Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET C r y p t o g r a p h i e Cryptographie Q u a n t i q u e Quantique Projet de fin d’année 20/06/2003 EFREI – Promotion 2006 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET Sommaire Sommaire .................................................................................................................2 Introduction .............................................................................................................3 1. Historique.......................................................................................................3 2. Ordinateurs, binaire et cryptographie ...............................................................4 3. Pourquoi avons-nous choisi ce sujet .................................................................6 4. Espérances quant au contenu du projet ...........................................................6 Cryptographie quantique ...........................................................................................7 1. Propriétés des photons polarisés ......................................................................7 2. Les mathématiques quantiques ........................................................................8 3. Dualité onde-particule de la lumière .................................................................9 A. Théorie de la superposition ........................................................................ 10 B. Théorie des univers parallèles .................................................................... 11 4. Polarisation et détection de la polarisation ...................................................... 11 5. Utilisation des propriétés quantiques du photon .............................................. 12 6. Explication de l'infaillibilité de la méthode ....................................................... 16 A. Cas d’un espionnage .................................................................................. 16 B. La justesse de l'algorithme. ........................................................................ 16 C. Résumé de l'échange ................................................................................. 18 7. Considérations pratiques ............................................................................... 19 A. Manipulation de photons isolés ................................................................... 19 B. L'imperfection du matériel .......................................................................... 20 C. Le cryptage quantique : une réalité ............................................................ 21 D. Un exemple concret ................................................................................... 22 Conclusion .............................................................................................................. 24 Annexes ................................................................................................................. 25 1. Réalisation expérimentale .............................................................................. 25 References ............................................................................................................. 26 2 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET Introduction Depuis "l'arrivée d'Internet dans tous les foyers", les échanges d'informations sont grandement facilités. Reste qu'avec ce flux d'informations permanent, on peine à trouver un espace de confidentialité. La cryptographie, vieille de plus de 3000 ans, apporte une solution à la sécurisation des informations confidentielles et personnelles. Nous allons voir d'où elle tire ses origines, comment cela fonctionne-t-il et surtout comment l'utiliser simplement au quotidien. 1. Historique La cryptographie remonte à l'antiquité, le premier "document" crypté connu est une tablette d'argile découverte en Irak qui date du 16ème siècle avant JC. Un potier y avait gravé sa recette secrète en supprimant des consonnes et en modifiant l'orthographe des mots. Il faut attendre la Grèce antique (200 ans avant JC) pour voir apparaître le premier vrai système de cryptographie: le carré de Polybe. Ce système quand on le regarde aujourd'hui ressemble plus aux jeux que l'on trouve dans les cahiers de devoirs de vacances pour enfants. Le principe consiste à remplacer une lettre par sa coordonnées dans un carré de 5x5 (cf: image). De Jules César aux débuts du siècle, de nombreux politiques et scientifiques se sont essayés à la cryptographie, sans grand succès il faut le dire. On peut noter la tentative de Jules César dans ce domaine, son idée consistait tout simplement à décaler de trois rangs dans l'alphabet les lettres d'un message et de supprimer les espaces et à le redécouper aléatoirement ("la vie est belle" devenait "odyl hh vweho oh"). Blaise de Vigénère (1523 - 1596) est un des premiers à inventer un système à faire intervenir un mot de passe pour chiffrer le message. La méthode de Blaise de Vigénère est basée sur un carré de 26x26 dont chaque case comprend une des lettres de l'alphabet. Le texte codé s'obtient en prenant lettre à lettre, l'intersection de la ligne qui commence par la lettre à coder avec la colonne qui commence par la première lettre du mot de passe. Pour la deuxième lettre à coder, on utilise la deuxième lettre du mot de passe et ainsi de suite. Dès que l'on atteint la fin du mot de passe, on recommence à la première lettre. Sur l'image ci-contre, avec comme mot de passe "karting", la lettre "M" devient "W" après avoir été codée. 3 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET Excepté les défis actuels concernant la cryptographie, c'est certainement la machine "Enigma", conçue par les Hollandais et utilisée par les allemands pendant la guerre qui a suscité le plus de recherches et d'interrogations au sein du milieu scientifique. Son secret fut finalement découvert par des mathématiciens anglais. La mécanique de "Enigma" était basée sur deux claviers l'un servant à saisir le texte en clair et l'autre à afficher le texte codée en éclairant la lettre correspondante. Utilisé à l'envers (le clavier "codé" pour la saisie), il permettait de retrouver le texte initial. Le mécanisme était un savant mélange de cryptographie et de mécanique : plusieurs rotors comprenant toutes les lettres de l'alphabet dans un ordre différent étaient combinés pour donner la lettre chiffrée. La force de "Enigma" provenait d'une part du fait qu'à chaque codage, les rotors étaient décalés ce qui ne permettait par de retrouver la clé en recherchant des répétitions de lettres. La clé de chiffrage permettait de déterminer l'orientation initiale de chacun des rotors. 2. Ordinateurs, binaire et cryptographie Avec l'arrivée des ordinateurs, le remplacement n'est plus le problème principal, aussi bien du côté de la personne qui chiffre que de celui de celle qui déchiffre. La formule de cryptage est simplement modélisée par une formule mathématique plus ou moins complexe qu'il suffit d'appliquer en lui combinant la clé pour obtenir le message en clair. Pour créer un formule de cryptage, il suffit " simplement " que celle-ci soit réversible, c'est à dire qu'en l'appliquant à l'envers en lui combinant la clé, on retrouve les informations de départ. En informatique, les caractères alphanumériques étant stockés sous la forme d'une valeur ASCII (comprise en 0 et 255). Une des formules les plus utilisées pour encoder des mots de passe dans des logiciels grands public, consiste à appliquer un "OU 4 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET exclusif" (XOR en abrégé) entre le texte à coder et la clé. Le " OU exclusif " est une fonction binaire, donc très simple et très rapide à mettre en œuvre en informatique, qui ne retourne la valeur 1 que si les deux bits comparés sont différents. C'est le " OU " de l'expression " fromage OU dessert " : l'un ou l'autre, mais pas les deux. La table de vérité qui décrit le fonctionnement du " OU exclusif " ce trouve ci-dessous : 0 1 0 1 XOR XOR XOR XOR 0 0 1 1 = = = = 0 1 1 0 Pour utiliser cet algorithme, il suffit de remplacer le texte à chiffrer et le clé par leur équivalent ASCII de d'appliquer la fonction XOR entre le premier caractère du texte à chiffrer et le premier caractère de la clé, le deuxième caractère du texte à chiffrer et le deuxième caractère de la clé, ainsi de suite. Lorsqu'on arrive en fin de clé, on reprend au début. La méthode " OU exclusif " est simple à décrypter en utilisant le moyens informatiques actuels, c'est pourquoi elle n'est utilisé que pour protéger des informations peu sensibles (mot de passe de l'économiseur d'écran Windows par exemple). Le chiffrement DES (Data Encryption Standard), plus complexe et inventé par IBM dans les années 60, est une succession de permutations, de décalages et de fonctions mathématiques, toutes réversibles. La seule manière de décrypter cet algorithme, et tous ceux basés sur des fonctions mathématiques réversibles, consiste à utiliser la force brute pour retrouver la clé. Plus la clé est longue (codée sur un nombre élevé de bits), plus il va falloir de temps pour essayer toutes les possibilités. DES utilise une clé de chiffrement de 64 bits ce qui donne 2 puissance 64 possibilités à essayer. A l'heure du e-commerce, c'est l'algorythme RSA 512 ou 1024 bits qui est le plus utilisé aujourd'hui à chaque fois qu'une transaction sécurisée s'effectue entre votre ordinateur et une banque lors d'un paiement en ligne. Il faut environ 107 millions d'années à un Athlon 1Ghz pour retrouver par la force brute une clé codée sur cette longueur. On peut considérer qu'une clé RSA 512 bits peut aujourd'hui être cassée en utilisant des moyens de calculs distribués : plusieurs centaines d'ordinateurs recherchent en parallèle la même clé, mais ces moyens sont hors de portée d'un particulier. Par contre, une clé sur 1024 bits, qui n’est pas deux fois plus difficile à casser mais 1,3x10 puissance 154 fois plus compliquée à casser (chaque bit supplémentaire multipliant par deux le nombre de clé possibles) peut être considérée à l'heure de cet article comme complètement indéchiffrable. Il paraît probable que dans les années à venir, les progrès des mathématiques et de l'informatique combinés permettront d'arriver à bout d'un telle clé. On peut donc considérer que le RSA 1024 bits est sûr à 100%… à l'heure actuelle. La cryptographie quantique est née de la recherche d'un système inviolable, qui permettrait d'échanger des informations dans un secret absolu. Cependant cette 5 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET méthode n'empêche pas, comme nous allons le voir, l'interception du message par une autre personne que le destinataire, mais signale aux correspondants s'il est intercepté. Ainsi, on aurait alors un moyen sûr pour s'échanger une clé secrète. 3. Pourquoi avons-nous choisi ce sujet Nous avons choisi de soutenir la cryptographie quantique, parce que nous avons toujours été intéressé par la cryptographie. En fait, elle devient la seule solution pour protéger des informations confidentielles contre d’éventuelles attaques extérieures, et va dans les années à venir être utilisée de manière incontournable. Nous avons préférer prendre les devants, et profiter de l’occasion qui nous était donnée de nous documenter sur une sujet qui, somme toute, ne parait si évident au premier abord. 4. Espérances quant au contenu du projet Avec la technologie qui ne cesse d'évoluer, nous nous devons d'examiner le futur des théories qui existent présentement, ainsi que leur sécurité. Il a été déterminé que la forme de chiffrement la plus sûre, sans être la plus pratique, est la tablette à utilisation unique. Le chiffrement le plus pratique disponible jusqu'à présent est le RSA. La sécurité de cet algorithme vient du fait qu'il est extrêmement laborieux de factoriser de très gros nombres premiers. Pourtant, si un jour une technologie capable de factoriser des nombres très rapidement devenait disponible ou qu'une technique de factorisation plus efficace soit découverte, alors un individu A ne pourrait plus envoyer des messages à un individu B sans que quelqu’un ne puisse les espionner. Une méthode développée récemment offre la sécurité absolue des tablettes à utilisation unique couplée à la commodité de RSA. Cette méthode, c'est la cryptographie quantique. 6 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET Cryptographie quantique 1. Propriétés des photons polarisés La lumière polarisée peut être produite en faisant passer un rayon de lumière ordinaire à travers un polariseur, que ce soit un filtre Polaroïd ou un cristal de calcite. L'axe de polarisation du faisceau est déterminé par l'orientation du polariseur d'où émerge le faisceau. La production de photons polarisés isolés est théoriquement possible mais s'avère difficile à réaliser d'un point de vue technologique. Nous ferons initialement comme s'il était réaliste d'obtenir de tels photons isolés avec une polarisation définie. Toutefois, nous corrigerons par la suite lorsque nous décrirons le protocole réellement utilisé pour le prototype expérimental. Bien que la polarisation varie de façon continue, le principe d'incertitude interdit qu'une mesure sur un photon isolé révèle plus qu'un bit d'information à propos de sa polarisation. Si un faisceau lumineux avec un angle de polarisation a traverse un filtre avec un angle d'orientation b, les photons individuels se répartissent de manière dichotomique et probabiliste, chacun étant transmis avec une probabilité cos²(a-b) ou absorbé avec la probabilité complémentaire sin²(a-b). Les photons se comportent de manière déterministe seulement lorsque les deux axes sont parallèles (transmission certaine) ou perpendiculaires (absorption certaine). Un espoir pour obtenir plus qu'un bit d'information sur la polarisation d'un photon isolé serait de ne pas le mesurer directement, mais plutôt de le multiplier en plusieurs clones, c'est-à-dire en photons de polarisation identique, afin de pouvoir effectuer plusieurs mesures différentes sur ceux-ci. Cependant, cet espoir est voué à l'échec car une telle multiplication est incompatible avec les fondements de la mécanique quantique. D'un point de vue pratique, il suffit de savoir qu'il existe un appareil simple capable de distinguer entre des photons polarisés horizontalement ou verticalement. Un autre appareil peut faire la différence entre les deux polarisations diagonales (45° et 135°). Toutefois, si le premier appareil est utilisé sur un photon diagonal (ou le second appareil sur un photon horizontal ou vertical), le résultat est totalement aléatoire et imprévisible. En fait, tout appareil capable de mesurer exactement la polarisation d'un photon violerait les lois de la physique quantique, même s'il est connu à l'avance que la polarisation est 0°, 45°, 90° ou 135°. En pratique, ces appareils sont imparfaits, mais ils peuvent néanmoins être construits pour ne presque jamais donner de fausses réponses. Par exemple, un appareil conçu pour distinguer les deux types de photons diagonaux pourrait répondre: "le photon était polarisé à 45°", "le photon était polarisé à 135°", ou encore: "je ne puis dire comment le photon était polarisé". Si le photon incident était effectivement polarisé diagonalement, il est rare qu'une des deux premières réponses soit donnée incorrectement. Par contre, la réponse de l'appareil serait aléatoire si en fait le photon était horizontal ou vertical. 7 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET 2. Les mathématiques quantiques La suite de cette section donne un aperçu des mathématiques qui permettent de décrire plus formellement ce qu'est la polarisation et quelles sont les mesures permises par la physique quantique. Cette approche formelle est cruciale pour démontrer l'invulnérabilité du système, mais la description informelle donnée jusqu'ici suffit amplement pour comprendre le protocole de distribution quantique de clé. Par conséquent, vous pouvez passer à la section suivante sans perte de continuité si les mathématiques vous font horreur. Formellement, la mécanique quantique représente l'état interne d'un système quantique (comme la polarisation d'un photon) par un vecteur unitaire dans un espace de Hilbert, c'est-à-dire un espace linéaire sur le corps des complexes. La dimension de l'espace de Hilbert dépend du système représenté; elle est de plus en plus grande à mesure que le système se complique. Chaque mesure physique pouvant être effectuée sur ce système correspond à une partition de l'espace de Hilbert en sous-espaces orthogonaux à raison d'un sous-espace pour chaque résultat possible de la mesure. Le nombre de résultats possibles est donc limité par la dimension de l'espace de Hilbert. Les mesures les plus complètes sont celles qui divisent cet espace de Hilbert en sous-espaces de dimension 1. L'espace de Hilbert d'un photon polarisé isolé est de dimension 2. L'état d'un photon peut donc être complètement décrit par une combinaison linéaire de deux vecteurs unitaires : r1 = ( 1 , 0 ) r2 = ( 0 , 1 ) Représentant respectivement les polarisations horizontale et verticale. En particulier, un photon polarisé à un angle a par rapport à l'horizontale est décrit par le vecteur d'état ( cos(a), sin(b) ). Lorsque ce photon fait l'objet d'une mesure de polarisation horizontale versus verticale, il choisit la polarisation horizontale avec une probabilité cos²a et la verticale avec une probabilité sin²(a) . Les deux vecteurs orthogonaux rl et r2 illustrent ainsi la décomposition d'un espace de Hilbert à 2 dimensions en deux sousespaces orthogonaux de dimension 1. Désormais, nous dirons que r1 et r2 forment la base rectilinéaire de cet espace de Hilbert. Une autre base du même espace de Hilbert est constituée de deux vecteurs unitaires diagonaux : d1= /2 (1,1) d2= /2 (1,1) Dans cette base, d1 représente un photon polarisé à 45° et d2 un photon polarisé à 135°. Deux bases (rectilinéaire et diagonale, par exemple) sont conjuguées si chaque vecteur d'une base possède des projections d'égale longueur sur tous les vecteurs de l'autre base. En termes simples, cela signifie qu'un système assujetti à une base donnée se comportera de façon tout à fait aléatoire, et perdra toute information préalable, lorsqu'il fera l'objet d'une mesure dans l'autre base. Dû au caractère complexe de ses coefficients, l'espace de Hilbert à deux dimensions possède une troisième base conjuguée à la fois à la base rectilinéaire et à la base diagonale. Celle-ci contient deux polarisations dites circulaires : cl == /2 (1,i) 8 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET c2 == /2 (i,1) Où i représente la racine carrée de -1. Cependant, les bases rectilinéaire et diagonale sont suffisantes pour réaliser la distribution quantique de clé. 3. Dualité onde-particule de la lumière D'abord, un peu de physique quantique. En 1799, le physicien anglais Eve Young fit quelques expériences sur les propriétés de la lumière. Il envoya un jet de lumière de façon à traverser deux petites fentes avant d'atteindre un écran. Les fentes étaient traversées simultanément. Lorsqu'on regardait l'écran, on pouvait observer un phénomène appelé interférence, ce qui a permis de démontrer que la lumière se comporte comme une onde. La lumière issue de la première fente rejoignait celle de la deuxième fente sur l'écran. Lorsqu'un creux rencontrait un autre creux ou que deux sommets se rencontraient au niveau de l'écran, cela produisait une frange plus lumineuse. Si un sommet rencontrait un creux, cela produisant une frange sombre. Le résultat final de cette interférence est une série de franges claires et foncées en alternance sur l'écran. Cette expérience est la base de la théorie ondulatoire de la lumière. Figure 3: L'expérience de Young Source: [2], p. 170. Plus le temps avançait, plus les scientifiques faisaient des expériences sur la lumière. Les moyens techniques devenaient de plus en plus sophistiqués, ce qui permettait aux chercheurs d'essayer et d'observer des choses impossibles à faire auparavant. Un certain physicien du nom de Max Planck (1856-1947) qui était un spécialiste de la thermodynamique travaillait depuis plusieurs années sur le rayonnement des enceintes. Il était fortement impressionné par le fait que le type d'atome agissant comme oscillateur pour le rayonnement obtenu, c'est-à-dire le matériau constituant l'enceinte, n'ait aucune influence sur la longueur d'onde produite. Il remarqua que l'entropie d'un système quelconque, comme, par exemple, les oscillateurs rayonnant dans les parois d'une enceinte, est maximale lorsque le système atteint l'équilibre thermodynamique. Grâce à ses observations et celles des physiciens Rayleigh et Jean, il obtint une nouvelle formule du rayonnement, différente du modèle ondulatoire déjà connu. Dans sa formule, afin de faciliter les calculs, il traitait l'énergie totale des oscillateurs comme des « éléments » d'énergie de grandeur finie ε, et non 9 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET comme un débit constant dans le temps. Afin d'obtenir son équation sur le rayonnement, on devait poser que ε=hf, f étant la fréquence l'oscillateur et h une constante. Cette loi devint la loi de Planck, laquelle permet de représenter correctement le spectre de rayonnement d'une enceinte dans sa totalité. À ce stade, personne, pas même Planck, ne se rendit compte de l'importance de cette loi. Pour lui, les « éléments d'énergie » n'étaient qu'un moyen de faciliter les calculs relatifs au rayonnement des enceintes. Quelques années plus tard, Einstein démontra que cette loi n'était vraie que si l'énergie de chaque oscillateur était quantifiée en multiples de hf. Avec cette nouvelle découverte, Einstein venait de démontrer au monde que l'énergie, et donc la lumière, possédait une quantité minimale, ce qui laissait supposer l'existence d'une particule élémentaire. Bien que la loi de Maxwell basée sur la théorie ondulatoire parvenait très bien à expliquer les comportements de la lumière comme l'interférence ou la diffraction, elle ne pouvait pas expliquer le rayonnement des enceintes, contrairement à celle de Plank. Il remarqua que dans le cas de la diffraction ou de l'interférence, les valeurs que l'on emploie correspondent à des moyennes dans le temps, alors que pour le cas d'événements d'échange de très petites quantités d'échange d'énergie, il fallait alors considérer la lumière comme des particules individuelles d'énergie fixe, des photons. En sachant alors que la lumière peut aussi être considérée comme des petites particules ou comme une onde, certains physiciens ont refait l'expérience de Young avec la technologie d'aujourd'hui. Ils ont mis deux petites fentes devant un écran et ont envoyé un faisceau modifié composé d'un seul photon par minute. N'ayant qu'un seul photon à la fois traversant une seule fente, on pouvait s'attendre à ce que, sur une période d'une heure, deux raies de lumières apparaissent. Mais l'expérience a donné des résultats inattendus: il y avait quand même des franges foncées et des franges pales sur l'écran, ce qui signifie qu'il y avait une interférence. Un photon qui interfère avec lui-même? Comme toute expérience liée à la physique quantique, les résultats défient la logique habituelle. Ils défient même la physique classique, puisqu'une particule ne peut pas passer à deux endroits à la fois. Ce résultat a été, à ce jour, expliqué par deux théories différentes. A. Théorie de la superposition Puisque, selon le principe d'incertitude d'Heisenberg, on ne peut pas connaître simultanément la position et la vitesse du photon, on ne sait pas quel chemin il a emprunté, mais il est certain qu'il en a emprunté un. On peut alors supposer qu'il ait emprunté les deux chemins à la fois. Un exemple bien connu de cette théorie est le chat de Schrödinger,[10] qui consiste à placer un chat dans une boîte que l'on ferme. Nous sommes bien certains que le chat est vivant dans la boîte. Puis, on place un plat contenant du cyanure dans la boîte et l'on referme le couvercle. Il y a alors la possibilité que le chat ait mangé le cyanure et qu'il soit mort, ou alors qu'il soit toujours vivant. Tant que l'on ne connaît pas l'état du chat, on peut dire qu'il est en même temps mort et vivant. Il conservera les deux états à la fois jusqu'à ce que l'on ouvre le couvercle et que l'on sache effectivement si le chat est mort ou vivant. C'est le même principe pour le photon qui approche les deux fentes. Il peut soit aller à gauche, soit aller à droite. 10 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET Puisque nous ne pouvons pas le savoir, alors il a passé par les deux endroits à la fois, interférant avec lui-même du même coup. B. Théorie des univers parallèles L'autre théorie qui peut expliquer le fait que le photon ait causé de l'interférence à lui seul est celle des univers multiples. Le photon se retrouvant devant deux éventualités différentes qui ont chacune autant de possibilités de se produire, l'univers se divise alors en deux univers différents. Dans un, le photon traverse la fente de droite, et dans l'autre, la fente de gauche. Ces deux univers interfèrent entre eux d'une façon quelconque, ce qui produit les fentes sur l'écran. Peut importe la théorie que l'on adopte, le résultat final est toujours le même, et l'explication n'est pas particulièrement importante. Par souci d'éviter la confusion, la théorie de la superposition sera adoptée dans ce travail, puisqu'elle est la plus répandue dans la communauté scientifique. 4. Polarisation et détection de la polarisation La cryptographie quantique est basée sur la physique des photons. Lorsque les photons voyagent dans l'espace, ils vibrent sur eux-mêmes. Une lampe incandescente régulière émet des photons qui voyagent dans toutes les directions et qui vibrent dans tous les axes possibles. L'axe de vibration d'un photon est appelé la polarisation. Pour simplifier les explications, nous allons assumer que les photons ne peuvent êtres polarisés que de quatre façons différentes: , , et . Il est possible, en plaçant un filtre nommé Polaroïd sur le trajet des photons, de modifier leur polarisation. Si l'on place un polaroïd devant une lignée de photons (Fig.4), les photons polarisés avec la même orientation que celle du filtre vont traverser, et ceux qui sont perpendiculaires seront bloqués. Pour ce qui est des photons polarisés diagonalement, ils ont un comportement quantique face au filtre: ils ont exactement une chance sur deux d'être repolarisés correctement en et de traverser le polaroïd, et une chance d'être bloqués. (Fig.4). La porte, ou le détecteur, va le forcer à se projeter dans une direction particulière. La probabilité de passage va décroître avec l'augmentation de l'angle d'orientation du polaroïd, et si l'angle du filtre est de 45 degrés, la probabilité de passage sera de 1/2. La probabilité de ne pas passer sera logiquement le complément à 1. Si le photon passe, il aura au sortir du filtre la polarisation qui lui aura permis de passer, i.e. celle dans laquelle il s'est projeté s'il n'avait pas à l'origine la polarisation du filtre. Figure 4: Polarisation des photons 11 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET Pour détecter les photons, on dispose de détecteurs particuliers. Il s'agit par exemple de prismes biréfringents qui ont deux directions privilégiées, verticales et horizontales. Tous les photons ou arrivant face à un détecteur seront correctement lus. La polarisation ne changera pas suite à la détection, mais les photons verticaux après passage dans le prisme seront par exemple décalés, ce qui permettra à deux compteurs placés derrière le cristal de les compter. Figure 5: Séparation des photons par un prisme biréfringent En tournant le cristal de 45 degrés, tous les photons détecteur seront correctement lus. ou arrivant face à un Par contre un photon ou arrivant sur un détecteur sera lu soit soit nouvelle polarisation au sortir du filtre sera celle détectée, soit ne passera pas. Ainsi un photon qui représente 1 peut, face à un détecteur , et sa passer en se projetant en ...ce qui représente aussi 1. Mais cette mesure correcte n'est due qu'au hasard et il faudra l'écarter. 5. Utilisation des propriétés quantiques du photon La cryptographie quantique consiste dans un premier temps à échanger une clé qui servira par la suite à chiffrer des données. Afin de mieux comprendre comment la cryptographie fonctionne, nous allons considérer le protocole de communication BB84, de Benett et Brassard. Alice et Bob doivent être reliés par un canal quantique, ainsi que par un canal de transmission classique. Dans le cas général, des photons isolés sont utilisés comme porteurs de l’information, et le rôle du canal quantique est joué par de la fibre optique. Le canal public peut être n’importe quel moyen de communication, comme par exemple une ligne téléphonique ou une connexion Internet (qui est par ailleurs souvent basé sur de la fibre optique, mais cette fois ci avec des impulsions macroscopique). Le protocole peut être divisé en trois étapes. 12 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET a. Etape 1 Alice envoie des photons polarisés suivant l’un des quatre états de polarisations suivant : verticalement , horizontalement , +45° , et -45° . Elle choisi aléatoirement l’un des quatre états de polarisation pour chaque bit, et mémorise son choix. Figure 6: Envoie aléatoire de photons b. Etape 2 Bob a le choix entre 2 polariseurs et en choisi un avant d’analyser chacun des photons qu’il reçoit : ou . Le premier lui permet de différencier les photons polarisés horizontalement et verticalement, tandis que le second lui permet de distinguer les photons polarisés en diagonale. A chaque fois que Bob utilise un polariseur qui ne correspond pas à l’état de polarisation utilisé par Alice, chacun des deux choix alors possible peut se produire avec une probabilité de 50%. Figure 7: Réception et analyse des photons c. Etape 3 Apres avoir échangé un nombre suffisant de photons, Bob annonce sur le canal public la séquence de polariseurs utilisée, mais pas les résultats obtenus. Alice compare alors la séquence avec la liste de bit qu’elle a envoyé, puis indique à Bob les photons pour lesquels les états de polarisation et les polariseurs utilisés sont compatibles, mais sans préciser quel était l’état de polarisation. Dans le cas d’une incompatibilité entre la polarisation et le polariseur, nous avons vu qu’il y avait 50% de chance que le photon en sortie soit polarisé suivant l’un ou l’autre 13 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET des axes. Quelque soit la polarisation du photon, Bob pourrait aussi bien détecter un 0 ou un 1, ce n’est qu’une question de hasard. Les bits sont donc tout simplement ignorés et oubliés. Pour les bits restant, Bob et Alice savent qu’ils ont les mêmes valeurs, tout au moins si aucune interaction extérieure n’a perturbé la transmission. Si, par exemple, Alice envoie un photon polarisé verticalement , et que Bob le mesure avec le filtre vertical-horizontal il est assuré d’obtenir un résultat vertical. J’ai utilisé + × + × ++ Alice J’ai utilisé le bon détecteur dans les cas 1,5,6 Bob La clef sera donc les q-bits 1,5,6 Figure 8: Etablissement de la clef 14 Clément ROULLET Source: [14] Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Figure 9: Schéma d’une transmission Michael JAVAULT 15 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET 6. Explication de l'infaillibilité de la méthode A. Cas d’un espionnage Voyons ce que peut faire Eve l'attaquant. Une autre propriété importante de la cryptographie quantique, est qu'en plus d'être sécuritaire, elle permet de savoir si quelqu'un «écoute» la conversation électronique. Si Eve avait tenté, au moment où Alice envoyait des photons polarisés aléatoirement à Bob, d'intercepter ces photons, elle se serait retrouvée dans le même cas que Bob: elle ne saurait pas quel schème de polaroïd utiliser pour interpréter chaque photon correctement. Si elle utilise un quand le photon est , elle a une chance sur deux de mal interpréter le photon. Mais si, pour ce même photon, Bob avait utilisé le polaroïd correspondant, le , Alice et Bob vont s'entendre lors de la vérification téléphonique pour utiliser ce photon dans leur tablette, mais Eve ne saura pas si c'est un 1 ou un 0. Si Eve interprète le photon correctement en utilisant le polaroïd approprié, il se peut que Bob se trompe, et que le photon soit rejeté. Pour que Eve ait la clé complète, il faudrait qu'elle utilise le bon polaroïd au moins à toutes les fois que Bob utilise le bon. Sinon, elle n'aura jamais la clé complète. En plus de rendre la détection de la clé difficile, la cryptographie quantique la rend évidente pour Alice et Bob. Si Eve utilise un polaroïd pour détecter un photon qui a été polarisé en , elle va mal interpréter celui-ci, et le photon va être repolarisé soit en ou en . Lorsque le photon va atteindre Bob, même s'il utilise le bon schème pour détecter le photon, il se peut qu'il ne détecte un 1 au lieu d'un 0. Sur une grande quantité de photon, cela représente plus du quart des photons qui vont êtres modifiés. B. La justesse de l'algorithme. Il reste à montrer comment Alice et Bob peuvent déterminer qu'ils ont bien la même suite de bits (indiquant par là qu'aucune écoute indiscrète n'a probablement eu lieu sur le canal quantique ou qu'elle n'a porté que sur très peu de photons) ou que ces suites diffèrent (suggérant un espionnage significatif du canal quantique). Une solution simple est qu'Alice et Bob comparent publiquement une certaine proportion des bits au sujet desquels ils croient être d'accord. La position de ces bits servant au "contrôle de la qualité" doit être choisie au hasard une fois la transmission quantique terminée, de façon à priver Eve de l'information concernant les photons qu'elle peut mesurer sans crainte. Bien entendu, le secret de ces bits est perdu au cours du processus, et ceux-ci doivent être sacrifiés. De cette façon, l'écoute de plus qu'un nombre restreint de photons ne risque guère de passer inaperçue. Si toutes ces comparaisons coïncident, Alice et Bob peuvent conclure que la transmission quantique était libre d'écoute significative. Par conséquent, la plupart des bits provenant de photons qui ont été mesurés de la bonne façon par Bob peuvent être utilisés en toute sécurité, par exemple pour chiffrer un message en se servant de ces bits comme d'un masque jetable. 16 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET La façon que nous venons de décrire pour détecter l'espionnage est exagérément prodigue puisqu'une portion significative des bits doit être sacrifiée de manière à détecter avec bonne assurance qu'une écoute a eu lieu même si celle-ci n'a porté que sur quelques photons. Qui plus est, la probabilité de détection (si les suites d'Alice et de Bob ne coïncident pas exactement) ne peut pas être amenée arbitrairement près de 1 sans sacrifier la plupart des bits. Ces deux difficultés peuvent être contournées en utilisant un protocole de vérification plus subtil, que Bennett et Brassard ont développé avec l'aide de Jean-Marc Robert. Ce protocole est basé sur la notion d'adressage dispersé universel de Carter et Wegman [4,5]. L'implantation la plus simple (mais pas la plus efficace) de ce protocole demande à Alice de choisir un sous-ensemble aléatoire des bits qu'elle croit partager avec Bob, chaque bit étant choisi ou non indépendamment des autres avec une probabilité égale à 50 %. Elle envoie à Bob, par l'intermédiaire du canal public, la parité de ces bits (y a-t-il un nombre pair ou impair de 1 ?) ainsi que leur position ("j'ai choisi le premier, le second, le quatrième,. . ."). Bob vérifie si la parité reçue concorde avec celle qu'il aurait obtenue aux mêmes positions. Si tel n'est pas le cas, la preuve est faite qu'il y a discordance entre les suites d'Alice et de Bob, et donc qu'il y a eu tentative d'espionnage. Si les parités coïncident, Alice et Bob ne peuvent rien conclure avec certitude. Toutefois, si les suites sont en fait distinctes et si Alice et Bob répètent ce processus k fois, ils détecteront cette discordance avec quasi-certitude, leur probabilité d'erreur étant d'à peine 2-k. Par exemple, il suffit de répéter ce processus 50 fois pour obtenir une probabilité d'erreur inférieure à un millionième de milliardième 10-15. Bien entendu, Eve obtient de l'information suite à ce protocole de vérification puisqu'il apprend la parité de certains sous-ensembles par espionnage du canal public. Toutefois, Alice et Bob peuvent le priver de cette information simplement en sacrifiant un bit de chaque sousensemble dont la parité a été révélée. En conclusion, Alice et Bob peuvent s'assurer audelà de tout doute raisonnable qu'ils partagent la même suite de bits (en autant que tel soit le cas) au prix d'un infime raccourcissement de leur secret final. Tel qu'expliqué jusqu'à maintenant, le protocole permet tout de même à Eve d'obtenir sans trop de risque de détection quelques bits sur le secret final d'Alice et Bob. Pour ceci, il lui suffit d'intercepter et de retransmettre huit photons choisis au hasard, ou davantage si elle sait que les détecteurs de Bob sont imparfaits. En moyenne, quatre de ces photons seront gaspillés puisque Bob les soumettra à la mauvaise mesure. Parmi les autres, Eve apprendra en moyenne deux bits tout en ne causant aucune erreur avec probabilité (3/4)4 > 31%. S'il est inacceptable de permettre à Eve une probabilité non négligeable d'apprendre si peu de bits, un protocole subséquent d'amplification de la confidentialité peut être invoqué. Ce protocole, également développé par Bennett, Brassard et Robert, permet à Alice et Bob d'éliminer avec quasi-certitude l'information connue de Eve sans pour cela devoir savoir quels sont les bits compromis, en autant que ceux-ci soient en nombre restreint. Ainsi, la contrainte selon laquelle le canal public conventionnel doit être à l'abri d'un tripatouillage peut être levée. Pour ceci, il suffit qu'Alice et Bob se soient entendus au 17 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET départ sur une courte clé secrète qu'ils utiliseront pour engendrer des jetons d'authentification de Wegman et Carter destinés aux messages transmis sur le canal public. Ainsi, Eve n'a qu'une très faible probabilité de pouvoir créer une autre paire message-jeton valide, même s'il dispose d'une puissance de calcul illimitée. Ces jetons indiquent donc que les messages sont authentiques et n'ont pas été introduits ou modifiés par Thomas. Cette approche consomme progressivement des bits de clé et ceux-ci ne doivent pas être réutilisés sous peine de compromettre la sécurité inconditionnelle du système. Par contre, dans l'application présente, ces bits de clé peuvent être remplacés par de nouveaux bits aléatoires transmis avec succès sur le canal quantique. Le protocole décrit ci-dessus permet à Alice et Bob d'échanger une clé secrète en toute sécurité. Cependant, une fois cette clé établie, elle se trouve sous forme classique (par opposition à quantique) dans les laboratoires d'Alice et de Bob. Si ceux-ci la conservent dans leur coffre-fort en attendant d'avoir à l'utiliser comme masque jetable, ils courent le risque qu'elle soit compromise par un espion nocturne. En effet, les lois de la physique n'interdisent aucunement à Eve de prendre connaissance du contenu du coffre-fort ! Pour contrer cette ultime attaque contre la cryptographie quantique, Arthur Ekert a imaginé un protocole [3,7] centré sur le célèbre "paradoxe" d'Einstein, Podolsky et Rosen [6]. Grâce à cette approche, la clé ne prend forme classique qu'au moment précis où elle sera utilisée comme masque jetable. Il s'agit réellement de réaliser un coffre-fort quantique ! Cette sophistication n'est toutefois pas à la portée de la technologie actuelle. Cela rend donc la cryptographie quantique, en plus d'être sûre à 100% du fait qu'elle utilise le principe des tablettes à utilisation unique, parfaite pour savoir si quelqu'un «est à l'écoute». C. Résumé de l'échange Figure 10: Résumé de l’échange L'échange quantique de données permet ainsi de se mettre d'accord sur une clé, en ayant l'assurance absolue qu'aucun indiscret n'aura intercepté leur communication. La réalité est bien sûr un peu plus compliquée, parce que transmettre des photons sur 18 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET de longues distances sans perdre leur polarisation (décohérence) est délicat. Si, dans un avenir plus ou moins proche, la cryptographie quantique venait à s'industrialiser, elle pourrait bien donner aux cryptographes une bonne longueur d'avance sur les cryptanalystes... 7. Considérations pratiques Le protocole quantique de distribution de clé décrit à la section précédente est très bien en théorie, mais irréalisable en pratique avec la technologie actuelle. En particulier, les deux problèmes suivants ont été volontairement ignorés jusqu'ici. Il est très difficile de manipuler des photons isolés; des faisceaux ou des impulsions de photons sont beaucoup plus faciles à produire. Même s'il n'y a pas d'espionnage sur le canal quantique, Bob doit s'attendre à obtenir des lectures erronées parce que certains photons peuvent être repolarisés en cours de route et en raison d'imperfections dans l'appareil, tel qu'un alignement imparfait entre sa notion d'horizontal et celle d'Alice. Néanmoins, ces deux difficultés ont été résolues en pratique. Une description détaillée du premier montage expérimental de cryptographie quantique effectivement réalisé par Bennett et Brassard, avec l'aide de François Bessette, Louis Salvail et John Smolin, est donnée dans [2]. Seules les idées de base sont expliquées ci-dessous. A. Manipulation de photons isolés Ce premier problème est résolu en envoyant des impulsions lumineuses extrêmement ténues alors que le protocole idéal de la section 5.3 fait appel à des photons isolés. Il est facile de produire des impulsions dans lesquelles le nombre de photons suit une loi de distribution de Poisson de moyenne contrôlable. De plus l'utilisation de polariseurs permet de produire de telles impulsions avec une polarisation bien définie, et cette polarisation peut être modifiée rapidement d'une impulsion à l'autre à l’aide d’un appareil appelé cellule de Pockels. L'ennui avec les impulsions, par opposition aux photons isolés, est que chaque fois que plusieurs photons sont émis à l'occasion d'une même impulsion, ceux ci sont tous polarisés de la même façon. Ceci donne à Eve la possibilité de mesurer l'un de ces photons à son gré. Une telle écoute sera indécelable s'il prend la précaution de laisser passer vers Bob, sans les perturber, les autres photons de la même impulsion et s'il prend soin de compenser pour la faible perte d'intensité ainsi produite dans le signal, peut-être en substituant au canal légitime un autre canal plus transparent. Pour minimiser ce problème, il suffit de produire de très faibles impulsions. Par exemple, si le nombre moyen de photons est de un dixième (1/10) par impulsion, nous pouvons nous attendre à ce qu'il n'y ait en moyenne qu'une impulsion multi-photons par centaine d'impulsions. Par conséquent, 90% des impulsions non vides ne contiennent qu'un seul photon. Même si la technologie de Eve est très avancée (dans la limite des lois de la 19 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET physique quantique), le mieux qu'il puisse faire est de détecter les rares occurrences où plus d'un photon est transmis à la fois, conserver l'un d'eux sans le mesurer, laisser passer les autres vers Bob, puis mesurer plus tard le photon conservé lorsque la mesure pertinente à effectuer est dévoilée au cours de la discussion publique entre Alice et Bob. En moyenne, cette attaque peut révéler à Eve jusqu'à environ 10% de la suite de bits échangée entre Alice et Bob. Nous verrons toutefois plus loin que ceci est sans grande importance. B. L'imperfection du matériel Ce problème qui se pose avec l'implantation simpliste de la cryptographie quantique décrite à la section précédente est que quelques-uns des bits peuvent être reçus incorrectement même en l'absence d'espionnage sur le canal quantique. Ceci est dû à l'imperfection inévitable des appareils. Alice et Bob pourraient fort bien ne jamais réussir à s'échanger une clé de longueur substantielle s'ils insistent pour recommencer chaque fois qu'ils détectent ne fût-ce qu'une erreur dans la transmission quantique. Le protocole du canal public doit donc non seulement détecter la présence d'erreurs entre la suite aléatoire originale d'Alice et celle reçue par Bob, mais il doit également pouvoir corriger un nombre raisonnable d'entre elles. Une façon de procéder est qu'Alice utilise un code correcteur d'erreur convenu d'avance, par exemple un code de convolution, pour engendrer une séquence de vérification. Cette séquence peut ensuite être envoyée à Bob sur le canal public. Si le code est suffisamment redondant, Bob peut décoder sans ambiguïté l'information qu'il possède afin d'en déduire avec bonne assurance la suite d'Alice. Par contre, il faut qu'il soit suffisamment non redondant pour ne pas dévoiler trop d'information à Thomas. Ces protocoles permettent non seulement de corriger toutes les erreurs (sauf avec une probabilité arbitrairement faible d'échec), mais ils ne dévoilent qu'une infime quantité d'information à Thomas, malgré son espionnage du canal public grâce auquel la réconciliation est effectuée. Ils indiquent également à Alice et Bob le nombre exact d'erreurs qu'il y avait dans la suite de bits reçue par Bob. A ce point-ci, Eve dispose de trois sources d'information sur la suite de bits commune à Alice et Bob: les bits obtenus en tentant aléatoirement de mesurer certaines impulsions et de retransmettre vers Bob un photon correspondant au résultat de la mesure, les bits appris suite aux impulsions multi-photons, et les bits dévoilés directement par les divers protocoles qui utilisent le canal public. A partir du taux d'erreur, de l'intensité originale du faisceau et de l'efficacité quantique des détecteurs de Bob, les usagers légitimes peuvent estimer le nombre de bits ainsi potentiellement compromis. S'il s’aperçoit qu'une écoute a eu lieu mais que Eve n'a vraisemblablement obtenu que très peu d'information, la distribution de clé peut continuer sans crainte, en utilisant le protocole d'amplification de confidentialité pour lui enlever pratiquement toute l'information qu'il avait réussi à obtenir. Par contre, lorsqu'ils détectent une écoute intempestive, Alice et Bob ne peuvent écarter la possibilité que Eve soit presque parfaitement informé de leur "secret". Dans ce cas, ils n'ont d'autre solution que de laisser tomber les informations obtenues et de recommencer une nouvelle transmission quantique. 20 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET C. Le cryptage quantique : une réalité Historiquement, le premier succès réel du prototype qui implante les idées cidessus a eu lieu le 27 février 1991. Ce jour-là, environ 715 000 impulsions d'intensité moyenne 0,12 photon par impulsion ont été transmises d'Alice vers Bob. Étant donné que les détecteurs de Bob ne sont pas très efficaces, ceci a résulté en une suite de 2000 bits contenant 79 erreurs, c'est-à-dire qu'environ 4% des bits ont été mal reçus par Bob. Le protocole de réconciliation a néanmoins réussi à découvrir et corriger toutes ces erreurs en ne dévoilant que 550 bits à Eve, suite à son espionnage du canal public. En fonction de l'intensité moyenne des impulsions, de l'efficacité des détecteurs de Bob et du nombre d'erreurs de transmission, Alice et Bob ont estimé que Eve n'avait qu'une infime probabilité d'avoir obtenu plus que 601 des 2000 bits avant réconciliation, par espionnage du canal quantique. Par conséquent, Alice et Bob ont sacrifié 1172 bits par l'intermédiaire du protocole d'amplification de confidentialité, de telle sorte que leur clé secrète finale était de 828 bits, avec une probabilité inférieure à un sur un million que Eve n'en connaisse ne fût-ce qu'un bit. (Ce nombre de bits sacrifiés provient du calcul 1172 = 550 + 601 + 21, dans lequel le 21 est un paramètre de sécurité imposé par le protocole d'amplification de confidentialité.) Ce présent montage expérimental n'a pas réellement de valeur pratique car il ne permet d'échanger une clé que sur une distance de 32 centimètres, au rythme d'environ un bit par seconde. Néanmoins, Arthur Ekert, John Rarity, Paul Tapster et Massimo Palma travaillent pour l'instant sur une approche avec laquelle ils espèrent pouvoir échanger une clé secrète sur une distance d'une centaine de kilomètres. L'avenir nous dira si la cryptographie quantique restera une idée farfelue ou si elle sera utilisée un jour à grande échelle. Notons pour terminer que certains protocoles quantiques que nous n'avons pas décrits permettent de résoudre des problèmes cryptographiques autres que la distribution de clé. Ceux-ci pourraient très bien constituer la véritable utilisation future de la cryptographie quantique puisque leur implantation serait utile même sur une courte distance. Un avenir plus spéculatif verra peut-être même l'implantation de l 'ordinateur quantique de David Deutsch, lequel permet en théorie l'accélération exponentielle de certains calculs, mais ceci sort du cadre de la cryptologie, à moins bien sûr que l'ordinateur quantique parvienne un jour à factoriser très rapidement de grands entiers. Si ceci devait se produire, ce qui est fort peu probable, la physique quantique porterait un coup fatal contre RSA (et probablement aussi contre les autres systèmes à clé publique). Une transmission s'affranchissant des bruits de polarisation de la fibre optique Sachant que dans les réseaux de communication par fibre, on cherche au maximum à éviter d'utiliser la polarisation de la lumière pour transmettre des informations, la préoccupation majeure a été de savoir ici s'il était possible d'utiliser des états quantiques adaptés aux conditions exigées dans les fibres optiques. Ainsi, le système mis au point est basé sur un nouveau principe. Il permet de coder chaque bit d'information sur un photon unique et de transmettre le photon jusqu'au destinataire en s'affranchissant des bruits de polarisation de la fibre, tout en utilisant 21 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET des composants standards des télécommunications optiques, tels que modulateurs intégrés, fibre monomode, et oscillateurs radiofréquences VCO. D. Un exemple concret Figure 11: Schéma explicatif du système développé au laboratoire franco-américain GTL-CNRS Telecom (Metz) et au Laboratoire d'optique Pierre-Michel Duffieux (LOPMD, Besançon) Le système utilise une diode laser émettant des impulsions lumineuses de longueur d'onde 1550 nanomètres (1nanomètre, ou nm = 1 milliardième de mètre), et dont l'émission est très atténuée. L'émetteur (Alice) comprend un modulateur intégré sur niobate de lithium piloté par un signal électrique de 300 MHz dont la phase ΦA peut prendre deux valeurs correspondant aux bits «0» et «1». Le modulateur a pour effet d'induire dans la lumière qui le traverse deux bandes latérales de modulation distantes de 600 MHz et de phase ΦA. Leur énergie est telle qu'elles contiennent en moyenne 0,1 photon/impulsion (une moyenne de 0,1 photon signifie qu'1impulsion sur 10 contient un seul photon, et qu'environ 1 sur 200 en contient deux ou plus). Le système de mesure du destinataire Bob est également un modulateur piloté par un signal électrique de 300 MHz, mais de phase ΦB. A la sortie du modulateur de Bob, il y a superposition des bandes latérales émises par Alice et de celles générées par Bob et, par conséquent, un système d'interférence "constructif" ou "destructif" selon des valeurs relatives de ΦA et ΦB. Pour détecter les événements "constructifs" et "destructifs", Bob utilise un interféromètre de Fabry-Pérot sélectionnant l'une des bandes latérales qui l'intéresse, et un système de comptage de photons. Lorsque les deux phases ΦA et ΦB sont en quadrature, la probabilité pour que Bob détecte un photon est de 50 %. Ce caractère probabiliste, dû à l'obtention d'interférence à un photon en sortie du modulateur de Bob, peut alors être mis à profit pour que Alice et Bob puissent s'échanger des clés de cryptage avec une confidentialité beaucoup plus élevée que celle procurée par la cryptographie algorithmique classique. Un espion ne peut avoir accès à l'information sans modifier la statistique de détection des photons par Bob. L'espion ne peut pas non plus utiliser un amplificateur optique pour générer un 22 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET second photon, identique à celui expédié par Alice, sur lequel il pourrait effectuer des mesures. Il n'est en effet pas possible de cloner un photon, car ceci violerait le principe de Heisenberg. La très grande simplicité du système fait que la cryptographie quantique peut maintenant dépasser le stade de curiosité de laboratoire. De ce fait, elle devrait à terme devenir une réalité dans les réseaux de communication, d'autant plus que les expériences qui viennent d'être menées ont nécessité la mise en place d'un axe de recherche sur les problèmes de détection rapide de photons (avec longueur d'onde télécom de 1 550 nanomètres). 23 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET Conclusion La recherche cryptographique nous a mené à la cryptographie quantique. Que peut-on espérer de plus? Cette façon de chiffrer étant infaillible, la cryptographie quantique pourrait représenter la fin de la recherche cryptographique. Par contre, la question qui demeure est la suivante: Alice et Bob pourront-ils utiliser cette méthode de chiffrement? Ou est-ce que seule l'armée, les différents gouvernements et autres organisations richissimes pourront profiter de cette méthode infaillible de chiffrement? Pour éviter les abus, nous croyons que la cryptographie quantique devrait être un bien universel ne résidant pas entre les mains de quelques élus. Mais est-ce possible? Cela reste à voir. Souhaitons qu'un jour, elle rejoindra la masse tout comme le RSA l'a fait avec PGP. 24 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET Annexes 1. Réalisation expérimentale Dans tous les exemples présentés, des lasers à pulsations sont utilisés à la place de source de photons isolés. Le nombre de photons dans un laser à pulsation peut être assimilé à une loi de Poisson, le nombre moyen de photon par pulsation μ devant être inférieur à 1 (prenons par exemple μ=0,1), afin de limiter la probabilité d’obtenir plus d’un photon par pulsation. La source d’Alice est par conséquent un laser semi-conducteur à pulsations très atténuées, associé à un contrôleur de polarisation electro-optique créent quatre états de polarisation différents. Ou alors comme proposé en fig.2, on utilisera quatre lasers associés à des polaroids orientés à 0°, 90°, 45°, et 135° suivis de trois coupleurs passifs. Le laser émet aléatoirement à une pulsation donnée ν. Bob choisit aléatoirement le polariseur à utiliser, ce qui est généralement réalisé en introduisant un coupleur optique passif qui redirige le photon vers l’un des deux miroirs semi-réfléchissants (polarizing beam splitters, PBS) orientés à 45°. Les photons sont alors détectés par un compteur puis les données sont mémorisées par acquisition électronique. Figure 10: Schéma d’un dispositif de polarisation de cryptographie quantique Source: [15] Les axes des polaroids de Bob et d’Alice doivent être alignés, et doivent le rester. La principale difficulté de l’implémentation en fibre optique du schéma de polarisation. Pour cette raison, un contrôleur de polarisation permettant de surveiller en permanence ces inclinaisons doit être ajouté, afin de compenser automatiquement les fluctuations dues aux changements mécaniques et thermiques de la fibre optique. Un réalignement peut être nécessaire toutes les heures, voir toutes les minutes suivant la stabilité de la connexion [3]. 25 Michael JAVAULT Yohan LAUNAY Projet de fin d’année : la Cryptographie Quantique Clément ROULLET References 1. C.H. Bennett, G. Brassard: Quantum Cryptography, Public key distribution and coin tossing, Proc. Int. Conf. Computer Systems and Signal Processing, 175, Bangalore 1984 2. BENSON, Harris, Physique: ondes, optique et physique moderne, 2e édition, Collection ERPI, Québec, 1999, 430 p. 3. A. Muller, H. Zbinden, N. Gisin: Europhys. Lett. 33(5), 335 (1996) 4. J.D. Franson, B.C. Jacobs: Electron. Lett. 31(3), 232 (1995) 5. Ch. Marand, P.D. Townsend: Opt. Lett. 20(16), 1695 (1995) 6. LANDON Valérie, L'invention de la cryptologie, Science & vie, numéro 108, septembre 1998, p. 68-69 7. MULLER André, Les écritures secrètes, Presses Universitaires de France, Paris, 1971, 128 p. 8. ROBIN Guy, Algorithmique et cryptographie, Ellipses-Edition, France, 1991, 124 p. 9. A. Muller, T. Herzog, B. Huttner, W. Tittel, H. Zbinden, N. Gisin: Appl. Phys. Lett. 70(7), 793 (1997) 10. SINGH Simon, The Code Book, Anchor Books, New York, 1999, 410 p 11. H. Bechmann-Pasquinucci: Internal report, University of Geneva 1998 12. Mécanique Quantique, T1, Claude Cohen-Tannoudji, Bernard Diu, Franck Laloe. Hermann. 13. Nicolas Gisin, Phys. Lett., A 242, 1, 1998 (dans La Recherche no 327, 01.2000) 14. Physics World, n°458 15. H. Zbinden, H. Bechmann-Pasquinucci, N. Gisin, G. Ribordy : Quantum cryptography (1998) 26