Que sont les attaques temporelles et quel sera leur impact sur la cryptographie post-quantique ?

L'informatique quantique est à nos portes et, alors que de nombreuses organisations commencent à planifier la cryptographie postquantique (PQC), un risque critique est souvent négligé : les attaques temporelles. Ces vulnérabilités peuvent être subtiles et difficiles à détecter, mais elles constituent une menace importante pour les organisations et les systèmes de cryptage.

L'informatique quantique aura un impact profond sur les stratégies SSL/TLS. Il est donc important de bien comprendre l'éventail des risques qu'elle introduit, y compris ceux qui peuvent sembler à première vue sans rapport direct. Nous examinons ci-dessous les attaques temporelles et ce qu'elles révèlent sur les implémentations de la cryptographie postquantique.

Qu'est-ce qu'une attaque temporelle ?

Les attaques temporelles font partie d'une catégorie dangereuse de menaces connues sous le nom d'attaques par canal auxiliaire, un concept décrit pour la première fois par le cryptographe Paul C. Kocher. Contrairement à la cryptanalyse traditionnelle, qui cible les faiblesses des algorithmes de chiffrement, les attaques par canal auxiliaire exploitent les informations indirectes divulguées lors du calcul, telles que les variations de temps et la consommation d'énergie.

Avec les attaques temporelles, l'accent est mis sur le temps nécessaire à des algorithmes cryptographiques spécifiques pour traiter différentes entrées. En mesurant soigneusement les temps d'exécution, les attaquants peuvent détecter de subtiles variations qui peuvent involontairement révéler des détails sensibles sur les processus internes d'un système.

Même des différences apparemment mineures dans le temps de traitement peuvent être exploitées, permettant aux attaquants de déduire des détails critiques sans briser le chiffrement lui-même. Comme ces vulnérabilités proviennent de détails d'implémentation plutôt que de failles algorithmiques, elles peuvent être particulièrement difficiles à détecter et à atténuer.

Comment fonctionnent les attaques par temporisation

La mise en œuvre pratique de l'attaque par temporisation peut être légèrement différente selon les entrées, la manière dont elles sont observées et les déductions finalement faites par les attaquants. Cependant, ces exploits impliquent souvent quelques stratégies ou caractéristiques principales :

• Opérations de branchement. Les instructions conditionnelles peuvent influencer l'exécution, en particulier lorsque des branches spécifiques nécessitent un traitement supplémentaire (comme c'est souvent le cas lors d'opérations particulièrement complexes). En fonction du moment de l'opération, les attaquants pourraient potentiellement obtenir des informations sur des conditions clés.
  
• Synchronisation du cache. Des différences de synchronisation importantes peuvent apparaître si les données sont accédées à partir de la mémoire cache d'un système plutôt que de la mémoire principale. Les données en cache se distinguent dans les hiérarchies de mémoire car elles sont accessibles très rapidement. Cela peut faire une différence si les algorithmes doivent accéder à des valeurs conservées dans la mémoire cache.
  
• Opérations mathématiques. Certaines opérations cryptographiques sont plus longues que d'autres, en fonction de la façon dont les algorithmes effectuent les calculs et du nombre de chemins d'exécution impliqués. Ces différences de temps d'exécution peuvent être évidentes pour les attaquants, le timing des opérations pouvant potentiellement révéler des informations sur les clés privées. Par exemple, la complexité inhérente de l'exponentiation peut introduire d'importantes vulnérabilités de timing.
  
• Conditions de concurrence. Si plusieurs processus demandent l'accès aux ressources en même temps, le résultat peut dépendre de l'ordre ou du moment de ces actions. Les attaquants peuvent utiliser ces informations de synchronisation pour en savoir plus sur les séquences d'opérations. Au fil du temps, cela pourrait entraîner d'importantes fuites d'informations.

Pourquoi les attaques de synchronisation constituent-elles une menace pour la cryptographie post-quantique ?

Les algorithmes de cryptographie postquantique reposent généralement sur des structures complexes (telles que la cryptographie basée sur un réseau) qui, à première vue, semblent offrir une protection supérieure contre un large éventail de menaces. En réalité, cette protection peut s'avérer insuffisante si les pirates parviennent à observer des différences subtiles dans les algorithmes mêmes qui visent à protéger les informations sensibles. Si des algorithmes avancés introduisent des variations de synchronisation, les pirates n'ont pas besoin de casser le cryptage lui-même : ils peuvent simplement profiter de petites fuites, pourtant significatives.

Cette approche est particulièrement préoccupante au vu des stratégies de « collecte immédiate, décryptage ultérieur », dans lesquelles les données cryptées sont collectées, mais pas immédiatement décryptées. Les attaquants attendent plutôt que l'informatique quantique soit facilement disponible. Connue sous le nom de cryptage rétrospectif, cette stratégie peut cibler des données ayant une durée de vie plus longue. Il est possible que les activités de « collecte » soient déjà bien avancées.

Les attaques temporelles permettent aux acteurs malveillants de prendre de l'avance, en collectant rapidement les informations divulguées en fonction des différences de timing. Cela pourrait causer des problèmes encore plus importants lorsque l'informatique quantique deviendra largement accessible.

Kyber KEM et la vulnérabilité KyberSlash

Le mécanisme d'encapsulation de clés Kyber (KEM) fait partie de la famille de protocoles cryptographiques Kyber, conçus pour résister aux attaques impliquant des ordinateurs quantiques. Sélectionné par le National Institute of Standards and Technology (NIST) dans le cadre de stratégies de préparation à l'informatique quantique à grande échelle, il exploite la difficulté du problème de l'apprentissage avec erreurs (LWE), le KEM facilitant l'échange sécurisé de clés entre les parties.

Malheureusement, des vulnérabilités de mise en œuvre sont apparues : KyberSlash 1 et KyberSlash 2, qui permettent aux attaquants de déterminer le temps nécessaire à l'exécution d'opérations spécifiques. Comme l'explique Jason Soroko de Sectigo dans Root Causes, cela n'indique pas des faiblesses autour de CRYSTALS-Kyber, mais représente plutôt un problème de mise en œuvre. Ces vulnérabilités ont été corrigées et les mesures de sécurité continuent d'évoluer pour prévenir des risques similaires dans d'autres systèmes et algorithmes PQC.

Se défendre contre les attaques par temporisation dans les algorithmes PQC

Les attaques par temporisation représentent un risque réel lors de la mise en œuvre des algorithmes PQC, mais avec une mise en œuvre stratégique, ces préoccupations peuvent être prises en compte et les fuites d'informations peuvent être évitées. Cela dépend beaucoup des temps d'exécution et de leur degré de variation. À mesure que les différences de temps seront masquées ou éliminées, il deviendra plus difficile pour les attaquants d'obtenir des informations par le biais de fuites, et les algorithmes eux-mêmes resteront solides et efficaces.

Mettre en œuvre des algorithmes à temps constant

Les algorithmes à temps constant représentent l'une des contre-mesures les plus importantes contre les attaques par timing. Ils garantissent que, quelles que soient les entrées spécifiques, le timing d'exécution reste le même. Cela peut viser à éviter les branches ou les conditions d'exécution, tout en tenant compte des schémas d'accès à la mémoire.

Des techniques telles que le masquage RSA peuvent s'avérer efficaces, en s'appuyant sur des masques appelés facteurs de masquage pour introduire du hasard dans le message en question. Il est ainsi plus difficile pour les attaquants d'obtenir des informations basées sur le comportement des algorithmes. De même, la multiplication de Montgomery offre une certaine protection contre les attaques par canal auxiliaire en évitant les opérations de division directe (dans lesquelles le timing a tendance à varier). Cette approche est également privilégiée pour son efficacité.

Introduire la randomisation pour masquer les variations de timing

Le masquage RSA n'est qu'une des nombreuses stratégies permettant de tirer parti de la randomisation. Le remplissage aléatoire peut renforcer cet effort en ajoutant du bruit aux entrées ou à l'exécution pour masquer les tendances ou les modèles dans le comportement des algorithmes. Avec le remplissage aléatoire en place, les attaquants ne peuvent pas faire de déductions fiables sur les algorithmes et leur comportement.

La ramification aléatoire ajoute des opérations conditionnelles aléatoires au mélange, permettant aux algorithmes de sélectionner différentes branches qui peuvent ne pas être strictement nécessaires pour l'opération en question. Cela rend aléatoires les chemins d'exécution, ce qui rend finalement les différences de synchronisation moins évidentes ou significatives. Ces deux stratégies visent à rendre les opérations algorithmiques difficiles à prévoir ou à comprendre pour les attaquants. Il existe cependant un compromis important à noter : ces améliorations de la sécurité peuvent entraîner une réduction de l'efficacité des performances.

Défenses basées sur le matériel

Certaines préoccupations relatives au timing peuvent être résolues au niveau du matériel. Les enclaves sécurisées, par exemple, impliquent des parties isolées des processeurs, capables de fournir des environnements d'exécution fiables (TEE). Cela peut limiter le risque que les opérations cryptographiques soient influencées par des préoccupations externes. Cette isolation rend plus difficile pour les acteurs malveillants l'observation des nuances de timing. Cela pourrait contribuer à imposer une exécution à temps constant et pourrait également limiter l'accès aux données des canaux latéraux au niveau du matériel.

Les puces spécialisées pourraient encore améliorer cet effort si elles sont optimisées pour exécuter en toute sécurité les opérations cryptographiques. D'autres possibilités matérielles sont attendues à l'avenir et, à l'avenir, les processeurs pourraient même être équipés d'une protection intégrée contre les attaques par synchronisation.

Sécuriser l'avenir de la cryptographie avec Sectigo

De l'atténuation des risques liés aux canaux auxiliaires à la garantie de transitions cryptographiques transparentes, Sectigo est à la pointe de la cryptographie postquantique, offrant des solutions de pointe pour un avenir à l'épreuve de l'informatique quantique. Grâce aux Sectigo Quantum Labs, nous fournissons aux organisations des conseils d'experts et un plan structuré pour se préparer à l'informatique quantique. Notre stratégie Q.U.A.N.T. dote les entreprises des outils et des connaissances nécessaires pour assurer une transition en douceur tout en protégeant leur infrastructure cryptographique.

Une autre étape cruciale que les entreprises peuvent franchir dès maintenant pour se préparer à l'informatique quantique consiste à mettre en œuvre Sectigo Certificate Management (SCM). Cette solution est conçue pour automatiser l'ensemble du cycle de vie de chaque certificat numérique au sein d'un environnement d'entreprise, garantissant ainsi la capacité de s'adapter rapidement à l'évolution des normes cryptographiques sans perturber les opérations.

Gardez une longueur d'avance sur le virage quantique. Contactez Sectigo dès aujourd'hui pour découvrir comment nous pouvons vous aider à pérenniser votre environnement cryptographique et à sécuriser l'avenir numérique de votre entreprise.

Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !

Articles associés :

Quel est l'objectif de la cryptographie postquantique ?

Explorer les fondements de la cryptographie basée sur un réseau de treillis

Root Causes 256: Qu'est-ce que la récolte et le déchiffrage ?