Afficher les insights sur la cryptographie post-quantique (PQC) asymétrique

Cette page explique comment utiliser le graphique Insights sur la cryptographie post-quantique (PQC) de la page Présentation de la gestion des clés Cloud KMS dans la consoleCloud de Confiance pour évaluer votre inventaire de clés asymétriques et vous préparer à la future modernisation de la cryptographie.

L'avènement du calcul quantique représente une menace potentielle pour les algorithmes de chiffrement à clé publique largement utilisés. Le graphique Insights sur la PQC vous aide à identifier et à inventorier les clés asymétriques classiques. Il vous offre la visibilité nécessaire pour planifier la modernisation future et assurer la résilience à long terme.

Les clés symétriques (telles que celles utilisées pour ENCRYPT_DECRYPT) sont généralement considérées comme résistantes aux attaques d'ordinateurs quantiques et ne sont pas incluses dans ce tableau de bord. Pour en savoir plus sur les algorithmes compatibles avec Cloud KMS, consultez Objectifs et algorithmes des clés.

Avant de commencer

Pour obtenir les autorisations nécessaires pour afficher les insights sur la qualité de la protection du contenu, demandez à votre administrateur de vous accorder le rôle IAM Lecteur Cloud KMS (roles/cloudkms.viewer) sur le projet.

Afficher les insights sur la PQC

Le graphique Insights sur la PQC asymétrique fournit une répartition visuelle de haut niveau de vos clés asymétriques en fonction de la catégorie des algorithmes qu'elles utilisent.

  1. Dans la console Cloud de Confiance , accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Cliquez sur l'onglet Vue d'ensemble, puis accédez au graphique Insights sur le PQC asymétrique.

  3. Facultatif : Cliquez sur un segment du graphique pour afficher le nombre de clés qu'il représente. Vous pouvez également cliquer sur Afficher pour un segment afin d'afficher un tableau des détails des insights sur la PQC asymétrique.

Ce tableau classe les clés dans deux groupes principaux :

  • Post-quantique : clés utilisant des algorithmes de chiffrement spécialement conçus pour résister aux attaques des futurs ordinateurs quantiques.
  • Classique : clés utilisant des algorithmes asymétriques classiques (tels que RSA ou ECC) qui restent sécurisées contre les attaques classiques aujourd'hui, mais sont potentiellement vulnérables aux attaques des futurs ordinateurs quantiques.

Le graphique segmente également ces clés en fonction de leur objectif cryptographique et de leur type de cryptographie.

Comprendre le tableau "Détails"

Le tableau de cette page liste vos clés asymétriques dans le projet actuel et fournit les informations suivantes :

  • Nom de la clé : nom de la clé. Cliquez sur le nom pour accéder à la page Détails de la clé de cette clé spécifique.
  • Emplacement : emplacement où réside la clé.
  • Niveau de protection : niveau de protection de la clé.
  • Objectif : objectif cryptographique de la clé (par exemple, ASYMMETRIC_SIGN).
  • Type de cryptographie : indique si la clé utilise un algorithme PQC ou classique.

Vous pouvez utiliser la barre de filtres au-dessus du tableau pour affiner la liste des clés en fonction de l'un de ces attributs.

Évaluer les clés classiques pour une future modernisation

Vous devez examiner vos clés asymétriques existantes pour les algorithmes asymétriques classiques qui pourraient être remplacés par des alternatives post-quantiques. Ces clés offrent toujours une protection efficace contre les attaques classiques. Toutefois, l'adoption d'algorithmes post-quantiques contribue à assurer une résilience à long terme contre les potentielles futures menaces quantiques. Le tableau suivant liste les principaux objectifs et algorithmes, et indique si chacun d'eux est considéré comme sécurisé post-quantique.

Objectif Algorithmes Type de cryptographie Alternative post-quantique
ASYMMETRIC_SIGN EC_SIGN_* L'analyse classique des données ASYMMETRIC_SIGN avec les algorithmes PQ_SIGN_*
ASYMMETRIC_SIGN RSA_SIGN_* L'analyse classique des données ASYMMETRIC_SIGN avec les algorithmes PQ_SIGN_*
ASYMMETRIC_SIGN PQ_SIGN_* PQC Sécurité post-quantique
ASYMMETRIC_DECRYPT RSA_DECRYPT_* L'analyse classique des données KEY_ENCAPSULATION algorithmes
KEY_ENCAPSULATION Tous PQC Sécurité post-quantique

Adopter les normes PQC plus tôt que tard présente les avantages suivants :

  • Le remplacement des clés ASYMMETRIC_DECRYPT par des clés KEY_ENCAPSULATION permet de protéger vos données chiffrées contre les attaques de type "Récolter maintenant, déchiffrer plus tard" (HNDL, Harvest Now, Decrypt Later). Dans ce type d'attaque, un pirate informatique intercepte votre texte chiffré sans pouvoir le déchiffrer, mais le stocke dans l'espoir de déchiffrer un jour le chiffrement.
  • Le remplacement des clés ASYMMETRIC_SIGN qui utilisent les algorithmes EC_SIGN_* ou RSA_SIGN_* par un algorithme PQ_SIGN_* permet d'assurer la non-répudiation à long terme de vos signatures.

Identifier les clés avec inventaire des éléments cloud

Vous pouvez utiliser inventaire des éléments cloud pour lister et filtrer de manière programmatique vos éléments Cloud KMS par type d'algorithme.

Rechercher dans une organisation

  1. Pour lister les clés qui utilisent des algorithmes post-quantiques tels que PQ_SIGN_*, ML_KEM_* ou KEM_XWING, exécutez la commande suivante :

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  2. Pour lister les clés asymétriques qui n'utilisent pas d'algorithmes post-quantiques (c'est-à-dire les clés asymétriques qui utilisent des algorithmes classiques), exécutez la commande suivante :

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

Rechercher dans un projet

  1. Assurez-vous que votre Google Cloud CLI cible le bon projet :

    gcloud config set project PROJECT_ID
    
  2. Pour lister les clés qui utilisent des algorithmes post-quantiques tels que PQ_SIGN_*, ML_KEM_* ou KEM_XWING, exécutez la commande suivante :

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  3. Pour lister les clés asymétriques qui n'utilisent pas d'algorithmes post-quantiques (c'est-à-dire les clés asymétriques qui utilisent des algorithmes classiques), exécutez la commande suivante :

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

Pour limiter les risques liés aux attaques quantiques, abandonnez les clés asymétriques qui utilisent des algorithmes classiques.

  • Pour les clés de déchiffrement asymétriques : pour les clés utilisées pour le déchiffrement asymétrique, vous pouvez moderniser votre inventaire en remplaçant le chiffrement asymétrique par le chiffrement hybride à clé publique (HPKE). Dans HPKE, vous utilisez des clés avec l'objectif KEY_ENCAPSULATION qui utilisent un algorithme post-quantique tel que ML_KEM_768 pour partager un secret. Pour en savoir plus, consultez Mécanismes d'encapsulation de clé.
  • Pour les clés de signature asymétriques : pour les signatures numériques, vous pouvez moderniser votre inventaire en créant des clés avec l'objectif ASYMMETRIC_SIGN qui utilisent un algorithme post-quantique tel que PQ_SIGN_ML_DSA_65.

Résilience post-quantique des clés symétriques

Contrairement aux clés asymétriques qui sont au centre du graphique Insights sur la PQC asymétrique, les clés symétriques sont généralement considérées comme résistantes aux attaques des ordinateurs quantiques. L'exception notable concerne les clés MAC qui utilisent l'algorithme HMAC-SHA1. Pour en savoir plus sur les différents algorithmes, consultez Objectifs et algorithmes des clés.

Étapes suivantes