AccueilđŸ‡«đŸ‡·Chercher

Protocole BB84

En cryptographie, le protocole BB84 est le premier mĂ©canisme d'Ă©change de clĂ© quantique Ă  avoir Ă©tĂ© formalisĂ©, et en fait le premier protocole de cryptographie quantique. Il a Ă©tĂ© proposĂ© en 1984 par Charles Bennett et Gilles Brassard[1]. Le protocole BB84 a inspirĂ© de nombreuses variantes, qui s'appuient sur les mĂȘmes principes fondamentaux : E90, E91, B92, SSP99, SARG04. S'il est diffĂ©rent du protocole d'Artur Ekert, les deux constructions sont en fait compatibles et il existe des variantes de BB84 utilisant le principe d'intrication, notamment pour rĂ©sister Ă  certaines des attaques connues.

Principe

Polarisation et mesure

Le protocole BB84 s'appuie sur la notion de polarisation linĂ©aire d'un photon : un photon peut ĂȘtre Ă©mis avec une polarisation selon un axe donnĂ©. Un filtre polarisant laisse passer le photon avec une probabilitĂ© , oĂč mesure l'Ă©cart angulaire entre l'axe de polarisation du photon et l'axe principal du filtre. Ainsi, un filtre exactement alignĂ© avec l'axe de polarisation du photon est transparent, alors qu'un filtre formant un angle droit avec cet axe est opaque ; si l'angle est de 45° la probabilitĂ© que le photon passe le filtre est de 50 %. Si cela se produit, l'effondrement du paquet d'ondes garantit que le photon est dĂ©sormais alignĂ© avec l'axe du filtre, indĂ©pendamment de sa polarisation prĂ©cĂ©dente.

On définit alors deux bases, notées et , cette derniÚre correspondant à une rotation de la premiÚre par 45°. Mathématiquement, on peut fixer :

Supposons un photon émis selon , et un filtre aligné selon , alors la probabilité de mesurer le photon est :

et aprÚs la mesure le photon (s'il n'a pas été absorbé) est polarisé selon .

DĂ©roulement du protocole

Le protocole BB84 se déroule en plusieurs étapes, et permet à deux participants Alice et Bob d'établir une clé cryptographique commune. On suppose un canal de communication établi, sur lequel il est possible d'émettre des photons de polarisation choisie, les référentiels d'Alice et de Bob ayant été étalonnés préalablement.

En premiÚre étape, Alice choisit une suite aléatoire de bits ; pour chaque bit , elle choisit aléatoirement une base et émet un photon polarisé selon . De son cÎté, Bob choisit une base de réception aléatoire pour chaque photon, et aligne son filtre sur . L'illustration suivante donne à voir cette premiÚre étape en action :

Bit d'Alice () 0 1 1 0 1 0 0 1
Base d'Alice ()
Polarisation du photon ()
Base de Bob ()
Photon reçu par Bob ou ou ou ou

En deuxiÚme étape, Bob transmet à Alice la liste des bases utilisées lors de la réception. Alice répond en indiquant quelles sont les bases que Bob a correctement choisi, et seuls les photons correspondants sont conservés[2]. Dans l'exemple ci-dessus, cela correspond à la séquence , , , , c'est-à-dire aux bits 0, 1, 0, 1. Cette séquence est appelée la clé « réconciliée » ou « trouée ».

Bit d'Alice () 0 jeté 1 jeté jeté 0 jeté 1
Base d'Alice ()
Polarisation du photon ()
Base de Bob ()
Photon reçu par Bob jeté jeté jeté jeté

En troisiĂšme Ă©tape, Alice et Bob se mettent d'accord sur un sous-ensemble de la clĂ© rĂ©conciliĂ©e qu'ils vont rĂ©vĂ©ler publiquement. Ils comparent alors s'ils ont obtenu les mĂȘmes bits dans ce sous-ensemble : si oui, ils utilisent le reste de la clĂ© pour dĂ©river une clĂ© cryptographique. S'il y a un dĂ©saccord, cela peut signifier un problĂšme de transmission ou une tentative d'Ă©coute le long du canal. En effet, le thĂ©orĂšme de non clonage garantit qu'en cas d'Ă©coute, l'espion force le photon sur une base (qui n'est pas forcĂ©ment celle d'Alice). Ainsi, si l'espion devine correctement la base d'Alice avec une probabilitĂ© de 50 %, alors 25 % des bits de la clĂ© de rĂ©conciliation seront en dĂ©saccord[3]. De maniĂšre gĂ©nĂ©rale, en sacrifiant bits de la clĂ© de rĂ©conciliation, Alice et Bob peuvent dĂ©tecter un Ă©ventuel espion sur le canal avec une probabilitĂ© .

Ainsi, en construisant une longue clé de réconciliation, on peut atteindre un niveau de sécurité suffisant en sacrifiant assez de bits[4] - [5].

Sécurité

Propriétés de sécurité

La sĂ©curitĂ© du protocole BB84 repose sur le thĂ©orĂšme de non clonage, qui n'est pas une hypothĂšse calculatoire, mais physique[6]. Sous cette hypothĂšse, et en supposant un Ă©quipement parfait, le protocole BB84 est sĂ»r au sens de la thĂ©orie de l'information, c'est-Ă -dire qu'il garantit la sĂ©curitĂ© mĂȘme contre un adversaire disposant de capacitĂ©s de calcul infinies. Cependant, comme tout protocole d'Ă©change de clĂ©, il est possible de monter une attaque de l'homme du milieu contre ce protocole si la communication n'est pas authentifiĂ©e. Il est donc nĂ©cessaire en pratique de complĂ©menter le protocole BB84 d'un protocole d'authentification, classique ou quantique.

Attaque PNS et manipulations de canal

En réalité, l'équipement n'est pas parfait. Une conséquence est l'existence d'attaques sur le protocole en dépit d'une garantie théorique de sécurité.

Une de ces attaques repose sur la difficulté de produire des photons uniques : les équipements réels peuvent émettre plusieurs photons au lieu d'un seul, qu'un adversaire peut prélever du canal. Ce prélÚvement est indétectable, et permet à l'adversaire de cloner des photons, violant ainsi l'hypothÚse de sécurité : cette attaque est baptisée PNS (pour l'anglais photon number splitting)[7]. De nombreuses variantes de BB84 ont été imaginées pour contourner cette vulnérabilité, et il est possible en théorie d'établir une clé sûre en dépit de l'attaque[8].

Dans le protocole BB84, environ 50 % des photons transmis sont jetĂ©s lors de la rĂ©conciliation si le canal est sans erreurs[9]. Si le taux d'erreur sur le canal est trop Ă©levĂ©, au-delĂ  de 11%[9], il n'est plus possible d'Ă©tablir une clĂ©. Le taux de transmission des fibres n'Ă©tant pas 100 %, et la transparence des Ă©lĂ©ments optiques n'Ă©tant pas parfaite, il est en pratique nĂ©cessaire d'augmenter l'intensitĂ© du faisceau en transmettant davantage de photons, ce qui expose les systĂšmes rĂ©els Ă  l'attaque PNS mĂȘme quand le nombre de photons produit est contrĂŽlĂ© trĂšs prĂ©cisĂ©ment.

D'autres attaques sont connues, reposant sur l'existence de canaux auxiliaires loin des appareils de mesure[10], sur la manipulation de phase[11], sur les décalages temporels[12], ou sur l'insertion de faux états[13], et certaines ont été montrées contre des implémentations commerciales[14].

Amplification

Une autre consĂ©quence de l'imperfection des instruments est la prĂ©sence de mesures incorrectes, mĂȘme en l'absence d'espion sur le canal. Le protocole ne peut donc pas fonctionner si un dĂ©saccord se produit lors de la phase de rĂ©conciliation. PlutĂŽt que d'accepter une session dans laquelle des erreurs sont dĂ©tectĂ©es (qui peuvent ĂȘtre dues au bruit, Ă  un espion, ou aux deux), il existe des techniques, dites « d'amplification » qui permettent de faire fonctionner le protocole en dĂ©pit d'erreurs mais sans avantager l'adversaire. Un exemple est l'utilisation d'un code correcteur pour dĂ©cider les bits Ă  transmettre. Il est Ă©galement possible, lors de la phase de rĂ©conciliation, de ne pas transmettre les bits de la clĂ© mais une fonction (par exemple le ou exclusif) qui ne renseigne pas l'adversaire sur la valeur ou la validitĂ© d'un bit donnĂ©[4].

Implémentation

Le protocole BB84 est aujourd'hui utilisé pour la plupart des implémentations de distribution quantique de clés. En 2007, le NIST annonçait une réalisation sur une fibre optique de 148,7 km[15]. Le protocole BB84 est supporté sur plusieurs réseaux, notamment : DARPA QKD[16], SECOCQ QKD[17], Tokyo QKD[18].

Une implĂ©mentation schĂ©matique Ă  base de photons est illustrĂ©e ci-dessous. La source de l'Ă©metteur produit un signal polarisĂ©, et des cellules de Pockels sont utilisĂ©es pour commander la polarisation du signal Ă©mis. Ces cellules, commandĂ©es Ă©lectriquement, permettent ainsi de produire les diffĂ©rents Ă©tats de polarisation souhaitĂ©s. Une fibre optique peut alors ĂȘtre utilisĂ©e pour transporter les photons. Du cĂŽtĂ© du destinataire, une cellule de Pockels peut effectuer une rotation de 45° de l'angle de polarisation, et un prisme birĂ©fringent sĂ©pare le faisceau en deux signaux, qui sont capturĂ©s par des dĂ©tecteurs Ă  polarisation orthogonale[19].

Version schématisée d'une implémentation du protocole BB84, utilisant des cellules de Pockels et un prisme calcite biréfringent pour séparer le faisceau polarisé. Non représenté sur ce schéma est le canal de communication classique utilisé pour la réconciliation.

Notes et références

  1. (en) Charles H. Bennett et Gilles Brassard, « Quantum cryptography: Public key distribution and coin tossing », Theoretical Computer Science, vol. 560,‎ , p. 7–11 (DOI 10.1016/j.tcs.2014.05.025, lire en ligne, consultĂ© le )
  2. Cette communication peut se faire sur un canal classique, non sécurisé.
  3. (en) Eleanor Rieffel et Wolfgang Polak, « An introduction to quantum computing for non-physicists », ACM Computing Surveys (CSUR), vol. 32, no 3,‎ , p. 300–335 (ISSN 0360-0300, DOI 10.1145/367701.367709, lire en ligne, consultĂ© le )
  4. (en) Nicolas Gisin, GrĂ©goire Ribordy, Wolfgang Tittel et Hugo Zbinden, « Quantum cryptography », Reviews of Modern Physics, vol. 74, no 1,‎ , p. 145–195 (DOI 10.1103/RevModPhys.74.145, lire en ligne, consultĂ© le )
  5. (en) Samuel J. Lomonaco, « A Quick Glance at Quantum Cryptography », Cryptologia, vol. 23,‎ , p. 1-41 (DOI 10.1080/0161-119991887739)
  6. (en) Dagmar Bruss, GĂĄbor ErdĂ©lyi, Tim Meyer et Tobias Riege, « Quantum cryptography: A survey », ACM Computing Surveys (CSUR), vol. 39, no 2,‎ , p. 6 (ISSN 0360-0300, DOI 10.1145/1242471.1242474, lire en ligne, consultĂ© le )
  7. (en) Gilles Brassard, Norbert LĂŒtkenhaus, Tal Mor et Barry C. Sanders, « Limitations on Practical Quantum Cryptography », Physical Review Letters, vol. 85, no 6,‎ , p. 1330–1333 (DOI 10.1103/PhysRevLett.85.1330, lire en ligne, consultĂ© le )
  8. (en) Daniel Gottesman, Hoi-Kwong Lo, Norbert LĂŒtkenhaus et John Preskill, « Security of quantum key distribution with imperfect devices », Quantum Information & Computation, vol. 4, no 5,‎ , p. 325–360 (ISSN 1533-7146, lire en ligne, consultĂ© le )
  9. (en) Stephen Wiesner, « Conjugate coding », ACM SIGACT News, vol. 15, no 1,‎ , p. 78–88 (ISSN 0163-5700, DOI 10.1145/1008908.1008920, lire en ligne, consultĂ© le )
  10. (en) Sebastian Nauerth, Martin FĂŒrst, Tobias Schmitt-Manderbach et Henning Weier, « Information leakage via side channels in freespace BB84 quantum cryptography », New Journal of Physics, vol. 11, no 6,‎ , p. 065001 (ISSN 1367-2630, DOI 10.1088/1367-2630/11/6/065001, lire en ligne, consultĂ© le )
  11. (en) Chi-Hang Fred Fung, Bing Qi, Kiyoshi Tamaki et Hoi-Kwong Lo, « Phase-Remapping Attack in Practical Quantum Key Distribution Systems », Physical Review A, vol. 75, no 3,‎ (ISSN 1050-2947 et 1094-1622, DOI 10.1103/PhysRevA.75.032314, lire en ligne, consultĂ© le )
  12. (en) Yi Zhao, Chi-Hang Fred Fung, Bing Qi et Christine Chen, « Quantum hacking: Experimental demonstration of time-shift attack against practical quantum-key-distribution systems », Physical Review A, vol. 78, no 4,‎ , p. 042333 (DOI 10.1103/PhysRevA.78.042333, lire en ligne, consultĂ© le )
  13. (en) A. Vakhitov, V. Makarov et D. R. Hjelme, « Large pulse attack as a method of conventional optical eavesdropping in quantum cryptography », Journal of Modern Optics, vol. 48, Issue 13,‎ , p.2023-2038
  14. (en) Ilja Gerhardt, Qin Liu, AntĂ­a Lamas-Linares et Johannes Skaar, « Full-field implementation of a perfect eavesdropper on a quantum cryptography system », Nature Communications, vol. 2,‎ , p. 349 (DOI 10.1038/ncomms1348, lire en ligne, consultĂ© le )
  15. (en) P. A. Hiskett, D. Rosenberg, C. G. Peterson et R. J. Hughes, « Long-distance quantum key distribution in optical fibre », New Journal of Physics, vol. 8, no 9,‎ , p. 193 (ISSN 1367-2630, DOI 10.1088/1367-2630/8/9/193, lire en ligne, consultĂ© le )
  16. (en) Chip Elliott, Alexander Colvin, David Pearson et Oleksiy Pikalo, « Current status of the DARPA Quantum Network », arXiv:quant-ph/0503058,‎ (lire en ligne, consultĂ© le )
  17. (en) M. Peev, C. Pacher, R. AllĂ©aume et C. Barreiro, « The SECOQC quantum key distribution network in Vienna », New Journal of Physics, vol. 11, no 7,‎ , p. 075001 (ISSN 1367-2630, DOI 10.1088/1367-2630/11/7/075001, lire en ligne, consultĂ© le )
  18. (en) M. Sasaki, M. Fujiwara, H. Ishizuka et W. Klaus, « Field test of quantum key distribution in the Tokyo QKD Network », Optics Express, vol. 19, no 11,‎ , p. 10387–10409 (ISSN 1094-4087, DOI 10.1364/oe.19.010387, lire en ligne, consultĂ© le )
  19. (en) Anthony Mark Fox, Quantum optics : an introduction, Oxford University Press, , 378 p. (ISBN 978-0-19-856672-4, OCLC 181099168, lire en ligne), p. 250
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.