Cryptographie classique et cryptographie quantique
La cryptologie, la science du secret, comporte deux parties complémentaires. D’une part, la cryptographie a pour objet de crypter de l’information confidentielle , afin de ne la rendre accessible qu’aux personnes autorisées. D’autre part, la cryptanalyse cherche à briser un cryptage pour révéler le message secret. Remarquons tout d’abord que l’objet de la cryptanalyse n’est pas d’empêcher la transmission d’un message secret, mais d’en extraire le contenu. Ainsi, les analyses de sécurité que nous développerons supposent l’existence d’un canal de communication donné, non interrompu par l’espion, par lequel transite le message secret. Dans cette hypothèse, nous rechercherons l’information maximale accessible à un éventuel espion, compte tenu des caractéristiques du canal par lequel transite le message secret. On distingue plusieurs classes de sécurité caractérisant les systèmes de cryptage. D’abord, la sécurité inconditionnelle garantit qu’il n’existe aucune méthode cryptanalytique capable de briser le procédé de cryptage. Il existe peu de primitives cryptographiques dont la sécurité inconditionnelle soit prouvée. Citons trois méthodes dont la sécurité inconditionnelle est prouvée par la théorie de l’information: l’authentification d’un canal, qui permet d’attester l’identité d’un interlocuteur, l’amplification de secret, qui permet de générer une chaîne de bits totalement secrète à partir d’une chaîne de bits partiellement secrète, et le cryptage par clé secrète décrit ci-dessous. Les protocoles de cryptographie quantique font usage de ces trois méthodes. Les autres systèmes de cryptage fondent leur sécurité sur des hypothèses pratiques ou des conjectures d’ordre théorique. Par exemple, on peut supposer que la puissance de calcul d’un éventuel espion voulant décrypter un message est limitée. De plus, si nous pouvons borner inférieurement la complexité de la cryptanalyse d’un système cryptographique, nous pouvons utiliser cette hypothèse pour garantir la sécurité de ce système. Un exemple de conjecture théorique est la complexité de certains problèmes arithmétiques, comme la factorisation de nombres premiers, ou le calcul de logarithmes dans des ensembles de nombres entiers .
Suivant ces deux classes de sécurité, on distingue deux schémas génériques de cryptage :
le cryptage à clé privée Cette méthode de cryptage relativement récente (années 1970) est omniprésente dans les systèmes de cryptage actuels. Elle utilise un couple de clés, l’une publique, qui permet de crypter un message, l’autre privée et uniquement connue du destinataire, qui permet de décrypter le message. L’inviolabilité de cette méthode de cryptage n’est pas prouvée. Elle repose à la fois sur une hypothèse sur les capacités de calcul offertes à l’espion, et sur une conjecture sur la difficulté de retrouver la clé privée connaissant la clé publique. C’est pourquoi l’utilisateur du cryptage à clé privée doit admettre qu’un éventuel espion n’a ni les moyens intellectuels pour trouver un algorithme permettant de briser le cryptage, ni des moyens technologiques importants qui lui permettraient de surmonter la complexité du problème.
le cryptage à clé secrète Cette méthode, plus ancienne (XVIIIe siècle), consiste à combiner le message secret avec un chaîne aléatoire, appelée «clé secrète», produisant un message crypté aléatoire pour quiconque ignore la clé de cryptage. Claude Shannon a formalisé cette méthode [10] en montrant que ce cryptage peut être inconditionnellement sûr, si la clé secrète est aussi longue que le message à crypter, est à usage unique, et bien sûr est totalement inconnue d’un espion éventuel. Ainsi, la clé secrète doit être renouvelée au même rythme que le message est envoyé. C’est pourquoi cette méthode est peu utilisée en pratique, malgré sa sécurité inconditionnelle. En effet, il est difficile de distribuer une clé de grande taille en garantissant son caractère secret.
La cryptographie quantique répond au problème de la distribution de clé en offrant une méthode physique pour distribuer une clé secrète, méthode garantissant la sécurité inconditionnelle d’une transmission. D’abord, Alice et Bob s’échangent une séquence de nombres aléatoires encodés dans des variables quantiques, transmises par un canal dit «quantique». À l’issue de la transmission, Alice et Bob partagent donc deux chaînes de symboles corrélés. Les lois de la physique quantique permettent ensuite de borner l’information sur cette chaîne accessible à un espion en fonction des paramètres de la transmission quantique. Pour obtenir une clé secrète à partir de leur échange quantique, Alice et Bob utilisent ensuite des algorithmes classiques pour corriger les erreurs de transmission et éliminer l’information connue par l’espion. Grâce à cette clé secrète, Alice et Bob peuvent s’échanger un message secret par un cryptage à clé secrète sur un canal classique non sécurisé.
Pour prouver la sécurité de la distribution quantique de clé, nous devons définir les variables quantiques transmises dans le canal quantique, ainsi qu’une procédure d’encodage de la clé secrète dans ces variables quantiques. Le premier protocole [11] de distribution quantique de clé utilise la polarisation d’impulsions lumineuses contenant un seul photon. Cette polarisation comporte deux états linéairement indépendants, définis dans une base donnée. Pour encoder l’information, Alice choisit une base aléatoire parmi deux bases distinctes, puis encode un bit aléatoire 0 ou 1 dans l’état de polarisation dans cette base. À l’autre bout du canal quantique, Bob mesure la polarisation dans une base aléatoire. Après sa mesure, Bob révèle ses choix de base, et dans les cas où les bases d’Alice et de Bob coïncident, un bit est échangé.
La théorie de la mesure quantique permet de détecter l’espionnage du canal quantique. Si un espion, intercalé entre Alice et Bob, tente de mesurer l’état de polarisation des photons envoyés par Alice, il utilisera avec une probabilité 1/2 la mauvaise base de polarisation. Ce faisant, il projettera l’état quantique sur l’état propre correspondant à la valeur de sa mesure. Si les choix de base d’Alice sont adaptés, cet état n’est plus un état propre de la base initialement choisie par Alice, et la valeur du bit envoyé aura une certaine probabilité d’erreur à son arrivée chez Bob.
Utilisation des variables continues en cryptographie quantique
Un nouveau champ de recherche a récemment émergé dans le domaine de l’information quantique. Il consiste en l’utilisation de variables continues, c’est-à-dire de variables comportant un continuum d’états indépendants pour encoder de l’information, par opposition aux variables discrètes, telle la polarisation de la lumière, qui ne comportent qu’un nombre fini d’états indépendants. Ces variables permettent de s’affranchir des contraintes technologiques qui accompagnent l’utilisation de variables discrètes portées par des photons uniques. Notamment, les mesures sur un système à variables continues se fondent sur une détection interférométrique appelée détection homodyne (abordée au chapitre 6), qui utilise des photodiodes rapides et efficaces, capables d’atteindre des taux de répétition élevés ; cette situation contraste avec les efficacités et vitesses limitées des compteurs de photons nécessaires aux protocoles à variables discrètes.
Des résultats théoriques sur le clonage quantique [13] ont initié l’utilisation de ces variables continues par des protocoles de distribution quantique de clé. Un premier protocole utilisant des états comprimés de la lumière a été développé dans le groupe de Nicolas Cerf [3]. Toutefois, la génération et la manipulation de ces états est peu pratique du point de vue expérimental, notamment en vue d’une application hors du laboratoire. Cependant, un nouveau nouveau protocole de distribution quantique de clé développé à l’Institut d’Optique [5, 14] encode l’information dans l’amplitude et la phase d’états semi-classiques de la lumière appelés «états cohérents». Ce protocole simplifie donc le système d’émission utilisé par Alice : une diode laser sert à générer des états cohérents qui sont ensuite modulés par des modulateurs électro-optiques d’amplitude et de phase. Finalement, l’ensemble du dispositif de distribution quantique de clé avec des états cohérents peut être réalisé à l’aide de composants standards des technologies télécom, ce qui ouvre la voie aux taux de répétition élevés offerts par ces technologies.
|
Table des matières
Introduction
I Distribution quantique de clé avec des variables continues
1 Cryptographies classique et quantique
1.1 Cryptographie classique et cryptographie quantique
1.2 Utilisation des variables continues en cryptographie quantique
1.3 Information classique
1.4 Information classique et variables gaussiennes
2 Distribution quantique de clé avec des états cohérents
2.1 Variables quantiques continues
2.2 Modèle du canal gaussien
2.3 Informations mutuelles et protocoles à états cohérents
2.4 Protocole inverse
2.5 Attaques optimales
2.6 Implications expérimentales
2.7 Photons uniques ou variables continues ?
3 Distribution quantique de clé avec une détection hétérodyne
3.1 Information mutuelle IAB
3.2 Protocole inverse
3.3 Protocole direct
3.4 Recherche d’attaques optimales
3.5 Quel avantage pratique ?
4 Un aperçu de la sécurité des protocoles à variables continues
4.1 Intrication virtuelle : schéma équivalent à la modulation d’Alice
4.2 Attaques individuelles gaussiennes
4.3 Attaques non gaussiennes et attaques collectives de taille finie
4.4 Attaques collectives gaussiennes
4.5 Attaques collectives générales
4.6 Attaques cohérentes
4.7 Attaques non quantiques
4.8 Autres protocoles de distribution quantique de clé utilisant des variables continues
II Réalisation expérimentale
5 Introduction
6 Démonstrateur de distribution quantique de clé
6.1 Faire de l’optique quantique avec des fibres optiques
6.2 Composants utilisés
6.3 Détection homodyne impulsionnelle limitée au bruit de photon
6.4 Modulation gaussienne avec des modulateurs électro-optiques
7 Excès de bruit et analyse de sécurité
7.1 Corrélations et information mutuelle IAB
7.2 Bruit à la sortie
7.3 Bruit de photon
7.4 Bruit électronique
7.5 Bruit de phase
7.6 Bruit d’amplitude
7.7 Erreurs de modulation
7.8 Bruit ramené à l’entrée et excès de bruit
7.9 Information secrète
8 Attaque non gaussienne
8.1 Attaque «interception-réémission »
8.2 Réalisation expérimentale
8.3 Analyse du bruit
8.4 Attaque interception-réémission partielle
8.5 Analyse du bruit de l’attaque interception-réémission partielle
8.6 Informations accessibles à l’espion
8.7 Attaque non gaussienne
9 Multiplexage temporel
9.1 Multiplexage temporel avec une diode laser continue
9.2 Multiplexage temporel avec une diode pulsée
9.3 Démultiplexage
9.4 Choix du coupleur de démultiplexage
9.5 Multiplexage temporel dans une fibre de 25 km
Conclusion
Télécharger le rapport complet