de sécurité matériels et les équipements réseau. Les tailles de clés et de signatures changent, ce qui peut avoir un impact sur les équipements à mémoire ou bande passante limitée.

Les produits certifiés ANSSI offrent la garantie que cette migration est réalisée correctement, auditée par un tiers indépendant, et conforme aux référentiels en vigueur. Pour les opérateurs d'infrastructure critique, cette certification constitue la preuve de conformité la plus robuste face aux obligations NIS2 et LPM.