Les avancées dans le domaine de l'informatique quantique menacent les mécanismes cryptographiques utilisés depuis longtemps par TLS. Google estime que la sécurité de la cryptographie asymétrique utilisée dans TLS pourrait être compromise par les ordinateurs quantiques dès 2029 si les progrès de la recherche se poursuivent au rythme actuel.
Pour atténuer ce risque,les équilibreurs de charge Google Cloud sont compatibles avec les fonctionnalités d'échange de clés post-quantique, conçues pour résister aux capacités théoriques des ordinateurs quantiques. Ces algorithmes ont été développés et validés par le NIST (National Institute of Standards and Technology). Leur utilisation dans TLS est conforme aux normes en cours d'élaboration par l'IETF.
Pour en savoir plus, consultez Cryptographie post-quantique dans Google Cloud.
Comment l'informatique quantique menace la sécurité TLS
Les ordinateurs quantiques pertinents en termes de cryptographie pourront permettre des attaques contre deux composants essentiels de la sécurité TLS : l'échange de clés et l'authentification.
Attaques contre l'échange de clés
Les ordinateurs quantiques pertinents sur le plan cryptographique pourront déchiffrer les algorithmes d'échange de clés utilisés lors du handshake TLS, révélant ainsi les clés symétriques qui chiffrent les sessions TLS et exposant le trafic de la couche application en texte clair. Cela s'applique même aux connexions TLS qui utilisent des méthodes d'échange de clés avec confidentialité persistante parfaite, telles que ECDHE. Un pirate informatique qui enregistre une session TLS complète aujourd'hui pourrait même la déchiffrer dans plusieurs années, lorsque les capacités de l'informatique quantique seront disponibles. C'est ce qu'on appelle une attaque "récolter maintenant, déchiffrer plus tard".
Attaques contre l'authentification
Les ordinateurs quantiques pertinents sur le plan cryptographique pourront déchiffrer les clés utilisées dans les certificats TLS ou les autorités de certification, ce qui permettra à un pirate informatique de revendiquer faussement l'identité d'un client ou d'un serveur. Utilisé avec une attaque de type "man-in-the-middle", cela pourrait permettre à un pirate informatique de voir et de manipuler le contenu des sessions chiffrées avec TLS. Contrairement aux attaques contre l'échange de clés, les attaques contre l'authentification ne peuvent pas être effectuées rétrospectivement sur le trafic enregistré. Toutefois, les attaques contre l'authentification menacent considérablement l'intégrité de l'authentification Web.
Les chiffrements symétriques ne sont pas menacés
Les algorithmes de chiffrement cryptographiques symétriques, tels que AES-128, AES-256 et ChaCha20, utilisés pour chiffrer les sessions TLS une fois le handshake et l'authentification terminés, ne sont pas menacés par l'informatique quantique.
Échange de clés post-quantique
Pour atténuer le risque d'attaques "récolter maintenant, déchiffrer plus tard", nous vous recommandons d'activer l'échange de clés post-quantique pour les connexions entre les clients et les équilibreurs de charge.
L'échange de clés post-quantique n'est compatible qu'avec les connexions TLS de frontend, c'est-à-dire les connexions entre le client et l'équilibreur de charge.
L'échange de clés post-quantique peut être activé pour les équilibreurs de charge suivants :
- Équilibreurs de charge d'application externes globaux
- Équilibreurs de charge d'application classiques
- Équilibreurs de charge d'application externes régionaux
- Équilibreurs de charge d'application internes interrégionaux
- Équilibreurs de charge d'application internes régionaux
- Équilibreurs de charge réseau proxy externes mondiaux
- Équilibreurs de charge réseau proxy classiques
X25519MLKEM768 est la forme particulière d'échange de clés post-quantique compatible avec les équilibreurs de charge Google Cloud . Il s'agit d'une méthode d'échange de clés hybride, ce qui signifie qu'elle est sécurisée par des mécanismes cryptographiques classiques et post-quantiques.
Lorsque l'échange de clés post-quantique est activé, l'équilibreur de charge l'utilise pour se connecter aux clients qui annoncent la compatibilité avec TLS 1.3 et X25519MLKEM768. Les connexions aux clients qui ne sont pas compatibles avec TLS 1.3 ou X25519MLKEM768 ne sont pas affectées.
Lorsque l'échange de clés post-quantique est activé, l'équilibreur de charge l'utilise lorsqu'un client qui se connecte annonce la compatibilité avec TLS 1.3 et le mécanisme d'échange de clés X25519MLKEM768. Les connexions provenant de clients qui ne sont pas compatibles avec TLS 1.3 ou X25519MLKEM768 ne sont pas affectées.
Activer l'échange de clés post-quantique
Vous pouvez activer l'échange de clés post-quantique sur votre équilibreur de charge à l'aide du paramètre post-quantum-key-exchange dans une règle SSL. Pour ce faire, vous pouvez associer une nouvelle règle SSL à votre TargetHttpsProxy ou TargetSslProxy existant, ou modifier une règle SSL déjà associée.
Pour savoir comment créer des règles SSL avec le paramètre d'échange de clés post-quantique, consultez Créer des règles SSL.
Nous vous recommandons d'activer l'échange de clés post-quantique dès maintenant, car il offre une protection immédiate contre les attaques de type "Récolter maintenant, déchiffrer plus tard". Les clients correctement implémentés ne devraient pas rencontrer de problèmes. Toutefois, si votre application cliente est incompatible, vous pouvez définir post-quantum-key-exchange sur DEFERRED, ce qui vous permet de retarder l'activation de l'échange de clés post-quantique jusqu'en octobre 2027, ce qui vous laisse le temps de rendre votre application compatible.
Déploiement de l'échange de clés post-quantique
Étant donné que la protection de sécurité offerte par l'échange de clés post-quantique est importante, Google Cloud commencera à l'activer par défaut en octobre 2026. Cela affectera les équilibreurs de charge auxquels aucune règle SSL n'est associée ou qui utilisent une règle SSL sans paramètre d'échange de clés post-quantique. Si nécessaire, vous pouvez différer l'activation de l'échange de clés post-quantique jusqu'en octobre 2027 à l'aide du paramètre DEFERRED.
La chronologie suivante indique le déploiement prévu de la compatibilité avec l'échange de clés post-quantique pour les équilibreurs de charge.
| Chronologie | État de l'échange de clés post-quantique |
|---|---|
| Maintenant | Désactivé par défaut, activé uniquement lorsqu'il est défini sur ENABLED |
| Après octobre 2026 | Activé par défaut, désactivé lorsqu'il est défini sur DEFERRED |
| Après octobre 2027 | Toujours activé |