Observability for Post-Quantum TLS Readiness: A Multi-Surface Evidence Framework

Ce document présente un cadre de preuve multi-surface pour l'observabilité dans la préparation au TLS post-quantique, qui intègre des mesures passives, actives et basées sur les registres pour distinguer avec précision les comportements de session et les capacités des points de terminaison, démontrant une détection nettement supérieure de l'établissement de clés hybrides et des vulnérabilités quantiques par rapport aux analyseurs de référence existants.

L'essentiel

Imaginez le système de sécurité d'Internet (TLS) comme un coffre-fort bancaire haute technologie. Depuis des décennies, les serrures de ces coffres sont fabriquées en métal « classique ». Mais les scientifiques ont découvert un nouvel outil « quantique » qui pourrait éventuellement crocheter ces serrures. Pour rester en sécurité, les banques commencent à installer des serrures « hybrides », combinant l'ancien métal avec un nouvel alliage quantique ultra-résistant.

Le problème ? Nous devons savoir quelles banques ont effectivement installé ces nouvelles serrures hybrides. Mais la vérification est délicate. Certaines banques ne montrent la serrure que lorsque vous vous approchez de la porte (une vue passive), tandis que d'autres cachent la serrure derrière un miroir sans tain (une vue chiffrée). Certaines banques peuvent avoir installé la nouvelle serrure mais n'utiliser que l'ancienne pour un client spécifique.

Cet article présente un nouveau cadre d'inspection multi-surfaces pour résoudre ce problème. Au lieu de simplement regarder la porte, les auteurs ont construit un système qui inspecte le coffre-fort sous quatre angles différents pour obtenir une image complète.

Les quatre angles d'inspection (les « surfaces »)

Imaginez essayer de déterminer si une banque est prête pour l'avenir. Vous ne pouvez pas simplement vous tenir sur le trottoir ; vous devez regarder depuis différents endroits :

1. La vue depuis le trottoir (Session passive) : Vous vous tenez dans la rue et observez un client entrer. Vous voyez ce qu'il fait, mais vous ne pouvez pas tout voir à l'intérieur. Dans le monde numérique, il s'agit d'une surveillance « passive ». Cela fonctionne très bien pour les anciens systèmes (TLS 1.2) où la porte est ouverte, mais pour les systèmes plus récents et chiffrés (TLS 1.3), la porte est fermée et vous ne pouvez pas voir le mécanisme de la serrure.
2. La sonde du détective (Sondage actif) : Au lieu de simplement observer, le détective frappe à la porte et demande : « Hé, avez-vous une serrure hybride ? » La banque peut répondre : « Oui, je l'ai », même si le client qui vient d'entrer ne l'a pas demandée. Cela révèle ce que la banque peut faire, et non seulement ce qu'elle a fait.
3. La vérification des plans (Chaîne de certificats) : Le détective se rend au bureau de la banque pour examiner les plans et les badges d'identité des gardes. Cela confirme l'identité de la banque et la durée de validité de son plan de sécurité actuel.
4. Le code des règles (Registre) : Le détective porte une immense encyclopédie à jour de tous les types de serrures connus, y compris les nouveaux modèles expérimentaux, pour s'assurer qu'ils nomment correctement les choses.

L'« objet de mesure » : un bulletin de notes complet

L'article soutient que les anciens outils ne donnent qu'une réponse « Oui/Non » basée sur ce qu'ils ont vu depuis le trottoir. S'ils n'ont pas vu la nouvelle serrure, ils disent « Non ».

Le nouveau cadre crée un bulletin de notes structuré (un « objet de mesure ») qui sépare différents faits :

• Qu'est-il arrivé dans cette transaction spécifique ? (Le client a utilisé une vieille serrure.)
• De quoi la banque est-elle capable ? (La banque possède une serrure hybride et peut l'utiliser si on le lui demande.)
• Qui est la banque ? (Vérifié par les plans.)
• Quel est le niveau de confiance ? (L'avons-nous vu, ou est-ce une hypothèse ?)

Crucialement, ce bulletin de notes admet quand il ne sait pas. Si la porte est fermée et que le détective ne peut pas frapper, le rapport indique « Inconnu » au lieu de deviner « Non ». Il signale également les contradictions, comme si les plans indiquaient « Serrure hybride » mais que la porte ne montrait jamais que « Serrure ancienne ».

Les expériences : ce qu'ils ont découvert

Les auteurs ont testé leur système de deux manières :

1. Le test en laboratoire (Scénarios contrôlés) : Ils ont construit 29 faux coffres-forts dans un laboratoire avec des paramètres connus (certains avec des serrures hybrides, d'autres non, certains avec des portes défectueuses, d'autres avec des serrures cachées).

   • L'ancien outil : Un scanner de sécurité standard (la « référence ») n'a trouvé les nouvelles serrures que dans 2 cas sur 29. Il a manqué presque tous les coffres-forts modernes et chiffrés.
   • Le nouveau système : En combinant les quatre angles, leur système a déterminé le statut correct pour presque chaque scénario, même lorsque les données étaient désordonnées ou incomplètes.

2. Le test en conditions réelles (Campagne publique) : Ils ont analysé 1 000 sites Web réels sur Internet.

   • La surprise : Les scanners standards ont déclaré que 0 de ces sites possédaient des serrures hybrides.
   • Le nouveau système : En utilisant la « sonde du détective » (demandant spécifiquement des serrures hybrides), ils ont trouvé 310 sites qui pouvaient utiliser des serrures hybrides, même s'ils utilisaient généralement des anciennes.
   • L'insight sur la « capacité plus large » : Pour ces 310 sites, le nouveau système a prouvé que les sites étaient capables d'utiliser les nouvelles serrures, même si le client spécifique qui les a visités n'a pas déclenché cette fonctionnalité. C'est comme découvrir qu'une voiture possède un bouton turbo, même si le conducteur ne l'a jamais appuyé.

La conclusion

L'article conclut que pour savoir si Internet est prêt pour l'avenir quantique, nous ne pouvons pas simplement regarder ce qui se passe en surface. Nous avons besoin d'une approche multicouche :

• Surveiller le trafic (Passif).
• Demander au serveur ce qu'il peut faire (Actif).
• Vérifier les certificats (Chaîne).
• Tenir un registre strict de ce que nous savons, de ce que nous ne savons pas et de l'origine des informations.

Cette approche nous empêche de croire à tort qu'un système est sûr simplement parce que nous n'avons pas vu de problème, ou de croire à tort qu'il est dangereux simplement parce que nous n'avons pas pu voir les nouvelles fonctionnalités. Elle traite le « Je ne sais pas » comme une réponse valide et importante, plutôt que comme un échec.

Résumé technique

Résumé technique : Observabilité pour la préparation du TLS post-quantique

Énoncé du problème
La transition vers la cryptographie post-quantique (PQC) dans le protocole de sécurité de la couche de transport (TLS) présente un défi significatif en matière d'observabilité. Alors que l'écosystème migre des algorithmes classiques vers ML-KEM et ML-DSA standardisés par le NIST, souvent via des mécanismes d'établissement de clés hybrides (par exemple, X25519MLKEM768), les exploitants et les auditeurs manquent de méthodes fiables pour évaluer la préparation des points de terminaison. Les approches existantes rencontrent plusieurs limitations :

• Opacité du protocole : TLS 1.3 chiffre les matériaux de la poignée de main, y compris les certificats, rendant l'inspection passive des paquets insuffisante pour l'authentification et l'analyse du cycle de vie.
• Fragmentation des preuves : La capacité du point de terminaison (ce qu'un serveur prend en charge) diverge souvent de la négociation de session (ce qu'un client spécifique négocie). De plus, les chaînes de certificats collectées via un sondage actif peuvent ne pas être liées temporellement ou logiquement à une session passive précédemment capturée.
• Lacunes de mesure : Les outils d'inspection de paquets traditionnels échouent souvent à distinguer la négociation classique de la capacité hybride latente, et ils peinent à gérer des preuves incomplètes, contradictoires ou ambiguës sans produire de faux positifs ou de faux négatifs.

Méthodologie
Les auteurs proposent un cadre de preuves multi-surfaces qui traite la préparation PQC comme un problème d'observabilité nécessitant des sources de preuves distinctes mappées sur des plans de mesure spécifiques.

1. Quatre surfaces de preuves :

   • $\Sigma_P$ (Session passive) : Extraite des captures de paquets (par exemple, version TLS, suite de chiffrement, groupes visibles). Limitée dans TLS 1.3 en raison du chiffrement.
   • $\Sigma_A$ (Sonde active) : Générée par des sondes contrôlées (par exemple, profils de client offrant des groupes spécifiques). Utilisée pour inférer les bornes inférieures de la capacité du point de terminaison.
   • $\Sigma_C$ (Chaîne de certificats) : Artifacts collectés via une récupération active ou une visibilité passive, fournissant des données d'authentification et de cycle de vie.
   • $\Sigma_R$ (Registre et règles) : Mappages canoniques pour les identifiants (groupes, OID), les alias et les règles d'inférence.

2. Plans de mesure :
   Les preuves sont projetées sur sept plans : Session, Établissement de clés, Capacité, Authentification, Cycle de vie, Observabilité et Politique. Un objet de mesure est considéré comme « clos » dans un plan uniquement lorsque des preuves suffisantes provenant de la surface appropriée sont disponibles.

3. Conception des artefacts et des références :

   • Référence d'observabilité PQ-TLS v1 : Un artefact reproductible contenant 29 scénarios (14 canoniques, 15 de stress). Les scénarios canoniques testent l'extraction dans des conditions propres ; les scénarios de stress testent la gestion de la troncature, de la fragmentation, de la dérive temporelle, de HelloRetryRequest (HRR) et de preuves contradictoires.
   • Modes d'évaluation : Le cadre compare quatre modes :
     • B0 : Référence héritée (inspecteur de paquets de référence).
     • B1 : Uniquement passif.
     • B2 : Passif + Sondage actif.
     • B3 : Multi-surfaces complet (Passif + Actif + Chaîne + Registre).
   • Contrats de stress : Contrairement à une vérité terrain de correspondance exacte, les scénarios de stress utilisent des contrats comportementaux pour récompenser la gestion correcte des états unknown, not_applicable, ambiguity et contradiction.

Contributions clés

1. Modèle de preuves multi-surfaces : Une séparation formelle des preuves de session passive, de sonde active, de chaîne de certificats et de registre, les mappant sur des plans de mesure distincts pour éviter la confusion entre le comportement de session et la capacité du point de terminaison.
2. Artefact reproductible imposé par le schéma : Une implémentation publique (pq_tls_observability) présentant des schémas JSON pour les scénarios et les résultats, des registres versionnés pour les identifiants PQC évolutifs et des règles d'inférence auditable.
3. Évaluation par contrat de stress : Une méthodologie qui note les outils sur leur capacité à préserver l'incertitude et à détecter les contradictions plutôt qu'à forcer des décisions binaires sur des données incomplètes.
4. Validation empirique :
   • Référence contrôlée : Évaluation sur 29 scénarios couvrant TLS 1.2/1.3, clés hybrides/classiques, mTLS et diverses conditions réseau.
   • Campagne publique : Une étude stratifiée de 1 000 cibles publiques avec 2 000 sondes, comparant le cadre aux scanners standards (SSLyze, testssl.sh) et aux références héritées.

Résultats

• Performance de la référence :
  • La référence héritée (B0) n'a détecté que 2 des 29 exécutions et 0 des 23 exécutions TLS 1.3, soulignant l'échec de l'inspection uniquement par paquets dans les environnements chiffrés.
  • Le mode multi-surfaces (B3) a atteint une fermeture complète sur tous les plans dans les scénarios canoniques et a correctement géré l'incertitude dans les scénarios de stress.
• Constats de la campagne publique :
  • Le cadre a complété 1 971 poignées de main et collecté 1 368 artefacts de chaîne.
  • Il a confirmé la capacité hybride pour 310 cibles. Crucialement, ces 310 cibles ont été identifiées comme des cas de « capacité plus large que la session » : une vue de session classique unique les aurait signalées comme uniquement classiques, tandis que la mesure par double sonde a révélé leur support hybride.
  • Les scanners standards (SSLyze, testssl.sh) ont signalé 0 cible confirmée hybride dans la tranche de 250 cibles de la zoo de référence, alors que le mode à double sonde en a confirmé 70.
  • Stabilité : Un tour répété (R1) a montré une stabilité élevée (99,42 % de stabilité claire-complète) avec une dérive minimale dans les données de capacité et de certificat.
• Hétérogénéité des familles : Les taux de confirmation hybride variaient considérablement selon la famille opérationnelle (par exemple, 0,620 pour les communautés de connaissances contre 0,110 pour les fournisseurs gouvernementaux et cloud).

Signification et revendications
L'article revendique qu'une évaluation fiable de la préparation du TLS post-quantique nécessite une discipline de mesure structurée qui sépare :

1. Le comportement de session (ce qui a été négocié) de la capacité du point de terminaison (ce qui est pris en charge).
2. Les sources de preuves (passif vs actif vs chaîne) pour maintenir une provenance et un lien explicites.
3. La mesure des jugements de politique, permettant aux exploitants de voir les preuves brutes avant d'appliquer des verdicts de préparation.

Les auteurs soutiennent que traiter unknown, not_applicable, ambiguity et contradiction comme des sorties de mesure de premier ordre est essentiel pour une audit précis. Ils concluent que les références actuelles des scanners fournissent des signaux classiques utiles mais échouent à révéler les capacités hybrides latentes sans variation délibérée de profil (double sondage) et collecte de preuves multi-surfaces. Le cadre fournit l'infrastructure nécessaire pour combler l'écart entre les indicateurs de paquets visibles et une évaluation complète, basée sur des preuves, de la préparation post-quantique.