Cryptographie quantique

La cryptographie quantique est un sujet général qui couvre un large éventail de pratiques et de protocoles cryptographiques. Certaines des applications et protocoles les plus remarquables sont discutés ci-dessous.

Distribution de clés quantiques
Cryptographie quantique méfiantedit
Retournement de pièces quantiques
Engagement quantiquemodifier
Modèle de stockage quantique borné et bruitmodifier
Cryptographie quantique basée sur la positionmodiFier
Cryptographie quantique indépendante de l’appareil

Distribution de clés quantiques

Article principal: Distribution de clés quantiques

L’application la plus connue et la plus développée de la cryptographie quantique est la distribution de clés quantiques (QKD), qui consiste à utiliser la communication quantique pour établir une clé partagée entre deux parties (Alice et Bob, par exemple) sans qu’une tierce partie (Eve) n’apprenne quoi que ce soit sur cette clé, même si Eve peut écouter toute communication entre Alice et Bob. Si Eve essaie d’apprendre des informations sur la clé en cours d’établissement, des divergences se produiront, ce qui fera remarquer Alice et Bob. Une fois la clé établie, elle est ensuite généralement utilisée pour une communication cryptée en utilisant des techniques classiques. Par exemple, la clé échangée pourrait être utilisée pour la cryptographie symétrique (par exemple, un pad unique).

La sécurité de la distribution de clés quantiques peut être prouvée mathématiquement sans imposer de restrictions sur les capacités d’un écouteur, ce qui n’est pas possible avec la distribution de clés classique. Ceci est généralement décrit comme une « sécurité inconditionnelle », bien qu’il y ait quelques hypothèses minimales requises, y compris que les lois de la mécanique quantique s’appliquent et qu’Alice et Bob sont capables de s’authentifier mutuellement, c’est-à-dire qu’Eve ne devrait pas pouvoir se faire passer pour Alice ou Bob car sinon une attaque de l’homme du milieu serait possible.

Alors que QKD est apparemment sécurisé, ses applications sont confrontées au défi de la praticité. Cela est dû aux limites de la distance de transmission et du taux de génération des clés. Les études en cours et la technologie croissante ont permis de nouveaux progrès dans ces limites. En 2018 Lucamarini et al. proposition d’un schéma QKD à double champ qui peut éventuellement surmonter l’échelle de perte de débit d’un canal de communication avec perte. Il a été démontré que le débit du protocole twin field dépassait la capacité d’accord de clé secrète du canal avec perte, connu sous le nom de liaison PLOB sans répéteur, à 340 km de fibre optique; son débit idéal dépasse cette limite déjà à 200 km et suit l’échelle de perte de vitesse de la capacité d’accord de clé secrète assistée par répéteur la plus élevée (voir la figure 1 de pour plus de détails). Le protocole suggère que des taux directeurs optimaux sont réalisables sur « 550 kilomètres de fibre optique standard », déjà couramment utilisée dans les communications aujourd’hui. Le résultat théorique a été confirmé dans la première démonstration expérimentale de QKD au-delà de la limite de perte de vitesse par Minder et al. en 2019, qui a été qualifié de premier répéteur quantique efficace. L’un des développements notables en termes d’obtention de débits élevés sur de longues distances est la version sending-not-sending (SNS) du protocole TF-QKD.

Cryptographie quantique méfiantedit

Dans la cryptographie méfiante, les parties participantes ne se font pas confiance. Par exemple, Alice et Bob collaborent pour effectuer des calculs où les deux parties entrent des entrées privées. Mais Alice ne fait pas confiance à Bob et Bob ne fait pas confiance à Alice. Ainsi, une implémentation sécurisée d’une tâche cryptographique nécessite qu’après avoir terminé le calcul, Alice puisse être garantie que Bob n’a pas triché et Bob peut être garantie qu’Alice n’a pas triché non plus. Des exemples de tâches en cryptographie méfiante sont les schémas d’engagement et les calculs sécurisés, ces derniers incluant les autres exemples de retournement de pièces et de transfert inconscient. La distribution des clés n’appartient pas au domaine de la cryptographie méfiante. La cryptographie quantique méfiante étudie le domaine de la cryptographie méfiante à l’aide de systèmes quantiques.

Contrairement à la distribution de clés quantiques où la sécurité inconditionnelle ne peut être obtenue que sur la base des lois de la physique quantique, dans le cas de diverses tâches en cryptographie méfiante, il existe des théorèmes sans fin montrant qu’il est impossible de réaliser des protocoles sécurisés inconditionnellement basés uniquement sur les lois de la physique quantique. Cependant, certaines de ces tâches peuvent être mises en œuvre avec une sécurité inconditionnelle si les protocoles exploitent non seulement la mécanique quantique mais aussi la relativité restreinte. Par exemple, l’engagement de bits quantiques inconditionnellement sécurisé a été démontré impossible par Mayers et par Lo et Chau. Lo et Chau ont montré qu’il était impossible de retourner des pièces quantiques idéales sans condition. De plus, Lo a montré qu’il ne pouvait pas y avoir de protocoles quantiques inconditionnellement sécurisés pour un transfert inconscient sur deux et d’autres calculs bipartites sécurisés. Cependant, des protocoles relativistes inconditionnellement sécurisés pour le retournement de pièces et l’engagement de bits ont été démontrés par Kent.

Retournement de pièces quantiques

Article principal: Retournement de pièces quantiques

Contrairement à la distribution de clés quantiques, le retournement de pièces quantiques est un protocole utilisé entre deux participants qui ne se font pas confiance. Les participants communiquent via un canal quantique et échangent des informations par la transmission de qubits. Mais parce qu’Alice et Bob ne se font pas confiance, chacun s’attend à ce que l’autre triche. Par conséquent, plus d’efforts doivent être consacrés à s’assurer que ni Alice ni Bob ne peuvent obtenir un avantage significatif sur l’autre pour produire le résultat souhaité. La capacité d’influencer un résultat particulier est appelée biais, et l’accent est mis sur l’élaboration de protocoles visant à réduire le biais d’un joueur malhonnête, autrement appelé tricherie. Il a été démontré que les protocoles de communication quantique, y compris le retournement de pièces quantiques, offrent des avantages de sécurité importants par rapport à la communication classique, bien qu’ils puissent être considérés comme difficiles à réaliser dans le monde pratique.

Un protocole de retournement de pièces se produit généralement comme suit:

Alice choisit une base (rectiligne ou diagonale) et génère une chaîne de photons à envoyer à Bob dans cette base.
Bob choisit au hasard de mesurer chaque photon sur une base rectiligne ou diagonale, en notant quelle base il a utilisée et la valeur mesurée.
Bob devine publiquement quelle base Alice utilisait pour envoyer ses qubits.
Alice annonce la base qu’elle a utilisée et envoie sa chaîne originale à Bob.
Bob confirme en comparant la chaîne d’Alice à sa table. Elle doit être parfaitement corrélée avec les valeurs mesurées par Bob à l’aide de la base d’Alice et complètement non corrélée avec le contraire.

La tricherie se produit lorsqu’un joueur tente d’influencer ou d’augmenter la probabilité d’un résultat particulier. Le protocole décourage certaines formes de tricherie; par exemple, Alice pourrait tricher à l’étape 4 en affirmant que Bob a mal deviné sa base initiale alors qu’il l’a devinée correctement, mais Alice aurait alors besoin de générer une nouvelle chaîne de qubits qui correspond parfaitement à ce que Bob a mesuré dans le tableau ci-contre. Sa chance de générer une chaîne de qubits correspondante diminuera de façon exponentielle avec le nombre de qubits envoyés, et si Bob note un décalage, il saura qu’elle mentait. Alice pourrait également générer une chaîne de photons en utilisant un mélange d’états, mais Bob verrait facilement que sa chaîne sera en corrélation partiellement (mais pas entièrement) avec les deux côtés de la table, et sait qu’elle a triché dans le processus. Il existe également un défaut inhérent aux dispositifs quantiques actuels. Les erreurs et les qubits perdus affecteront les mesures de Bob, ce qui entraînera des trous dans la table de mesure de Bob. Des pertes importantes dans la mesure affecteront la capacité de Bob à vérifier la séquence de qubits d’Alice à l’étape 5.

Un moyen théoriquement infaillible pour Alice de tricher est d’utiliser le paradoxe d’Einstein-Podolsky-Rosen (EPR). Deux photons d’une paire de RPE sont anticorrélés, c’est-à-dire qu’ils auront toujours des polarisations opposées, à condition qu’ils soient mesurés sur la même base. Alice pourrait générer une chaîne de paires EPR, envoyant un photon par paire à Bob et stockant l’autre elle-même. Lorsque Bob énonce sa supposition, elle pourrait mesurer ses photons de paire EPR dans la base opposée et obtenir une corrélation parfaite avec la table opposée de Bob. Bob ne saurait jamais qu’elle a triché. Cependant, cela nécessite des capacités que la technologie quantique ne possède pas actuellement, ce qui le rend impossible à faire dans la pratique. Pour réussir cela, Alice devrait être capable de stocker tous les photons pendant une période de temps importante et de les mesurer avec une efficacité presque parfaite. En effet, tout photon perdu dans le stockage ou dans la mesure entraînerait un trou dans sa ficelle qu’elle devrait combler en devinant. Plus elle a de suppositions à faire, plus elle risque d’être détectée par Bob pour tricherie.

Engagement quantiquemodifier

En plus du retournement de pièces quantiques, des protocoles d’engagement quantiques sont mis en œuvre lorsque des parties méfiantes sont impliquées. Un schéma d’engagement permet à une partie Alice de fixer une certaine valeur (de « s’engager ») de telle sorte qu’Alice ne puisse pas modifier cette valeur tout en veillant à ce que le destinataire Bob ne puisse rien apprendre sur cette valeur jusqu’à ce qu’Alice la révèle. De tels schémas d’engagement sont couramment utilisés dans les protocoles cryptographiques (par exemple, le retournement de pièces quantiques, la preuve sans connaissance, le calcul sécurisé à deux parties et le transfert inconscient).

Dans le cadre quantique, ils seraient particulièrement utiles: Crépeau et Kilian ont montré qu’à partir d’un engagement et d’un canal quantique, on peut construire un protocole inconditionnellement sécurisé pour effectuer ce qu’on appelle un transfert inconscient. Le transfert inconscient, en revanche, avait été démontré par Kilian pour permettre la mise en œuvre de presque tous les calculs distribués de manière sécurisée (ce qu’on appelle le calcul multipartite sécurisé). (Notez qu’ici, nous sommes un peu imprécis: Les résultats de Crépeau et Kilian ensemble n’impliquent pas directement que, compte tenu d’un engagement et d’un canal quantique, on puisse effectuer un calcul multipartite sécurisé. En effet, les résultats ne garantissent pas la « composabilité », c’est-à-dire qu’en les branchant ensemble, on peut perdre la sécurité.

Malheureusement, les premiers protocoles d’engagement quantique se sont avérés imparfaits. En fait, Mayers a montré que l’engagement quantique (inconditionnellement sécurisé) est impossible : un attaquant illimité sur le plan informatique peut casser n’importe quel protocole d’engagement quantique.

Pourtant, le résultat de Mayers n’exclut pas la possibilité de construire des protocoles d’engagement quantiques (et donc de sécuriser des protocoles de calcul multipartites) sous des hypothèses beaucoup plus faibles que les hypothèses nécessaires pour les protocoles d’engagement qui n’utilisent pas la communication quantique. Le modèle de stockage quantique borné décrit ci-dessous est un exemple de paramètre dans lequel la communication quantique peut être utilisée pour construire des protocoles d’engagement. Une percée en novembre 2013 offre une sécurité « inconditionnelle » de l’information en exploitant la théorie quantique et la relativité, qui a été démontrée avec succès à l’échelle mondiale pour la première fois. Plus récemment, Wang et coll., a proposé un autre schéma d’engagement dans lequel la « dissimulation inconditionnelle » est parfaite.

Les fonctions physiques non clonables peuvent également être exploitées pour la construction d’engagements cryptographiques.

Modèle de stockage quantique borné et bruitmodifier

Une possibilité de construire des protocoles d’engagement quantique inconditionnellement sécurisés et de transfert inconscient quantique (OT) consiste à utiliser le modèle de stockage quantique borné (BQSM). Dans ce modèle, on suppose que la quantité de données quantiques qu’un adversaire peut stocker est limitée par une constante Q connue. Cependant, aucune limite n’est imposée à la quantité de données classiques (c’est-à-dire non quantiques) que l’adversaire peut stocker.

Dans le BQSM, on peut construire des protocoles d’engagement et de transfert inconscients. L’idée sous-jacente est la suivante: Les parties au protocole échangent plus de Q bits quantiques (qubits). Étant donné que même une partie malhonnête ne peut pas stocker toutes ces informations (la mémoire quantique de l’adversaire est limitée à Q qubits), une grande partie des données devra être mesurée ou rejetée. Forcer des parties malhonnêtes à mesurer une grande partie des données permet au protocole de contourner le résultat de l’impossibilité, l’engagement et les protocoles de transfert inconscients peuvent maintenant être mis en œuvre.

Les protocoles du BQSM présentés par Damgård, Fehr, Salvail et Schaffner ne supposent pas que les participants au protocole honnêtes stockent des informations quantiques; les exigences techniques sont similaires à celles des protocoles de distribution de clés quantiques. Ces protocoles peuvent ainsi, au moins en principe, être réalisés avec la technologie actuelle. La complexité de la communication n’est qu’un facteur constant supérieur à la limite Q de la mémoire quantique de l’adversaire.

L’avantage du BQSM est que l’hypothèse selon laquelle la mémoire quantique de l’adversaire est limitée est tout à fait réaliste. Avec la technologie actuelle, il est difficile de stocker même un seul qubit de manière fiable sur une période suffisamment longue. (Ce que signifie « suffisamment long » dépend des détails du protocole. En introduisant une pause artificielle dans le protocole, la durée pendant laquelle l’adversaire doit stocker des données quantiques peut être arbitrairement importante.)

Une extension du BQSM est le modèle de stockage bruyant introduit par Wehner, Schaffner et Terhal. Au lieu de considérer une borne supérieure sur la taille physique de la mémoire quantique de l’adversaire, un adversaire est autorisé à utiliser des dispositifs de stockage quantiques imparfaits de taille arbitraire. Le niveau d’imperfection est modélisé par des canaux quantiques bruyants. Pour des niveaux de bruit suffisamment élevés, les mêmes primitives que dans le BQSM peuvent être obtenues et le BQSM constitue un cas particulier du modèle de stockage bruyant.

Dans le cadre classique, des résultats similaires peuvent être obtenus en supposant une limite sur la quantité de données classiques (non quantiques) que l’adversaire peut stocker. Il a cependant été prouvé que, dans ce modèle, les parties honnêtes doivent également utiliser une grande quantité de mémoire (à savoir la racine carrée de la limite de mémoire de l’adversaire). Cela rend ces protocoles peu pratiques pour des limites de mémoire réalistes. (Notez qu’avec les technologies actuelles telles que les disques durs, un adversaire peut stocker à moindre coût de grandes quantités de données classiques.)

Cryptographie quantique basée sur la positionmodiFier

L’objectif de la cryptographie quantique basée sur la position est d’utiliser la position géographique d’un joueur comme (seul) identifiant. Par exemple, on veut envoyer un message à un joueur à une position spécifiée avec la garantie qu’il ne peut être lu que si la partie réceptrice est située à cette position particulière. Dans la tâche de base de la vérification de position, une joueuse, Alice, veut convaincre les vérificateurs (honnêtes) qu’elle se trouve à un point particulier. Il a été montré par Chandran et al. cette vérification de position à l’aide de protocoles classiques est impossible contre des adversaires de connivence (qui contrôlent toutes les positions à l’exception de la position revendiquée par le prouveur). Sous diverses restrictions imposées aux adversaires, des schémas sont possibles.

Sous le nom de « marquage quantique », les premiers schémas quantiques basés sur la position ont été étudiés en 2002 par Kent. Un brevet américain a été délivré en 2006. La notion d’utilisation d’effets quantiques pour la vérification de localisation est apparue pour la première fois dans la littérature scientifique en 2010. Après que plusieurs autres protocoles quantiques de vérification de position ont été suggérés en 2010, Buhrman et al. réclamé un résultat d’impossibilité générale: en utilisant une énorme quantité d’enchevêtrement quantique (ils utilisent un nombre doublement exponentiel de paires de RPE, dans le nombre de qubits sur lesquels le joueur honnête opère), les adversaires de collusion sont toujours en mesure de faire regarder les vérificateurs comme s’ils étaient à la position revendiquée. Cependant, ce résultat n’exclut pas la possibilité de schémas pratiques dans le modèle de stockage quantique borné ou bruité (voir ci-dessus). Plus tard, Beigi et König ont amélioré la quantité de paires EPR nécessaires dans l’attaque générale contre les protocoles de vérification de position à exponentielle. Ils ont également montré qu’un protocole particulier reste sécurisé contre des adversaires qui ne contrôlent qu’une quantité linéaire de paires EPR. On soutient qu’en raison du couplage temps-énergie, la possibilité d’une vérification formelle inconditionnelle de l’emplacement via des effets quantiques reste un problème ouvert. Il convient de mentionner que l’étude de la cryptographie quantique basée sur la position a également des liens avec le protocole de téléportation quantique basée sur les ports, qui est une version plus avancée de la téléportation quantique, où de nombreuses paires EPR sont simultanément utilisées comme ports.

Cryptographie quantique indépendante de l’appareil

Article principal : Cryptographie quantique indépendante de l’appareil

Un protocole cryptographique quantique est indépendant de l’appareil si sa sécurité ne repose pas sur la confiance que les dispositifs quantiques utilisés sont véridiques. Ainsi, l’analyse de sécurité d’un tel protocole doit prendre en compte des scénarios de dispositifs imparfaits voire malveillants. Mayers et Yao ont proposé l’idée de concevoir des protocoles quantiques à l’aide d’appareils quantiques « autotests », dont les opérations internes peuvent être déterminées de manière unique par leurs statistiques d’entrée-sortie. Par la suite, Roger Colbeck dans sa thèse a proposé l’utilisation de tests de Bell pour vérifier l’honnêteté des appareils. Depuis lors, il a été démontré que plusieurs problèmes admettent des protocoles inconditionnels sécurisés et indépendants des dispositifs, même lorsque les dispositifs réels effectuant le test en cloche sont sensiblement « bruyants », c’est-à-dire loin d’être idéaux. Ces problèmes incluent la distribution des clés quantum, l’expansion du caractère aléatoire et l’amplification du caractère aléatoire.

En 2018, des études théoriques réalisées par Arnon-Friedman et al. suggérer que l’exploitation d’une propriété d’entropie appelée plus tard « Théorème d’accumulation d’entropie (EAT) », une extension de la propriété d’équipartition asymptotique, peut garantir la sécurité d’un protocole indépendant du périphérique.