Résistance post-quantique pq Décidé
La protection des données au repos est déjà quantum-résistante par construction — tout est symétrique 256 bits, aucune crypto asymétrique dans le chemin des données. Restent deux retouches : le transport (TLS hybride ML-KEM) et les signatures de mise à jour.
En clair — le passe-partout et le devineur accéléré
Un ordinateur quantique (quand il existera à l'échelle) casse la crypto de deux façons très inégales. Shor, le passe-partout : il casse totalement la crypto asymétrique — RSA, courbes elliptiques, tout ce qui repose sur « factoriser, c'est dur ». Ces serrures-là tombent, point. Grover, le devineur accéléré : sur la crypto symétrique, il ne fait qu'accélérer la devinette par force brute — en racine carrée, ce qui divise par deux les bits de sécurité. Une clé de 256 bits garde 128 bits de sécurité quantique : toujours inviolable. C'est pourquoi NIST, ANSSI et BSI considèrent AES-256 et ChaCha20-256 comme nativement résistants au quantique. Moralité : le quantique est une apocalypse pour l'asymétrique, une égratignure pour le symétrique bien dimensionné.
L’inventaire Cairn face au quantique
| Brique | Type | Verdict quantique |
|---|---|---|
| XChaCha20-Poly1305 (256 bits) | symétrique | ✅ résistant natif (Grover → 128 bits, largement assez) |
| BLAKE3 (adresses, dérivation) | hash 256 bits | ✅ résistant natif |
| Argon2id | KDF memory-hard | ✅ résistant (la mémoire-dure gêne aussi le quantique) |
| Pyramide CK / CMK / KEK | emballages symétriques | ✅ résistant natif |
| TLS transport | asymétrique (X25519) | ⚠️ cassable par Shor → à hybrider |
| Signatures de mise à jour | asymétrique (Ed25519) | ⚠️ cassable par Shor → à hybrider |
Le constat remarquable : toute la protection des données au repos est symétrique — il n’y a aucune crypto asymétrique dans le chemin des données. C’est un sous-produit du chiffrement convergent (clés dérivées par hash, emballages symétriques), et la plupart des concurrents ne peuvent pas en dire autant.
La menace qui compte : harvest now, decrypt later
Le backup est LA cible parfaite de cette attaque
L'adversaire n'attend pas d'avoir son ordinateur quantique : il enregistre aujourd'hui le trafic chiffré, et le déchiffrera en 2035. Or un produit de sauvegarde est la cible idéale : des données à rétention longue (10 ans et plus), qui transitent chaque nuit, en volume. Chez Cairn la défense est double : le TLS hybride post-quantique protège le tuyau, et même un TLS cassé rétroactivement ne livrerait que des blobs déjà chiffrés en symétrique côté client — l'attaque ne rapporte que du métadata de transport (tailles, timing). La couche qui compte le plus est déjà immunisée.
Les deux retouches
- TLS hybride post-quantique — échange de clés X25519 + ML-KEM-768 (FIPS 203) : l'hybride combine la courbe éprouvée et le post-quantique, de sorte qu'il faudrait casser les deux. Déployé par défaut chez Cloudflare, Google et AWS depuis 2024-2025, supporté par l'écosystème rustls. À inscrire comme exigence du sujet Transport de la section B.
- Signatures de mise à jour hybrides — l'updater signe en Ed25519, forgeable par un quantique futur. Contrairement au harvest-now, forger exige le quantique au moment de l'attaque — moins urgent — mais le format de signature est agile dès le premier jour : double signature Ed25519 + ML-DSA (FIPS 204), ou SLH-DSA (FIPS 205, à base de hashes — philosophiquement cohérent avec notre design tout-hash, le choix le plus conservateur qui existe).
Le pitch — chaque mot est vrai
Ce qu'on peut vendre sans quantum-washing
« Les données sont chiffrées exclusivement en cryptographie symétrique 256 bits, nativement résistante au quantique selon le NIST et l'ANSSI. Le transport et les signatures utilisent de la cryptographie post-quantique hybride (ML-KEM, FIPS 203). Même un adversaire qui enregistre votre trafic aujourd'hui pour le déchiffrer dans dix ans n'obtient rien. »