Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Part 5 · Real-World Challenges Intermediate 12 min read

Crypto-agilité et post-quantique

Les ordinateurs quantiques finiront par casser les algorithmes cryptographiques qui protègent les certificats numériques d'aujourd'hui. Les organisations qui survivront à cette transition seront celles qui auront intégré la crypto-agilité à leur infrastructure avant l'échéance.

En bref

Type
Educational
Niveau
Intermediate
Chapitre
21 sur 25
Suivant
Durée de vie raccourcie des certificats

Vue d'ensemble

Les algorithmes cryptographiques qui sous-tendent les certificats numériques actuels (RSA, ECDSA, ECDH) tirent leur sécurité de problèmes mathématiques que les ordinateurs classiques ne savent pas résoudre efficacement. La factorisation de grands entiers et le calcul de logarithmes discrets prendraient des milliards d'années sur les supercalculateurs les plus rapides dont nous disposons aujourd'hui.

Les ordinateurs quantiques changent la donne. Un ordinateur quantique suffisamment puissant exécutant le bon algorithme pourrait casser RSA et la cryptographie sur courbes elliptiques en quelques heures, voire en quelques minutes. Ce n'est pas de la science-fiction : États et acteurs technologiques investissent des milliards dans la recherche en informatique quantique, et des progrès réguliers sont réalisés année après année.

La question n'est pas de savoir si les ordinateurs quantiques menaceront la cryptographie actuelle, mais quand. Et comme migrer une infrastructure PKI entière vers de nouveaux algorithmes prend des années, les organisations doivent s'y préparer dès maintenant. La capacité à changer rapidement et sans accroc d'algorithme cryptographique s'appelle la crypto-agilité, et elle devient rapidement une priorité stratégique pour toute organisation qui dépend de la confiance numérique.

Étapes clés

1

Algorithme de Shor

Publié par Peter Shor en 1994, cet algorithme peut factoriser de grands entiers et calculer des logarithmes discrets en temps polynomial sur un ordinateur quantique. Il casse directement RSA (qui repose sur la factorisation d'entiers) et la cryptographie sur courbes elliptiques (qui repose sur le problème du logarithme discret). Un ordinateur quantique suffisamment grand exécutant l'algorithme de Shor rendrait totalement non sûres toutes les paires de clés RSA et ECC en circulation.

2

Algorithme de Grover

L'algorithme de Grover offre une accélération quadratique pour la recherche dans des données non structurées, ce qui revient à diviser par deux la sécurité des algorithmes de chiffrement symétrique comme AES. Une clé AES-128, qui offre 128 bits de sécurité face aux attaques classiques, n'en offrirait plus que 64 face à un attaquant quantique. La parade pratique est simple : doubler la taille de la clé. AES-256, déjà largement déployé, fournit 128 bits de sécurité post-quantique, ce qui reste plus que suffisant.

3

Inventaire cryptographique complet

On ne peut pas migrer ce que l'on ne connaît pas. La première étape consiste à dresser un inventaire exhaustif de chaque certificat, clé et dépendance cryptographique dans votre environnement. Cela inclut les certificats sur les serveurs, dans les services cloud, embarqués dans les applications et utilisés par les équipements IoT. Pour chaque actif, notez l'algorithme, la taille de clé, la CA émettrice et la date d'expiration. Cet inventaire devient la base de planification de votre migration.

4

Couches d'abstraction

Concevez vos systèmes de manière à ce que les choix cryptographiques se fassent dans la configuration, et non dans le code. Utilisez des bibliothèques et frameworks cryptographiques qui prennent en charge la négociation d'algorithmes et qui permettent de changer l'algorithme utilisé par un service en mettant à jour un fichier de configuration plutôt qu'en réécrivant la logique applicative. Côté PKI, cela signifie utiliser des plateformes de gestion de certificats qui sont agnostiques vis-à-vis de l'algorithme et capables d'émettre, de déployer et de renouveler des certificats qu'ils utilisent RSA, ECDSA, ML-DSA ou un futur algorithme pas encore normalisé.

5

Certificats hybrides

Pendant la période de transition, les certificats hybrides offrent une voie pragmatique. Un certificat hybride contient à la fois une signature classique (RSA ou ECDSA) et une signature post-quantique (ML-DSA ou SLH-DSA). Les clients qui prennent en charge les algorithmes post-quantiques vérifient la signature PQ ; les clients hérités s'appuient sur la signature classique. Cette approche permet une migration progressive sans rompre la compatibilité ascendante. Plusieurs éditeurs de navigateurs et groupes de travail du CA/Browser Forum développent activement des normes pour l'émission de certificats hybrides.

Composants clés

ML-KEM (FIPS 203)

Anciennement connu sous le nom de CRYSTALS-Kyber, ML-KEM est un mécanisme d'encapsulation de clés à base de réseaux euclidiens utilisé pour l'échange de clés. Il remplace l'étape d'accord de clés dans TLS et d'autres protocoles où deux parties doivent établir un secret partagé. ML-KEM est rapide et produit des clés et des cryptogrammes relativement compacts.

ML-DSA (FIPS 204)

Anciennement CRYSTALS-Dilithium, ML-DSA est un algorithme de signature numérique à base de réseaux euclidiens. C'est le principal remplaçant des signatures RSA et ECDSA dans les certificats numériques. Il sera utilisé par les autorités de certification pour signer les certificats et par les entités finales pour prouver leur identité. Les signatures ML-DSA sont plus volumineuses que leurs équivalents classiques, ce qui a des conséquences sur la taille des certificats et la performance réseau.

SLH-DSA (FIPS 205)

Anciennement SPHINCS+, SLH-DSA est un algorithme de signature numérique fondé sur des fonctions de hachage. Contrairement aux schémas à base de réseaux, sa sécurité repose uniquement sur les propriétés bien comprises des fonctions de hachage, ce qui en fait une option de secours conservatrice. La contrepartie : des signatures plus volumineuses et des performances inférieures à celles de ML-DSA. SLH-DSA est recommandé pour les scénarios où la confiance dans la sécurité à long terme est primordiale et où les contraintes de performance sont moins critiques.

Comment nous aidons

Evertrust & Crypto-agilité et post-quantique

Inventaire cryptographiqueEvertrust CLM découvre et catalogue chaque certificat de votre environnement avec son algorithme, sa taille de clé et sa CA émettrice. Vous disposez ainsi de la base de planification nécessaire pour mesurer l'ampleur de votre transition post-quantique.

Plateforme agnostique vis-à-vis des algorithmesL'architecture d'Evertrust est conçue pour être agnostique vis-à-vis des algorithmes. À mesure que les algorithmes post-quantiques sont adoptés par les CA et intégrés aux normes, Evertrust prendra en charge leur émission, leur déploiement et la gestion de leur cycle de vie sans imposer de refonte de la plateforme.

Migration pilotée par les politiquesDéfinissez des politiques qui signalent les certificats utilisant des algorithmes obsolètes et orientent automatiquement les renouvellements vers des configurations post-quantiques ou hybrides approuvées. Construisez une stratégie CLM qui intègre la crypto-agilité comme une exigence fondamentale dès le premier jour.

Tableaux de bord de migrationSuivez l'avancement de votre migration post-quantique avec une visibilité en temps réel sur les certificats déjà migrés, ceux en cours de migration et ceux qui utilisent encore des algorithmes classiques vulnérables. Rendez compte de votre niveau de préparation aux auditeurs et à la direction avec assurance.

Parler à un expert Découvrir CLM
Certificats fantômes Durée de vie raccourcie des certificats