Signal a annoncé l’introduction de Sparse Post-Quantum Ratchet (SPQR), un nouveau composant cryptographique conçu pour résister aux menaces de l’informatique quantique.
SPQR servira de mécanisme avancé qui met continuellement à jour les clés de cryptage utilisées dans les conversations et supprimera les anciennes.
Signal est une application de messagerie et d’appel cryptée multiplateforme de bout en bout gérée par la fondation à but non lucratif Signal, avec une base d’utilisateurs actifs mensuelle estimée à 100 millions.
Le nouveau composant garantit le secret de transmission et la sécurité post-compromission, garantissant que même en cas de compromission de clé ou de vol, les futurs messages échangés entre les parties seront en sécurité.
En termes de cryptographie, SPQR utilise des mécanismes d’encapsulation de clés post-quantiques (ML-KEM) au lieu de Diffie-Hellman à courbe elliptique, et dispose d’un découpage et d’un codage d’effacement efficaces pour gérer de grandes tailles de clés sans gonfler la bande passante.
Signal utilise CRYSTALS-Kyber (un KEM post-quantique) parallèlement à une implémentation de la courbe elliptique Diffie-Hellman depuis 2023 pour se protéger contre les attaques informatiques quantiques qui menacent de casser le cryptage actuel.
Cependant, SPQR vient s’ajouter au système à double cliquet existant, formant ce que Signal appelle un triple cliquet, formule une “clé mixte » hyper sécurisée.”
“Lorsque vous souhaitez envoyer un message, vous demandez à la fois au Double cliquet et au SPQR » Quelle clé de cryptage dois-je utiliser pour le message suivant? »et ils vous donneront tous les deux une clé”, lit-on dans l’annonce de Signal.
“Au lieu que l’une ou l’autre des clés soit utilisée directement, les deux sont transmises à une fonction de dérivation de clé – une fonction spéciale qui prend suffisamment d’entrées aléatoires et produit une clé cryptographique sécurisée aussi longue que nécessaire. Cela vous donne une nouvelle clé « mixte » dotée d’une sécurité hybride.”
Le nouveau système a été conçu en collaboration avec PQShield, AIST (Japon) et l’Université de New York, avec sa base technique basée en partie sur les documents USENIX 2025 et Eurocrypt 2025.
La conception a également été formellement vérifiée à l’aide de ProVerif, et la robustesse de l’implémentation de Rust a été testée à l’aide de l’outil hax. La vérification continue sera désormais appliquée à toutes les versions futures, garantissant que les preuves sont reproduites à chaque changement de code.
Signal indique que le déploiement de SPQR sur la plate-forme de messagerie sera progressif et que les utilisateurs n’ont pas besoin de prendre de mesures pour que la mise à niveau s’applique, à l’exception de la mise à jour de leurs clients vers la dernière version.
Le nouveau système sera rétrocompatible dans le sens où, lorsqu’un client compatible SPQR communique avec quelqu’un qui ne prend pas encore en charge la technologie, le modèle de sécurité sera rétrogradé.
Une fois que SPQR est mis à la disposition de tous les clients, Signal l’appliquera à toutes les sessions.