Google a récemment annoncé avoir commencé à tester une nouvelle classe de certificats HTTPS résistants aux quantiques dans le navigateur Chrome. L’objectif est de « renforcer les fondations » des communications Internet avant que l’informatique quantique ne menace réellement le système de cryptage existant. La puissance de calcul quantique actuelle n’est pas suffisante pour déchiffrer les principaux protocoles de chiffrement d’Internet, mais l’industrie de la sécurité, y compris Google, craint généralement qu’une fois apparus les ordinateurs quantiques destinés à des applications pratiques à grande échelle, les algorithmes cryptographiques qui assurent actuellement la sécurité du HTTPS courent le risque d’être rapidement brisés.
Ce que Google a introduit cette fois dans Chrome est un système de certificat conçu dès le départ pour faire face aux menaces quantiques. Il espère fournir aux navigateurs et aux sites Web une solution de sauvegarde « à sécurité quantique » sans ralentir considérablement le chargement des pages Web.
Pour comprendre l’importance de ce changement, vous devez d’abord revoir les principes fondamentaux des mécanismes de sécurité Web actuels. Lorsqu'un utilisateur visite un site Web, le navigateur vérifie le certificat numérique fourni par l'autre partie pour confirmer que l'utilisateur se connecte à un véritable site Web et non à un site de phishing ou à un nœud attaquant déguisé par un intermédiaire. Ces certificats reposent sur des problèmes mathématiques complexes difficiles à résoudre dans un délai raisonnable pour les ordinateurs conventionnels, garantissant que les attaquants ne peuvent pas falsifier l'identité du site Web ou décrypter le contenu transmis dans un délai prévisible. Cependant, les capacités parallèles des ordinateurs quantiques et les avantages d’algorithmes spécifiques viendront bouleverser cette prémisse. Les algorithmes quantiques représentés par l'algorithme de Shor peuvent théoriquement décomposer efficacement de grands entiers et déchiffrer le système de cryptage à clé publique actuellement largement déployé, rendant le système de certificat existant « uniquement de nom » à l'ère quantique.
La contre-mesure intuitive de l'industrie consiste à introduire des algorithmes cryptographiques anti-quantiques considérés comme « difficiles » pour l'informatique quantique. Mais le problème est que les clés et signatures de ce type d’algorithme sont généralement beaucoup plus « grosses » que les solutions traditionnelles. Dans le format de certificat X.509 actuellement couramment utilisé, le volume de données pertinent est d'environ 64 octets. Une fois remplacée par une solution de sécurité quantique équivalente, la taille des données atteindra environ 2,5 Ko, soit environ 40 fois la taille d'origine. Ces certificats doivent être transmis sur le réseau à chaque fois qu'une connexion HTTPS est établie. Si tous les sites Web adoptent des certificats à résistance quantique dont la taille augmente considérablement, la quantité de données transmises pendant la phase de prise de contact augmentera considérablement et les utilisateurs ressentiront personnellement l'augmentation de la réponse du premier paquet et les délais de chargement des pages Web. Pour les utilisateurs ordinaires, lorsqu’il existe un conflit évident entre les mesures de sécurité et l’expérience, ils préfèrent abaisser le niveau de sécurité plutôt que d’accepter un accès aux pages Web considérablement plus lent.
Afin de résoudre cette contradiction entre « sécurité et performance », Google a choisi d'introduire une structure cryptographique appelée Merkle Tree, et sur cette base, il a conçu ce que l'on appelle les Merkle Tree Certificates (MTC). Google a expliqué dans un blog sur la sécurité que MTC remplace la structure de chaîne de signature concaténée et volumineuse de l'infrastructure à clé publique (PKI) traditionnelle par un certificat d'arbre Merkle compact. Dans ce mode, l'autorité de certification (CA) ne signe plus chaque certificat individuellement, mais signe uniquement une « tête d'arbre » qui représente « l'arborescence entière », qui peut couvrir des millions d'enregistrements de certificat. Le « certificat » reçu par le navigateur lors de la poignée de main n'est plus une chaîne de certificats complète d'un seul site, mais un « certificat de confinement » d'un certain site Web dans cette arborescence Merkle. La quantité de données peut donc rester proche du niveau d'un certificat traditionnel de 64 octets, prenant ainsi en compte les capacités de sécurité quantique et la surcharge du réseau.
De manière plus intuitive, MTC concentre la « lourde charge » de la signature des certificats sur une arborescence maintenue par l'autorité de certification. Le navigateur de l'utilisateur obtient un certificat de chemin court et vérifiable au lieu d'un vaste ensemble de certificats indépendants et de chaînes de certificats intermédiaires. Pour l'autorité de certification, cela signifie qu'un seul en-tête d'arborescence doit être signé pour couvrir une vaste collection de certificats ; pour le navigateur, les données requises pour vérifier un chemin Merkle court sont beaucoup plus petites qu'un certificat complet, ce qui permet également de contrôler le délai dans la phase de prise de contact. Partant du principe que les algorithmes de sécurité quantique augmentent inévitablement la taille d'une signature unique, via le « traitement par lots » et la compression au niveau structurel, Google tente d'éviter d'utiliser l'expérience réseau pour « payer » le renforcement de la sécurité.
Actuellement, Chrome a commencé à travailler avec Cloudflare pour effectuer des tests en ligne de ces nouveaux certificats basés sur les arbres Merkle. Google a révélé qu'il existe actuellement environ 1 000 certificats via ce nouveau système et que toutes les connexions comportent des certificats traditionnels en guise de sauvegarde lorsqu'elles sont établies. En d’autres termes, même s’il existe des problèmes de compatibilité ou de mise en œuvre du côté de MTC, le navigateur peut toujours recourir au processus de vérification de certificat existant pour éviter d’affecter l’accès des utilisateurs ou de provoquer des pannes à grande échelle. Ce mécanisme de « test parallèle » réserve suffisamment d'espace pour le fonctionnement de la nouvelle solution et fournit également des données pratiques pour l'expansion progressive ultérieure du champ de déploiement.
Selon le plan de Google, la promotion complète de ce système de certificats résistant aux quantiques se poursuivra jusqu’en 2027. D’ici là, Google prévoit de lancer un magasin de confiance dédié à la résistance quantique qui fonctionnera en parallèle avec le magasin de certificats racine Chrome existant. Cela signifie que les navigateurs conserveront à la fois les chaînes de confiance PKI traditionnelles et les chaînes de confiance résistantes aux quantiques, offrant des chemins de gestion et de vérification différenciés pour différents types de certificats de sites Web. Dans une fenêtre de temps où la menace de l'informatique quantique est encore « prévisible mais pas encore là », cette architecture parallèle permet d'achever progressivement la migration écologique et d'éviter les risques de compatibilité, d'exploitation et de maintenance provoqués par « une seule étape ».
Il convient de noter que l'introduction des certificats Merkle Tree a également un « effet secondaire » important : la transparence des certificats (Certificate Transparency) passe d'optionnelle à obligatoire. Étant donné que la génération de nouveaux certificats doit s'appuyer sur une structure de journal vérifiable publiquement, l'existence de tout certificat MTC sera naturellement enregistrée dans le journal public, ce qui rendra difficile sa délivrance « silencieuse » ou son abus. Pour les attaquants ou les abuseurs internes, il sera plus difficile de mener des attaques de l'homme du milieu en falsifiant des certificats dans le cadre d'un tel mécanisme ; et pour les chercheurs en sécurité et les agences de réglementation, cela améliore également l'auditabilité et la traçabilité de l'ensemble de l'écosystème des certificats.
En fait, Google a commencé à étudier la manière de construire une ligne de défense pour les navigateurs et les systèmes Internet contre les attaques informatiques quantiques il y a déjà dix ans. Auparavant, Google a mené plusieurs séries de tentatives et de tests au niveau du protocole expérimental, des candidats algorithmes de chiffrement et des niveaux de mise en œuvre du navigateur. La promotion de l'application combinée de certificats HTTPS résistants aux quantiques et d'arborescences Merkle dans Chrome peut être considérée comme une autre mise en œuvre clé de sa « feuille de route en matière de sécurité quantique » : avant que la menace quantique ne se réalise réellement, les points potentiels à haut risque devraient être « renforcés » à l'avance par des mises à jour des protocoles et des infrastructures afin de jeter les bases de la sécurité des réseaux au cours des prochaines décennies.