Etudier et implémenter une simulation du protocole d’échange de clef quantique bb84
RAPPORT DE STAGE DE FIN D’ETUDES
Sujet :
Etudier et implémenter une simulation du
protocole d’échange de clef quantique BB84
Réalisé par :
Responsables :
NGUYEN Thanh Mai
IFI-P8
M. Patrick BELLOT, ENST-Paris
M. Minh-Dung DANG, ENST-Paris
M. Romain ALLEAUME, ENST-Paris
Paris, Mai 2004 - Janvier 2005
Remerciements
Je tiens à remercier Monsieur Pactrick BELLOT, mon maître de stage pour
son bon accueil, son enthousiasme et son entretien durant toute la période
de mon stage à l’ENST1 - département Informatique et Réseaux
Je souhaite également faire part de ma reconnaissance à mon tuteur
DANG Minh Dung et thésard Romain ALLEAUME pour leur disponibilité,
leur appui et également les conseils utiles tout au long de mon stage.
Je voudrais aussi témoigner de mes remerciements à mes deux collègues NGUYEN Toan Linh Tam et LE Quoc Cuong pour leur coopération,
leur assistance et aussi leur motivation qui nous ont aidé de mener à bien
notre travail.
En fin, merci à ma famille, mes professeurs à l’IFI , mes amis Vietnamiens ainsi que mes collègues étrangères qui m’ont rendu une ambiance
vraiment agréable pour que je puisse réussir mon stage.
1
Ecole Nationale Supérieure des Télécommunications
1
Table de matières
Remerciements
1
1 Introduction
1.1 Problématique . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1.1 Faiblesse de cryptographie classique . . . . . . . . . .
1.1.2 Pourquoi le quantum est-il choisi pour la cryptologie?
1.2 Projet CARE-2 Innovative . . . . . . . . . . . . . . . . . . . .
1.3 Objectif du stage . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4 Plan du rapport . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
5
5
5
6
6
7
8
2 Distribution de Clef Quantique
9
2.1 Principes de DCQ . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.2 Quelques protocoles pour CQ . . . . . . . . . . . . . . . . . . . 11
3 Protocole BB84
3.1 Description du protocole . . . . . . . . . . . . . . . . .
3.2 Securité de BB84 . . . . . . . . . . . . . . . . . . . . .
3.2.1 Preuve de la sécurité de BB84 . . . . . . . . . .
3.2.2 Paramètres fondamentaux . . . . . . . . . . . .
3.2.3 Quelques types d’attaques de Eve contre BB84
3.2.4 Protections contre les attaques . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
13
13
17
17
19
23
24
4 Simulation et visualisation du protocole BB84
27
4.1 Spécification pour une implémentation simple de BB84 . . . . 27
4.2 Implémentation en détail . . . . . . . . . . . . . . . . . . . . . 29
5 Conclusion
39
Bibliographie
41
3
Liste de Figures
2.1 Trois paires de bases utilisées dans le protocole à six-état. . . 12
3.1 quatre états Non-orthogonaux utilisés dans le protocole BB84. 14
4.1 Schéma de relation entre les objets principaux dans la simulation du protocole BB84 . . . . . . . . . . . . . . . . . . . . . . 37
4
5
Section 1
Introduction
1.1 Problématique
L’échange de l’information est toujours un besoin essentiel dans la vie
humaine, en particulier dans la société contemporaine. La quantité de
l’information échangée augmente chaque minute, chaque second ou même
chaque microseconde. Et est-il inévitable pour tenir compte de l’importance
de son secret? Il concerne la sécurité et l’intégrité des données transférées.
On a déjà considéré ceci étant fixé par des techniques de cryptographie
classique, par exemple: clef de symétrie/asymétrie ou toutes les deux dans
les meilleurs crypto-systèmes d’aujourd’hui. Cependant, dans l’ère des ordinateurs puissants avec la technologie développée des mini-processeurs
à grande vitesse (milliard de calculs par secondes), la cryptographie classique a montré graduellement sa faiblesse.
1.1.1 Faiblesse de cryptographie classique
Comme nous avons su, presque tous les crypto-systèmes courants produisent des clefs pour le chiffrement (ou déchiffrement) de messages en
utilisant:
• un choix aléatoire d’un ensemble de valeurs possibles comme dans le
DES et ses variantes.
• des fonctions à sens unique qui sont considérés difficiles à renverser,
comme dans Diffie- Hellman et RSA [1]. Le temps nécessaire pour
Nguyen Thanh Mai, Promo8, IFI.
6
SECTION 1. INTRODUCTION
renverser de telles fonctions est exponentiel en fonction de la taille
des données d’entrée.
Pour l’ancien, nous pouvons penser qu’il est sûr quand la clef est aléatoirement produite. Mais il n’est pas vraiment possible de réaliser la génération
de clef aléatoire, en principe, en utilisant les ordinateurs actuels aux états
déterministes et finis. Cependant, la situation n’est pas meilleure avec des
fonctions à sens unique. Malheureusement, jusqu’ici personne ne donne
aucune preuve indiquant que les fonctions à sens unique sont croyablement
mathématiquement difficiles à inverser. D’ailleurs, Peter Shor a découvert
en 1994 que temps à factoriser un grand nombre entier ou calculer le logarithme discret est polynôme si appliquant des ordinateurs de quantum.
Ainsi la cause majeure qui menace les crypto-systèmes d’aujourd’hui, est
le développement vraiment rapide en informatique de quantum. Mais aucun problème n’a aucune solution, devoir est juste pour la découvrir. Et une
proposition pour la cryptographie courante est cryptographie de quantum.
1.1.2
Pourquoi le quantum est-il choisi pour la cryptologie?
Wiesner, dans son papier, a premièrement proposé en 1970 la CQ 1 qui
n’avait pas été publié jusqu’en 1983 (apparu dans [2]). CQ, ou plus précisement Distribution de Clef Quantique, propose une méthode alternative
aux méthode mathématiques. Elle se base sur les lois de la physique et
vise à assurer la sécurité inconditionnelle de l’échange de clef. Elle a ouvert devant les scientifiques une nouvelle axe de recherche pour résoudre
le problème courrant de la cryptogaphie.
1.2
Projet CARE-2 Innovative
• Introduction du projet
– SECOQC 2
SECOQC est un programme cadre de l’Union Européen à être
lancé en avril 2004, par un centre de recherche autrichien.
1
Cryptographie Quantique
Development of a Network for Secure Communication based on Quantum
Cryptography
2
6
Nguyen Thanh Mai, Promo8, IFI.
1.3. OBJECTIF DU STAGE
7
SECOQC posera la base d’un réseau de communications à haute
sécurité, en développant la recherche expérimentale de la technologie quantique et en la connectant à la cryptographie, à la
technologie des réseaux, et à d’autres disciplines liées aux technologies de l’information.
Dans ce projet, il y a 41 participants de 12 pays Européens dont
la France.
– CARE-2 Innovative
est un projet dans le cadre du SECOQC, réalisé au Centre Expérimental de EUROCONTROL (EEC). Dans la collaboration entre EUROCONTROL et ENST-Paris, le département INFRES est
responsable de l’architecture du réseau et de la validation de la
sécurité, au sujet " Renforcement de la sécurité des communications aéronautiques en utilisant la Cryptographie Quantique ".
Ce projet a été divisé aux 3 sujets suivants:
∗ étudier profondément et visualiser le protocole d’échange de
clef quantique BB84
∗ examiner la faisabilité de l’intégration de la CQ dans les
réseaux de satellite (voir le rapport de M. Le Quoc Cuong).
∗ renforcer la sécurité des communications du réseau ATN en
utilisant la CQ (voir le rapport de M. Nguyen Toan Linh
Tam).
• Ecole Nationale Supérieure des Télécommunications de Paris
Mon stage s’est déroulé au département Informatique et Réseaux3 ,
à ENST4 . Il a duré 6 mois au début, et a prolongé 3 mois de plus à
la demande du travail. J’ai fait mon stage sous la direction d Professeur Patrick Bellot5 , thésard Romain Alléaume6 et thésard Dang
Minh Dung. J’ai travaillé dans le groupe de Cryptographie Quantique
dans le cadre du projet CARE-2.
1.3 Objectif du stage
Comme cité au-dessus 1.2, notre équipe se compose 3 stagiaires qui sont
responsables de 3 sujets. Nous avons du donner un rapport ensemble après
l’étude précise de chaque sujet.
3
http://www.infres.enst.fr/
http://www.enst.fr/
5
http://www.infres.enst.fr/ bellot/
6
http://www.infres.enst.fr/ alleaume/index.html
4
Nguyen Thanh Mai, Promo8, IFI.
7
8
SECTION 1. INTRODUCTION
Mon devoir est d’étudier, faire une synthèse du protocole BB84. Après
la rédaction de ma partie et l’a réunie à des celles de mes collègues pour
fournir le rapport7 , mon travail suivant est de construire un programme
de simulation et de visualisation du protocole. Et le simulateur a du être
implémentée en Java et pu fonctionner sur réseau plutôt qu’une machine
unique.
1.4
Plan du rapport
Ce mémoire se compose 6 sections et elles sont organisées (structurées) en
ordre suivantes:
Dans la première section, je présente le contexte général, l’objectif du
mon stage et le plan du rapport. C’est la section d’Introduction.
La deuxième donnera une bref introduction de la Cryptographie
Quantique.
Puis, on prend connaissance de la Distribution de Clef Quantique
(DCQ) par ses principes et certains protocoles de DCQ.
Une étude profonde du premier protocole DCQ BB84 sera trouvée dans
la quatrième section Protocole BB84 en détail. On va connaître plus le
protocole lui-même, la citation des preuves de sa sécurité inconditionnelle,
ses paramètres fondamentaux, les types d’attaque contre BB84 et les protections contre elles.
Dans la section suivante, on aura une Implémentation de BB84.
En fin, je donnerai la Conclusion.
7
8
consulter le rapport à l’adresse http://www.eurocontrol.int/care/innovative/care2/ENST/WP3.pdf
Nguyen Thanh Mai, Promo8, IFI.
9
Section 2
Distribution de Clef Quantique
2.1 Principes de DCQ
1
L’échange de clef de quantum est basé sur deux théorèmes physiques qui
aident à produire d’une clef sécurisée entre Alice et Bob. Ils sont le principe
d’incertitude [3] et le théorème non-clonage.
• principe d’incertitude: c’est un des principes fondamentaux dans la
mécanique quantique. Ce principe dit que une mesure peut nous
rendre certains résultats différents. Chaque valeur obtenue par la
mesure a une probabilité prédite et n’est pas dû à une imprécision de
mesure.
• théorème non-clonage: Basé sur le principe d’incertitude, il n’existe
aucune façon de connaître sûrement un état. Et c’est impossible de
cloner un état inconnu. C’est à dire que l’on peut pas obtenir une copie
identique d’un état aléatoire de quantum.
En comparaison de la distribution de clef de cryptographie traditionnelle, DCQ peut surmonter certains imperfections.
Comme cité ci-dessus, DCQ est basée sur la mécanique quantique. Le
point fort principal de DCQ résume en qu’il assure la confidentialité des
clefs, garantie par les lois physiques de quantum. C’est la raison essentielle
pour laquelle DCQ est favorisée. Les techniques de DCQ peuvent fournir
la distribution automatique de clef qui offre une plus grande sécurité par
1
Distribution de Clef Quantique
Nguyen Thanh Mai, Promo8, IFI.
10
SECTION 2. DISTRIBUTION DE CLEF QUANTIQUE
rapport aux classiques. Les propriétés de quantum utilisées dans DCQ
sont:
• Enchevêtrement (corrélation de quantum). Un système de quantum
peut être corrélé avec un ou plusieurs systèmes de quantum. Chaque
sous-système produit aléatoirement de ses états, et aucun d’eux ne
présente un état fixe.
• Causalité et superposition. La causalité n’est pas un ingrédient de la
mécanique quantique non-relativiste. Néanmoins elle est employée
pour le but de la combinaison avec la superposition utilisée pour
l’échange de clef secrète.
• Authentification. En échangeant les données secrètes, on doit faire
beaucoup d’attention pour adresser la vraie destination. C’est dommage que l’authentification ne soit pas primitivement incluse dans
DCQ. Ce problème est en train d’être étudié pour améliorer DCQ et
a ouvert certaines approches telles qu’inclure la clef secrète dans les
dispositifs éloignés (à distance) ou la DCQ hybride - arrangements de
clef publique.
• Livraison suffisamment rapide des clefs. Dans la distribution des
clefs, une vitesse rapide est prise en considération(compte). Aujourd’hui, la vitesse atteinte de DCQ est environ 1000 bits/s dans le
matériel à fournir la clef. Mais en fait, c’est souvent plusieurs fois
plus lent [4].
• Robustesse. C’est vraiment un point faible de DCQ puisqu’il utilise
une seule connexion point-à-point. Ainsi, il peut être facilement affaibli par un eavesdropper ou par un accident possible comme le découpage de fibre. Cependant, il est impossible si on emploie des multitrajets pour la transmission des données.
• Dépendance de distance et d’endroit. Nous pouvons clairement constater que DCQ est notamment à court de cet attribut. Deux entités
d’un système de DCQ doivent avoir une connexion consacrée et la distance entre elles est limitée par la matière employée pour transmettre
des photons.
• Résistance à l’analyse de trafic. Quelqu’un peut apprécier d’effectuer
l’analyse de trafic sur une distribution de clef, en particulier, sur un
système délicat qui promet des choses intéressantes en arrière. Il
cause probablement quelques risques. Pour soulager la vie, il devrait
empêcher une telle analyse. Malheureusement, DCQ ne peut pas s’en
10
Nguyen Thanh Mai, Promo8, IFI.
2.2. QUELQUES PROTOCOLES POUR CQ
11
satisfaire mais encore elle attire beaucoup des yeux curieux par ses
installations considérables.
2.2 Quelques protocoles pour CQ
Jusqu’ici, il y a plusieurs protocoles étant proposés depuis l’apparition du
premier BB84. Nous récapitulerons certains d’entre eux dans cette section.
• Protocole BB84
C’est le premier protocole pour la cryptographie de Quantum,
présenté par B ennet et B rassard en 1984, appelé BB84. En 1994,
ce protocole a été prouvé être sécurisé contre l’espionnage par Dominic Mayers, Eli Biham, Michael Ben-Or. BB84 est un protocole
non-déterministe, qui signifie qu’il est utile pour la distribution d’une
suite aléatoire. On reviendra à ceci en détail dans la section 3.1.
• Protocole à deux-état
En 1992, selon la notice de Bennett, quatre états sont trop pour
CQ, seulement deux, ceux non-orthogonaux sont suffisants. Dans la
vérité, la sécurité des bases de CQ sur l’incapacité d’un espion de distinguer sûrement et sans perturbation les états différents qu’Alice
envoie à Bob; par conséquent deux états sont suffisants (Bennett,
1992) s’ils sont incompatibles (c.-à-d., non mutuellement orthogonal).
Mais en pratique, ce protocole n’est pas vraiment efficace. En effet,
bien que deux états non-orthogonaux ne puissent pas être distingués
clairement sans perturbation, on peut clairement distinguer eux au
coût d’un certain pertes (Ivanovic, 1987; Peres, 1988). Cette possibilité a été démontrée en pratique (Huttner, Gautier, et al., 1996; Clarke
et al., 2000). [3]
• Protocole à trois-état
Ce protocole est l’amélioration de BB84. Le protocole BB84 est
symétrique dans son utilisation de polarisation. Après la génération
de la clef, il est nécessaire d’échanger plus d’autre information pour
le secret de la clef. Est il possible non seulement de distribuer la
clef mais de fournir également des informations additionnelles au sujet de l’intégrité? Le protocole à trois-état a proposé d’employer trois
états, au lieu de quatre dans BB84, et trois détecteurs, au lieu de deux
pour BB84, pour casser la symétrie de BB84. Ceci réduit la probabilité d’espionnage pour obtenir de bons états, et ainsi que minimise
Nguyen Thanh Mai, Promo8, IFI.
11
12
SECTION 2. DISTRIBUTION DE CLEF QUANTIQUE
la quantité de l’information utile envoyée par Alice. D’ailleurs, nous
pouvons également découvrir sa présence sur la ligne.
• Protocole à six-état
Tandis que deux états sont suffisants et quatre états sont standard,
un protocole à six-état respecte plus la symétrie de l’espace d’état de
qubit2 , regarde la 2.2. Les six états constituent trois bases, par conséquent la probabilité qu’Alice et Bob choisissent la même base est (à)
seulement 1/3, mais la symétrie de ce protocole simplifie considérablement l’analyse de sécurité et réduit le gain optimal de l’information
de l’espion pour un taux donné d’erreur QBER3 . Si l’espion mesure
tous les photons, le QBER est 33%, en comparaison à 25% dans le cas
du protocole BB84.
Figure 2.1: Trois paires de bases utilisées dans le protocole à six-état.
2
Qubit: bit de quantum
TEBQ: Taux d’Erreur de Bit de Quantum (en anglais - QBER: Quantum Bit Error
Rate) .
3
12
Nguyen Thanh Mai, Promo8, IFI.
13
Section 3
Protocole BB84
3.1 Description du protocole
BB84 est le protocole de distribution de clef de quantum le plus bien connu
en utilisant quatre états différents qui font une paire des états de base.
Dans la description du protocole, on emploie le prénom classique pour
les différents éléments du protocole. Le prénom Alice est employé pour
l’initiateur du protocole. Le prénom Bob est employé pour le destinataire.
Typiquement, Alice communique avec Bob tandis qu’un espion essaye
d’écouter ou de perturber la communication. Cet Espion est habituellement appelé Eve, abréviation du mot Eavesdropper en anglais. .
Le secret de ce protocole a été prouvé par les personnes différentes telles
que Dominic Mayers, Eli Biham, Michael Ben-Ou et ainsi de suite. BB84
est sécurisé contre l’espionnage dans le sens que Eve ne peut obtenir aucune information sur le transfert entre Alice et Bob sauf le cas où elle indique sa présence après la transmission de données. On va revenir à cet
article dans la section 3.2.
BB84 est un protocole non-déterministe. Cela signifie qu’il distribue
une suite aléatoire des bit. BB84 ne peut pas être employé pour la transmission d’un message déterminé. La communication entre Alice et Bob
étant simplement réussie, se base sur l’aspect aléatoire de chaque étape du
protocole. Maintenant, allons-nous découvrir comment BB84 fonctionne.
Le schéma de codage de quantum du protocole BB84 était la première
proposition de codage de quantum d’information classique où le récepteur
(légitime ou illégitime) ne puisse pas récupérer avec la fiabilité 100%. Il
constitue une base pour la plupart des autres protocoles de quantum.
Nguyen Thanh Mai, Promo8, IFI.
14
SECTION 3. PROTOCOLE BB84
Avec ce schéma, le bit classique est codé par des états de quantum.
Chaque état de quantum peut représenter les deux bits classiques, le 1
ou le 0, et inversement, chaque 0 ou 1 corresponde à un mélange de deux
états égaux de quantum probablement non-orthogonaux. Une de plusieurs
représentations est dans la figure 3.1 où on représente par |0i, |1i, |00 i, |10 i,
les quatre états illustrés.
Figure 3.1: quatre états Non-orthogonaux utilisés dans le protocole BB84.
L’information transmise dans le canal de quantum est souvent sous
la forme de photons polarisés. Le codage des bits classiques est fait en
utilisant la direction de la polarisation. Dans le schéma de codage de
BB84, le bit classique 0 est représenté par un photon polarisé à 0◦ et 45◦ de
l’axe horizontal, et les deux directions orthogonales correspondantes, 90◦
et 135◦ , sont employées pour le bit 1.
Selon la mécanique quantique, il n’y a aucune manière de différencier
sûrement deux états non-orthogonaux. Ainsi une mesure de quantum doit
être effectuée pour déterminer l’état reçu et grâce à cela pour obtenir le
rendement classique. Et ce principe d’incertitude fournit les propriétés
cryptographiques requises dans la cryptographie de quantum.
Pour BB84, il y a deux mesures employées pour distinguer les différents
états de quantum:
• ⊕, la mesure permettant d’identifier clairement entre deux états |0i
et |1i. Cette mesure s’appelle également la mesure dans la base rectiligne.
• ⊗, la mesure permettant d’identifier clairement entre deux états |00 i
et |10 i. Cette mesure s’appelle également la mesure dans la base diagonale.
En général, l’échange de clef de quantum employant BB84 pour la clef
secrète se compose de six étapes suivantes:
14
Nguyen Thanh Mai, Promo8, IFI.
3.1. DESCRIPTION DU PROTOCOLE
15
1. Transmission de Quantum
Cette phase est la première étape dans une distribution de clef de
quantum. Dans cette phase, une chaîne aléatoire de n bits classiques
sera créée par Alice et envoyée à Bob. Chaque bit de cette chaîne
sera codé par une base non déterministe. Un bit classique codé par
quantum s’appelle un qubit.. A l’autre côté de la transmission, Bob
reçoit le qubit et il prend par hasard une base rectiligne (ou diagonale)
pour la mesurer. Quand la transmission est finie, Bob obtiendra une
chaîne de bits classiques, appelée clef crue, différente de celle d’Alice
en beaucoup de positions, environ 50% même dans le cas de la communication sans erreur de quantum ou beaucoup de plus comme le taux
d’erreur d’appareil est inclus. La prochaine étape du protocole aidera
à remplacer les bits non-corrélatifs entre la chaîne d’Alice et celle de
Bob, qui sont probablement des erreurs provoquées par l’espion ou la
transmission bruyante de quantum.
2. Annonce De Bases
Comme mentionné dans la partie précédente, dans cette phase, toutes
les positions, où les même bits sont partagés, seront conservées et le
reste sera jeté. Premièrement, à l’aide du canal classique, Bob envoie
à Alice toutes les bases qu’il avait utilisées pour mesurer la chaîne
des qubits d’Alice. Alice alors compare cet ordre des bases avec le sien
et révèle toutes les positions non-corrélatives sur le canal classique
à Bob. Après ça, Alice et Bob enlèvent tous les bits aux positions
informées par Alice. Et la partie distillée de la clef crue, appelée la
clé plaine, est totalement la même entre celles d’Alice et de Bob sans
tenir compte des effets des erreurs d’appareil mais encore ou même
tout à fait différent de l’un, de l’autre en fait.
3. Estimation d’Erreurs
Pour réduire la différence entre la clef plaine d’Alice et de Bob due
à l’imperfection d’appareil, il est nécessaire de corriger des erreurs.
C’est la phase l’où l’erreur de la clef plaine est estimée. Il sera exécuté
comme suit. Alice extraira une petite série des bits de la clef plaine et
l’envoiera à Bob. Alice informera Bob un sous-ensemble de positions
de taille K et les valeurs de bits à ces positions dans la clé plaine
obtenue dans la dernière étape. L’émetteur et le récepteur doivent
calculer le taux d’erreurs observées e et gardent cette transmission si
le taux d’erreur est moins qu’un seuil désiré. Et en fin, ils enlèvent
K bits vérifiés et observent le reste. Dans le cas où le taux d’erreur
estimé est plus que le seuil, la clef sera avortée.
4. Réconciliation
Après cette phase, une clef réconciliée sera obtenue après application
Nguyen Thanh Mai, Promo8, IFI.
15
16
SECTION 3. PROTOCOLE BB84
d’un protocole de réconciliation à la clef plaine. La réconciliation est
un processus interactif, ayant lieu dans le canal public. Le but de
cette phase est de corriger les erreurs, pour réduire d’une manière
équivalente la différence, entre les clefs plaines de l’expéditeur et du
récepteur. Mais il est important de prendre note que peu de bits en
tant que possible sont envoyés à travers le canal public car l’espion
peut exploiter cette information. Un protocole nommé Cascade est
appliqué ici. La cascade effectue de correction d’erreurs en envoyant
très peu de l’information à travers le canal public et a été proposée
par Gilles Brassard et Louis Salvail. La cascade fonctionne dans un
certain nombre de ronds. On va en détail dans la partie Implémentation. La phase suivante est la confirmation de l’égalité des clefs
réconciliées de Alice et de Bob. Et si la cascade finit avec succès, la
phase suivante confirmera le résultat.
5. Confirmation
Afin de s’assurer qu’aucune erreur ne sera trouvée, Alice et Bob
échangeront et compareront la parité des sous-ensembles aléatoires
de positions. En général, si une comparaison à z de bits de parité est
faite et il n’y a aucune différence, alors la clef partagée courante est
identique au taux de 2−z . Et si cette phase est réussie, nous croyons
probablement que la clef partagée est maintenant la même, peut-être
avec l’erreur mais à un taux acceptable si z est assez grand.
6. Purification
Enfin, Alice et Bob peuvent avoir une clef identique, mais que pensezvous de l’espion? Après toutes les phases précédentes, peut-être elle
a obtenu de l’information, ainsi elle ne sécurise pas la clef partagée
identique. Que doit on fait pour résoudre ce problème? Et la purification est exactement la réponse. Le but de cette phase est réduire au minimum aussi loin que possible les informations de l’espion
sur la clef et de produire d’une clef plus courte mais plus confiante. À ce moment, l’espion rassemble seulement une quantité négligeable d’informations sur cette corde et Alice et Bob peuvent sans
risque l’employer directement pour le chiffrage inconditionnellement
sécurisé. Pour la purification, des fonctions universelles publiquement connues des informations parasites sont toujours choisies, qui
font la projection d’une (traceront) chaîne de n-bits à celle de r-bits.
Ce choix peut être déterminé sur le canal public. Et cette proposition
a été faite par Charles Benett, brassard de Gilles, Claude Crepeau, et
Ueli Maurer.
16
Nguyen Thanh Mai, Promo8, IFI.
3.2. SECURITÉ DE BB84
17
3.2 Securité de BB84
Normalement, un protocole serait considéré sécurisé quand il est prouvé
sécurisé contre toutes les stratégies d’attaque de l’écoute clandestine. Ceci
s’appelle la sécurité inconditionnelle , par exemple sans hypothèse. Et
jusqu’ici, c’est toujours encore un fait vraiment difficile même pour un système idéalisé tel que le protocole BB84 avec la source de simple-photon.
3.2.1 Preuve de la sécurité de BB84
La sécurité de BB84, cependant, a été théoriquement prouvée par des différents scientifiques. Dans cette section, quelques preuves seront données
aux lecteurs mais seulement comme une vue générale. Pour plus de détails,
référez-vous aux documents énumérés.
Preuve de Mayers [5]
Le premier devrait être mentionné ici est la preuve de Dominic Mayers en
1996, plus qu’une décennie depuis la proposition originale de BB84, et qui
est la générale mais plutôt complexe. D. Mayers a suivi quelques autres
preuves précédentes d’Eli Biham ou collaborateurs et Michael Ben-Ou.
Pour prouver la sécurité de BB84, la mesure (POVM) évaluée par opérateur positif a été appliquée. Dans sa preuve, il a employé les techniques
de base, la preuve de la sécurité d’un protocole pratique de distribution
de clef de quantum contre toutes les attaques permises par la mécanique
quantique.
Preuve de Lo et de Chau [6]
On pense largement que la distribution de clef de quantum est à offrir
la sécurité sans conditions dans la communication entre deux utilisateurs. Malheureusement, une preuve largement admise de sa sécurité en
présence de source, de dispositif et des bruits de canal a été absente. Ce
problème depuis longtemps est résolu dans cette preuve comme suivant:
avec les ordinateurs de quantum tolérants aux fautes, la distribution de clé
de quantum, à travers une distance longue arbitraire d’un canal bruyant
réaliste, peut être fait en sécurité inconditionnelle. La preuve a réduit d’un
schéma bruyant de quantum à un schéma non-bruyant de quantum et puis
d’un schéma non-bruyant de quantum à un schéma classique non-bruyant,
qui peut alors être attaqué par théorie de probabilité classique.
Preuve de Peter W.Shor et John Preskill [7]
Shor et Preskill nous ont apporté une preuve simple de sécurité
du protocole BB84.
Ils ont employé les Protocoles de Distillation
Nguyen Thanh Mai, Promo8, IFI.
17
18
SECTION 3. PROTOCOLE BB84
d’Enchevêtrement (PDE) pour prouver la sécurité de BB84. Premièrement, un protocole de distribution de clef, basé sur la purification
d’enchevêtrement, est construit et peut être prouvé en sécurité en utilisant des méthodes de la preuve de Lo et de Chau sur la sécurité pour un
protocole semblable. Et alors la sécurité de ce protocole est montrée pour
impliquer la sécurité de BB84. PDE emploie des codes de Calderbank-ShorSteane (CSS), et des propriétés de ces codes sont employées pour enlever
l’utilisation du calcul de quantum du protocole de Lo et de Chau.
Preuve de Daniel Gottesman et Hoi-Kwong Lo [8]
Pour prouver la sécurité de BB84, contre l’attaque la plus générale, comme
Shor-Preskill, Gottesman et Lo utilise la purification d’enchevêtrement
sauf en deux-sens. Ils prouvent clairement l’avantage du post-traitement
classique avec les communications à deux-sens en comparaison du posttraitement classique avec celles à sens unique dans DCQ. On en a fait grâce
à la construction explicite d’un nouveau protocole (correction/détection
d’erreurs et purification) pour BB84. Le nouveau peuvent tolérer un taux
d’erreur de bit jusqu’à 18.9%, qui est plus haut que n’importe schémas
de BB84 avec des communications classiques seulement à sens unique peuvent probablement faire (normalement 11%[9]). Ainsi leur protocole mène
à un taux plus élevé de génération de clef et reste en sécurité à travers
les distances plus longues que les précédents. Et d’ailleurs, leur recherche
suggère que la purification bi-directionnelle d’enchevêtrement soit un outil
utile dans l’étude de la distillation d’avantage, de la correction d’erreurs, et
des protocoles de purification.
En dépit de toutes les preuves ci-dessus, BB84 reste toujours sans
garantie dû au manque d’authentification. Une fois que l’espion agit en
tant qu’inter-médiateur qui signifie que l’espion joue le rôle d’Alice avec
Bob et inversement comme Bob dans la communication avec Alice et cela
mène la perte de la sécurité de BB84. C’est l’attaque de l’homme-au-milieu.
On proposera une solution dans la sous-section 3.2.4. De plus, un autre
défi pour l’assurance de la sécurité de BB84 est la source du photon. Quand
chaque impulsion contient plus d’un photon, l’espion peut employer la copie
indirecte pour attaquer BB84. Elle pourrait extraire seulement un dans le
faisceau transmis des photons. Néanmoins, cette issue avait été recherchée
par des physiciens pour créer un appareil produisant des impulsions à un
photon.
18
Nguyen Thanh Mai, Promo8, IFI.
3.2. SECURITÉ DE BB84
19
3.2.2 Paramètres fondamentaux
Dans l’implémentation de BB84, beaucoup de paramètres doivent être
pris en considération. Dans cette partie, certains des plus principaux
seront examinés. Et toute l’information a été référée et extraite à partir de l’article [10], le rapport de la première implémentation de BB84, et
d’un logiciel développé pour conduire l’expérimentation de cryptographie
de quantum [11].
Ces paramètres seront divisés selon les éléments concernants. Ainsi, ils
tombent dans quatre parties: paramètres généraux de quantum, ceux de
Alice, ceux de Bob et ceux de l’espion.
• Paramètres de Quantum
Ceux-ci sont liés au canal de quantum. En fait, un vrai canal de quantum cause des bruits lui-même en raison de l’imperfection du matériel
du canal. Alors, pour construire une simulation réussie d’un canal de
quantum, le facteur de l’efficacité de canal de quantum devrait être
ajouté (abrégé comme Qef f ). Et celui-ci sera plus tard inclus dans la
capacité de détecter des photons au détecteur de Eve et de Bob. En
outre, l’intensité des photons transmis dans le canal de quantum est
considérable. Puisqu’en fait, il n’a pas été possible de transmettre encore un photon simple chaque fois, ainsi dans l’expérience réalisée, ils
ont dû(du) remplacer le photon simple par les impulsions faibles qui
contiennent très peu de photons. C’est pourquoi l’intensité du faisceau (λ) est incluse comme paramètre de canal de quantum.
• Paramètres d’Alice
Presque des facteurs considérés seront trouvés dans la partie de configuration de Alice. Le premier est mentionné ici est la taille de clef
crue transmissie (RawKey len ), la longueur de la chaîne initiale des
qubits que Alice envoie.
Après l’annonce des bases, la clef plaine (de taille à P lainKey len ) est
fournie. Une proportion de cette clé (EE sample ) sera aléatoirement
prise comme échantillon pour l’Estimation des Erreurs. Et alors le
taux d’erreur (errrate ) sera estimé comme suivant:
errrate =
EE sample
P lainKey len
. Dans la phase suivante, la Réconciliation, la Cascade, un schéma interactif et parité-basé de correction d’erreurs, seront répétés quelques
fois. Avant d’exécuter ce protocole, la taille du bloc initial (blk 0 ) pour
Nguyen Thanh Mai, Promo8, IFI.
19