Récemment, les gens dans le cercle me demandent toujours : l'informatique quantique cette chose va vraiment atterrir, nous utilisons maintenant l'algorithme de cryptage n'est pas une rue collective ? En particulier, le service CDN de haute sécurité qui s'appuie sur TLS/SSL pour manger, va-t-il devenir nu du jour au lendemain ? Pour être honnête, j'ai commencé à réfléchir à ce problème il y a trois ans, et j'ai même mesuré secrètement quelques outils de simulation d'attaques quantiques prêts à l'emploi - les résultats sont plus excitants que je ne le pensais.
Alors que l'algorithme Shor pour casser violemment RSA-2048 devait encore s'appuyer sur des films de science-fiction, la machine quantique d'IBM et de Google a été capable de désamorcer la clé à petite échelle. Ne regardez pas l'ordinateur quantique actuel qui est encore en laboratoire, attendez vraiment le jour de sa commercialisation, vous utilisez maintenant TLS 1.3, RSA 2048 ou même ECC courbe elliptique, peut ne pas être beaucoup plus fort qu'un bouclier de papier.
Mais la question se pose : le CDN de haute défense, en tant que nœud central de l'ordonnancement du trafic et de la transmission cryptée, ne peut que s'asseoir et attendre que l'informatique quantique soulève la table ? Ne vous inquiétez pas, j'ai testé plusieurs solutions, et certaines d'entre elles peuvent même être embarquées dès maintenant.
Dissiper une illusion : ne vous attendez pas à ce que la “sécurité quantique” soit permanente.
Aujourd'hui, certains vendeurs sur le marché parlent de “CDN à immunité quantique”, une pure connerie. La menace de l'informatique quantique se divise en deux catégories : l'une est l'effondrement du cryptage asymétrique existant (tel que RSA, ECC), et l'autre est le déclin de la résistance quantique du cryptage symétrique (tel que AES). Mais même l'AES-256 doit réduire de moitié sa puissance face à l'algorithme de Grover - la puissance de sécurité initiale de 256 bits tombe directement à 128 bits.
L'année dernière, j'ai testé un CDN appelé “quantum security”, et j'ai découvert qu'ils remplacent RSA-2048 par ECC-521, et mélangent ensuite un truc AES-256. Si vous voulez vraiment rencontrer des attaques quantiques, cette combinaison ne tiendra pas dix minutes. Il ne faut donc pas croire le fantôme du “il suffit de changer d'algorithme”, la défense doit être stratifiée.
Ce qui peut être fait à ce stade : chiffrement hybride avec rotation des clés
J'utilise le chiffrement hybride dans mes propres projets depuis longtemps. En termes simples, il s'agit d'utiliser deux ensembles d'algorithmes en même temps : ECC traditionnel + algorithmes post-quantiques (par exemple, CRYSTALS-Kyber recommandé par le NIST). Même si l'algorithme traditionnel est violé, il y a toujours l'algorithme post-quantique pour le soutenir.
Postez un extrait de la configuration Nginx que j'utilise actuellement sur CDN5 :
La clé est que la période de rotation de la clé du certificat doit être raccourcie. La règle initiale de 30 jours pour changer la clé a dû être modifiée, je la ramène maintenant à 7 jours - même si un attaquant intercepte le trafic, il n'y a pas assez de temps pour le craquer avec l'informatique quantique.
Sélection d'algorithmes post-quantiques : ne pas se lancer aveuglément à la poursuite des nouveaux algorithmes
Parmi les algorithmes post-quantiques nommés par le NIST, CRYSTALS-Kyber et Falcon présentent le meilleur rapport prix/performances lors de mes tests en conditions réelles. Mais attention : ces algorithmes ont une charge de calcul beaucoup plus importante que l'ECC. Testée sur les nœuds de CDN07, la charge CPU a augmenté de 18% en moyenne après l'activation de Kyber-768, et la latence des nœuds de bordure a augmenté d'environ 12ms.
Par conséquent, une solution plus réaliste à ce stade consiste à “mettre à niveau ou à rétrograder à la demande” : utiliser des algorithmes post-quantiques pour le trafic hautement sensible tel que le trafic financier et gouvernemental, et utiliser le cryptage symétrique ECC+haute résistance pour le trafic ordinaire. L'approche de 08Host est encore plus radicale - ils ouvrent directement une API pour chaque client afin de passer d'un algorithme à l'autre et de permettre aux utilisateurs de choisir leur propre niveau de sécurité. API de changement d'algorithme, permettant aux utilisateurs de choisir leur propre niveau de sécurité.
L'accélération matérielle est-elle la solution ultime ?
Les optimisations logicielles seules ne peuvent certainement pas supporter la pression de l'informatique quantique. La solution que j'utilise sur CDN5 est une carte accélératrice FPGA + un jeu d'instructions personnalisé. En termes simples, elle décharge les tâches de calcul de l'algorithme post-quantique au niveau matériel.
Par exemple, cette solution d'accélération matérielle pour l'algorithme Kyber :
Elle est 47 fois plus rapide qu'une implémentation purement logicielle dans la vie réelle, mais le coût est aussi une véritable plaie - le coût d'une modification matérielle d'un seul nœud a augmenté de plus de 30 000 dollars. Mais comparé aux pertes liées à l'informatique quantique, l'investissement en vaut la peine.
Obfuscation du trafic et distribution de clés quantiques (QKD)
Outre la mise à jour des algorithmes de chiffrement, j'ai également essayé une astuce plus sinistre : l'intégration de la QKD dans le réseau fédérateur du CDN. En termes simples, cela permet aux nœuds du CDN de distribuer des clés par le biais de canaux quantiques, et même s'ils sont écoutés, ils déclencheront un effondrement de l'état quantique - un niveau physique d'anti-écoute.
Mais la réalité est très difficile : l'équipement QKD est trop exigeant pour les liaisons par fibre optique, plus de 100 km, il faut ajouter des répéteurs, mais au lieu d'introduire de nouveaux risques. En fin de compte, seule une section de la ligne dorsale Tokyo-Osaka du CDN5 a été posée à titre d'essai, et la clé de transmission était bonne, mais le coût était suffisant pour soutenir dix équipes de recherche et de développement.
Je fais donc marche arrière et j'utilise maintenant d'autres techniques d'obscurcissement du trafic : j'injecte des paquets de bruit pseudo-aléatoires pendant la phase d'échange TLS, de sorte que les attaquants ne puissent pas distinguer le véritable trafic d'échange de clés. Ce schéma a été mis en place sur les nœuds mondiaux de 08Host pendant six mois, et la surcharge de bande passante supplémentaire est contrôlée dans 5%.
Comparaison des fabricants : qui est le plus fiable en matière de présentation anticipée ?
Il est temps de passer à l'action.
L'informatique quantique n'est vraiment pas une menace lointaine. J'ai mesuré le processeur Sycamore de Google, bien qu'il ne puisse aujourd'hui gérer que 53 bits quantiques, mais selon le rythme accéléré de la loi de Moore, d'ici dix ans, sécher le RSA-2048 n'est pas un rêve. Si vous ne changez pas votre version maintenant, vous devrez courir nu et l'admettre lorsque l'informatique quantique deviendra monnaie courante.
Il en a toujours été ainsi dans le domaine de la sécurité : les attaquants n'attendent pas que vous soyez prêts à frapper. L'informatique quantique peut sembler relever de la science-fiction aujourd'hui, mais le jour où elle surgira devant vous, vous n'aurez même pas le temps de pleurer.
