Introduction
L'utilisation de la cryptographie à clé publique basée sur les lattice, telle que ML-KEM, est souvent justifiée par la faible probabilité de cryptanalyse. Cependant, cette justification est trompeuse et ignore les risques réels liés à l'implémentation et aux spécifications.
Contexte Technique
Les spécifications de ML-KEM, telles que Kyber, reposent sur la dureté du problème de learning-with-errors (LWE) dans les lattice modulaires (MLWE). Cependant, les attaques contre ces systèmes ne se limitent pas aux seules cryptanalyses. Les problèmes de mise en œuvre, tels que les attaques de chronométrage, peuvent également compromettre la sécurité. De plus, les spécifications elles-mêmes peuvent présenter des failles, comme les écarts de sécurité entre la spécification et la mise en œuvre.
Les exemples de KyberSlash et de Clangover montrent que les logiciels de référence pour Kyber ont déjà subi plusieurs correctifs de sécurité d'urgence pour des attaques de chronométrage. Cela démontre que les risques ne sont pas uniquement liés à la cryptanalyse, mais également à la mise en œuvre.
Analyse et Implications
Les déclarations selon lesquelles les risques de ML-KEM sont faibles en raison de l'absence de cryptanalyse connue sont trompeuses. Elles ignorent les risques liés à la mise en œuvre et aux spécifications. Les attaques contre les logiciels de cryptographie à clé publique basés sur les lattice peuvent être plus faciles à réaliser que les attaques de cryptanalyse.
Les écarts de sécurité entre la spécification et la mise en œuvre, tels que les écarts de sécurité dans les réductions de sécurité, peuvent également présenter des risques. Les exemples de FrodoKEM et de Kyber montrent que ces écarts peuvent être exploités pour compromettre la sécurité.
Perspective
Il est essentiel de prendre en compte les risques liés à la mise en œuvre et aux spécifications lors de l'évaluation de la sécurité des systèmes de cryptographie à clé publique basés sur les lattice. Les déclarations selon lesquelles les risques sont faibles en raison de l'absence de cryptanalyse connue sont insuffisantes pour garantir la sécurité.
Il est nécessaire de surveiller les mises à jour de sécurité et les correctifs pour les logiciels de cryptographie à clé publique basés sur les lattice, ainsi que les recherches sur les attaques potentielles contre ces systèmes. La prise en compte de ces risques permettra de mieux évaluer la sécurité de ces systèmes et de prendre des décisions éclairées pour leur utilisation.