Distribution quantique de clé
L'échange quantique de clé (ou distribution quantique de clé, ou négociation quantique de clé), souvent abrégé QKD (pour l'anglais : quantum key distribution) est un échange de clé, c'est-à -dire un protocole cryptographique visant à établir un secret partagé entre deux participants qui communiquent sur un canal non sécurisé. Ce secret sert généralement à générer une clé cryptographique commune (c'est pourquoi il s'agit d'échange de clé, au singulier), permettant ensuite aux participants de chiffrer leurs communications au moyen d'un algorithme de chiffrement symétrique. L'échange quantique de clé se caractérise en ce qu'il fonde sa sécurité non pas sur la difficulté calculatoire supposée de certains problèmes, comme c'est le cas pour les protocoles cryptographiques utilisés aujourd'hui, mais sur l'impossibilité supposée de violer les principes de la physique quantique : c'est un cas particulier de cryptographie quantique.
Parmi les propriétés fondamentales sur lesquelles s'appuie l'échange quantique de clé, il y a notamment le théorème de non clonage, qui garantit qu'il est impossible pour un adversaire de créer une réplique exacte d'une particule dans un état inconnu. Ainsi il est possible sous certaines conditions de détecter une tentative d'interception des communications.
Protocoles d'échange quantique de clé
Le premier protocole d'échange quantique de clé est BB84, proposé en 1984 par Charles Bennett et Gilles Brassard. Il s'agit d'un protocole du type « préparation et mesure » dans lequel un objet quantique, typiquement un photon, est préparé dans un état gardé secret par l'un des participants (typiquement, un état de polarisation). L'autre participant (ou un adversaire éventuel) fait un pari quant à l'état de l'objet quantique, et effectue une mesure. L'effondrement du paquet d'ondes assure qu'après la mesure, il est impossible de retrouver l'état précédent. La présence d'un adversaire crée donc des perturbations qui peuvent être reconnues par les participants au protocole. Ils peuvent alors décider de cesser la communication, ou utiliser des techniques d'amplification pour générer une clé cryptographique sûre en dépit de la connaissance (partielle) de l'adversaire.
Une autre approche est adoptée par le protocole E91 dû à Artur Ekert et proposé en 1991, qui est basé sur la propriété d'intrication quantique. Dans ce protocole, les objets échangés sont toujours dans un état de superposition quantique, les deux états utilisés étant gardés secrets. Il n'est plus possible de déterminer l'état exact de polarisation (lorsque, comme souvent, des photons sont utilisés), mais les corrélations statistiques sont préservées en l'absence d'adversaire. En revanche, la présence d'un adversaire qui tenterait de mesurer les objets quantiques échangés causerait la destruction des corrélations, un phénomène que les participants peuvent détecter comme une violation des inégalités de Bell.
Implémentations
La réalisation d'un échange quantique de clé repose sur la capacité à générer assez rapidement des objets quantiques dans un état prescrit, à mesurer ces objets, et à les transmettre sur des distances suffisantes. Le record actuel de distance pour des photons polarisés transmis au moyen d'une fibre optique a été obtenu en 2015, atteignant 307 km à 12,7 kbit/s[4]. En , l'expérience QUESS montre la faisabilité de l'échange de clé sur de plus longues distances, au-delà de 1000 km[5], et avec des satellites[6].
Depuis, à des fins expérimentales ou commerciales, plusieurs réseaux de distribution quantique de clé ont été mis en place, souvent autour du protocole BB84. En 2007, le NIST annonçait une réalisation sur une fibre optique de 148,7 km[7]. Le réseau DARPA QKD[8], constitué de dix nœuds, est en place depuis 2004. Le réseau SECOCQ QKD[9] est en place depuis 2008 et utilise 200 km de fibres optiques standard. Tokyo QKD[10] est en place depuis 2010.
Sécurité des protocoles
La sécurité des protocoles d'échange quantique de clé est appuyée sur l'hypothèse que le théorème de non clonage prive un adversaire d'apprendre l'état d'une particule avant la mesure. Cette sécurité repose donc sur une propriété de la physique quantique, plutôt que sur la difficulté mathématique d'un problème, comme c'est le cas des protocoles d'échange de clé utilisés aujourd'hui. Toutefois, il existe des attaques sur plusieurs protocoles d'échange quantique de clé, liés aux limitations inévitables des appareils réels de génération et de mesure, aux phénomènes de décohérence, ou encore à la présence de canaux auxiliaires exploitables par un attaquant.
Certaines attaques sont structurelles, c'est-à -dire qu'elles s'appliquent, à quelques variations près, à tout protocole d'échange quantique de clé :
- Tous les protocoles d'échange quantique de clé sont vulnérables à une attaque de l'homme du milieu si la communication n'est pas, par ailleurs, authentifiée. Même sur un canal authentifié, il existe une probabilité que l'adversaire ne soit pas détecté, ou en tout cas qu'il soit indistinguable, par ses effets, du bruit. Il est donc en pratique nécessaire de recourir à des techniques d'amplification et de correction d'erreur.
- Tous les protocoles d'échange quantique de clé sont également vulnérables à une attaque par déni de service, dans la mesure où le canal de communication peut être perturbé ou rompu par un adversaire. Les contre-mesures utilisées pour les communications standard ne sont pas nécessairement applicables ici, à cause de la contrainte de conserver l'état quantique, qui empêche la copie et la redondance sur lesquelles les mécanismes habituels reposent.
- Il existe des attaques basées sur la capacité d'un adversaire à détecter l'état de mesure choisi par l'un ou l'autre des participants : s'ils utilisent un filtre polarisant, comme c'est généralement le cas pour le protocole BB84, l'attaquant peut mesurer la rétro-propagation d'un signal lumineux de son choix pour sonder l'axe de polarisation et ainsi prédire correctement l'état quantique qui sera émis[11]. Ce type d'attaque est ultimement lié à la technologie utilisée pour émettre ou mesurer l'objet quantique utilisé pour la communication.
- Les protocoles qui reposent sur le choix d'une suite aléatoire de bits sont vulnérables si la source d'aléa utilisée ne possède pas assez d'entropie, ou si elle est prévisible. Une contre-mesure consiste à s'appuyer ici sur un générateur de nombres aléatoires matériel.
D'autres attaques sont spécifiques à des protocoles donnés, ou à des choix d'implémentation précis. Ainsi, l'attaque PNS (photon number splitting) repose sur l'imperfection des appareils de génération de photons, qui occasionnellement en émettent plusieurs avec la même polarisation. Un adversaire peut alors les prélever du canal sans risquer d'être détecté[12].
Enfin, une catégorie d'attaque s'appuie sur la manipulation du canal lui-même, qui permet la manipulation de phase[13], des décalages temporels[14], ou l'insertion de faux états[15]. Certaines de ces attaques ont été montrées contre des implémentations commerciales[16].
Notes et références
- (en) Yi Mu, Jennifer Seberry et Yuliang Zheng, « Shared cryptographic bits via quantized quadrature phase amplitudes of light », Optics Communications, vol. 123, nos 1-3,‎ , p. 344–352 (DOI 10.1016/0030-4018(95)00688-5, lire en ligne, consulté le )
- (en) Kyo Inoue, Edo Waks et Yoshihisa Yamamoto, « Differential Phase Shift Quantum Key Distribution », Physical Review Letters, vol. 89, no 3,‎ , p. 037902 (DOI 10.1103/PhysRevLett.89.037902, lire en ligne, consulté le )
- (en) Valerio Scarani, « Quantum Cryptography Protocols Robust against Photon Number Splitting Attacks for Weak Laser Pulse Implementations », Physical Review Letters, vol. 92, no 5,‎ (DOI 10.1103/physrevlett.92.057901, lire en ligne, consulté le )
- (en) Boris Korzh, Charles Ci Wen Lim, Raphael Houlmann et Nicolas Gisin, « Provably Secure and Practical Quantum Key Distribution over 307 km of Optical Fibre », Nature Photonics, vol. 9, no 3,‎ , p. 163–168 (ISSN 1749-4885 et 1749-4893, DOI 10.1038/nphoton.2014.327, lire en ligne, consulté le )
- (en) Juan Yin, Yuan Cao, Yu-Huai Li et Sheng-Kai Liao, « Satellite-based entanglement distribution over 1200 kilometers », Science, vol. 356, no 6343,‎ , p. 1140–1144 (ISSN 0036-8075 et 1095-9203, PMID 28619937, DOI 10.1126/science.aan3211, lire en ligne, consulté le )
- (en) Sheng-Kai Liao, Wen-Qi Cai, Johannes Handsteiner et Bo Liu, « Satellite-Relayed Intercontinental Quantum Network », Physical Review Letters, vol. 120, no 3,‎ , p. 030501 (DOI 10.1103/PhysRevLett.120.030501, lire en ligne, consulté le )
- (en) P. A. Hiskett, D. Rosenberg, C. G. Peterson et R. J. Hughes, « Long-distance quantum key distribution in optical fibre », New Journal of Physics, vol. 8, no 9,‎ , p. 193 (ISSN 1367-2630, DOI 10.1088/1367-2630/8/9/193, lire en ligne, consulté le )
- (en) Chip Elliott, Alexander Colvin, David Pearson et Oleksiy Pikalo, « Current status of the DARPA Quantum Network », arXiv:quant-ph/0503058,‎ (lire en ligne, consulté le )
- (en) M. Peev, C. Pacher, R. Alléaume et C. Barreiro, « The SECOQC quantum key distribution network in Vienna », New Journal of Physics, vol. 11, no 7,‎ , p. 075001 (ISSN 1367-2630, DOI 10.1088/1367-2630/11/7/075001, lire en ligne, consulté le )
- (en) M. Sasaki, M. Fujiwara, H. Ishizuka et W. Klaus, « Field test of quantum key distribution in the Tokyo QKD Network », Optics Express, vol. 19, no 11,‎ , p. 10387–10409 (ISSN 1094-4087, DOI 10.1364/oe.19.010387, lire en ligne, consulté le )
- (en) Nitin Jain, Elena Anisimova, Imran Khan et Vadim Makarov, « Trojan-horse attacks threaten the security of practical quantum cryptography », New Journal of Physics, vol. 16, no 12,‎ , p. 123030 (ISSN 1367-2630, DOI 10.1088/1367-2630/16/12/123030, lire en ligne, consulté le )
- (en) Gilles Brassard, Norbert Lütkenhaus, Tal Mor et Barry C. Sanders, « Limitations on Practical Quantum Cryptography », Physical Review Letters, vol. 85, no 6,‎ , p. 1330–1333 (DOI 10.1103/PhysRevLett.85.1330, lire en ligne, consulté le )
- (en) Chi-Hang Fred Fung, Bing Qi, Kiyoshi Tamaki et Hoi-Kwong Lo, « Phase-Remapping Attack in Practical Quantum Key Distribution Systems », Physical Review A, vol. 75, no 3,‎ (ISSN 1050-2947 et 1094-1622, DOI 10.1103/PhysRevA.75.032314, lire en ligne, consulté le )
- (en) Yi Zhao, Chi-Hang Fred Fung, Bing Qi et Christine Chen, « Quantum hacking: Experimental demonstration of time-shift attack against practical quantum-key-distribution systems », Physical Review A, vol. 78, no 4,‎ , p. 042333 (DOI 10.1103/PhysRevA.78.042333, lire en ligne, consulté le )
- (en) A. Vakhitov, V. Makarov et D. R. Hjelme, « Large pulse attack as a method of conventional optical eavesdropping in quantum cryptography », Journal of Modern Optics, vol. 48, Issue 13,‎ , p.2023-2038
- (en) Ilja Gerhardt, Qin Liu, AntĂa Lamas-Linares et Johannes Skaar, « Full-field implementation of a perfect eavesdropper on a quantum cryptography system », Nature Communications, vol. 2,‎ , p. 349 (DOI 10.1038/ncomms1348, lire en ligne, consultĂ© le )