ELI5

ELI5 · Partie 7 sur 7

Pourquoi le standard perdure

Une preuve que vous créez aujourd’hui pourrait devoir tenir dans trente ans. Imaginez une découverte scientifique dont la revendication d’avoir été la première doit encore se vérifier des décennies plus tard, ou des archives de contrats que quelqu’un devra vérifier longtemps après que les personnes qui les ont signés auront suivi leur chemin. Pour une preuve de ce genre, « ça marche aujourd’hui » ne suffit pas. Elle doit continuer de fonctionner loin dans un avenir que personne ne peut encore entrevoir.

C’est un problème bien réel, car les mathématiques qui sous-tendent ces preuves ne restent pas immobiles.

Les bonnes méthodes ne le restent pas éternellement

Toute méthode cryptographique repose sur un calcul facile à effectuer mais pratiquement impossible à défaire. Avec le temps, deux choses se produisent. Les ordinateurs gagnent en vitesse et les chercheurs en ingéniosité, si bien qu’une méthode qui paraissait inébranlable peut s’affaiblir peu à peu. Et des méthodes entièrement nouvelles voient le jour, plus robustes que tout ce dont nous disposions auparavant.

Tout standard honnête se heurte donc à une vérité inconfortable : la meilleure méthode disponible aujourd’hui ne sera pas la meilleure méthode pour toujours. Une nouvelle, et meilleure, est toujours en chemin.

Pourquoi figer une seule méthode serait un piège

Imaginez un standard qui se contenterait de dire : « utilisez toujours cette méthode précise ». Il fonctionnerait à merveille — jusqu’au jour où cette méthode s’affaiblirait. Vous seriez alors coincé. Pour passer à quelque chose de mieux, il vous faudrait réécrire les règles, obtenir que tout le monde change le même jour et, d’une manière ou d’une autre, composer avec chaque preuve jamais produite sous les anciennes règles. Ce genre de moment « tout le monde change d’un coup » est précisément ce qui rompt la continuité historique et laisse les anciens enregistrements en rade. Un standard bâti de la sorte pourrit en silence dès l’instant où il est publié.

Label 309 esquive entièrement le piège en ne nommant jamais, dès le départ, une seule méthode figée.

Un catalogue auquel vous ne cessez d’ajouter

Plutôt que d’enchâsser une seule méthode, Label 309 désigne chaque méthode par un nom tiré d’une liste ouverte — un registre. Voyez cela comme un catalogue de pièces. Chaque preuve consigne par leur nom les « pièces » avec lesquelles elle a été construite : quelle méthode a calculé l’empreinte, laquelle a procédé au scellement, laquelle l’a signée.

Il existe un catalogue distinct pour chaque type de pièce (un pour les empreintes, un pour le scellement, un pour les signatures, et ainsi de suite), et en enrichir un relève strictement d’un ajout :

  • la nouvelle méthode doit être un standard véritable et publié, doté d’une référence publique (une RFC, une publication du NIST, et autres documents du même ordre) — aucune cryptographie maison n’est admise ;
  • elle reçoit un nouveau nom dans le catalogue, accompagné d’un test qui fixe exactement son comportement.

Lorsqu’une méthode plus robuste apparaît, vous ne déchirez pas le catalogue et ne réimprimez pas les anciennes pages. Vous ajoutez une page. Les anciennes pages restent exactement où elles sont, pour toujours. Et voici la finesse discrète : chaque preuve jamais créée conserve sur sa propre page les pièces d’origine. Consultez une ancienne preuve, et le catalogue vous indique encore précisément comment la vérifier — parce que ses pièces n’ont jamais été retirées, seulement rejointes par de plus récentes.

Deux choses sont donc vraies en même temps :

  • Les anciennes preuves continuent de se vérifier. Une preuve réalisée il y a des années nomme toujours des méthodes qui figurent encore dans le catalogue, de sorte qu’elle se vérifie aujourd’hui exactement comme le jour où elle a été faite.
  • Les nouvelles preuves peuvent retenir la méthode la plus récente. Quiconque produit une preuve nouvelle choisit simplement un nom plus récent dans la liste.

Il n’y a pas de jour fatidique. Aucun moment où tout le monde doit changer ensemble. Pas de continuité rompue, ni de course pour convertir une montagne d’anciens enregistrements. Le changement est un pur ajout — une nouvelle entrée dans la liste — jamais un remplacement. En ajouter une ne change même pas la version du format : un vérificateur qui n’a jamais entendu parler d’un nouveau nom se contente de dire proprement « celle-là, je ne la prends pas encore en charge », au lieu de planter ou de se mettre à deviner.

Comment se fait aussi le saut quantique

Vous avez peut-être entendu dire que de puissants ordinateurs d’un nouveau genre pourraient un jour briser une partie de la cryptographie actuelle. (Il existe un article complémentaire précisément à ce sujet.) Ce qui rassure, c’est que s’en défendre n’exige dans Label 309 aucun plan de sauvetage spécial — c’est le même geste que pour toute autre amélioration : nommer dans le catalogue la nouvelle méthode résistante au quantique. De fait, c’est déjà arrivé une fois : la méthode de scellement post-quantique a été ajoutée juste à côté de la classique, si bien que les nouveaux enregistrements y recourent aujourd’hui tandis que les anciens poursuivent leur route sans être touchés. Une menace qui semblait imposer une reconstruction de fond en comble se révèle n’être qu’une page de plus dans le catalogue.

Conçu pour survivre à ses propres méthodes

Les méthodes contenues dans toute preuve finiront tôt ou tard par être retirées — c’est normal, et Label 309 s’y attend. Ce qui dure, c’est le catalogue lui-même : un ensemble ouvert de registres auxquels on ne fait qu’ajouter, où chaque preuve conserve pour toujours ses pièces d’origine. Voyez les registres d’algorithmes pour comprendre comment ils croissent sans jamais laisser une ancienne preuve de côté.