RSA Security : Des percées de la cryptographie à clé publique à l'avenir de la sécurité de l'identité

Depuis sa création, RSA Security a été un pionnier de la cybersécurité, fournissant aux leaders du gouvernement, des services financiers, de l'énergie, des soins de santé et d'autres industries hautement réglementées des capacités de gestion des identités et des accès (IAM), de gouvernance et d'administration des identités (IGA), d'accès et d'authentification multifactorielle (MFA).

RSA Security a été fondée en 1982 par Ron Rivest, Adi Shamir et Leonard Adelman, qui ont développé l'algorithme de cryptage RSA en 1977. Bien que la norme de cryptographie à clé publique soit tombée dans le domaine public en 2000 et qu'elle ne soit plus détenue, vendue ou gérée par RSA Security, elle représente un chapitre important de l'histoire de RSA.

Depuis sa création, RSA Security aide les organisations à se défendre contre le phishing, les logiciels malveillants, l'ingénierie sociale et d'autres vecteurs de menaces récurrentes. RSA continue d'innover contre les menaces émergentes telles que les deepfakes, les attaques alimentées par l'IA et les contournements du service d'assistance informatique. Et alors que le monde s'approche d'une nouvelle ère d'informatique quantique, RSA continue d'innover pour aider les organisations à garder une longueur d'avance sur les mauvais acteurs.

Découvrez l'histoire de RSA et son avenir à la pointe de la sécurité des identités en lisant les chapitres ci-dessous :

En 1977, le concept de cryptographie à clé publique est apparu comme une solution aux limites des méthodes de cryptage symétrique, qui nécessitaient des échanges de clés sécurisés. L'algorithme RSA a relevé ce défi en utilisant une paire de clés : une clé publique pour le cryptage et une clé privée pour le décryptage. Ces clés appariées Clés RSA constituent l'épine dorsale du système cryptographique RSA, permettant la transmission sécurisée de données, même sur des réseaux non fiables. Cette innovation a permis des communications sécurisées sur des canaux non fiables sans qu'il soit nécessaire d'échanger des clés au préalable. La sécurité du système RSA repose sur la difficulté de factorisation de grands nombres premiers, ce qui en fait un outil redoutable contre l'accès non autorisé aux données.

Le Massachusetts Institute of Technology (MIT) a reçu une subvention de l'Union européenne. brevet pour l'algorithme RSA en 1983, la durée du brevet étant fixée à 17 ans.

L'adoption généralisée du système cryptographique RSA a conduit au développement de l'infrastructure à clé publique RSA (PKI), un cadre qui gère les certificats numériques et le cryptage à clé publique. RSA PKI a joué un rôle déterminant dans l'établissement de communications sécurisées sur l'internet, sous-tendant des protocoles tels que SSL/TLS qui sont essentiels pour le commerce électronique, le courrier électronique sécurisé et les signatures numériques.

RSA Security a publié l'algorithme de cryptage dans le domaine public le 6 septembre 2000. Cette libération "permettrait à quiconque de créer des produits qui incorporent leur propre implémentation de l'algorithme". Cela signifie que RSA Security a renoncé à son droit de faire respecter le brevet pour toutes les activités de développement qui incluent l'algorithme RSA et qui ont lieu après le 6 septembre 2000". Aujourd'hui, l'algorithme est une norme publique (FIPS 186-5).

Plus de vingt ans après que RSA Security a mis l'algorithme de cryptage dans le domaine public, RSA Security continue de développer de nouvelles solutions pour relever les défis de la cybersécurité.

Aujourd'hui, RSA Security se concentre uniquement sur la sécurité des identités, en fournissant une gamme de solutions d'accès, d'authentification, de gouvernance et de cycle de vie qui aident les organisations à prévenir les risques, à détecter les menaces, à assurer la conformité et à accélérer la productivité, notamment :

• RSA® ID Plus offre une gamme complète de fonctionnalités IAM - y compris MFA sans mot de passe, SSO, accès contextuel, intégrations avec Microsoft et d'autres tiers, et services d'annuaire en nuage - dans des environnements en nuage, hybrides et sur site.
• RSA® Gouvernance et cycle de vie aide les entreprises à améliorer la conformité, à réduire les risques et à optimiser les opérations en déployant des fonctions IGA dans les applications, les systèmes et les données afin de gérer et de sécuriser les accès à grande échelle.
• RSA SecurID protège les ressources sur site grâce à des fonctions d'accès sécurisé, d'authentification et de gestion du cycle de vie des identités.

Pour en savoir plus sur les solutions RSA actuelles, veuillez nous contacter ou Commencez dès aujourd'hui votre essai gratuit d'ID Plus.

Les progrès de l'informatique quantique pourraient un jour menacer les algorithmes de chiffrement classiques, notamment l'échange de clés Diffie-Hellman (DH), la cryptographie à courbe elliptique (ECC) et l'algorithme de chiffrement RSA. Les ordinateurs quantiques ont le potentiel de résoudre des problèmes mathématiques complexes, tels que la factorisation des nombres entiers, à une vitesse exponentielle par rapport aux ordinateurs classiques.

Étant donné que l'algorithme RSA est basé sur la difficulté informatique de factoriser de grands nombres premiers, des algorithmes quantiques comme celui de Shor pourraient être utilisés pour craquer les clés RSA. Il en va de même pour les clés Diffie Hellman (DH) et Elliptic Curve (ECC). L'ECC repose sur un problème mathématique différent, mais il est fondamentalement possible de la casser avec l'algorithme de Shor - en fait, le nombre de qbits nécessaires pour y parvenir serait inférieur à celui d'une clé RSA/DH de force comparable.

Pour se préparer à ce risque, le NIST a publié un premier projet de lignes directrices ("Transition to Post-Quantum Cryptography Standards", "Transition vers les normes de cryptographie postquantique", "Transition to Post-Quantum Cryptography Standards"). NIST IR 8547) en 2024 qui recommande un niveau de sécurité d'au moins 112 bits (clés RSA de 2048 bits) et un objectif d'utilisation de clés RSA d'au moins 4096 bits (pour un niveau de sécurité de 128 bits) après 2030. Dans ce projet de lignes directrices, le NIST recommande de ne plus utiliser de clés de chiffrement RSA, quelle que soit leur taille, après 2035. Les entreprises doivent continuer à appliquer les meilleures pratiques en matière de longueur et de rotation des clés jusqu'à cette date afin de garantir la sécurité de leur chiffrement. Les navigateurs web modernes peuvent prendre en charge des clés de 4096 bits, ce qui est conforme aux recommandations du NIST concernant les clés RSA pour 2030.

RSA Security estime que ces recommandations constituent une mesure appropriée, basée sur le risque. Étant donné que l'informatique quantique n'en est qu'à ses débuts et qu'elle nécessite de grandes quantités de ressources pour fonctionner, elle ne constitue pas une menace immédiate pour le cryptage. Les ordinateurs quantiques les plus puissants ont récemment dépassé la taille de 1 000 bits quantiques (qubits) et ne peuvent maintenir un fonctionnement stable que pendant 1 à 2 millisecondes. En comparaison, les chercheurs estiment qu'un ordinateur quantique théorique de Ordinateur de 20 millions de qubits Il faudrait huit heures pour déchiffrer une seule clé de chiffrement RSA de 2048 bits. En mettant en œuvre la norme NIST IR 8547, les organisations devraient rester à l'avant-garde des risques que l'informatique quantique pourrait un jour poser.

RSA Security a mis en œuvre ces lignes directrices dans ses propres solutions et continuera à suivre les meilleures pratiques du NIST.

Outre la mise en œuvre des lignes directrices post-quantiques du NIST, les organisations doivent s'efforcer de comprendre leur infrastructure informatique actuelle. Le catalogage des applications actuelles, la mise à jour des logiciels avec la version la plus récente et la cyberhygiène de base sont des pratiques exemplaires essentielles en matière de cybersécurité qui aideront les organisations à se défendre contre les menaces actuelles et à se préparer aux risques émergents tels que l'informatique quantique.

Les organisations doivent connaître et mettre en œuvre les conseils du NIST en matière d'informatique quantique afin d'anticiper les risques théoriques. Mais les dirigeants doivent adopter une approche de la cybersécurité fondée sur les risques et se préparer aux attaques les plus probables et les plus lourdes de conséquences. En donnant la priorité aux risques théoriques liés à l'informatique quantique, on néglige les menaces très claires, immédiates et actives que les cybercriminels réussissent à mettre en œuvre aujourd'hui :

• Changer les soins de santé a été compromise par le vol d'informations d'identification et certains de ses comptes n'avaient pas activé l'autorisation de gestion des comptes (MFA)
• Araignée dispersée convaincu le personnel du service d'assistance informatique de désactiver ou de réinitialiser les identifiants MFA afin de lancer une attaque par ransomware qui a causé des centaines de millions de dollars de pertes.
• Colonial Pipelinea été violé en partie à cause d'un compte VPN orphelin.
• Rose87168 a déclaré avoir volé 6 millions de données à Oracle Cloud en exploitant une vulnérabilité non corrigée.

L'informatique quantique nécessite un financement et des ressources considérables. Ce n'est pas le cas de ces violations de données. Aujourd'hui, la plupart des attaques reposent sur l'hameçonnage, l'ingénierie sociale, l'authentification par mot de passe, les systèmes non corrigés et la mise en place d'un système d'accès disparate. Ce sont ces risques qui requièrent l'attention, l'action et l'investissement immédiats des organisations.

Cryptage RSA classique contre cryptographie post-quantique

Il est important de noter que, bien que les algorithmes de cryptographie post-quantique soient considérés comme résistants aux attaques de l'informatique quantique, il existe un risque que même ces cadres puissent être attaqués par des méthodes de cryptanalyse et d'informatique "traditionnelles". Si les organisations utilisent un algorithme de cryptage post-quantique, elles devraient être à l'abri des attaques post-quantiques, mais peuvent toujours être piratées par des attaques utilisant une méthode pré-quantique. Les algorithmes traditionnels tels que RSA/ECC/DH font l'objet de recherches depuis des décennies : ces recherches n'ont pas révélé de faiblesses fondamentales pour les attaques traditionnelles.