Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

Résistance post-quantique pq Décidé

La protection des données au repos est déjà quantum-résistante par construction — tout est symétrique 256 bits, aucune crypto asymétrique dans le chemin des données. Restent deux retouches : le transport (TLS hybride ML-KEM) et les signatures de mise à jour.

En clair — le passe-partout et le devineur accéléré Un ordinateur quantique (quand il existera à l'échelle) casse la crypto de deux façons très inégales. Shor, le passe-partout : il casse totalement la crypto asymétrique — RSA, courbes elliptiques, tout ce qui repose sur « factoriser, c'est dur ». Ces serrures-là tombent, point. Grover, le devineur accéléré : sur la crypto symétrique, il ne fait qu'accélérer la devinette par force brute — en racine carrée, ce qui divise par deux les bits de sécurité. Une clé de 256 bits garde 128 bits de sécurité quantique : toujours inviolable. C'est pourquoi NIST, ANSSI et BSI considèrent AES-256 et ChaCha20-256 comme nativement résistants au quantique. Moralité : le quantique est une apocalypse pour l'asymétrique, une égratignure pour le symétrique bien dimensionné.

L’inventaire Cairn face au quantique

BriqueTypeVerdict quantique
XChaCha20-Poly1305 (256 bits)symétriquerésistant natif (Grover → 128 bits, largement assez)
BLAKE3 (adresses, dérivation)hash 256 bits✅ résistant natif
Argon2idKDF memory-hard✅ résistant (la mémoire-dure gêne aussi le quantique)
Pyramide CK / CMK / KEKemballages symétriques✅ résistant natif
TLS transportasymétrique (X25519)⚠️ cassable par Shor → à hybrider
Signatures de mise à jourasymétrique (Ed25519)⚠️ cassable par Shor → à hybrider

Le constat remarquable : toute la protection des données au repos est symétrique — il n’y a aucune crypto asymétrique dans le chemin des données. C’est un sous-produit du chiffrement convergent (clés dérivées par hash, emballages symétriques), et la plupart des concurrents ne peuvent pas en dire autant.

La menace qui compte : harvest now, decrypt later

Le backup est LA cible parfaite de cette attaque L'adversaire n'attend pas d'avoir son ordinateur quantique : il enregistre aujourd'hui le trafic chiffré, et le déchiffrera en 2035. Or un produit de sauvegarde est la cible idéale : des données à rétention longue (10 ans et plus), qui transitent chaque nuit, en volume. Chez Cairn la défense est double : le TLS hybride post-quantique protège le tuyau, et même un TLS cassé rétroactivement ne livrerait que des blobs déjà chiffrés en symétrique côté client — l'attaque ne rapporte que du métadata de transport (tailles, timing). La couche qui compte le plus est déjà immunisée.

Les deux retouches

  • TLS hybride post-quantique — échange de clés X25519 + ML-KEM-768 (FIPS 203) : l'hybride combine la courbe éprouvée et le post-quantique, de sorte qu'il faudrait casser les deux. Déployé par défaut chez Cloudflare, Google et AWS depuis 2024-2025, supporté par l'écosystème rustls. À inscrire comme exigence du sujet Transport de la section B.
  • Signatures de mise à jour hybrides — l'updater signe en Ed25519, forgeable par un quantique futur. Contrairement au harvest-now, forger exige le quantique au moment de l'attaque — moins urgent — mais le format de signature est agile dès le premier jour : double signature Ed25519 + ML-DSA (FIPS 204), ou SLH-DSA (FIPS 205, à base de hashes — philosophiquement cohérent avec notre design tout-hash, le choix le plus conservateur qui existe).

Le pitch — chaque mot est vrai

Ce qu'on peut vendre sans quantum-washing « Les données sont chiffrées exclusivement en cryptographie symétrique 256 bits, nativement résistante au quantique selon le NIST et l'ANSSI. Le transport et les signatures utilisent de la cryptographie post-quantique hybride (ML-KEM, FIPS 203). Même un adversaire qui enregistre votre trafic aujourd'hui pour le déchiffrer dans dix ans n'obtient rien. »