RSA-3072 a bien plus de bits que ECC P-256 — RSA est-il donc bien plus solide ?
Réponse courte
Non. On ne peut pas comparer la longueur brute des clés entre familles d'algorithmes différentes. En raison de la manière dont les mathématiques sous-jacentes de chacun durcissent, une clé sur courbe elliptique de 256 bits offre à peu près la même sécurité qu'une clé RSA de 3072 bits — environ 128 bits de force, selon le NIST. Plus gros n'est pas simplement plus solide : l'ECC atteint une force équivalente avec des clés bien plus petites, d'où sa préférence dans les systèmes modernes. Au sein d'un même algorithme, des clés plus longues aident, jusqu'à un certain point.
Cette question distingue ceux qui pensent « bits = force » de ceux qui comprennent que la sécurité dépend de la meilleure attaque connue contre un algorithme précis, et non de la longueur brute de la clé.
Les bits ne sont pas une monnaie universelle
La longueur d'une clé indique seulement sa taille, pas la difficulté à la casser. Le travail qu'un attaquant doit fournir dépend du meilleur algorithme connu contre le problème sous-jacent. La sécurité de RSA repose sur la factorisation d'entiers, qui admet une attaque sous-exponentielle (le crible algébrique). La sécurité de l'ECC repose sur le logarithme discret sur courbe elliptique, dont les meilleures attaques connues sont pleinement exponentielles. Comme le problème ECC durcit plus vite par bit, il faut bien moins de bits ECC pour atteindre la même difficulté.
Les équivalences du NIST
Le NIST SP 800-57 publie une table de forces comparables. En gros :
- force 80 bits ≈ RSA-1024 ≈ ECC 160 bits
- force 112 bits ≈ RSA-2048 ≈ ECC 224 bits
- force 128 bits ≈ RSA-3072 ≈ ECC P-256
- force 192 bits ≈ RSA-7680 ≈ ECC P-384
RSA-3072 et P-256 sont donc sur la même ligne : tous deux offrent environ 128 bits de sécurité. RSA a simplement besoin d'un ordre de grandeur de bits en plus pour y parvenir.
Pourquoi cela compte en pratique
Des clés ECC plus petites signifient des signatures plus courtes, des opérations plus rapides, moins de bande passante et de stockage — c'est pourquoi TLS, SSH, la signature de code et la crypto mobile sont largement passés à des courbes comme P-256 et Ed25519. L'idée fausse « plus de bits = plus solide » pousse à surdimensionner RSA ou à se méfier à tort de l'ECC.
Deux pièges dans les mauvaises réponses
« Plus de bits veut toujours dire plus de sécurité » est faux entre familles. Et « l'ECC est la famille faible qui aurait besoin d'une courbe de 3072 bits » inverse la réalité — l'ECC est la famille la plus efficace. Notez la nuance que préserve la bonne réponse : au sein d'un même algorithme, des clés plus longues ajoutent réellement de la force, jusqu'au point où d'autres facteurs (implémentation, RNG, canaux auxiliaires) dominent.
Questions de suivi probables
- Pourquoi l'ECC atteint-il la même sécurité que RSA avec bien moins de bits ?
- Quelle « force de sécurité en bits » le NIST attribue-t-il à RSA-3072 et à P-256 ?
- En quoi le problème du logarithme discret diffère-t-il entre RSA et les courbes elliptiques ?