Cryptographie — Fiche & Quiz

Histoire & fondements

Démo interactive — Chiffre de César

Message clair Décalage

Chiffré (ROT)

César (≈ 50 av. J.-C.) décale chaque lettre de l'alphabet. ROT13 (décalage 13) est un cas célèbre. La force brute n'essaie que 25 possibilités — sécurité nulle aujourd'hui.

−50

~50 av. J.-C.

Chiffre de César

Substitution monoalphabétique par décalage. Triviale à casser par analyse de fréquence.

1586

Chiffre de Vigenère

Substitution polyalphabétique avec clé répétée. Résiste à l'analyse de fréquence simple — cassé par Kasiski en 1863.

1918

1918–1945

Machine Enigma

Rotors électromécaniques nazis. Cassée par Rejewski (1932), Turing & Bletchley Park (1940). Naissance de la cryptanalyse moderne.

1949

Shannon — théorie de l'information

Fonde mathématiquement la cryptographie. Démontre la sécurité inconditionnelle du masque jetable (OTP). Concepts : confusion, diffusion, entropie.

1976

Diffie-Hellman — révolution asymétrique

Premier protocole d'échange de clés publiques. Résout le problème de la distribution de clés secrètes sur canal insécurisé.

1977

RSA

Rivest, Shamir, Adleman. Premier système à clé publique pratique. Sécurité basée sur la difficulté de factorisation des grands entiers.

2001

AES standardisé

Advanced Encryption Standard (Rijndael). Remplace DES. Standard mondial pour le chiffrement symétrique — toujours sûr en 2024.

2024

NIST standardise la PQC

CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+ finalisés. Début de la transition post-quantique mondiale.

Principes de Kerckhoffs (1883)›

Fondation
Auguste Kerckhoffs énonce le principe fondateur de la cryptographie moderne : la sécurité d'un système doit reposer uniquement sur le secret de la clé, jamais sur le secret de l'algorithme.

Pourquoi ? Un algorithme finit toujours par être découvert (espionnage, reverse engineering, fuite). La clé, elle, est éphémère et renouvelable. Tout algorithme doit donc être public et résister à la cryptanalyse même en étant entièrement connu.

Corollaire moderne : security through obscurity est une anti-pattern. AES, RSA, ChaCha20 sont tous publics et analysés par la communauté mondiale — c'est précisément ce qui les rend dignes de confiance.

Masque jetable (OTP) — sécurité inconditionnelle›

Théoriquement parfait
Le masque jetable (One-Time Pad) est le seul système cryptographique prouvé inconditionnellement sûr (Shannon, 1949). Principe : XOR du message avec une clé aléatoire de même longueur, utilisée une seule fois.

Conditions strictes : clé strictement aléatoire, jamais réutilisée, aussi longue que le message, détruite après usage. Si une seule condition est violée → sécurité effondrée (ex. projet Venona, déchiffrement des communications soviétiques car clés réutilisées).

En pratique : impossible à utiliser à grande échelle (distribution de la clé = problème non résolu). Utilisé pour les lignes rouges militaires.

Analyse de fréquence — Al-Kindi (IXe siècle)›

Cryptanalyse
Le philosophe arabe Al-Kindi décrit vers 850 la première technique de cryptanalyse connue : dans tout texte assez long, les lettres n'apparaissent pas avec la même fréquence. En français, E (~14,7%), A (~8%), S (~7,9%)…

En comparant la distribution des symboles chiffrés avec la distribution connue de la langue, on retrouve la substitution. Cette attaque casse instantanément tout chiffre monoalphabétique (César, Atbash…).

Contre-mesure : chiffres polyalphabétiques (Vigenère) qui masquent les fréquences, puis chiffrements modernes qui visent une distribution uniforme des sorties.

Cryptographie symétrique

Démo AES-like — substitution + diffusion

Texte clair Clé (hex)

XOR + Sub

Hex

Simulation simplifiée de la confusion (substitution S-box) et diffusion (XOR avec la clé). Le vrai AES effectue 10–14 rounds d'opérations SubBytes, ShiftRows, MixColumns et AddRoundKey.

AES — Advanced Encryption Standard›

Standard mondial
AES (Rijndael, Joan Daemen & Vincent Rijmen) est le standard mondial de chiffrement symétrique depuis 2001. Chiffre des blocs de 128 bits avec des clés de 128, 192 ou 256 bits.

Structure SPN (Substitution-Permutation Network) :
Chaque round (10/12/14 selon la taille de clé) applique :
· SubBytes : substitution non-linéaire via la S-box (inverse dans GF(2⁸)).
· ShiftRows : décalage cyclique des lignes de l'état.
· MixColumns : multiplication matricielle dans GF(2⁸) — diffusion maximale.
· AddRoundKey : XOR avec la sous-clé du round.

Modes d'opération : ECB (déconseillé — répète les blocs), CBC, CTR, GCM (authentifié). AES-256-GCM est le mode recommandé pour 2024.

ChaCha20-Poly1305›

Stream cipher
ChaCha20 (Daniel J. Bernstein, 2008) est un chiffrement de flux basé sur des additions/XOR/rotations — pas de S-box, pas de multiplication. Avantages :

· Performances sans AES-NI : sur les processeurs sans accélération matérielle AES (IoT, mobiles anciens), ChaCha20 est 3× plus rapide.
· Résistance aux attaques temporelles : pas d'accès mémoire dépendant des données → pas de cache-timing attacks.
· Poly1305 : authentificateur MAC associé. AEAD complet.

ChaCha20-Poly1305 est utilisé dans TLS 1.3, WireGuard, Signal Protocol. Google le préfère à AES-GCM sur Android.

DES, 3DES — et pourquoi ils sont morts›

Obsolète
DES (Data Encryption Standard, 1977) : clé de 56 bits. Cassé en 1999 en 22 heures par l'EFF avec un hardware dédié (~250k$). La taille de clé insuffisante était délibérée — soupçon d'affaiblissement intentionnel par la NSA.

3DES : applique DES trois fois (EDE — encrypt-decrypt-encrypt). Clé effective de 112 bits. Vulnérable à l'attaque Sweet32 (birthday attack sur blocs de 64 bits) et lent. Déprécié par le NIST en 2023.

Leçon : 56 bits → ~7×10¹⁶ clés possibles, cassable par force brute. AES-128 → 3,4×10³⁸ clés. Augmenter la taille de clé de 1 bit double l'espace de recherche.

AEAD — Authenticated Encryption with Associated Data›

Confidentiel + Authentifié
Un schéma AEAD combine confidentialité + intégrité + authenticité en une seule opération. C'est le standard moderne — utiliser un chiffrement seul (sans MAC) est une erreur cryptographique grave.

Exemples : AES-GCM (GCM = Galois/Counter Mode), ChaCha20-Poly1305, AES-CCM.

Problèmes classiques sans authentification :
· Padding oracle attacks (POODLE, BEAST) : manipulation des bits chiffrés pour extraire le clair.
· Bit-flipping attacks en CBC : modifier un bloc chiffré modifie de façon prévisible le déchiffré.

Règle d'or : Encrypt-then-MAC si on implémente soi-même, sinon utiliser un AEAD éprouvé.

Cryptographie asymétrique (à clé publique)

Animation — échange Diffie-Hellman (concept des couleurs)

Alice et Bob partagent une couleur commune (paramètres publics), mélangent leur couleur secrète, échangent publiquement, puis ajoutent à nouveau leur secret — la couleur finale est identique mais jamais transmise en clair.

Échange Diffie-Hellman (DH)›

1976
Premier protocole permettant à deux parties d'établir un secret partagé sur un canal public sans s'être jamais rencontrées.

Mathématiques : repose sur la difficulté du problème du logarithme discret dans ℤ*p.

Alice : A = gᵃ mod p · Bob : B = gᵇ mod p
Alice reçoit B → K = Bᵃ mod p = gᵃᵇ mod p
Bob reçoit A → K = Aᵇ mod p = gᵃᵇ mod p

g, p publics · a, b secrets · K secret partagé

Calculer a depuis A = gᵃ mod p est le problème DL — actuellement infaisable pour p ≥ 2048 bits.

ECDH (Elliptic Curve DH) : même principe sur les courbes elliptiques. Sécurité équivalente avec des clés ~10× plus petites (256 bits ECC ≈ 3072 bits DH classique). Curve25519 est la courbe recommandée.

RSA — Rivest-Shamir-Adleman›

1977
RSA repose sur la difficulté de factoriser le produit de deux grands nombres premiers.

Génération de clés :
1. Choisir deux premiers p, q → n = p·q
2. φ(n) = (p−1)(q−1)
3. Choisir e tel que gcd(e, φ(n)) = 1 (souvent 65537)
4. Calculer d = e⁻¹ mod φ(n)

Clé publique : (n, e) · Clé privée : (n, d)
Chiffrement : C = Mᵉ mod n
Déchiffrement : M = Cᵈ mod n

Taille minimale 2024 : 3072 bits (NIST) ou 4096 bits pour une marge. RSA-1024 est cassé (768 bits factorisé en 2009, 1024 bits théoriquement vulnérable).

Problème : RSA est lent, vulnérable au padding oracle (PKCS#1 v1.5 → OAEP obligatoire) et sera détruit par l'algorithme de Shor sur ordinateur quantique.

Courbes elliptiques (ECC)›

ECDH · ECDSA · Ed25519
Une courbe elliptique sur un corps fini est définie par : y² = x³ + ax + b (mod p). Les points de la courbe forment un groupe abélien sous une loi d'addition géométrique (corde-tangente).

Problème ECDLP : étant donné P et Q = kP (multiplication scalaire), trouver k est computationnellement infaisable pour des courbes bien choisies.

Courbes standardisées :
· P-256 (secp256r1) : NIST, utilisé dans TLS, ECDSA.
· Curve25519 (Bernstein) : conçue pour ECDH, résiste aux attaques par sous-groupe. Utilisée dans Signal, WireGuard, SSH moderne.
· Ed25519 : signature (Edwards curve), très rapide, immunisée contre les attaques de timing.

ECC 256 bits ≈ RSA 3072 bits en sécurité. Clés plus petites → moins de bande passante, plus rapide.

Perfect Forward Secrecy (PFS) — ECDHE›

Sécurité future
La PFS garantit que la compromission de la clé privée à long terme d'un serveur ne permet pas de déchiffrer les sessions passées enregistrées.

Mécanisme : au lieu de chiffrer le secret de session directement avec la clé publique RSA (non-PFS), on utilise ECDHE — une paire de clés éphémères générée pour chaque session et détruite ensuite. La clé privée à long terme sert uniquement à authentifier.

TLS 1.3 impose ECDHE pour tous les échanges de clés — RSA pour le transport de clé est définitivement abandonné.

Scénario "harvest now, decrypt later" : un attaquant qui enregistre le trafic TLS chiffré aujourd'hui ne pourra pas le déchiffrer rétrospectivement même en compromettant la clé privée du serveur plus tard.

Fonctions de hachage & Signatures numériques

Démo — Propriétés du hash (effet avalanche)

Message

Hash (sim.)

Simulation de l'effet avalanche : changer un seul caractère modifie ~50% des bits de sortie. Une vraie fonction cryptographique (SHA-256) produit 256 bits de sortie indiscernables du bruit.

Propriétés des fonctions de hachage cryptographiques›

SHA-2 · SHA-3 · BLAKE3
Une fonction de hachage cryptographique H doit satisfaire trois propriétés :

· Résistance à la préimage : étant donné h, il est infaisable de trouver m tel que H(m) = h. (one-way)
· Résistance à la seconde préimage : étant donné m₁, infaisable de trouver m₂ ≠ m₁ tel que H(m₁) = H(m₂).
· Résistance aux collisions : infaisable de trouver (m₁, m₂) tel que H(m₁) = H(m₂).

Paradoxe des anniversaires : pour une sortie de n bits, trouver une collision nécessite ~2^(n/2) opérations. SHA-256 → 2¹²⁸ opérations pour une collision. MD5 (128 bits, 2⁶⁴ op) — cassé en pratique, inutilisable en crypto.

Standards 2024 : SHA-256, SHA-3 (Keccak, résistant quantique), BLAKE3 (ultra-rapide, parallélisable).

Signatures numériques — ECDSA & EdDSA›

Authenticité + Non-répudiation
Une signature numérique prouve l'authenticité et l'intégrité d'un message. Elle ne chiffre pas — elle signe.

RSA-PSS : signe le hash du message avec la clé privée RSA. Vérification avec la clé publique. PKCS#1 v1.5 est vulnérable, PSS (probabilistic) est requis.

ECDSA : basé sur ECC. Standard dominant (TLS, Bitcoin). Vulnérabilité critique : si le nonce k est réutilisé ou prévisible, la clé privée est récupérable directement. Sony PS3 hack (2010) via k constant.

Ed25519 : signature déterministe (k dérivé du message et de la clé) → pas de vulnérabilité nonce. Très rapide, implémentation simple. Recommandé pour les nouveaux systèmes (SSH, GPG, Signal).

MAC, HMAC & AEAD›

Intégrité symétrique
Un MAC (Message Authentication Code) authentifie un message en utilisant une clé secrète partagée — contrairement à la signature numérique qui utilise une clé privée.

HMAC = H(K ⊕ opad || H(K ⊕ ipad || m)). Construction qui transforme n'importe quel hash en MAC sécurisé. HMAC-SHA256 est omniprésent (JWT, API tokens, TLS).

GCM (Galois/Counter Mode) : combine CTR (chiffrement) + GHASH (authentification dans GF(2¹²⁸)). Critique : ne jamais réutiliser le nonce (IV) avec la même clé → révèle la clé d'authentification (nonce misuse attack). AES-GCM-SIV est une variante résistante à la réutilisation de nonce.

Protocoles d'authentification — challenge-response & zero-knowledge›

Authentification
Challenge-response : le verifier envoie un aléa (nonce), le prover répond avec HMAC(nonce, clé_secrète). Prouve la connaissance de la clé sans la transmettre. Base de Kerberos, CRAM-MD5, CHAP.

Zero-Knowledge Proofs (ZKP) : Alice prouve à Bob qu'elle connaît un secret s sans révéler s lui-même, ni aucune information utile pour retrouver s.

Exemples : protocole de Schnorr, zk-SNARK (zkSync, ZCash), Fiat-Shamir heuristic. Applications : blockchain privacy (ZCash, Zcash, Tornado Cash), authentification anonyme, preuve de solvabilité sans révéler les actifs.

Sigma protocols : commit → challenge → respond. Transformables en signature via Fiat-Shamir (hash du commit = challenge).

Cryptographie quantique

Animation — Protocole BB84 (Distribution quantique de clés)

BB84 (Bennett & Brassard, 1984) : Alice envoie des photons polarisés selon des bases aléatoires. Bob mesure avec des bases aléatoires. Seuls les qubits où ils ont choisi la même base sont conservés (sifting). Un espion (Eve) perturbe les photons et est détectable.

QKD — Distribution quantique de clés (principes)›

Sécurité inconditionnelle
La QKD (Quantum Key Distribution) exploite les propriétés de la mécanique quantique pour distribuer des clés dont la sécurité est garantie par les lois de la physique — pas par des hypothèses computationnelles.

Deux fondements physiques :
1. Théorème de non-clonage : il est impossible de copier un état quantique inconnu sans le perturber. Eve ne peut pas intercepter et retransmettre un photon identique.
2. Perturbation par la mesure : toute mesure quantique modifie l'état mesuré si la base de mesure ne correspond pas à l'état préparé.

Ces propriétés rendent toute interception détectable. La sécurité est inconditionnelle (indépendante de la puissance computationnelle de l'adversaire) — meilleure garantie possible en cryptographie.

BB84 — le protocole en détail›

Bennett & Brassard 1984
Étapes :
1. Préparation : Alice encode des bits (0/1) dans la polarisation de photons en choisissant aléatoirement entre deux bases : rectiligne (↕↔) ou diagonale (↗↘).
2. Transmission : Alice envoie les photons à Bob sur un canal quantique (fibre optique).
3. Mesure : Bob mesure chaque photon avec une base aléatoire. Si la base de Bob = base d'Alice → résultat déterministe. Sinon → résultat aléatoire (50/50).
4. Sifting : Alice et Bob comparent leurs bases (sur canal public). Ils ne gardent que les bits où les bases coïncident (~50%).
5. Estimation d'erreur : ils sacrifient une fraction de la clé pour mesurer le QBER (Quantum Bit Error Rate). Si QBER > 11% → interception détectée → abandon.
6. Réconciliation + amplification de confidentialité : correction d'erreurs puis hachage universel pour extraire la clé finale secrète.

E91 — Intrication et inégalités de Bell›

Ekert 1991
Le protocole E91 (Artur Ekert) utilise des paires de photons intriqués distribuées par une source tierce. Alice et Bob mesurent leurs photons dans des bases aléatoires.

Vérification de sécurité par les inégalités de Bell : les corrélations entre mesures d'Alice et Bob doivent violer les inégalités de Bell (preuve de non-localité). Si un espion a capturé et remplacé les photons, les corrélations s'effondrent et la violation de Bell disparaît → détection d'Eve.

Avantage théorique : la source de paires peut être non fiable (même tenue par Eve !). La sécurité repose uniquement sur les corrélations mesurées.

Limites pratiques de la QKD›

Contraintes réelles
Malgré sa sécurité théorique, la QKD souffre de limitations pratiques importantes :

· Distance : atténuation des photons dans les fibres (~0,2 dB/km). Sans répéteurs quantiques, portée < ~500 km. Les répéteurs quantiques nécessitent de la mémoire quantique — encore expérimentale.
· Attaques sur les implémentations : les détecteurs et sources réels ne sont pas parfaits → attaques photon-number-splitting (PNS), time-shift attacks, detector-blinding. QKD Device-Independent (DI-QKD) résout théoriquement ce problème mais est encore impraticable.
· Débit : quelques kbps à Mbps selon la distance. Insuffisant pour chiffrer du haut-débit sans techniques d'amplification.
· Infrastructure : réseau QKD nécessite une fibre dédiée ou des satellites (China Micius, 2016 — premier lien QKD satellite-sol à 1200 km).

L'algorithme de Shor — la menace quantique›

Peter Shor, 1994
L'algorithme de Shor résout en temps polynomial sur un ordinateur quantique deux problèmes considérés intractables classiquement :
· La factorisation d'entiers → détruit RSA
· Le logarithme discret dans ℤ*p → détruit DH et DSA
· Le logarithme discret sur courbes elliptiques → détruit ECDH, ECDSA, Ed25519

En résumé : toute la cryptographie à clé publique actuelle est vulnérable à Shor.

État actuel : casser RSA-2048 avec Shor nécessite ~4000 qubits logiques parfaits (~millions de qubits physiques avec correction d'erreur). IBM possède ~1000 qubits physiques bruités. Délai estimé avant menace réelle : 10–20 ans (NIST) à 5–10 ans (optimistes). Le scénario "harvest now, decrypt later" est actif dès aujourd'hui.

L'algorithme de Grover — menace sur le symétrique›

Lov Grover, 1996
Grover accélère la recherche dans une base non triée : O(N) → O(√N). Appliqué à la force brute sur les clés symétriques :

· AES-128 : 2¹²⁸ → 2⁶⁴ opérations quantiques. Vulnérable en théorie.
· AES-256 : 2²⁵⁶ → 2¹²⁸ opérations quantiques. Toujours sûr.

Recommandation : doubler la taille des clés symétriques pour maintenir le niveau de sécurité face à Grover. AES-256 est la réponse directe. Les fonctions de hachage : SHA-256 → sécurité post-Grover réduite à 128 bits (suffisant), SHA-3-256 idem.

Grover est quadratique, pas exponentiel — contrairement à Shor. Le symétrique résiste bien avec des tailles de clés suffisantes.

Cryptographie post-quantique (PQC)

Visualisation — Réseaux euclidiens (Lattices)

Un réseau euclidien est un ensemble discret de points dans ℝⁿ. Le problème SVP (Shortest Vector Problem) — trouver le vecteur le plus court — est difficile même pour un ordinateur quantique.

Tableau de résistance quantique des algorithmes actuels

Algorithme	Type	Classique	Quantique (Shor/Grover)	Action
RSA-2048/3072	Clé publique	Sûr	Cassé (Shor)	Migrer vers PQC
ECDH / ECDSA	Clé publique ECC	Sûr	Cassé (Shor)	Migrer vers PQC
DH classique	Échange de clés	Sûr	Cassé (Shor)	Migrer vers PQC
AES-128	Symétrique	Sûr	Affaibli (Grover, 64 bits eff.)	Passer à AES-256
AES-256	Symétrique	Sûr	Résistant (128 bits eff.)	Conserver
SHA-256	Hash	Sûr	Affaibli (Grover, 128 bits coll.)	Acceptable / SHA-3
SHA-3 / BLAKE3	Hash	Sûr	Résistant	Recommandé
CRYSTALS-Kyber	KEM post-quantique	Sûr	Résistant (MLWE)	Standard NIST 2024
CRYSTALS-Dilithium	Signature PQC	Sûr	Résistant (MLWE)	Standard NIST 2024
SPHINCS+	Signature (hash-based)	Sûr	Résistant (hash)	Standard NIST 2024

Cryptographie sur réseaux euclidiens (Lattice-based)›

Standard NIST 2024
Les schémas basés sur les réseaux euclidiens (lattices) sont les candidats PQC les plus prometteurs — efficaces, bien analysés mathématiquement, et résistants à Shor.

Problème LWE (Learning With Errors, Regev 2005) : étant donné un système de m équations linéaires avec du bruit ajouté, retrouver le vecteur secret est infaisable même quantiquement.

b = As + e (mod q)

A matrice publique · s secret · e petit bruit · b observé

Module-LWE (MLWE) : version optimisée sur des modules polynomiaux — beaucoup plus compacte.

CRYSTALS-Kyber (ML-KEM) : encapsulation de clés basée sur MLWE. Tailles clés : ~800–1568 bytes selon niveau de sécurité. Standardisé FIPS 203 en août 2024.

CRYSTALS-Dilithium (ML-DSA) : signatures basées sur MLWE. Standardisé FIPS 204. Remplace ECDSA dans les nouvelles applications.

SPHINCS+ — signatures basées sur les hash›

Hyper-tree de Merkle
SPHINCS+ (SLH-DSA, FIPS 205) est un schéma de signature dont la sécurité repose uniquement sur la sécurité des fonctions de hachage — aucune hypothèse algébrique supplémentaire.

Structure : arbre de Merkle hyper-tree utilisant des one-time signatures (WOTS+) à chaque feuille. La signature est une chemin d'authentification dans cet arbre.

Avantages : hypothèses minimales (juste la résistance aux collisions), bien compris théoriquement.
Inconvénients : signatures volumineuses (~8-50 kB selon paramètres), lenteur de signature.

Recommandé comme alternative conservatrice si les hypothèses MLWE s'avèrent fragiles.

Autres familles PQC — codes, isogénies, MQ›

Diversité algorithmique
Code-based (McEliece, 1978) : plus vieux système PQC, basé sur la difficulté du décodage de codes linéaires aléatoires. Très bien analysé. Inconvénient : clés publiques énormes (~1 MB pour 128 bits). BIKE et HQC sont des variantes compactes.

Isogénies (SIDH/SIKE) : basé sur les isogénies entre courbes elliptiques supersingulières. Très petites clés. Cassé en 2022 (Castryck-Decru) en quelques heures sur CPU — retiré du concours NIST.

Multivariate (Rainbow, GeMSS) : basé sur la résolution de systèmes polynomiaux multivariés. Rainbow cassé en 2022 également. Peu de survivants dans cette famille.

Leçon : la diversification algorithmique est essentielle — ne pas tout miser sur une seule famille, même si MLWE domine aujourd'hui.

Hybridation classique/PQC — stratégie de migration›

Transition
La migration vers le PQC ne se fait pas d'un coup. La stratégie recommandée (NIST, ANSSI, BSI) est l'hybridation : combiner un algorithme classique (ECDH) et un algorithme PQC (Kyber) en parallèle.

Logique : la sécurité hybride est au moins aussi bonne que le plus fort des deux. Si Kyber est cassé classiquement, ECDH protège. Si un ordinateur quantique arrive, Kyber protège.

En production :
· Google (2016, 2023) : CECPQ1 (ECDH + NewHope), puis X25519Kyber768 dans Chrome.
· Signal : PQXDH (Kyber + X25519) depuis 2023.
· AWS, Cloudflare : support TLS hybride PQC en beta.

"Harvest now, decrypt later" impose d'agir maintenant — les données chiffrées aujourd'hui avec ECDH seront vulnérables dès qu'un QC suffisant existera.

CRYSTALS-Kyber en détail (ML-KEM)›

FIPS 203
Kyber est un KEM (Key Encapsulation Mechanism) — il permet à deux parties d'établir un secret partagé, rôle équivalent à ECDH.

Niveaux de sécurité (Kyber-512/768/1024) :
· Kyber-512 : ~128 bits (équiv. AES-128). Clé pub. : 800 B, chiffré : 768 B.
· Kyber-768 : ~192 bits. Clé pub. : 1184 B, chiffré : 1088 B.
· Kyber-1024 : ~256 bits. Clé pub. : 1568 B, chiffré : 1568 B.

Comparaison avec ECDH : X25519 : clé pub. 32 B, échange 32 B. Kyber-768 est ~40× plus volumineux mais toujours gérable en TLS. Temps de calcul : ~0,15 ms sur CPU moderne (similaire à ECDH).

Sécurité prouvée par réduction au problème MLWE — la plus solide garantie mathématique disponible en PQC aujourd'hui.

OpenPGP, Signal Protocol & la transition PQC›

Applications
Signal Protocol (Double Ratchet + X3DH) : Signal a migré vers PQXDH (Post-Quantum Extended Diffie-Hellman) en septembre 2023. Combinaison de X25519 (classique) et Kyber-1024 (PQC) pour l'établissement initial de session. Le Double Ratchet reste inchangé (symétrique).

OpenPGP (RFC 9580, 2024) : nouvelle révision du standard intégrant les algorithmes PQC. Kyber + Dilithium sont supportés. La migration des clés GPG existantes est manuelle et progressive.

TLS 1.3 + PQC : la RFC pour le groupe hybride X25519Kyber768 est en cours. Chrome, Firefox et Edge supportent déjà les groupes hybrides expérimentaux.

Infrastructure PKI : les certificats X.509 devront être resignés avec Dilithium. Migration estimée à ~10 ans pour l'ensemble d'Internet.

Synthèse

Fondements — Kerckhoffs : la sécurité repose sur la clé, jamais sur l'algorithme. Shannon (1949) : masque jetable = seule sécurité inconditionnelle. Analyse de fréquence (Al-Kindi) casse les substitutions monoalphabétiques.

Symétrique — AES-256-GCM : standard universel (SPN, 14 rounds, 256-bit key). ChaCha20-Poly1305 : alternatif sans AES-NI, utilisé dans TLS/WireGuard. Toujours utiliser AEAD (confidentialité + intégrité). Jamais réutiliser un nonce en GCM.

Asymétrique — DH/ECDH : échange de clés sur logarithme discret. RSA : chiffrement/signature sur factorisation. ECC (Curve25519, P-256) : même sécurité, clés 10× plus petites. ECDHE → Perfect Forward Secrecy. Ed25519 : signature déterministe, recommandée. TLS 1.3 abandonne RSA pour l'échange de clés.

Hash & Signatures — SHA-256 / SHA-3 / BLAKE3. Trois propriétés : préimage, seconde préimage, résistance aux collisions. Paradoxe des anniversaires : 2^(n/2). ECDSA : attention au nonce k. Ed25519 déterministe = pas de vulnérabilité k. HMAC-SHA256 pour les MAC symétriques.

Crypto quantique (QKD) — BB84 : polarisation photons, sifting, QBER. Sécurité inconditionnelle par non-clonage + perturbation par mesure. Limites : distance (~500 km), débit, attaques sur implémentations. Shor détruit RSA/ECDH. Grover affaiblit AES-128 (→ AES-256 requis).

Post-quantique (PQC) — NIST 2024 : ML-KEM (Kyber), ML-DSA (Dilithium), SLH-DSA (SPHINCS+). Basés sur MLWE (lattices) et hash. SIDH/SIKE cassé 2022. Stratégie : hybridation ECDH + Kyber dès maintenant. Signal (PQXDH), Chrome, AWS en production. "Harvest now, decrypt later" → urgence de migrer.

Mots-clés absolus : AES, ChaCha20, AEAD, GCM, RSA, ECDH, Curve25519, Ed25519, PFS, ECDHE, SHA-256, SHA-3, HMAC, ZKP, BB84, QKD, non-clonage, Shor, Grover, MLWE, LWE, Kyber, Dilithium, SPHINCS+, lattice, PQXDH, hybridation, harvest-now-decrypt-later.

Question 1 / 18 0 / 18

Cryptographie — classique, quantique & post-quantique