Cryptographie quantique

Pour assurer une confidentialité maximale aux deux interlocuteurs, il faut que la sécurité de l'algorithme de cryptographie classique soit aussi élevée que celle de la distribution quantique. Or, la sécurité de la majorité des algorithmes de chiffrement symétrique repose sur des considérations liées au temps nécessaire au "cassage" de la clé, et non sur des démonstrations mathématiques.

En revanche, Claude Shannon a montré en 1948 qu'il était possible de démontrer formellement la sécurité d'un ensemble d'algorithmes de cryptographie, parmi lesquels le plus simple est le codage à masque jetable, ou chiffre de Vernam. En combinant cet algorithme avec les techniques de cryptographie quantique, il est ainsi possible de démontrer la sécurité globale de la transmission d'un message confidentiel.

Ce niveau de sécurité est souvent nommé sécurité inconditionnelle, dans la mesure où aucune hypothèse n'est faite sur les capacités physiques de l'espion (on suppose simplement qu'elles obéissent aux lois de la physique), par opposition à la sécurité calculatoire des algorithmes de cryptographie classique, qui prend en compte le "réalisme" des capacités calculatoires de l'espion.

Lors d'un protocole de cryptographie quantique, deux interlocuteurs distants (généralement nommés Alice et Bob) disposent :

• d'objets quantiques, c'est-à-dire d'objets physiques qui se comportent selon les lois de la physique quantique. En pratique, ces objets sont toujours des impulsions lumineuses (des photons), qui peuvent prendre plusieurs formes : photons uniques, états cohérents, paires de photons intriqués, etc.
• d'un canal quantique, qui permet le transit des impulsions lumineuses. Il peut s'agir d'une fibre optique, qui permet facilement de guider la lumière, ou de l'air libre, auquel cas Alice et Bob doivent se faire face.
• enfin, d'un canal classique de communication (comme Internet), qui doit être authentifié : Alice doit être certaine qu'elle parle bien à Bob.

Entre Alice et Bob se trouve un espion, aussi appelé adversaire, qu'il est d'usage de nommer Eve (de l'anglais eavesdropper). Eve a accès à tout ce qui transite entre Alice et Bob, classique ou quantique, et n'est limitée que par les lois de la physique. En revanche, elle ne peut pas accéder aux systèmes d'Alice et de Bob, qui sont supposés physiquement sécurisés.

Alice code tout d'abord une information aléatoire sur chaque impulsion lumineuse, puis l'envoie à Bob par le canal quantique. Celui-ci mesure alors l'information que porte l'impulsion qu'il a reçue. Après la transmission, Bob possède donc un ensemble de mesures qui sont corrélées aux données envoyées par Alice, mais qui ont pu être espionnées par Eve.

L'une des propriétés fondamentales de la cryptographie quantique est la capacité des deux interlocuteurs à détecter la présence de l'espion, mais aussi à évaluer précisément la quantité d'information que celui-ci a interceptée.

Ceci résulte de deux aspects fondamentaux de la mécanique quantique :

1. d'après le théorème de non-clonage, il est impossible de dupliquer un objet quantique inconnu,
2. le postulat de réduction du paquet d'onde entraîne que réaliser une mesure sur un objet quantique perturbe les propriétés quantiques de l'objet en question.

Si Eve cherche à obtenir de l'information sur l'état de l'objet qui transite par le canal quantique, elle introduit des anomalies (bruit ou erreurs), qui peuvent être détectées par Alice et Bob.

Il est possible d'établir formellement un lien entre la quantité d'anomalies et la quantité d'information interceptée par Eve, grâce à des démonstrations mathématiques appelées preuves de sécurité, qui combinent les lois de la physique quantique et de la théorie de l'information.

Alice et Bob évaluent tout d'abord le niveau d'erreurs et de bruit séparant leurs deux ensembles de données. Les différences entre leurs données peuvent provenir de :

• l'intervention d'Eve, qui rajoute des erreurs et du bruit
• les erreurs et le bruit de fond, qui ne peuvent jamais être évités complètement.

Néanmoins, puisque les erreurs de communication et les effets de l'observation d'Eve ne peuvent pas être distingués, Alice et Bob doivent supposer que toutes les incohérences sont dues à l'action d'un espion.

Ensuite, grâce aux preuves de sécurité et à ce niveau de bruit, Alice et Bob peuvent évaluer la quantité d'information qui a été interceptée par Eve, notée ${\displaystyle I_{E}}$. En parallèle, la théorie de l'information leur permet d'évaluer la quantité d'information qu'ils partagent après la transmission, ${\displaystyle I_{AB}}$.

Finalement, si la quantité d'information ${\displaystyle \Delta I=I_{AB}-I_{E}}$ reste supérieure à zéro, c'est-à-dire que le niveau d'espionnage reste en dessous d'un certain seuil, alors une clé secrète de taille maximale ${\displaystyle \Delta I}$ peut être extraite de la transmission.

Dans le cas contraire, aucune extraction n'est possible, et l'échange doit donc être interrompu.

S'il reste un avantage à Alice et Bob après l'évaluation de l'information secrète résiduelle, ils peuvent lancer l'extraction de la clé proprement dite. Souvenons-nous qu'Alice et Bob ne partagent pas encore une clé, mais des données corrélées.

L'extraction est composée de deux étapes : la réconciliation et l'amplification de confidentialité.

La réconciliation consiste à générer une chaîne de bits partagée par Alice et Bob à partir des données corrélées, en particulier à l'aide d'un algorithme de correction d'erreurs.

Pour ce faire, l'émetteur ou le récepteur utilise un code correcteur pour générer un ensemble de syndromes, qu'il envoie à l'autre partie afin qu'elle puisse corriger ses données. Puisque le canal classique de transmission n'est pas chiffré, ces informations sont supposées connues de l'espion. Il est donc impératif d'en envoyer aussi peu que possible, afin de ne pas lui apporter trop d'information.

L'amplification de confidentialité est une technique qui transforme la clé corrigée en une clé secrète plus petite. Les bits de la clé passent au travers d'un algorithme qui répartit l'ignorance de l'espion sur la clé finale. De cette manière, l'information de l'espion sur la clé finale peut être rendue arbitrairement petite.

En première approximation, la taille de la clé secrète finale est égale à la "taille" de l'information partagée avant réconciliation, diminuée du nombre de bits connus (ou supposés connus) par l'espion, et diminuée du nombre de bits publiés lors de la correction d'erreur.

Le protocole de cryptographie quantique est entièrement fondé sur les propriétés quantiques des photons polarisés. Il est indispensable de connaître et comprendre ces propriétés pour comprendre la cryptographie quantique.

1. Un photon peut être polarisé selon un axe quelconque.
2. Un photon polarisé selon un axe d'angle 'a' passant dans un filtre polarisant d'axe 'b' possède une chance égale à cos²(b-a) de passer le filtre polarisant. Donc :
   • si le filtre est orienté précisément dans l'axe de polarisation du photon (b = a), le photon traversera certainement le filtre (proba = cos²(b-a) = cos²(0) = 1).
   • si le filtre est orienté à 90° de l'axe de polarisation du photon (b = a+90), le photon sera certainement arrêté par le filtre (proba = cos²(b-a) = cos²(90) = 0).
   • si le filtre est orienté à 45° de l'axe de polarisation du photon (b = a+45), le photon aura une chance sur deux de passer le filtre (proba = cos²(b-a) = cos²(45) = 1/2).
3. Les propriétés ci-dessus sont encore du domaine « classique ». Les propriétés purement quantiques utilisées par la cryptographie quantique sont :
   • Quand la probabilité de passer le filtre n'est ni 0 ni 1, le passage d'un photon individuel à travers le filtre est fondamentalement imprévisible et indéterministe.
   • On ne peut connaître l'axe de polarisation qu'en employant un filtre polarisant (ou plus généralement, en faisant une mesure dont le résultat est OUI ou NON). Il n'existe pas de mesure directe, donnant un angle par exemple, de l'axe de polarisation du photon.
   • On ne peut connaître l'axe de polarisation initial du photon que si l'axe du filtre est orienté précisément à 0° ou à 90° par rapport à celui du photon. Dans le cas où le filtre est transverse (45° par exemple), il n'y a fondamentalement aucun moyen de savoir quel était l'axe de polarisation initial du photon.

La clé à transmettre est une série de bits, aléatoires, prenant donc comme valeur 0 ou 1.

L'émetteur de la clé code chaque bit de la clé selon un des deux modes de polarisation, aléatoirement, au choix de l'émetteur :

• mode 1 : "0" est codé par un photon d'axe de polarisation 0° et "1" par un photon de polarisation 90°.
• mode 2 : "0" est codé par un photon d'axe de polarisation 45° et "1" par un photon de polarisation 135°.

L'émetteur émet la clé bit par bit, photon par photon, en choisissant aléatoirement le mode de polarisation (mode 1 ou mode 2) à chaque photon émis. L'émetteur note pour chaque bit le mode de polarisation choisi. Chaque photon est émis à intervalle régulier.

Le récepteur possède un filtre polarisant, pouvant être orienté à volonté à 0° (mode 1) ou à 45° (mode 2). Avant l'arrivée prévue d'un photon, il positionne le filtre, aléatoirement aussi, à 0° ou à 45°. Au moment prévu de l'arrivée du photon, il note le résultat (le photon a passé le filtre, ou le photon n'a pas passé le filtre), ainsi que l'orientation choisie du filtre.

Pour chaque bit, deux cas de figures sont possibles :

• l'émetteur et le récepteur ont choisi, par hasard, la même orientation de polarisation (même mode). Cela se produit en moyenne une fois sur deux. Dans ce cas, le photon reçu est représentatif du bit émis et peut être traduit directement en bit.
• l'émetteur et le récepteur ont choisi une orientation séparée de 45°, et dans ce cas le photon reçu est parfaitement aléatoire et ne contient aucune information.

Une fois tous les bits transmis (on doit émettre au moins 2N bits pour une clé de N bits utiles), l'émetteur communique au récepteur, par un moyen conventionnel et non forcément fiable, le mode de polarisation employé pour chaque bit.

Le récepteur peut donc alors connaître les bits pour lesquels l'orientation de polarisation a été la même. Il sait que ces bits sont non aléatoires. Il connaît donc alors de manière certaine N bits en moyenne pour 2N bits transmis.

Jusqu'ici, ce protocole n'est qu'une manière (très compliquée) de communiquer N bits aléatoires d'un point A à un point B. Quel est l'avantage de procéder de la sorte ? L'avantage est que le récepteur peut avoir la certitude absolue que la clé, ou une partie de la clé, n'a pas été interceptée par un espion.

Cela est possible car, dans le cas où un récepteur choisit une mauvaise orientation pour le filtre, le photon reçu est parfaitement aléatoire et ne donne aucune information sur son orientation initiale. Un espion éventuel est obligé, lui aussi, d'employer un filtre polarisant pour connaître l'état d'orientation du photon qui code la valeur du bit. Pour passer inaperçu, il doit ré-émettre un photon, avec le même état de polarisation que le photon reçu. Mais si l'espion a choisi une mauvaise orientation du filtre pour recevoir le photon (cela arrive en moyenne une fois sur deux), il va ré-émettre un photon dans un état aléatoire. Dans le cas où il y a un espion sur la ligne, il peut donc arriver le cas où le récepteur reçoit un bit différent du bit émis quand l'émetteur et le récepteur ont choisi le même mode de polarisation. Cela n'arrive jamais (problèmes techniques mis à part) quand l'état quantique du photon est préservé d'un bout à l'autre de la ligne.

Par conséquent, pour tester la sûreté de la clé, l'émetteur va, après avoir communiqué les modes de polarisation employés pour chaque photon, communiquer également la valeur d'un certain nombre de bits[note 1] pour lesquels les orientations émetteur/récepteur sont les mêmes. Ces bits sont donc "sacrifiés" puisqu'ils sont communiqués par un canal non sûr. Si un seul de ces bits diffère entre l'émetteur et le récepteur, la clé est jetée, et le processus est recommencé.

Par exemple, les protocoles E91, B92, SSP99 et SARG04.

Communication radio

En août 2016 des chercheurs chinois établissent un lien vers le satellite Micius de 1 200 km[4].

• [Debuisschert et Boucher 2002] Thierry Debuisschert et William Boucher, « La cryptographie quantique par codage temporel : Un nouveau principe de codage de l'information quantique fondé sur le codage temporel. », Pour la Science, n^o 36,‎ juillet – octobre 2002, p. 118 (lire en ligne).
• [Korzh et al. 2015] (en) Boris Korzh, Charles Ci Wen Lim, Raphael Houlmann, Nicolas Gisin, Ming Jun Li et Daniel Nolan, « Provably secure and practical quantum key distribution over 307km of optical fibre », Nature Photonics,‎ 2015, p. 163–169 (DOI 10.1038/nphoton.2014.327, résumé).

• Cryptographie post-quantique
• Téléportation quantique
• Pan Jianwei

• « La physique quantique au service de la sécurité »^{(Archive • Wikiwix • Archive.is • Google • Que faire ?)} [PDF]
• L'Avenir de la cryptographie

• Portail de la cryptologie