KYBER, censé servir de base à la cryptographie post-quantique, présente probablement encore des vulnérabilités. Les chercheurs ont découvert une vulnérabilité dans les bibliothèques de logiciels qui peut être vaincue à l'aide d'une attaque basée sur le timing. La National Security Agency (NSA), Facebook et Google s’appuient déjà sur cela.
La méthode d'encapsulation de clé KYBER (KEM) a été développée pour remplacer le cryptage classique contre les attaques cryptanalytiques utilisant de puissants ordinateurs quantiques. Il a été développé par une équipe de développeurs d'Europe et d'Amérique du Nord et est sous licence Apache License 2.0.
Vulnérabilité découverte dans KYBER
Les chercheurs ont découvert une vulnérabilité et ont travaillé sur le développement d'une attaque. La vulnérabilité temporelle découverte est due à l'opération de division dans le processus de décodage des messages utilisé dans le processus de décryptage. Au cours de l'analyse, une autre source de variation temporelle a été trouvée dans plusieurs implémentations corrigées de KYBER et cette vulnérabilité a été divulguée. La même vulnérabilité de division peut également être trouvée dans les fonctions de compression utilisées dans le processus de chiffrement.
KYBER utilise un protocole qui utilise une série de nombres aléatoires pour créer une clé secrète, qui est ensuite utilisée pour chiffrer les messages. Cette clé devrait résister même aux attaques cryptanalytiques utilisant des ordinateurs quantiques. Le processus a en fait été testé avec succès lors d'une série de tests de sécurité et a été jugé sûr par plusieurs organisations, dont la National Security Agency (NSA). Actuellement, KYBER est utilisé par des entreprises telles que Google, Facebook et l'Union européenne.
Il existe déjà des correctifs de sécurité pour les vulnérabilités KyberSlash 1 et 2. Cependant, tous les projets logiciels utilisant KYBER ne sont pas affectés par ces vulnérabilités.
Plus d’informations sur Kyberslash.cr.yp.to