Selon Ars Technica, Google dévoile un plan pour protéger la chaîne de certificats HTTPS contre les futures attaques quantiques, en s’appuyant sur des Merkle Tree Certificates (MTC) et des signatures post-quantiques (dont ML-DSA), déjà pris en charge dans Chrome, en partenariat avec Cloudflare.

🔐 Problème à résoudre: le matériel cryptographique post-quantique nécessaire pour publier les certificats TLS et leurs preuves de transparence est ~40× plus volumineux que l’existant. Une chaîne X.509 typique actuelle (~4 kB) comprend six signatures à courbes elliptiques et deux clés publiques EC (64 octets chacune), vulnérables à l’algorithme de Shor. Augmenter fortement la taille ralentirait le handshake TLS et dégraderait des « middle boxes ».

🌳 Solution: les MTC « remplacent la chaîne sérialisée de signatures » par des preuves compactes d’inclusion dans un arbre de Merkle. Une AC signe une unique « Tree Head » couvrant potentiellement des millions de certificats; le navigateur ne reçoit qu’une preuve légère. Combiné à d’autres optimisations, la taille reste proche des ~4 kB actuels, évitant de « laisser des utilisateurs derrière ».

🧾 Contexte CT logs et menace quantique: Chrome et d’autres navigateurs exigent la publication des certificats dans des journaux de transparence publics (réponse aux abus type DigiNotar en 2011). Une fois viable, l’algorithme de Shor pourrait forger des signatures classiques, casser des clés EC des journaux et falsifier les Signed Certificate Timestamps (SCT). Pour contrer cela, Google ajoute du matériel cryptographique post-quantique (ex: ML-DSA) afin que des forgeries ne soient possibles que si un attaquant brise à la fois le classique et le post-quantique. Google introduit aussi un « quantum-resistant root store » complémentaire au Chrome Root Store (créé en 2022).

🧪 Déploiement et standardisation: Chrome prend déjà en charge les MTC. Cloudflare pilote l’enrôlement d’environ 1 000 certificats et génère pour l’instant le registre distribué, avec l’objectif que les AC assurent ce rôle à terme. L’IETF a lancé le groupe « PKI, Logs, And Tree Signatures » pour travailler à une solution pérenne avec l’écosystème.

Techniques d’attaque évoquées (TTPs):

  • Forgery de signatures/classical PKI via l’algorithme de Shor (post-quantique).
  • Contournement des CT logs par falsification des Signed Certificate Timestamps (SCT) si crypto classique compromise.

Il s’agit d’un article de presse spécialisé présentant une mise à jour de produit/architecture visant à assurer la résilience post-quantique de l’écosystème HTTPS sans dégrader les performances.

🔗 Source originale : https://arstechnica.com/security/2026/02/google-is-using-clever-math-to-quantum-proof-https-certificates/