Intervention de Damien STEHLÉ

. ‑ Merci M. le président, Mesdames et Messieurs les parlementaires de votre invitation. Je me suis présenté précédemment. Je souhaite appuyer un propos très important de Pascale Senellart. Nous lançons actuellement des projets ambitieux et de grande envergure sur du long terme et la formation des étudiants est essentielle pour les construire sur des bases solides et pérennes.

Face à la menace quantique, la plupart des protocoles à clé publique déployés aujourd'hui reposent sur des variantes des problèmes suivants :

Ces problèmes sont toutefois faciles à résoudre pour un ordinateur quantique suffisamment puissant. Dès aujourd'hui, un attaquant peut stocker les communications pour les déchiffrer plus tard avec un ordinateur quantique.

Qu'est-ce que la cryptographie post-quantique ? Alice et Bob veulent communiquer de manière sécurisée, avec confidentialité et authenticité, et sont classiques en ce sens qu'ils ne disposent pas de ressources quantiques. En revanche, l'attaquant a accès à un ordinateur quantique et interagit classiquement avec Alice et Bob. La principale différence par rapport à la situation actuelle est donc la capacité de calcul de l'adversaire.

Il est nécessaire de choisir des hypothèses de difficulté calculatoire sur lesquelles on peut faire reposer la sécurité post-quantique. Pour cela, il faut identifier des problèmes algorithmiques à la fois quantiquement difficiles et suffisamment expressifs, malléables, pour permettre la construction de primitives cryptographiques. Il est rare que ces propriétés soient simultanément présentes dans les problèmes issus de la théorie de la complexité : de nombreux problèmes semblent être quantiquement difficiles, mais parmi eux peu sont suffisamment malléables pour conduire à des développements intéressants du point de vue de la cryptographie.

Certains problèmes sont issus de la cryptographie symétrique, comme les fonctions de hachage, et fournissent des signatures assez grosses (environ 30 ko), utilisables en pratique.

D'autres problèmes sont dits « algébriques » et reposent sur des objets mathématiques : codes correcteurs d'erreurs, systèmes d'équations quadratiques, isogénies sur les courbes elliptiques, réseaux euclidiens, qui fournissent du chiffrement à clé publique et des signatures de plus petite taille (moins de 2 ko).

Je suis spécialisé dans les réseaux euclidiens. Un tel réseau est l'ensemble des combinaisons linéaires entières d'une matrice, que l'on peut visualiser comme une grille dans un espace euclidien. Les réseaux euclidiens sont un objet mathématique utilisé depuis longtemps, notamment en théorie des nombres et depuis une quarantaine d'années en cryptanalyse, en optimisation, en théorie des communications ; cet objet transverse à de nombreux domaines a été étudié de façon approfondie notamment pour son intérêt en algorithmique. Avec ces réseaux, on peut construire non seulement des protocoles cryptographiques traditionnels comme les signatures ou les chiffrements, mais aussi des protocoles cryptographiques avancés qui permettent l'externalisation des calculs tout en préservant la confidentialité – je fais référence ici aux chiffrements homomorphes, procédés qui permettent d'effectuer des calculs sur des données chiffrées sans pour autant devoir les déchiffrer.

Le problème central lié aux réseaux euclidiens est formulé ainsi : étant donné B et t = B× k + e avec e petit, trouver B× k. Connaissant une base B du réseau et la donnée transmise t, qui est l'information cryptée, le problème consiste à déterminer B× k, le « point » du réseau le plus proche de la donnée transmise, choisi lors du cryptage ; on en déduira alors e, qui est représentatif de l'information non cryptée, le message à transmettre.

Concernant la maturité de la cryptographie post-quantique, le projet de standardisation du NIST date de 2015. La soumission des candidatures a été clôturée en novembre 2017 et plus de 80 candidatures ont été recueillies, issues de nombreux pays. La deuxième phase de sélection en janvier 2019 a fait tomber le nombre de dossiers retenus à 26 et depuis l'été 2020, la troisième phase de sélection a identifié 7 finalistes et 8 semi-finalistes. Un des objectifs annoncés par le NIST est d'aboutir fin 2021 à des premiers choix de standards. Il se laisse le choix de sélectionner plusieurs standards ou non et éventuellement de rouvrir une phase d'étude pour d'autres choix de candidats. Parmi les 7 finalistes on trouve 4 candidats aux chiffrements (Kyber, McEliece, NTRU et Saber) et trois candidats aux signatures (Dilithium, Falcon et Rainbow).

Un premier point est à signaler : la contribution des chercheurs français est importante, car ils font partie de 5 des 7 équipes finalistes. Si l'on tient compte de l'ensemble des chercheurs qui ont travaillé ou ont été formés dans des équipes françaises, la part de l'école française de cryptographie est encore plus importante. Le deuxième point intéressant est que les réseaux euclidiens semblent être le type d'objet algébrique qui se prête le mieux, à ce stade, à la cryptographie post-quantique.

Pour conclure, le processus de standardisation touche à sa fin. On peut regretter que les discussions actuelles gravitent essentiellement autour de la propriété intellectuelle alors qu'elles devraient se focaliser sur la sécurité. À plus long terme, il est nécessaire de continuer à étudier les hypothèses algorithmiques sous-jacentes, ce travail relevant de la conception d'algorithme et de l'expérimentation, classique ou quantique ; dès qu'il y aura un ordinateur quantique, les cryptographes et les cryptanalystes s'attacheront certainement à tester la puissance de calcul via-à-vis des hypothèses utilisées. Il faudra enfin concevoir des protocoles post-quantiques avancés incluant le chiffrement homomorphe, le calcul multipartite sécurisé, avec des applications plus courantes comme la monnaie électronique, le vote électronique, etc.