Elliptic Curve Digital Signature Algorithm (ECDSA)

L'algorithme de signature numérique sur courbe elliptique (ECDSA), ou Elliptic Curve Digital Signature Algorithm, est un mécanisme cryptographique permettant de générer et de vérifier des signatures numériques dans des environnements sécurisés. Basé sur la cryptographie asymétrique et les propriétés mathématiques des courbes elliptiques sur des corps finis, ECDSA assure l'intégrité des données, l'authentification et la non-répudiation des transactions numériques ^[1]. Contrairement à des algorithmes comme RSA, ECDSA offre un niveau de sécurité équivalent avec des clés beaucoup plus courtes — par exemple, une clé de 256 bits dans ECDSA est comparée à une clé RSA de 3072 bits — ce qui le rend particulièrement efficace en termes de calcul, de stockage et de bande passante, idéal pour les systèmes contraints comme les appareils IoT ou les réseaux blockchain ^[2]. L'algorithme repose sur la difficulté du problème du logarithme discret sur courbe elliptique (ECDLP), rendant pratiquement impossible la dérivation de la clé privée à partir de la clé publique. ECDSA est normalisé par des organismes comme le NIST dans son FIPS 186-5 et est largement utilisé dans des protocoles critiques tels que TLS, SSH, IPsec, et dans des systèmes comme Bitcoin et Ethereum, où il sécurise les transactions via la courbe secp256k1 ^[3]. Cependant, son implémentation comporte des risques, notamment la réutilisation du nonce (valeur éphémère), qui a conduit à des failles spectaculaires comme celle du Sony PlayStation 3 en 2010 ^[4]. Pour y remédier, des standards comme RFC 6979 imposent une génération déterministe du nonce, éliminant les dépendances aux générateurs de nombres aléatoires. Malgré son succès, ECDSA fait face à l'émergence d'algorithmes plus robustes comme Schnorr et EdDSA, qui offrent de meilleures preuves de sécurité, une agrégation de signatures native et une résistance accrue aux attaques par canaux auxiliaires ^[5]. Enfin, la menace des ordinateurs quantiques, capables de résoudre l'ECDLP via l'algorithme de Shor, pousse à la transition vers la cryptographie post-quantique, avec des standards comme FIPS 204 (CRYSTALS-Dilithium) annonçant la fin progressive d'ECDSA d'ici 2030–2035 ^[6].

Histoire et normalisation

L'algorithme de signature numérique sur courbe elliptique (ECDSA) a été initialement proposé en 1999 comme une variante de l'Digital Signature Algorithm (DSA) utilisant la cryptographie sur courbe elliptique (ECC) pour offrir une sécurité élevée avec des clés de taille réduite par rapport aux algorithmes asymétriques traditionnels comme RSA ^[7]. Depuis sa conception, ECDSA est devenu un standard largement adopté pour la signature numérique dans des protocoles de sécurité critiques, notamment dans les communications sécurisées via SSL/TLS, les systèmes de monnaie numérique comme Bitcoin, et les normes cryptographiques gouvernementales ^[7].

Normalisation par les organismes de standardisation

ECDSA est normalisé par plusieurs organismes de référence, garantissant son interopérabilité, sa sécurité et sa conformité dans les applications fédérales et commerciales. Le National Institute of Standards and Technology (NIST) inclut ECDSA dans son standard FIPS 186-5, publié en février 2023, intitulé Digital Signature Standard (DSS) ^[9]. Ce document spécifie les méthodes approuvées pour la génération et la vérification des signatures numériques, y compris celles basées sur les courbes elliptiques. FIPS 186-5 remplace la version précédente, FIPS 186-4, tout en maintenant le soutien à ECDSA tout en renforçant les recommandations en matière de génération déterministe de nonces et de gestion des générateurs de nombres aléatoires ^[9].

NIST soutient également la validation des implémentations d'ECDSA via son Cryptographic Algorithm Validation Program (CAVP), qui assure la conformité des logiciels et matériels cryptographiques aux normes FIPS ^[11]. Des orientations complémentaires sont fournies dans le document NIST SP 800-56A Rev. 3, qui traite de l'établissement de clés utilisant la cryptographie sur courbe elliptique ^[12]. En outre, NIST a publié SP 800-186, qui fournit des paramètres de courbes elliptiques pour la cryptographie basée sur le logarithme discret, reflétant une évolution vers des courbes plus transparentes et sécurisées ^[13].

Contributions de l'IETF et d'autres organismes

L'Internet Engineering Task Force (IETF) joue également un rôle clé dans la standardisation d'ECDSA pour les protocoles Internet. Des documents comme RFC 3279 et RFC 5758 définissent les identifiants d'algorithmes et l'encodage ASN.1 pour ECDSA dans les certificats X.509 et les listes de révocation de certificats (CRL), permettant son intégration dans l'infrastructure à clé publique (PKI) ^[14]. L'RFC 4754 spécifie l'utilisation d'ECDSA dans les protocoles IKE et IKEv2 pour l'authentification dans IPsec ^[15], tandis que l'RFC 4050 couvre les signatures numériques XML ^[16].

Un développement majeur est l'adoption de l'RFC 6979, qui spécifie une méthode déterministe pour générer le nonce (valeur éphémère) utilisé dans la signature ECDSA ^[17]. Ce standard élimine la dépendance à des générateurs de nombres aléatoires de qualité cryptographique, réduisant ainsi les risques de réutilisation du nonce, comme cela s'est produit dans la faille spectaculaire du Sony PlayStation 3 en 2010 ^[4]. L'RFC 6979 est désormais fortement recommandé dans FIPS 186-5 et largement implémenté dans des systèmes critiques comme Bitcoin et Ethereum ^[3].

Évolution face aux préoccupations de sécurité et de confiance

Les préoccupations concernant d'éventuelles portes dérobées dans les primitives cryptographiques standardisées ont également influencé l'évolution d'ECDSA. Le scandale de Dual_EC_DRBG, un générateur de nombres aléatoires standardisé par NIST soupçonné d'une porte dérobée liée à la National Security Agency (NSA), a érodé la confiance dans les courbes elliptiques recommandées par NIST, notamment les courbes P-256 (secp256r1) ^[20]. Bien qu'aucune preuve n'ait été publiée d'une porte dérobée dans les courbes elles-mêmes, la manque de transparence dans la génération de leurs paramètres a conduit à une demande accrue pour des courbes conçues de manière vérifiablement aléatoire, comme Curve25519 ^[21].

En réponse, NIST a retiré Dual_EC_DRBG de SP 800-90A en 2014 et a lancé des réformes pour améliorer la transparence de ses processus de normalisation ^[22]. FIPS 186-5 et SP 800-186 reflètent cette évolution en reconnaissant l'importance des courbes à conception rigide et en ouvrant la voie à l'adoption de courbes plus transparentes, tout en maintenant la compatibilité avec les systèmes existants ^[9].

Cadre international et adoption sectorielle

Au niveau international, l'International Organization for Standardization (ISO) normalise ECDSA via la norme ISO/IEC 14888-3:2018, qui spécifie des mécanismes de signature numérique basés sur des problèmes de logarithme discret ^[24]. Ce cadre assure l'harmonisation mondiale et est utilisé par les organismes nationaux de normalisation. Par ailleurs, l'Accredited Standards Committee X9 a publié la norme ANSI X9.62, fondamentale pour l'adoption d'ECDSA dans les services financiers, définissant l'algorithme, les formats de clés et de signatures, et les règles d'encodage ASN.1 <https://standards.globalspec.com/std/1955141/ANSI X9.62>.

Le groupe Standards for Efficient Cryptography (SECG) a également joué un rôle technique majeur en publiant les spécifications SEC1 (détail des opérations sur courbes elliptiques) et SEC2 (paramètres de courbes recommandés, incluant secp256r1 et secp384r1), largement utilisées dans les implémentations open source et commerciales ^[25][26]. Ces efforts conjoints des organismes de normalisation assurent que ECDSA reste une solution viable, conforme et interopérable pour la sécurité numérique, malgré l'émergence de menaces quantiques et la montée en puissance d'algorithmes plus récents comme EdDSA et Schnorr.

Fondements mathématiques et sécurité

L'algorithme de signature numérique sur courbe elliptique (ECDSA) repose sur des fondations mathématiques rigoureuses et des hypothèses de sécurité bien établies, qui en font l'un des mécanismes cryptographiques les plus efficaces et largement déployés. La sécurité de ECDSA découle directement de la difficulté du problème du logarithme discret sur courbe elliptique (ECDLP), combinée à des structures algébriques bien définies sur des corps finis. Ces propriétés permettent d'atteindre un niveau de sécurité élevé avec des clés beaucoup plus courtes que celles requises par des algorithmes comme RSA, rendant ECDSA particulièrement adapté aux environnements contraints en ressources ^[27].

Structure algébrique des courbes elliptiques

Une courbe elliptique $ E $ définie sur un corps fini $ \mathbb{F}_q $, où $ q $ est une puissance de nombre premier, est décrite par une équation de Weierstrass non singulière :

$$ y^2 = x^3 + ax + b \quad \text{avec} \quad 4a^3 + 27b^2 \neq 0 $$

L'ensemble des points sur cette courbe, augmenté d'un point à l'infini noté $ \mathcal{O} $, forme un groupe abélien fini sous l'opération d'addition de points, définie géométriquement par la règle de la corde et de la tangente. Cette structure de groupe est fondamentale pour ECDSA, car elle permet l'opération de multiplication scalaire, qui consiste à ajouter un point à lui-même plusieurs fois : $ k \cdot P $. Cette opération est facile à calculer (en temps logarithmique via l'algorithme double-et-ajoute), mais son inverse — le calcul du scalaire $ k $ à partir des points $ P $ et $ k \cdot P $ — est considéré comme computationnellement infaisable, ce qui constitue la base de la sécurité de l'algorithme ^[28].

La taille du groupe, notée $ #E(\mathbb{F}_q) $, est approximativement égale à $ q $ selon le théorème de Hasse :

$$ |#E(\mathbb{F}_q) - q - 1| \leq 2\sqrt{q} $$

Cette borne garantit que le groupe est suffisamment grand pour résister aux attaques par force brute, notamment celles basées sur l'algorithme rho de Pollard, dont la complexité est en $ O(\sqrt{n}) $, où $ n $ est l'ordre du groupe ^[29].

Sécurité fondée sur le problème ECDLP

La sécurité de ECDSA repose essentiellement sur la difficulté du problème du logarithme discret sur courbe elliptique (ECDLP). Étant donné un point générateur $ G $ d'ordre premier $ n $, et un point public $ Q = d \cdot G $, il est computationnellement infaisable de déterminer le clé privée $ d $, même avec une connaissance complète des paramètres de la courbe. Contrairement au problème du logarithme discret dans les groupes multiplicatifs (utilisé dans DSA), aucune méthode de résolution sous-exponentielle n'est connue pour ECDLP, ce qui permet à ECDSA d'offrir une sécurité équivalente à celle de RSA avec des clés beaucoup plus courtes — par exemple, une clé de 256 bits dans ECDSA équivaut à une clé RSA de 3072 bits ^[2].

Modèles formels de sécurité

Bien que ECDSA soit largement utilisé et considéré comme sûr en pratique, ses preuves de sécurité formelles sont limitées à des modèles idéalisés. Aucune réduction de sécurité dans le modèle standard (sans hypothèses idéalisées) n'est actuellement connue.

• Dans le modèle de groupe générique, introduit par Shoup et Nechaev, l'attaquant interagit avec le groupe de points de la courbe uniquement via un oracle, sans accès à la représentation interne des points. Dans ce cadre, Daniel R. L. Brown a démontré que ECDSA est sûr contre la création de faux signatures existentiels sous attaque adaptative à message choisi (EUF-CMA), sous l'hypothèse de difficulté du problème du logarithme discret un-de-plus (1MDLP) ^[31].

• Dans le modèle de l'oracle aléatoire (ROM), la fonction de hachage (comme SHA-256) est traitée comme une fonction parfaitement aléatoire. Cependant, en raison de la structure non linéaire de l'équation de signature de ECDSA, les techniques classiques comme le lemme de fourchement ne s'appliquent pas directement. Des analyses récentes montrent que les preuves de sécurité nécessitent des hypothèses fortes, notamment la possibilité de "programmer" la fonction de conversion du point de courbe en entier (généralement la coordonnée $ x $ modulo $ n $), ce qui n'est pas réalisable dans des implémentations réelles ^[32].

Ces limitations théoriques indiquent que la sécurité de ECDSA ne peut pas être réduite de manière serrée à ECDLP avec les techniques actuelles, contrairement à des schémas plus modernes comme Schnorr ou EdDSA, qui bénéficient de preuves de sécurité plus robustes ^[33].

Sécurité face aux attaques par canaux auxiliaires

Les modèles formels supposent un environnement idéal, mais en pratique, ECDSA est vulnérable aux attaques par canaux auxiliaires, telles que les attaques temporelles, par analyse de puissance ou électromagnétiques. Ces attaques exploitent des fuites physiques lors de l'exécution de l'algorithme, notamment pendant le calcul de la multiplication scalaire $ k \cdot G $. Par exemple, l'attaque Minerva a démontré qu'une fuite systématique de la longueur en bits du nonce $ k $ pouvait permettre la récupération complète de la clé privée via des techniques de réduction de réseau, même avec des milliers de signatures ^[34]. De même, l'attaque LadderLeak exploite moins d'un bit d'information par signature pour reconstruire la clé privée ^[35].

Ces attaques montrent que les hypothèses de sécurité théoriques sont souvent violées dans des implémentations réelles, soulignant l'importance de mesures de protection concrètes, telles que les implémentations en temps constant, le masquage, et l'utilisation de générateurs de nombres aléatoires cryptographiques sécurisés.

Choix des courbes elliptiques

Le niveau de sécurité de ECDSA dépend également du choix de la courbe elliptique. Deux courbes largement utilisées sont NIST P-256 (ou secp256r1) et secp256k1.

• NIST P-256 est une courbe standardisée par le NIST, avec des paramètres générés à partir d'une graine aléatoire. Bien que considérée comme sécurisée, son processus de génération a fait l'objet de soupçons, notamment à la suite du scandale Dual_EC_DRBG, qui a ébranlé la confiance dans les courbes NIST ^[20].

• secp256k1, utilisée dans Bitcoin et Ethereum, est une courbe de Koblitz avec une structure simple et transparente ($ y^2 = x^3 + 7 $). Bien qu'elle soit légèrement plus vulnérable à certaines attaques algébriques, sa transparence et son optimisation poussée (notamment dans la bibliothèque libsecp256k1) en font un choix privilégié dans les systèmes décentralisés ^[37].

En résumé, la sécurité de ECDSA repose sur une combinaison de la difficulté du problème du logarithme discret sur courbe elliptique, de la structure de groupe des points de la courbe, et de l'utilisation de fonctions de hachage cryptographiques. Cependant, sa sécurité formelle est limitée à des modèles idéalisés, et sa robustesse pratique dépend fortement de l'implémentation, notamment en ce qui concerne la génération du nonce et la résistance aux attaques par canaux auxiliaires.

Processus de signature et de vérification

Le processus de signature et de vérification dans l'Elliptic Curve Digital Signature Algorithm (ECDSA) repose sur des opérations mathématiques rigoureuses impliquant des courbes elliptiques sur des corps finis, une fonction de hachage cryptographique, et une gestion sécurisée d'une valeur éphémère appelée nonce. Ce mécanisme garantit que seul le détenteur de la clé privée peut produire une signature valide, tandis que toute personne disposant de la clé publique correspondante peut la vérifier sans jamais accéder à la clé secrète ^[1].

Génération de la clé

Avant toute opération de signature, une paire de clés doit être générée. La clé privée \(d\) est un entier aléatoire choisi dans l'intervalle \([1, n-1]\), où \(n\) est l'ordre du sous-groupe généré par un point de base \(G\) prédéfini sur la courbe elliptique. La clé publique \(Q\) est ensuite calculée par multiplication scalaire : \(Q = d \times G\). Cette opération exploite les propriétés du groupe abélien formé par les points de la courbe, où l'addition de points suit la règle de la corde et de la tangente. La sécurité de cette étape repose sur la difficulté du problème du logarithme discret sur courbe elliptique (ECDLP), qui rend pratiquement impossible de déduire \(d\) à partir de \(Q\) et \(G\) ^[25].

Processus de signature

La signature d'un message \(m\) implique plusieurs étapes critiques :

1. Hachage du message : Le message est d'abord haché à l'aide d'une fonction cryptographique sécurisée comme SHA-256, produisant un condensat \(e\) de taille fixe.
2. Génération du nonce : Un nombre éphémère \(k\) est généré. Ce nonce doit être unique, imprévisible et gardé secret pour chaque signature. Sa mauvaise génération est la source de nombreuses vulnérabilités, comme la réutilisation du nonce qui permet de récupérer la clé privée.
3. Calcul du point \(R\) : Le point \(R = k \times G\) est calculé, et sa coordonnée \(x\) est utilisée pour déterminer \(r = x_R \mod n\). Si \(r = 0\), un nouveau \(k\) doit être choisi.
4. Calcul de \(s\) : La seconde composante de la signature est calculée par \(s = k^{-1}(e + d \cdot r) \mod n\). Si \(s = 0\), un nouveau \(k\) est nécessaire.
5. Sortie de la signature : La signature finale est la paire \((r, s)\), qui est jointe au message pour transmission.

La sécurité de ce processus dépend crucialement de la qualité du générateur de nombres aléatoires. Pour y remédier, le RFC 6979 propose une méthode déterministe de génération du nonce, où \(k\) est dérivé de manière cryptographique à partir de la clé privée et du hachage du message via HMAC-SHA256. Cette approche élimine la dépendance à un générateur aléatoire externe, prévenant ainsi les failles liées à la prédiction ou à la réutilisation du nonce ^[17].

Processus de vérification

La vérification permet à un tiers de confirmer l'authenticité et l'intégrité du message sans connaître la clé privée. Les étapes sont les suivantes :

1. Vérification des plages : Le vérificateur s'assure que \(r\) et \(s\) sont compris dans \([1, n-1]\).
2. Calcul de \(w\) : L'inverse modulaire de \(s\) est calculé : \(w = s^{-1} \mod n\).
3. Calcul des coefficients \(u_1\) et \(u_2\) : \(u_1 = e \cdot w \mod n\) et \(u_2 = r \cdot w \mod n\).
4. Calcul du point de vérification : Le point \(R' = u_1 \cdot G + u_2 \cdot Q\) est déterminé, où \(Q\) est la clé publique du signataire.
5. Validation finale : La signature est valide si la coordonnée \(x\) de \(R'\) modulo \(n\) est égale à \(r\), soit \(r' \equiv r \mod n\).

Ce processus repose sur la cohérence algébrique des opérations de groupe. Si la signature a été correctement générée, la substitution des équations montre que \(R'\) doit être égal à \(k \cdot G\), garantissant ainsi la validité. Le vérificateur doit également s'assurer que la clé publique \(Q\) est valide — c'est-à-dire qu'elle appartient bien à la courbe et que \(n \cdot Q = \mathcal{O}\) (le point à l'infini) — pour éviter des attaques par injection de points malformés ^[41].

Vulnérabilités liées au nonce

La sécurité de ECDSA est extrêmement sensible à la qualité du nonce \(k\). Si le même \(k\) est utilisé pour signer deux messages différents, un attaquant peut résoudre un système d'équations pour retrouver la clé privée \(d\). Même une fuite partielle de bits de \(k\) (par exemple via des attaques par canaux auxiliaires) peut permettre des attaques basées sur le problème du nombre caché (HNP), utilisant des techniques de réduction de réseau comme LLL pour reconstruire \(d\). Des attaques comme Minerva et LadderLeak ont démontré que des fuites de moins d'un bit par signature peuvent suffire à compromettre la clé après plusieurs observations ^[42]. Ces menaces soulignent l'importance de la génération de nonces déterministes et de l'implémentation de contre-mesures contre les attaques par canaux auxiliaires, telles que les algorithmes en temps constant et le masquage des calculs ^[34].

Malleabilité des signatures

Une particularité d'ECDSA est la malleabilité de ses signatures : si \((r, s)\) est une signature valide, alors \((r, -s \mod n)\) est également valide. Cette propriété a causé des problèmes dans les systèmes blockchain comme Bitcoin et Ethereum, où elle pouvait être exploitée pour modifier l'identifiant de transaction (txid) sans invalider la signature, perturbant ainsi le suivi des transactions. Pour y remédier, Bitcoin a adopté BIP 146, qui impose des règles strictes d'encodage et l'utilisation de valeurs basses pour \(s\), réduisant ainsi la malleabilité. Ethereum normalise également les signatures pour n'utiliser que les valeurs basses de \(s\) sur la courbe secp256k1 ^[44].

Comparaison avec d'autres algorithmes de signature

L'Elliptic Curve Digital Signature Algorithm (ECDSA) s'inscrit dans un écosystème plus large d'algorithmes de signature numérique, dont les plus notables sont RSA et Schnorr. Chaque algorithme présente des compromis distincts en termes de sécurité, de performance, d'efficacité et de propriétés cryptographiques. Cette section compare ECDSA à ces alternatives, en mettant l'accent sur leurs différences fondamentales, leurs forces et leurs faiblesses dans des contextes d'application réels.

Comparaison avec RSA

ECDSA et RSA sont deux des algorithmes de signature numérique les plus répandus, mais ils reposent sur des principes mathématiques radicalement différents, ce qui se traduit par des performances et des caractéristiques d'usage divergentes.

Base de sécurité

• ECDSA tire sa sécurité du problème du logarithme discret sur courbe elliptique (ECDLP), qui consiste à déterminer un scalaire secret à partir de points sur une courbe elliptique. Ce problème est considéré comme computationnellement difficile, permettant à ECDSA d'offrir un niveau de sécurité élevé avec des clés beaucoup plus courtes.
• RSA, en revanche, repose sur la difficulté de la factorisation des grands nombres premiers. Pour atteindre un niveau de sécurité équivalent, RSA nécessite des clés significativement plus longues que celles d'ECDSA, ce qui impacte négativement l'efficacité.

Taille des clés et efficacité

La différence la plus frappante réside dans la taille des clés. Par exemple, une clé de 256 bits dans ECDSA offre une sécurité comparable à une clé RSA de 3072 bits. Cette efficacité en matière de taille de clé se traduit par des avantages concrets :

• Stockage réduit : les clés et signatures ECDSA occupent moins d'espace, ce qui est crucial pour les systèmes à ressources limitées comme les dispositifs IoT.
• Moindre bande passante : les transactions signées avec ECDSA sont plus compactes, réduisant la charge sur les réseaux, notamment dans les systèmes blockchain comme Bitcoin.
• Calculs plus rapides : la génération de clés et la création de signatures sont généralement plus rapides avec ECDSA en raison de l'arithmétique sur des corps plus petits.

Performance

Les performances varient selon l'opération :

• Création de signature : ECDSA est généralement plus rapide que RSA, car il évite les exponentiations modulaires coûteuses sur de grands entiers.
• Vérification de signature : RSA excelle souvent dans la vérification, surtout lorsqu'il utilise de petits exposants publics comme 65537, ce qui simplifie les calculs. ECDSA, en revanche, peut nécessiter des opérations plus complexes sur la courbe elliptique, ce qui peut ralentir la vérification.
• Consommation énergétique : ECDSA est plus efficace en termes de puissance, ce qui le rend idéal pour les appareils mobiles et les systèmes embarqués.

Adoption

• ECDSA est largement adopté dans les systèmes modernes, notamment dans les protocoles sécurisés comme TLS, SSH, IPsec, et dans les blockchains.
• RSA reste omniprésent dans les systèmes hérités, les certificats PKI, et les environnements où la vitesse de vérification est primordiale.

{{Image|A side-by-side comparison of ECDSA and RSA cryptographic operations on a computer screen, showing key sizes, signature generation and verification times, and resource usage|Comparaison visuelle des performances d'ECDSA et RSA}

Comparaison avec Schnorr

Bien que ECDSA et Schnorr reposent tous deux sur la cryptographie à courbe elliptique, leurs structures algébriques et leurs propriétés fonctionnelles diffèrent de manière significative, donnant à Schnorr des avantages théoriques et pratiques importants.

Structure algébrique

• ECDSA utilise une structure non linéaire. Sa signature, composée de deux éléments (r, s), dépend de la coordonnée x d'un point sur la courbe, ce qui introduit une non-linéarité qui complique les preuves de sécurité.
• Schnorr, en revanche, possède une structure linéaire. Sa signature est de la forme s = k + H(R || P || m)d, où R = kG. Cette linéarité permet des propriétés cryptographiques puissantes, telles que l'agrégation de signatures et la vérification par lots, rendant Schnorr particulièrement adapté aux protocoles complexes comme Bitcoin avec son amélioration Taproot.

Sécurité prouvée

• ECDSA souffre d'un manque de preuve de sécurité robuste dans le modèle standard. Ses preuves reposent sur des modèles idéalisés comme le modèle du groupe générique ou le modèle de l'oracle aléatoire, et nécessitent souvent des hypothèses fortes, comme la programmabilité de la fonction de conversion du point en entier. Cela signifie que sa sécurité théorique est moins solide que celle de Schnorr.
• Schnorr bénéficie de preuves de sécurité plus fortes et plus serrées. Des travaux récents ont établi sa sécurité sous des hypothèses falsifiables et non interactives, comme l'hypothèse du logarithme discret circulaire (CDL), offrant une meilleure garantie théorique contre les attaques par message choisi adaptatif (EUF-CMA).

Résistance aux attaques

• ECDSA est extrêmement sensible aux fuites ou biais du nonce k. Même une fuite de moins d'un bit par signature peut, avec suffisamment de signatures, permettre une récupération de la clé privée via des attaques par treillis ou des analyses de Fourier. Des attaques comme LadderLeak exploitent ces vulnérabilités.
• Schnorr est également vulnérable à la fuite du nonce, mais sa structure linéaire permet des contre-mesures plus robustes. L'utilisation de nonces déterministes (par exemple, k = H(d || m)) est naturelle et sécurisée, éliminant le risque de génération aléatoire défaillante.

Fonctionnalités avancées

• Agrégation de signatures : Schnorr permet l'agrégation native de plusieurs signatures en une seule, ce qui améliore la confidentialité et réduit la taille des données sur la blockchain. ECDSA ne supporte pas cette fonctionnalité de manière native.
• Signature à seuil : Schnorr permet des protocoles de signature à seuil efficaces et naturels, tandis que ceux basés sur ECDSA sont plus complexes et moins performants.

Comparaison avec EdDSA

EdDSA (Edwards-curve Digital Signature Algorithm), dont la variante Ed25519 est la plus connue, est un autre successeur moderne d'ECDSA, conçu pour être plus sûr et plus rapide.

Sécurité et déterminisme

• ECDSA dépend d'un générateur de nombres aléatoires sécurisé pour le nonce k. La réutilisation ou la prévisibilité du nonce mène à la perte immédiate de la clé privée, comme dans le cas du Sony PlayStation 3.
• EdDSA est intrinsèquement déterministe. Le nonce est généré de manière cryptographique à partir du message et de la clé privée, éliminant complètement le besoin d'aléa aléatoire pendant la signature. Cela le rend résistant par conception aux attaques par réutilisation du nonce.

Résistance aux canaux auxiliaires

• ECDSA peut être vulnérable aux attaques par canal auxiliaire (timing, consommation d'énergie) si l'implémentation n'est pas en temps constant.
• EdDSA est conçu pour être résistant aux canaux auxiliaires. Il utilise des formules d'addition complètes sur les courbes de Edwards, évitant les branches conditionnelles, et est souvent implémenté en temps constant par défaut.

Malleabilité

• ECDSA souffre de malleabilité : une signature valide (r, s) peut être transformée en une autre signature valide (r, -s mod n), ce qui a causé des problèmes dans Bitcoin avant l'adoption de SegWit.
• EdDSA est non-malleable par conception, car il normalise la sortie de la signature, garantissant un résultat unique pour un message et une clé donnés.

En conclusion, bien qu'ECDSA reste un pilier de la sécurité numérique grâce à son adoption massive et son efficacité, des algorithmes plus récents comme Schnorr et EdDSA offrent des améliorations significatives en matière de sécurité prouvée, de résistance aux attaques, d'efficacité et de fonctionnalités avancées. La transition vers ces schémas, notamment dans les systèmes blockchain, illustre l'évolution continue vers des mécanismes de signature plus robustes et plus adaptés aux défis du futur.

Applications dans les systèmes blockchain

L'algorithme de signature numérique sur courbe elliptique (ECDSA) joue un rôle fondamental dans la sécurité des systèmes blockchain, où il assure l'authenticité, l'intégrité et la non-répudiation des transactions numériques. En permettant aux utilisateurs de prouver la propriété de leurs fonds sans révéler leur clé privée, ECDSA constitue la pierre angulaire des mécanismes de confiance dans les environnements décentralisés comme Bitcoin et Ethereum. L'utilisation d'ECDSA repose sur la difficulté du problème du logarithme discret sur courbe elliptique (ECDLP), rendant pratiquement impossible la dérivation d'une clé privée à partir d'une clé publique ou d'une signature valide ^[3].

Utilisation dans Bitcoin et Ethereum

Dans Bitcoin, ECDSA est intégré au cœur du protocole pour sécuriser les transactions. Chaque transaction est signée à l'aide de la clé privée du détenteur des fonds, en utilisant la courbe elliptique secp256k1, normalisée par le groupe SECG. La signature numérique, composée des valeurs (r, s), est vérifiée par les nœuds du réseau à l'aide de la clé publique correspondante, garantissant que seul le véritable propriétaire peut dépenser des bitcoins ^[46]. De même, Ethereum utilise ECDSA avec la même courbe secp256k1 pour valider les transactions et les messages d'appels de contrat, assurant la cohérence et la sécurité de l'état du réseau ^[46]. Cette adoption généralisée s'explique par l'efficacité d'ECDSA, qui permet des clés plus courtes — une clé de 256 bits offrant une sécurité équivalente à une clé RSA de 3072 bits — réduisant ainsi la taille des transactions et les frais associés.

Défis d'implémentation dans les environnements décentralisés

L'intégration d'ECDSA dans les systèmes blockchain expose des défis uniques liés à la nature décentralisée et adversaire de ces environnements. Le principal risque réside dans la génération du nonce, une valeur éphémère utilisée lors de la création de chaque signature. Si le même nonce est réutilisé pour signer deux messages différents avec la même clé privée, un attaquant peut résoudre un système d'équations algébriques pour récupérer la clé privée ^[48]. Ce type de vulnérabilité a conduit à des failles spectaculaires, comme celle du Sony PlayStation 3 en 2010, où la réutilisation du nonce a permis d'exfiltrer la clé de signature maître ^[4]. Dans les blockchains, des implémentations défectueuses de générateurs de nombres aléatoires (RNG) peuvent introduire un biais ou une prévisibilité dans les nonces, rendant les clés vulnérables à des attaques par analyse de canal auxiliaire ou par le biais de techniques de cryptanalyse par treillis ^[50].

Mesures d'atténuation : Signature déterministe (RFC 6979)

Pour contrer les risques liés à la génération aléatoire des nonces, les systèmes blockchain adoptent largement la méthode de signature déterministe définie dans le RFC 6979. Ce standard remplace la dépendance à un RNG externe en générant le nonce de manière déterministe à partir du hachage du message et de la clé privée, en utilisant une fonction de hachage cryptographique comme HMAC-SHA256 ^[17]. Cette approche garantit que la même clé et le même message produiront toujours la même signature, éliminant ainsi la possibilité de réutilisation accidentelle du nonce. Bitcoin et Ethereum ont intégré RFC 6979 dans leurs bibliothèques de signature de référence, telles que libsecp256k1, renforçant considérablement la sécurité des opérations de signature ^[52]. Cependant, cette détermination introduit de nouveaux défis, notamment en matière d'attaques par injection de fautes, où un attaquant pourrait obtenir des paires de signatures correctes et erronées pour retrouver la clé privée ^[53].

Vulnérabilité à la malléabilité des signatures

Une autre limitation notable d'ECDSA dans les blockchains est la malléabilité des signatures. En effet, si (r, s) est une signature valide, alors (r, -s mod n) est également valide en raison de la symétrie de la courbe elliptique. Cette propriété permet à un tiers d'altérer la signature d'une transaction non confirmée sans en invalider la validité, ce qui change l'identifiant de transaction (txid) et peut perturber le suivi des paiements. Ce problème a été exploité dans des incidents comme le piratage de l'échange Mt. Gox en 2014, où des attaquants ont manipulé les identifiants de transaction pour créer des désaccords dans la comptabilité interne de l'échange ^[54]. Pour y remédier, Bitcoin a implémenté Segregated Witness (SegWit) via le BIP141, qui sépare les données de signature (witness) du corps principal de la transaction. Ainsi, le txid est calculé sans les données de signature, le rendant immuable face à la malléabilité ^[55]. De plus, des règles comme le BIP146 imposent l'utilisation de valeurs basses de s (low-S), réduisant davantage les vecteurs de malléabilité.

Transition vers des schémas de signature modernes

Malgré son succès, ECDSA fait face à l'émergence de schémas de signature plus avancés comme Schnorr et EdDSA, qui offrent des améliorations significatives en matière d'efficacité et de sécurité. Schnorr, adopté dans Bitcoin via l'activation de Taproot (BIP340), permet une agrégation native de signatures, où plusieurs signatures peuvent être combinées en une seule, réduisant la taille des transactions multi-signatures et améliorant la confidentialité ^[56]. Les signatures Schnorr sont également intrinsèquement non malléables et supportent une vérification par lots plus efficace, ce qui améliore la scalabilité du réseau. De son côté, EdDSA, utilisé dans des blockchains comme Solana et Cardano, est conçu pour être déterministe par défaut, éliminant complètement la dépendance à un RNG, et offre une meilleure résistance aux attaques par canal auxiliaire grâce à l'utilisation de courbes de Edwards ^[57]. Ces évolutions marquent une tendance vers des mécanismes de signature plus robustes, plus efficaces et mieux adaptés aux besoins des systèmes blockchain modernes.

Vulnérabilités et attaques connues

L'algorithme de signature numérique sur courbe elliptique (ECDSA) repose sur la difficulté du problème du logarithme discret sur courbe elliptique (ECDLP), mais sa sécurité dépend fortement d'une implémentation rigoureuse. Des failles dans la génération du nonce, des attaques par canaux auxiliaires ou des propriétés inhérentes comme la malléabilité des signatures peuvent compromettre l'intégrité du système et entraîner la récupération de la clé privée. Ces vulnérabilités ont été exploitées dans des contextes réels, notamment dans les systèmes de type blockchain.

Réutilisation et biais du nonce

La vulnérabilité la plus critique d'ECDSA concerne le nonce k, une valeur éphémère qui doit être aléatoire, secrète et utilisée une seule fois. Si le même k est réutilisé pour signer deux messages différents, un attaquant peut résoudre un système d'équations algébriques pour récupérer directement la clé privée ^[58]. Ce scénario s'est produit en 2010 lors de la fuite de la clé privée du Sony PlayStation 3, où une implémentation défectueuse a réutilisé le nonce, permettant aux chercheurs de dériver la clé maîtresse ^[4].

Même un biais partiel ou une prédiction partielle du nonce peut être exploitée. Par exemple, la vulnérabilité CVE-2024-31497 dans PuTTY concernait une génération de nonce biaisée pour les clés NIST P-521, permettant la récupération de la clé privée après environ 60 signatures ^[60]. Des attaques comme LadderLeak exploitent des fuites de moins d'un bit d'information sur le nonce via des variations de temps d'exécution, permettant la récupération complète de la clé à l'aide de méthodes basées sur les réseaux euclidiens ^[35].

Attaques par canaux auxiliaires

Les implémentations d'ECDSA sont sensibles aux attaques par canaux auxiliaires, qui exploitent des caractéristiques physiques du système pendant l'exécution. Les attaques par temps analysent les variations de durée des opérations cryptographiques pour en déduire des informations sur le nonce ou la clé privée. Par exemple, CVE-2024-23342 affectait le package ecdsa en Python en raison de fuites temporelles pouvant exposer les nonces ^[62].

Les attaques par analyse de puissance et les attaques électromagnétiques capturent la consommation d'énergie ou les émissions électromagnétiques pendant les opérations de signature. Des recherches ont démontré la possibilité d'extraire des clés ECDSA à partir de smartphones via des capteurs non intrusifs ^[63]. De plus, des attaques basées sur l'état de veille du processeur ont montré que des fuites de puissance peuvent révéler des informations sur le nonce, même dans des implémentations masquées ^[64]. Le projet Minerva a systématiquement analysé 24 bibliothèques et modules matériels, révélant que de nombreux systèmes fuyaient la longueur en bits du nonce via des variations temporelles, permettant la récupération complète de la clé privée après quelques milliers de signatures ^[34].

Malléabilité des signatures

Les signatures ECDSA sont malléables, ce qui signifie qu'une signature valide peut être modifiée sans accès à la clé privée tout en restant vérifiable. Cette propriété provient du fait que si (r, s) est une signature valide, alors (r, -s mod n) l'est également, en raison de la symétrie de la négation des points sur la courbe elliptique ^[54]. Cette malléabilité a causé des problèmes dans les réseaux blockchain comme Bitcoin et Ethereum, où une modification de la signature change l'identifiant de transaction (txid), pouvant invalider des transactions ou perturber le suivi.

Ce problème a été exploité dans des incidents notoires, notamment l'attaque contre l'échange Mt. Gox en 2014, où les attaquants ont manipulé les identifiants de transaction pour créer des incohérences dans la comptabilité de l'échange ^[54]. Pour atténuer ce risque, Bitcoin a introduit BIP 146, qui impose un encodage DER strict et l'utilisation de valeurs s basses (low-S) pour réduire la malléabilité ^[44]. Ethereum normalise également les signatures pour utiliser uniquement des valeurs s basses sur la courbe secp256k1 ^[69].

Fuites partielles et attaques par réseau euclidien

Même lorsque le nonce n'est pas réutilisé, une fuite partielle de ses bits peut suffire à compromettre la sécurité. Ce scénario est formalisé par le Problème du Nombre Caché (Hidden Number Problem, HNP), où un attaquant disposant d'une fraction des bits du nonce sur plusieurs signatures peut utiliser des techniques basées sur les réseaux euclidiens pour reconstruire la clé privée ^[70]. Des attaques comme celles de type Bleichenbacher exploitent des biais statistiques dans les nonces, tandis que des avancées récentes combinant le crible de réseau et l'analyse de Fourier permettent de combler les écarts entre différents modèles d'attaque, rendant la récupération de clé plus efficace avec un nombre réduit de signatures ^[50].

Attaques sur les courbes spécifiques

Certaines vulnérabilités sont spécifiques à certaines courbes elliptiques. Par exemple, les courbes de type Koblitz comme secp256k1 peuvent être légèrement plus vulnérables à des attaques algébriques exploitant des endomorphismes efficaces, bien que cela ne compromette pas la sécurité pratique actuelle ^[72]. En revanche, les courbes standardisées par le NIST, comme P-256 (secp256r1), ont fait l'objet de soupçons de backdoor en raison de la controverse autour de Dual_EC_DRBG, bien qu'aucune preuve d'une faille dans les courbes elles-mêmes n'ait été trouvée ^[20]. Ces préoccupations ont conduit à une préférence croissante pour des courbes à conception transparente comme Curve25519, dont les paramètres sont générés de manière vérifiablement aléatoire ^[21].

Contremesures et bonnes pratiques

L'algorithme de signature numérique sur courbe elliptique (ECDSA) repose sur des hypothèses de sécurité fortes, notamment la difficulté du problème du logarithme discret sur courbe elliptique (ECDLP). Toutefois, sa sécurité théorique est souvent compromise par des erreurs d'implémentation, des failles dans la génération de nombres aléatoires ou des attaques par canaux auxiliaires. Pour garantir une utilisation robuste de ECDSA, il est essentiel d'adopter des contremesures rigoureuses et des bonnes pratiques reconnues par la communauté cryptographique.

Génération déterministe du nonce : RFC 6979

La vulnérabilité la plus critique d'ECDSA provient de la génération du nonce $k$, une valeur éphémère utilisée pour chaque signature. Si cette valeur est réutilisée ou prévisible, un attaquant peut récupérer la clé privée à partir de deux signatures distinctes. Ce type de faille a conduit à des incidents majeurs, comme la fuite de la clé privée du Sony PlayStation 3 en 2010 ^[4].

Pour éliminer ce risque, le RFC 6979 spécifie une méthode de génération déterministe du nonce ^[17]. Au lieu de dépendre d'un générateur de nombres aléatoires (RNG), le nonce est dérivé de manière cryptographique à partir de la clé privée et du haché du message, à l'aide d'une fonction comme HMAC-SHA256. Cette approche garantit que :

• Le même message et la même clé produisent toujours le même nonce (et donc la même signature).
• Le nonce est imprévisible pour un observateur externe.
• La dépendance à un RNG de qualité est éliminée, ce qui protège contre les défaillances matérielles ou logicielles.

Le RFC 6979 est largement adopté dans les systèmes critiques, notamment dans Bitcoin et Ethereum, où la sécurité des transactions repose sur cette pratique ^[77]. Bien que cette méthode introduise une nouvelle surface d'attaque potentielle (par exemple, les attaques par faute), elle reste la meilleure défense contre les erreurs de génération aléatoire.

Protection contre les attaques par canaux auxiliaires

Les attaques par canaux auxiliaires exploitent des informations physiques ou temporelles pour extraire des secrets cryptographiques. ECDSA est particulièrement vulnérable à ces attaques, car des variations dans le temps d'exécution, la consommation d'énergie ou les émissions électromagnétiques peuvent révéler des bits du nonce $k$ ou de la clé privée.

Des attaques notables incluent :

• Minerva : une attaque par canal temporel qui exploite des fuites dans la longueur en bits du nonce, permettant la récupération de la clé privée après plusieurs milliers de signatures ^[34].
• LadderLeak : une attaque qui exploite moins d'un bit d'information par signature via des variations temporelles, rendant possible la récupération de la clé même avec une fuite minime ^[35].
• Attaques par état de veille : des recherches récentes montrent que les fluctuations de puissance lors des transitions d'état du processeur peuvent révéler des informations sur le nonce ^[64].

Les principales contremesures incluent :

• Implémentations en temps constant : les algorithmes doivent s'exécuter en un temps indépendant des données secrètes. Des bibliothèques comme BearSSL et libsecp256k1 utilisent des algorithmes en temps constant pour la multiplication scalaire ^[81].
• Masquage et brouillage : le masquage aléatoire des valeurs intermédiaires (par exemple, en utilisant des coordonnées projectives aléatoires) empêche les attaques par analyse de puissance différentielle (DPA) ^[82].
• Blindage du scalaire : le calcul de $ (k + r \cdot n) \cdot G $ au lieu de $ k \cdot G $, où $ r $ est aléatoire, cache la valeur effective du nonce.

Normalisation des signatures et atténuation de la malléabilité

ECDSA souffre d’un problème de malléabilité des signatures : une signature valide $(r, s)$ peut être transformée en une autre signature valide $(r, -s \mod n)$, ce qui change l’identifiant de transaction (txid) sans invalider la signature. Ce comportement a été exploité dans des attaques sur des plateformes comme Bitcoin, notamment lors du piratage de Mt. Gox en 2014 ^[54].

Pour atténuer ce risque :

• BIP 146 impose l'utilisation de la valeur la plus faible possible pour $s$ (low-S), éliminant ainsi une des principales sources de malléabilité ^[44].
• Segregated Witness (SegWit), activé via BIP 141, déplace les données de signature hors du corps principal de la transaction, rendant le txid insensible aux modifications de la signature ^[55].
• Sur Ethereum, les signatures sont normalisées pour utiliser uniquement des valeurs low-S sur la courbe secp256k1 ^[69].

Sélection des courbes elliptiques et gestion des clés

Le choix de la courbe elliptique influence directement la sécurité et la performance d'ECDSA. Deux familles dominent :

• NIST P-256 (secp256r1) : normalisée par le NIST, elle est largement utilisée dans les protocoles comme TLS et les systèmes d’entreprise, offrant une bonne interopérabilité ^[9].
• secp256k1 : utilisée par Bitcoin et Ethereum, elle est appréciée pour sa transparence et ses performances optimisées, notamment via la bibliothèque libsecp256k1 ^[52].

Cependant, les préoccupations liées à la possible présence de portes dérobées dans les courbes NIST (comme dans le cas du générateur Dual_EC_DRBG) ont conduit à une préférence croissante pour des courbes conçues de manière transparente, comme Curve25519 ^[20]. Bien que Curve25519 soit principalement utilisée pour l’échange de clés (ECDH), sa variante signature, Ed25519, offre une sécurité supérieure et une résistance accrue aux attaques par canaux auxiliaires.

Bonnes pratiques pour les développeurs

Les développeurs doivent adopter une approche défensive pour implémenter ECDSA en toute sécurité :

• Utiliser des bibliothèques éprouvées : privilégier des bibliothèques auditées comme OpenSSL, Bouncy Castle, libsecp256k1 ou BearSSL, plutôt que d’implémenter l’algorithme à partir de zéro ^[50].
• Valider strictement les signatures : rejeter toute signature mal formée ou contenant des valeurs $r$ ou $s$ hors des bornes spécifiées.
• Surveiller les vulnérabilités connues : rester informé des CVE liées à ECDSA, comme CVE-2024-31497 (biais dans la génération du nonce sur NIST P-521) ou CVE-2024-23342 (fuite temporelle dans le package Python ecdsa) ^[60].
• Planifier la transition vers la cryptographie post-quantique : ECDSA est vulnérable à l’algorithme de Shor sur un ordinateur quantique. Les organisations doivent préparer leur migration vers des algorithmes résistants au quantique comme CRYSTALS-Dilithium (FIPS 204) ^[6].

Évolution vers la cryptographie post-quantique

La menace des ordinateurs quantiques capables de résoudre le problème du logarithme discret sur courbe elliptique (ECDLP) via l'algorithme de Shor pousse à une transition progressive vers la cryptographie post-quantique. Cette évolution est désormais encadrée par des feuilles de route officielles, notamment celles du NIST, qui prévoit la fin progressive de l'utilisation d'ECDSA dans les systèmes critiques d'ici 2030–2035 ^[6]. Le remplacement de l'ECDSA ne se fait pas par un simple ajustement, mais par l'adoption de nouveaux algorithmes fondamentalement résistants aux attaques quantiques, conçus pour assurer la continuité de la sécurité numérique dans l'ère post-quantique.

Transition vers les algorithmes résistants aux ordinateurs quantiques

Le principal moteur de cette transition est la vulnérabilité théorique de l'ECDSA face à l'algorithme de Shor, qui permettrait à un ordinateur quantique suffisamment puissant de dériver la clé privée à partir de la clé publique en un temps polynomial. Pour contrer cette menace, le NIST a mené un processus de sélection de plusieurs années visant à standardiser des algorithmes de signature numérique résistants aux ordinateurs quantiques. En juillet 2024, le NIST a publié FIPS 204, qui normalise CRYSTALS-Dilithium comme algorithme principal de signature post-quantique, accompagné de Falcon et SPHINCS+ comme options complémentaires ^[94]. Ces algorithmes reposent sur des problèmes mathématiques différents, tels que la théorie des réseaux (lattice-based cryptography), qui sont considérés comme inattaquables par les ordinateurs quantiques actuels et prévisibles. La mise en œuvre de ces nouveaux standards marque une rupture fondamentale avec les mécanismes basés sur la cryptographie asymétrique traditionnelle comme ECDSA et RSA.

Feuilles de route institutionnelles et impératifs réglementaires

La transition est guidée par des documents officiels qui imposent des délais clairs. Le NIST, dans son IR 8547, recommande de cesser d'utiliser les algorithmes classiques comme ECDSA et RSA pour les nouveaux systèmes d'ici 2030, avec une migration complète attendue d'ici 2035 ^[6]. De même, l'Agence de sécurité nationale des États-Unis (NSA) a publié la suite CNSA 2.0, qui exige l'adoption d'algorithmes résistants aux ordinateurs quantiques pour les systèmes de sécurité nationale d'ici 2033 ^[96]. Ces impératifs réglementaires obligent les organisations gouvernementales et les entreprises du secteur de la défense à planifier dès maintenant leur migration. Le processus est complexe et peut prendre entre 5 et 10 ans, selon l'évaluation du NIST, ce qui souligne l'urgence de la préparation. Cette transition n'est pas seulement technique, mais aussi organisationnelle, nécessitant une agilité cryptographique pour permettre la substitution des algorithmes sans perturber l'architecture des systèmes ^[97].

Coexistence et approches hybrides

Pendant la période de transition, une coexistence des systèmes est inévitable. Les systèmes continueront d'utiliser ECDSA pour assurer la compatibilité avec les infrastructures existantes, notamment dans les protocoles comme TLS, SSH et les réseaux blockchain comme Bitcoin et Ethereum. Pour renforcer la sécurité pendant cette période, des approches hybrides sont explorées. Ces schémas combinent une signature ECDSA avec une signature post-quantique, créant une double couche de protection. Si l'un des algorithmes venait à être compromis (par exemple, ECDSA par un ordinateur quantique), l'autre (post-quantique) garantirait encore l'intégrité et l'authenticité. Cette stratégie permet de bénéficier de la maturité et de l'interopérabilité d'ECDSA tout en se préparant activement à l'avenir. De plus, la communauté cryptographique s'oriente vers des courbes plus transparentes comme Curve25519 et des algorithmes plus robustes comme EdDSA et Schnorr comme étapes intermédiaires, bien que ces derniers ne soient pas non plus résistants aux ordinateurs quantiques ^[98]. L'avenir de la signature numérique repose donc sur une stratégie en couches, combinant la sécurité immédiate, la préparation à long terme et une capacité d'adaptation constante face à l'évolution des menaces.

Références