CISA publie des catégories de produits « largement disponibles » prenant en charge la cryptographie post-quantique

Source: cisa.gov — CISA publie, en réponse à l’Executive Order 14306, des listes régulièrement mises à jour de catégories de produits matériels et logiciels qui intègrent des standards de cryptographie post-quantique (PQC), afin d’orienter les plans d’acquisition vers des produits compatibles PQC lorsque ceux-ci sont « largement disponibles ».

• Standards NIST pris en compte: FIPS 203 (ML-KEM) pour l’établissement de clés, FIPS 204 (ML-DSA) et FIPS 205 (SLH-DSA) pour les signatures numériques, ainsi que la recommandation de schémas de signatures étatful (LMS, HSS, XMSS, XMSSMT – NIST SP 800-208). Le NIST IR 8547 cadre la transition vers ces standards.

• Catégories « largement disponibles » utilisant des standards PQC (Table 2) 🔐:

  • Cloud services: PaaS, IaaS
  • Collaboration software: chat/messagerie
  • Web software: navigateurs web, serveurs web
  • Endpoint security: chiffrement des données au repos (DAR), chiffrement complet de disque
  • Note: la plupart de ces catégories ont déjà la PQC pour l’encapsulation d clés / accord de clés, mais pas encore largement pour les signatures numériques; elles ne sont donc pas pleinement résistantes au quantique, mais l’un de leurs services principaux l’est.

• Catégories en transition vers la PQC (Table 3) ☁️:

  • Réseaux (hardware): proxies, routeurs, pare-feux, commutateurs, appliances
  • Réseaux (software): SDN, DNS, OS réseau
  • Cloud services: SaaS
  • Télécom (hardware): téléphones de bureau, fax, VoIP, radio
  • Ordinateurs (physiques/virtuels): systèmes d’exploitation, hyperviseurs, conteneurs
  • Périphériques: claviers/sans fil, casques/sans fil
  • SAN: appliances, OS, applications
  • ICAM (software): IAM, IdP/fédération, autorités de certification, courtiers d’accès, gestion d’accès, gestion de PKI
  • ICAM (hardware): HSM, jetons d’authentification, badges/cartes, lecteurs
  • Collaboration: clients/serveurs email, conférence, partage de fichiers
  • Données: bases de données, serveurs SQL
  • Endpoint security: gestionnaires de mots de passe, antivirus/antimalware, gestion d’actifs
  • Sécurité d’entreprise: CDM, détection/monitoring d’intrusions, systèmes d’inspection, SIEM

• Périmètre et remarques:

  • Sont hors périmètre: produits d’inventaire/découverte cryptographique automatisés; et, bien que concernés par la transition, OT et IoT ne sont pas couverts ici.
  • Une fois un produit compatible PQC acquis, il peut nécessiter temporairement des algorithmes non-PQC pour des raisons d’interopérabilité.
  • Les listes s’appuient sur des efforts GSA, CISA, NIST et NSA et seront mises à jour; elles servent de guide pour la planification d’acquisitions en faveur de produits compatibles PQC.

Type d’article: publication institutionnelle de CISA visant à l’alignement des achats IT sur la transition PQC et à l’orientation des organisations vers des catégories de produits compatibles.

🔗 Source originale : https://www.cisa.gov/resources-tools/resources/product-categories-technologies-use-post-quantum-cryptography-standards