Protocole BB84

Le protocole BB84 s'appuie sur la notion de polarisation linéaire d'un photon : un photon peut être émis avec une polarisation selon un axe donné. Un filtre polarisant laisse passer le photon avec une probabilité ${\displaystyle \cos ^{2}(\theta )}$, où ${\displaystyle \theta }$ mesure l'écart angulaire entre l'axe de polarisation du photon et l'axe principal du filtre. Ainsi, un filtre exactement aligné avec l'axe de polarisation du photon est transparent, alors qu'un filtre formant un angle droit avec cet axe est opaque ; si l'angle est de 45° la probabilité que le photon passe le filtre est de 50 %. Si cela se produit, l'effondrement du paquet d'ondes garantit que le photon est désormais aligné avec l'axe du filtre, indépendamment de sa polarisation précédente.

On définit alors deux bases, notées ${\displaystyle +}$ et ${\displaystyle \times }$, cette dernière correspondant à une rotation de la première par 45°. Mathématiquement, on peut fixer :

$${\displaystyle {\begin{aligned}+&=\left\{{\vec {e}}_{0}^{+}=(1,0),{\vec {e}}_{1}^{+}=(0,1)\right\}\\\times &=\left\{{\vec {e}}_{0}^{\times }=\left({\frac {1}{\sqrt {2}}},{\frac {1}{\sqrt {2}}}\right),{\vec {e}}_{1}^{\times }=\left(-{\frac {1}{\sqrt {2}}},{\frac {1}{\sqrt {2}}}\right)\right\}\\\end{aligned}}}$$

Supposons un photon émis selon ${\displaystyle e_{0}^{+}}$, et un filtre aligné selon ${\displaystyle f\in \{e_{0}^{+},e_{1}^{+},e_{0}^{\times },e_{1}^{\times }\}}$, alors la probabilité de mesurer le photon est :

$${\displaystyle {\begin{cases}1&(f=e_{0}^{+})\\0&(f=e_{1}^{+})\\{\frac {1}{2}}&(f=e_{0}^{\times },e_{1}^{\times })\end{cases}}}$$

et après la mesure le photon (s'il n'a pas été absorbé) est polarisé selon ${\displaystyle f}$.

Le protocole BB84 se déroule en plusieurs étapes, et permet à deux participants Alice et Bob d'établir une clé cryptographique commune. On suppose un canal de communication établi, sur lequel il est possible d'émettre des photons de polarisation choisie, les référentiels d'Alice et de Bob ayant été étalonnés préalablement.

En première étape, Alice choisit une suite aléatoire de bits ; pour chaque bit ${\displaystyle b\in \{0,1\}}$, elle choisit aléatoirement une base ${\displaystyle t\in \{+,\times \}}$ et émet un photon polarisé selon ${\displaystyle e_{b}^{t}}$. De son côté, Bob choisit une base de réception aléatoire ${\displaystyle r\in \{+,\times \}}$ pour chaque photon, et aligne son filtre sur ${\displaystyle e_{1}^{r}}$. L'illustration suivante donne à voir cette première étape en action :

Bit d'Alice (${\displaystyle b}$)	0	1	1	0	1	0	0	1
Base d'Alice (${\displaystyle t}$)	${\displaystyle +}$	${\displaystyle +}$	${\displaystyle \times }$	${\displaystyle +}$	${\displaystyle \times }$	${\displaystyle \times }$	${\displaystyle \times }$	${\displaystyle +}$
Polarisation du photon (${\displaystyle e_{b}^{t}}$)	${\displaystyle \to }$	${\displaystyle \uparrow }$	${\displaystyle \nwarrow }$	${\displaystyle \to }$	${\displaystyle \nwarrow }$	${\displaystyle \nearrow }$	${\displaystyle \nearrow }$	${\displaystyle \uparrow }$
Base de Bob (${\displaystyle r}$)	${\displaystyle +}$	${\displaystyle \times }$	${\displaystyle \times }$	${\displaystyle \times }$	${\displaystyle +}$	${\displaystyle \times }$	${\displaystyle +}$	${\displaystyle +}$
Photon reçu par Bob	${\displaystyle \to }$	${\displaystyle \nwarrow }$ ou ${\displaystyle \nearrow }$	${\displaystyle \nwarrow }$	${\displaystyle \nwarrow }$ ou ${\displaystyle \nearrow }$	${\displaystyle \uparrow }$ ou ${\displaystyle \to }$	${\displaystyle \nearrow }$	${\displaystyle \uparrow }$ ou ${\displaystyle \to }$	${\displaystyle \uparrow }$

En deuxième étape, Bob transmet à Alice la liste des bases utilisées lors de la réception. Alice répond en indiquant quelles sont les bases que Bob a correctement choisi, et seuls les photons correspondants sont conservés[2]. Dans l'exemple ci-dessus, cela correspond à la séquence ${\displaystyle \to }$, ${\displaystyle \nwarrow }$, ${\displaystyle \nearrow }$, ${\displaystyle \uparrow }$, c'est-à-dire aux bits 0, 1, 0, 1. Cette séquence est appelée la clé « réconciliée » ou « trouée ».

Bit d'Alice (${\displaystyle b}$)	0	jeté	1	jeté	jeté	0	jeté	1
Base d'Alice (${\displaystyle t}$)	${\displaystyle +}$		${\displaystyle \times }$			${\displaystyle \times }$		${\displaystyle +}$
Polarisation du photon (${\displaystyle e_{b}^{t}}$)	${\displaystyle \to }$		${\displaystyle \nwarrow }$			${\displaystyle \nearrow }$		${\displaystyle \uparrow }$
Base de Bob (${\displaystyle r}$)	${\displaystyle +}$		${\displaystyle \times }$			${\displaystyle \times }$		${\displaystyle +}$
Photon reçu par Bob	${\displaystyle \to }$	jeté	${\displaystyle \nwarrow }$	jeté	jeté	${\displaystyle \nearrow }$	jeté	${\displaystyle \uparrow }$

En troisième étape, Alice et Bob se mettent d'accord sur un sous-ensemble de la clé réconciliée qu'ils vont révéler publiquement. Ils comparent alors s'ils ont obtenu les mêmes bits dans ce sous-ensemble : si oui, ils utilisent le reste de la clé pour dériver une clé cryptographique. S'il y a un désaccord, cela peut signifier un problème de transmission ou une tentative d'écoute le long du canal. En effet, le théorème de non clonage garantit qu'en cas d'écoute, l'espion force le photon sur une base (qui n'est pas forcément celle d'Alice). Ainsi, si l'espion devine correctement la base d'Alice avec une probabilité de 50 %, alors 25 % des bits de la clé de réconciliation seront en désaccord[3]. De manière générale, en sacrifiant ${\displaystyle n}$ bits de la clé de réconciliation, Alice et Bob peuvent détecter un éventuel espion sur le canal avec une probabilité ${\displaystyle 1-\left(3/4\right)^{n}}$.

Ainsi, en construisant une longue clé de réconciliation, on peut atteindre un niveau de sécurité suffisant en sacrifiant assez de bits[4] - [5].

La sécurité du protocole BB84 repose sur le théorème de non clonage, qui n'est pas une hypothèse calculatoire, mais physique[6]. Sous cette hypothèse, et en supposant un équipement parfait, le protocole BB84 est sûr au sens de la théorie de l'information, c'est-à-dire qu'il garantit la sécurité même contre un adversaire disposant de capacités de calcul infinies. Cependant, comme tout protocole d'échange de clé, il est possible de monter une attaque de l'homme du milieu contre ce protocole si la communication n'est pas authentifiée. Il est donc nécessaire en pratique de complémenter le protocole BB84 d'un protocole d'authentification, classique ou quantique.

En réalité, l'équipement n'est pas parfait. Une conséquence est l'existence d'attaques sur le protocole en dépit d'une garantie théorique de sécurité.

Une de ces attaques repose sur la difficulté de produire des photons uniques : les équipements réels peuvent émettre plusieurs photons au lieu d'un seul, qu'un adversaire peut prélever du canal. Ce prélèvement est indétectable, et permet à l'adversaire de cloner des photons, violant ainsi l'hypothèse de sécurité : cette attaque est baptisée PNS (pour l'anglais photon number splitting)[7]. De nombreuses variantes de BB84 ont été imaginées pour contourner cette vulnérabilité, et il est possible en théorie d'établir une clé sûre en dépit de l'attaque[8].

Dans le protocole BB84, environ 50 % des photons transmis sont jetés lors de la réconciliation si le canal est sans erreurs[9]. Si le taux d'erreur sur le canal est trop élevé, au-delà de 11%[9], il n'est plus possible d'établir une clé. Le taux de transmission des fibres n'étant pas 100 %, et la transparence des éléments optiques n'étant pas parfaite, il est en pratique nécessaire d'augmenter l'intensité du faisceau en transmettant davantage de photons, ce qui expose les systèmes réels à l'attaque PNS même quand le nombre de photons produit est contrôlé très précisément.

D'autres attaques sont connues, reposant sur l'existence de canaux auxiliaires loin des appareils de mesure[10], sur la manipulation de phase[11], sur les décalages temporels[12], ou sur l'insertion de faux états[13], et certaines ont été montrées contre des implémentations commerciales[14].

Une autre conséquence de l'imperfection des instruments est la présence de mesures incorrectes, même en l'absence d'espion sur le canal. Le protocole ne peut donc pas fonctionner si un désaccord se produit lors de la phase de réconciliation. Plutôt que d'accepter une session dans laquelle des erreurs sont détectées (qui peuvent être dues au bruit, à un espion, ou aux deux), il existe des techniques, dites « d'amplification » qui permettent de faire fonctionner le protocole en dépit d'erreurs mais sans avantager l'adversaire. Un exemple est l'utilisation d'un code correcteur pour décider les bits à transmettre. Il est également possible, lors de la phase de réconciliation, de ne pas transmettre les bits de la clé mais une fonction (par exemple le ou exclusif) qui ne renseigne pas l'adversaire sur la valeur ou la validité d'un bit donné[4].