La cryptographie à clé publique utilise les mathématiques pour créer deux clés : une clé publique pour le cryptage des messages et une clé privée pour leur décryptage.
Cela permet de s'assurer que seul le destinataire prévu peut lire le message. Les principaux algorithmes utilisés sont RSA, DSA et ECC, chacun ayant ses propres avantages en termes de performances, de rapidité et de sécurité.
RSA est le plus ancien et est connu pour sa puissance. L'ECC offre une meilleure sécurité avec des clés plus petites, ce qui le rend adapté aux appareils dont la puissance de traitement est limitée. DSA, que le gouvernement fédéral américain soutient, est efficace pour la signature et la vérification des messages. Ces méthodes cryptographiques prennent en charge les certificats numériques pour la navigation sécurisée sur le web et d'autres utilisations de l'identité numérique. Avec les progrès de l'informatique quantique, de nouveaux algorithmes post-quantiques sont en cours de développement pour maintenir la sécurité à l'avenir.
RSA, DSA et ECC sont les principaux algorithmes de chiffrement pour la création de clés dans la Public Key Infrastructure (PKI). La PKI permet de gérer l'identité et la sécurité dans les communications et les réseaux en ligne. La technologie clé qui sous-tend la PKI est la cryptographie à clé publique, qui utilise deux clés apparentées : une clé publique et une clé privée.
Ces clés fonctionnent ensemble pour crypter et décrypter les messages. Cette méthode est appelée cryptage asymétrique. Elle diffère du cryptage symétrique, qui utilise une seule clé pour les deux processus.
L'avantage du cryptage asymétrique est que la Public Key peut être partagée ouvertement, tandis que la Private Key reste en sécurité sur l'appareil de l'utilisateur. Cette configuration offre une meilleure sécurité que le chiffrement symétrique.
Comment la cryptographie à clé publique s'appuie-t-elle sur le chiffrement ?
La cryptographie à clé publique utilise des algorithmes mathématiques pour créer des clés. La Public Key est une série de nombres aléatoires utilisés pour crypter les messages. Seule la personne à qui le message est destiné peut le déverrouiller et le lire en utilisant une Private Key, qui reste secrète et connue d'elle seule.
Les Public Key sont fabriquées à l'aide d'algorithmes complexes qui les relient à leurs Private Key afin d'empêcher les attaques par force brute. La taille de la Public Key, mesurée en bits, influe sur sa sécurité. Par exemple, les clés RSA de 2048 bits sont couramment utilisées dans les SSL Certificates, les signatures numériques et divers certificats numériques. Cette taille de clé offre une sécurité suffisante pour dissuader les pirates. Des organisations telles que le CA/Browser Forum fixent des normes minimales pour la taille des clés.
La Public Key Infrastructure (PKI) permet d'utiliser les certificats numériques que nous rencontrons souvent lors de l'utilisation de sites web, d'applications mobiles, de documents en ligne et d'appareils connectés. Une application bien connue de la PKI est le Transport Layer Security (TLS) et le Secure Socket Layer (SSL) basés sur la norme X.509, qui constituent la base du protocole HTTPS pour la navigation sécurisée sur le web.
Les certificats numériques sont également utilisés pour la signature du code des applications, les signatures numériques et d'autres aspects de l'identité et de la sécurité numériques.
Algorithmes RSA - DSA - ECC
Trois algorithmes principaux sont utilisés pour générer des clés dans la Public Key Infrastructure (PKI) : l'algorithme RSA (Rivest-Shamir-Adleman), l'algorithme de signature numérique (DSA) et la cryptographie à courbe elliptique (ECC).
L'algorithme RSA, créé en 1977 par Ron Rivest, Adi Shamir et Leonard Adleman, repose sur la difficulté de factoriser de grands nombres premiers. Il a été le premier à mettre en œuvre le système Public Key / Private Key. Aujourd'hui, la longueur de clé la plus courante pour RSA est de 2048 bits.
L'ECC est basé sur les mathématiques des courbes elliptiques et offre une sécurité similaire à celle de RSA et DSA, mais avec des clés plus courtes. C'est le plus récent des trois algorithmes. L'algorithme de signature numérique à courbe elliptique (ECDSA) a été reconnu en 1999, suivi par l'accord et le transport de clés utilisant la cryptographie à courbe elliptique (Key Agreement and Key Transport Using Elliptic Curve Cryptography) en 2001. L'ECC est certifié par la FIPS et soutenu par la National Security Agency (NSA).
DSA utilise une méthode différente de RSA pour générer les Public Key et Private Key, en s'appuyant sur l'exponentiation modulaire et le problème du logarithme discret. Il offre des niveaux de sécurité similaires à ceux de RSA avec des clés de même taille. Le DSA a été introduit par le National Institute of Standards and Technology (NIST) en 1991 et est devenu une norme officielle en 1993.
Plusieurs algorithmes de chiffrement peuvent être utilisés conjointement. Par exemple, les serveurs Apache peuvent gérer à la fois des clés RSA et DSA. Cette approche améliore la sécurité.
Comparaison de la force de chiffrement ECC
La principale différence entre l'ECC et le RSA / DSA est que l'ECC offre une plus grande sécurité pour une même longueur de clé. Une clé ECC est plus sûre qu'une clé RSA ou DSA de même taille.
| Taille de la clé symétrique (bits) | Taille de la clé RSA (bits) | Taille de la clé ECC (bits) |
| 80 | 1024 | 160 |
| 112 | 2048 | 224 |
| 128 | 3072 | 256 |
| 192 | 7680 | 384 |
| 256 | 15360 | 521 |
L'ECC permet d'obtenir une puissance cryptographique similaire avec des clés beaucoup plus petites (environ dix fois plus petites). Par exemple, pour atteindre la puissance cryptographique d'une clé symétrique de 112 bits, il faut une clé RSA de 2048 bits, alors qu'une clé ECC de 224 bits suffit.
Ces clés plus courtes nécessitent moins de puissance de traitement pour le cryptage et le décryptage des données. L'ECC est donc idéal pour les appareils mobiles, l'internet des objets et d'autres applications aux capacités informatiques limitées.
Pourquoi l'ECC n'a-t-il pas été largement utilisé ?
RSA est la méthode de chiffrement la plus populaire, mais l'ECC est de plus en plus connu. RSA a l'avantage d'être utilisé depuis plus longtemps. Cependant, il y a des raisons pour lesquelles certaines personnes peuvent choisir d'éviter l'ECC :
- Courbe d'apprentissage : l'ECC est plus difficile à comprendre et à adopter que le RSA. Cette complexité peut conduire à des erreurs, ce qui peut nuire à la cybersécurité.
- Risques pour la sécurité : L'ECC est exposé à des attaques par canaux latéraux, qui pourraient ouvrir la porte à des tentatives de force brute. Il est également sensible aux attaques de sécurité par torsion, bien qu'il existe des moyens de s'en protéger.
L'informatique quantique
L'informatique quantique devrait modifier considérablement les méthodes de chiffrement. Les algorithmes traditionnels tels que RSA et ECC seront vulnérables aux attaques quantiques, ce qui rendra vital pour les organisations le passage à de nouvelles techniques de chiffrement. Heureusement, plusieurs nouveaux algorithmes sont déjà en cours de développement.
Le NIST a évalué les algorithmes actuels de cryptographie post-quantique et a sélectionné quatre options efficaces : ML-KEM, CRYSTALS-Dilithium, SPHINCS+ et FALCON. Il est essentiel pour les organisations de rester informées de ces progrès et des nouvelles normes pour aller de l'avant.
