En 2026, les ordinateurs quantiques ne disposent pas de la puissance de calcul nécessaire pour casser les algorithmes cryptographiques couramment utilisés ; toutefois, compte tenu du temps requis pour la transition vers une cryptographie résistante à l’informatique quantique, les cryptographes conçoivent déjà de nouveaux algorithmes en prévision du passage à l’ an 2020, ou « jour Q », date à laquelle les algorithmes actuels seront vulnérables aux attaques quantiques. Le théorème de Mosca fournit le cadre d’analyse des risques permettant aux organisations d’identifier la rapidité avec laquelle elles doivent entamer cette transition.
Leurs travaux ont suscité l'intérêt des milieux universitaires et industriels grâce à la série de conférences PQCrypto, organisée depuis 2006, à plusieurs ateliers sur la cryptographie quantique organisés par l' Institut européen des normes de télécommunications (ETSI) et à l' Institut d'informatique quantique . L'existence supposée de programmes de type « récolte immédiate, déchiffrement ultérieur » a également été perçue comme une motivation pour l'introduction précoce d'algorithmes post-quantiques, car les données enregistrées aujourd'hui pourraient rester sensibles pendant de nombreuses années.
Contrairement à la menace que représente l'informatique quantique pour les algorithmes à clé publique actuels, la plupart des algorithmes cryptographiques symétriques et des fonctions de hachage actuels sont considérés comme relativement sûrs face aux attaques par ordinateurs quantiques. Bien que l' algorithme de Grover quantique accélère les attaques contre les chiffrements symétriques, doubler la taille de la clé permet de les contrer efficacement. Ainsi, la cryptographie symétrique post-quantique ne devrait pas différer significativement de la cryptographie symétrique actuelle.
En 2024, l’ Institut national américain des normes et de la technologie (NIST) a publié les versions finales de ses trois premières normes de cryptographie post-quantique .
récolter maintenant, déchiffrer plus tard », dans lequel les données chiffrées sont interceptées et stockées dans l’intention de les déchiffrer une fois que des ordinateurs quantiques à grande échelle seront disponibles.Les stratégies de migration mettent souvent l'accent sur la crypto-agilité, c'est-à-dire la capacité des systèmes à remplacer rapidement les primitives cryptographiques sans modifications architecturales majeures. Des déploiements cryptographiques hybrides, où des algorithmes classiques et post-quantiques sont utilisés simultanément, ont été testés dans des protocoles tels que Transport Layer Security (TLS) afin de réduire les risques liés à la transition.
En 2024, le National Institute of Standards and Technology (NIST) a finalisé ses premières normes de cryptographie post-quantique, y compris l'encapsulation de clés basée sur un réseau de modules et des schémas de signature numérique, fournissant une base pour une migration structurée dans les systèmes gouvernementaux et commerciaux.
Les organisations internationales et les agences nationales de cybersécurité ont publié des feuilles de route coordonnées décrivant des calendriers d’adoption par étapes, des évaluations des risques et des lignes directrices en matière d’acquisition afin de faciliter une transition systématique.
Préparation
Les infrastructures numériques nécessitent une cybersécurité robuste. Les systèmes cryptographiques sont essentiels pour protéger la confidentialité et l'authenticité des données. L'informatique quantique constituera une menace pour de nombreux algorithmes cryptographiques classiques, utilisés pour atteindre ces objectifs de protection mais qui ne sont sûrs que face aux ordinateurs classiques . Les données actuellement non sécurisées contre l'informatique quantique, qu'elles soient stockées ou transmises, et qui doivent rester confidentielles pendant une longue période, pourraient être compromises à l'avenir par des ordinateurs quantiques (attaques de type « récupération immédiate, déchiffrement ultérieur »). De plus, l'authenticité des données sera également mise en péril par les ordinateurs quantiques. La menace que représente l'informatique quantique pour la cybersécurité peut être contrée par une transition rapide, globale et coordonnée vers la cryptographie post-quantique (PQC).
Algorithmes
La recherche en cryptographie post-quantique se concentre principalement sur six approches différentes :
Cryptographie basée sur les réseaux
Cryptographie multivariée
Cryptographie basée sur le hachage
Notez que tous les schémas ci-dessus sont des signatures à usage unique ou à durée limitée. Moni Naor et Moti Yung ont inventé le hachage UOWHF en 1989 et ont conçu une signature basée sur le hachage (le schéma Naor-Yung) qui peut être utilisée de manière illimitée (la première signature de ce type qui ne nécessite pas de propriétés de trappe).
Cryptographie basée sur les codes
Cela inclut les systèmes cryptographiques reposant sur des codes correcteurs d'erreurs , tels que les algorithmes de chiffrement McEliece et Niederreiter , ainsi que le schéma de signature Courtois, Finiasz et Sendrier associé . La signature McEliece originale, utilisant des codes Goppa aléatoires , a résisté à l'examen pendant plus de 40 ans. Cependant, de nombreuses variantes du schéma McEliece, visant à structurer davantage le code utilisé afin de réduire la taille des clés, se sont révélées vulnérables. Le Groupe d'étude sur la cryptographie post-quantique, parrainé par la Commission européenne, a recommandé le système de chiffrement à clé publique McEliece comme candidat pour une protection à long terme contre les attaques d'ordinateurs quantiques. En 2025, le NIST a annoncé son intention de normaliser l'algorithme de chiffrement HQC basé sur des codes.
Cryptographie basée sur l'isogénie
Ces systèmes cryptographiques exploitent les propriétés des graphes d'isogénie des courbes elliptiques (et des variétés abéliennes de dimension supérieure ) sur les corps finis, en particulier les graphes d'isogénie supersinguliers , pour créer des systèmes cryptographiques. Parmi les représentants les plus connus de ce domaine figurent l' échange de clés de type Diffie-Hellman , CSIDH , qui peut servir de remplacement direct et résistant aux attaques quantiques aux méthodes d'échange de clés Diffie-Hellman et Diffie-Hellman sur courbes elliptiques largement utilisées aujourd'hui , et le schéma de signature SQIsign , basé sur l'équivalence catégorique entre les courbes elliptiques supersingulières et les ordres maximaux dans certains types d'algèbres de quaternions . Une autre construction largement remarquée, SIDH/SIKE , a été cassée de manière spectaculaire en 2022 L'attaque est cependant spécifique à la famille de schémas SIDH/SIKE et ne se généralise pas à d'autres constructions basées sur l'isogénie.
résistance quantique à clé symétrique
Grâce à l'utilisation de clés suffisamment grandes, les systèmes de cryptographie symétrique comme AES et SNOW 3G résistent déjà aux attaques par ordinateur quantique. De plus, les systèmes et protocoles de gestion de clés qui utilisent la cryptographie symétrique plutôt que la cryptographie à clé publique, tels que Kerberos et la structure d'authentification des réseaux mobiles 3GPP , sont également intrinsèquement sécurisés contre les attaques par ordinateur quantique. Compte tenu de son déploiement à grande échelle, certains chercheurs recommandent un recours accru à la gestion de clés symétriques de type Kerberos comme moyen efficace d'accéder dès aujourd'hui à la cryptographie post-quantique.
Réductions de sécurité
En cryptographie, il est souhaitable de démontrer l'équivalence entre un algorithme cryptographique et un problème mathématique difficile connu. Ces démonstrations, souvent appelées « réductions de sécurité », servent à illustrer la difficulté de casser l'algorithme de chiffrement. Autrement dit, la sécurité d'un algorithme cryptographique donné est ramenée à celle d'un problème difficile connu. Les chercheurs s'intéressent activement aux réductions de sécurité dans le contexte de la cryptographie post-quantique. Les résultats actuels sont présentés ici :
Cryptographie basée sur les réseaux – Signature Ring-LWE
Cryptographie basée sur les réseaux – NTRU, BLISS
La sécurité du schéma de chiffrement NTRU et de la signature BLISS est considérée comme liée au problème du vecteur le plus proche (CVP) dans un réseau, sans toutefois pouvoir y être démontré réductible. Le CVP est un problème NP-difficile . Le Groupe d'étude sur la cryptographie post-quantique, financé par la Commission européenne, a suggéré d'étudier, en vue d'une utilisation à long terme, la variante Stehle-Steinfeld de NTRU, qui présente une réduction de sécurité, en remplacement de l'algorithme NTRU original.
Cryptographie multivariée – Huile et vinaigre déséquilibrés
Par conséquent, l’utilisation d’une fonction de hachage avec une réduction de sécurité prouvable à un problème difficile connu aurait une réduction de sécurité prouvable de la signature de l’ arbre de Merkle à ce problème difficile connu.
Le groupe d’étude sur la cryptographie post-quantique, parrainé par la Commission européenne, a recommandé l’utilisation du schéma de signature Merkle pour une protection de sécurité à long terme contre les ordinateurs quantiques.
Cryptographie basée sur les codes – McEliece
Cryptographie basée sur les codes – RLCE
En 2016, Wang a proposé un schéma de chiffrement à code linéaire aléatoire, RLCE , basé sur les schémas de McEliece. Un schéma RLCE peut être construit à partir de n'importe quel code linéaire, tel que le code de Reed-Solomon, en insérant des colonnes aléatoires dans la matrice génératrice du code linéaire sous-jacent.
Cryptographie d'isogénie de courbes elliptiques supersingulières
En 2015, un échange de clés authentifié avec sécurité persistante prouvable, suivant la même idée de base que celle de Ding, a été présenté à Eurocrypt 2015 , qui est une extension de la construction HMQV dans Crypto2005. Les paramètres pour différents niveaux de sécurité de 80 bits à 350 bits, ainsi que les tailles de clés correspondantes, sont fournis dans l'article.
Cryptographie basée sur les réseaux – Chiffrement NTRU
L'échange de clés Ring-LWE et l'échange de clés Diffie-Hellman à isogénie supersingulière (SIDH) peuvent tous deux garantir la confidentialité persistante lors d'un échange avec l'autre partie. Ring-LWE et SIDH peuvent également être utilisés sans confidentialité persistante en créant une variante du chiffrement ElGamal classique de Diffie-Hellman.
Les autres algorithmes présentés dans cet article, tels que NTRU, ne prennent pas en charge la confidentialité persistante telle quelle.
Tout système de chiffrement à clé publique authentifié peut être utilisé pour établir un échange de clés avec confidentialité persistante.
Projet Open Quantum Safe
Le projet Open Quantum Safe ( OQS ), lancé fin 2016, a pour objectif de développer et de prototyper une cryptographie résistante à l'informatique quantique. Il vise à intégrer les schémas post-quantiques actuels dans une bibliothèque unique : liboqs . liboqs est une bibliothèque C open source pour les algorithmes cryptographiques résistants à l'informatique quantique. Initialement axée sur les algorithmes d'échange de clés, elle inclut désormais plusieurs schémas de signature. Elle fournit une interface de programmation (API) commune, adaptée aux algorithmes d'échange de clés post-quantiques, et rassemblera diverses implémentations. liboqs inclura également un environnement de test et des routines d'évaluation des performances pour comparer les implémentations post-quantiques. De plus, OQS propose l'intégration de liboqs à OpenSSL .
À compter de mars 2023, les algorithmes d'échange de clés suivants sont pris en charge :
En août 2024, le NIST a publié 3 algorithmes ci-dessous en tant que normes FIPS et le 4ème est attendu vers la fin de l'année :
| Algorithme | Taper |
|---|---|
| VÉLO | codes |
| McEliece classique | codes goppa |
| FIPS-203 : CRISTAUX-Kyber | ML-KEM : Apprentissage modulaire avec erreur |
| FIPS-204 : CRISTAUX-Dilithium | ML-DSA : Module Solution entière courte |
| FIPS-205 : SPHINCS+ | SLH-DSA : basé sur le hachage |
| FIPS-206 : Faucon | FN-DSA : Solution pour les entiers courts |
| Frodon | Apprendre avec des erreurs |
| HQC | codes |
| NTRU | Cryptographie basée sur les réseaux |
Les versions plus anciennes prises en charge qui ont été supprimées en raison de l'avancement du projet de normalisation de la cryptographie post-quantique du NIST sont :
| Algorithme | Taper |
|---|---|
| BCNS15 | Apprentissage en anneau avec échange de clés en cas d'erreurs |
| McBits | Codes correcteurs d'erreurs |
| NewHope | Apprentissage en anneau avec échange de clés en cas d'erreurs |
| SIDH | échange de clés d'isogénie supersingulière |
Mise en œuvre
Un défi de la cryptographie post-quantique réside dans l'intégration d'algorithmes potentiellement résistants à l'informatique quantique dans les systèmes existants. Des tests ont été menés, notamment par Microsoft Research qui a implémenté PICNIC dans une infrastructure à clés publiques (PKI) à l'aide de modules de sécurité matériels (HSM) . Des implémentations de test de l'algorithme NewHope de Google ont également été réalisées par des fournisseurs de HSM . En août 2023, Google a publié une implémentation de clé de sécurité FIDO2 d'un schéma de signature hybride ECC /Dilithium, développée en partenariat avec l'ETH Zurich .
Le protocole de signal utilise le protocole Diffie-Hellman étendu post-quantique (PQXDH) depuis 2023.
Le 21 février 2024, Apple a annoncé la mise à niveau de son protocole iMessage vers un nouveau protocole PQC appelé « PQ3 », utilisant un chiffrement continu. Apple a déclaré que, bien que les ordinateurs quantiques performants n'existent pas encore, l'entreprise souhaitait atténuer les risques liés aux futurs ordinateurs quantiques ainsi qu'aux attaques de type « récolte immédiate, déchiffrement différé ». Apple a affirmé que son implémentation PQ3 offrait une protection « supérieure à celle de toutes les autres applications de messagerie largement déployées », grâce à l'utilisation d'un chiffrement continu. Apple prévoyait de remplacer le protocole iMessage existant par PQ3 dans toutes les conversations prises en charge d'ici fin 2024. Apple a également défini une échelle pour faciliter la comparaison des propriétés de sécurité des applications de messagerie, avec une échelle représentée par des niveaux allant de 0 à 3 : 0 pour l'absence de chiffrement de bout en bout par défaut, 1 pour le chiffrement de bout en bout pré-quantique par défaut, 2 pour l'établissement de clés PQC uniquement (par exemple PQXDH) et 3 pour l'établissement de clés PQC et le renouvellement continu des clés (PQ3).
L’ Internet Engineering Task Force a préparé un projet de norme Internet utilisant des algorithmes PQC dans Messaging Layer Security (MLS). MLS sera utilisé dans la messagerie texte RCS dans Google Messages et Messages (Apple) .
Parmi les autres implémentations notables, on peut citer :
- château gonflable
- liboqs
Cryptographie post-quantique dans les systèmes blockchain
Les systèmes de blockchain s'appuient généralement sur la cryptographie à clé publique, et plus particulièrement sur les algorithmes de signature numérique à courbe elliptique (ECDSA), pour authentifier les transactions et contrôler la propriété des actifs. Ces schémas cryptographiques sont vulnérables aux attaques quantiques, car l'algorithme de Shor peut résoudre efficacement le problème du logarithme discret sur lequel ils reposent.
Dans de nombreux protocoles blockchain, les clés publiques ne sont révélées qu'au moment de l'exécution d'une transaction ; or, une fois exposées, elles peuvent devenir vulnérables aux attaques quantiques si les adversaires possèdent des capacités quantiques suffisamment avancées. C'est pourquoi il est recommandé aux utilisateurs de migrer leurs actifs vers des systèmes d'adressage résistants à l'informatique quantique avant l'avènement des ordinateurs quantiques à grande échelle.
L'intégration d'algorithmes cryptographiques post-quantiques dans les systèmes blockchain présente plusieurs défis techniques. De nombreux schémas de signature post-quantiques nécessitent des clés et des signatures plus volumineuses, ce qui peut accroître la taille des transactions, les besoins de stockage et la consommation de bande passante du réseau. De plus, les coûts de calcul plus élevés pour la vérification peuvent affecter l'évolutivité et le débit des réseaux distribués.
Des approches cryptographiques hybrides, combinant signatures classiques et post-quantiques, ont été proposées comme solutions transitoires. Ces approches visent à maintenir la rétrocompatibilité tout en introduisant progressivement des mécanismes de sécurité résistants à l'informatique quantique. Les recherches en cours portent sur l'optimisation des schémas post-quantiques pour les environnements décentralisés, en conciliant les exigences de sécurité, d'efficacité et d'évolutivité.
La couche physique complète
Bien que les algorithmes post-quantiques protègent le contenu des données contre un déchiffrement ultérieur, ils n'empêchent pas l'interception et le stockage du texte chiffré lui-même (un modèle de menace connu sous le nom de « Récolte maintenant, déchiffrement plus tard »). Pour atténuer ce risque, certaines architectures réseau intègrent la sécurité de la couche physique (PLS) ou le chaos optique en plus du PQC.
En dissimulant le signal optique dans le bruit de fond ( OSNR négatif ) grâce au codage de phase spectrale, ces contre-mesures physiques visent à rendre la transmission indéchiffrable. Il en résulte une stratégie de « défense en profondeur » : l’obfuscation physique empêche toute récupération du texte chiffré, garantissant ainsi l’absence de données exploitables pour un futur déchiffrement quantique, tandis que les algorithmes PQC assurent la protection nécessaire des données stockées aux points d’extrémité.
Cryptage hybride

Google a maintenu l'utilisation du « chiffrement hybride » dans son application de la cryptographie post-quantique : lorsqu'un schéma post-quantique relativement récent est utilisé, il est combiné à un schéma non-quantique plus éprouvé. Ceci afin de garantir l'intégrité des données, même si l'algorithme post-quantique, relativement récent, s'avérait vulnérable aux attaques non quantiques avant le passage à l'an 2000 (Y2Q). Ce type de schéma a été utilisé lors des tests de 2016 et 2019 pour le protocole TLS post-quantique , ainsi que pour la clé FIDO2 de 2023 . L'un des algorithmes utilisés lors du test de 2019, SIKE, a été compromis en 2022, mais la couche non-quantique X25519 (déjà largement utilisée dans TLS) a continué de protéger les données . Les algorithmes PQ3 d'Apple et PQXDH de Signal sont également hybrides
La NSA et le GCHQ s'opposent au chiffrement hybride, affirmant qu'il complexifie sa mise en œuvre et sa transition. Daniel J. Bernstein , partisan du chiffrement hybride, soutient que ces affirmations sont infondées.
Critiques
Le besoin en cryptographie post-quantique repose sur la résolution rapide des problèmes cryptographiques traditionnels par un ordinateur quantique. Cependant, les ordinateurs quantiques étant encore en développement, ils n'ont pas encore démontré la validité à grande échelle de l'algorithme de Shor, ni vérifié la possibilité d'un mécanisme d'accélération quantique et sa supériorité par rapport à un ordinateur classique pour de tels problèmes. En 2019, une équipe utilisant l' ordinateur quantique IBM Q a pu factoriser les nombres 15 et 21, mais pas 35. D'autres tentatives de simulation de calculs quantiques pour des nombres plus grands ont été réalisées, mais ces simulations n'ont pas mis en évidence d'avantage quantique (c'est-à-dire d'accélération par rapport à un ordinateur classique).
Bien que les problèmes de factorisation d'entiers , de logarithme discret et de logarithme discret sur courbes elliptiques soient potentiellement résolus par le mécanisme d'accélération quantique proposé, aucune cryptographie basée sur ces problèmes mathématiques complexes n'a été démontrée comme étant vulnérable, ni mathématiquement cassée en dehors de l'algorithme de Shor ou de ses dérivés. Ces systèmes cryptographiques sont utilisés dans le monde entier et ont fait l'objet de tests de vulnérabilité approfondis depuis plusieurs décennies. De plus, bien que l'algorithme de Shor propose une solution en temps polynomial (donc rapide), via un mécanisme de recherche de période quantique (c'est-à-dire la recherche d'une période répétitive où l'ordinateur quantique teste toutes les périodes possibles en parallèle, puis converge vers la ou les solutions correctes) , une telle accélération n'a jamais été démontrée à grande échelle.
Les mathématiciens Stephen Wolfram et Christopher Wolfram ont créé des modèles simulés basés sur des graphes branchiaux pour imiter la mécanique quantique et, par extension, peuvent reproduire les systèmes utilisés par les ordinateurs quantiques. Leurs recherches ont conduit Stephen à exprimer publiquement de légers doutes quant au mécanisme d'accélération quantique proposé.L'existence de ce mécanisme est liée à l'effondrement/déroulement systématique des états quantiques intriqués jusqu'à une solution utilisable et corrigée des erreurs. Autrement dit, des doutes subsistent quant au mécanisme responsable de l' avantage quantique théorique exploité par les futurs ordinateurs quantiques à grande échelle, où un grand nombre de qubits totalement intriqués sont capables d'exécuter l'algorithme de Shor sur un problème classique moderne (par exemple RSA-2048 , utilisant la factorisation d'entiers ).
En 2013, les révélations d' Edward Snowden sur la NSA ont confirmé que les supercalculateurs les plus puissants de l'époque étaient incapables de casser les systèmes de cryptographie à clé publique correctement implémentés . De plus, la NSA n'avait pas trouvé de raccourci mathématique, malgré le fait qu'elle soit le plus grand employeur de mathématiciens au monde. Bruce Schneier , analyste en sécurité et cryptographe ayant eu accès aux archives Snowden, a conclu que le système n'avait jamais été cassé. Si ces critiques s'avèrent fondées, la nécessité de la cryptographie post-quantique est remise en question, de même que celle de migrer les infrastructures commerciales modernes vers des systèmes cryptographiques moins éprouvés .