Cette page explique comment utiliser le graphique Insights sur la cryptographie post-quantique (PQC) de la page Présentation de la gestion des clés Cloud KMS dans la consoleCloud de Confiance pour évaluer votre inventaire de clés asymétriques et vous préparer à la future modernisation de la cryptographie.
L'avènement du calcul quantique représente une menace potentielle pour les algorithmes de chiffrement à clé publique largement utilisés. Le graphique Insights sur la PQC vous aide à identifier et à inventorier les clés asymétriques classiques. Il vous offre la visibilité nécessaire pour planifier la modernisation future et assurer la résilience à long terme.
Les clés symétriques (telles que celles utilisées pour ENCRYPT_DECRYPT) sont généralement considérées comme résistantes aux attaques d'ordinateurs quantiques et ne sont pas incluses dans ce tableau de bord. Pour en savoir plus sur les algorithmes compatibles avec Cloud KMS, consultez Objectifs et algorithmes des clés.
Avant de commencer
Pour obtenir les autorisations nécessaires pour afficher les insights sur la qualité de la protection du contenu, demandez à votre administrateur de vous accorder le rôle IAM Lecteur Cloud KMS (roles/cloudkms.viewer) sur le projet.
- Vous pouvez également interroger directement le lecteur Cloud Asset.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher les insights sur la PQC
Le graphique Insights sur la PQC asymétrique fournit une répartition visuelle de haut niveau de vos clés asymétriques en fonction de la catégorie des algorithmes qu'elles utilisent.
Dans la console Cloud de Confiance , accédez à la page Gestion des clés.
Cliquez sur l'onglet Vue d'ensemble, puis accédez au graphique Insights sur le PQC asymétrique.
Facultatif : Cliquez sur un segment du graphique pour afficher le nombre de clés qu'il représente. Vous pouvez également cliquer sur Afficher pour un segment afin d'afficher un tableau des détails des insights sur la PQC asymétrique.
Ce tableau classe les clés dans deux groupes principaux :
- Post-quantique : clés utilisant des algorithmes de chiffrement spécialement conçus pour résister aux attaques des futurs ordinateurs quantiques.
- Classique : clés utilisant des algorithmes asymétriques classiques (tels que RSA ou ECC) qui restent sécurisées contre les attaques classiques aujourd'hui, mais sont potentiellement vulnérables aux attaques des futurs ordinateurs quantiques.
Le graphique segmente également ces clés en fonction de leur objectif cryptographique et de leur type de cryptographie.
Comprendre le tableau "Détails"
Le tableau de cette page liste vos clés asymétriques dans le projet actuel et fournit les informations suivantes :
- Nom de la clé : nom de la clé. Cliquez sur le nom pour accéder à la page Détails de la clé de cette clé spécifique.
- Emplacement : emplacement où réside la clé.
- Niveau de protection : niveau de protection de la clé.
- Objectif : objectif cryptographique de la clé (par exemple,
ASYMMETRIC_SIGN). - Type de cryptographie : indique si la clé utilise un algorithme PQC ou classique.
Vous pouvez utiliser la barre de filtres au-dessus du tableau pour affiner la liste des clés en fonction de l'un de ces attributs.
Évaluer les clés classiques pour une future modernisation
Vous devez examiner vos clés asymétriques existantes pour les algorithmes asymétriques classiques qui pourraient être remplacés par des alternatives post-quantiques. Ces clés offrent toujours une protection efficace contre les attaques classiques. Toutefois, l'adoption d'algorithmes post-quantiques contribue à assurer une résilience à long terme contre les potentielles futures menaces quantiques. Le tableau suivant liste les principaux objectifs et algorithmes, et indique si chacun d'eux est considéré comme sécurisé post-quantique.
| Objectif | Algorithmes | Type de cryptographie | Alternative post-quantique |
|---|---|---|---|
ASYMMETRIC_SIGN |
EC_SIGN_* |
L'analyse classique des données | ASYMMETRIC_SIGN avec les algorithmes PQ_SIGN_* |
ASYMMETRIC_SIGN |
RSA_SIGN_* |
L'analyse classique des données | ASYMMETRIC_SIGN avec les algorithmes PQ_SIGN_* |
ASYMMETRIC_SIGN |
PQ_SIGN_* |
PQC | Sécurité post-quantique |
ASYMMETRIC_DECRYPT |
RSA_DECRYPT_* |
L'analyse classique des données | KEY_ENCAPSULATION algorithmes |
KEY_ENCAPSULATION |
Tous | PQC | Sécurité post-quantique |
Adopter les normes PQC plus tôt que tard présente les avantages suivants :
- Le remplacement des clés
ASYMMETRIC_DECRYPTpar des clésKEY_ENCAPSULATIONpermet de protéger vos données chiffrées contre les attaques de type "Récolter maintenant, déchiffrer plus tard" (HNDL, Harvest Now, Decrypt Later). Dans ce type d'attaque, un pirate informatique intercepte votre texte chiffré sans pouvoir le déchiffrer, mais le stocke dans l'espoir de déchiffrer un jour le chiffrement. - Le remplacement des clés
ASYMMETRIC_SIGNqui utilisent les algorithmesEC_SIGN_*ouRSA_SIGN_*par un algorithmePQ_SIGN_*permet d'assurer la non-répudiation à long terme de vos signatures.
Identifier les clés avec inventaire des éléments cloud
Vous pouvez utiliser inventaire des éléments cloud pour lister et filtrer de manière programmatique vos éléments Cloud KMS par type d'algorithme.
Rechercher dans une organisation
Pour lister les clés qui utilisent des algorithmes post-quantiques tels que
PQ_SIGN_*,ML_KEM_*ouKEM_XWING, exécutez la commande suivante :gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'Pour lister les clés asymétriques qui n'utilisent pas d'algorithmes post-quantiques (c'est-à-dire les clés asymétriques qui utilisent des algorithmes classiques), exécutez la commande suivante :
gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
Rechercher dans un projet
Assurez-vous que votre Google Cloud CLI cible le bon projet :
gcloud config set project PROJECT_IDPour lister les clés qui utilisent des algorithmes post-quantiques tels que
PQ_SIGN_*,ML_KEM_*ouKEM_XWING, exécutez la commande suivante :gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'Pour lister les clés asymétriques qui n'utilisent pas d'algorithmes post-quantiques (c'est-à-dire les clés asymétriques qui utilisent des algorithmes classiques), exécutez la commande suivante :
gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
Chemins de modernisation recommandés
Pour limiter les risques liés aux attaques quantiques, abandonnez les clés asymétriques qui utilisent des algorithmes classiques.
- Pour les clés de déchiffrement asymétriques : pour les clés utilisées pour le déchiffrement asymétrique, vous pouvez moderniser votre inventaire en remplaçant le chiffrement asymétrique par le chiffrement hybride à clé publique (HPKE). Dans HPKE, vous utilisez des clés avec l'objectif
KEY_ENCAPSULATIONqui utilisent un algorithme post-quantique tel queML_KEM_768pour partager un secret. Pour en savoir plus, consultez Mécanismes d'encapsulation de clé. - Pour les clés de signature asymétriques : pour les signatures numériques, vous pouvez moderniser votre inventaire en créant des clés avec l'objectif
ASYMMETRIC_SIGNqui utilisent un algorithme post-quantique tel quePQ_SIGN_ML_DSA_65.
Résilience post-quantique des clés symétriques
Contrairement aux clés asymétriques qui sont au centre du graphique Insights sur la PQC asymétrique, les clés symétriques sont généralement considérées comme résistantes aux attaques des ordinateurs quantiques. L'exception notable concerne les clés MAC qui utilisent l'algorithme HMAC-SHA1.
Pour en savoir plus sur les différents algorithmes, consultez Objectifs et algorithmes des clés.
Étapes suivantes
- Consultez les objectifs et algorithmes des clés disponibles.
- En savoir plus sur l'encapsulation de clé