Discussion :

[Jade Emy]

La principale nouveauté de Windows 11 est le chiffrement post-quantique : pour la première fois, de nouveaux algorithmes à sécurité quantique peuvent être utilisés à l'aide des API Windows standard.

Microsoft a publié des outils de chiffrement post-quantique (PQC) en accès anticipé pour Windows et Linux, permettant aux entreprises de tester une sécurité résistante au quantum en amont des menaces émergentes. La mise à jour introduit les algorithmes ML-KEM et ML-DSA normalisés par le NIST pour les échanges de clés et les signatures numériques, avec une prise en charge intégrée dans les versions Insider de Windows et SymCrypt-OpenSSL 1.9.0 pour Linux.

Les ordinateurs basés sur la physique de la mécanique quantique n'existent pas encore en dehors des laboratoires sophistiqués, mais il est bien établi qu'ils finiront par exister. Au lieu de traiter les données dans l'état binaire des zéros et des uns, les ordinateurs quantiques fonctionnent avec des qubits, qui englobent une myriade d'états à la fois. Cette nouvelle capacité promet d'entraîner des découvertes d'une ampleur sans précédent dans toute une série de domaines, notamment la métallurgie, la chimie, la découverte de médicaments et la modélisation financière.

En 2024, une tendance émergeait du côté des pirates informatiques. Même si environ 80 % des entreprises recourent au chiffrement pour protéger leurs informations sensibles, les cybercriminels continuent de cibler des données chiffrées. L'objectif étant que, lorsque l'informatique quantique sera opérationnelle, elle permettrait le déchiffrement massif de données volées. Cette situation soulève des préoccupations légitimes, car les ordinateurs quantiques, en raison de leur rapidité de calcul, remettent en question la solidité des algorithmes de chiffrement actuellement utilisés.

Face à ce risque, Microsoft a décidé de mettre à jour Windows 11 avec un ensemble de nouveaux algorithmes de chiffrement capables de résister aux futures attaques des ordinateurs quantiques. Le but de Microsoft serait de donner un coup d'accélérateur à ce qui sera probablement la transition technologique la plus formidable et la plus importante de l'histoire moderne.

Alors que le paysage numérique continue d'évoluer, l'émergence de l'informatique quantique présente à la fois des opportunités et des défis importants. Dans de précédents articles de blog, nous avons évoqué la manière dont l'informatique quantique pourrait perturber les algorithmes de chiffrement contemporains, les contributions de Microsoft aux efforts de sécurité quantique dans l'ensemble du secteur, et l'ajout d'algorithmes PQC à SymCrypt, notre bibliothèque de chiffrement de base.

Nous sommes heureux d'annoncer la prochaine étape importante de notre parcours PQC : Nous rendons les capacités PQC disponibles pour Windows Insiders, Canary Channel Build 27852 et plus, et Linux, SymCrypt-OpenSSL version 1.9.0.

Cette avancée permettra aux clients de commencer à explorer et à expérimenter PQC dans leurs environnements opérationnels. En obtenant un accès anticipé aux capacités PQC, les organisations peuvent évaluer de manière proactive la compatibilité, les performances et l'intégration de ces nouveaux algorithmes dans leur infrastructure de sécurité existante. Cette approche pratique aide les équipes de sécurité à identifier les défis potentiels, à optimiser les stratégies de mise en œuvre et à faciliter la transition au fur et à mesure de l'évolution des normes industrielles. En outre, l'adoption rapide de la PQC permettra d'obtenir des informations précieuses sur la manière dont elle peut contribuer à atténuer les menaces émergentes, ce qui permettra aux entreprises de protéger plus efficacement les données sensibles contre les futures menaces quantiques.

Présentation du chiffrement post-quantique dans Windows

En plus de l'ajout des algorithmes PQC à SymCrypt, Microsoft annonce ML-KEM et ML-DSA dans Windows Insiders par le biais de mises à jour de l'API Cryptography : Next Generation (CNG) et des fonctions de messagerie chiffrée et de certificat.

Les développeurs peuvent commencer à expérimenter ML-KEM dans des scénarios où l'encapsulation ou l'échange de clés publiques est souhaitée, afin de se préparer à la menace « récolter maintenant, déchiffrer plus tard ». Le tableau ci-dessous décrit les jeux de paramètres inclus dans cette mise à jour.

L'ajout de ML-DSA dans l'API Cryptography : Next Generation (CNG) permet aux développeurs de commencer à expérimenter les algorithmes PQC pour les scénarios qui nécessitent la vérification de l'identité, de l'intégrité ou de l'authenticité à l'aide de signatures numériques.

Avec les mises à jour PQC dans wincrypt, la surface API des certificats Windows, les clients peuvent expérimenter l'installation, l'importation et l'exportation de certificats ML-DSA vers et depuis le magasin de certificats. Les clients peuvent également expérimenter la validation des chaînes de certificats PQ et l'état de confiance.


Présentation du chiffrement post-quantique dans Linux

Malgré la mise à disposition de la PQC aux clients Windows via CNG et SymCrypt, Microsoft reconnait également que les utilisateurs Linux anticipent les mises à jour de la PQC dans le fournisseur SymCrypt pour OpenSSL 3. Ce fournisseur est un moyen naturel pour les programmeurs Linux d'utiliser la surface API d'OpenSSL alimentée par les opérations de chiffrement de SymCrypt. La version 1.9.0 de SymCrypt-OpenSSL permet d'expérimenter l'échange de clés hybrides TLS conformément au dernier projet Internet de l'IETF, offrant ainsi une opportunité précoce de se préparer aux menaces de type "récolter maintenant, déchiffrer plus tard".

En outre, cette fonctionnalité permet de mener des analyses approfondies sur la manière dont l'intégration des algorithmes PQC en mode hybride a un impact sur la taille des messages de la poignée de main, modifie la latence de la poignée de main TLS et a des effets sur l'efficacité globale de la connexion. De telles études sont essentielles pour comprendre les compromis opérationnels liés à l'adoption de PQC, ce qui permet aux entreprises de prendre des décisions éclairées alors qu'elles se préparent à un avenir où la sécurité à l'épreuve du quantum devient fondamentale.

Selon Microsoft, ces changements sont basés sur des spécifications provisoires et qu'au fur et à mesure que les normes évolueront, ils mettront à jour la mise en œuvre de SymCrypt-OpenSSL pour permettre l'interopérabilité et la conformité.

Voici les prochaines étapes selon Microsoft :

L'intégration de PQC dans Windows Insiders et Linux constitue une première étape importante pour permettre à nos clients d'explorer PQC dans leurs environnements. Ce n'est qu'un début : d'autres capacités et améliorations sont à venir.

Outre l'ajout de SLH-DSA à SymCrypt, CNG et SymCrypt-OpenSSL, nous prévoyons d'intégrer d'autres algorithmes pour permettre une conformité continue avec les réglementations mondiales, une sécurité solide et une large compatibilité au fur et à mesure que les normes PQC arrivent à maturité.

Les normes relatives à l'ICP et aux certificats prennent de l'ampleur au sein du groupe de travail LAMPS de l'IETF. Nous collaborons avec des partenaires industriels sur les normalisations X.509 concernant l'utilisation générale de ML-DSA, ML-DSA composite, SLH-DSA, ML-KEM, ML-KEM composite et LMS/XMSS. Ces efforts seront pertinents pour divers schémas de signature et cas d'utilisation de l'ICP, y compris ceux utilisés dans la signature des microprogrammes et des logiciels.

L'utilisation d'algorithmes PQC pour sécuriser les communications TLS évolue rapidement. Nous avons introduit l'échange de clés hybrides par l'intermédiaire de SymCrypt-OpenSSL pour Linux, mais nous nous efforçons activement d'offrir cette capacité à nos clients Windows par l'intermédiaire de la pile TLS de Windows (Schannel).

Nous collaborons également avec l'IETF pour développer et normaliser des mécanismes d'authentification à sécurité quantique, notamment Composite ML-DSA, ML-DSA pur et SLH-DSA pour TLS et d'autres protocoles de l'IETF. Lorsque ces normes seront finalisées, nous les mettrons à disposition via la pile TLS de Windows (Schannel), le fournisseur SymCrypt pour OpenSSL et SymCrypt Rust Wrapper sur Linux.

Il est important de noter que TLS 1.3 sera un prérequis pour PQC, et nous conseillons vivement aux clients de commencer la transition à partir des anciens protocoles TLS s'ils ne l'ont pas déjà fait. 

Nous travaillons également activement à la prise en charge des algorithmes PQC dans les services de certification Microsoft Active Directory (ADCS). Cela permettra aux clients qui configurent une autorité de certification (AC) d'utiliser un certificat d'AC basé sur des algorithmes PQC tels que ML-DSA. Les clients pourront s'inscrire pour obtenir des certificats d'entité finale PQC, et les listes de révocation de certificats (CRL) émises par l'autorité de certification seront signées à l'aide d'algorithmes PQC. La prise en charge sera étendue à tous les services ADCS pertinents, y compris la politique d'inscription des certificats (CEP) et les services d'inscription des certificats (CES), le service d'inscription des dispositifs de réseau (NDES) et le répondeur OCSP (Online Certificate Status Protocol).

Le mécanisme de délivrance de certificats de Microsoft Intune - le connecteur de certificats - est en cours d'amélioration pour aider à prendre en charge les certificats PQC, ce qui permettra aux appareils mobiles et aux terminaux de s'inscrire et d'obtenir des informations d'identification à sécurité quantique. À l'avenir, ce connecteur sera mis à jour pour gérer les demandes et les livraisons de certificats qui utilisent des clés et des signatures PQC, débloquant ainsi les scénarios SCEP et PKCS #12 pour les autorités de certification sur site utilisant ADCS.

Ces nouvelles fonctionnalités seront introduites à des fins d'expérimentation par l'intermédiaire des Windows Insiders et des canaux de développement, ce qui permettra d'offrir un accès anticipé aux organisations et aux personnes désireuses de tester les fonctionnalités PQC dans des environnements réels. En s'appuyant sur ces canaux de prévisualisation, Microsoft peut recueillir des commentaires critiques sur l'interopérabilité, la sécurité et la facilité d'utilisation, ce qui permet d'apporter des améliorations itératives avant le lancement à grande échelle.

Alors que les normes mondiales en matière de PQC continuent d'évoluer, Microsoft s'engage à adopter une stratégie de déploiement souple et adaptable. Cette approche permet, une fois les normes finalisées, d'apporter plus facilement les solutions les plus robustes et interopérables aux versions des plateformes prises en charge dans les écosystèmes Windows et Linux. En outre, la collaboration avec les partenaires industriels et les organismes de normalisation contribuera à garantir que les fonctionnalités émergentes s'alignent sur les souhaits de l'écosystème au sens large et sur les exigences réglementaires mondiales, accélérant ainsi l'évolution vers une sécurité quantique pour les organisations de toutes tailles.

Source : Microsoft

Et vous ?

Pensez-vous que cette initiative est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Qu'est-ce que le chiffrement post-quantique ? L'ordinateur quantique pourrait briser les algorithmes de chiffrement, rendant nos secrets électroniques vulnérables

Google présente son modèle de menace pour le chiffement post-quantique pour prévenir les attaques futures de "stocker maintenant-déchiffrer plus tard"

La Fondation Linux forme l'Alliance pour le Chiffrement Post-Quantique (PQCA) pour garantir la sécurité du chiffrement face aux menaces de l'informatique quantique

[Mingolito]

Je crois que après "windows 11 c'est de la m... à cause du menu démarrer nul et bourré de pubs / Recall c'est une saloperie / etc" c'est le premier truc positif que je lis ici sur windows 11.

"Windows 11 mangez en parce que c'est quantique !" Pourtant on nous avais dit que le Quantique c'est bidon et juste du battage médiatique !

Bientôt le hamburguer quantique chez MacDo !