IBTS-77-RP-1000
Cryptographie classique et cryptographie quantique
La cryptologie, la science du secret, comporte deux parties complémentaires. D’une part, la cryptographie a pour objet de crypter de l’information confidentielle, afin de ne la rendre accessible qu’aux personnes autorisées. D’autre part, la cryptanalyse cherche à briser un cryptage pour révéler le message secret. Remarquons tout d’abord que l’objet de la cryptanalyse n’est pas d’empêcher la transmission d’un message secret, mais d’en extraire le contenu. Ainsi, les analyses de sécurité que nous développerons supposent l’existence d’un canal de communication donné, non interrompu par l’espion, par lequel transite le message secret. Dans cette hypothèse, nous rechercherons l’information maximale accessible à un éventuel espion, compte tenu des caractéristiques du canal par lequel transite le message secret.
On distingue plusieurs classes de sécurité caractérisant les systèmes de cryptage. D’abord, la sécurité inconditionnelle garantit qu’il n’existe aucune méthode cryptanalytique capable de briser le procédé de cryptage. Il existe peu de primitives cryptographiques dont la sécurité inconditionnelle soit prouvée. Citons trois méthodes dont la sécurité inconditionnelle est prouvée par la théorie de l’information : l’authentification d’un canal, qui permet d’attester l’identité d’un interlocuteur, l’amplification de secret, qui permet de générer une chaîne de bits totalement secrète à partir d’une chaîne de bits partiellement secrète, et le cryptage par clé secrète décrit ci-dessous. Les protocoles de cryptographie quantique font usage de ces trois méthodes.
Les autres systèmes de cryptage fondent leur sécurité sur des hypothèses pratiques ou des conjectures d’ordre théorique. Par exemple, on peut supposer que la puissance de calcul d’un éventuel espion voulant décrypter un message est limitée. De plus, si nous pouvons borner inférieurement la complexité de la cryptanalyse d’un système cryptographique, nous pouvons utiliser cette hypothèse pour garantir la sécurité de ce système. Un exemple de conjecture théorique est la complexité de certains problèmes arithmétiques, comme la factorisation de nombres premiers, ou le calcul de logarithmes dans des ensembles de nombres entiers.
Suivant ces deux classes de sécurité, on distingue deux schémas génériques de cryptage : le cryptage à clé privée Cette méthode de cryptage relativement récente (années 1970) est omniprésente dans les systèmes de cryptage actuels. Elle utilise un couple de clés, l’une publique, qui permet de crypter un message, l’autre privée et uniquement connue du destinataire, qui permet de décrypter le message. L’inviolabilité de cette méthode de cryptage n’est pas prouvée. Elle repose à la fois sur une hypothèse sur les capacités de calcul offertes à l’espion, et sur une conjecture sur la difficulté de retrouver la clé privée connaissant la clé publique. C’est pourquoi l’utilisateur du cryptage à clé privée doit admettre qu’un éventuel espion n’a ni les moyens intellectuels pour trouver un algorithme permettant de briser le cryptage, ni des moyens technologiques importants qui lui permettraient de surmonter la complexité du problème. le cryptage à clé secrète Cette méthode, plus ancienne (XVIIIe siècle), consiste à combiner le message secret avec un chaîne aléatoire, appelée «clé secrète», produisant un message crypté aléatoire pour quiconque ignore la clé de cryptage. Claude Shannon a formalisé cette méthode en montrant que ce cryptage peut être inconditionnellement sûr, si la clé secrète est aussi longue que le message à crypter, est à usage unique, et bien sûr est totalement inconnue d’un espion éventuel. Ainsi, la clé secrète doit être renouvelée au même rythme que le message est envoyé. C’est pourquoi cette méthode est peu utilisée en pratique, malgré sa sécurité inconditionnelle. En effet, il est difficile de distribuer une clé de grande taille en garantissant son caractère secret.
Utilisation des variables continues en cryptographie quantique
Un nouveau champ de recherche a récemment émergé dans le domaine de l’information quantique. Il consiste en l’utilisation de variables continues, c’est-à-dire de variables comportant un continuum d’états indépendants pour encoder de l’information, par opposition aux variables discrètes, telle la polarisation de la lumière, qui ne comportent qu’un nombre fini d’états indépendants. Ces variables permettent de s’affranchir des contraintes technologiques qui accompagnent l’utilisation de variables discrètes portées par des photons uniques. Notamment, les mesures sur un système à variables continues se fondent sur une détection interférométrique appelée détection homodyne, qui utilise des photodiodes rapides et efficaces, capables d’atteindre des taux de répétition élevés ; cette situation contraste avec les efficacités et vitesses limitées des compteurs de photons nécessaires aux protocoles à variables discrètes.
Des résultats théoriques sur le clonage quantique ont initié l’utilisation de ces variables continues par des protocoles de distribution quantique de clé. Un premier protocole utilisant des états comprimés de la lumière a été développé dans le groupe de Nicolas Cerf. Toutefois, la génération et la manipulation de ces états est peu pratique du point de vue expérimental, notamment en vue d’une application hors du laboratoire. Cependant, un nouveau nouveau protocole de distribution quantique de clé développé à l’Institut d’Optique encode l’information dans l’amplitude et la phase d’états semi-classiques de la lumière appelés «états cohérents». Ce protocole simplifie donc le système d’émission utilisé par Alice : une diode laser sert à générer des états cohérents qui sont ensuite modulés par des modulateurs électro-optiques d’amplitude et de phase. Finalement, l’ensemble du dispositif de distribution quantique de clé avec des états cohérents peut être réalisé à l’aide de composants standards des technologies télécom, ce qui ouvre la voie aux taux de répétition élevés offerts par ces technologies.
Avant d’aborder dans le détail ce protocole de distribution quantique de clé utilisant des états cohérents, nous allons établir quelques résultats élémentaires de la théorie de l’information classique qui nous permettront d’en étudier la sécurité.
Attaques non quantiques
Toutes les preuves de sécurité que nous avons énoncées jusqu’à présent reposent sur l’hypothèse selon laquelle la seule source d’information que puisse obtenir Ève sur l’échange de clé entre Alice et Bob est l’ensemble des symboles envoyés par Alice traversant le canal quantique.
Si l’espion a accès à de l’information qui n’est pas encodée dans ces variables quantiques, nous avons une fuite d’information qui n’est pas couverte par les théorèmes de sécurité inconditionnelle. Quand nous réalisons expérimentalement un échange quantique, nous devons donc nous assurer que cette hypothèse est vérifiée. Nous identifions plusieurs fuites possibles.
Les canaux cachés ou « side channels » portent de l’information non mesurée par Bob à travers le canal quantique. Cette information est portée par un mode ou une variable quantique non mesurés par Bob. Prenons l’exemple de la polarisation : une imperfection expérimentale peut faire que Bob ne mesure pas les quadratures X ou P dans le même mode de polarisation que celui envoyé par Alice. Pour parer à cette éventualité, nous pouvons calibrer la variance du signal envoyé dans le canal quantique en mesurant l’intensité lumineuse indépendante de la polarisation en sortie d’Alice. De cette façon, une mauvaise mesure de Bob sera considérée comme des pertes supplémentaires sur le canal entre Alice et Bob. La polarisation peut être la cause d’une effet plus grave. Nous verrons que les modulateurs utilisés pour générer la modulation gaussienne d’Alice sont sensibles à la polarisation : un mauvais alignement de la polarisation en entrée de ces modulateurs produit une modulation de polarisation corrélée à notre modulation d’amplitude et de phase. Maintenant, l’information n’est plus seulement portée par un autre mode, mais par une autre variable quantique – la polarisation –, qui n’est pas soumise aux théorèmes de sécurité que nous avons énoncés. Dans ce cas, nous ne pouvons plus considérer cette fuite d’information comme de simples pertes et nous devons prendre des mesures pour éliminer cette modulation, notamment en polarisant la lumière avant et après passage dans les modulateurs.
De façon générale, pour éviter les fuites d’information par des canaux cachés, nous devons donc identifier ces fuites, puis les considérer comme une inefficacité de détection dans le cas d’une mauvaise adaptation entre les modes envoyés par Alice et ceux reçus par Bob, ou les éliminer s’il s’agit de variables quantiques non mesurées.
Faire de l’optique quantique avec des fibres optiques
Une des originalités expérimentales de notre système est sa réalisation en fibres optiques exclusivement. Nous décrivons ici quelques aspects spécifiques des fibres par rapport à l’optique en espace libre couramment utilisée dans les expériences d’optique quantique.
La polarisation dans les fibres optiques :Le comportement de la lumière polarisée dans une fibre optique est sans doute un des aspects les plus critiques de notre expérience. Nous utilisons deux types de fibres optiques : les fibres «monomodes» (SM) et les fibres «monomodes à maintien de polarisation» (PM).
Les fibres monomodes ne conservent pas la polarisation. Une torsion de la fibre peut introduire une biréfringence et modifier la polarisation de la lumière. Ainsi, il est possible, en tordant ou en écrasant une fibre monomode, de parcourir l’ensemble de la sphère de Poincaré. C’est le principe des contrôleurs de polarisation passifs que nous utilisons. D’autre part, des dérives thermiques ou des vibrations mécaniques introduisent des fluctuations de la biréfringence qui nuisent à la stabilité des montages fibrés SM. Toutefois, les fluctuations de polarisation dans les fibres monomodes peuvent être maîtrisées simplement : si la fibre est correctement fixée et protégée, sa biréfringence reste stable sur l’échelle de la journée. De plus, si la fibre revient à sa position initiale après une torsion, la polarisation revient elle aussi à sa configuration initiale.
Les fibres à maintien de polarisation possèdent des structures qui introduisent une biréfringence intrinsèque importante devant la biréfringence introduite par les torsions de la fibre.
Ainsi, on distingue deux axes propres, appelés axe rapide et axe lent, dont les indices diffèrent de ∆n = 10−3 autour de l’indice de la silice (n = 1, 5). Cette biréfringence intrinsèque permet une isolation des deux axes supérieure à 25 dB sur 100 m. Suivant une convention établie dans le domaine des télécommunications, nous avons choisi d’utiliser l’axe lent des fibres PM. Autant que faire se peut, nous avons opté pour des fibres PM, qui offrent un important confort d’utilisation. Toutefois, si la polarisation est bien conservée lors de la propagation dans une fibre PM, les défauts d’alignement entre les axes propres des fibres PM au niveau des connecteurs (typiquement 3˚) peuvent s’accumuler. Nous compensons ces défauts en plaçant des polariseurs le long de notre chemin optique.
Erreurs de modulation
Les modulations d’amplitude et de phase choisies par Alice et Bob sont générées informatiquement, puis appliquées sur le faisceau optique à l’aide de modulateurs électro-optiques pilotés par une carte d’acquisition. Or, la précision de la modulation dépend de multiples calibrations : les valeurs des Vπ de chacun des trois modulateurs, ainsi que le facteur de corrélation phase/amplitude du modulateur d’amplitude doivent êtres mesurées pour permettre la conversion informatique entre modulation et tension ; la tension de biais appliquée au modulateur d’amplitude doit être ajustée. Nous avons donc au total cinq paramètres ajustables. Ces paramètres dérivent, principalement avec la température. Les tensions de biais restent stables sur l’échelle de quelques dizaines de minutes, les tensions Vπ subissent des variations saisonnières. Les défauts de calibration des paramètres des modulateurs électro-optiques occasionnent un bruit, dit «technique», sur la transmission des données entre Alice et Bob. Comme le bruit de phase, le bruit technique est un bruit classique dont la variance croît linéairement avec l’intensité du signal. Là encore, ce bruit est difficilement quantifiable ; il est donc attribué à l’espion. Pour régler les paramètres des modulateurs, nous mesurons ce bruit en comparant les données reçues par Bob et les données envoyées par Alice. Pour ce faire, nous envoyons successivement 500 fois la même séquence de données. Le moyennage des mesures de quadrature effectuées par Bob permet de s’affranchir des sources d’erreurs non systématiques.
Les erreurs systématiques, principalement dues aux défauts de réglage des paramètres, sont quantifiées en comparant la moyenne de chaque élément de la séquence de modulation avec la valeur envoyée par Alice.
L’affichage du bruit technique nous permet de régler les paramètres des modulateurs en minimisant les erreurs de modulation. Compte tenu du nombre de paramètres indépendants, ce réglage est souvent délicat. Les résultats présentés dans ce manuscrit présentent un bruit technique typique de 0, 001N0 par photon, issu de l’ensemble des modulateurs d’amplitude et de phase chez Alice et du modulateur de phase chez Bob. L’analyse du prélèvement d’une partie du signal envoyé par Alice nous a récemment permis d’améliorer l’aisance du réglage .
|
Table des matières
Introduction
I Distribution quantique de clé avec des variables continues
1 Cryptographies classique et quantique
1.1 Cryptographie classique et cryptographie quantique
1.2 Utilisation des variables continues en cryptographie quantique
1.3 Information classique
1.4 Information classique et variables gaussiennes
2 Distribution quantique de clé avec des états cohérents
2.1 Variables quantiques continues
2.2 Modèle du canal gaussien
2.3 Informations mutuelles et protocoles à états cohérents
2.4 Protocole inverse
2.5 Attaques optimales
2.6 Implications expérimentales
2.7 Photons uniques ou variables continues ?
3 Distribution quantique de clé avec une détection hétérodyne
3.1 Information mutuelle IAB
3.2 Protocole inverse
3.3 Protocole direct
3.4 Recherche d’attaques optimales
3.5 Quel avantage pratique ?
4 Un aperçu de la sécurité des protocoles à variables continues
4.1 Intrication virtuelle : schéma équivalent à la modulation d’Alice
4.2 Attaques individuelles gaussiennes
4.3 Attaques non gaussiennes et attaques collectives de taille finie
4.4 Attaques collectives gaussiennes
4.5 Attaques collectives générales
4.6 Attaques cohérentes
4.7 Attaques non quantiques
4.8 Autres protocoles de distribution quantique de clé utilisant des variables continues
II Réalisation expérimentale
5 Introduction
6 Démonstrateur de distribution quantique de clé
6.1 Faire de l’optique quantique avec des fibres optiques
6.2 Composants utilisés
6.3 Détection homodyne impulsionnelle limitée au bruit de photon
6.4 Modulation gaussienne avec des modulateurs électro-optiques
7 Excès de bruit et analyse de sécurité
7.1 Corrélations et information mutuelle IAB
7.2 Bruit à la sortie
7.3 Bruit de photon
7.4 Bruit électronique
7.5 Bruit de phase
7.6 Bruit d’amplitude
7.7 Erreurs de modulation
7.8 Bruit ramené à l’entrée et excès de bruit
7.9 Information secrète
8 Attaque non gaussienne
8.1 Attaque «interception-réémission »
8.2 Réalisation expérimentale
8.3 Analyse du bruit
8.4 Attaque interception-réémission partielle
8.5 Analyse du bruit de l’attaque interception-réémission partielle
8.6 Informations accessibles à l’espion
8.7 Attaque non gaussienne
9 Multiplexage temporel
9.1 Multiplexage temporel avec une diode laser continue
9.2 Multiplexage temporel avec une diode pulsée
9.3 Démultiplexage
9.4 Choix du coupleur de démultiplexage
9.5 Multiplexage temporel dans une fibre de 25 km
10 Intégration et prototypage
10.1 Pilotage des cartes d’acquisition
10.2 Protocole de communication quantique
10.3 Découpage en blocs
10.4 Synchronisation entre Alice et Bob
10.5 Gestion des blocs de données
10.6 Programmation et dépendances logicielles
10.7 Calibration de la transmission
10.8 Génération de nombres aléatoires
10.9 Intégration en rack 19 pouces
III Distillation d’une clé secrète
11 Introduction
12 Réconciliation et codes correcteurs d’erreurs
12.1 Codes correcteurs d’erreurs
12.2 Exemples de codes correcteurs d’erreurs
12.3 Réconciliation et « side information »
12.4 Décodage mou
12.5 Décodage des codes LDPC
12.6 Modulation codée
12.7 Décodage multi-niveaux et réconciliation
13 Réalisation et optimisation de la réconciliation
13.1 Compromis entre vitesse et efficacité
13.2 Quel rapport signal à bruit choisir ?
13.3 Paramètres de la discrétisation
13.4 Taux des codes LDPC
13.5 Décodage des codes LDPC : l’algorithme Message Passing et ses variantes
13.6 Réduction du temps de calcul
13.7 Turbo codes
13.8 Perspectives d’amélioration
14 Amplification de confidentialité
14.1 Familles de fonctions de hachage comme amplificateurs de confidentialité
14.2 Une petite excursion dans le monde des corps finis
14.3 Des exemples simples de familles de fonctions de hachage
14.4 Multiplication rapide dans GF(2l) utilisant la transformée de Fourier discrète
14.5 Famille de fonctions de hachage utilisant directement la NTT
14.6 Universalité et paramètre de sécurité
15 Distillation d’une clé à travers un réseau classique
15.1 Contraintes liées à l’utilisation d’un réseau
15.2 Paradigmes de programmation appliqués à la réconciliation
15.3 Protocoles de communication
15.4 Implémentation d’un canal classique
15.5 Interfaçage avec le logiciel de pilotage
Conclusion
Annexes
A Turbo codes
A.1 Codes convolutifs
A.2 Décodage mou des codes convolutifs
A.3 Concaténation de codes
B Décodage BCJR et « side-information »
Bibliographie
Télécharger le rapport complet
