Retour à l'accueil

Android 17 : ML-DSA dans Verified Boot et PQC

Google intègre ML-DSA dans Android 17 pour une protection post-quantique. Verified Boot, attestation à distance et Keystore obtiendront un support PQC. Les développeurs utilisent le nouveau SDK avec signatures hybrides dans Google Play.

PQC dans Android 17 : ML-DSA contre les menaces quantiques
Advertisement 728x90

Android 17 intègre la cryptographie post-quantique ML-DSA dans Verified Boot et Keystore

Google intègre la cryptographie post-quantique (PQC) à Android afin de se prémunir contre les attaques quantiques. D'ici 2029, l'ensemble de l'écosystème migrera vers des algorithmes résistants au calcul quantique. Les premières modifications feront leur apparition dans la bêta d'Android 17 : intégration de ML-DSA dans Verified Boot, passage à l'attestation PQC, et mises à jour de KeyMint pour les chaînes de certificats.

Cela garantira l'intégrité du démarrage et la vérification à distance des appareils dans un environnement post-quantique. Les développeurs disposeront d'outils dans Android Keystore et d'un nouveau SDK pour générer des clés ML-DSA-65 et ML-DSA-87.

Intégration de ML-DSA dans Verified Boot

L'algorithme ML-DSA (anciennement Dilithium) est ajouté à Android Verified Boot pour créer des signatures numériques pendant le démarrage. Cela empêchera la modification du logiciel par des méthodes quantiques, telles que les attaques contre RSA et ECC.

Google AdInline article slot

Changements clés :

  • Signatures numériques : ML-DSA génère des signatures résistantes aux quanta pour les images de démarrage.
  • Support matériel : Intégration dans le Trusted Execution Environment (TEE) via KeyMint.
  • Compatibilité : Chaînes de certificats hybrides combinant algorithmes classiques et PQC.

Les appareils pourront attester à distance de leur état, confirmant l'absence de compromission même face aux menaces de type « récolte maintenant, déchiffre plus tard ».

Attestation à distance sur architecture PQC

Android 17 passe à une attestation à distance compatible PQC. KeyMint mettra à jour les chaînes de certificats pour supporter ML-DSA, permettant aux parties de confiance (services, OEM) de vérifier l'intégrité.

Google AdInline article slot

Processus :

  • L'appareil génère un défi d'attestation avec des signatures PQC.
  • Le serveur vérifie la chaîne via des certificats racines mis à jour.
  • Confirmation des états du TEE et des composants système.

Ceci est crucial pour les applications d'entreprise et les architectures Zero Trust, où les risques quantiques croissent.

Support pour les développeurs dans Android Keystore et SDK

Android Keystore s'étend pour supporter ML-DSA dans le cadre de signatures protégées par matériel. Le nouveau SDK PQC fournit l'API KeyPairGenerator pour ML-DSA-65 (haute sécurité) et ML-DSA-87 (équilibre performances).

Google AdInline article slot

Exemple de génération de clé :

KeyPairGenerator kpg = KeyPairGenerator.getInstance("ML-DSA-65", "AndroidKeyStore");
kpg.initialize(new KeyGenParameterSpec.Builder("pqc_key", KeyProperties.PURPOSE_SIGN)
    .setKeySize(2560)
    .build());
KeyPair kp = kpg.generateKeyPair();

Google Play introduira la génération automatique de signatures hybrides : clé classique + ML-DSA. Cela simplifiera la migration des APK sans reconstruire le code.

Comparaison avec d'autres plateformes

Google suit la tendance : Microsoft a intégré ML-KEM et ML-DSA dans Windows Server 2025, Windows 11 et .NET 10. Les algorithmes PQC de NIST sont déjà standardisés, et les systèmes quantiques sont utilisés dans des tâches réelles.

Tableau de comparaison des performances (données NIST approximatives) :

| Algorithme | Taille de clé (bits) | Signature (KB) | Vérification (ms) |

|----------|-----------------|---------------|-------------------|

| ML-DSA-65 | 2560 | 2.4 | 0.5 |

| ML-DSA-87 | 3648 | 3.2 | 0.8 |

| ECDSA P-384 | 384 | 0.07 | 0.1 |

La PQC ajoute une surcharge mais assure la résilience.

Ce qui est important

  • Calendrier de migration : Transition complète de l'écosystème Android vers la PQC d'ici 2029.
  • Bêta Android 17 : Première implémentation de ML-DSA dans Verified Boot et l'attestation.
  • Pour les développeurs : Nouveau SDK et API Keystore pour ML-DSA-65/87, signatures hybrides dans Play.
  • Architecture : Mises à jour de KeyMint pour les chaînes de certificats PQC.
  • Contexte : Protection contre les menaces quantiques comme l'algorithme de Shor sur RSA/ECC.

— Editorial Team

Advertisement 728x90

Lire ensuite