Calcul quantique et blockchain : aligner l'urgence sur la menace réelle
TechFlow SélectionTechFlow Sélection
Calcul quantique et blockchain : aligner l'urgence sur la menace réelle
Le risque de bogues est actuellement bien supérieur à celui des attaques quantiques.
Dédié à des analyses Web3 approfondiesRédaction : Justin Thaler
Traduction : Blockchain en clair
Les prévisions concernant les ordinateurs quantiques liés à la cryptographie sont souvent exagérées, ce qui conduit à des appels urgents à une transition complète vers la cryptographie post-quantique.
Mais ces appels négligent souvent les coûts et risques d'une migration prématurée, ainsi que les profils de risque très différents entre diverses primitives cryptographiques :
La cryptographie post-quantique, malgré ses coûts, nécessite un déploiement immédiat : les attaques « collecter maintenant, déchiffrer plus tard » (Harvest-Now-Decrypt-Later, HNDL) sont déjà en cours, car les données sensibles chiffrées aujourd'hui conserveront leur valeur au moment où les ordinateurs quantiques deviendront opérationnels, même si cela se produit plusieurs décennies plus tard. Les surcoûts de performance et les risques d'implémentation de la cryptographie post-quantique sont réels, mais les attaques HNDL laissent sans choix les données nécessitant une confidentialité à long terme.
Les signatures post-quantiques soulèvent des considérations différentes. Elles ne sont pas vulnérables aux attaques HNDL, et leurs coûts et risques (taille accrue, surcoût de performance, immaturité et erreurs d'implémentation) exigent une approche réfléchie plutôt qu'une migration immédiate.
Ces distinctions sont cruciales. Leur mauvaise compréhension fausse l'analyse coût-bénéfice et pousse les équipes à ignorer des risques de sécurité plus pressants, comme les bogues.
Le véritable défi d'une transition réussie vers la cryptographie post-quantique consiste à aligner l'urgence avec la menace réelle. Ci-dessous, j'expliquerai les idées fausses courantes sur la menace quantique pour la cryptographie — couvrant le chiffrement, les signatures et les preuves à divulgation nulle — en mettant particulièrement l'accent sur leur impact sur les blockchains.
Où en est notre calendrier ?
Malgré certaines affirmations médiatisées, la probabilité d'un ordinateur quantique lié à la cryptographie (CRQC) dans les années 2020 est extrêmement faible.
Par « ordinateur quantique lié à la cryptographie », j'entends un ordinateur quantique tolérant aux fautes et corrigé d'erreurs, capable d'exécuter l'algorithme de Shor à une échelle suffisante pour casser {secp}256{k}1 ou {RSA-2048} en un temps raisonnable (par exemple, en un mois continu de calcul), compromettant ainsi la cryptographie à courbe elliptique ou RSA.
Selon toute interprétation raisonnable des jalons publics et des estimations de ressources, nous sommes encore très loin d'un tel ordinateur quantique. Certaines entreprises affirment qu’un CRQC pourrait apparaître avant 2030, voire avant 2035, mais les progrès connus publiquement ne soutiennent pas ces affirmations.
Pour contextualiser, dans toutes les architectures actuelles — ions piégés, qubits supraconducteurs et systèmes d’atomes neutres — les plateformes quantiques actuelles sont loin de posséder les centaines de milliers, voire millions, de qubits physiques requis pour exécuter l’algorithme de Shor contre {RSA-2048} ou {secp}256{k}1 (selon le taux d’erreur et le schéma de correction).
Le facteur limitant n’est pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité entre qubits, et la profondeur des circuits de correction d’erreurs continue nécessaire pour exécuter des algorithmes quantiques profonds. Bien que certains systèmes dépassent désormais 1 000 qubits physiques, ce chiffre brut est trompeur : ces systèmes manquent de connectivité et de fidélité requises pour des calculs cryptographiquement pertinents.
Des systèmes récents approchent les taux d'erreur physiques où la correction d'erreur quantique commence à fonctionner, mais personne n’a encore démontré plus que quelques qubits logiques avec une correction continue... encore moins les milliers de qubits logiques tolérants aux fautes, à haute fidélité et à circuits profonds nécessaires pour exécuter l’algorithme de Shor. L’écart entre la démonstration du principe de correction d’erreur quantique et son application à l’échelle requise pour la cryptanalyse reste immense.
En bref : tant que le nombre et la fidélité des qubits ne progressent pas de plusieurs ordres de grandeur, les ordinateurs quantiques liés à la cryptographie resteront hors d’atteinte.
Toutefois, les communiqués d’entreprise et les reportages médiatiques peuvent facilement induire en erreur. Voici quelques sources fréquentes de confusion :
Des démonstrations revendiquant un « avantage quantique », actuellement réalisées sur des tâches artificielles. Ces tâches sont choisies non pour leur utilité pratique, mais parce qu’elles peuvent s’exécuter sur le matériel existant tout en semblant montrer une forte accélération quantique — fait souvent flou dans les annonces.
Des entreprises affirmant avoir atteint des milliers de qubits physiques. Cependant, il s’agit de machines de recuit quantique, non de machines à modèle de portes capables d’exécuter l’algorithme de Shor contre la cryptographie à clé publique.
Un usage abusif du terme « qubit logique ». Les qubits physiques sont bruyants. Comme mentionné précédemment, les algorithmes quantiques nécessitent des qubits logiques ; l’algorithme de Shor en exige des milliers. Grâce à la correction d’erreurs quantiques, un qubit logique peut être réalisé à partir de nombreux qubits physiques — généralement des centaines voire des milliers, selon le taux d’erreur. Mais certaines entreprises ont étendu ce terme jusqu’à l’absurde. Par exemple, une annonce récente prétendait réaliser un qubit logique avec un code de distance 2 utilisant seulement deux qubits physiques. C’est absurde : un code de distance 2 ne peut que détecter les erreurs, pas les corriger. Un vrai qubit logique tolérant aux fautes, adapté à la cryptanalyse, nécessite des centaines ou milliers de qubits physiques, pas deux.
Plus généralement, de nombreuses feuilles de route quantiques utilisent le terme « qubit logique » pour désigner des qubits ne supportant que des opérations Clifford. Ces opérations peuvent être simulées efficacement classiquement, donc insuffisantes pour exécuter l’algorithme de Shor, qui nécessite des milliers de portes T corrigées d’erreurs (ou plus généralement, des portes non-Clifford).
Même si une feuille de route vise « des milliers de qubits logiques d’ici X années », cela ne signifie pas que l’entreprise prévoit d’exécuter l’algorithme de Shor pour casser la cryptographie classique cette même année X.
Ces pratiques déforment gravement la perception publique de notre proximité avec un ordinateur quantique lié à la cryptographie, y compris parmi les observateurs avertis.
Cela dit, certains experts sont effectivement enthousiasmés par les progrès. Par exemple, Scott Aaronson a récemment écrit que, compte tenu de « la vitesse incroyable du développement matériel actuel »,
je pense désormais qu’il est une possibilité réelle que nous disposions d’un ordinateur quantique tolérant aux fautes exécutant l’algorithme de Shor avant la prochaine élection présidentielle américaine.
Mais Aaronson a ensuite précisé que sa déclaration ne faisait pas référence à un ordinateur quantique lié à la cryptographie : il considérerait comme une réussite même un ordinateur entièrement tolérant aux fautes exécutant la factorisation de 15 = 3 × 5 — un calcul que l’on peut faire plus vite à la main. Le critère retenu reste l’exécution à petite échelle de l’algorithme de Shor, non à l’échelle cryptographiquement pertinente, car les expériences antérieures de factorisation de 15 sur ordinateur quantique utilisaient des circuits simplifiés, non un algorithme de Shor complet et tolérant aux fautes. Et il existe une raison pour laquelle ces expériences ciblent toujours 15 : l’arithmétique modulo 15 est simple, alors que factoriser un nombre légèrement plus grand comme 21 est nettement plus difficile. Ainsi, les expériences revendiquant la factorisation de 21 reposent souvent sur des indices ou raccourcis supplémentaires.
En somme, l’attente qu’un ordinateur quantique lié à la cryptographie capable de casser {RSA-2048} ou {secp}256{k}1 apparaisse dans les 5 prochaines années — crucial pour la cryptographie pratique — n’est pas soutenue par les progrès connus publiquement.
Même 10 ans resterait ambitieux. Étant donné notre éloignement d’un tel appareil, l’enthousiasme face aux progrès est tout à fait compatible avec un horizon supérieur à une décennie.
Et que dire de la date butoir fixée par le gouvernement américain à 2035 pour achever la migration post-quantique (PQ) complète de ses systèmes ? Je pense qu’il s’agit d’un calendrier raisonnable pour accomplir une transition d’une telle ampleur. Toutefois, ce n’est pas une prédiction que l’ordinateur quantique lié à la cryptographie existera alors.
Dans quels cas les attaques HNDL s’appliquent-elles (et dans quels cas non) ?
Les attaques « collecter maintenant, déchiffrer plus tard » (HNDL) désignent le fait pour un adversaire d’enregistrer maintenant le trafic chiffré, puis de le déchiffrer quand un ordinateur quantique lié à la cryptographie sera disponible. Des adversaires d’État-nation archivent probablement déjà massivement les communications chiffrées du gouvernement américain afin de les déchiffrer bien des années après l’apparition effective d’un CRQC.
C’est pourquoi le chiffrement doit migrer immédiatement — du moins pour toute donnée devant rester confidentielle pendant 10 à 50 ans ou plus.
Mais les signatures numériques — dont dépendent toutes les blockchains — diffèrent du chiffrement : il n’y a pas de secret pouvant être attaqué rétrospectivement.
Autrement dit, même si un ordinateur quantique lié à la cryptographie apparaît, la falsification de signature ne deviendra possible qu’à partir de ce moment-là, mais les signatures passées ne « cachent » pas de secret comme les messages chiffrés. Tant que vous savez qu’une signature numérique a été générée avant l’arrivée du CRQC, elle ne peut pas être falsifiée.
Cela rend la transition vers les signatures numériques post-quantiques moins urgente que celle du chiffrement.
Les principales plateformes agissent en conséquence : Chrome et Cloudflare ont lancé un chiffrement hybride {X}25519+{ML-KEM} pour la sécurité de la couche transport (TLS).
Dans cet article, par souci de lisibilité, j’utilise le terme « chiffrement », bien que strictement parlant, des protocoles comme TLS utilisent des mécanismes d’échange ou d’encapsulation de clé, pas du chiffrement à clé publique proprement dit.
Ici, **« hybride » signifie utiliser simultanément ** un schéma sécurisé post-quantique (c.-à-d. ML-KEM) et un schéma existant ({X}25519), pour bénéficier de garanties combinées de sécurité. Ainsi, ils peuvent (espèrent) bloquer les attaques HNDL via ML-KEM, tout en conservant une sécurité classique via {X}25519 si jamais ML-KEM s’avérait non sécurisé même face aux ordinateurs d’aujourd’hui.
iMessage d’Apple déploie également ce chiffrement hybride post-quantique via son protocole PQ3, tout comme Signal via ses protocoles PQXDH et SPQR.
En revanche, le déploiement des signatures numériques post-quantiques sur les infrastructures critiques réseau est retardé jusqu’à ce que l’ordinateur quantique lié à la cryptographie soit vraiment imminent, car les schémas actuels entraînent une baisse de performance (détaillée plus loin dans cet article).
Les zkSNARKs — arguments succincts non interactifs de connaissance à divulgation nulle, essentiels à l’évolutivité et à la confidentialité des blockchains — se trouvent dans une situation similaire à celle des signatures. En effet, même pour les {zkSNARKs} non sécurisés post-quantique (utilisant la cryptographie à courbe elliptique, comme les schémas actuels de chiffrement et de signature), leur propriété de divulgation nulle est sécurisée post-quantique.
La propriété de divulgation nulle garantit qu’aucune information sur le témoin secret n’est révélée dans la preuve — même face à un adversaire quantique — donc aucun secret n’est disponible à « collecter » pour un déchiffrement ultérieur.
Ainsi, les {zkSNARKs} ne sont pas vulnérables aux attaques « collecter maintenant, déchiffrer plus tard ». De même que les signatures non post-quantiques générées aujourd’hui sont sûres, toute preuve {zkSNARK} générée avant l’arrivée du CRQC est fiable (c.-à-d. l’énoncé prouvé est absolument vrai) — même si le {zkSNARK} utilise la cryptographie à courbe elliptique. Ce n’est qu’après l’arrivée du CRQC que l’attaquant pourra trouver des preuves convaincantes d’énoncés faux.
Quelles implications pour les blockchains ?
La plupart des blockchains ne sont pas exposées aux attaques HNDL :
La plupart des chaînes non privées, comme Bitcoin et Ethereum actuels, utilisent principalement la cryptographie non post-quantique pour l’autorisation des transactions — c’est-à-dire des signatures numériques, pas du chiffrement.
De même, ces signatures ne présentent pas de risque HNDL : les attaques « collecter maintenant, déchiffrer plus tard » concernent les données chiffrées. Par exemple, la blockchain Bitcoin est publique ; la menace quantique réside dans la falsification de signature (déduire la clé privée pour voler des fonds), pas dans le déchiffrement de données de transaction déjà publiques. Cela élimine l’urgence immédiate du chiffrement due aux attaques HNDL.
Malheureusement, même des analyses provenant de sources fiables comme la Réserve Fédérale affirment à tort que Bitcoin est vulnérable aux attaques HNDL, erreur qui exagère injustement l’urgence de la transition vers la cryptographie post-quantique.
Cela dit, une urgence moindre ne signifie pas que Bitcoin peut attendre : il fait face à des délais imposés par la coordination sociale colossale requise pour modifier le protocole.
L’exception actuelle concerne les blockchains privées, dont beaucoup chiffrent ou masquent autrement les destinataires et montants. Une fois que les ordinateurs quantiques pourront casser la cryptographie à courbe elliptique, cette confidentialité pourra être compromise et les utilisateurs anonymisés rétroactivement.
Pour ces blockchains privées, la gravité de l’attaque varie selon la conception. Par exemple, pour Monero, les signatures à anneau basées sur courbe et les images-clés (étiquettes de traçabilité par sortie pour empêcher les doubles dépenses), le grand livre public seul suffit à reconstruire rétrospectivement le graphe des dépenses. Sur d’autres chaînes, les dommages sont plus limités — voir la discussion de Sean Bowe, ingénieur cryptographique et chercheur chez Zcash.
Si la protection des transactions des utilisateurs contre l’exposition par un ordinateur quantique lié à la cryptographie est importante, les blockchains privées devraient migrer vers des primitives post-quantiques (ou des schémas hybrides) dès que possible. Ou alors, adopter des architectures évitant de placer des secrets déchiffrables sur la chaîne.
Le dilemme particulier de Bitcoin : gouvernance + pièces abandonnées
Particulièrement pour Bitcoin, deux réalités poussent à l’urgence de commencer la transition vers les signatures numériques post-quantiques. Aucune n’est liée à la technologie quantique.
Une préoccupation est la lenteur de la gouvernance : Bitcoin évolue lentement. Si la communauté ne parvient pas à s’accorder sur une solution appropriée, toute question controversée pourrait provoquer un hard fork destructeur.
Une autre préoccupation est que la transition de Bitcoin vers les signatures post-quantiques ne peut pas être passive : les propriétaires doivent migrer activement leurs pièces. Cela signifie que les pièces abandonnées, vulnérables au quantique, ne peuvent pas être protégées. Certaines estimations placent à plusieurs millions le nombre de BTC vulnérables au quantique et potentiellement abandonnés, valant des dizaines de milliards de dollars au prix actuel (fin décembre 2025).
Cependant, la menace quantique sur Bitcoin ne sera pas un désastre soudain et nocturne… mais plutôt un processus sélectif et progressif de ciblage. Les ordinateurs quantiques ne casseront pas tout le chiffrement simultanément — l’algorithme de Shor doit cibler une clé publique à la fois. Les premières attaques quantiques seront extrêmement coûteuses et lentes. Ainsi, une fois qu’un ordinateur quantique pourra casser une clé de signature Bitcoin, les attaquants cibleront sélectivement les portefeuilles à haute valeur.
En outre, les utilisateurs évitant la réutilisation d’adresses et n’utilisant pas d’adresses Taproot — qui exposent directement la clé publique sur la chaîne — sont largement protégés même sans modification de protocole : leurs clés publiques restent cachées derrière une fonction de hachage jusqu’à ce que leurs pièces soient dépensées. Lorsqu’ils diffusent finalement une transaction de dépense, la clé publique devient visible, et une courte course en temps réel s’engage entre le dépensateur honnête cherchant à confirmer sa transaction et l’attaquant équipé d’un ordinateur quantique cherchant à trouver la clé privée et dépenser les pièces avant confirmation. Ainsi, les pièces vraiment vulnérables sont celles dont la clé publique est déjà exposée : les sorties point-à-point K initiales, les adresses réutilisées et les portefeuilles Taproot.
Pour les pièces abandonnées vulnérables au quantique, aucune solution simple n’existe. Quelques options incluent :
La communauté Bitcoin accepte un « jour J », après lequel toute pièce non migrée est déclarée détruite.
Laisser les pièces abandonnées vulnérables au quantique accessibles à quiconque possède un ordinateur quantique lié à la cryptographie.
La deuxième option poserait de graves problèmes juridiques et de sécurité. S’approprier des pièces avec un ordinateur quantique sans clé privée — même en prétendant à une propriété légitime ou de bonnes intentions — pourrait soulever de graves accusations selon les lois sur le vol et la fraude informatique dans de nombreuses juridictions.
En outre, l’état « abandonné » repose sur une présomption d’inactivité. Mais personne ne sait vraiment si ces pièces n’ont pas de détenteurs vivants détenant encore les clés. La preuve que vous avez possédé ces pièces pourrait ne pas suffire à autoriser légalement le contournement de la protection cryptographique pour les récupérer. Cette ambiguïté juridique augmente la probabilité que les pièces abandonnées vulnérables au quantique tombent entre les mains d’acteurs malveillants prêts à ignorer les limites légales.
Un dernier problème spécifique à Bitcoin est son faible débit transactionnel. Même si un plan de migration est finalisé, migrer tous les fonds vulnérables au quantique vers des adresses sécurisées post-quantique prendrait plusieurs mois au rythme actuel des transactions Bitcoin.
Ces défis rendent crucial que Bitcoin commence dès maintenant à planifier sa transition post-quantique — non pas parce qu’un ordinateur quantique lié à la cryptographie pourrait arriver avant 2030, mais parce que la gouvernance, la coordination et la logistique techniques nécessaires pour migrer des milliards de dollars de pièces prendront des années à résoudre.
La menace quantique sur Bitcoin est réelle, mais la pression temporelle vient des propres limites de Bitcoin, pas d’un ordinateur quantique imminent. D’autres blockchains font face à leurs propres défis de fonds vulnérables au quantique, mais Bitcoin présente une exposition unique : ses premières transactions utilisaient des sorties pay-to-public-key (point-à-point K), plaçant directement la clé publique sur la chaîne, rendant une part significative de BTC particulièrement vulnérable à un ordinateur quantique lié à la cryptographie. Cette différence technique — ajoutée à l’ancienneté de Bitcoin, sa concentration de valeur, son faible débit et sa rigidité de gouvernance — rend le problème particulièrement grave.
Notez que la vulnérabilité décrite ci-dessus concerne la sécurité cryptographique des signatures numériques de Bitcoin — pas la sécurité économique de la blockchain Bitcoin. Cette sécurité économique découle du mécanisme de consensus Proof-of-Work (PoW), peu vulnérable aux ordinateurs quantiques, pour trois raisons :
Le PoW repose sur le hachage, donc subit seulement une accélération quadratique de l’algorithme de recherche de Grover, contrairement à l’accélération exponentielle de l’algorithme de Shor.
Les surcoûts pratiques de mise en œuvre de la recherche de Grover rendent improbable qu’un ordinateur quantique obtienne même une accélération modeste sur le mécanisme PoW de Bitcoin.
Même avec une accélération significative, celle-ci favoriserait les gros mineurs quantiques par rapport aux petits, mais ne compromettrait pas fondamentalement le modèle de sécurité économique de Bitcoin.
Coûts et risques des signatures post-quantiques
Pour comprendre pourquoi les blockchains ne devraient pas se précipiter dans le déploiement de signatures post-quantiques, examinons les coûts de performance et le fait que notre confiance dans la sécurité post-quantique est encore en évolution.
La plupart des cryptographies post-quantiques reposent sur l’une des cinq méthodes suivantes :
-
Hachage (hashing)
-
Codes (codes)
-
Réseaux euclidiens (lattices)
-
Systèmes multivariés quadratiques (MQ)
-
Isogénies (isogenies).
Pourquoi cinq méthodes différentes ? La sécurité de toute primitive cryptographique post-quantique repose sur l’hypothèse que les ordinateurs quantiques ne peuvent pas résoudre efficacement un problème mathématique spécifique. Plus ce problème est « structuré », plus les protocoles cryptographiques que l’on peut construire sont efficaces.
Mais ceci a un revers : une structure supplémentaire crée davantage de points d’attaque pour les algorithmes. Cela crée un conflit fondamental — des hypothèses plus fortes permettent de meilleures performances, mais augmentent le risque de failles de sécurité (c.-à-d. la probabilité que l’hypothèse se révèle fausse).
En général, les méthodes basées sur le hachage sont les plus conservatrices en termes de sécurité, car nous avons le plus confiance dans l’incapacité des ordinateurs quantiques à attaquer efficacement ces protocoles. Mais elles ont aussi la pire performance. Par exemple, le schéma de signature standardisé par NIST, même avec ses paramètres minimaux, atteint 7-8 Ko. Comparativement, les signatures numériques actuelles basées sur les courbes elliptiques mesurent 64 octets. C’est environ 100 fois plus volumineux.
Les schémas basés sur les réseaux sont aujourd’hui le principal axe de déploiement. NIST a sélectionné un seul schéma de chiffrement et deux des trois algorithmes de signature basés sur les réseaux. Un schéma réseau (ML-DSA, anciennement Dilithium) produit des signatures allant de 2,4 Ko (niveau de sécurité 128 bits) à 4,6 Ko (256 bits) — soit 40 à 70 fois plus grandes que les signatures actuelles basées sur les courbes elliptiques. Un autre schéma réseau, Falcon, a des signatures légèrement plus petites (666 octets pour Falcon-512, 1,3 Ko pour Falcon-1024), mais implique des calculs complexes en virgule flottante, que NIST lui-même identifie comme un défi d’implémentation particulier. Thomas Pornin, l’un des créateurs de Falcon, l’a qualifié de « l’algorithme cryptographique le plus complexe que j’aie jamais implémenté ».
L’implémentation sécurisée des signatures basées sur les réseaux est aussi plus difficile que celle des schémas basés sur les courbes elliptiques : ML-DSA comporte davantage de valeurs intermédiaires sensibles et une logique non triviale d’échantillonnage rejetant, nécessitant des protections contre les canaux auxiliaires et les pannes. Falcon ajoute des problèmes de virgule flottante à temps constant ; en effet, plusieurs attaques par canal auxiliaire sur des implémentations de Falcon ont permis de récupérer la clé secrète.
Ces problèmes constituent des risques immédiats, contrairement à la menace lointaine d’un ordinateur quantique lié à la cryptographie.
Il est raisonnable d’être prudent lors du déploiement de méthodes de cryptographie post-quantique offrant de meilleures performances. Historiquement, des candidats leaders comme Rainbow (un schéma de signature basé sur MQ) et SIKE/SIDH (un schéma de chiffrement basé sur les isogénies) ont été cassés classiquement — c’est-à-dire avec des ordinateurs actuels, pas quantiques.
Cela s’est produit tard dans le processus de standardisation de NIST. C’est la science qui fonctionne correctement, mais cela montre que la standardisation et le déploiement prématurés peuvent être contre-productifs.
Comme mentionné précédemment, l’infrastructure internet adopte une approche réfléchie concernant la migration des signatures. C’est particulièrement pertinent étant donné combien de temps prend une transition cryptographique une fois commencée. La transition depuis les fonctions de hachage MD5 et SHA-1 — techniquement abandonnées depuis des années par les organismes réseau — a pris de nombreuses années pour être effectivement mise en œuvre dans l’infrastructure, et est encore en cours dans certains cas. Cela s’est produit parce que ces schémas étaient complètement cassés, pas simplement potentiellement vulnérables à une technologie future.
Les défis uniques des blockchains comparées à l’infrastructure internet
Heureusement, des blockchains maintenues activement par des communautés de développeurs open source, comme Ethereum ou Solana, peuvent se mettre à niveau plus rapidement que l’infrastructure réseau traditionnelle. En revanche, l’infrastructure réseau traditionnelle bénéficie d’un renouvellement fréquent des clés, ce qui signifie que sa surface d’attaque évolue plus vite que ne peut cibler une machine quantique précoce — un luxe que les blockchains n’ont pas, car les pièces et leurs clés associées peuvent rester exposées indéfiniment.
Néanmoins, dans l’ensemble, les blockchains devraient suivre l’approche réfléchie de migration des signatures utilisée par le réseau. Les signatures dans les deux contextes ne sont pas exposées aux attaques HNDL, et quel que soit le temps de persistance des clés, les coûts et risques d’une migration prématurée vers des schémas post-quantiques immatures restent élevés.
Il existe aussi des défis spécifiques aux blockchains qui rendent une migration prématurée particulièrement risquée et complexe : par exemple, les blockchains ont des exigences uniques sur les schémas de signature, notamment la capacité de regrouper rapidement de nombreuses signatures. Actuellement, les signatures BLS sont souvent utilisées pour leur capacité à agréger très rapidement, mais elles ne sont pas sécurisées post-quantique. Des chercheurs explorent des agrégations de signatures post-quantiques basées sur des SNARKs. Ce travail est prometteur, mais encore à un stade précoce.
Pour les SNARKs, la communauté concentre actuellement ses efforts sur les structures basées sur le hachage comme option post-quantique principale. Mais un changement majeur arrive : je crois que dans les prochains mois et années, les options basées sur les réseaux deviendront des alternatives attractives. Ces alternatives auront de meilleures performances sous tous aspects que les {SNARKs} basés sur le hachage, par exemple des preuves plus courtes — similaires à la manière dont les signatures basées sur les réseaux sont plus courtes que celles basées sur le hachage.
Le problème actuel le plus important : la sécurité d’implémentation
Dans les prochaines années, les vulnérabilités d’implémentation représenteront un risque de sécurité plus grand que les ordinateurs quantiques liés à la cryptographie. Pour les {SNARKs}, le principal souci concerne les bogues (bugs).
Les bogues sont déjà un défi pour les signatures et schémas de chiffrement, mais les {SNARKs} sont bien plus complexes. En effet, un schéma de signature numérique peut être vu comme un {zkSNARK} très simple pour l’énoncé « je connais la clé privée correspondant à ma clé publique, et j’autorise ce message ».
Pour les signatures post-quantiques, le risque immédiat inclut aussi les attaques d’implémentation, comme les attaques par canaux auxiliaires ou par injection de fautes. Ces types d’attaques sont bien documentés et peuvent extraire des clés secrètes de systèmes déployés. Elles constituent une menace plus urgente que les ordinateurs quantiques lointains.
La communauté passera des années à identifier et corriger les bogues dans les {SNARKs}, et à renforcer les implémentations de signatures post-quantiques contre les attaques par canaux auxiliaires et par injection de fautes. Étant donné que les questions autour des {SNARKs} post-quantiques et des schémas d’agrégation de signatures ne sont pas encore réglées, une transition prématurée risque de verrouiller les blockchains dans des solutions sous-optimales. Elles pourraient devoir migrer à nouveau lorsque de meilleures options apparaîtront ou lorsque des vulnérabilités d’implémentation seront découvertes.
Que devrions-nous faire ? 7 recommandations
Étant donné les réalités que j’ai décrites ci-dessus, je conclurai par des recommandations à destination de divers acteurs — des concepteurs aux décideurs. Principe premier : prendre au sérieux la menace quantique, mais ne pas agir sur l’hypothèse qu’un ordinateur quantique lié à la cryptographie arrivera avant 2030. Cette hypothèse n’est pas confirmée par les progrès actuels. Néanmoins, nous pouvons et devrions déjà faire certaines choses :
Nous devrions déployer immédiatement le chiffrement hybride.
Ou du moins là où la confidentialité à long terme est importante et où les coûts sont supportables.
Nombre de navigateurs, CDN et applications de messagerie (comme iMessage et Signal) ont déjà déployé des méthodes hybrides. L’approche hybride — post-quantique + classique — peut contrer les attaques HNDL tout en se couvrir contre d’éventuelles faiblesses des nouveaux schémas.
Utiliser immédiatement les signatures basées sur le hachage lorsque la taille est supportable.
Les mises à jour logicielles / firmware — ainsi que d’autres scénarios à faible fréquence et insensibles à la taille — devraient adopter immédiatement des signatures hybrides basées sur le hachage. (Hybride pour se couvrir contre les erreurs d’implémentation des nouveaux schémas, pas parce que les hypothèses de sécurité du hachage sont douteuses.)
C’est une approche conservatrice, et fournit à la société un « canot de sauvetage » clair dans le scénario improbable d’une arrivée anticipée d’un ordinateur quantique lié à la cryptographie. Sans signature post-quantique préalablement déployée pour les mises à jour logicielles, une fois le CRQC apparu, nous ferions face à un problème de démarrage : nous ne pourrions pas distribuer de façon sûre les correctifs cryptographiques post-quantiques nécessaires pour nous en protéger.
Les blockchains n’ont pas besoin de se précipiter dans le déploiement de signatures post-quantiques — mais doivent commencer à planifier immédiatement.
Les développeurs de blockchains devraient suivre l’exemple de la communauté PKI réseau, adoptant une approche réfléchie pour le déploiement des signatures post-quantiques. Cela permet aux schémas de continuer à mûrir en termes de performance et de compréhension de leur sécurité. Cela donne aussi aux développeurs le temps de reconfigurer leurs systèmes pour gérer des signatures plus grandes et développer de meilleures techniques d’agrégation.
Pour Bitcoin et autres L1 : la communauté doit définir un chemin de migration et une politique concernant les fonds vulnérables au quantique potentiellement abandonnés. Une migration passive est impossible, donc la planification est cruciale. Et puisque Bitcoin fait face à des défis non techniques spécifiques — gouvernance lente et grand nombre d’adresses vulnérables au
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
a16z
