Soutenance mémoire
κρυπτος / γρ ´ αφειν ´ : écrire le secret
kruptos : caché graphein : écrire . En le décomposant étymologiquement, le mot cryptographie est assez transparent et renvoie à la notion assez générale de l’écriture secrète. Dans ce cadre, la problématique la plus immédiate est de trouver une méthode pour transmettre un message entre deux points distants, de manière secrète, c’est-à-dire en en le rendant inaccessible à un espion (aussi appelé adversaire).
Le chiffrement à clés asymétriques
La nécessité du partage d’une clé secrète est l’une des limites du chiffrement symétrique ; en effet, il suppose une transmission physique de la clé entre les interlocuteurs,avec les contraintes que ceci comporte. Cette transmission peut en outre être impossible, comme par exemple pour le cas d’un consommateur qui veut acheter sur Internet : il est difficile d’imaginer que le site marchand envoie par transporteur sécurisé une clé secrète, que le consommateur utiliserait ensuite pour envoyer ses données bancaires ! Le chiffrement asymétrique offre une solution à ce problème. Le destinataire génère tout d’abord une paire de clés complémentaires : la clé de décodage, appelée clé privée, est conservée par le destinataire, et la clé publique d’encodage est mise à disposition du public sur un serveur de clés authentifié. Si Alice veut envoyer un message codé à Bob, il lui suffit de récupérer la clé publique de Bob sur le serveur, d’encrypter le message avec celle-ci, et d’envoyer le cryptogramme à Bob. Celui-ci peut ensuite le décrypter aisément avec sa clé privée. On ne connaît actuellement pas de moyen pour démontrer formellement la sécurité des protocoles à clés asymétriques : il s’agit à nouveau d’une sécurité calculatoire, reposant sur le fait que retrouver la clé privée à partir du message et de la clé publique est extrèmement difficile. Ce type de protocole est utilisé couramment sur tous les sites sécurisés du Web, car il ne requiert pas de contact a priori pour transmettre un message. En revanche, il nécessite des clés beaucoup plus longues que pour l’encryptage symétrique. On considère aujourd’hui que pour une sécurité à assez long terme (typiquement 40 ans), une clé d’au moins 4096 bits devrait être utilisée, ce qui n’est que très rarement le cas en pratique. Parmi les algorithmes les plus connus, citons RSA (pour Rivest, Shamir et Adleman [13]) et DSA (Digital Signature Algorithm [14]).
Avantages et limitations de la cryptographie quantique
L’avantage principal de la cryptographie quantique est sa capacité à établir une chaîne complète de sécurité pour la transmission d’un message confidentiel. Cet atout en fait une option intéressante pour l’échange de données particulièrement sensibles. Du fait même de sa nature, néanmoins, un certain nombre de contraintes existe :
• Puisque toute mesure détruit l’état quantique, la transmission doit se faire à travers une fibre optique « noire », c’est-à-dire sans système d’amplification classique tel que les répéteurs utilisés dans l’industrie des télécommunications.
• Les pertes de la fibre de transmission ne peuvent donc pas être compensées, et ceci induit une distance limite de transmission, au delà de laquelle l’espion possède plus d’information que ce qu’Alice et Bob partagent. Il ne reste alors plus de « matériau » pour extraire une clé secrète. Actuellement, cette distance maximale est typiquement comprise entre 20 et 200 kilomètres, en fonction des protocoles.
• Il existe d’autres contraintes ou limitations, moins intrinsèques, mais plus liées à la relative jeunesse du domaine, telles qu’une limitation du débit maximal de transmission, dû par exemple à la fréquence maximale de détection des photons. Cet aspect « composants » évolue assez vite actuellement, ce qui permet d’envisager une accélération notable des vitesses de génération de clé secrète.
Protocole GG02
Le protocole que nous étudions ici a été choisi à la fois pour des raisons historiques et pratiques. Il s’agit du protocole proposé par Grosshans et Grangier dans [1, 2] en 2002, qui met en jeu des états cohérents et une détection homodyne. Il est plus facile de travailler avec des états cohérents qu’avec des états comprimés, car ils peuvent être produits aisément avec un laser standard, et ne sont pas soumis à la décohérence ; en outre, les performances des deux types de protocoles sont assez similaires. Le choix d’une détection homodyne, lui aussi, tient d’un certain pragmatisme : les performances d’un système à détection hétérodyne (par exemple dans [42]) sont presque les mêmes que celles d’un système à détection homodyne, mais deux détecteurs sont nécessaires (au lieu d’un) pour le cas hétérodyne. Nous décrivons ci-dessous le détail du protocole GG02.
• Alice génère des impulsions cohérentes limitées par le bruit de photon, et choisit, pour chaque impulsion et de manière aléatoire, deux valeurs de quadratures xA et pA parmi une distribution gaussienne centrée sur 0 et de variance VAN0.
• Pour coder l’information, elle déplace ensuite chaque impulsion dans l’espace des phases, de manière à ce que l’état cohérent soit centré sur xXˆ y xA et xPˆy pA.
• Elle envoie les impulsions à Bob à travers un canal quantique : fibre standard ou espace libre.
• Bob choisit, pour chaque impulsion et de manière aléatoire, une quadrature à mesurer : XˆB ou PˆB.
• Enfin, Bob mesure pour chaque impulsion, grâce à une détection homodyne, la valeur de la quadrature choisie, xB ou pB.
• Une fois la mesure effectuée, Bob annonce à Alice, par un canal authentifié, son choix de quadrature de mesure. Alice peut alors oublier l’autre quadrature. Après ces étapes, Alice et Bob partagent des données corrélées, puisque la mesure de Bob est affectée (au minimum) par le bruit de photon. En outre, leurs données ont été a priori espionnées par Eve. Il reste donc tout d’abord à évaluer la qualité de la transmission, pour déterminer la quantité de secret restant dans les données : c’est l’objet de l’évaluation des paramètres et des calculs de sécurité. S’il reste un secret, Alice et Bob doivent ensuite l’extraire, le plus efficacement possible, pour pouvoir enfin générer une clé binaire, parfaitement secrète. Ces étapes de traitement classique des données incluent en particulier un algorithme de réconciliation, consistant à extraire une chaîne binaire identique (mais seulement partiellement secrète) à partir des données corrélées d’Alice et Bob, puis un algorithme d’amplification de confidentialité, qui transforme cette chaîne en une clé parfaitement secrète. Pour l’étape de réconciliation, deux choix sont possibles. Si les données d’Alice servent de base à l’élaboration de la clé, c’est-à-dire que Bob corrige ses erreurs pour retrouver les valeurs d’Alice, la réconciliation est dite directe ; si ce sont les données de Bob qui servent de référence, elle est dite inverse.
QKD à variables discrètes : des détecteurs contraignants
Dans tous les protocoles de cryptographie quantique proposés jusqu’à la fin des années 1990, la détection des photons s’effectue grâce à un détecteur (ou un compteur) de photons uniques. Ces détecteurs sont généralement des photodiodes à avalanche très sensibles, avec un gain très élevé. Les technologies silicium permettent d’atteindre, dans le cas de la détection de photons dans le visible, des efficacités de l’ordre de 50 % avec peu de bruit, tout en conservant des prix assez réduits. Dans le cas de la cryptographie quantique, ces détecteurs présentent néanmoins un certain nombre d’inconvénients pratiques. Tout d’abord, la plupart des systèmes de cryptographie quantique fonctionnent à longueur d’onde télécom (autour de 1 550 nm), ce qui correspond à la bande C d’absorption minimale des fibres optiques. Or, les détecteurs silicium ne fonctionnement efficacement que jusqu’environ λ = 1 000 nm ; il a donc fallu développer des détecteurs spécifiques pour les applications télécom. Les technologies à base d’arséniure de gallium (InGaAs) ont été massivement utilisées, mais elles présentent des performances nettement inférieures aux photodiodes silicium : typiquement 15 % d’efficacité, mais beaucoup de bruit d’obscurité (typ. 3 000 coups/s) et un temps mort après chaque détection dû aux afterpulses, pendant lequel aucune détection n’est possible, ce qui limite la fréquence de détection du détecteur à typiquement 100 kHz. En outre, le prix d’un détecteur de photons unique InGaAs utilisable pour la cryptographie quantique est de l’ordre de 10 000 euros. Néanmoins, une technologie à base de NbN supraconducteur refroidi à l’hélium se développe actuellement : elle permet d’obtenir un bruit d’obscurité très faible (typiquement 10 coups par seconde), ce qui est essentiel pour la cryptographie quantique. Par ailleurs, ce type de détecteur présente jusque 10 % d’efficacité, et un temps de montée de l’ordre de 100 ps.
|
Table des matières
Introduction
I Cryptographie quantique avec des variables continues
1 La cryptographie, des origines à la physique quantique
1.1 κρυπτος / γρ ´ ´αφειν : écrire le secret
1.2 Quelques techniques de cryptographie classique
1.2.1 La cryptographie par substitution
1.2.2 Les principes de Kerckhoffs
1.2.3 La cryptographie algorithmique moderne
1.2.4 Autour de l’encryptage
1.3 La cryptographie quantique
1.3.1 Idée
1.3.2 Principe général
1.3.3 Quelques protocoles de cryptographie quantique
1.3.4 Avantages et limitations de la cryptographie quantique
2 États gaussiens et variables continues
2.1 États gaussiens, états cohérents
2.1.1 Quadratures du champ électromagnétique
2.1.2 États gaussiens
2.1.3 Transformations gaussiennes
2.2 Cryptographie quantique avec des variables continues
2.2.1 Protocoles de cryptographie quantique à variables continues
2.2.2 Pourquoi travailler avec des variables continues ?
3 Notions de théorie de l’information
3.1 L’information : de nombreuses acceptions, parfois contradictoires
3.1.1 L’information comme enregistrement
3.1.2 L’information comme augmentation de savoir
3.1.3 Lien entre ces deux informations
3.2 Quantifier l’information
3.2.1 Le bit, binary digit
3.2.2 Le bit, binary unit
3.2.3 Information d’une variable classique
3.2.4 Informations de deux variables classiques
3.2.5 Information de variables quantiques
3.3 Information et variables continues
3.3.1 Modèle du canal gaussien
3.3.2 Information mutuelle classique
3.3.3 Formule de Shannon
3.3.4 Théorème de Holevo
4 Preuves de sécurité
4.1 Modélisation des bruits et des pertes
4.1.1 Bruit de photon
4.1.2 Canal de transmission
4.1.3 Système de détection
4.1.4 Variances et bruits totaux
4.2 Sécurité du protocole
4.2.1 Problématique
4.2.2 Différentes classes d’attaques
4.2.3 Modélisation à intrication virtuelle
4.3 Expression de l’information secrète
4.3.1 Attaques individuelles
4.3.2 Attaques collectives
II Mise en œuvre expérimentale
5 Implémentation optique du protocole
5.1 Optique fibrée
5.1.1 Différents types de fibres optiques
5.1.2 Pertes des fibres optiques
5.1.3 Polarisation dans une fibre
5.1.4 Effets non-linéaires dans les fibres optiques
5.1.5 Composants fibrés disponibles
5.2 Source laser
5.3 Modulation
5.3.1 Principe de fonctionnement
5.3.2 Comportement
5.3.3 Modulation gaussienne
5.4 Multiplexage et contrôle de la polarisation
5.4.1 Multiplexage : deux signaux, une fibre
5.4.2 Contrôle de la polarisation et démultiplexage
5.4.3 Qualité de l’interférence OL/signal
5.5 Détection homodyne
5.5.1 Implémentation
5.5.2 Contrôle de la bonne soustraction des photocourants
5.5.3 Caractéristique de la détection
6 Intégration et pilotage du système optique
6.1 Intégration du montage optique et électronique
6.1.1 Boîtier optique
6.1.2 Boîtier électronique
6.2 Structure du programme de pilotage
6.2.1 Emission des données
6.2.2 Synchronisation entre Alice et Bob
6.2.3 Rétrocontrôles et automatisation
6.2.4 Structure algorithmique du programme
6.3 Calibration du système
6.3.1 Lien avec les moments d’ordre 2
6.3.2 Calibration du bruit de photon
6.3.3 Paramètres du mode réaliste
6.4 Résultats expérimentaux
6.4.1 Évaluation des bruits
6.4.2 Taux théorique
6.4.3 Stabilité du sous-programme « transmission quantique »
III Extraction de la clé secrète
Des corrélations au secret
7 Réconciliation des données expérimentales
7.1 Protocoles de correction d’erreurs
7.1.1 Codes correcteurs
7.1.2 Correction des erreurs
7.1.3 Quelques protocoles de correction d’erreurs
7.2 Codes LDPC
7.2.1 Codes parity-check
7.2.2 Décodage des codes LDPC
7.2.3 LDPC et variables continues
7.3 Optimisation de la réconciliation
7.3.1 Correction déterministe avec les codes BCH
7.3.2 Optimisation de l’efficacité des codes LDPC
7.3.3 Variantes de l’algorithme message passing
8 Amplification de confidentialité et vérification de la clé
8.1 Fonctions de hachage
8.1.1 Définition
8.1.2 Familles de fonctions de hachage
8.1.3 Sécurité de l’amplification de confidentialité
8.2 Algorithmes d’amplification de confidentialité
8.2.1 Taille des blocs amplifiés
8.2.2 Chaînes binaires et corps fini GFp2lq
8.2.3 Algorithme 0 : Multiplication dans GFp2lq
8.2.4 Algorithme 1 : Accélération utilisant la NTT
8.2.5 Algorithme 2 : Multiplication directe dans GFp2lq avec la NTT
8.2.6 Composition des algorithmes 1 et 2
8.3 Vérification de la clé secrète
9 Performances de l’extraction
9.1 Logiciel d’extraction de la clé
9.1.1 Structure du programme
9.1.2 Gestion des communications classiques
9.2 Temps d’extraction d’une clé
9.2.1 Réconciliation
9.2.2 Amplification de confidentialité
9.2.3 Parallélisation des extractions
9.3 Résultats expérimentaux
9.3.1 Distance limite de transmission et taux de clé optimaux
9.3.2 Fonctionnement dans des conditions optimales
9.3.3 Fonctionnement dans des conditions réelles
IV Perspectives d’amélioration
10 Plus loin, plus vite : nouveaux outils
10.1 Protocole à modulation discrète — Théorie
10.1.1 Motivation
10.1.2 Description du protocole
10.1.3 Information secrète
10.1.4 Réconciliation des données
10.1.5 Courbes théoriques de taux
10.2 Protocole à modulation discrète — Mise en œuvre
10.2.1 Adaptation du système existant
10.2.2 Résultats préliminaires
10.3 Pour aller encore plus vite
10.3.1 Réconciliation sur un processeur graphique
10.3.2 Augmentation de la vitesse d’émission des impulsions
11 Amplificateurs adaptés à la cryptographie quantique
11.1 Problématique
11.2 Amplificateur paramétrique optique
11.2.1 Principe général
11.2.2 Intégration dans le système de distribution de clés
11.2.3 Interprétation et effets pratiques
11.3 Amplificateur non-déterministe
11.3.1 Contexte et idée
11.3.2 Modèle théorique d’amplification
11.3.3 Modélisation des imperfections expérimentales
11.3.4 Propriétés de l’état de sortie
11.3.5 Application à la cryptographie quantique
Bilan et perspectives
Annexe
A Encore plus de taux secrets
A.1 Protocole à détection hétérodyne
A.1.1 Cas individuel
A.1.2 Cas collectif
A.2 Cas non-réaliste
A.3 Amplificateurs paramétriques — la suite
A.3.1 Cas hétérodyne + PIA : détail du calcul
A.3.2 Cas non-canonique 1 : Détection homodyne et PIA
A.3.3 Cas non-canonique 2 : Détection hétérodyne et PSA
Bibliographie
Télécharger le rapport complet
