UNIVERSITE MOHAMMED V FACULTE DES SCIENCES Rabat Order N° : 2821 THESE DE DOCTORAT Présentée par Abdelmajid MESLOUHI Discipline: Physique Théorique Spécialité : Sciences et Technologies de l’Information Analyse de la sécurité des protocoles de la communication quantique Soutenue le 12-12-2015 Devant le jury : Président: HASSOUNI Yassine PES, Faculté des Sciences, Rabat Examinateurs : Antonello SCARDICCHIO Prof, Research Staff, Abdus Salam ICTP, Italy. A.Charif CHEFCHAOUNI PES, INPT, Rabat. El Hassan TAHIRI PES, Faculté des Sciences, Oujda. Najia KOMIHA PES, Faculté des sciences, Rabat. Morad El BAZ PH, Faculté des sciences, Rabat. Faculté des sciences, 4 Avenue Ibn Battouta B.P. 1014 RP, Rabat-Maroc Tel +212 (0) 37 77 18 34/35/38, Fax: +212 (0) 37 77 42 61, http:/www.fsr.ac.ma 2821 : 2015 Auteur : Titre : Directeur de thèse : Abdelmajid MESLOUHI Analyse de la sécurité des protocoles de la communication quantique Pr. Yassine HASSOUNI Résumé Généralement la sécurisation des systèmes de communication se base sur des techniques de cryptographie à clef. A l'ère actuelle, cette opération nécessite l'échange d'une clef entre les deux correspondants, sur un canal non protégé et supposé surveillé en permanence par un potentiel espion dont l'objectif est d'obtenir cette clef à leur insu. En eet, cette situation résume tous les scénarios cryptographiques possibles et met en évidence la grande problématique que l'Homme essaie toujours de surmonter. Ainsi, plusieurs tentatives ont vu le jour an d'assurer la condentialité de la communication et le partage de l'information, notamment les techniques de chirement classiques. Certes, on arrive, en principe, à communiquer dans un environnement supposé sécurisé, toutefois le risque et la menace sont toujours présents malgré les eorts considérables mis en ÷uvre. C'est dans cette optique, que s'inscrit le travail de cette thèse, dont une grande partie est dévouée à démontrer l'insusance et l'incapacité de ces techniques à faire face à la monté en èche des puissances de calcul et des nouvelles technologies qui mettent en danger notre secret. Par ailleurs, nous avons introduit l'informatique quantique comme meilleure alternative orant plusieurs avantages. En fait, la mécanique quantique fournit de nouveaux horizons ; la superposition, la non-orthogonalité d'états et l'intrication quantique. Assemblés dans un seul processus, ces fondements de base ont donné lieu à la genèse de la communication quantique sécurisée ou le partage quantique de clés. Pour étayer ce sujet, nous avons étudié en détail ces notions dans l'objectif de prouver la supériorité en terme de sécurité de la cryptographie quantique comparée à son homologue classique. Cependant, nous avons eu également l'obligation de faire ressortir les limitations et les imperfections dont soure la communication quantique. De ce fait, nous admettons que les technologies actuelles permettent la transmission des états quantiques, néanmoins les eets d'absorption et de dispersion due à l'environnement et aux défauts des composantes utilisées, dégradent énormément la qualité et la délité du système transmis. Ayant le souci de contribuer à outrepasser cette entrave, les travaux de notre thèse ont voulu joindre les points forts de la communication classique et les techniques quantiques an de proposer des mécanismes capables de répondre à l'ensemble des exigences sécuritaires et environnementales imposées. La sécurité et le transfert de l'information sont parmi les tâches les plus importantes en théorie quantique de l'information. Les variables continues apparaissent en tant qu'alternatives aux variables discrètes dans les communications quantiques. Dans ce contexte, nous avons proposé dans un premier temps, un protocole quantique basé sur des états cohérents déformés an d'atteindre un niveau élevé de sécurité et une meilleure résistance aux bruits extérieurs. Par la suite, nous avons eu l'idée de transposer un dispositif de sécurité classique pour produire une version quantique, basé sur des composantes simple et basique, mais capable de faire face à plusieurs types d'attaques optiques. Les évolutions successives de notre perspective nous amènent aujourd'hui à proposer et songer d'un processus de cryptographie quantique implémentant à la fois les états déformés et intégrant d'autres dispositifs de protection quantiques. Mots clés : Information quantique, Communication quantique, Cryptographie quantique, Réseaux quantique, Variables continues, Etat cohérent déformé, Sécurité des protocoles quantiques, Dispositifs quantiques de protection. . Avant propos Les travaux présentés dans cette thèse ont été réalisés au sein du Laboratoire de Physique Théorique -LPT URAC-13 du département de physique de la Faculté des Sciences de Rabat sous la direction du Mr.Prof Yassine HASSOUNI. Je remercie vivement Mr.Prof Yassine HASSOUNI Directeur du LPT, tout d'abord, pour être président de jury de ma thése. Également, pour m'avoir accueilli dans le laboratoire et pour son encadrement scientique rigoureux et pour la chance qu'il m'a oert de faire de la recherche dans de bonnes conditions et également pour son amitié. Je remercie chaleureusement tous les membres du Laboratoire Physique Théorique LPT et plus particulièrement Mr.Prof. Mourad EL-BAZ pour ses nombreuses explications, sa disponibilité, les travaux eectués ensemble, les moments passés dans le bureau ou ailleurs, et nalement le travail de relecture et pour avoir eectué le lourd travail de rapporteur. J'exprime ma gratitude à Mr El Hassan TAHRI pour avoir eectué le lourd travail de rapporteur. Je remercie Mme Najia KOMIHA PES à la faculté de science de Rabat, Mr.Prof. Mourad EL-BAZM PH à la faculté science de Rabat, Mr.Prof Antonello SCARDICCHIO PES à ICTP Italie, Mr Abdelfattah Charif CHEFCHAOUNI PES à INPT de Rabat, Mr El Hassan TAHRI PES à la faculté de scinece de Oujda d'avoir accepté de participer à mon jury. Je tiens également à exprimer ma gratitude à toute l'équipe de notre laboratoire, ses chercheurs permanents, ses nombreux thésards que j'ai pu côtoyer, et ses stagiaires qui forment un environnement propice et idéal pour faire de la recherche. Je suis aussi redevable à mon administration de m'avoir autorisé à continuer mes études et m'a permis d'approfondir mes connaissances dans le domaine de la cryptographie, la sécurité des communications et de l'échange de l'information et la sécurisation des protocoles quantiques. Je remercie toutes les personnes avec qui j'ai eu le plaisir de travailler El ALLATI abderahim, AMELLAL Hichem et d'autres personnes bien évidement. Enn, pour leur soutien non-scientique mais non moins signicatif, je m'adresse à ma famille, mes proches et mon entourage et je vous arme que je ne sais guerre les mots pour exprimer ma gratitude et mes remerciements pour tous ce que vous avez fait pour moi, de me pouvoir supporter si longtemps et de bien vouloir croire en moi. J'aimerais vous dire que sans vous rien n'était possible et ma passion pour les sciences n'aura jamais l'occasion pour s'épanouir. Et je laisse le meilleur pour la n, Mon épouse Asmae pour sa patience, sa compréhension et son aide au quotidien ; En n, il m'est agréable d'adresser mes sincères remerciements à tous ceux qui m'ont apporté de près ou de loin, aide et conseils lors de l'élaboration de cette thèse de doctorat. Le meilleur ami de "merci" est "beaucoup". Michel Bouthot. Table des matières 1 Introduction générale 1.1 1.2 1.3 Aperçu historique . . . . . . . . . . . . . . . . 1.1.1 Application de la mécanique quantique 1.1.2 problématique de l'insécurité . . . . . Contexte scientique . . . . . . . . . . . . . . Plan de lecture . . . . . . . . . . . . . . . . . . . . . . : théorie . . . . . . . . . . . . . . . . . . . . . . . . . de l'information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 De la Cryptographie classique à de la Cryptographie quantique 2.1 2.2 2.3 Introduction à l'information quantique . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Un bref historique sur la mécanique quantique . . . . . . . . . . . . . . . . 2.1.2 naissance de l'information quantique . . . . . . . . . . . . . . . . . . . . . 2.1.3 Vers un rêve quantique : ordinateur quantique . . . . . . . . . . . . . . . . 2.1.4 Communication quantique . . . . . . . . . . . . . . . . . . . . . . . . . . . De la cryptographie classique à la communication quantique . . . . . . . . . . . . 2.2.1 Présentation de la cryptographie classique . . . . . . . . . . . . . . . . . . 2.2.1.1 la cryptographie symétrique . . . . . . . . . . . . . . . . . . . . . 2.2.1.2 la cryptographie asymétrique . . . . . . . . . . . . . . . . . . . . 2.2.2 Naissance de la cryptographie quantique ; Besoin légitime . . . . . . . . . 2.2.2.1 Limites procédurales de la cryptographie classique . . . . . . . . 2.2.2.2 Vulnérabilités et défaillances liées à l'implémentation . . . . . . . 2.2.3 Principe général de la cryptographie quantique : . . . . . . . . . . . . . . 2.2.3.1 la superposition cohérente d'états quantiques pour coder des qbits 2.2.4 Démystication de la notion du qubit . . . . . . . . . . . . . . . . . . . . 2.2.4.1 les supports de l'information quantique : qbits [33] . . . . . . . . 2.2.4.2 représentation et manipulation du qbit . . . . . . . . . . . . . . . 2.2.4.3 introduction d'état quantique à plusieurs qbits . . . . . . . . . . Protocoles de cryptographie quantique . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 Preuve de sécurité du protocole BB84 : . . . . . . . . . . . . . . . . . . . . 2.3.1.1 Èquivalence entre modèle intriqué et modèle prépare et mesure . 2.3.1.2 Preuve de sécurité inconditionnelle : . . . . . . . . . . . . . . . . 3 Démystication de l'univers quantique 3.1 Exploration de la puissance du domaine quantique . . . . . 3.1.1 Le non clonage et l'indéterminisme de la mesure . . 3.1.1.1 théorème de non clonage . . . . . . . . . . 3.1.1.2 le principe d'incertitude de Heisenberg . . . 3.1.2 L'importance de la mesure en mécanique quantique . 3.1.2.1 L'indéterminisme de la mesure . . . . . . . 3.1.2.2 Mesure Projective et base privilégiée . . . . 3.1.2.3 trace partielle et Décomposition de Schmidt 3.1.2.4 mesure généralisée et POVM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 3 5 8 9 11 11 11 12 13 16 19 19 20 22 24 24 26 44 45 50 50 50 53 55 56 57 58 61 62 62 62 63 64 64 65 65 66 Table des matières 3.2 vi 3.1.2.5 meilleure mesure pour distinguer deux états . . . . . . . . . . . . 67 3.1.2.6 Mesures successives . . . . . . . . . . . . . . . . . . . . . . . . . 69 3.1.3 La quantication de l'information . . . . . . . . . . . . . . . . . . . . . . . 71 3.1.3.1 l'information classique et l'entropie de Shannon . . . . . . . . . . 71 3.1.3.2 Entropie de Von Neumann . . . . . . . . . . . . . . . . . . . . . 72 3.1.4 L'intrication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 3.1.4.1 dénition de l'intrication . . . . . . . . . . . . . . . . . . . . . . 79 3.1.4.2 détection et mesure de l'intrication . . . . . . . . . . . . . . . . . 80 La décohérence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 3.2.1 Superopérateurs CPPT et le formalisme opérateurs-somme . . . . . . . . 90 3.2.1.1 Application d'une fonction à un opérateur normal et la notion de "Superopérateur" . . . . . . . . . . . . . . . . . . . . . . . . . . 90 3.2.1.2 La notion physique d'un superopérateur . . . . . . . . . . . . . . 94 3.2.2 Manifestation de la décohérence : Canaux quantiques et forme de Kraus . 98 3.2.2.1 Modèles simples de la décohérence pour un système à deux niveaux 98 3.2.2.2 canal quantique et quantication de la décohérence . . . . . . . . 101 3.2.3 Quelques problèmes d'ordre technique . . . . . . . . . . . . . . . . . . . . 105 3.2.4 Les limitations des protocoles quantiques et quelques conclusions . . . . . 108 4 Travaux relatifs à la sécurité de la communication et à la cryptographie quantique 112 4.1 4.2 Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.1 Description du protocole DPP . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.2 La proposition d'un protocole Ping Pong à base des états cohérents . . . . 4.1.3 L'analyse de sécurité pour les protocoles proposés . . . . . . . . . . . . . . 4.1.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.1 Les attaques quantiques optiques contre les systèmes QKD . . . . . . . . 4.2.1.1 synoptique des attaques réception/émission . . . . . . . . . . . . 4.2.1.2 attaque par les états contrefaits : Faked State Attack . . . . . . 4.2.2 Un parefeu garant de la sécurité au sein d'un réseau de communication quantique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.2.1 principe fonctionnel et mode opératoire du parefeu classique . . 4.2.2.2 Proposition d'un parefeu adapté au schéma de la communication quantique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.2.3 Description du pare-feu quantique . . . . . . . . . . . . . . . . . 4.2.3 L'analyse de la communication en présence du pare-feu quantique . . . . . 4.2.3.1 l'analyse des diérentes probabilités de réussite . . . . . . . . . . 4.2.3.2 les probabilités de réussite du parefeu optique . . . . . . . . . . . 4.2.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 112 114 116 121 121 121 121 122 123 123 123 125 126 126 127 133 5 Conclusion et perspectives 135 Bibliographie 137 Liste des publications 145 5.1 5.2 conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Liste des tableaux 2.1 2.2 2.3 2.4 2.5 3.1 Transformation des entrées données en hexadécimal "x" en "Si (x)" suivant la boite S. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exemple de calcul des coecients correspondants dans le cas où la valeur d'entrée est a = (3)H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Distribution des diérences possibles avec leurs nombres d'occurrence pour l'entrée a = (3)H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Shiftrows : décalage des lignes en fonction de Nb dans le cryptosystème AES . . . Equivalence de taille des clés, en terme de sécurité,entre un algorithme à clé symétrique et algorithme à clé asymétrique . . . . . . . . . . . . . . . . . . . . . . . 42 la probabilité de distinguer entre |0i et |1i dans le protocole BB84 . . . . . . . . 69 28 30 31 36 1 Introduction générale L'imagination est plus importante que le savoir Albert Einstein. 1.1 Aperçu historique La mécanique quantique est la théorie mathématique et physique capable de décrire dans le temps et dans l'espace les phénomènes physiques à l'échelle microscopique. Elle a été découverte lorsque les physiciens ont voulu démystier le comportement des particules microscopiques et les échanges d'énergie entre la lumière et la matière à cette échelle. En eet, la physique quantique a connu de profonds changements au cours de ces dernières années. Elle a d'abord permis une compréhension de la structure de la matière qui a donné lieu à de nombreuses avancées et plus particulièrement dans le domaine des nouvelles technologiques. Ainsi, ces progrès sont aujourd'hui devenues les produits phares de l'industrie moderne. Dans cette optique, on cite parmi ces grandes découvertes le laser, omniprésent dans notre quotidien, dont le principe de fonctionnement est intrinsèquement quantique. Les semiconducteurs ont également été fortement développés grâce à la physique quantique. Ceci a permis la miniaturisation et le développement des puissances de calcule à grande échelle. Toutes ces applications sont basées sur une compréhension des phénomènes d'interactions complexes qui opèrent entre ces minuscules particules avec la lumière mais également en s'interposant à son environnement ambiant. La physique quantique est basée sur des concepts pour lesquels nous n'avons que peu de règle de gestion mais beaucoup d'intuition. A l'opposé du modèle classique, un corps quantique, est décrit par des quantités physiques probabilistes. Ainsi, certaines grandeurs physiques facilement accessibles dans un contexte classique, deviennent indéterministes et pratiquement non globalement mesurables. Cette particularité de la mécanique quantique, appliquée cette fois-ci à des particules comme l'électron ou au champ électromagnétique à l'origine de la lumière, montre en réalité que ces deux objets ne sont ni obligatoirement des ondes ni vraiment des particules. L'aspect corpusculaire de la lumière stipule, selon Einstein [1], que l'énergie présente dans une onde lumineuse est en réalité sous forme de paquets discrets indivisibles ; les photons. De même, les électrons présentent également des aspects ondulatoires, comme avait prédit Broglie [2]. Par conséquent, on peut en faire des expériences de diraction et d'interférence avec eux. Cette situation est souvent résumée par le terme de "dualité onde-particule" pour la matière et la lumière. Certes, ces nombreuses propriétés propres aux systèmes quantiques, peuvent être considérées comme étranges et en contradiction avec la perception qu'on a du monde macroscopique. Toutefois, ces principes sont bel et bien démontrés, observés à l'échelle microscopique et encore plus se manifestent en parfaite harmonie avec l'expérience et les prédictions. Par conséquent, l'identication d'un système quantique peut être faite en se référant à une superposition de plusieurs états quantiques à la fois tous considérés comme des états possibles du système en 1.1. Aperçu historique 3 question. Ainsi, cette situation ambigüe n'étant levée partiellement que lorsque qu'une mesure est eectuée sur le système. Par ailleurs, une telle action est susceptible de détruire la cohérence du système mesuré et impute une perte d'information sur la partie inaccessible à la mesure. 1.1.1 Application de la mécanique quantique : théorie de l'information Après avoir présenté brièvement l'histoire de la théorie quantique et la révolution qu'a apporté dans l'explication de plusieurs phénomènes physiques. Nous allons présenter dans ce paragraphe l'une de ses importantes avancées dans le domaine de la communication et l'échange de l'information. On considère que l'information est le sang des organisations et le facteur clé de la communication. Et si l'information a une valeur intrinsèque, liée notamment à sa création, c'est surtout dans son échange et son partage qu'elle développe cette valeur essentielle. On peut dire que l'information acquiert de la valeur quand elle aide à la prise de la décision, renseigne la hiérarchie sur un événement en un temps opportun. Il est en fait dicile d'attribuer à ces éléments une valeur comptable ou les évaluer en fonction des paramètres matériels, la perte, la manipulation ou le vol d'information. Ces derniers peuvent considérablement aaiblir une organisation et remettre en question ses perspectives d'avenir et ces capacités de réagir. Il est toujours plus onéreux de produire et protéger l'information que de l'espionner. Ainsi, l'information représente un actif aussi important que les actifs liés au système de production classique (actifs physiques, actifs humains, actifs nanciers, ...). La sécurité de l'information est donc un domaine vaste et vitale : il couvre la sécurité des systèmes d'information et des réseaux de communication. C'est dans ce contexte que s'inscrit l'évolution des sociétés et des technologies. Les techniques de sécurisation de l'information ont joué un rôle crucial de protection des données privées. Elles assurent aux personnes et aux entités la condentialité de l'échange des données personnelles et elles permettent de protéger leurs documents sensibles. Des techniques simples existent depuis longtemps, mais elles se sont perfectionnées plus récemment, avec le développement de la mécanique dans un premier temps, puis de l'électronique et de l'informatique par la suite. Certes, un développement considérable a été enregistré dans le domaine de l'information. Néanmoins, le quadrillage de cette discipline était elle aussi nécessaire en vue de dénir clairement les lois et les règles qui gouvernent l'échange de l'information. C'est ainsi que la première quantication a eu lieu grâce à la théorie de l'information qui remonte aux années cinquante, avec la contribution majeure de Claude Shannon [15] qui introduisait les outils nécessaires pour quantier la notion d'information et les ressources nécessaires à sa manipulation et à son stockage. Il a également participé à la mise en ÷uvre des bases théoriques de la compression des données, des codes correcteurs d'erreurs et la mesure de la capacité des canaux de transmission. En outre, l'information qu'on souhaite échangée est encodée en utilisant des symboles d'un alphabet. Ces caractères peuvent être composé d'un ensemble d'éléments discret, c'est le cas du codage numérique prenant les valeurs "0" ou "1", ou d'un ensemble d'éléments continu, comme pour le codage analogique. Dans les deux cas, les éléments de l'alphabet peuvent correspondre à diérents états d'un système physique. Les états "0" et "1" peuvent par exemple être stockés dans une mémoire en utilisant deux états d'aimantation d'un matériau. Par contre, le codage analogique peut correspondre à l'amplitude d'une tension ou d'un champ électromagnétique. Tous ces systèmes ont la particularité d'être décrits par les lois de la physique classique, du fait de leur taille macroscopique. En revanche, depuis quelques décennies, il a été convenu de considérer que les propriétés 1.1. Aperçu historique 4 physiques de certains systèmes quantiques pouvaient être également utilisées comme des ressources fondamentales pour véhiculer l'information. En eet, en codant un bit sur deux états |0i et |1i d'un système physique obéissant aux lois de la mécanique quantique, notamment les niveaux d'énergie d'un atome, les états de vibration dans un piège, la polarisation d'un photon, l'état de spin d'un électron etc... le qubit peut se trouver dans une superposition arbitraire α|0i + β|1i alors que le bit classique ne peut être exclusivement que dans l'état "0" ou "1". Cette caractéristique formidable de superposition est à l'origine des principes du calcul quantique, qui l'exploite an de résoudre certains problèmes complexe en un temps relativement raisonnable. Donc, à l'instar du modèle classique, la communication quantique de l'information connait elle aussi certains avantages et également des limitations. De ce fait, exploiter ecacement ces propriétés quantiques reste un grand dé technologique, tant elles sont fragiles et tendent à être estompées par l'environnement externe et les imperfections expérimentales. Beaucoup de recherches sont eectuées en vue de trouver des implémentations robustes et utilisables à grande échelle. De ce fait, en exploitant certaines corrélations quantiques, ainsi que le principe d'incertitude de Heisenberg, selon lequel certaines grandeurs quantiques ne peuvent pas être déterminées en même temps. Cela a permis de développer les communications quantiques, dont l'exemple le plus parlant est la cryptographie quantique ou la distribution quantique des clés, qui commence à atteindre une maturité industrielle. En eet, le principe de base de la distribution quantique de clé consiste à transmettre une chaine de bits entre deux partenaires, à travers un environnement sous le contrôle d'un espion capable d'intercepter la communication à l'insu des utilisateurs. L'information est codée souvent en utilisant de la lumière polarisée, envoyée dans une bre optique ou se propageant dans l'air. Ainsi, la force de cette technique réside dans le fait que la clé extraite est parfaitement secrète, quelles que soient les ressources physiques dont dispose l'espion. Elle peut ensuite être utilisée pour chirer le message, soit en procédant à un cryptage symétrique classique ou la technique du masque jetable pour garantir un maximum de sécurité. Toutefois, comme on a déjà évoqué, ce gain en condentialité est cependant imputable à la vitesse de codage et aux débits de transmission qui pouvent être très faibles comparés à ceux atteints aujourd'hui par les communications classiques standards. En plus, la taille de la clé secrète est d'autant plus faible que la transmission sur le canal quantique est sujette au bruit, et peut même devenir nulle si les conditions de la transmission sont trop défavorables. Par ailleurs, l'information quantique ne se limite toutefois pas au calcul quantique et à la cryptographie quantique. De nombreux autres protocoles permettent d'utiliser les ressources quantiques pour le traitement de l'information ont vue le jour. Et ce, notamment dans le domaine de la téléportation, le codage dense, .... En terme de codage de l'information, on peut distinguer deux types de vecteurs de transmission ; à savoir les variables discrètes représentées par des états discrets (photon, spin, ...), ou le codage continu, comme l'amplitude du champ électrique où on introduit les variables continues. Certains systèmes physiques sont naturellement décrits par des variables discrètes ou continues : les niveaux d'énergie d'un atome sont discrets, tout comme les états d'excitation d'un oscillateur harmonique, alors que la position ou l'impulsion d'un électron sont continues. D'autres systèmes, comme le champ électromagnétique quantique, peuvent être aussi bien décrits par des 1.1. Aperçu historique 5 variables discrètes que par des variables continues. Le photon, quantum d'énergie par nature indivisible, semble être naturellement décrit par des variables discrètes. En revanche, le champ électromagnétique qui lui correspond prend des valeurs continues. Dans cette optique, les expériences de physique quantique ont également mis en lumière le phénomène d'"intrication" entre deux particules distinctes et distantes. Ainsi, si l'on touche l'un des deux objets, l'autre est également touché et l'action de chaque particule détermine totalement celle de l'autre. Cette "formidable intrication" repose sur un deuxième principe cardinal de la physique quantique, celui de la "non-localité". Lorsque les deux particules distantes agissent de concert, elles sont liées par des corrélations dites "non locales". L'intrication quantique donne ainsi l'impression d'une interaction à distance que la physique classique a rejetée depuis des années. Appliquée au domaine de la cryptographie, l'intrication permet de créer des communications hautement sécurisées, car elle limite au maximum la transmission des données de l'émetteur au récepteur. C'est aujourd'hui le point faible de tout système de codage de données : dès lors que les données doivent être physiquement transmises d'un point à un autre (via Internet par exemple), elles peuvent être interceptées. Et même si les données interceptées sont cryptées, n'importe quelle clé de codage utilisée peut être décryptée, tôt ou tard, vu les capacités de calcul qui deviennent de plus en plus performantes et puissantes. Par contre, dans la cryptographie quantique, une grande partie des écueils sont évités, car la phase de transmission classique des données n'existe pas. Il faut imaginer un partage d'informations par cryptographie quantique de la manière suivante : 1. Production de l'intrication : l'émetteur et le récepteur quantiques sont mis en action (les expériences conduites jusqu'à présent permettent l'intrication dans un rayon allant jusqu'à 300 kilomètres). Par un "impensable hasard", ils produisent toujours un résultat identique (donc génèrent toujours des données identiques) si l'on fait la mesure de chacun d'eux. 2. Détection d'une possible intrusion : le principe de "monogamie de l'intrication" permet particulièrement de vérier qu'il n'y a pas d'interférence dans les corrélations non locales entre l'émetteur et le récepteur. S'il y a intrusion, il faut renoncer au partage de données et reprendre à l'étape 1. 3. Partage des données : elle se fait idéalement par téléportation des données. La téléportation, soit la disparition des données à l'émetteur suivie de sa réapparition au récepteur. Cette étape passe sans aucune incorporation intermédiaire, ce qui garantirait une sécurité optimale, puisque l'interception des données n'est pas possible. Par conséquent, on peut conclure que si l'anonymat et la condentialité des données ne sont pas encore complètement épargnés, alors ils ont trouvé un allié de poids dans la cryptographie quantique. 1.1.2 problématique de l'insécurité La sécurité numérique vit un changement d'échelle, au l de la métamorphose numérique et de son omniprésence dans nos activités professionnelles, sociales ou ludiques. En parallèle, l'état des lieux révèle une insécurité diuse, ancrée parfois jusqu'au nos dispositifs eux-mêmes. Elle contourne des barrières dont le principe est fragilisé par les usages mobiles et l'interconnexion ; la gestion de nos données ou de nos identités est assurée par des tiers, dans des lieux indénis et sous des juridictions indéterminées. À l'insécurité s'ajoute la perte de conance, avec pour nécessité d'être à la fois réparateur des dysfonctionnements et refondateur de nos systèmes d'information. Ainsi, la vulnérabilité touche, l'individu, les organisations et les États. Elle atteint les liens sociaux, nos dispositifs de santé autant que d'échange de monnaie. L'intégration grandissante du numérique et de l'humain fait naître de nouveaux enjeux sociaux et technologiques en termes de sécurité. 1.1. Aperçu historique 6 Donc, une révolution de pointe ne se contente plus d'apposer des rustines de sécurité sur des systèmes d'information et de communication existants. Mais, elle refonde entièrement le noyau de sécurité autour duquel sont réarticulés ces systèmes. D'autres ruptures seront peut être envisageables de point de vu technologiques, comme la cryptographie quantique, ou en évolution culturelle, comme le renoncement au modernisme pour se réfugier dans l'archaïsme. Par conséquent, on se demande à l'ère du "Big Data", est-il encore possible de préserver une part de sa sphère privée ? Alors que toutes les données semblent être accessibles à qui en a le temps et les moyens. Dans le monde digital, l'être humain est confronté à un "déshabillage" permanent de sa propre condentialité ; il est de plus en plus nu, ses données personnelles sont exposées aux accès de tiers, collectées, partagées et analysées. Les récentes révélations sur le potentiel d'intrusion quasiment illimité font craindre la perte dénitive de la condentialité. Les actions de piratage et de la cyber délinquance malveillante se développent constamment. Par conséquent, à l'heure actuelle, les besoins en matière de sécurité sont grandissants et la demande n'est certainement pas à la baisse. Cette tendance se justie tout d'abord parce que la technologie informatique omniprésente est devenue accessible à un prix abordable. Mais aussi par ce que l'utilisation des outils de la télécommunication se sont banalisés au grand public. D'un autre côté, les organisations, elles aussi informatisées, nécessitent un réseau sécurisé pour le transfert des données. Il se peut qu'il soit entre les machines, ou avec des machines externes, distantes de plusieurs milliers de kilomètres. Cette ouverture et ce réseautage ont augmenté les facteurs de risques et les menaces qui peuvent mettre en péril ces systèmes d'information. Donc, pour assurer l'échange sécurisé de l'information, on assiste également à une évolution constante des techniques de communication. Qu'il s'agisse des techniques visant à sécuriser l'échange de ces données ou des techniques de mises au point pour contourner ces systèmes de sécurité. D'une manière générale, la sécurité des données tend à s'améliorer. La raison principale est qu'aujourd'hui, l'étude des contournements possibles est simultanée à l'étude des protections. La tendance actuelle veut que les résultats découverts, tous domaines confondus, soient publiés. Dans le cadre de la sécurité de la communication, cela permet de découvrir plus rapidement les failles ou les avantages de certaines techniques. C'est ainsi qu'avec la propagation grandissante des réseaux, des échanges de données, et donc des transmissions entre individus, de nombreuses menaces émergèrent. Parmi celles-ci, on trouve diverses catégories : Les menaces accidentelles Les menaces intentionnelles : passives ou actives Les menaces accidentelles ne supposent aucune préméditation. Dans cette catégorie, sont repris les erreurs de planication ou de conguration, les pannes matérielles et autres défaillances "incontrôlables". Toutefois, les menaces intentionnelles quant à elles, reposent sur l'action d'un tiers désirant s'introduire et relever des informations. Dans le cas d'une attaque passive, l'intrus va tenter de dérober les informations par sondage, ce qui rend sa détection relativement dicile. En eet, cet audit ne modie pas les données, ni n'altère les systèmes. Dans le cas d'une attaque active, la détection est plus facile, mais il peut être déjà trop tard lorsque celle-ci a eu lieu. Ici, l'intrus aura volontairement modié les informations ou le système en place pour s'en emparer. Les menaces actives appartiennent principalement à quatre catégories : 1.1. Aperçu historique 7 Interruption = problème lié à la disponibilité des données Interception = problème lié à la condentialité des données Modication = problème lié à l'intégrité des données Fabrication = problème lié à l'authenticité des données Ainsi, pour contrecarrer ces menaces, l'Homme a inventé la cryptographie pour assurer la protection de son secret face aux ennemis potentiels. De ce fait, on considère que la cryptographie a pour but de garantir la sécurité des communications et des données stockées en présence d'un adversaire. Elle propose un ensemble de techniques permettant d'orir des services de condentialité, d'authentication et d'intégrité. La cryptologie, appelée également la Science du Secret, regroupe la cryptographie et la cryptanalyse. Alors que le rôle des cryptographes est de construire et prouver, entre autres, des systèmes de chirement ou de signature. Par contre, l'objectif des cryptanalystes est de "casser" ces systèmes. L'histoire de la cryptologie a vu tour à tour les victoires des uns et des autres. Dans ce contexte, la cryptographie a été pendant longtemps l'histoire des codes secrets qu'ont décidés du sort des hommes et des nations. En eet, jusqu'aux années 70, l'unique objectif de la cryptographie était de construire des systèmes de chirement. Grâce à la cryptanalyse, les militaires et les cabinets des diplomates ont pu mener leurs guerres dans l'ombre en découvrant les correspondances de leurs ennemis et en contrôlant les réseaux de communications. D'autant plus, la révolution de la technologie et l'utilisation de plus en plus massive de l'information sous forme numérique, ont facilité les communications et ont rendu de ce fait plus fragiles les informations que l'on détient. En eet, les réseaux "ouverts" créent des brèches de sécurité et il est plus aisé à un adversaire d'accéder aux informations. De même, le remplacement de l'Homme par des machines a rendu les relations beaucoup plus anonymes alors qu'en même temps l'accès aux données demande des moyens d'authentication forts. Ainsi, la révolution numérique des communications et de l'information a ouvert de nombreux champs d'investigation à la cryptographie, de sorte que celle-ci a envahi notre vie quotidienne : carte à puce, transaction bancaire, internet, téléphone cellulaire.... Commençons par voir quels sont les services de sécurité que peut garantir la cryptographie et ses applications dans la vie "réelle", on s'apréçoit rapidement de l'ampleur du problème qu'on doit en faire face. En eet, la cryptographie ne permet pas de résoudre tous les problèmes de sécurité liés à la communication. Cependant, elle apporte des garanties et des briques de base sur lesquelles des produits de sécurité peuvent être construits. Il est bien connu que la sécurité d'un système de sécurité se mesure à son maillon le plus faible. En général, le maillon le plus faible d'un système de communication n'est pas le système cryptographique mais par contre c'est l'incontrôlabilité de l'environnement externe. En outre, il existe diverses attaques contre lesquelles la cryptographie n'est pas d'un grand secours, comme les écoutes et les intrusions qui protent de la conance exagérée des utilisateurs dans le canal de la communication. Par conséquent, on constate que la cryptographie participe à la sécurité en proposant des primitives qui permettent d'atteindre les objectifs d'authentication, de condentialité et d'intégrité. Certes, au-delà de cette trilogie, la cryptographie apporte aussi certaines couche de complexité à un éventuel attaquant pour rendre sa tâche plus dicile à réaliser. Néanmoins, ce niveau de sécurité est actuellement en grande diculté du fait que plusieurs attaques et techniques permettent de percer le secret de l'in- 1.2. Contexte scientique 8 formation échangée à cause des défaillances intrinsèques du cryposystème lui même, notamment : Il faut prévoir un moyen ecace de partage de clé dans le contexte du cryptage symétrique entre l'émetteur et le récepteur. Or classiquement parlant, la seule méthode sécurisée reste un contact direct entre les correspondants (le cas de la valise diplomatique), sinon un espion peut intercepter l'échange de la clé elle même. Cette méthode parait inopérationnelle, du fait que ce prérequis ne répondra jamais à toutes les situations de communication possibles. La condition de partage de clé est fondamentale pour la sécurité inconditionnelle. Toutefois, sa taille et son réutilisation demeurent également des exigences à prendre obligatoirement en considération. Etant donné que la technique de masque jetable est, la seule méthode prouvée, ayant la possibilité de chirer les données avec un niveau de sécurité infaillible. Et ce, en respectant les deux hypothèses relatives à la taille de la clé qui doit être aussi longue que le message à chirer. Ainsi que son utilisation durant une seule communication et pas plus. Vue ce qui précède, on constate alors que le chirement par clé symétrique est une impasse si on n'arrive pas à distribuer une clé, à la demande, entre deux correspondants généralement éloignés avec une taille aussi grande que le message à chirer. Quant à la cryptographie asymétrique, le problème est plus profond et dicile à appréhender tant sur la structure elle même des algorithmes que sur la preuve de sécurité. En outre, cette dernière repose sur l'équivalence entre la complexité conjecturales des problèmes mathématiques diciles à résoudre et ne peut rien prétendre au delà. Donc, mettre en place des mécanismes d'amélioration de ce type de chirement nécessite une refonte des principes de base du cryptage à clés asymétriques. Par ailleurs, la cryptographie quantique ou la distribution quantique des clés, propose une solution à ces problématiques. Usuellement, on peut joindre la distribution quantique des clés à la technique du masque jetable. Cette association permet de se prononcer en toute certitude sur la condentialité et l'intégrité de la clé partagée d'une part. Et de l'authenticité du message transmis d'autre part grâce à la théorie de l'information et le principe du masque jetable. Donc, l'objectif de cette thèse est de faire ressortir ces défaillances et les mettre en évidence an de prouver la nécessité de changer la tendance de chirement et envisager la distribution quantique de clé comme une meilleure alternance. Ensuite, nous élaborons une étude analytique des fondements de la sécurité quantique. Nous proposons également des nouveaux protocoles de communications capables d'assurer le secret du message transmis. Finalement, nous allons proposer des dispositifs matériels basés sur des éléments simples an d'amplier le niveau de sécurité. 1.2 Contexte scientique L'information quantique est une nouvelle branche donnant lieu à de nombreuses thématiques et applications. Sur le plan théorique, le quadrillage et la vérication de ces lois sont toujours en plein chantier. Pour ce faire, cette théorie nécessite encore de développer de nouveaux outils et d'explorer de nouveaux protocoles utilisant les ressources de la mécanique quantique. Toutefois, de point de vue expérimental, le principal dé est la mise en ÷uvre de ces protocoles et la vérication de ces concepts dans des conditions similaires aux environnements réels de transmission. Ainsi, plusieurs avancées ont été enregistrées dans ce domaine, toutefois et compte tenu des imperfections limitant grandement les performances, l'implémentation des expériences quantiques reste un enjeu majeure à surmonter. Dans cette optique, le travail de cette thèse s'inscrit dans le cadre de l'information quantique avec des variables continues déformées, et 1.3. Plan de lecture 9 présente des contributions aux problématiques théoriques et expérimentales. Par conséquent, notre principal objectif était d'aborder les deux thématiques que nous avons présentées dans les paragraphes précédents, à savoir : l'insécurité de la cryptographie classique et la présentation d'une alternative quantique permettant de résoudre partiellement la problématique. 1.3 Plan de lecture Ce mémoire de thèse est composé de cinq chapitres qui sont organisés comme suit : -Premier chapitre Nous commençons par une introduction générale du cadre théorique dans lequel le travail de recherche a été eectué. -Deuxième chapitre Dans ce chapitre nous abordons la présentation de la cryptographie classique d'un point de vue théorique pour en faire une transition vers le monde quantique. En eet, dans ce chapitre les principes et les fondements de base de la cryptographie classique ont été revisités dans un contexte évaluatif. Par la suite, une discussion détaillée autour des principales failles et vulnérabilités dont sourent la majorité des cryptosystèmes classiques a été illustrée. Finalement, une brève présentation du modèle quantique a été aborder dans l'objectif d'introduire cette nouvelle discipline. -Troisième chapitre Dans ce chapitre, nous avons appréhender profondément les bases et les lois de la mécanique quantique qu'on considère source primordiale dans la preuve de sécurité des protocoles quantiques. En outre, après avoir exposé ces principes, nous nous penchons sur leur mise en valeur et leur apport à la théorie de la communication. Par ailleurs, nous discutons certaines limitations, imposées par les lois de la mécanique quantique, notamment la notion de la décohérence que nous allons étayer explicitement. -Quatrième chapitre On estime présenter nos principales contributions dans ce chapitre. En eet, la première partie est consacrée aux travaux relatifs à la proposition d'un nouveau protocole quantique basé sur les états cohérents déformés. Dans cet article, nous proposons un moyen de communication directe et de transmission de l'information entre deux ou plusieurs correspondants. Pour ce faire, nous présentons d'abord le groupe SU (2) des états cohérents dans le cadre de la quantication et la théorie de la déformation. Nous étudions également les propriétés de ces états lorsqu'ils sont utilisés dans un cadre d'échange de l'information. Ainsi, la phase nale est consacrée à la description du protocole proposé et aussi à la constatation des améliorations qu'apporte l'usage d'un tel type d'état cohérent. Dans la deuxième partie, nous abordons la problématique liée aux attaques quantiques comme un risque réel qui menace la sécurité des communications. Ainsi, pour renforcer le niveau de sécurité dans la phase de la transmission en utilisant les états cohérents, nous proposons un dispositif optique sous forme d'un pare-feu. En eet, un tel mécanisme est capable de protéger ces système contre l'espionnage via des stratégies d'attaque optiques. A l'instar du modèle du pare-feu classique, le dispositif proposé ore aux utilisateurs légitimes, la possibilité de ltrer, contrôler (états d'entrée/sortie) et de prendre une décision (ou de refuser l'accès) concernant les états reçus. Pour prouver la sécurité et l'ecacité du pare-feu suggéré, nous avons analysé ses performances contre la famille des attaques optiques, notamment celle connue sous le nom de 1.3. Plan de lecture 10 "Faked state Attack". -Cinquième chapitre Nous achevons ce mémoire de thèse par une conclusion où nous résumons nos principales contributions et discutons quelques perspectives relatives aux domaines de la communication quantique. 2 De la Cryptographie classique à de la Cryptographie quantique "Si vous croyez comprendre la mécanique quantique, c'est que vous ne la comprenez pas " Richard Feynman. 2.1 Introduction à l'information quantique 2.1.1 Un bref historique sur la mécanique quantique La mécanique quantique, c'est cette branche de la physique qui décrit la manière dont se comportent les objets microscopiques : les molécules, les atomes ou les particules en générale. Bizarrement on n'arrive pas jusqu'à présent à la mettre en défaut malgré son caractère incomplet. La physique quantique a germé pendant la première moitié du XXème siècle de l'interrogation des physiciens devant une quantité de faits expérimentaux qui s'accumulaient sans interprétation tangible. Interrogation extraordinairement ambitieuse et féconde pour en faire l'une des grandes aventures intellectuelles de l'humanité, peut-être la plus grande de la science contemporaine. En eet, la mécanique quantique déborde de mystères, de surprises et de paradoxes que leurs conceptions classiques demeurent incapables de les expliquer. Ainsi, cette situation nous oblige à revoir la manière dont nous concevons la matière, et même la physique en général. Cette splendide discipline perce fortuitement dégagée dans une idée de Planck sur le rayonnement du corps noir, problème débattu par les physiciens de l'époque. C'est alors que Planck propose une formule modiée, rendant compte des résultats expérimentaux à toute longueur d'onde (14 décembre 1900)[3]. Planck justie sa formule théorique en combinant l'approche de la thermodynamique statistique avec ses propres idées sur les quanta. Le rayonnement serait dû à des résonateurs hertziens rigoureusement monochromatiques, pouvant émettre ou absorber de la lumière de façon discontinue conformément à la théorie des quanta. La répartition de l'énergie entre les résonateurs se fait de façon à maximiser l'entropie totale. La répartition de l'énergie du rayonnement noir est alors implicitement identique à celle des résonateurs. À ce stade, la théorie de Planck semble bien correspondre à la volonté de justier théoriquement une formule expérimentale. Elle tire sa valeur non d'une construction intellectuelle rigoureuse, mais de l'analogie entre la formule expérimentale et des résultats obtenus en thermodynamique. L'analyse phénoménologique donnait un ensemble de recettes ecaces et utiles (Rydberg, Rayleigh, Ritz). Mais rien ne laissait présager le bouleversement des fondements de la physique classique. Bien que, nos premières impressions sur les atomes et les molécules nous sont parvenues d'abord des chimistes du XIXe siècle qui pouvaient réduire les lois des réactions chimiques à des nombres entiers, puis de la théorie cinétique de Maxwell et Boltzmann qui expliquait les propriétés thermodynamiques des gaz à partir de l'hypothèse moléculaire. 2.1. Introduction à l'information quantique 12 En étant capable de décrire quantitativement ce que sont les atomes, la mécanique quantique qui a l'exclusivité d'expliquer leur fondement. L'étendue de son champ d'application est également se voit illimitée du fait que la physique et toute la chimie convergent dans une vision quantique. La théorie rend compte des atomes, de la structure moléculaire, mais aussi de la structure nucléaire, des propriétés des électrons dans les solides, de la conductibilité, des chaleurs spéciques, réactions nucléaires. Même l'astrophysique connaît une expansion spectaculaire grâce à la théorie quantique. Celle-ci permet une compréhension profonde et ne du rayonnement, et ouvre des accès nouveaux et quantitatifs au cosmos, à sa composition, aux conditions physiques qui y règnent. La théorie quantique seule permet de comprendre certains états et processus cosmiques et bien évidemment tout cela avec un parfaite harmonie, et concordance avec les lois de la physique classique. En fait, l'avènement de la mécanique quantique non seulement a résolu pas mal de problème microscopique mais il a bel et bien poussé la communauté scientique a changer l'angle de vision et la conception intellectuel et philosophique. Bouleversement conceptuel : pour la première fois, non seulement la raison pure, mais ce qu'on croit être le "sens commun " sont mis en défaut par les faits expérimentaux. On doit construire une nouvelle façon de penser le réel, une nouvelle logique. Ainsi, cette situation nous oblige à s'adapter à la conception quantique et se préparer à contredire la perception humaine qui peut parfois nous induire en erreur. C'est ainsi qu'il s'avère primordiale de façonner une intuition quantique, contraire à l'intuition immédiate. On voit percer une révolution épistémologique. La pensée philosophique va jouer un rôle profond dans la domestication de cette science nouvelle. Telle "évidence" n'est que le fruit de notre intuition et de notre perception immédiate des choses. La mécanique quantique semble se complaire et mettre en doute la raison tant jugé infaillible. La pédagogie de la mécanique quantique doit sa réputation à sa puissance analytique et prédictive, la physique quantique a permis de prévoir des eets dont les applications n'ont cessé, de bouleverser d'innombrables secteurs de la technologie, d'ouvrir des voies nouvelles, de changer l'ordre de grandeur de ce qu'il était concevable de réaliser, notamment la conception et la production de nouveaux matériaux ayant des propriétés physiques adaptées à un usage donné, détecter une décience dans une fonction biologique et y remédier de façon précise. Le développement de la physique des semi-conducteurs, celui de la microélectronique, puis de l'acquisition et du traitement de l'information, de l'accès au savoir et la protection et la sécurité des canaux de communication constituent une véritable "révolution" dans l'histoire de l'humanité. Ils multiplient la puissance de l'esprit comme la révolution industrielle du XIXe siècle avait multiplié la force de l'homme. Ce pas géant a considérablement bouleversé l'ensemble de la vie économique, sociale, politique, au point que l'adaptation de la société à ce progrès devient en soi une question d'une nécessité cruciale pour l'épanouissement et l'expansion. 2.1.2 naissance de l'information quantique La commercialisation du premier microprocesseur Intel 4004 (embarquant 2300 transistors à 4 bits) a été considérée à l'époque comme révolutionnaire ; Les industriels n'ont cessé de développer la technologie des microprocesseurs an d'augmenter leurs puissances de calcul. Ceci se fait par l'augmentation de leur densité en minimisant les dimensions de ces composantes électroniques. Néanmoins, les lois de la nature obligatoirement freinent cette expansion, chose déclarée en 1965 par Gordon Moore qui a publiè dans la revue "Electronics Magazine" un article célèbre dans lequel il postule une augmentation exponentielle du nombre de transistors dans les 2.1. Introduction à l'information quantique 13 microprocesseurs tous les deux ans environ [4]. En eet, cette conjecture ne peut être envisageable à l'inni du fait qu'elle dépend d'une propriété intrinsèque à l'échelle microscopique. Cette dernière est relative à la densité limite inférieure que l'on est capable d'atteindre en terme de miniaturisation des transistors (de l'ordre de la dizaine d'atomes). Ainsi, on aurait dû théoriquement continuer jusqu'en 2015 avant qu'on ne bute sur des eets de bruits parasitaires (eets quantiques, désintégrations alpha). Depuis 2004, la fréquence des processeurs tend à stagner en raison de dicultés de dissipation thermique, qui empêche une montée en fréquence en dépit de la taille plus faible des composants. Les fréquences de processeurs montent à ce jour au-delà de 5 GHz. Il s'est donc avéré indispensable de revisiter l'approche microélectronique et prévoir pour autant une extension vers d'autres horizons susceptibles d'apporter des solutions et des ressources autres que la miniaturisation pour améliorer la puissance de calcul. Toujours dans cet optique, Richard Feynman a constaté à quel point il est complexe de simuler des systèmes quantiques sur des ordinateurs classiques. En fait, au niveau microscopique, les lois qui régissent les interactions physiques sont très diérentes de ce qu'on observe à notre échelle. Ainsi, il était le premier à amorcer l'idée proéminente de construire des ordinateurs "quantiques" [5]. Cette intuition de pouvoir construire et utiliser les phénomènes quantiques pour améliorer les capacités de calcul des ordinateurs dit "classiques" a été adopté par une large communauté des chercheurs qui ont cru à sa concrétisation. La découverte des premiers algorithmes et protocoles de communication quantiques ont donné naissance à deux nouvelles disciplines : la théorie quantique de l'information et le calcul quantique. L'idée centrale de la théorie quantique de l'information est d'unier deux domaines a priori diagonalement opposés, la mécanique quantique et la théorie de l'information. Autrement dit, il fallait respecter les contraintes imposées par les lois de la physique quantique sur les transformations de l'information, quand celle-ci est transportée via des systèmes physiques obéissant à la mécanique quantique. Il se trouve que la réponse est complexe : d'un côté, il y a des améliorations qualitatives des protocoles classiques (comme le codage dense par exemple). D'autre part, il y a des contraintes importantes, comme l'impossibilité de copier l'information quantique et le principe de la superposition. De ce point de vue, on peut considérer que le but de cette nouvelle branche est de comprendre et expliquer convenablement ces transformations informationnelles dans un cadre purement physique. Cela ètant, d'autres chercheurs ont proposé d'utiliser ces ressources pour obtenir une accélération exponentielle des calculs classiques en protant du parallélisme quantique. 2.1.3 Vers un rêve quantique : ordinateur quantique Le monde quantique n'a pas cessé de révolutionner la manière dont nous devons percevoir le monde extérieur, autant sur l'échelle macroscopique que sur les dimensions microscopiques. En eet, pour décrire certains phénomènes naturels, les physiciens comptent actuellement sur la puissance et la cohérence de la théorie quantique pour mieux comprendre et élucider l'évolution des systèmes complexes. Plusieurs sont ceux qui pensent au-delà de ces acquis atteints grâce à cette nouvelle branche.Alors, on pense souvent qu'il est possible de concevoir une machine capable d'explorer profondément et ecacement d'autres horizons inaccessibles via les machines classiques dont on dispose actuellement. 2.1. Introduction à l'information quantique 14 En eet, pour une véritable machine quantique, les variables qui régissent les interactions entre les composantes ainsi que les dispositifs d'entrée/sortie sont eux-mêmes des opérateurs quantiques, à l'image de la position de l'électron dans un atome d'hydrogène. Ces machines pourraient résoudre les problèmes inaccessibles aux machines classiques. Elles permettent la transmission de données où la sécurité est assurée par des principes fondamentaux de la physique. Elles permettent également de générer des nombres aléatoires certiés, réaliser des mesures avec une précision sans précédent, et très probablement conduire à des applications imprévues dans l'avenir. En termes de progression, l'avènement des portes logiques quantiques laisse croire que la mise en ÷uvre d'un tel engin superpuissant ne va pas beaucoup tarder à se réaliser. De plus, la génération d'une grande variété d'états quantiques de la lumière, qui sont les briques de base de l'information quantique avec une haute délité justie davantage ce sentiment de conance. Mais nous avons besoin de franchir des étapes importantes an de mettre en ÷uvre des protocoles de calcul quantique qui nécessitent, en général, la manipulation, le stockage et la restitution d'un nombre important de qubits. Cet handicap certes constitue un dét de taille pour toute la science, néanmoins ces dernières années on constate déjà une nette progression en matière des mémoires quantiques, la mesure quantique et la stabilité des états quantiques. On note aussi que le temps de cohérence d'un système quantique diminue de manière linéaire avec le nombre de qubits. Par conséquent, le principal obstacle pour cette mise à l'échelle consiste à protéger l'état quantique du système physique contre cette dissipation de l'information, aussi appelée la décohérence. Par consèquent, le rêve quantique de réaliser un ordinateur superpuissant en traitement parallèle s'avère légitime, du fait qu'il ne peut être constitué que des portes logiques élémentaires (Hadamard, Tooli, C-Not gates). Cette réalité se heurte à l'évidence qu'il n'est pas aussi simple de manipuler des qubits dans un environnement réel (bruit, décohérence . . .). Nous vivons actuellement dans un univers d'ondes radio et de signaux électromagnétiques, notamment les réseaux Wi, GSM, satellites et GPS qui ne sont que quelques exemples de l'utilisation des ondes électromagnétiques dans notre quotidien. Bien évidemment, les ordinateurs font partie intégrante de cet écosystème informationnel. En eet, l'aspect très important des signaux électromagnétiques est la mesurabilité. Il est alors assez facile de lire tous les paramètres d'un signal donné sans le modier (amplitude, fréquence, l'information qu'il contient...). C'est la raison pour laquelle, presque toutes les technologies précédemment citées sont équipées du chirement, qui évite que les informations transmises soient lues ou altérées par un tiers. Habituellement, les parties communicantes ne disposent pas d'un canal de communication sécurisée. Malgrè cela, les développeurs de système de chirement ont résolu le problème complexe de négociation de clé de chirement secrète, quand les communications sont susceptible d'être espionnées par un autrui. En eet, tous les systèmes de protection modernes sont basés sur une complexité calculatoire (sécurité conditionnée par l'impuissance des appareils actuels à déchirer une telle combinaison secrète). A contrario, les ordinateurs quantiques sont peut être sur le point de mettre en cause l'hypothèse de se contenter d'une sécurité conditionnelle, ce qui implique la n de cette génération 2.1. Introduction à l'information quantique 15 de technologie. Manifestement inutilisables pour réaliser la plupart des tâches quotidiennes, les ordinateurs quantiques sont capables de résoudre rapidement les problèmes mathématiques utilisés dans les algorithmes de chirement classiques et les tâches d'optimisation de probabilité. La liste des tâches, qui pourraient être considérablement accélérées en utilisant l'informatique quantique est assez longue : optimisations logistiques, séquences d'ADN, prédictions du marché boursier et attaque par force brute de clés de chirement. Dans cette optique, on peut considérer qu'ordinateur quantique opère selon des lois bien diérentes de celles d'ordinateur classique. A titre d'exemple, on montre qu'il y a des calculs que le premier type d'ordinateur est en mesure de réaliser mais que son homologue classique ne pourra pas. De telles preuves d'accélération du calcul quantique par rapport au calcul classique existent abondamment dans la littérature et c'est l'algorithme célèbre de Peter Shor qui nous démontre la possibilité de factoriser un nombre entier N en un temps O log[(N )3 ] [6]. A cet eet, plusieurs cryptosystèmes à clé publique, tels que le RSA, deviendraient vulnérables si on arriverait un jour à implémenter ecacement cet algorithme. Un message chiré avec RSA peut être déchiré par factorisation de sa clé publique N , qui est le produit de deux nombres premiers. En l'état actuel, il n'existe aucun algorithme classique capable de réaliser cet exploit en un temps O log[(N )k ] pour n'importe quel k , donc, l'algorithme de Shor peut casser le RSA en un temps polynomial. De même, il serait aussi étendu pour attaquer beaucoup d'autres cryptosystèmes à clé publique. Ainsi, un ordinateur quantique peut se manifester en une arme à double tranchants, d'une part on a largement gagné en performance de calcul mais un tel dispositif entre des mauvaises mains peut engendrer de graves atteintes à la liberté et à la condentialité des personnes. Cette crainte qu'un ordinateur quantique soit théoriquement capable de déchirer des messages cryptés par la méthode RSA en un temps raisonnable, a provoqué l'intérêt de nombreux acteurs (gouvernementaux notamment) et a entraîné dans son sillage un développement inespéré de tout le domaine de l'information quantique. Un autre exemple qui a suscité plus d'intérêt c'est l'algorithme de Grover, permettant de rechercher un ou plusieurs éléments√qui répondent à un critère donné parmi N éléments non classés en un temps proportionnel à N et avec un espace de stockage proportionnel à log[N ] [7]. Pour mieux comprendre cette diérence entre le système classique et le système quantique en terme de puissance de calcul, on fait remarquer qu'un registre de n qubits peut être représentés par un état quantique dans un espace de Hilbert de dimension 2n. Par conséquent, on peut évidemment représenter ce système par un ordinateur classique, étant donné que les ressources demandées sont nies. On en déduit donc qu'un ordinateur classique peut simuler arbitrairement bien un ordinateur quantique et vis versa. De ce fait, tout calcul pouvant être réalisé à l'aide d'un ordinateur quantique peut, en principe, être mené à bien sur un ordinateur classique. Mais, si en évaluant pratiquement les besoins en ressources nécessaires pour réaliser une telle simulation. Alors on va rapidement se rendre compte de l'infaisabilité de la chose. Pour ce faire, prenons par exemple un ordinateur quantique de 100 qubits, un nombre bien modeste comparativement aux nombres de transistors utilisés par les ordinateurs actuels. Dans ce cas, l'état quantique du système totale est représenté dans un espace d'Hilbert de dimension 2100 ' 1030 . Pour encoder cette information sur un ordinateur classique on aura donc besoin de 2100 ' 1030 nombres complexes. Toutefois, aucun ordinateur classique n'a assez 2.1. Introduction à l'information quantique 16 de mémoire pour subvenir à ce besoin, mais que dit-on des opérations logiques ? Considérons maintenant les ressources en temps nécessaire lors de l'initialisation dans le cas classique, il est nécessaire de spécier 2100 ' 1030 coecients simultanément, cette opération prendra plus de temps que l'âge de l'univers. Contrairement au cas quantique, on a évidement besoin que de 100 opérations. Donc cette illustration nous montre bien qu'il n y a aucun doute de la suprématie du traitement quantique par rapport au traitement classique quoique l'équivalence réciproque est toujours assurée. De ce fait, l'espoir de résoudre toute une nouvelle classe de problèmes de complexité inaccessible aux ordinateurs classiques a fortement encouragé le développement et la recherche dans le domaine quantique. Cependant, nous restons encore aujourd'hui dans l'ignorance des limitations ou encore la puissance qui seraient celles d'un ordinateur quantique. D'autant plus, plusieurs sont ceux qui se réservent de défendre la conception et la dotation d'une telle machine en vue de détourner son usage pour des opérations d'espionnage. Ainsi, le chirement quantique deviendra-t-il la solution de sécurité ? Étonnamment, il se pourrait que la physique quantique soit le remède aux menaces qu'elle se pose elle même. Théoriquement parlant, il est impossible d'espionner une connexion si elle est basée sur la transmission unique de microparticules (la loi de la physique quantique stipule que chaque tentative de mesure d'un état quantique perturbera obligatoirement le système globale). Par ailleurs, parallèlement à la recherche autour des dispositifs du calcul quantique, le même genre de progrès dans le domaine de la communication quantique a permis la transmission sécurisée d'états quantiques sur des distances d'environ 100 km et même plus. Ici, les pertes inévitables dans les canaux de transmission impactent la probabilité d'erreur qui augmente de manière exponentielle avec la longueur du canal. Une façon prometteuse de lever cette limitation consiste à utiliser des répéteurs quantiques. Là encore, le problème de la mémorisation de l'information quantique pendant des durées susamment longues demeure un axe de recherche en pleine croissance. 2.1.4 Communication quantique Une communication quantique est un dispositif de communication composé d'un système exploitant les principes de bases de la mécanique quantique (incertitude de la mesure, l'intrication quantique et la superposition). En eet, une pensée brillante était l'élément butoir permettant d'exploiter le principe d'incertitude comme une ressource plutôt que de le considérer comme une limitation. Ainsi, l'idée de Wiesner c'est de concevoir des billets de banque infalsiables à base de la propriété intrinsèque des particules à spins 12 . Chaque billet a un numéro de série et une série de spins "stockés" sur le billet. L'orientation de chaque spin est connue de la banque seule, qui reconnaît le billet à son numéro de série. Le principe d'incertitude empêche les faux-monnayeurs de mesurer l'orientation des spins sans erreur. Contemplé à l'époque comme étant inecace et inapproprié vu les ressources et les dicultés d'implémentation envisagées (Le stockage de spin). Ainsi, cette proposition ne suscitera pas malheureusement l'intérêt de la communauté scientique (valeur du bien à protéger est moins inférieur aux moyens déployés). Par contre, il n'empêche pas de déclencher les premières réexions en matière de communication quantique protant ainsi de la ressemblance entre les deux mondes classique et quantique. Ces derniers nécessitent tout simplement des systèmes à deux niveaux pour représenter le "0" et le "1" logique. En fait, pourquoi cette perception antagoniste des manifestations des phénomènes naturelles de l'univers. 2.1. Introduction à l'information quantique 17 La réponse est évidemment très simple, car notre conception de subdiviser le monde en des entités diagonalement opposées, a permis de construire une représentation relativement dualiste de l'environnement existentiel : noir/blanc, lent/rapide, mort/vivant, ouvert/fermé, etc. Ainsi, en constatant cette habitude quotidienne d'un univers dont les états classiques exclusifs l'un de l'autre qu'a donné naissance à la logique binaire dans le domaine du traitement de l'information. Vers la n des années 30, Claude Shannon démontra qu'à l'aide de "contacteurs" (interrupteurs) fermés pour "vrai" et ouverts pour "faux" il était possible d'eectuer des opérations logiques en associant le nombre 1 pour "vrai" et 0 pour "faux". Ce codage de l'information est nommé base binaire et permet actuellement de faire tourner tous les ordinateurs classiques. Il consiste à utiliser deux états (représentés par les chires 0 et 1) pour coder et échanger les informations. Après avoir eu les premières tentatives de quantication de l'information et la transmission des états logiques vers des sites distants, la nécessité de traiter et de formaliser ce concept s'avérait primordiale. D'où l'émergence de la théorie des communications qui va s'occuper de normaliser tous les formalismes relatifs au circuit de communication de l'information depuis une source jusqu'à un utilisateur nal [15] (cf. Figure 1.1). La nature de la source peut-être très variée. Il peut bien s'agir par exemple d'une voix, d'un signal électromagnétique ou d'une séquence de symboles binaires. Le canal considéré comme vecteur de transport de l'information et qui peut se manifester en une ligne téléphonique, une liaison radio ou encore un support magnétique ou optique : bande magnétique ou disque compact. Vu que le canal fait partie intégrante de l'environnement inhomogène, cela paraît évident qu'il fera généralement l'objet des perturbations par un bruit qui dépendra de l'environnement et du canal lui-même : perturbations électriques, rayures, ... . Par analogie, Le codeur représente l'ensemble des opérations eectuées sur la sortie de la source avant la transmission. Ces traitements peuvent être, par exemple, la modulation soit en fréquence soit en amplitude, la compression ou encore l'ajout d'une redondance pour contrebalancer les eets du bruit. En eet, l'ensemble de ces opérations ont pour but d'homogénéiser la sortie de la source avec le canal. Enn, le décodeur devra être en mesure, à partir de la sortie du canal de restituer de façon acceptable l'information fournie par la source. Ainsi, la communication quelque soit sa nature, ses éléments, ses intervenants ...doit se conceptualiser avec le standard de communication basique expliqué auparavant. Par ailleurs, ce schéma demeure toujours valable pour le traitement quantique de l'information où on trouve généralement la source, le canal, le codeur et le décodeur. Toutefois, un nouveau paradigme de représentation et manipulation de l'information, basé sur les lois de la physique quantique se voit plus élaboré pour mieux appréhender la problématique de la communication quantique. A l'aide de ce nouveau paradigme, il est possible d'accomplir certaines tâches, expliquer certains phénomènes et même exploiter d'autres ressources plus prometteuses, chose qu'on aperçoit impossibles avec la théorie classique. Dans ce cadre, en évoquant les points de divergences entre le monde classique et son équivalent quantique, on constate facilement l'incapacité du domaine classique de prévoir par exemple des lois qui régissent le codage de l'information en polarisation des photons comme vecteur de communication. En faisant référence à l'idée proéminente d'exploitation de l'orientation des spins pour encoder l'information nécessaire à révéler avec certitude l'authenticité des billets de banque, on constate que le même principe de codage en polarisation a été repris par Bennett et Brassard en 1984 pour un protocole de distribution quantique de clés, qui semblait, lui, plus utile et plus réaliste. 2.1. Introduction à l'information quantique 18 Ce protocole, abrégé en BB84 [8], permet à deux correspondants, Alice et Bob, de générer conjointement une clé cryptographique secrète via un canal non sécurisé. Au lieu de stocker les photons sur un billet, Alice les envoie à Bob, qui les mesure immédiatement et aléatoirement. Comme le faux-monnayeur mentionné plus haut, Bob aura des résultats certes probabilistes (Bob a une chance sur deux de choisir la bonne base), mais ces erreurs seront simplement écartées par une conversation publique entre Alice et Bob an de confronter les choix de ce dernier avec les bases réelles de l'encodage. Néanmoins, les erreurs induites par un éventuel espion seront naturellement détectées par respect des lois de la mécanique quantique. Ainsi, on peut prétendre à la n de cette communication qu'on mit à la disposition des parties communicantes un moyen d'échange de l'information avec une condentialité inconditionnelle. Vue les résultats favorables escomptés suite à une implémentation de ce protocole, plusieurs expériences ont été assez rapidement mises sur pieds, d'abord sous la forme de démonstration de principe (Proof of concept) [9], puis de dispositifs de plus en plus opérationnels [10, 11, 12]. La distribution quantique de clés, souvent confondue avec la cryptographie quantique, est à ce jour le seul domaine de l'information quantique où des systèmes commerciaux sont disponibles. La satisfaction partielle des résultats obtenus sur le terrain ont aussi permis la proposition et la mise en place d'autres protocoles de distribution de clé quantique, que ce soit avec des photons, des atomes ou plus récemment avec des variables continues (des lasers). D'autres applications cryptographiques ont été étudiées, comme le partage de secret ou le problème de la communication directe et la signature quantique. L'exploitation plus spécique de l'intrication phénomène purement quantique a également conduit au codage dense, à la téléportation quantique et à d'autres applications. Figure 2.1 Schéma d'un système de communication 2.2. De la cryptographie classique à la communication quantique 19 2.2 De la cryptographie classique à la communication quantique Bien évidemment l'expérience nous prouve que l'Homme depuis l'antiquité s'est toujours dévoué à appliquer les principes de base de la sécurité de l'information. On évoquant la condentialité, l'intégrité et la disponibilité dans l'ensemble des phases de traitement de l'information (envoi, stockage, réception, codage, archivage ...). D'autant plus, il a mis au point les moyens et les techniques nécessaires pour assurer la non répudiation des actions et des droits d'accès attribués (signature, hachage, authentication ...) en vue d'empêcher toute personne non autorisée à y accéder. Toutefois, la logique et les exigences de l'environnement de travail nous obligent à accepter certains risques, à savoir : la possibilité d'interception de l'information et l'altération des données. Ainsi, la possibilité d'intercepter une information ne vaut pas certainement impliquer une perforation du contenue et son exploitation. Ainsi, la condition de la lisibilité et l'accessibilité à l'information demeurent un facteur clé pour sa protection contre toute action malveillante. Par conséquent, une science appelée cryptographie s'est emparée du problème et ne cesse de jour en jour de nous présenter des solutions cryptographiques sous forme des algorithmes de chirement capablent de dissimuler l'information et la restituer sous certaine condition. Parallèlement, et pour des besoins de sécurité nationale, des brevets d'industriels ou pour des actions de piraterie et de sabotage, l'Homme a aussi mis en place l'art de percer le secret des messages qui ne lui étaient pas destinés en développant la cryptanalyse. 2.2.1 Présentation de la cryptographie classique Les premiers mécanismes de cryptographie ont pour objectif de protéger la condentialité de messages entre l'émetteur et le récepteur Fig.2.1. Pour y parvenir, les premières réexions reposaient sur des procédures secrètes permettant de transformer un message clair en un message incompréhensible pour une personne non autorisée à le lire. La connaissance de cette opération secrète était partagée principalement entre l'émetteur et le destinataire nal. Un des premiers exemples apparus est le chirement de César où chaque lettre est décalée d'un certain nombre de positions dans l'alphabet, selon l'ordre alphabétique. Le déchirement correspond alors à un décalage en sens inverse. Avec l'accroissement en besoin sécuritaire pour transmettre de plus en plus des messages condentiels, ce procédé simpliste a vite atteint ses limites. Ainsi, la dénition de nouvelles opérations de permutation pour chaque couple émetteurdestinataire devient de moins au moins pratique. En eet, la notion de secret utilisée dans un algorithme est dicile à quantier, et des principes de conception inventés par un émetteur peuvent également être imaginés facilement par un attaquant. De ce fait, en se basant sur une analyse statistique de code transitant on arrive, moyennant cette technique, à percer le secret. De plus, la condentialité de ces principes est également dicile à maintenir d'un point de vue organisationnel. Ainsi, une telle solution est devenue dépassée par la nécessité croissante de protéger les données sensibles. Les cryptographes introduisent alors le concept de clé qui est devenu un paramètre de l'algorithme de chirement choisi aléatoirement. Certes, c'est une alternative qui a permis de surmonter l'obligation de changer d'algorithme à chaque fois que le besoin se fait sentir, néanmoins il a augmenté considérablement le facteur de risque. Car, d'une part il a fallu tenir secret cette clé générée entre les correspondants légitimes et d'autre part il a ouvert le 2.2. De la cryptographie classique à la communication quantique 20 débat sur les modalités à envisager pour partager cette clé. Ainsi, l'utilisation des clés a permis alors une large utilisation d'un même algorithme. De ce fait, il devient dicile d'en contrôler la condentialité. Ce constat a conduit Auguste Kerckhos à énoncer le principe suivant [13] : "La sécurité d'un cryptosystème doit résider dans le secret de la clé. Les algorithmes utilisés doivent pouvoir être rendus publics" 2.2.1.1 la cryptographie symétrique Le chirement ou le cryptage symétrique d'un message consiste à le chirer pour le rendre incompréhensible pour celui qui n'est pas doté d'une clé de déchirement KD . Obligatoirement, cette clé doit être gardée secrète entre les correspondants légitimes Fig.2.2. Ainsi, dans un cryptosystème, on distingue : 1. l'espace des messages clairs M sur un alphabet A (qui peut être l'alphabet romain, mais qui sera le plus courant considéré pratiquement comme un alphabet binaire {0, 1} car tout message pourra être codé en mode binaire ; 2. l'espace des messages chirés C sur un alphabet B qui est en général égal à A ; 3. l'espace des clés K ; 4. un ensemble E de transformations de chirement où chaque transformation est indexée par une clé k ) : EK : M ∈ M → C ∈ C (2.1) 5. un ensemble D de transformations de déchirement où chaque transformation est indexée par une clé) : DK : C ∈ C → M ∈ M (2.2) en plus, on constate que les équivalences suivantes sont triviales : DK (EK )(M ) = M EK (DK )(C) = C (2.3) et on notera par la suite un tel cryptosystéme par le quintuplet suivant : (M, C, K, E, D) (2.4) Le chirement et le déchirement utilisent des algorithmes, souvent mathématiques. Deux types de cryptosystéme peuvent être distingués : les algorithmes restreints, dont la sécurité repose sur le fait qu'ils sont tenus secrets. les algorithmes à clé qui peut être privée ou publique. Dans le premier cas de gure, quand un groupe de personne veulent communiquer condentiellement entre eux, ils doivent prévoir un algorithme dont la connaissance doit obligatoirement être restreinte aux seuls membres de ce groupe. De ce fait, toute transmission interne passera préalablement par cet algorithme de chirement et cette communauté ayant cette information aura la possibilité d'accéder au contenu après déchirement. Toutefois, les conditions de sécurité reposent essentiellement sur la condentialité des ces opérations mathématiques, chose qui rend une telle implémentation inadaptée à la uidité sensée être dans une communication sécurisée. En plus, cette technique s'avère très gourmande en matière des ressources à déployer 2.2. De la cryptographie classique à la communication quantique 21 Figure 2.2 Schéma d'un système de communication. vue que à chaque départ d'un membre du groupe, une action de résiliation d'algorithme doit impérativement le succéder aussi bien que le maintien à jour de l'espace des algorithmes. De ce fait, ce type de cryptage se voit inadéquat avec l'évolution des moyens de communications et l'expansion des ux informationnels. Donc, La cryptographie moderne résout ce problème par l'utilisation de clés secrètes au lieu des algorithmes secrets. Ces clés générées aléatoirement parmi un grand nombre de valeurs possibles, communément appelés ensemble de départ et l'ensemble de ces clés est appelé espace des clés. Ainsi, cette manipulation a permis de transférer le risque d'atteinte à la condentialité des algorithmes de chirement et a limité l'exigence à tenir et protéger seulement les clés de cryptage. Evidemment, avec les algorithmes à clefs, toute la sécurité repose sur les clefs, et non plus sur la connaissance de l'algorithme qui sont rendu public. En eet, les algorithmes à clef secrète sont appelés aussi algorithmes symétriques. Ce sont des algorithmes où la clef de déchirement peut être devinée à partir de la clef de chirement ou inversement, d'où le caractère symétrique. Et même, dans la majorité des cas, les clefs sont identiques. Il y a donc nécessité de partage préalable entre les correspondants des clefs communes, et ceci avant toute communication sécurisée. Pour ces algorithmes, la condentialité des communications est directement liée au fait que les clefs doivent demeurer secrètes. Le DES (Data Encryption Standard)[14] est un exemple de protocole de cryptographie à clef secrète. Le code de Vernam ou le masque jetable est un algorithme symétrique qui consiste à combiner le message en clair avec une clé présentant les caractéristiques très particulières suivantes : 1. La clé doit être une suite de caractères au moins aussi longue que le message à chirer. 2. Les caractères composant la clé doivent être choisis de façon totalement aléatoire. 3. Chaque clé ou "masque", ne doit être utilisée qu'une seule fois (d'où le nom de masque jetable). La méthode de combinaison entre le clair et la clé est susamment simple pour être employée à la main sans dispositif informatique, mécanique ou autre. L'intérêt considérable de cette méthode de chirement est que si les trois règles ci-dessus sont strictement respectées, le système 2.2. De la cryptographie classique à la communication quantique 22 ore une sécurité inconditionnellement absolue, comme l'a prouvé Claude Shannon en 1949 [15]. L'argument théorique est le suivant, dans son principe : si on ne connaît que le texte chiré et que toutes les clés sont équiprobables, alors tous les textes clairs sont possibles et avec la même probabilité puisqu'il y a bijection, une fois le chiré xé, entre clés et textes clairs. Connaissant le texte chiré, il n'y a aucun moyen de distinguer parmi ceux-ci le texte clair original lui correspondant. Une analyse statistique est vaine. La connaissance d'une partie du texte clair et du chiré correspondant donne la partie de la clé utilisée, mais ne donnent aucune information supplémentaire : le reste de la clé est indépendant de la partie connue, la clé n'est pas réutilisée. Ce type d'impossibilité, appelé sécurité sémantique, ne repose pas sur la diculté du calcul, comme c'est le cas avec les autres systèmes de chirement en usage. Autrement dit, le système du masque jetable est inconditionnellement sûr. Néanmoins, la première diculté que présente ce système est la longueur et le nombre des clés nécessaires (le problème de leurs transmissions au correspondant, de leur stockage durable, accessible et secret, de leur identication). On travaille en eet souvent avec plusieurs correspondants, ayant chacun plusieurs jeux de clés en commun. Par la suite, générer des clés réellement aléatoires nécessite des moyens complexes que même la meilleur technologie actuelle demeure incapable de fournir une telle ressource. Enn, garantir l'utilisation unique de chaque clé, même à des intervalles espacés, pose des problèmes d'organisation importante : à défaut, la sécurité envisagée peut être compromise. 2.2.1.2 la cryptographie asymétrique Un cryptosystème conventionnel montre vite ses limites s'il s'adresse à un public très large. La diculté réside déjà à déterminer susamment de clés et à les distribuer condentiellement à tous les couples émetteurs récepteurs. De plus, une société désirant communiquer avec un millier de correspondants potentiels devra conserver secrète une liste de mille clés correspondant à chacun de ses interlocuteurs possibles. Mais sera également dans l'obligation d'autoriser plusieurs personnes "sûres" à accéder à cette liste, multipliant dangereusement les risques d'indiscrétion. Pour nir, les besoins en clés croissent trop vite : des communications cryptées entre n abonnés nécessiteront n2 clés distinctes Ki,j correspondant à chacun des couples (Ei , Rj ) formés par un émetteur Ei et un récepteur Rj , avec i et j dans {1, ..., n}. C'est pour pallier ces inconvénients que Die et Hellman ont introduit les cryptosystèmes à clés révélées en 1976 [16]. Le principe en est simple : puisqu'il s'agit de limiter le nombre de clés tenues secrètes, il sura d'attribuer une clé secrète K au récepteur puis de construire, à l'aide d'une fonction judicieuse T , une clé T (K) qui sera connue de tous les émetteurs. Evidemment, la fonction T devra être susamment compliquée pour que l'on ne puisse pas retrouver la clé K de décodage à partir de T (K), en un temps raisonnable et malgré l'utilisation des plus puissants ordinateurs. Un tel système à clés révélées possède au moins deux avantages : le nombre de clés nécessaires aux communications entre n abonnés devient n au lieu des n2 précédentes, et sont distribuées seulement aux récepteurs. Elles continueront à être gardées secrètes. Ce sont les clés de décodage ; les clés de codage T (K), par contre, pourront être connues par le public. Ainsi, le progrès est énorme, du fait que ces clés pourront être regroupées dans des annuaires accessibles publiquement. A ce stade, on parle d'algorithme de cryptographie asymétrique (ou d'algorithme de cryptographie à clé publique) lorsqu'une personne A dispose d'une fonction à sens unique, c'est-à-dire injective, très rapide à appliquer tout en étant très dicile à inverser si l'on ne connait pas une brèche Fig.2.3. Cette fonction est nommée clé publique et la brèche est quant à elle nommée clé 2.2. De la cryptographie classique à la communication quantique 23 Figure 2.3 Schéma d'un système de communication asymétrique. privée. A met à disposition de tout le monde la clé publique mais garde très secrètement la clé privée. Ainsi lorsqu'une autre personne, disons B, veut envoyer un message à A, elle crypte son message en lui appliquant la clé publique et envoie le message chiré obtenu à A. Comme A est la seule personne connaissant la clé privée, B sait que même si le message est intercepté, seule A pourra le déchirer. La sécurité d'un tel procédé réside dans la diculté à trouver la clé privée et surtout dans la diculté à inverser la fonction donnée par la clé publique. L'asymétrie vient du fait que les interlocuteurs ne sont pas en possession des mêmes informations : le destinataire possède la clé privée, alors que les expéditeurs possèdent la clé publique. C'est en opposition avec l'unique clé secrète que se partagent les interlocuteurs pour les algorithmes de cryptographie symétrique. L'analyse fréquentielle ne peut rien face aux algorithmes de cryptographie asymétrique, cependant ces derniers sont souvent plus couteux à mettre en ÷uvre et la diculté à inverser la fonction à sens unique est sujette à caution : ce qui est considéré comme dicile à un moment donné, peut ne plus l'être plus tard suite aux avancées technologiques. Ce constat est dû au fait que les mécanismes de cryptographie asymétrique utilisent tous, un problème de base, la plupart du temps, issu de la théorie des nombres. L'emploi de problèmes réellement diciles pour un attaquant est par conséquent primordial en termes de sécurité. Majoritairement parlant, les cryptosystèmes modernes s'appuient sur le problème de la factorisation, qui consiste à retrouver la décomposition en facteurs premiers d'un entier obtenu de manière secrète par multiplication de deux nombres premiers de taille comparable. Un tel nombre composé est classiquement appelé "module". Toutefois, et avec la progression de la technologie, la factorisation n'est pas toujours estimée comme un problème complexe, entrainant ainsi le déclin des algorithmes asymétriques. Pour améliorer davantage la sécurité, les problèmes diciles de base doivent donc être en accord avec le niveau de robustesse recherché. Il est de plus possible pour certains mécanismes de chirement de faire la preuve, éventuellement sous certaines hypothèses, que la sécurité est équivalente à celle du problème de base et pas uniquement reliée de manière heuristique. Cette approche moderne de la cryptographie permet d'atteindre un niveau d'assurance meilleur que la simple approche qui consiste à constater l'absence d'attaques connues. 2.2. De la cryptographie classique à la communication quantique 24 Concrètement, supposons que nous ayons n récepteurs potentiels R1 , R2 ,...Rn auxquels ont été attribuées n clés K1 , K2 ,..., Kn de décodage, secrètes. Un émetteur E désire envoyer un message M à Ri . Il consulte un annuaire public donnant toutes les clés de codage T (K1 ), T (K2 ),...,T (Kn ) des abonnés et obtient la clé T (Kj ) du client Rj . Il envoie le message codé CT (Kj ) (M) et le destinataire le décodera en calculant DKj CT (Kj ) (M). On devra évidemment avoir : DKj CT (Kj ) (M) = M CT (Kj ) DKj (M) = M (2.5) pour toute clé Ki ∈ {K1 , ..., Kn } et pour tout message M. Ainsi, la première application de ce principe fut le chirement RSA (Rivest-Shamir-Adleman cryptosystem) [17]. Depuis lors, plusieurs cryptosystèmes ont été proposés. Leur sécurité repose sur divers problèmes calculatoires, et notamment la théorie des grands nombres. Cet algorithme a été inventé par Rivest R., Shamir A., et Adlemann L. du M.I.T. (Massachussets Institute of Technology). C'est l'algorithme à clé publique le plus commode qui existe. Comme pour le D.E.S. sa sécurité repose sur l'utilisation de clés susamment longue (512 bits n'est pas assez, 768 est modérément sûr, et 1024 bits est une bonne clé). C'est la diculté que l'on a à factoriser les entiers premiers (le problème des Logarithmes discrets est souvent considérés comme insurmontable). Ainsi, ces algorithmes sont considérés comme étant dicilement cassables. Cependant, de larges avancées en matière de factorisation des entiers larges ont été enregistrées en la matière. De ce fait, l'augmentation considérable de la puissance des supercalculateurs rendront le RSA très vulnérable. Certes, cet algorithme est toujours considéré comme très sûr en prenant garde à prendre des entiers de plus en plus long, de façon à compenser la puissance en augmentation des calculateurs. Toutefois, "Peter Williston Shor" a exhibé un algorithme qui permettra de venir rapidement à bout du RSA dès qu'un calculateur quantique sera concrètement développé et mis en marche [6]. D'où la nécessité d'explorer de nouvelles possibilités d'innovation et de création notamment dans ce domaine. 2.2.2 Naissance de la cryptographie quantique ; Besoin légitime La cryptographie moderne ne se limite pas à l'étude et l'amélioration des cryptosystèmes symétriques et asymétriques, mais s'interesse également à la mise en cause de leurs preuves de sécurité. Dans cet optique, nous estimons que le fait de présenter de façon rigoureuse toutes les facettes de la cryptographie classiques et surtout celles de la cryptanalyse sort largement du cadre de la présente thèse. Néanmoins nous mettons en exergue les aspects les plus importants qui illustrent succinctement les inconvénients de la cryptographie classique. Ainsi, nous concluons à la n de cette présentation qu'aucune méthode n'ore de solution parfaite d'autant plus une sécurité inconditionnelle, bien que dans de nombreuses applications les deux méthodes sont généralement combinées. 2.2.2.1 Limites procédurales de la cryptographie classique Le principal avantage de la cryptographie symétrique est son très haut débit de cryptage ainsi que sa parfaite adaptation avec l'implémentation dans des dispositifs matériels. On note les systèmes de biométrie et de reconnaissance faciale, les gadgets d'authentication, les cartes à puce, les systèmes de télécommunication .... En revanche, la sécurité de ces systèmes repose non seulement sur l'existence des algorithmes diciles à cryptanalyser, mais aussi sur la possibilité de pouvoir distribuer des clés de façon ecace et parfaitement sûre entre les diérents correspondants. Par ailleurs, la gestion des clés secrètes sur un réseau de N utilisateurs peut devenir 2.2. De la cryptographie classique à la communication quantique 25 fastidieuse dans la mesure où le nombre de clés nécessaires pour établir une communication sécurisée est de l'ordre de N (N2−1) clés. Ainsi, il faut tenir en compte que la sécurité d'un tel algorithme est assurée principalement par le fait de distribuer ecacement les clés de chirement dans un premier temps. Or, nul ne peut prétendre ou armer la sécurité du canal utilisé pour acheminer les clés. De ce fait, cette condition nécessaire pour proclamer l'assurance et la conance dans ces systèmes cryptographiques est elle-même une entrave technique et preuve d'insécurité. Il est à noter également que cette problématique est un point commun entre l'ensemble des dispositifs symétriques. Ce qui prouve sous aucun doute l'insécurité de la cryptographie à clé secrète. Un autre problème majeur s'ajoute à la diculté susmentionnée, c'est la génération et la gestion des clés de chirement. En eet, vu le nombre important des clés pour faire communiquer les utilisateurs sur un canal symétrique, la mise en place d'une plateforme dédiée à cette n s'avère indispensable. La complexité de cet environnement, réside dans le fait de prévoir une ressource supplémentaire au dispositif du cryptage qu'il faut obligatoirement tenir à jour. Certes, cette entrave est une diculté d'ordre technique, toutefois cette situation met en cause les fondements de base de la cryptographie qui sont la uidité, la sécurité et la résilience, ce qui implique une adaptation non triviale pour ces dispositifs. Le cryptage asymétrique ; comme introduit auparavant ; était considéré comme la solution optimale pour surmonter le problème de la distribution des clés. Ainsi, du fait de son principe totalement diérent, où chaque partie dispose cette fois-ci de deux clés distinctes. Une clé publique kpub permettant de crypter les messages est accessible publiquement à toute personne désirant communiquer et une clé privée kpriv utilisée pour le décryptage qui demeure secrète (en aucun cas cette clé n'est partagée avec quiconque). Pour illustration, on attribue généralement d'un core fort ouvert que n'importe qui peut le verrouiller avec à la clé publique le rôle un cadenas, mais dont seul celui qui possède la clé privée peut accéder à son contenu. En eet, cette méthode de cryptage n'est valide que si la connaissance de kpub n'implique pas obligatoirement la découverte de la clé secrète kpriv . Néanmoins, les deux clés ne peuvent pas être complètement indépendantes, et sont généralement construites en exploitant des conjectures mathématiques laissant supposer qu'il est impossible de reconstruire kpriv à partir de kpub en un temps raisonnable. Dans ce sillage, la sécurité de la majorité des protocoles asymétriques repose sur le problème de la factorisation d'un nombre entier en facteurs premiers qui est qualié d'un problème complexe. Quoique les débits de cryptage atteignables avec ces méthodes sont un à deux ordres de grandeur inférieurs à ceux des cryptages symétriques, cependant la gestion des clés sur un réseau de N utilisateurs est grandement simpliée car seules N paires de clés privées et publiques qui sont nécessaires. De ce qui précède, on constate clairement une nette amélioration en terme de sécurité, toutefois, ce n'est qu'une solution provisoire et relative car le concept fondamental de la cryptographie asymétrique inspire sa garantie de sécurité de l'incapacité de résoudre des problèmes mathématiques complexes, notamment la factorisation et la décomposition en nombre premier. Partant de ce principe, on arrive à la conclusion que si un jour on parvient à résoudre ces problèmes, alors par implication la sécurité des cryptosystèmes asymétrique est compromise [18]. Par ailleurs, d'autres dicultés moins importantes s'annexent à celle déjà discutée, c'est la validité des clés publiques et la lenteur du processus de cryptage et décryptage. En eet, on peut assimiler la distribution des clés comme un regroupement des informations publiquement accessible via un annuaire libre à télécharger, consulter ou modier. Cette dernière action 2.2. De la cryptographie classique à la communication quantique 26 représente une grave atteinte à l'authentication et au non répudiation ; critères qu'il faut inévitablement observer lors de chirement. Ainsi, pour remédier à cette défaillance, la mise en place d'un dispositif de signature des clés avec la présence permanente d'une autorité de certication est primordiale bien qu'ils représentent une surcharge supplémentaire et une lenteur dans la communication. Contrairement aux conclusions présentées dans les paragraphes précédents, la théorie de l'information quant à elle apporte une réponse assez inattendue au problème des communications sécurisées et indépendamment de la nature du cryptosystème. D'abord, considérant le modèle d'une transmission telle qu'elle est envisagée en cryptographie standard où Alice dispose d'un système lui permettant de coder un message m composé de n bits en un message crypté c de l bits, lequel est alors acheminé vers Bob via un canal sans pertes supposé totalement accessible à un éventuel espion Eve. Dès réception du message codé, Bob en possession d'un décodeur qui lui permet d'inverser le processus d'Alice et de retrouver m à partir de c. Ceci dit, la théorie de l'information suppose alors que la transmission est sécurisée si Eve ne peut obtenir, en aucun cas et sous aucune considération, une information qu'elle soit totale ou partielle sur m en connaissant c. En eet, cela s'exprime par le fait que I(C; M) = 0 où I est l'information mutuelle de Shannon [15], C et M sont les variables aléatoires correspondant aux messages c et m. Dans ce contexte, Shannon a démontré que la seule possibilité d'y arriver est l'utilisation de la technique du "masque jetable" (one time pad) [19], qui stipule l'usage d'une clé secrète aléatoire k aussi longue que le message m et à transmettre la somme modulo 2 de la clé et du message m + k ≡ c mod 2. Vue cette proposition, alors on se rend immédiatement à l'évidence qu'aucune méthode de cryptographie standard n'est capable de garantir une sécurité inconditionnelle. Le résultat de Shannon est même beaucoup plus décourageant, car bien qu'on parvient à utiliser un cryptage par masque jetable, il est quasi impossible de prévoir un moyen ecace de distribution des clés secrètes à Alice et Bob, et cette solution ne fait donc qu'amplier davantage la diculté. Serait ce maintenant le temps à songer que la sécurité inconditionnelle des transmissions est un dé perdu d'avance ? Une réponse immédiate à cette problématique s'avère précoce vue d'une part que la supposition du modèle de Shannon est trop pessimiste où il ne tient pas compte des contraintes physiques des canaux de transmission. D'autre part, le développement des technologies des systèmes d'information et de communication ne cessent de progresser du jour en jour. ils mettent en fait à notre disposition des idées et des modèles de transmission plus réalistes. Certes, la sécurité inconditionnelle fait défaut aux techniques de cryptographie classiques, malgré cela ils permettent ; dans les meilleurs conditions ; une fuite sécuritaire avec des seuils asymptotiquement nuls. Face à cette situation compromettante, nous allons appuyer nos conclusions relatives aux vulnérabilités des cryptosystèmes standards par l'étude de quelques scénarios pratiques dans lesquels ces technologies promus glorieux dévoilent ainsi leurs failles critiques. 2.2.2.2 Vulnérabilités et défaillances liées à l'implémentation Présenter de façon rigoureuse toutes les vulnérabilités et les défaillances dont sourent la cryptographie classique sort largement du cadre de cette thèse. Toutefois, nous nous restreindrons à des démonstrations certes très succinctes des principales problématiques qui prouvent l'insécurité amplement souhaitée et proclamée ainsi que l'incapacité à faire face à l'évolution des techniques de cryptanalyse modernes. Ces méthodes de cassage ont chacune leurs modes opératoires, mais elles convergent vers la même conclusion qui est la révélation du secret dissimulé. 2.2. De la cryptographie classique à la communication quantique 27 cas du cryptosystème DES : Data Encryption Standard [20] : Techniquement parlant, le cryptage symétrique utilise généralement le chirement itératif par blocs. Ainsi, ils peuvent être à l'origine de chirements à ot, d'applications d'authentication de message ou d'entité, de fonctions à sens unique ou de fonctions de hachage. D'un point de vue historique, on évoque les standards publiques de chirement qui sont le DES et l'AES [21]. Data Encryption Standard communément abrégé en DES : Publié dans les années 1970 par le National Bureau of Standards américain, le DES a été considéré comme le standard mondial en matière de chirement jusqu'à la n des années 1990. Toutefois, et vue l'augmentation exponentielle de la puissance de calcul des machines, cela a rendu une clé de 56 bits vulnérable à plusieurs attaques et de techniques de cryptanalyse. Dans ce contexte, nous allons introduire les attaques les plus répandues : 1- méthode de la recherche exhaustive : DES est un algorithme capable de chirer un bloc de données P de 64 bits à l'aide d'une clé secrète K de 56 bits. Le résultat est un bloc de données chirées de 64 bits que nous noterons C . L'opération de déchirement P = DK (C) est, grâce à la structure même de l'algorithme, quasiment identique à l'opération de chirement C = EK (P). Ainsi, supposons que nous disposions d'un bloc de données chirées C et que nous voulions trouver la clé secrète correspondante. Nous disposons également d'information supplémentaire sur la structure ou sur le contenu des données en clair. Intuitivement, la méthode la plus simple est une recherche exhaustive de la clé correspondante parmi les 256 possibilités qui représentent la dimension de l'espace des clés potentielles. Par la suite, on essaye de déchirer le bloc de données en utilisant en série clé après clé. Assisté par l'information supplémentaire sur la nature du message clair, nous permettons de deviner la clé et donc d'interrompre la recherche. Nous aurons besoin, en moyenne, de 255 essais avant d'achever l'attaque. An de démonter l'applicabilité de cette attaque, nous introduisons tout d'abord une caractéristique du DES qui est très utile et nous permet par la suite de réduire l'espace de recherche d'un facteur 2. En eet, cette réduction de 50% est une conséquence de la propriété de complémentarité de DES. Ainsi, nous considérons que si nous avons un texte P chiré avec une clé K donne un texte codé C , alors le chirement de P avec la clé K produit C où X représente le complément bit à bit de X . De ce fait, si l'espace des clés correspond à l'ensemble des mots de k bits, le nombre moyen d'appels à la fonction de déchirement requis dans une attaque exhaustive est égal à 2k−1 . Une telle attaque devient donc hors de portée dés que l'espace des clefs est susamment grand. Au vu de la puissance actuelle de calcul, on considère qu'une clef secrète doit comporter au minimum 128 bits. On recommande l'emploi de clefs de 256 bits dés que l'on souhaite une sécurité relativement dure à casser. Il est à signaler que cette limite est dépendante de l'évolution de la technologie en puissance de calcul. Quoique une attaque exhaustive du système de chirement DES, qui utilise une clef secrète de 56 bits, a été réalisée en 56 heures en juillet 1998 à l'aide d'une machine dédiée comportant 1500 composants DES, toutefois cet algorithme a attient ces limites et a démontré son impuissance face à ce type de cryptanalyse. Le temps de calcul nécessaire à une attaque exhaustive est évidemment exponentiel en fonction de la taille de la clef secrète. 2- méthode de la cryptanalyse diérentielle : 2.2. De la cryptographie classique à la communication quantique x Si (x) 0 e 1 4 2 d 3 1 4 2 5 f 6 b 7 8 8 3 9 a a 6 b c c 5 d 9 28 e 0 f 7 Table 2.1 Transformation des entrées données en hexadécimal "x" en "Si (x)" suivant la boite S. La cryptanalyse diérentielle a été introduite par E. Biham et A. Shamir en 1991 [22], c'est une attaque sur le dernier tour à message clair choisi applicable aux algorithmes de chirement par blocs itératifs. Cette méthode stipule la connaissance préalable des chirés Y et Y 0 correspondant à des couples de messages clairs X et X 0 dont la diérence δX est xée. Le principe directeur de cette attaque consiste à étudier la propagation de cette diérence initiale à travers le chirement. Les diérences sont dénies par une loi de groupe, en général le Xor bit à bit. Cette attaque utilise la faiblesse potentielle de la fonction itérée F dans une dérivation à l'ordre 1. Ainsi, elle peut être exécutée dés lors qu'il existe un couple de diérences (a, b) tel que la diérence entre les images par le chirement de deux entrées dont la diérence vaut a est égale à b avec une probabilité élevée. La diérence entre deux blocs de n bits est notée par ⊕, qui est généralement considéré un "ou exclusif/Xor". Autrement dit, l'attaque nécessite que, pour toutes les valeurs possibles de k1 , ..., kr−1 (sous-clés sont générés à partir de la clé maître K) la fonction de chirement G = Fkr−1 ◦ ... ◦ Fk1 vérie G(x ⊕ a) + G(x) = b pour une grande proportion des valeurs de x ∈ X . On peut alors détecter le chirement à partir de la connaissance des valeurs prises par la fonction pour des entrées dont la diérence vaut a. Le détecteur associé considère donc des couples d'entrées-sorties de la forme (x1 , y1 ), (x1 ⊕ a, y1 0), (x2 , y2 ), (x2 ⊕ a, y2 0), ... et il compte le nombre de couples (yi , yi 0) qui vérient bien évidement la condition yi ⊕ yi 0 = b. Vu ce qui précède, on constate que la situation optimale pour que ce détecteur fonctionne est réduite à la règle que le nombre N des couples (xi , yi ) et (xi ⊕ a, yi ) connus doit être supérieur ou égale à p − 21n où p est la probabilité que la diérence des images de deux éléments qui diérent de a soit égale à b. D'après cette présentation, on voit claire que la diculté de cette attaque réside essentiellement dans le choix des couples et leurs diérences ainsi que dans l'étude minutieuse de la fonction F itérée lors du processus de chirement. An d'appréhender cette attaque et illustrer aisément son mode opératoire, on va présenter un exemple simple à mettre en ÷uvre. On considère le chirement suivant Fig.2.4 qui permet de mener une attaque diérentielle sur le DES à 4 tours. Il est à noter que c'est un exemple juste à titre de démonstration car le DES réel comporte 16 tours. En eet, un tour DES comme illustré à Fig.2.5 consiste à compartimenter l'entrée de 64 bits en deux sous groupes gauche et droite (d; g) de 32 bits chacun. Ensuite, on ajoute des bits aléatoire à d pour la normé à 48 bits via une transformation E . On récupère la sortie de cette opération et on l'ajoute (Xor logique) à la sous-clé du tour Ki . Une autre fois, on subdivise le résultat on 8 sous-entrées bi qu'on injecte dans les boitiers Si respectivement. Suite à quoi, on applique une permutation P et on additionne nalement les deux sous-groupes. Quant à la moitie gauche, elle est égale à celle de droite. En outre, dans notre cas, le chireur est composé de 4 étages identiques et d'une transformation nale qui ne contient pas de partie linéaire pour simplier l'étude. Les boîtes S1 , S2 , S3 et S4 sont identiques et donnés par la table suivante (en hexadécimal) : 2.2. De la cryptographie classique à la communication quantique Figure 2.4 Schéma d'un cryptosystème DES à 4 tours. Figure 2.5 Schéma d'un tour de chirement DES. 29 2.2. De la cryptographie classique à la communication quantique x x0 = x ⊕ a y = Si (x) y0 = Si (x0) δy = y ⊕ y0 0 3 e 1 f 1 2 4 d 9 2 1 d 4 9 3 0 1 e f 4 7 2 8 a 5 6 f b 4 6 5 b f 4 7 4 8 2 a 8 b 3 c f 9 a a 6 c a 9 6 a c b 8 c 3 f c f 5 7 2 d e 9 0 9 30 e d 0 9 9 f c 7 5 2 Table 2.2 Exemple de calcul des coecients correspondants dans le cas où la valeur d'entrée est a = (3)H . Pour notre exemple, on constate que le passage de la diérence δX à travers la partie linaire et l'addition de la sous-clé du tour engendre un passage avec une probabilité de 1. Par contre, lors des transformations des boitiers Si qui prend en entrée/sortie des mots de 2n bits la probabilité de passage est égale à 21n et ceux pour les chireurs idéales. Ce qui veut dire que le facteur de réussite de cette attaque réside dans l'exploitation des probabilités d'apparition d'occurrences de diérences entre des clairs et d'occurrences de diérences entre des chirés en entrée du dernier tour du chire pour un certain δX avec une forte probabilité p d'apparition de δY . Cela revient à construire une table des diérentiels qui résume les possibilités où chaque case représente le nombre d'occurrences de δY étant donnée δX permettant ensuite de calculer la meilleure probabilité de passage à travers la boîte Si . A cet eet, on considère dans notre cas la boîte S , précédemment introduite, avec l'entrée a = (3)H an de construire le coecient correspondant. On parcourt donc toutes les valeurs de X possibles : Pour ce faire, on rappelle que l'opération de base est un Xor logique, donc si a = 3 et X = (b)H alors X ⊕ a = b ⊕ 3 = 8. Ainsi, on généralise le calcul pour l'ensemble des valeurs de correspondance de a an d'obtenir la table de distribution des diérences possibles. La valeur correspondante du tableau nous permet de calculer la probabilité conditionnelle de 0) passage à travers une boîte Si qui est P (δY) = N (a,Y où N (a, Y 0) est le nombre d'occurrence 2n dans la table.2.3 et n est le nombre de bits d'entrée/sortie de la boîte Si . En eet, la somme de tous les éléments par ligne ou colonne vaut 2n = 16 et que toutes les occurrences sont pairs, ainsi la diérence étant symétrique. De ce fait, logiquement si δX = 0, il doit en être de même pour δY si la boite S était parfaite (tous les éléments du tableau devraient être égaux). Ce qui n'est pas vrais dans le cas de notre chireur. A ce stade, on est capable de construire le chemin optimale de passage à travers les boites Si en combinant les diérences optimales comme suit : Pour le premier étage, on traverse la boîte S2 avec la probabilité P (δY) = P ((2)H |a = (b)H ) = 12 . Ce qui est la meilleure probabilité de passage sur le tableau.2.3. Pour le deuxième étage, on traverse la boîte S3 avec la probabilité P (δY) = ((6)H |a = (4)H ) = 83 . Pour le troisième étage, on traverse la boîte S4 avec la probabilité P (δY) = ((5)H |a = (2)H ) = 38 mais également on peut traverser la boîte S3 avec une probabilité P (δY) = ((5)H |a = (2)H ) = 83 . Ce passage optimale est illustré en rouge sur Fig.2.6. Considérant le chemin optimale adopté dans notre cas, on peut ainsi obtenir une probabilité 2.2. De la cryptographie classique à la communication quantique a 0 1 2 3 4 5 6 7 8 9 a b c d e f 31 δy 0123456789abcdef 16 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0002000202404200 0002062202000020 0020200004202004 0002006002042000 0400022000402002 0004040000002222 0022202002200004 0000002200040422 0200200420222000 0220000060020040 0080020200000202 0200222000020600 0400000420202020 0024200060000020 0200600004020020 Table 2.3 Distribution des diérences possibles avec leurs nombres d'occurrence pour l'entrée a = (3)H . sur l'ensemble du trajet de la diérence sur les trois premiers étages du chirement égale à 3 P (δY = ((0)H ; (5)H ; (0)H ; (5)H |a = (0)H ; (b)H ; (0)H ; (0)H ) = 12 38 = 0.0263. Il faut rappeler que le principe de cette attaque est de reconstruire la clé k5 après avoir combiné l'information sur les boîtes Si pour construire une approximation globale. Donc, an d'obtenir de l'information sur la forme de k5 = (L1 ; L2 ; L3 ; L4 ), on chire un certain nombre M de couples de textes clairs de la forme (X , X 0 = X ⊕a) avec a = (0)H ; (b)H ; (0)H ; (0)H ) et on récupère tous les couples de chirés correspondants (Y, Y 0). C'est donc le critère d'égalité à (5)H du deuxième et du quatrième mot de 4 bits que nous allons tester pour retrouver la bonne clé. En conséquence, la clé devra vérier cette hypothèse et qui apparaît le plus grand nombre de fois pour l'ensemble des couples de chirés à tester. Pour ce faire, on ne teste pas toute la clé mais le deuxième mot de 4 bits L2 2.2. De la cryptographie classique à la communication quantique 32 Figure 2.6 Schéma du parcourt optimale d'une cryptanalyse diérentielle sur DES ainsi que le quatrième mot L4 suivant l'algorithme ci-après : Pour i variant de 1 à m faire Choisir un couple (x, x ⊕ a) et chirer ce couple pour obtenir (y, y0) Fin Pour Pour (L2 , L4 ) variant de (0,0) à (f,f) faire Compteur[L2 , L4 ] reçoit 0 Fin Pour Pour chacun des m couples (y, y0) faire Si le 1er et le 3ème mot de y et y0 alors Pour (L2 , L4 ) variant de (0,0) à (f,f) faire Déchirer y avec (L2 , L4 ) pour obtenir u Déchirer y0 avec (L2 , L4 ) pour obtenir u0 Si le 2ème et le 4ème mot de u ⊕ u0 valent (5)H alors Compteur[L2 , L4 ] reçoit Compteur[L2 , L4 ]+1 Fin Pour Fin Si Fin Pour Retourner Max(Compteur[L2 , L4 ]) (2.6) 2.2. De la cryptographie classique à la communication quantique 33 Par ce raisonnement, nous avons pu mettre en ÷uvre un détecteur du DES à 3 tours capable de recevoir en entrée M couples d'entrées-sorties. Ensuite, grâce à l'algorithme 2.6, le détecteur est en mesure de compter le nombre de couple satisfaisant la condition de diérentiabilité avec une forte occurrence. Par ailleurs, le résultat nal nous produit la bonne clé pour laquelle le plus grand nombre de couples de sorties δY vérie cette propriété, c'est donc celle qui a la valeur de compteur maximale. Pour ce qui est de nombre de couples M nécessaire pour détecter cette clé, on l'approche généralement par la formule empirique : M = C × P (δY|a)−1 (2.7) où C est une petite constante et P (δY|a) est la probabilité de la caractéristique diérentielle des R − 1 tours. Dans l'exemple que nous venons de traiter, P (δY|a)−1 = 37.92 et on détecte pratiquement la clé pour 50 < M < 100. Comme on vient de le monter, ce détecteur permet donc de révéler une attaque sur le DES à 4 tours qui permet de retrouver la clé de chirement au dernier tour à partir de la connaissance de M couples clairs- chirés du système. Certes, une attaque complet sur le DES nécessite une diérence qui se propage sur 15 tours du DES avec une forte probabilité, néanmoins l'objectif de cette démonstration c'est de produire une preuve au concept de l'attaque proposée. 3- méthode de la cryptanalyse linéaire : Toujours dans le cadre des techniques de cryptanalyse possibles sur le DES, on présente la crypteanalyse linaire où nous allons prononcer le principe de l'attaque sans trop détailler les étapes [23, 24, 25]. De ce fait, l'analyse de cette méthode consiste à considérer aussi le dernier tour du chireur. En eet, il s'agit d'une attaque à clair connu qui peut être menée dés que le chirement soit aecté par la vulnérabilité suivante : il existe un ensemble de positions m, {i1 , i2 ..., im } du mot à chirer et un ensemble de positions l, {j1 , j2 ..., jl } de la sortie tels que la somme logique (⊕) des bits de l'entrée plus la somme des bits de la sortie prend la même valeur pour la plupart des entrées. Autrement dit, si on note x[i] le ime bit de x, cela signie que, pour toutes les valeurs possibles de k1 , ..., kr−1 , la fonction de chirement G = Fkr−1 ◦ ... ◦ Fk1 vérie l'hypothèse suivante : x[i1 ] ⊕ x[i2 ]... ⊕ x[im ] ⊕ G(x)[j1 ] ⊕ G(x)[j2 ]... ⊕ G(x)[jl ] = ε (2.8) où ε est une constante binaire indépendante de la valeur entrée x mais dépendante de la clé de chirement K(k1 , ..., kr−1 ). Par conséquence, on peut exploiter cette propriété de linéarité pour bâtir aussi un détecteur comme l'attaque diérentielle expliquée précédemment. En eet, l'approche de la cryptanalyse linéaire consiste à déterminer des expressions de la forme Eq.2.8 qui peuvent se produire avec une grande probabilité d'occurrence. Ainsi, si un chireur ache une tendance de cette forme avec, soit une faible ou une forte probabilité, alors on a une preuve irréfutable du caractère non-aléatoire et l'incapacité à produire des sorties indéterminées. A ce constat, il faut noter que supposant qu'on a mis à l'entrée m bits et on a récupéré l bits, alors un comportement sain du chireur survient si et seulement si on injecte ces bits dans l'équation (2.8) et on a exactement le résultat "0 " avec une probabilité 21 . En plus, toute déviation de cette probabilité on l'exprime avec une sensibilité de cryptosystème à ce genre d'attaques (les probabilités limites 0 et 1 indiquent que le chireur est catastrophiquement faible). Ainsi, plus cette déviation et forte plus le système est fragile. 2.2. De la cryptographie classique à la communication quantique 34 Pour mener à bien cette attaque et exploiter parfaitement cette vulnérabilité, on agit identiquement par l'étude des boitiers non-linéaires Si et on essaie de développer des relations d'approximation linéaire de passage entre les étages (tours). Par conséquent, on peut concaténer l'ensemble des équations pour en arriver à lier l'entrer du système avec le dernier tour et ceux avec une probabilité diérente de 12 . Donc, après avoir construit un détecteur à R − 1 tours pour un chirement de R tours, via une approximation linaire, le processus d'attaque consiste à récupérer des bits de la dernière sous-clé KR−1 . Autrement, cette méthode permet de déchirer partiellement la dernière ronde de l'algorithme de cryptage. Plus précisément, pour toutes les valeurs possibles de la sous-clé partielle cible, les bits correspondants de texte chiré sont combinés par un OU exclusif avec les bits de la sous-clé partielle cible et le résultat est dirigé vers l'arrière à travers les boîtes Si correspondantes. Ceci est fait pour tous les échantillons de chiré/clair connus et une valeur est conservée pour chaque entrée de la sous-clé partielle cible. Cette valeur particulière de la sous-clé partielle cible augmente lorsque l'expression linéaire est vrai pour les bits dans des boîtes Si de la dernière ronde (déterminées par le décryptage partiel) et les bits clairs connus. La valeur de la sous-clé partielle cible qui a le nombre qui diverge le plus de la moitié du nombre d'échantillons clair/chiré est supposée représenter les valeurs correctes des bits partielles de la sous-clé cible. En fait, cette approche est déterministe car elle suppose que la valeur de la sous-clé partielle correcte se traduira par l'approximation linéaire parvenue avec une probabilité signicativement diérente de 21 (Que ce soit au-dessus ou en dessous de 12 dépend de l'expression linéaire qui ane le mieux l'approximation et cela dépend des valeurs inconnues des bits de la sous-clé implicitement impliqués dans l'expression linéaire). Une clé incorrecte est supposée entraîner une réaction relativement aléatoire dans les bits entrants dans les boîtes Si du dernier tour et, par conséquent, produira une expression linéaire avec une probabilité proche de 12 . cas du cryptosystème AES : Advanced Encryption Standard : Issu d'un appel à candidatures international, le Rijndael est devenu le nouveau standard de chirement par bloc. Il a été inventé par les cryptologues Vincent Rijmen et Joan Daemen pour en découler "l'Advanced Encryption Standard" (AES) En 2000. Ainsi, la norme NIST FIPS 197 [21] décrit le chirement des blocs de 128 bits au moyen d'une clé maître de taille variable : 128, 192 ou 256 bits via une fonction d'itération. Le nombre de ces tours dépendent de la taille de la clé où on trouve par exemple dans le cas de l'AES 128 bits l'application de 10 fois la fonction de tour (sans le dernier "MixColumns"), alors qu'il faut 14 tours dans le cas d'une clé de 256 bits. Généralement, on décrit la fonction de tours comme étant une composition de 4 opérations simples sur la matrice d'entrée : la transformation SubBytes : C'est une étape qui correspond à la seule transformation non-linéaire de l'algorithme. Dans cette phase, chaque élément de l'entrée est permuté selon une table de substitution inversible notée boîte-S. Ici, la boîte-S est une permutation de l'espace vectoriel F2 8 (Cette table est illustrée à la gure.2.7). Elle identie chaque mot de 8 bits à un élément du corps F28 = F2 [X]/{X 8 + X 4 + X 3 + X + 1} par l'isomorphisme suivant : X F256 = ai X i mod G(X), G(X) = X 8 + X 4 + X 3 + X + 1ai ∈ {0, 1} (2.9) i≥0 2.2. De la cryptographie classique à la communication quantique 35 Figure 2.7 Détail de la table AES boite-S Cette boite-S est composée de la fonction inverse dans le corps ni F2 8 : (2.10) x ∈ F2 8 7−→ x254 Avec la fonction de l'espace F2 8 dénie comme suit : y0 1 y1 1 y2 1 y3 1 = y4 1 y5 0 y6 0 y7 0 1 1 1 1 1 0 0 0 0 0 1 1 1 1 1 0 0 0 0 1 1 1 1 1 1 0 0 0 1 1 1 1 1 1 0 0 0 1 1 1 1 1 1 0 0 0 1 1 1 x0 1 x1 1 1 1 x2 0 1 x3 ⊕ 0 0 x4 0 0 x5 1 0 x6 1 1 x7 (2.11) 0 La gure.2.8 illustre par exemple la transformation de l'élément Sr,c en élément S 0 r,c . Il est à signaler que l'ajout de la fonction ane permet de consolider davantage les propriétés de non-linéarité de la boite-S. La transformation Shiftrows : L'étape Shiftrows opère sur les lignes de la matrice entrée et eectue pour chaque élément d'une ligne un décalage cyclique de n éléments vers la gauche. L'oset n de décalage dépend de la ligne considérée. La ligne i est décalée de Ci éléments, si bien que l'élément en position j de la ligne i est déplacé en position j − Ci mod Nb . Les valeurs de Ci dépendent de la valeur de Nb et sont détaillée dans la table suivante : Evidemment, cette table n'est fournit qu'a titre indicatif dans la mesure où l'AES xe la taille de bloc à Nb = 4. L'étape Shiftrows est illustrée dans la gure 2.9 2.2. De la cryptographie classique à la communication quantique Figure 2.8 Schéma de la fonction SubBytes Nb 4 5 6 7 8 C0 0 0 0 0 0 C1 1 1 1 1 1 C2 2 2 2 2 3 C3 3 3 3 4 4 Table 2.4 Shiftrows : décalage des lignes en fonction de Nb dans le cryptosystème AES Figure 2.9 Schéma de la fonction Shiftrows 36 2.2. De la cryptographie classique à la communication quantique 37 La transformation MixColumns : C'est une transformation linéaire appliquée en pa- rallèle aux 4 colonnes de la matrice d'entrée. Chaque colonne est traitée comme étant un polynôme a(x) de degré 3 à coecients dans F256 . Ainsi, durant cette phase on eectue pour chaque colonne une multiplication par un polynôme c(x) xé auparavant suivi d'une réduction modulo le polynôme x4 + 1. De ce fait, cette transformation peut être exprimée de la façon suivante : x0 α α+1 1 1 y0 1 α α + 1 1 y 1 x1 (2.12) = Y (x) ≡ c(x)a(x) mod x4 + 1 ⇔ y2 1 1 α α + 1 x2 x3 α+1 1 1 α y3 où α est la racine du polynôme caractéristique g(X). A cet eet, la gure 2.10 illustre cette étape. Figure 2.10 Schéma de l'opération MixColumns La phase AddRoundKey : Lors de l'étape AddRoundKey, la matrice d'entrée est modi- ée en l'additionnant (ou exclusif bit à bit) au sens de l'addition termes à termes dans F256 avec la clé du tour correspondant (voir gure 2.11). Il est à noter que c'est la seule phase de la ronde qui fait intervenir la valeur de la clé de chirement. 1- méthode d'attaque par saturation ou l'attaque intégrale sur l'AES : La crypteanalyse intégrale a été présentée la première fois par Joan Daemen, Vincent Rijmen et Lars K.Knudsen [26, 27]. Après avoir présenté une variante de cette technique, Stefan Lucks l'a renommée "attaque par saturation", cette fois-ci lors du FSE en 2001 [28]. En eet, cette attaque exploite la caractéristique parfaite de diusion de l'AES en saturant un ou plusieurs octets de l'entrée. Les attaques intégrales sont particulièrement performantes face aux schémas de chirement par bloc orientés par octet et ceux lorsque les opérations préservent certaines propriétés algébriques permettant ainsi de construire un distingueur sur la sortie. Comme expliqué auparavant, l'entrée de l'AES 128 bits est représentée par une matrice 4 d'octets. Par la suite, la phase de substitution mélange les bits à l'intérieur des octets en appliquant 16 fois en parallèle une 2.2. De la cryptographie classique à la communication quantique 38 Figure 2.11 Schéma de l'opération AddRoundKey Boîte-S Si , suivie d'une transformation ane. La couche de permutation eectue cette opération en utilisant une transformation linéaire. Ainsi, l'idée de base de cette attaque repose sur l'hypothèse informelle suivante : si à un étage, le nombre de Boîtes-S actives est petit, à l'étage suivant, il doit être beaucoup plus grand. Ce principe est déduit de la nature de la fonction MixColumn qui garantit la plus grande diusion possible, alors que la fonction ShiftRow garantit une très grande dispersion en éloignant les éléments actifs les uns des autres. La première transformation ShiftRows opère sur la matrice en décalant les octets de certaines lignes, mais elle ne modie pas les octets. La seconde transformation quant'à elle, mélange les octets d'une colonne entière. Enn, l'opération d'addition des sous-clés est une simple addition dans F2 8 . Donc, pour illustrer ce mécanisme, on suppose qu'on veut saturer l'espace Q des diérences en entrée (le faire prendre toutes les valeurs possibles) toute en remarquant les propriétés algébriques suivantes : L'ensemble F2 8 est invariant par la permutation non-linéaire boîte-S. Le produit scalaire d'une ligne de la matrice MixColumn par un vecteur comportant un seul octet (mot) actif (tous les autres octet sont constants) est un octet actif (propriété de diusion). Le produit scalaire d'une ligne de la matrice MixColumn par un vecteur ne comportant que des octets actifs est un octet équilibré (propriété de semi-bijectivité). Ici, on considère qu'un octet actif est un octet qui prend toutes les valeurs possibles et un octet équilibré si la somme des valeurs possibles de cet octet vaut 0. Pour ce faire, soit Y le texte clair d'entrée, on note alors que Z la sortie du premier étage, R la sortie du deuxième étage et T la sortie du troisième étage comme montré à la gure 2.12. Plus précisément, ce n'est pas un seul texte clair que l'on va chirer mais 256 et on note également : Y0,0 Y0,1 Y0,2 Y Y1,0 Y1,1 Y1,2 Y1,3 Y(y) = (2.13) Y2,0 Y2,1 Y2,2 Y2,3 Y3,0 Y3,1 Y3,2 Y3,3 2.2. De la cryptographie classique à la communication quantique 39 où y est l'élément à saturer. Après exploitation des propriétés citées ci-dessus, on constate que : M S(Y) = 0 (2.14) S(Y(y)),y∈{0,255} on remarque alors que en partant d'un ensemble de 28 clairs avec un seul octet saturé, on peut Figure 2.12 Trois tours de l'AES avec un octet saturé donc obtenir un distingueur sur trois tours. Cela est dû au fait que les octets sont tous équilibrés. Pour étendre cette attaque sur d'autres tours, on suppose par exemple que le dernier tour de l'AES ne contient pas de MixColumns. Ainsi, il est facile de monter une attaque sur 4 tours à partir de ce distingueur. Si on note W(y) les 256 textes chirés après 4 tours de la fonction d'étage de l'AES, on peut exprimer chacun des S(y) comme le déchiré de W(y) dépendant d'un octet de la clé noté k0 4 et d'un octet de W(y) noté W0 (y). On a donc une relation du type : S(y) = ByteSub−1 (W0 (y) ⊕ k0 4 ) (2.15) et ce entre chaque octet d'entrée et de sortie du dernier étage. On peut alors déterminer la valeur de l'octet k0 4 par l'algorithme suivant : Chirer les 256 textes clairs Y(y) pour y de 0 à 255 Récupérer les 256 textes chirés W(y) correspondants Calculer les valeurs des S(y) fonction de W0 (y) pour tout y Si les 256 S(y) vérient S(y) = ByteSub−1 (W0 (y) ⊕ k0 4 ) alors Renvoyer k0 4 Sinon Refaire pour une autre valeur de k0 4 Fin Si (2.16) De cette façon, on peut retrouver tous les octets de la dernière sous-clé et inverser l'algorithme de génération de sous-clés pour retrouver la clé. Par conséquent, on remarque que cet algorithme peut évidemment se généraliser facilement pour retrouver la clé du premier ou des premiers 2.2. De la cryptographie classique à la communication quantique 40 tours et/ou la clé des derniers tours. 2- méthode d'attaque par injection de faute sur l'AES : Après avoir démontré l'insécurité de l'AES face à la cryptanalyse par saturation. On constate que le problème persiste encore lors de ces dernières années où nous avons assisté à l'apparition d'un grand nombre de techniques de cryptanalyse nouvelles qui exploitent la présence d'informations additionnelles observées lors de l'exécution d'un algorithme de chirement sur des canaux auxiliaires ; informations telles que le temps d'exécution, le rayonnement électromagnétique et la consommation d'énergie. Pallier ces attaques sur les canaux auxiliaires est un dé, car il est dicile de décorréler cette information des opérations sur les clés secrètes. De plus, la plateforme de déploiement impose souvent des contraintes de taille et de performance qui rendent dicile l'utilisation de techniques de protection. Aujourd'hui, nous sommes confrontés à un nouveau modèle d'attaque, vu que la cryptographie est déployée dans des applications qui sont exécutées sur des appareils ouverts et ceux sans utiliser des éléments sécurisés. Dans ce contexte, on parle d'attaque en boîte blanche. Ainsi, un attaquant en boîte blanche a un accès complet à l'implémentation logicielle d'un algorithme cryptographique : le binaire est complètement visible et modiable par l'attaquant et celui-ci a le plein contrôle de la plateforme d'exécution des appels CPU, des registres mémoire, etc.). Par conséquent, l'implémentation elle-même est considérée la seule ligne de défense. Pour illustrer ces attaques, nous présentons l'attaque par faute sur l'AES [29, 30, 31]. En eet, on sait que l'AES utilise une opération de masquage par la clé du dernier tour comme étape nale de l'algorithme an de protéger l'itération nale de chirement. Cette avant-dernière opération consiste en une simple consultation de table. Comme les spécications de l'algorithme sont publiques, la table est connue et est accessible par un attaquant. En eet, avec un simple éditeur hexadécimal, cette table peut être située dans le binaire, et remplacée par des zéros. En conséquence, la sortie de l'avant-dernière opération sera zéro, et l'exécution de l'opération de masquage va simplement acher la sous-clé nale, à partir de laquelle la clé d'origine AES peut être déduite. La première cryptanalyse par faute de l'AES a été publiée par Giraud [31]. Cette technique d'injection de faut est une inversion de bit, dont la localisation est inconnue sur les 128 bits d'entrée de l'étape de SubBytes de la dernière ronde. Cette faute est équivalente à une faute sur la clé de tour. Le dernier étage ne comporte qu'un ShiftRows et un SubBytes, mais pas de MixColumns. Ainsi, l'injection de faute sur un bit d'un octet provoque une faute sur le résultat du SubBytes de cet octet. Etant donnée que le ShiftRows ne fait que décaler les octets ; il déplace simplement l'octet ; avant le ou exclusif avec la 10e clé de tour, l'erreur sur la sortie se limite donc à un seul octet Fig.2.13. ici, on va désigner m9 l'octet sur lequel la faute e est injectée et k10 l'octet de la 10e clé de tour qui va être ajouté par XOR. De ce fait, le résultat correct est : SubBytes(m9) ⊕ k10 . Par contre, le résultat en injectant la faute sera : SubBytes(m9 ⊕ e) ⊕ k10 . Ainsi, ajoutant ces deux résultats, on obtient nalement : d = SubBytes(m9) ⊕ k10 ⊕ SubBytes(m9 ⊕ e) ⊕ k10 = SubBytes(m9) ⊕ SubBytes(m9 ⊕ e) (2.17) A ce stade, on connaît l'octet où a été injecté e, donc on déduit qu'il y a 8 possibilités pour le bit qui a été touché. Cela va nous permettre d'établir une liste des m9 possibles et ce pour chaque possibilité. Ensuite, on réitère le processus avec d'autres injections e. Pratiquement parlant, avec 3 fautes en moyenne, on obtient la valeur de m9. De telle sorte, si on ajoute SubBytes(m9) au résultat correct, on obtient l'octet k10 de la clé. En somme, avec environ 50 injections, on 2.2. De la cryptographie classique à la communication quantique 41 Figure 2.13 Attaque par faute de Giraud sur l'AES (DFA : Dierential Fault Analysis) obtient la 10e clé de tour, qui va nous faciliter la reconstitution de la clé de chirement complète. cas du cryptosystème RSA : Ronald Rivest, Adi Shamir et Leonard Adleman Baptisé du nom de ces inventeurs en 1978 [17], cet algorithme est l'une des méthodes de chirement asymétrique les plus utilisées dans le monde. En eet, son principe est basé sur la diculté de factoriser des grands nombres entiers. Autrement, la cryptographie à clé publique utilise une fonction à sens unique permettant d'évaluer rapidement f(x) connaissant x, tandis qu'en connaissant f(x) seulement, retrouver x devient pratiquement dicile. Ainsi, la description de l'algorithme de création de la paire des clés est le suivant : 1. On commence par générer une clé publique secrets p et q . 2. On choisit ensuite une clé aléatoire n qui est le produit de deux nombres premiers e première avec (p − 1) ∗ (q − 1). 3. On crée ensuite la clé privée d qui est donnée par : d ≡ e−1 mod ((p − 1) ∗ (q − 1)). On appelle e l'exposant public et d l'exposant privé. 4. On dénie ainsi la clé publique de chirement par le couple (n,e ) et la clé privée par le couple(n,d ). 5. De ce fait, pour chirer un bloc m, il sut de calculer : c ≡ me mod n (cette opération est facile à réaliser si on connait la clés public). 6. Par contre, pour déchirer le bloc c, il sut d'appliquer : m ≡ cd mod n (Ici, on constate que seule la personne possédant la clef privée d peut déchirer ce message). En eet, on a : ed ≡(1 mod (p -1)(q -1))⇔ ed =k(p -1)(q -1)+1 d'après le théorème de Fermat nous avons : m φ(n) ≡ 1( mod n), avec φ(n) est la fonction indicatrice d'Euler (qui correspond au nombre des éléments de Z/nZ). Or, φ(n)=(p -1)(q -1)⇒m (p−1)(q−1) ≡ 1( mod n) Donc, c d ≡ (me )d ≡med ≡mk(d−1)(q−1) ≡m( mod n) En eet, la sécurité de cet algorithme repose entièrement sur la diculté à factoriser un grand nombre dont on sait qu'il est le produit de deux nombres premiers. Ainsi, nous connaissons n et nous savons qu'il est le produit de deux nombres premiers p et q. Donc, si on arrive à trouver ces deux nombres on réussit à casser le la clé privée. L'inconvénient du système RSA réside dans la taille des clés. Car en terme de protection équivalente, on a besoin d'une clé beaucoup plus longue comparée à un algorithme à clé symétrique. Ainsi, avec une clé RSA de 1024 bits (la valeur actuellement courante), on a une protection 2.2. De la cryptographie classique à la communication quantique Algo symétrique 64 bits 80 bits 112 bits 128 bits 42 Clé RSA 512 bits 1024 bits 2048 bits 3072 bits Table 2.5 Equivalence de taille des clés, en terme de sécurité,entre un algorithme à clé symétrique et algorithme à clé asymétrique équivalente à celle d'un chirement symétrique de 80 bits. Comme déjà expliqué auparavant, la sécurité de RSA repose sur deux conjectures : il faut factoriser n pour trouver la clé privée et cette opération doit se dérouler en un temps polynomial. Cela implique qu'en choisissant n susamment grand, le RSA est considéré sûr. Toutefois, cette équivalence a des impacts fortement redoutés, car si on arrive à résoudre ou au moins à diminuer la complexité du problème de factorisation. Alors, non seulement la sécurité des clés privées qui est compromise, mais aussi les fondements de base de RSA qui sont mis en question. 1- Fractions continues et attaque de Wiener sur le RSA : Fractions continuées : Dénition : Soit (an )n∈N une suite de nombres entiers naturels. On pose pour tout n ≥ 0 : [a0 : a1 ..., an ] = a0 + 1 a1 + (2.18) 1 a2 + 1 ...+ a1 n et on a la suite Sn ((ai )i∈{0,n} ) = [a0 ] , [a0 , a1 ] [a0 , ..., an ] est une suite convergente. Proposition 1 : Soit x ∈ R. Il existe une unique suite d'entiers naturels (an )n∈N telle que x = limn→∞ [a0 : a1 ..., an ]. De plus, la suite an est nulle à partir d'un certain rang si et 1 seulement si x ∈ Q (on utilise la convention +∞ = 0 et 10 = +∞. Ainsi, (an )n∈N est le le développement en fraction continuée de x. Proposition 2 :Soit x ∈ R et soit pqnn une convergente de x. Si q est un entier tel que q ≤ qn , alors si |x − pq | < 2q12 donc pq est une convergente de x. Proposition 3 : Soit d un exposant privé RSA vériant d < 31 n 4 , alors on peut retrouver 1 d. 1-1 attaque de Wiener : La première attaque montée contre le RSA à exposant privé est due à Wiener [32]. C'est une attaque astucieuse reposant sur la théorie des fractions continues. Donc, pour illustrer cette attaque, on considère que n =pq avec p et q sont premiers. Et soit e inversible modulo φ(n) et soit d un inverse de e modulo φ(n). Comme ed ≡ 1( mod φ(n)), alors il existe un petit entier k tel que ed -k φ(n) = 1. On remarque que k et d sont premiers entre eux et qu'on a aussi : e k 1 (2.19) φ(n) − d = kφ(n) e , lui même très ainsi, la fraction inconnue kd est une très bonne approximation du rationnel φ(n) √ e proche du rationnel n qui est cette fois-ci connu. En eet, φ(n) = n−p−q+1 d'ou |n -φ(n)|<3 n. 2.2. De la cryptographie classique à la communication quantique 43 Un calcul élémentaire montre alors que : e k (∗) − < n d (∗)(étant donné que k <d ) =⇒ < (∗)(alors si 1 6 d < √ n 4 ) =⇒ < 1 3k √ d n 3k √ d n 1 d2 (2.20) donc, d'après la proposition.2, dk est une convergente de ne . Pour déterminer de quelle réduite il s'agit, on peut calculer les premières réduites de ne , jusqu'à en trouver une dont le dénominateur soit bien d (la clé privée). A ce stade, on constate qu'on parvient réellement à casser totalement le RSA avec un algorithme nécessitant O(log(n)) appels à la fonction de déchirement correspondant. Pour ce faire, on suit le raisonnement suivant : m un message clair choisi au hasard Soit c le chiré d'un message aléatoire m : c ≡ me mod (n) ki On calcule les convergents de di Si le di vérie : cdi = m t (t ≤ O(n)) i=0 mod (n) Renvoyer di Sinon Refaire pour une autre valeur di+1 Fin Si (2.21) pour mieux illustrer cette attaque, on considère l'exemple suivant : soit le problème RAS(n =160523347,e =60728973) et le message m =313. On cherche à déterminer la clé privée d. soit les convergents de ne = [0, 2, 1, 1, 1, 4, 12, 102, 1, 1, 2, 3, 2, 2, 36] en testant les convergents successifs, on s'aperçoit que le sixième résout le problème RSA. En eet on a 14 37 = [0, 2, 1, 1, 1, 4] et que : 31360728973 37 ≡ 37 mod (160523347) (2.22) donc nalement, on arrive à reconstruire la clé secrète d =37. 1-2 L'algorithme de Shor pour factoriser de grands nombres : Comme on a déjà étayé précédemment, la sécurité du protocole RSA repose sur le problème de la factorisation d'un nombre entier en facteurs premiers dans un temps raisonnable (ie. polynômiale). Ainsi, malgré la conjecture mathématique laissant supposer qu'il est pratiquement impossible de reconstruire la clé privée à partir de la clé publique. Actuellement, et grâce à l'avènement des nouvelles approches, notamment l'algorithme de Shor qui a bouleversé ce constat [9]. Ainsi, on assiste à un développement spectaculaire en puissance de calcul promû par la théorie quantique qui nous arme la possibilité de factoriser les entiers en une complexité polynomiale équivalant à la taille de l'entier à factoriser. En eet, le problème de RSA se résume dans la possibilité de factoriser un entier N = pq en un temps polynomial. Donc, si on arrive à eectuer cette tâche en un temps moyennement 2.2. De la cryptographie classique à la communication quantique 44 raisonnable, alors la sécurité du RAS va être altérer. Dans ce contexte, on propose alors l'algorithme probabiliste de Shor capable d'accomplir une telle opération en un temps O(log3 (N )) avec N est l'entier à factoriser. Q En outre, on considère que N = i=1 k pi ei avec pi > 2 et ki ≥ 2. Cela revient à dire que N ne contient pas de puissance de 2 car la factorisation sera équivalente à déterminer la parité de N et que N n'est pas le produit en puissance d'un seul entier premier pi ei sinon la factorisation sera triviale. Ainsi, pour factoriser N on fait appel à l'algorithme d'Euler basé sur la recherche de l'ordre de N . Squelette de l'algorithme : 1. choisir a ∈ {2, ..., N − 1} aléatoirement et calculer ensuite le d = P GDC(a, N ) grâce à l'algorithme d'Euclide de complexité O(log3 (N )). 2. on teste ensuite si d > 1 alors d est un diviseur non triviale de N . On garde se facteur et on refait l'étape "1". 3. par contre, si d = 1 alors on conclut que a et N sont premiers entre eux. A ce stade, on essaie de trouver le plus petit élément r tel que : ar ≡ 1 mod N . Autrement dit, on cherche l'ordre de a mod N . Malheureusement, aucun algorithme classique n'est en mesure de nous fournir la réponse en un temps polynomiale. Alors, c'est à cette phase qu'intervient la partie quantique de Shor pour réaliser ce traitement à l'aide des principes de la mécanique quantique ; que nous allons détailler par la suite ; an d'exécuter cette tâche en O(log3 (N )). 4. on teste cette fois-ci si r est impaire ou si a autre a. r2 2 ≡ −1 mod N , si c'est le cas, on choisi un 5. donc on passe ensuite à déterminer le d± = P GDC(a seurs non triviaux avec a d'Euclide). r2 1 r2 1 ±1, N ) > 1 car N partage des divi- ±1. Cette phase est réalisée en un temps O(log3 (N ) (algorithme 6. c'est juste une étape de vérication pour voir si vraiment on a le produit des facteurs trouvés est égale à N . Sinon refaire avec un autre a jusqu'à validation. Nous voyons qu'en présence d'une passerelle qui permettrait de passer l'étape 3. La complexité d'une telle analyse dérive justement de l'algorithme d'Euclide qui est de l'ordre de O(log3 (N ). Pourtant cette man÷uvre transforme l'ensemble du procédé du déterminisme au probabilisme (étape 3). Encore une fois, on peut démontrer que la probabilité de succès est bien supérieur à 3 4 et même on peut agir sur l'expérience pour l'améliorer davantage. Vue ce qui précède, on constate alors que la cryptographie classique a largement montré son incapacité à préserver la condentialité et le secret des messages transmis. Ainsi, on va introduire une nouvelle approche permettant d'atteindre de meilleurs performances sécuritaires. 2.2.3 Principe général de la cryptographie quantique : A l'instar de la communication classique, où l'information est codée sur des amplitudes électriques se propageant d'un point à un autre pour transmettre le contenu secret. On dénie son homologue quantique, qui assure presque la même mission mais à des diérences prêts. Donc, classiquement parlant, en mesurant cette amplitude, les deux correspondants sont en mesure de reconstruire et à récupérer l'information initiale. Bien entendu, l'information qui transite sur le canal est parfaitement accessible à une tierce personne, Eve. Cette personne peut prélever une partie du signal, et éventuellement l'amplier de sorte à brouiller et dissimuler son action. Les 2.2. De la cryptographie classique à la communication quantique 45 utilisateurs légitimes sont ainsi, incapables de détecter une telle action malveillante. Quoiqu'ils peuvent recourir à des techniques de cryptage ; symétriques ou asymétrique ; an de compliquer davantage la tâche de l'espion. Pourtant, nous avons démontré qu'elles orent seulement une sécurité partielle et qu'on peut percer la condentialité des données transmises. En conséquence, récapitulant ce qui précède, nous relevons les défaillances suivantes : il faut prévoir un moyen ecace de partage de clé dans le contexte de cryptage symétrique entre l'émetteur et le récepteur. Or classiquement parlant, la seule méthode sécurisée reste un contact direct entre les correspondants (le cas de la valise diplomatique). Chose qu'on qualie d'inappropriée, du fait que ce prérequis ne pourra jamais être satisfait dans toutes les situations de communication. bien que la condition de partage de clé est fondamentale pour la sécurité inconditionnelle. Toutefois, sa taille et son réutilisation demeurent elles aussi des exigences à prendre obligatoirement en considération. Etant donné que la technique de masque jetable reste la seule possibilité qui permet de chirer les données avec un niveau de sécurité infaillible. Et ce, en respectant les deux hypothèses relatives à sa taille qui doit être aussi longue que le message à chirer. Ainsi que son utilisation qui doit faire l'objet d'une seule communication et pas plus. Vue ce qui précède, on constate que le chirement symétrique est une impasse si on n'arrive pas à distribuer condentiellement une clé, à la demande entre deux correspondants généralement éloignés, avec un niveau de sécurité acceptable. on ce qui concerne la cryptographie asymétrique, le problème est plus profond et dicile à appréhender tant sur le plan de la structure elle-même des algorithmes de chirement que sur la preuve de sécurité. En eet, cette dernière repose essentiellement sur l'équivalence entre la complexité conjecturale des problèmes mathématiques diciles à résoudre et ne peut rien proclamer au-delà. Donc, mettre en place des mesures susceptibles d'améliorer le chirement asymétrique nécessite obligatoirement une refonte des principes de base de ce type de cryptage. Par ailleurs, la cryptographie quantique ou communément appelée distribution quantique des clés, propose alors une solution partielle à ces problématiques. Usuellement, on peut joindre la distribution quantique des clés pour garantir leur intégrité avec la technique du masque jetable. Cette association nous permettra par la suite de se prononcer en toute certitude sur la condentialité et l'intégrité de la clé partagée d'une part et de l'authenticité du message chiré et déchiré grâce à la théorie de l'information et le principe du masque jetable. 2.2.3.1 la superposition cohérente d'états quantiques pour coder des qbits La cryptographie quantique, ou la distribution quantique de clé (QKD), s'inspire des méthodes de transmissions classiques à la diérence que les vecteurs de transports de l'information sont gouvernés par les lois de la mécanique quantique. En eet, ce moyen de transport permet d'échanger une clé secrète entre deux acteurs distants, fréquemment appelés Alice et Bob, dans un environnement hostile contrôlé par un Espion, Eve. Ainsi, l'apport majeur de la cryptographie quantique est de s'acquitter de toute hypothèse limitant le pouvoir (puissance de calcul, possibilité d'accès aux canaux, condition initiale ...) d'Eve à seulement celles imposées par la mécanique quantique. Quoique ces limitations, sûrement très pessimistes pour les correspondants légitimes compte tenu de la technologie actuelle. Toutefois, elles permettent de s'assurer que le secret de la clé n'est pas dû à une quelconque hypothèse qui puisse être outrepassée dans le futur. 1- Schéma général des protocoles quantiques 2.2. De la cryptographie classique à la communication quantique 46 Figure 2.14 Schéma d'un système de communication quantique Alice génère un état quantique sur lequel elle va coder une information secrète. Le principe du codage est simple où il faut s'assurer que la représentation est faite sur la base de deux observables qui ne commutent pas Fig.2.14. Alice envoie ensuite l'état quantique via un canal adéquat (bre optique ou simplement en aire) à Bob. Bob reçoit l'état quantique. Il est doté des appareils appropriés pour eectuer la mesure suivant un choix aléatoire (l'un des deux observables qui va être mesuré) et récupère par la suite une information brute. Bob communique à Alice une fraction des ses mesures en vue de vérier les corrélations de mesure avec les états initiaux. 2- Hypothèses sur l'environnement Canal quantique : Eve a un contrôle total sur le canal quantique. En eet, elle peut intercepter, modier, mesurer, remplacer, interagir .... Mais compte tenu des principes de la mécanique quantique, toute opération d'Eve sur ce canal est sanctionnée par une perte d'information entre Alice et Bob. Ainsi, ils peuvent facilement déceler sa présence. Capacité de calcul : Aucune restriction n'est imposée sur la puissance de calcul dont est dotée Eve. Donc, si elle arrive à mesurer et à extraire une information quelconque. Elle est, en principe, capable d'en tirer prot indépendamment de la complexité de l'algorithme. Canal classique : Si Eve est en mesure d'agir ; sans aucune restriction ; sur le canal quantique. Cependant ses actions sont limitées sur le canal classique. En conséquence, elle est seulement autorisée à écouter les communications qui transitent via ce canal sans pouvoir les changer ou les manipuler. Manifestement, cette condition parait simple, mais une grande partie de la sécurité repose sur cette hypothèse. Accès aux installations : Bien évidement, on considère aussi qu'Eve ne pourra pas accéder aux installations d'Alice et de Bob, sinon ce schème devient pratiquement inutile. 3- Hypothèses d'attaques En raison des privilèges dont dispose Eve, nous étayons alors les scénarios possibles d'attaques 2.2. De la cryptographie classique à la communication quantique 47 qu'elle peut mener contre une transmission quantique : Attaque individuelle : dans ce genre d'attaque intuitive, Eve n'a pas besoin de recourir à ses pouvoirs extraordinaires. En outre, elle interagit avec chaque état interceptée et essaie par un choix aléatoire de la mesurer et en déduire une information utile. Toutefois, une telle intervention est sectionnée par une augmentation proportionnelle à la probabilité de sa détection. Attaque collective : pour ce type d'attaque, Eve a besoin de faire usage d'une mémoire quantique an de sauvegarder les états envoyés. Par la suite, Eve prépare des clones et envoies à son tour ces états à Bob. Ainsi, à la phase classique, Eve dispose maintenant d'une information supplémentaire divulguée conjointement par Alice et Bob et peut eectuer une mesure sur les états stockés. Une autre fois, cette action perturbe le cursus normal de la transmission chose que les deux correspondants peuvent le détecter. Néanmoins, Eve accède au secret partagé. Attaque cohérente : ce sont les attaques les plus dangereuses, car à ce niveau, Eve utilise tout son potentiel. Ainsi, elle intrique ses propres états avec ceux envoyés par Alice. Ensuite, elle sauvegarde ses états sur une mémoire quantique et libère ceux d'Alice. Une fois arrivé à la phase classique, Alice et Bob annoncent des informations qu'Eve peut utiliser pour mesurer correctement ses états. Malheureusement, aucune parade n'est possible et aucune alternative de détection n'est à envisager. Par ailleurs, ce type d'attaque est considéré comme la vraie garantit de sécurité inconditionnelle lors de la distribution quantique des clés (le seuil de secret à ne pas franchir pour un protocole donné). 4- Raisonnement inductif sur la sécurité de transmission Dans ce raisonnement de sécurité, on va survoler sommairement les principes et les fondements de la mécanique quantique permettant de proscrire les actions malveillantes d'Eve contre une transmission quantique. Une étude détaillée fera l'objet des paragraphes suivants. Nombreuses sont les variantes de distribution quantique de clés et quoique chacune dégage une particularité spéciale. Toutes sans exceptions fondent leurs analyse de sécurité sur les mêmes principes de base. Il est judicieux de rappeler que les vecteurs utilisés pour transmettre l'information d'un point à un autre, sont des systèmes gouvernés par les lois de la mécanique quantique. Donc, qu'il soit un photon ou un électron, ces particules obéissent aux règles suivantes : 1. Théorème de non clonage : Il est impossible de réaliser une parfaite copie d'un état quantique inconnu. 2. La mesure quantique et le principe d'incertitude : Bien que deux observables qui ne commutent pas, alors il est impossible de les mesurer conjointement avec certitude. Cela revient à dire qu'on ne peut pas décerner parfaitement une particule aléatoire et déduire ces propriétés intrinsèques sans information préalable. 3. Principe de la superposition et de la cohérence quantique : On peut décrire ce principe par le fait qu'un système quantique peut se trouver superposé dans plusieurs états en même temps. Ainsi, On dit qu'il est en superposition quantique. En eet, supposons que les états A et B correspondent à deux positions distinctes d'une particule donnée, alors la combinaison linaire A + B est alors également un état possible et accessible au système considéré. Par conséquent, une même particule peut être considérée simultanément à deux endroits séparés par une distance macroscopique, jusqu'à ce qu'on fasse une mesure pour déterminer sa position exacte. Toutefois, une action menée sur le système pour le mesurer conduit généralement à la destruction de cette superposition. On dit qu'on assiste à un eondrement de l'état quantique du système. 4. L'intrication : Par extrapolation, on peut rapprocher ce phénomène quantique comme étant une corrélation à la fois très forte et très fragile entre deux systèmes A et B . En eet, comme 2.2. De la cryptographie classique à la communication quantique 48 le principe de la superposition, on peut concevoir un système A + B mais cette fois-ci avec une combinaison linéaire de deux systèmes A et B et non pas leurs états respectives. Or il est assez facile de voir qu'on ne peut pas représenter cet état globale sous la forme d'un simple produit des deux systèmes. Car les sous-systèmes ne peuvent pas être considérés ici comme des objets séparés, ayant chacun un état quantique déni, et pourtant ils peuvent être très éloignés l'un de l'autre. Dans ce cas, l'état de chaque sous-système est indéterminé : lorsqu'on les mesure individuellement, ils sont parfaitement désintriqués. Mais le plus surprenant, c'est qu'une mesure du sous-système A détermine immédiatement l'état du sous-système B , qui peut alors se trouver à des milliers de kilomètres. Ainsi, on dit que les états quantiques se dénissent et communiquent mutuellement. 5- Phasage de la communication 1. transmission quantique : Alice génère aléatoirement une séquence S = {s1 , ..., sn } avec si ∈ {0, 1}. Ensuite elle encode son information sur une série d'états quantiques {|χi⊗n } choisis de manière adéquate. Puis elle envoie le résultat à Bob à travers le canal quantique. En eet, la technique d'encodage quantique ne sera pas abordée ici en détail. Dés réception des états envoyés, Bob choisi aléatoirement et sans aucune inuence (information ou indice) les bases de mesure. Ainsi, il va obtenir une série de résultat R = {r1 , ..., rn } corrélée partiellement à S = {s1 , ..., sn }. Rappelons que le canal quantique est librement accessible. Alors Eve peut avoir accès à des données corrélées, avec ceux des deux correspondants, indépendamment du type d'attaque choisi. Cependant, son interaction avec l'environnement de transmission, notamment le canal quantique et les états envoyés va engendrer une corrélation entre l'ensemble des résultats. A savoir l'état de départ S = {s1 , ..., sn }, le résultat nale de Bob R = {r1 , ..., rn } et le résultat d'Eve E = {e1 , ..., en }. Donc, si la mécanique quantique l'autorise à eectuer des attaques sous plusieurs formes. Tout de même, pour cette raison l'information d'Eve est aussi imputable à sa discrétion et durant une phase d'analyse on arrive facilement à sentir son intervention. 2. analyse de la transmission : Avant d'entamer cette phase, il est préférable de rappeler la nature et la valeur de la séquence générée par Alice. En eet, il s'agit bien d'une chaine aléatoire de bits classiques qui n'ont aucun poids en termes de condentialité ou aucune importance car elle ne contient pas d'informations secrètes. Toutefois, après le partage et la distillation de cette séquence c'est à ce moment qu'elle devienne cruciale pour le système de cryptage. De ce fait, lors de cette phase Alice et Bob vont sacrier une fraction représentative de leurs données respectives (S = {s1 , ..., sl }, R = {r1 , ..., rl } avec l<n). Donc, en rendant public ce sous-ensemble sélectionné au hasard, Alice et Bob peuvent estimer indirectement la quantité maximum d'information espionnée. Statistiquement parlant, le caractère aléatoire de l'information échangée jumelé à la nature quantique des états transmis ; certes ne restreint pas l'action d'Eve ; mais renseigne les correspondants légitimes des actions malveillantes survenues au moment de la transmission. Cette situation prote bien à Alice et Bob, car indépendamment des hypothèses qu'on peut faire sur la manière dont Eve agit sur le canal quantique, le codage sur les états quantiques est conçu de manière à ce que les inuences d'Eve se répercutent sur les données reçues par Bob sous la forme d'une déviation statistique. Par conséquent, dès qu'Alice et Bob 2.2. De la cryptographie classique à la communication quantique 49 évaluent l'information interceptée et trouvent qu'elle est équivalente à l'information qu'ils ont échangée, alors le processus est abandonné et réamorcé à nouveau. Dans le cas contraire, où la quantité d'information intercéptée est inférieur à celle échangée, alors une clé secrète peut être distillée à partir de l'information non publiée. 3. réconciliation et correction d'erreur : La séquence que partagent Alice et Bob maintenant n'est pas exempte d'erreurs et, par ailleurs, un espion peut avoir intercepté une partie de l'information. C'est alors dans ce cadre que s'inscrit la phase de réconciliation. Cette étape supplémentaire est nécessaire pour générer une clé secrète parfaitement sûre et identique pour les deux correspondants légitimes. Compte tenu du taux d'erreur qu'Alice et Bob peuvent contrôler en permanence, les deux correspondants peuvent évaluer la quantité d'information maximale interceptée par un espion éventuel. Dans ce contexte, on estime qu'il leur est possible de continuer à générer une clé inconditionnellement sûre si est seulement si le taux de fuite est susamment acceptable. Pour ce faire, ils procèdent à l'exécution des opérations classiques sur les clés brutes obtenues pour éliminer toute disparate constatée lors de la transmission. Ainsi, durant cette phase appelée réconciliation, Alice et Bob corrigent les erreurs résiduelles de la clé brute, illustrées notamment dans les contraintes environnementales s'exerçant sur le canal de transmission et les imperfections des systèmes de mesure. Généralement, et malgré l'absence de l'espion, on assiste a des séquences de bits partagées S = {s1 , ..., sn−l }, R = {r1 , ..., rn−l } qui ne sont donc jamais parfaitement identiques (S = 6 R). Par conséquent, il faut agir sur ces séquences via des opérations logiques jusqu'à atteindre l'homogénéité désirée. Donc, pratiquement parlant, on considère toujours que la séquence de référence est celle d'Alice et on corrige celle de Bob. La correction des erreurs ne peut se faire qu'en échangeant de l'information sur le canal public supposé sous-écoute d'Eve. Vue cela, il est primordiale de limiter ces correspondances au stricte nécessaire, et idéalement d'atteindre la limite xée par la théorie de l'information : H(S|R) bits où H est l'entropie de Shannon. Donc pour corriger ecacement ces taux d'erreur on peut faire appel aux procédés de correction binaires (Binary Correction Protocol, BCP). Ces téchniques qui se basent principalement sur l'enchainement de simples calculs de parités, suivit par des échanges interactifs entre Alice et Bob des résultats obtenus et cela pendant un nombre d'itérations xées à l'avance. 4. amplication de la condentialité : Après avoir passé avec succès l'étape de la réconciliation, Alice et Bob entament alors la dernière phase des protocoles de distribution quantique de clé qu'est la génération proprement dite de la clé secrète à partir du résultat obtenu. Quoique cette étape est communément considérée une phase classique qu'on peut outrepasser, néanmoins son apport à la sécurité et à la condentialité de la clé nale est souvent considérable. En eet, lors de cette phase les deux correspondants s'appuient sur un algorithme déterministe choisi à l'avance permettant d'extraire une fraction K = {k1 , ..., km } de la séquence initiale S = {s1 , ..., sn−l } de manière à rendre l'incertitude d'Eve maximale sur la sortie K. Ainsi, on écrit : H(K|E = {e1 , ..., en }) ≈ k où K est la variable aléatoire représentant la séquence nale de ki bits et ei est l'information totale d'Eve. Admettant généralement que ces algorithmes sont la famille des fonctions de hachage qui sont capable de calculer une empreinte digitale à partir d'une donnée fournie en entrée, servant à amplier davantage 2.2. De la cryptographie classique à la communication quantique 50 la condentialité de la clé nale. 2.2.4 Démystication de la notion du qubit 2.2.4.1 les supports de l'information quantique : qbits [33] Dans cette section nous allons aborder la question triviale qu'on peut formuler vis à vis du moyen de transport de l'information quantique. Donc à l'instar de la communication classique qui utilise le bit supposé la plus petite unité de mesure de l'information et qui obéit à la logique et aux règles de la théorie de l'information. Nous dénissons par extrapolation la notion du qubit qui lui aussi permet de jouer le rôle du vecteur basique de transmission quantique entre deux entités distantes. Bien évidement, ce moyen agit et évolue dans le cadre de la mécanique quantique et jouit d'une formulation mathématique stricte et rigoureuse qui dénisse les structures de bases des bits quantiques. Par abus de langage, on appel qubit (quantum+bit ; prononcer kiou-bite) l'état quantique qui représente l'unité de stockage d'information quantique. Il se compose d'une superposition de deux états de base parfaitement distinguables. Généralement noté par convention |0i et |1i. Un état qubit est constitué d'une superposition quantique linéaire de ces deux états. En eet, une mémoire à qubits est supposée signicativement diérente à une mémoire classique par le fait qu'un bit ne peut prendre que les valeurs 0 et 1, et une seule à la fois. Par contre, un qubit ne suit pas cette restriction car il peut contenir autant d'états possibles qui sont accessibles au système quantique. Il convient de rappeler qu'un qubit n'est pas une particule ni une information mais un support d'information. Donc, un qubit peut être illustré en une particule en superpositions d'états quantiques .En général un fermion de spin 12 tel qu'un électron, un photon ou une propriété quantique telle que la diérence d'énergie entre deux états atomiques, etc. Ce qu'on peut retenir d'après cette introduction, ce que n'importe quel système à deux niveaux (énergie, spin, polarisation ...) qu'on peut distinguer par une mesure, peut être considéré comme un support de codage de l'information quantique. 2.2.4.2 représentation et manipulation du qbit Pour aborder l'approche de la formulation mathématique de la notion du qubit, nous allons étendre la formulation mathématique du bit classique étouée par les principes de la mécanique quantique. Considérons un registre à un bit d'information classique, susceptible de représenter 0 ou 1 (vrai ou faux, existe ou absent, noir ou blanc ...). Dans la formulation classique, ces deux possibilités sont représentées simplement par des nombres entiers 0 ou 1 qu'on code généralement sur une impulsion électrique ou électromagnétique. Par ailleurs, la formulation quantique, nous permet de représenter ces deux états par deux vecteurs orthogonaux dans un espace de Hilbert H de dimension 2. En utilisant la notation de Dirac, les deux vecteurs sont indiqués par |0i et |1i, avec h0|1i=0 et h0|0i = h1|1i=1. Le choix de la norme unitaire est en fait un choix légitime, puisque en mécanique quantique chaque état physique est représenté par un vecteur de norme unitaire dans un espace de Hilbert. D'après cette formulation, autre que |0i et |1i, on considère aussi que chaque état |φi = a|0i + b|1i, avec la condition (a, b) ∈ C2 et |a|2 + |b|2 = 1) est un état possible de ce registre quantique. En eet, ce résultat découle directement du principe fondamental de la mécanique quantique qu'est la superposition. Ainsi, si deux états quelconque |φi et |ψi sont des états possibles d'un système physique, alors chaque combinaison linéaire |χi = α|φi + β|ψi, telle que hχ|χi=1, est aussi un état possible de ce système. 2.2. De la cryptographie classique à la communication quantique 51 Couramment, on peut recourir à la représentation géométrique du qubit qu'est donnée par la Figure 2.15 représentation géométrique du qubit : sphère de Bloch sphère de Bloch (gure.2.15). Dans cette conguration, l'état |φi = a|0i + b|1i représentant un qubit est simulé à un point de la surface de la sphère (sphère de rayon unitaire). Donc la superposition des états |0i et |1i permet de parcourir l'ensemble de la surface extérieure de la sphère de Bloch contenant de la forme suivante : |φi = a|0i + b|1i ≡ θ θ |φi = cos[ ]|0i + eiφ sin[ ]|1i 2 2 (2.23) avec θ ∈ [0, π] et φ ∈ [0, 2π] car la variation de ces deux variables permet à un état quantique d'atteindre toutes les valeurs de la sphère de Bloch. - manipulation des qubits : Nous allons rappeler que nous avons donné une description du qubits comme étant des objets mathématiques avec certaines propriétés à la fois spéciques et étrange que généralement on ne rencontre pas dans le domaine classique. Ainsi, il est vrai qu'on réalise des qubits à la base des systèmes physiques qui nous permet un passage uide entre le point de vue mathématique abstrait et les systèmes réels. Cependant, pour la plupart du temps nous traitons les qubits comme des objets mathématiques conceptuels. La beauté de cette supposition consiste en ce qu'il nous donne la liberté de construire une théorie générale de calcul et d'information quantiques qui ne dépend pas d'un système spécique. Par analogie, les ordinateurs classiques mesurent à chaque instant l'état des bits classiques an d'en tirer les contenus de leurs mémoires. Plutôt remarquablement, nous ne pouvons pas examiner un qubit pour déterminer son état quantique, c'est-à-dire les valeurs de α et de β . Au lieu de cela la mécanique quantique nous dit que nous pouvons acquérir seulement beaucoup plus 2.2. De la cryptographie classique à la communication quantique 52 de renseignements restreints sur l'état quantique. Quand nous mesurons un qubit nous recevons le résultat 0, avec la probabilité α2 , ou le résultat 1, avec la probabilité β 2 . Naturellement, α2 + β 2 = 1 car les probabilités sont normées. Géométriquement parlant, nous pouvons l'interpréter comme la condition que l'état du qubit doit être normalisé à la longueur 1. Ainsi, dans le cas général, l'état de qubit est un vecteur d'unité dans un espace vectoriel complexe de deux dimensions. Cette incision entre l'état inobservable d'un qubit et les observations que nous pouvons faire est au c÷ur de calcul quantique et de la théorie de l'information. Le manque de cette correspondance directe dans la mécanique quantique rend dicile à prédire le comportement de systèmes quantiques. Cependant, il y a une correspondance indirecte, car les états de qubit peuvent être manipulés et transformés des façons qui mènent aux résultats de mesure qui dépendent distinctement des diérentes propriétés de l'état. Ainsi, ces états quantiques sont réellement les conséquences expérimentalement vériables de nos actions sur les systèmes quantiques. Pour illustrer cette étrangeté, il peut être judicieux d'appréhender certaines réalisations possible : comme les deux diérentes polarisations d'un photon ; l'alignement d'un électron dans un champ magnétique uniforme ; deux états d'un électron décrivant une orbite (niveau d'énergie) autour d'un atome simple. Dans le modèle d'atome par exemple, l'électron peut exister dans l'état soi-disant 'stable' ou dans l'état 'excité', que nous appellerons |0i et |1i, respectivement. En envoyant un faisceau lumineux sur l'atome, avec une intensité appropriée et pendant un temps approprié, il est possible de déplacer l'électron de |0i à |1i et vice versa. Toutefois, intéressons nous au cas où en réduisant le temps de brillance, l'électron initialement dans |0i peut être déplacé 'à mi-chemin' entre |0i et |1i. On dit qu'il est en superposions d'état. manipulation par mesure dans une base autre que la base de calcul : Nous avons introduit la notion de la mesure d'une manière intuitive en décrivant les probabilités d'obtenir un '0' ou un '1' à partir du qubit α|0i + β|1i par α2 et β 2 respectivement. En fait, la mécanique quantique permet un peu plus d'adaptabilité et de souplesse dans la classe de mesures qui peuvent être eectuées, bien que certainement nul ne peut accéder à α et β via une seule mesure. Donc, il est préférable de noter que les états |0i et |1i représentent juste un choix parmi plusieurs possibilités de bases disponibles pour la mesure. En eet, un autre choix possible est la base {|+i, |−i} où |+i = √12 (|0i + |1i) et |−i = √12 (|0i − |1i). Donc un état arbitraire |ψi = α|0i + β|1i peut être réécrit dans cette nouvelle base sous la forme : |ψi = α|0i + β|1i (α + β) (α − β) √ |ψi = |+i + √ |−i. 2 2 (2.24) Ainsi, on constate que la mesure suivant la base {|+i, |−i} nous indique qu'on peut obtenir l'état '+' avec la probabilité (α + β)2 et le résultat '-' avec la probabilité (α − β)2 respectivement. Plus généralement et quelque soit la base de mesure {|xi, |yi}. Il est possible d'exprimer un état arbitraire comme une combinaison linéaire de |xi et |yi. En outre, pourvu que les états soient orthonormés, il est possible d'exécuter une mesure en ce qui concerne l'état |ψi = α|xi + β|yi, an d'avoir le système dans l'état |xi avec une probabilité de α2 ou dans l'état |yi avec une probabilité de β 2 . D'une façon analogue et plus imagé, il est alors possible de mesurer un système quantique de plusieurs qubits suivant une base orthonormée arbitraire et inversement on peut toujours mesurer un système quantique dans n'importe qu'elle base à condition qu'elle soit orthonormée. Et ainsi, on est à coup sûr d'obtenir un résultat. 2.2. De la cryptographie classique à la communication quantique 53 manipulation par évolution unitaire (cas des portes logiques quantiques) : Dans notre formulation mathématique, on considère une opération sur un qubit se fait via un opérateur unitaire U agissant dans l'espace de Hilbert H. Cette conclusion nous parvient directement de la mécanique quantique, où l'évolution temporelle d'un système est gouvernée par un opérateur unitaire agissant sur l'état du système. L'unitarité dans notre cas est primordiale an de préserver la norme du vecteur d'état. A titre d'exemple, nous allons introduire l'opérateur qui correspond à l'opération "NOT" sur un qubit. Dans la base de calcule {|0i, |1i}, la matrice correspondante à cet opérateur s'écrit : 0 1 UN OT = . (2.25) 1 0 Donc, il est simple de vérier, qu'appliquer une action similaire au "NOT" classique : 0 UN OT |0i = 1 0 UN OT |1i = 1 cet opérateur sur les deux vecteurs de base, on aura 1 0 1 0 0 1 1 0 1 0 0 1 = = (2.26) la linéarité imposée par la mécanique quantique implique que l'opérateur UN OT , appliqué sur la superposition α|0i + β|1i donne : UN OT (α|0i + β|1i) = α (UN OT |0i) + β (UN OT |1i) = α|1i + β|0i. (2.27) Ainsi, une analyse de ce résultat nous montre que l'opérateur UN OT et par extrapolation l'opération de "NOT" eectuée simultanément sur les deux états qui étaient superposés dans le qubit α|0i + β|1i. Dans cet exemple on distingue clairement la manifestation du parallélisme quantique qui se dière absolument du parallélisme classique. Alors que dans un traitement classique on peut toujours savoir quel est l'état interne du système, une telle connaissance est par principe exclue dans un traitement quantique. 2.2.4.3 introduction d'état quantique à plusieurs qbits Maintenant on se pose la question dans le cas où on veut généraliser cette situation à plusieurs qubits. Généralement, on pourrait s'attendre à ce que ce passage n'aecte que l'espace de représentation. Certes, c'est le cas, mais en fait nous allons voir que la structure à deux qubits est extraordinairement riche. Car elle introduit des corrélations quantiques qu'on ne peut pas trouver dans le monde classique. En plus, on ne peut pas s'en rendre compte par une simple considération de probabilités de mesure. Etant cette corrélation est à la base de la compréhension et la réalisation de plusieurs avancées dans le domaine quantique. Comme nous le verrons dans le prochain chapitre, l'intrication joue un rôle important dans la description et l'analyse d'un grand nombre de concepts ou processus quantiques : non-localité, complémentarité, théorie de la mesure, relaxation et décohérence, frontière classique-quantique. Par conséquent, elle est également considéré l'ingrédient essentiel à la mise en ÷uvre de processus nouveaux de traitement quantique de l'information. Ainsi, comme dans le cas classique, on va essayer d'étendre la formulation à deux bits classiques. 2.2. De la cryptographie classique à la communication quantique 54 Les états possibles sont 00, 01, 10 et 11. Par analogie avec le cas précédant, nous pouvons dénir un espace de Hilbert H cette fois-ci de dimension 4, avec une base orthonormée donnée par les quatre vecteurs |00i, |01i, |10i et |11i. Comme pour le cas d'un qubit, ce registre à deux qubits peut se trouver dans un état qui est une combinaison linéaire arbitraire : |ψi = α|00i + β|01i + γ|10i + δ|11i. (2.28) Avec {α, β, γ, δ} ∈ C4 et que |α|2 + |β|2 + |γ|2 + |δ|2 = 1. On remarque par la suite que cette dénition correspond au produit tensoriel de deux sous-espaces de Hilbert de deux qubits séparés. On peut voir le vecteur |00i comme le produit tensoriel de |0i1 ⊗|0i2 , où |0i1 et |0i2 appartiennent respectivement aux sous-espaces H1 et H2 . En eet, les trois autres vecteurs de base peuvent eux aussi être considérés de même. Toutefois, cette approche demeure uniquement valable pour certains cas très spéciques où les deux qubits sont séparables. De ce fait, on peut dire que l'espace vectoriel H engendré par le produit tensoriel de deux sous-espaces H1 et H2 contient l'ensemble des états séparables qui lui aussi un sous-espace de l'espace des états à deux qubits. Après avoir présenté la méthode de construction, nous allons aborder la réalisation mathématique de la notion de deux qubits. Essayons de voir un état à deux qubits dont le premier évolue dans un espace de Hilbert HA , ayant comme base orthonormée {|0iA , |1iA }, et le second qubit dans un espace de Hilbert HB , ayant comme base orthonormée {|0iB , |1iB }. Il est commode de représenter un état physique où le premier qubit est dans l'état |0iA et le second est dans l'état |0iB par un seul vecteur que l'on écrit sous la forme |X00 i = |0iA × |0iB ; en prenant en compte les autres valeurs possibles de qubit on aura a priori quatre possibilités : |X00 i = |0iA × |0iB |X01 i = |0iA × |1iB |X10 i = |1iA × |0iB |X11 i = |1iA × |1iB . (2.29) Donc soit l'état |φiA ∈ HA et de même pour |φiB ∈ HB , avec : |φiA = αA |0iA + βA |1iA |φiB = αB |0iB + βB |1iB . (2.30) On dénie aussi l'état |φiAB ∈ HAB par : |φiAB = |φiA × |φiB = αA αB |X00 i + αA βB |X01 i + βA αB |X10 i + βA βB |X11 i. (2.31) Néanmoins, malgré cette formulation mathématique rigoureuse on a pas encore abouti à dénir la forme la plus générale d'un vecteur d'état de deux qubits. En eet, si |ψiAB ∈ HAB , alors l'état le plus générale de HAB est de la forme suivante : |φiAB = αAB |X00 i + βAB |X01 i + γAB |X10 i + δAB |X11 i (2.32) et pour que |ψiAB soit de la forme |ψiA × |ψiB , une condition nécessaire et susante c'est que : αAB δAB = βAB γAB . (2.33) Et on dit que |ψiAB est séparable. De ce qui précède, on constate bien que cette condition n'est pas triviale d'être vériée incessamment. Alors que le contraire est à priori valide αAB δAB 6= βAB γAB . Pour illustrer ce principe on considère l'état suivant : |φiAB = αAB |X00 i ± δAB |X11 i. (2.34) 2.3. Protocoles de cryptographie quantique 55 Qui est bel et bien un état de HAB mais qu'on peut pas l'exprimer sous la forme de |ψiA × |ψiB . On dit que ces états sont des états intriqués.Il est évident que ces vecteurs ne peuvent pas être exprimés comme un produit tensoriel. Pourtant, le principe de superposition en mécanique quantique nous impose que ces états eux aussi font partie de cet espace. En outre, l'existence de tels états constitue la vraie singularité de la mécanique quantique. Puisque ils n'ont aucune analogie avec des états classiques de la matière. Nous verrons cela plus en détail quand nous abordons le sujet de l'intrication et de la décohérence. Il n'est donc pas surprenant, que c'est la possibilité de réaliser de tels états qui produit les avantages du traitement quantique de l'information par rapport au paradigme classique. 2.3 Protocoles de cryptographie quantique Le protocole BB84 [34] proposé par Gilles Bennett et Charles Brassard a été le premier protocole de cryptographie quantique totalement conçu à la base des propriétés quantiques des photons polarisés. Il est indispensable de connaître et de comprendre son principe qui va être considéré comme une introduction aux techniques de distribution quantique des clés. Pratiquement, ce protocole utilise 4 qubits formant deux bases incompatibles d'un espace de Hilbert de dimension 2 pour coder l'information : |0i+ = |0i 1 |0i× = √ (|0i + |1i) 2 , , |1i+ = |1i 1 |1i× = √ (|0i − |1i). 2 (2.35) Avec B+ = {|0i+ , |1i+ } est la base de calcule et B× = {|0i× , |1i× } est la base de Hadamard. Dans cette conguration, on peut vérier aisément l'orthogonalité de la base B× (h1|0i× = 0) et l'incompatibilité des deux bases (B+ , B× ) (|h+|0i|2 = |h+|1i|2 = |h−|0i|2 = |h−|1i|2 = 12 ). En eet, cette disposition nous permet d'écrire la matrice densité de l'état envoyé par Alice sous la forme : ρ = = 1 (|0ih0| + |1ih1|) 2 1 (|+ih+| + |−ih−|) . 2 (2.36) Où on constate que chaque état est susceptible d'être envoyé avec la même probabilité et qu'aucune information n'est accessible sur la préparation d'Alice. Donc pour transmettre la séquence à Bob, Alice procède comme suit : 1. Alice génère aléatoirement deux séquences ai∈{0,...n} et xi∈{0,...n} . La première séquence sera utilisée pour déterminer la base d'encodage ((B+ , B× )) et l'autre pour le choix du bit classique. Ainsi nous avons : ai = 0 et xi = 0 → |0i ai = 0 et xi = 1 → |1i ai = 1 et xi = 0 → |+i ai = 1 et xi = 1 → |−i on écrit généralement H ai |xi i où H est la transformation Hadamard. (2.37) Une fois les états sont préparés dans leurs bases correspondantes. Alice envoies sa préparation à Bob. 2.3. Protocoles de cryptographie quantique 56 2. Alors que Bob est dépourvue de l'information sur la préparation envoyée par Alice, il prépare lui aussi une chaine classique bi∈{0,...n} pour mesurer aléatoirement les états reçus. De ce fait, on a : bi = 0 → B+ bi = 1 → B× . (2.38) 3. Lorsque les choix d'Alice et de Bob ne sont pas compatibles (ai 6= bi ) le résultat de la projection est totalement aléatoire et ne fournit aucune information sur la valeur du bit transmis xi . Dans ce cas, on l'élimine de la séquence de génération de clé. Dans le cas contraire (ai = bi ), le bit xi est parfaitement transmis et mesuré. Par la suite sa valeur peut être considérée dans la phase de génération de clé. Une fois les "n" bits sont reçus, Alice annonce publiquement les "n" bases de codages utilisées. Certes cette annonce ne fournit aucune information sur la valeur des bits transmis, mais par contre permet à Bob d'éliminer certaines mesures incompatibles (ai 6= bi ). Statistiquement parlant, 50% des bits transmis par Alice sont ainsi écartés. Mais idéalement, les mesures de Bob sont capable de décider sans ambigüité sur le reste des 50% des bits restants. 4. L'analyse de la transmission repose principalement sur le principe de non clonage, qui interdit à Eve de dupliquer avec certitude les états qu'elle intercepte. Pour ce faire, Alice et Bob dévoilent publiquement un échantillon représentatif de leurs séquences respectives pour estimer le taux d'erreur. Ainsi, on considère que la transmission a échouée ou espionnée si ce taux d'erreur est trop élevé. Par conséquent, les deux interlocuteurs peuvent choisir d'abandonner la communication à ce stade. En eet, un taux d'erreur trop élevé peut être le signe révélateur d'une présence malveillante sur le canal quantique. Par contre, si ce test est réussi alors Alice et Bob vont conserver la partie restante de leurs chaines respectives. 5. à la base du taux d'erreur évalué précédemment, Alice envoie à Bob l'information lui permettant de corriger les erreurs constatées lors de la réconciliation. A la n de cette phase, Alice et Bob sont alors en possession d'une chaîne de bits parfaitement identique. 2.3.1 Preuve de sécurité du protocole BB84 : Une analyse à la halte permet de concevoir la notion de la sécurité inconditionnelle qu'ore ce genre de protocole. En eet, supposons qu'un espion décide de mesurer certains des qubits envoyés par Alice. Dans ce cas, Bob peut recourir au canal classique authentié pour alerter Alice qu'il n'a rien reçu. Les bits envoyés alors seront facilement identiables par Alice qui va les éliminer avant de poursuivre normalement le protocole. La seule conséquence possible de cette attaque est un possible déni de service ou une saturation du canal quantique. Dans ce cas, l'espion décide d'intercepter tous les qubits ou d'envoyer continuellement des qubits aléatoires sur le canal qui devient inutilisable. An de camouer son action malveillante en interceptant des qubits, un espion pourrait alors essayer de cloner les qubits au cours de la transmission entre Alice et Bob. Toutefois, comme nous l'avons déjà mentionné auparavant, il est impossible de cloner parfaitement un état quantique inconnu. Par conséquent, la man÷uvre de l'espion sera forcément imputable à sa discrétion et facilement décelable par des écarts dans les mesures de Bob. De ce fait, les correspondent légitimes pourraient alors se rendre compte de la tentative d'espionnage au cours de la phase d'estimation des erreurs et décider d'interrompre la communication. Quoique cette preuve tient debout pour prouver sommairement la sécurité des protocoles de distribution quantique de clé. Toutefois, une démonstration rigoureuse et bien cohérente de la sécurité inconditionnelle qu'ils orent demeure l'handicape majeur des ces méthodes. En eet, 2.3. Protocoles de cryptographie quantique 57 bien que la première procédure de distribution quantique de clé a vue le jour en 1984. Néanmoins, sa preuve de sécurité n'a eu lieu qu'après une décennie et suite à plusieurs tentatives de démonstration contre certains types d'attaques. Ce n'est qu'en 2000 que Shor [6] a établit la preuve de la sécurité inconditionnelle des clés produites par le BB84. Dans cette optique, on va reprendre la technique de démonstration adoptée lors de la démarche du raisonnement d'équivalence entre le modèle intriqué et le modèle prépare et mesure dans la communication quantique an de reproduire la preuve de sécurité inconditionnelle escomptée. 2.3.1.1 Èquivalence entre modèle intriqué et modèle prépare et mesure Le protocole présenté précédemment s'inscrit dans le modèle dit "Prepare and Measure" (P &M ) où Alice prépare un état quantique à partir de ses choix de bits et le transmet à Bob qui le mesure dans une base choisie aléatoirement. Parmi les grandes avantages de cette méthode, c'est qu'elle permet d'implémenter ces protocoles quantiques avec la technologie disponible actuellement (bre optique, source de photon, détecteur ...). Encore plus, elle n'exige pas de matériels complexes tels qu'une source de photons intriqués ou le recours aux mémoires quantiques. Toutefois, il est possible de réaliser des protocoles de distribution quantique de clés en utilisant des paires intriquées. Ces protocoles appelés "Entanglement Based" (EB) ont été introduits pour la première fois par Ekert [35] et Bennett [36]. Ainsi, lors de ces méthodes, au lieu de préparer un état quantique à une particule. Alice cette fois-ci est appelée à produire un état bipartite intriqué et transmet ensuite une partie à Bob et garde l'autre particule dans une mémoire quantique. Une fois c'est fait, Alice procède à une mesure aléatoire de sa particule, suite à quoi l'état de Bob sera projeté sur l'état correspondant à ce qu'Alice a mesuré. Pour mieux illustrer ce protocole, on considère qu'Alice prépare un état de Bell qu'on va supposer dans la forme suivante : 1 |φiAB = √ (|0iA ⊗ |0iB + |1iA ⊗ |1iB ) 2 (2.39) Ainsi, on estime que les indices A et B représentent les parties retenues par Alice et Bob respectivement. Donc après la transmission et avant la mesure, on identie la partie envoyée à Bob via le canal quantique comme suit : ρB = T rA (|φihφ|AB ) 1 = (|0iB h0| + |1iB h1|) 2 1 = 12B . 2 (2.40) Où T rA est la trace partielle sur A de l'opérateur densité du système globale. Par ailleurs, on constate que chacun des deux correspondants est en possession d'une moitié de la paire intriquée. En plus, ils peuvent mesurer leur état quantique dans une base choisie aléatoirement sans aucune restriction imposée. Pratiquement parlant, on constate que les mesures seront parfaitement corrélées si et seulement si Alice et Bob choisissent la même et seront statistiquement aléatoire dans le cas contraire. Dès lors, le reste du processus de communication demeure identique à celui des protocoles P &M en passant par l'ensemble des étapes de réconciliation, estimation des erreurs, amplication de la condentialité et l'extraction de la clé secrète. Certes, les protocoles EB sont 2.3. Protocoles de cryptographie quantique 58 d'un intérêt primordiale dans la théorie de l'information et surtout lors de la preuve de la sécurité inconditionnelle. Et cela du fait de leurs propriétés intrinsèques, néanmoins leurs implémentations restent l'un des dés majeures de la technologie actuelle. Pourtant, cela n'empêche d'en proter pour démonter la sécurité du protocole BB84. Ètant donné qu'il est plus habile d'étudier la sécurité des protocoles de distribution quantique de clés lorsqu'ils sont sous la forme EB . Il est intéressant de rappeler aussi que la transformation en sens inverse est théoriquement envisageable (de la forme EB à la forme P M ). 2.3.1.2 Preuve de sécurité inconditionnelle : Protocole EB : pour ce qui est de ce protocole, nous avons : Alice et Bob s'entendent au préalable sur le code correcteur C = CSS(C1 , C2 ), un [n, k]code qui corrige t bit-ip et t phase-ip. Soit ε > 0 un paramètre de sécurité, ⊗(2+ε)n Alice prépare |β00 i ≡ √12 (|00i + |11i) , avec h ∈R {0, 1}2n et pose |ΨiAB = (1A ⊗ ⊗h HB )|β00 i, choisit ensuite I ⊆R {1, . . . , (2 + ε)n} avec Pr (i ∈ I) = 12 , Alice transmet la moitié des demi-paires EP R à Bob, Bob reçoit les (2 + ε)n états et annonce un acquittement, l'état reçu est ρ0 , Alice ensuite déclare publiquement les h et I , Bob calcule ρ00 = H ⊗h ρ0 H ⊗h . Alice et Bob mesurent chaque qubits i ∈ I avec l'observable Z et échangent les résultats. Suite à quoi, Alice et Bob estiment tx , le nombre d'erreurs lorsque hi = 0 et tz , le ((2+ε)n−#I)tx nombre d'erreurs lorsque hi = 1. Ainsi, ils abandonnent si t ≤ (1−ε)·#{i∈I|h et/ou i =0} ((2+ε)n−#I)tz t ≤ (1−ε)·#{i∈I|h . i =1} Alice et Bob procèdent à une distillation de paires EPR avec le code C sur les n premières paires qui n'ont pas été échantillonnées, Alice et Bob mesurent chacun de leur côté le k qubits avec l'observable Z . Ainsi, soient K la clé d'Alice et K 0 la clé de Bob. Avant d'entamer la démonstration de la sécurité du protocole proposé, il est judicieux de rappeler ce que nous entendons par protocoles sûrs de distribution de clé. En premier lieu, nous désignons par Πn un protocole de distribution de clé avec paramètre de sécurité n. En eet, ce paramètre de sécurité permet à Alice et Bob de déterminer le niveau de sécurité de la clé générée. Par conséquent, nous voulons qu'un protocole de distribution de clé ne donne pas plus qu'une quantité négligeable d'information à l'adversaire sur la clé générée par Alice et Bob lorsqu'ils n'abandonnent pas l'exécution. Pour ce faire, on suppose que cet événement est conditionné par la réalisation de l'événement OK. Dénition 2.1 Un protocole pour la distribution de clé avec paramètre de sécurité n est α-sûr, pour α > 0, si I(K; E|OK) ≤ 2−αn , où K est la variable aléatoire pour la clé générée par Alice, E est l'information sur K accessible à l'adversaire Eve par une mesure sur son état quantique. En eet, cette dénition 2.1 borne la quantité d'information espionnée sur la clé de la même façon que le théorème d'Holevo. Ainsi, la dénition arme donc qu'un protocole d'échange de clé est sûr si toute mesure sur l'état classique-quantique de l'adversaire ne donne qu'une quantité négligeable d'information sur la clé produite. En enchainant sur la démonstration et en s'appuyant sur le lemme suivant : 2.3. Protocoles de cryptographie quantique 59 Lemme 2.1 La distillation de clés dans le protocole présenté ci-dessus réussira à récupérer 2 paires EPR parfaites sauf avec probabilité négligeable 1 − (1 − ε 2− 4 n )2 k . Notons que le lemme 2.1 permet de se prononcer sur la délité entre l'état partagé par Alice et Bob et k paires EPR. Donc, en supposant que σAB est l'état partagé par Alice et Bob après la ε2 distillation et avant les mesures, alors nous avons que F 2 (σAB , |β00 ihβ00 |⊗k ) ≥ 1−(1−2− 4 n )2 ≥ ε2 ε2 1 − 2− 4 n+2 puisque hβ00 |⊗k σAB |β00 i⊗k ≥ 1 − 2− 4 n+2 . Ainsi, nous aurons : Lemme 2.2 Si F 2 (ρ, |β00 ihβ00 |⊗k ) ≥ 1 − 2−s , s > 0, alors : S(ρ) ≤ 2−s (s + 2k + 1 ) + O(2−2s ). ln 2 en eet la conclusion du lemme.2.2 découle directement du fait que si on a F 2 (ρ, |β00 ihβ00 |⊗k ) =⊗k hβ00 |β00 ⊗k > 1 − 2−s , alors ρ aura obligatoirement une valeur propre au moins aussi grande que 1 − 2−s (démonstration par l'absurde). Ainsi, soit S(ρ)max la valeure maximale de l'entropie de von neumann atteignable. Donc, d'après ce qui précède, S(ρ)max aura la forme suivante : 1 − 2−s 0 0 ... 0 2−s 0 0 ... 0 22k −1 −s 2 . . . 0 0 0 2k ρ= 2 −1 .. .. .. . . . 2−s 0 ... 22k −1 −s 2 ). Le résultat nale est une conséquence ainsi, S(ρ)max = −(1 − 2−s ) log (1 − 2−s ) − 2−s log ( 22n −1 directe des propriétés de l'entropie, l'additivitée et l'approximation en série de Taylor. À ce stade, nous avons tout les éléments nécessaires pour armer que : Théoréme 2.1 (Sécurité de EB ) Le protocole sûr pour α > 0. EB est un protocole de distribution de clé α- pour le prouver, on suppose que K est la variable aléatoire sur l'éspace des clés d'Alice aprés la mesure, et soit E la variable aléatoire désignant la quantité d'information espionnée suite à une mesure d'Eve sur létat envoyée. En eet, on essaie de démontrer que si Alice et Bon n'abandonnent pas la communication dans le cas de EB alors I(K; E|OK) ≤ 2−αn , α>0 . Aini, pour ce faire, le lemme 2.1 nous arme que les paires distillées σAB sont parfaites sauf avec une probabilité négligeable. Autrement dit : ε2 F (σAB , |β00 ihβ00 ⊗k ) ≥ 1 − 2− 4 n+2 . (2.41) en plus, le lemme 2.2 établi que : ε2 S(σAB )max ≤ 2− 4 n+2 ( ε2 n 1 + 2 + 2k + ) . 4 ln 2 (2.42) ainsi, combinant Eq.2.41, Eq.2.42 et le théorème d'Holevo, nous concluons que : I(K; E) ≤ S(σAB ) ≤ 2−αn , α > 0 . (2.43) 2.3. Protocoles de cryptographie quantique 60 Donc, après avoir établit la démonstration sur la sécurité du protocole EB susmentionné, nous attaquons le modèle du passage du protocole EB au protocole BB84. Par conséquent, on considère cette fois-ci que Alice peut dès le départ préparer ses qubits dans la base de calcul B+ = {|0i, |1i} ou la base Hadamard B× = {|+i, |−i} au lieu d'appliquer des transformations d'Hadamard aux positions i ou hi = 1. Ainsi, elle xe préalablement les valeurs de h. Alors, elle prépare son qubit aléatoirement dans B+ si h1 = 0 et dans B× si hi = 1. Encore plus, Bob peut procéder à une mesure aléatoire sans attendre l'annonce des bases de préparation d'Alice. On constate alors, si Alice transmettait deux fois plus de qubits aléatoires (i.e.(4 + ε)n au lieu de (2 + ε)n). Alors en mesurant les qubits reçus, Bob en principe sera capable au moins d'avoir (2 + ε0 )n dans la même base que celle d'Alice pour ε0 > 0. La situation est maintenant identique à celle dans le protocole EB si Alice et Bob avaient utilisés le paramètre de sécurité ε0 . Ainsi, cette équivalence de modèle implique essentiellement et par transitivité la sécurité du protocole BB84. taux d'erreur tolérable en pratique : Parmi les grands avantages du BB84 c'est qu'il est facile à mettre en ÷uvre car il n'exige que la préparation des qubits individuels et la mesure dans les bases {B+ B× }. Par contre, ce protocole est en mesure d'assurer la sécurité inconditionnelle de la clé sur un canal quantique avec un taux d'erreur n'excédant pas le seuil de 5.5%, correspondant bien évidemment au taux d'erreur tolérable pour les codes correcteurs avec un taux de transmission non nul. Alors, étant donné que la démonstration du preuve de sécurité repose principalement sur la correction d'erreur et la possibilité de distillation des paires parfaitement intriquées. Alors, on sera condamné à respecter cette limitation, quoiqu'on peut tolérer le double de ce taux d'erreur en permutant les positions avant la correction d'erreur. En eet, la force de cette extension est due à une propriété des codes correcteurs aléatoires qui peuvent corriger un taux d'erreur environ deux fois plus élévé que le taux d'erreurs qu'ils corrigent avec certitude. Avec cette considération, nous pouvons donc accepter un canal quantique avec un taux d'erreur d'environ 11%. 3 Démystication de l'univers quantique Parmi les diérences agrantes entre l'approche classique et l'approche quantique on trouve le principe du non-clonage. En eet, si dans le monde classique on est en mesure de reproduire exactement l'état classique d'un système en autant d'exemplaires qu'on le souhaite. Toutefois, le théorème de non-clonage nous interdit d'extrapoler cette dénition dans le domaine quantique sans restriction. À cette incapacité d'un clonage parfait d'un état quantique inconnu, se complique davantage la situation vu d'autres diérences portant sur la nature de l'information que l'on souhaite extraire ou manipuler. À cet eet, et si on ne considère que l'accès à un système classique n'obéisse à aucune restriction, étant donné qu'on y peut parvenir et même mesurer l'ensemble des grandeurs physiques qu'elles le caractérise. Une telle intervention nous est en eet impossible comme préconise les relations d'incertitude de Heisenberg qui limitent notre champ de précision. Ainsi, dans le cadre de ce postulat, et si on considère l'exemple d'une particule pour laquelle on mesure la position et l'implusion. Alors, toute précision supplémentaire recherchée sur son impulsion se fait au détriment de sa position et inversement une précision sur la position aecte négativement la détermination de l'impulsion. Par ailleurs, dans le reste de ce chapitre, nous allons montrer quelques faiblesses dont soure la théorie quantique, illustrées bien évidement dans le phénomène de la décohérence. Cette théorie qui est susceptible d'expliquer la transition entre les règles physiques quantiques et les règles physiques classiques telles que nous les connaissons, à un niveau macroscopique. Plus spéciquement, cette approche apporte une réponse, considérée la plus complète à ce jour, au paradoxe du chat de Schrödinger et au problème de la mesure quantique. Le problème majeur est que la mécanique quantique admet la représentation d'un système physique par ces états superposés. Ces états sont non seulement inaccessibles à l'appareil de mesure, mais également n'ont aucune représentation à un niveau macroscopique décrit par la physique classique. Supposons par exemple l'expérience du chat de Schrödinger décrivant ce phénomène étrange où on peut considérer simultanément un chat "vivant" et "mort". Certes, inconcevable dans le monde classique, néanmoins ce paradoxe trouve une explication convaincante dans le domaine quantique. Par extrapolation de cette expérience de pensée, l'état superposé d'une particule (désintégrée/non désintégrée) doit se propager en respectant scrupuleusement ces règles quantiques. Elle est similaire à l'état d'un chat qui devrait également être dans un état superposé mort et vivant. Or, un tel état n'est jamais observé à l'échelle macroscopique. Donc, la théorie quantique tient compte de cette non-observabilité des états superposés. En plus, elle apporte la preuve de l'eondrement de la fonction d'onde suite à un acte d'observation. Autrement, l'observabilité du système implique obligatoirement le choix instantané d'un seul état parmi l'ensemble des états superposés possibles. Cette démonstration élégante, est en parfaite harmonie avec le postulat de la "Réduction du paquet d'onde" et le "Problème de la mesure quantique". 3.1. Exploration de la puissance du domaine quantique 62 3.1 Exploration de la puissance du domaine quantique 3.1.1 Le non clonage et l'indéterminisme de la mesure 3.1.1.1 théorème de non clonage Il s'agit d'un principe très fondamental dans la mécanique quantique et qui a été démontré en 1982 par W.K.Wootters et W.H. Zurek [37]. En eet, on arme qu'il est impossible de créer une parfaite copie d'un état quantique inconnu. Par conséquent, si le clonage était envisageable, plusieurs autres principes vont être naturellement violés. Théoréme 3.1 (théorème de non clonage) Soient les états |φi, |ψi et |χi ∈ H1 , H2 et H3 , où |φi est l'état à cloner, |ψi est l'état clonant et |χi est un état ancillaire. Alors, il n'existe aucune transformation unitaire permettant de cloner parfaitement |φi en |ψi. Autrement dit : @ U : H1 ⊗ H2 ⊗ H3 → H1 ⊗ H2 ⊗ H3 tel que : U (|φi|ψi|χi) = |φi|φi|χiφ (3.1) La démontration du théorème se fait par l'absurde en supposant l'existence d'une telle transformation unitaire capable de cloner des états quantiques quelconques. Démonstration : On considère un système composé d'un qubit arbitraire |φi à dupliquer, un second qubit qui va recevoir la copie et une machine copieuse. Ainsi, la formulation mathématique de l'état représentant cette hypothèse est la suivante : (3.2) |φi ⊗ |V i ⊗ |Ri avec et |φi = α|0i + β|1i |α|2 + |β|2 = 1 |V i ∈ H2 cet état joue le rôle de la page vierge |Ri ∈ H2 cet état joue le rôle de la référence (3.3) d'après l'hypothèse de départ, cette machine serait capable d'eectuer une transformation unitaire U de sorte à reproduire l'état inconnu |φi dans l'état |V i. Cela veut dire que : (3.4) U (|φi ⊗ |V i ⊗ |Ri) = |φi ⊗ |φi ⊗ |R(|φi)i donc si on s'intéresse à l'état de sortie on aura : U (|φi ⊗ |V i ⊗ |Ri) = |φi ⊗ |φi ⊗ |R(|φi)i = (α|0i + β|1i) ⊗ (α|0i + β|1i) ⊗ |R(|φi)i 2 (3.5) 2 = (α |00i + αβ|01i + αβ|10i + β |11i) ⊗ |R(|φi)i d'autre part, nous avons : U (|0i ⊗ |V i ⊗ |Ri) = |0i ⊗ |0i ⊗ |R(|0i)i U (|1i ⊗ |V i ⊗ |Ri) = |1i ⊗ |1i ⊗ |R(|1i)i en vertu de la linéarité ⇓ U (|φi ⊗ |V i ⊗ |Ri) = α|00i ⊗ |R(|0i)i + β|11i ⊗ |R(|1i)i (3.6) 3.1. Exploration de la puissance du domaine quantique 63 qui est clairement diérent de (Eq.3.5). Par conséquent, on déduit facilement que l'hypothèse de départ est fausse. Il est à noter également qu'un état connu peut être cloné sans aucun problème. En eet, si on connait l'état initial du qubit alors il est considéré, dans ce cas, comme un bit classique. Donc, on peut eectuer avec certitude une mesure et exploiter cette information pour en faire autant de copie qu'on souhaite. 3.1.1.2 le principe d'incertitude de Heisenberg Le principe d'incertitude d'Heisenberg arme qu'il est impossible d'obtenir simultanément et avec autant d'exactitude une information sur deux grandeurs physiques conjuguées dont les observables ne commutent pas. Ainsi, il serait, par exemple, possible de mesurer avec une grande précision la position d'une particule à l'échelle microscopique, mais cela va être au détriment de la précision obtenue sur la quantité de mouvement de cette particule et inversement. Mathématiquement parlant, si on désigne par ∆x et ∆p les incertitudes sur la position et la quantité de mouvement d'une particule, la relation d'incertitude est habituellement exprimée de la façon suivante : ∆x · ∆p ≥ ~ 2 avec ~ est la constante de Planck réduite. (3.7) Plus généralement, l'incertitude sur deux observables A et B qui ne commutent pas sur un état quantique quelconque |φi ∈ H est donnée par : ∆A · ∆B ≥ hφ| [A, B] |φi 2 avec [A, B] est le commutateur de A et B . (3.8) pour quantier cette incertitude, nous introduisons la notion de la variance dénie par ∆X = p hX 2 i − hXi2 et on va rappeler que : hφ| [A, B] |φi2 = 4I (hφ|AB|φi)2 hφ| {A, B} |φi 2 = 4R (hφ|A, B|φi) avec I(x) est la partie imaginaire de x 2 avec R(x) est la partie réelle de x (3.9) donc en ajoutant les deux équations dans Eq.3.9 membre par membre, nous trouvons : hφ| [A, B] |φi2 + hφ| {A, B} |φi2 = 4| (hφ|A, B|φi) |2 (3.10) Or d'après l'inégalité de Cauchy-Schwartz on a : | (hφ|A, B|φi) |2 ≤ | (hφ|A|φi) |2 · | (hφ|B|φi) |2 (3.11) En remarquons d'après ces deux derniers résultats qu'on a : hφ| [A, B] |φi2 ≤ 4| (hφ|A|φi) |2 · | (hφ|B|φi) |2 donc, en remplaçant A = A0 − hA0 i et B = B 0 − hB 0 i et en constatant également que : 2 | (hφ|X |φi) |2 = (hφ|X 0 − hX 0 i2 |φi) avec X ∈ {A, B}. (3.12) (3.13) Pour deux observables quelconques on trouve l'inégalité suivante : ∆A · ∆B ≥ hφ| [A, B] |φi . 2 (3.14) 3.1. Exploration de la puissance du domaine quantique 64 On peut alors déduire de ce principe que lors de l'échange de l'information dans un protocole de communication quantique, ce principe nous garantie qu'un observateur malveillant ne peut pas mesurer sans introduire une erreur sur l'état envoyé. Donc, à partir de cette observation on s'aperçoit la nécessité d'encoder l'information sur des observables qui ne commutent pas. En eet, cette condition va nous permettre par la suite de proter de ce principe qui permet la détection d'intervention illicite sur le canal. A titre d'indication, on rappelle que dans le cas du protocole BB84, on utilise les bases {B0 = {0, π2 }; B1 = { π4 , 3π 4 }}. En eet, les observables associées aux mesures dans chacune des bases B0 ou B1 ne commutent pas. Par conséquent, cela assure qu'un espion va commettre nécessairement des erreurs en essayant de compromettre les communications. Par ailleurs, une telle erreur sera quantiable et imputable à la probabilité de sa discrétion. Ce qui fait, lors de l'établissement de la communication, les correspondants légitimes peuvent alors décider d'abandonner la procédure en cas de taux d'erreur excessif. 3.1.2 L'importance de la mesure en mécanique quantique 3.1.2.1 L'indéterminisme de la mesure La mesure est l'ingrédient qui est à la fois essentielle et déterminant pour aborder l'implémentation du modèle quantique dans des réalisations pratiques. C'est grâce à la mesure que nous pourrons accéder partiellement à l'information quantique. Donc pour mieux décrire cette problématique, on va se poser la question suivante : Soit un système quantique décrit par l'état P |φi = i αi |φii où les |φii sont l'ensemble des états quantiques possibles. À un instant donné, on tente de savoir l'état de système via un appareil de mesure supposé capable d'accéder simultanément à l'ensemble des possibilités. Dans ce cas, on risque d'être en contradiction avec les principes et les postulats de la mécanique quantique. Pour s'en convaincre, il sut de constater qu'une telle mesure nous permettrait de cloner le système quantique et de reproduire tant de copie qu'on désire. Ainsi, par mesure d'un système quantique, nous entendons l'action d'une évolution non unitaire et irréversible. La notion de la mesure Pour décrire le processus de mesure tel qu'il est dénie par von Neumann [38, 39], on considère un appareil de mesure M et le système quantique subissant la mesure S . Ainsi, l'opération de mesure est régie par une corrélation macroscopique entre les deux systèmes. Cette observation nous permet de décrire le système global avec des bases qui dépendent à la fois de l'appareil choisi et du système à observer. Autrement, la réduction du paquet d'onde du S se fera conjointement entre la base de S et la base de M. Et inversement pour le système M, son nouvel état après l'action de mesure sera elle aussi étroitement liée à la base de mesure. Mathématiquement parlant, on considère une mesure comme étant un ensemble M = {Mm }, où m est un événement susceptible de se réaliser. L'action de mesure nous permet d'obtenir m avec une probabilité † p(m) = hψ| Mm Mm |ψi . Par conséquent, un état quelconque |ψi devient : Mm |ψi |ψi −→ q . † hψ| Mm Mm |ψi P P P † De plus m M †m Mm = 12 ce qui impose m p(m) = m hψ| Mm Mm |ψi = 1 où Mi = |iihi| est la base calculatoire. 3.1. Exploration de la puissance du domaine quantique 65 3.1.2.2 Mesure Projective et base privilégiée La notion de la base privilégiée a été soulevée la première fois par Zurek en 1981 [40, 41] qui a mis le point de nuance entre ce problème et celui de l'unicité du résultat. Son raisonnement s'orientait du sorte qu'il faut déterminer quels sont les résultats possibles avant de s'interroger sur l'unicité du résultat. Par ailleurs, on constate que la notion de la base privilégiée et le résultat de la mesure sont étroitement liées à la décomposition de Schmidt qui fournit une partie de la réponse à propos de cette problématique. 3.1.2.3 trace partielle et Décomposition de Schmidt 1. Si ρAB est un état bi-parti, alors l'opérateur de densité représentant l'état de la partie A est décrit par ρA = trB ρAB où trB (|a1 iha2 | ⊗ |b1 ihb2 |) , |a1 iha2 | tr(|b1 ihb2 |) . ou encore XA trB ρAB , ( ⊗hi|)ρAB (A ⊗|ii) i où les |ii forment une base de l'espace de la partie B . 2. Théoréme 3.2 (Décomposition de Schmidt) Si |ψi est un état pur bi-parti, AB , alors ∃ 2 ensembles orthonormaux sur A et B , |iA i et |iB i, tels que |ψi = X λi |iA i|iB i i où λi ∈+ et Les λi sont appelés coecients de Schmidt. 3. Corollaire 3.2.1 Soit |ψi un état pur sur le système AB , alors 2 i λi P = 1. ρA = X λ2i |iA ihiA | et i B ρ = X λ2i |iB ihiB | . i 4. Le nombre de valeurs propres diérentes dans la décomposition de Schmidt est appelé le nombre de Schmidt. 5. Le nombre de Schmidt est préservé par des opérations locales sur le système A ou sur le système B . P 6. Si ρ, un état sur l'espace Q, a pour décomposition spectrale ρ = i λi iQ iQ , alors l'état bi-partie, oùPR √ est le même espace que Q et où |iR i est une base orthonormale de l'espace R, |QRi = i λi |iQ i|iR i est appelé purication de ρ et trR (|QRihQR|) = ρ. 7. Si |ψi est un état composé sur le système AB alors son nombre de Schmidt est égal à 1 si et seulement s'il est un produit tensoriel de ρA et de ρB où ρA et ρB sont purs. 8. Si |ψi et |ϕi sont 2 états purs composites AB avec des coecients de Schmidts identiques, alors ∃ U et V , des transformations unitaires, telles que |ψi = (U ⊗ V )|ϕi. 3.1. Exploration de la puissance du domaine quantique 66 Ce théorème prouve alors seulement l'existence d'une décomposition bi-orthogonale pour tout état pur biparti interprété comme étant le résultat d'une pseudo-mesure. Par conséquent, la condition d'unicité de cette décomposition est assurée par le fait que l'ensemble des λi (coecients de Schmidt) sont distincts. Ainsi, nous avons discuté l'origine du problème lié à l'unicité du résultat de la mesure et de son relation avec la décomposition de Schmidt. Nous allons maintenant illustrer la notion du modèle de base privilégiée. Supposons qu'on dispose d'un système quantique S , représenté par un dispositif expérimental décrit par la superposition de deux états quantique possibles |φi0 et |φi1 et un appareil de mesure M dont le cadran admet deux positions "0" et "1". Ainsi, si l'acheur nous indique la position "0" alors on conclut que le système S est dans l'état |φi0 et inversement s'il indique "1" alors on sait que S est dans l'état |φi1 . Supposons maintenant que l'appareil de mesure est initialement dans l'état |0i. De ce fait,la transformation permettant de corréler le système S avec M peut se mettre sous la forme suivante : US,M = |φ0 , 0ihφ0 , 0| + |φ1 , 1ihφ1 , 1| + |φ0 , 0ihφ1 , 1| + +|φ1 , 0ihφ0 , 1|. Les vecteurs/valeurs propres de cette transformation sont : 0+1 0−1 |φ0 , 0i/1; |φ1 , 1i/1; φ0 , √ /1; φ1 , √ /1. 2 2 (3.15) (3.16) Cette constatation nous indique alors que cet appareil peut mesurer les quatre possibilités : |0i, √ i, | 0−1 √ i. D'où l'ambiguïté de cette prédiction avec ce qui a été mesuré. |1i, | 0+1 2 2 Toutefois, nous savons que ce qui a réellement été mesuré est l'observable |φ0 , 0ihφ0 , 0| + |φ1 , 1ihφ1 , 1| puisque jamais nous n'observons un cadran en superposition d'un état |0i et d'un état |1i à la fois. Ainsi, cette ambiguïté de la décomposition orthogonale empêche donc d'interpréter la pseudo-mesure comme une mesure. Autrement dit, le mécanisme de von Neumann ne permet pas de privilégier une base par rapport à une autre. D'autant plus, une telle expérience montre que la mesure d'une quantité physique fournit un résultat unique. De ce fait, cette observation pratique correspond au postulat de la "réduction du paquet d'onde" [42]. Il peut paraître étonnant que toute évolution quantique obéisse à l'équation de Schrödinger sauf l'évolution via un processus de mesure qui nécessite une description particulière. Par conséquent, le schéma de mesure de von Neumann demeure un essai raisonnable an d'expliquer la mesure via l'interaction entre un système et un appareil de mesure. De ce qui précède, P on dénie alors la mesure "Projective" comme étant un opérateur Hermitien M tel que M = m mPm où m, valeur propre correspondante, est un résultat possible de l'observation Pm qui est un projecteur sur l'espace propre associé à m. Ainsi, la probabilité d'obtenir le résultat m est dénie par p(m) = hψ| Pm |ψi. De ce fait, on dit que l'état du système après la mesure est projeté sur la base de la mesure et son nouvel état sera déni comme suit : P |ψi pm . p(m) (3.17) 3.1.2.4 mesure généralisée et POVM Pour aborder la notion de mesure généralisée on va supposer qu'on dispose d'un système quantique S dont l'état est décrit par un opérateur densité ρ. Donc, pour mesurer l'état de S 3.1. Exploration de la puissance du domaine quantique 67 on va le mélanger avec un système auxiliaire R, puis on va mesurer le système conjoint. Un tel processus décrit la mesure généralisée [43]. Ainsi, pour étayer cette démarche on va agir sur le système résultant H = HS ⊗ HR par l'observable O dont la décomposition spectrale est : X O= λΠλ (3.18) λ où Πλ est un projecteur. partant de l'hypothèse de départ stipulant que l'état composé des deux systèmes {S, R} est initialement non intriqués, alors la probabilité P(λ) d'observer la valeur propre λ est : P(λ) = trSR Πλ ρSR S = trS trR ρS ⊗ 1R 12 ⊗ ρR Πλ 2 = trS ρS trR 1S2 ⊗ ρR Πλ (3.19) on pose Eλ = trR 12 S ⊗ ρR Πλ (3.20) déni comme étant un opérateur linéaire sur HS . En plus, on constate que cet opérateur vérie les propriétés suivantes : 1. Eλ est hermitien ⇐⇒ Eλ = Eλ † 2. Eλ est positif ⇐⇒ ∀ψ ∈ HS , hψ| Eλ |ψi ≥ 0 3. l'ensemble de {Eλ } vérie la relation de fermeture ⇐⇒ P λ Eλ = 1S2 En statuant ainsi, la mesure projective peut être élaborée par un ensemble de projecteurs Πλ résultants de la décomposition spectrale de l'observable O. Tandis qu'une mesure généralisée est dénie, quant à elle, par un ensemble d'opérateurs hermitiens Eλ agissant dans l'espace d'Hilbert du système considéré HS . Par ailleurs, un tel processus de mesure est généralement connu sous le nom de POVM (Positive Operator Valued Measure). P Il est à noter également que'un POVM est une collection {Eλ } d'opérateur positifs tel que λ Eλ = 12 . Ceci implique que la mesure √ {Mλ } associée √ est égale à { Eλ }. Donc, considérant le théorème de décomposition polaire, on a ∀Mλ , Mλ = Uλ Eλ où Eλ = Mλ †Mλ . 3.1.2.5 meilleure mesure pour distinguer deux états Après avoir abordé la problématique de la mesure et introduire ses diérents processus, on va essayer de déterminer quelle serait la mesure adéquate pour distinguer entre deux états d'un système quantique. Ainsi, cette démarche nous sera par la suite très utile dans le cadre des protocoles de communication quantique an d'extraire l'information échangée entre les correspondants. Pour ce faire, supposons que nous disposons d'une source quantique S produisant un état aléatoire choisi uniformémement et aléatoirement parmi les deux états possibles {ρ0 , ρ1 } ⊂ D(S) (l'état ρ0 nous indique un 0 et l'état ρ1 un 1). Une telle source peut être représentée par une combinaison linaire comme suit : 1 1 S = {( , ρ0 ), ( , ρ1 )} 2 2 (3.21) Dans ce sens, la question qu'on se pose intuitivement, sera comment peut-on distinguer ; d'une manière optimale ; entre les deux états possibles {ρ0 , ρ1 }. Pour répondre à cette question, on 3.1. Exploration de la puissance du domaine quantique 68 considère le couplé {Π0 , Π1 }, un POVM tel que Π0 + Π1 = 12 . Alors, la probabilité de succès ps est obtenue directement par : 1 tr (ρ0 Π0 ) + 2 1 tr (ρ0 Π0 ) + 2 ps = = 1 tr (ρ1 Π1 ) 2 1 tr (ρ1 (1 − Π0 )) 2 1 1 tr (ρ0 Π0 ) + tr (ρ1 ) − tr (ρ1 Π0 ) 2 2 | {z } = =1 1 1 1 + tr (ρ0 Π0 ) − tr (ρ1 Π0 ) 2 2 2 1 1 + tr ((ρ0 − ρ1 )Π0 ) . 2 2 = = (3.22) Ainsi, on pose ρ = ρ0 − ρ1 et soit {λi }i ∈ R l'ensemble des valeurs propres de cet opérateur (les valeurs propres sont toutes réelles puisque ρ ∈ Her(S)). D'autant plus, on peut regrouper l'ensemble des valeurs propres positives et négatives respectivement de sorte que, V + = {i | λi ≥ 0} et V − = {i | λi < 0}. Par la décomposition spectrale, nous pouvons réécrire X X ρ= λi |fi ihfi | − |λi | · |fi ihfi |. (3.23) i∈V − i∈V + P De plus, on a tr(ρ − ρ ) = tr(ρ ) − tr(ρ ) = 0 . Alors, nous en concluons que 0 1 0 1 i∈V + |λi | = P P P i∈V + λi . Reprenons l'équation (3.22) et à i |λi | = 2 i∈V − |λi | ou de façon équivalente, l'aide de ces observations, nous aurons : X 1 1 X ps = + tr λi |fi ihfi | − |λj | · |fj ihfj | Π0 2 2 + − i∈I j∈I X 1 1 1 X + tr λi |fi ihfi | Π0 − tr |λj | · |fj ihfj | Π0 . = 2 2 2 + − i∈I j∈I Nous constatons dans ce cas que pour maximiser cette probabilité, il sut alors de minimiser le terme de la droite et de maximiser le terme de la gauche. En eet, ces optimisations sont possibles de façon indépendante, car les sous-espaces {|fi i}i∈V + et {|fj i}j∈VP − sont orthogonaux. De ce fait, le maximum de ps est donc obtenu en posant simplement Π0 = i∈I + |fi ihfi |. Ainsi, nous obtenons : X 1 1 + λi ps = 2 2 + i∈V ! 1 1 X + |λi | = 2 4 i = 1 1 + kρ0 − ρ1 k1 . 2 4 (3.24) Notez que la mesure optimale est une observable sur l'espace S . Il est donc possible de distinguer d'une façon optimale entre deux états quantiques en appliquant une observable plutôt qu'un 3.1. Exploration de la puissance du domaine quantique 69 POVM. L'équation (3.24) suggère de dénir la distance entre deux opérateurs hermitiens comme la trace-norme de leur diérence. Par ailleurs, cette interprétation peut être vue comme étant le maximal d'information qui puisse être extrait suite à l'exécution de la meilleure mesure possible pour distinguer entre ces deux états. Dénition 3.1 Soient ∆(ρ0 , ρ1 ), ρ0 , ρ1 ∈ D(S). est dénie par ∆(ρ0 , ρ1 ) := La trace-distance entre les opérateurs ρ0 et ρ1 , dénotée kρ0 − ρ1 k1 tr (|ρ0 − ρ1 |) = . 2 2 La trace-distance est telle que 0 ≤ ∆(ρ0 , ρ1 ) ≤ 1 avec égalités lorsque ρ0 et ρ1 sont identiques ou ont des supports orthogonaux respectivement. Nous pouvons maintenant reformuler le résultat que nous venons d'établir en fonction de la trace-distance. Théoréme 3.3 (Helström) La meilleure mesure pour distinguer deux états chacun produit avec probabilité 12 , réussi avec probabilité ps = ρ0 , ρ1 ∈ D(S), 1 + ∆(ρ0 , ρ1 ) 1 kρ0 − ρ1 k1 = + . 2 2 4 La mesure optimale peut être choisie comme une observable. Autrement, le résultat obtenu nous permet de conclure que dans le cas du protocole BB84 quand Alice envoie aléatoirement les deux états |0i et |1i, la meilleur mesure ore à Bob une probabilité de succès de %75. Alice 0 0 1 1 Bob Bonne base (0) Mauvaise Base (0,1) Bonne base (0) Mauvaise Base (0,1) Prob 1 4 1 8 1 4 1 8 Table 3.1 la probabilité de distinguer entre |0i et |1i dans le protocole BB84 Ainsi, la probabilité de distinguer correctement entre |0i et |1i suite à cette mesure est de 0.75. 3.1.2.6 Mesures successives Après avoir discuté de la notion de la mesure et la construction optimale d'un processus de mesure, nous abordons dans ce paragraphe la problématique liée à l'ordre d'exécution de cette mesure et son impact sur le résultat obtenu. En eet, la théorie classique des statistiques sur les résultats de mesure demeure valable dans le cas des observables qui commutent. Par contre, on observe des déviations statistiques importantes qui apparaissent dans le cas ou ces observables ne commutent pas. Ainsi, cette propriété importante est au c÷ur de la sécurité et des fondements de la preuve de la robustesse des protocoles quantique face aux interventions d'une tierce partie non-autorisée sur le canal. En général, dans la théorie quantique, deux observables M1 et M2 n'ont pas les même probabilités de résultat si M1 est exécuté avant M2 que si M2 est exécuté avant M1 . 3.1. Exploration de la puissance du domaine quantique 70 Lemme 3.1 Soit M1 et M2 deux observables sous forme d'opérateurs hermitiens qui commutent. Alors la probabilité (m1 , m2 ) lorsque M1 et M2 sont mesurées est indépendante de l'ordre dans laquelle est exécutée cette mesure. Comme [M1 , M2 ]=0, alors M1 et M2 sont simultanément diagonalisables. Cela revient à dire P qu'on peut trouver une base {|vi i}i orthonormée dans S où M1 = i ri |vi ihvi | ∈ L(S) et M2 = P j sj |vj ihvj | ∈ L(S). Ainsi, soit ρ ∈ D(S) un état arbitraire de la source S . Vériant l'hypothèse que l'ordre d'exécution des observables lors de la mesure n'est pas important dans le cas où ils commutent. Pour ce faire, on suppose qu'on applique M1 d'abord suivi de M2 ensuite. Ainsi, pour calculer P ces probabilités pour un résultat r ∈ {ri }i arbitraire, nous dénissons Pr = i:ri =r |vi ihvi |. Par conséquent, nous avons, pr (ρ) = tr (Pr ρ) . Et l'état résultant suite à cette action est, ρr = Pr ρPr . pr de plus, enP exécutant M2 , nous observons un résultat arbitraire s ∈ {sj }j via l'action du projecteur Qs = i:si =s |vi ihvi | sur l'état ρr avec une probabilité pr,s (ρ). Cette probabilité est le résultat de l'action combinée de M1 pour obtenir r et M2 pour avoir s successivement (autrement, on dit que ρ est observé d'abord par M1 et ensuite par M2 ). Ainsi, nous avons : pr,s (ρ) = pr tr (Qs ρr ) Pr ρPr = pr tr Qs pr = tr (Qs Pr ρPr ) X X = tr (|vi ihvi | · |vj ihvj |ρPr ) i:si =s j:rj =r = X X tr (|vj ihvj | · |vi ihvi |ρPr ) (3.25) i:si =s j:rj =r = tr (Pr Qs ρPr ) = tr (Pr Qs ρ) = tr (ρPr Qs ) = tr (ρPr Qs Qs ) = tr (ρQs Pr Qs ) (3.26) = tr (Pr Qs ρQs ) = ps,r (ρ), (3.27) où (3.25) est obtenue parce que {|vi i}i est une base orthonormée : Pr et Qs commutent. (3.26) est obtenue encore une fois parce que Pr et Qs commutent. Les autres égalités sont obtenues par la cyclicité de la trace. L'équation nale (3.27) est la probabilité d'obtenir les résultats s et r lorsque M2 est mesuré en premier et ensuite M1 . Une conséquence immédiate du lemme 3.1 c'est que la distribution observée pour une population donnée n'est absolument aectée par l'ordre d'observation. En eet, chaque population existe objectivement et indépendamment de l'autre population, quoiqu'on répète l'expérience avec n'importe quel ordre de mesure. Par contre, plusieurs populations usuelles en mécanique 3.1. Exploration de la puissance du domaine quantique 71 quantique n'ont pas cette propriété. Notamment, le qubit encodé dans la polarisation des photons, qui est fréquemment utilisée dans la communication quantique. En outre, soit la première population de distribution du nombre de |0ih0| observés en mesurant chacun des qubits avec l'observable Z . de même, on considère la seconde population est la distribution du nombre de |+ih+| observés en mesurant chacun des qubits avec l'observable X . Sachant que ces deux observables ne commutent pas, alors on ne peut pas espérer d'existence et d'action indépendantes l'une de l'autre. En eet, si nous mesurons Z en premier sur l'état |0i alors |0ih0| sera toujours observé. Par contre, si X est mesuré en premier, le résultat |0ih0| n'a maintenant qu'une probabilité 12 d'apparaitre. On dit que ces deux observables sont incompatibles. Alors cette propriété ,elle aussi, joue un rôle fondamentale dans la sécurité des protocoles quantique. En eet, dans un processus de communication normale, si Alice envoie à Bob des états quantiques encodés suivant Z et X aléatoirement, et si on suppose que le canal quantique est parfait, alors en principe les seuls déviations statistiques observées, en l'occurrence les erreurs de choix de la base eectué par Bob, qui doivent être constatées. Donc tout écart mesuré hors de ce seuil est généralement imputable à une intervention illicite sur le canal. 3.1.3 La quantication de l'information 3.1.3.1 l'information classique et l'entropie de Shannon L'entropie de Shannon, notée H(X), cherche à quantier l'incertitude quant au résultat d'une expérience aléatoire. Soit X une variable aléatoire avec distribution {(x, px )}x∈X . Posons quelques axiomes pour une mesure H(X) de l'entropie associée à la réalisation de la variable aléatoire X : 1. Positivité : H(X) ≥ 0, 2. H(X) est continue, P 3. Additivité forte : H(X, Y ) = H(X) + H(Y |X) où H(Y |X) = x px H(Y |X = x), 1 1 1 4. H n1 , n1 , ..., n1 ≤ H n+1 , n+1 , ..., n+1 . Shannon montra qu'une seule mesure peut satisfaire ces axiomes : Théoréme 3.4 (Shannon) La seule mesure qui satisfait les axiomes 2, 3 et 4 à une constante près est H(X) = − X px log2 px x L'unité de mesure de H(X) lorsque le log · est pris en base 2 est le bit. Ainsi, nous présentons quelques propriétés fondamentales de cette quantité : 1. H(X, Y ) = H(Z) où H(Z) est la distribution de densité conjointe donnée par pxy (x, y), 2. H(X|Y ) = H(X, Y ) − H(Y ) et H(X|Y ) est appelée entropie conditionnelle de X étant donné Y ., 3. La règle de la chaîne : H(X, Y ) = H(X) + H(Y |X) = H(Y ) + H(X|Y ) . Le résultat qui a fait de la théorie de l'information un instrument prépondérant pour l'analyse des problèmes liés à la transmission de l'information est le théorème de codage de Shannon. De ce fait, ce théorème stipule que l'entropie d'une variable aléatoire est équivalente à la quantité de bits qui doit être transmise sur un canal parfait pour déterminer avec certitude la valeur de X : 3.1. Exploration de la puissance du domaine quantique 72 Théoréme 3.5 (Codage de Shannon) Soit une source X , alors il est possible de transmettre la réalisation de X par un code binaire C tel que pour n instances de X , C(x1 , x2 , ..., xn ) ' H(X) n et le décodage se fait avec probabilité d'erreur pε (n) → 0, n → ∞ . D'autre part, si pour δ > 0 C(x1 , x2 , ..., xn ) < H(X) − δ n alors pε (n) → 1, n → ∞ . Autrement dit, le codage de Shannon est le seul codage asymptotiquement optimal qu'on peut espérer. Associée ce principe à l'incertitude, nous pouvons donc dénir une mesure d'information d'une variable aléatoire que donne sur une autre. En l'occurrence, l'information que Y donne sur X peut être dénie comme la réduction d'incertitude sur X que la connaissance de Y donne. Dénition 3.2 L'information mutuelle partir de l'entropie. est une réduction d'incertitude qui peut être dénie à I(X; Y ) = H(X) − H(X|Y ) X pxy (x, y) = pxy (x, y) log . px (x)py (y) x,y de ce fait, cette quantité elle-aussi satisfait les propriétés suivantes : 1. I(X; Y ) = I(Y ; X), 2. I(X; Y ) = H(X) + H(Y ) − H(X, Y ), 3. H(X|Y ) ≤ H(X), 4. H(X, Y ) ≤ H(X) + H(Y ). 3.1.3.2 Entropie de Von Neumann Dans ce paragraphe, nous allons maintenant aborder la possibilité d'extrapoler la notion d'entropie dans le domaine quantique. Ainsi, on considère que l'incertitude d'un état ρ ∈ D(A) et son entropie associée comme étant l'incertitude minimale associée au résultat d'une mesure de Von Neumann sur état ρ. Donc, par la décomposition spectrale, nous avons X ρ= λi |fi ihfi | , i avec i λi = 1. Par conséquent, il est évident de constater que la mesure de Von Neumann {|fi ihfi |}i est celle qui minimise l'entropie du résultat d'une mesure complète appliquée à ρ. Par contre, il semble que tout état pur |ψi n'a pas d'incertitude associée au résultat de la mesure {|ψihψ|, . . .} du fait que le résultat |ψihψ| sera obtenu avec certitude : P 3.1. Exploration de la puissance du domaine quantique Dénition 3.3 L'entropie de Von Neumann, S(ρ), associée à ρ = 73 P i λi |fi ihfi | est dénie par S(ρ) = H(λ1 , λ2 , . . . , λn ) . Nous dénotons également S(ρ), pour ρ ∈ D(A), par S(A)ρ . En général, si ρ ∈ D(A ⊗ B) alors S(A)ρ := S(trB (ρ)). En eet, si l'état ρ est désigné sans ambiguïté dans un contexte donné, alors nous écrirons S(A) et S(B), par soucis de simplication, S(A)ρ et S(B)ρ respectivement. Lemme 3.2 Pour |ψi ∈ A ⊗ B un état pur arbitraire, nous avons S(A)|ψihψ| = S(B)|ψihψ| . ce lemme est une conséquence évidente de la décomposition de Schmidt. En eet, pour tout état pur biparti, les états correspondant à chacune des parties ont la même entropie. ainsi, la forme de Schmidt nous donne : Xp |ψi = λi |ei i|fi i . i Nous avons, ρA = X hfj |(|ψihψ|)|fj i = ρB = λi |ei ihei | , i j et de façon similaire : X X hej |(|ψihψ|)|ej i = j X λi |fi ihfi | . i donc, on constate que les valeurs propres de ρA = trB (|ψihψ|) et ρB = trA (|ψihψ|) ont les mêmes valeurs propres avec les mêmes facteurs de multiplicités, ce qui donne le résultat recherché : S(A)|ψihψ| = S(B)|ψihψ| . Comme son homologue classique, l'entropie de Von Neumann elle-aussi jouit de quelques propriétés utiles : 1. ∀ρ ∈ D(A), S(ρ) ≥ 0, P 2. si ρ = i n1 |ei ihei | où les {|ei i} sont orthogonaux, 1 1 1 S(ρ) = H , , ..., = log n , n n n 3. Soit la distribution d'états {(pi , ρi )}i , ! X X pi ρi ≤ H (p1 , p2 , ..., pn ) + pi S(ρi ) , S(ρ) = S i i 4. S(ρ ⊗ σ) = S(ρ) + S(σ). Par ailleurs, nous énonçons le théorème de Schumacher [44] l'équivalent du théorème de codage de Shannon dans un contexte quantique : Théoréme 3.6 (Schumacher) Soit B une source d'états quantiques purs {(pi , |φi i)}i . Alors B peut transmettre l'information de façon asymptotiquement parfaite en transmettant S(ρ) qubits en moyenne par utilisation du canal, où ρ= X pi |φi ihφi | . i Par contre, la transmission de S(ρ) − ε qubits via un canal quantique résultera en une probabilité d'erreur de décodage pe ' 1 lorsque le nombre d'usages tend vers l'inni. 3.1. Exploration de la puissance du domaine quantique 74 L'information de Von Neumann : entropie conditionnelle Considérons maintenant un système bipartite ρAB ∈ D(A ⊗ B) avec S(AB) := S(ρAB ), S(A) := S(trB (ρAB )) et S(B) := S(trA (ρAB )) . Dénition 3.4 Nous dénissons l' entropie conditionnelle de Von Neumann de la même façon que dans le cas classique : S(A|B) = S(AB) − S(B) . L' information mutuelle de Von Neumann est dénie de la même façon que l'information de Shannon, comme une réduction d'incertitude : S(A; B) = S(A) − S(A|B) = S(A) + S(B) − S(AB) . On montre facilement que l'information mutuelle est symétrique, c'est à dire que S(A; B) = S(B; A). Utiliser les mêmes dénitions pour l'entropie conditionnelle et l'information mutuelle de Von Neumann ne garantie pas que leur interprétation soit similaire. L'exemple suivant montre |00iAB +|11iAB √ une diérence importante entre le cas classique et quantique. Soit |β00 iAB = , un 2 état de Bell. Nous avons, S(A|B) = S(AB) − S(B) = S(|β00 ihβ00 |) − S(12 /2) = 0−1 = −1 . Donc, l'information conditionnelle de Von Neumann peut devenir négative. Ceci est tout simplement impossible avec l'entropie conditionnelle de Shannon. De ce fait, il existe une interprétation qui permet de donner un sens au cas où l'entropie conditionnelle est négative c'est que le système quantique enferme une corrélation de type quantique communément appelée "l'intrication". Les théorèmes suivants donnent des propriétés importantes de l'entropie, de l'entropie conditionnelle et de l'information de Von Neumann. Le théorème suivant montre que l'entropie du résultat d'une mesure de Von Neumann est toujours au moins celle de l'état observé. Théoréme 3.7 Soit une mesure de Von P P Neumann sur un état ρ ∈ D(A) quelconque pour lequel #A = N . Posons ρ0 = i Pi ρPi = i tr(ρPi ) Pi , l'état classique correspondant au résultat i ∈ {1, . . . , N } avec probabilité tr(ρPi ). Alors, {Pi }N i=1 S(ρ) ≤ S(ρ0 ) , avec égalité si et seulement si Pi et ρ commutent pour chaque i. La propriété suivante établit la sous-additivité forte de l'entropie de Von Neumann. Théoréme 3.8 (Sous-additivité forte) Pour tout état vantes sont satisfaites : ρ ∈ D(A ⊗ B ⊗ C), S(A) + S(B) ≤ S(AC) + S(BC) et S(ABC) + S(B) ≤ S(AB) + S(AB) + S(BC) . les identités sui- 3.1. Exploration de la puissance du domaine quantique 75 Le théorème suivant donne trois conditions sur l'évolution de l'entropie conditionnelle et de l'information mutuelle pour les états à trois parties lorsque certaines actions y sont appliquées. Ces propriétés seront utiles pour prouver le théorème de Holevo (théorème 3.10). Théoréme 3.9 Soit ρ ∈ D(A ⊗ B ⊗ C) un état quelconque. Alors, 1. S(A|BC) ≤ S(A|B) . 2. S(A; BC) ≥ S(A; B) . 3. Soit E : L(B) → L(B0 ) une opération CPPT et posons σ = trC (ρ). Nous avons, S(A; B 0 )(1A ⊗E)(σ) ≤ S(A; B)σ . Montrons l'identité 1. L'inégalité S(A|BC) ≤ S(A|B) est équivalente à S(ABC) − S(BC) ≤ S(AB) − S(B), par dénition de l'entropie conditionnelle. Et cette dernière inégalité est équivalente à S(ABC) + S(B) ≤ S(AB) + S(BC), qui est vériée par la sous-additivité forte (théorème 3.8). Montrons maintenant l'identité 2. Par dénition de l'information mutuelle, l'inégalité S(A; BC) ≥ S(A; B) est équivalente à S(A) − S(A|BC) ≥ S(A) − S(A|B), qui se réduit à S(A|BC) ≤ S(A|B). Cette dernière est vériée par l'identité 1. Montrons nalement l'identité 3. Puisque E est une opération CPPT, le théorème de Kraus nous dit qu'il existe une isométrie U ∈ L(B, B 0 ⊗ C) pour laquelle : E(σ) = trC (U σU ∗ ) . Nous avons donc que S(A; B)σ = S(A; B 0 C)E(σ) , car les isométries ne changent pas les valeurs propres de l'opérateur sur lequel elles sont appliquées. De plus, S(A; B 0 C)E(σ) ≥ S(A; B 0 )E(σ) , par l'identité 2. La borne de Holevo : Le théorème de Holevo donne la quantité d'information classique accessible dans un état quantique. Si une source quantique transmet un état ρ(X) ∈ D(A), pour X une variable aléatoire uniformément distribuée dans une ensemble discret, alors le théorème d'Holevo borne supérieurement la quantité d'information à propos de X qu'une mesure quantique de ρ(X) puisse révéler. Théoréme 3.10 (Holevo) Supposons qu'Alice transmet {(px , ρ(x))}Nx=1 à Bob. Supposons que Bob applique un POVM {Πy }y sur le système reçu pour déterminer la variable aléatoire X = {1, 2, ..., N } à partir du résultat Y de son POVM. Alors, I(X; Y ) ≤ S(ρ) − X x où ρ = P x px ρ(x) . px S(ρ(x)) , 3.1. Exploration de la puissance du domaine quantique 76 Considérons l'état cojoint de trois registres suivant : X px |xihx|A ⊗ ρ(x)B ⊗ |0ih0|Q , σABQ = x qui possède 3 registres : le choix de X fait par Alice, le système quantique correspondant transmis à Bob et un registre initialement dans l'état |0ih0|. L'état σAB est appelé état cq parce qu'il inclus un registre c lassique ainsi qu'un autre registre qui contient l'état q uantique correspondant. Soit {Πy }y le POVM que Bob applique ainsi que sa réalisation Πy = My∗ My pour chaque résultat possible y . Considérons maintenant l'opération quantique E : L(A⊗ B ⊗ Q) → L(A⊗ B 0 ⊗Q0 ) qui mesure le registre B et range le résultat classique dans le registre Q. Le super-opérateur E(·) est une réalisation de la mesure du registre B selon {Πy }y par une opération quantique qui préserve la trace. Les registres B 0 et Q0 indiquent les registres B et Q respectivement après l'action de la mesure. Nous avons : X px |xihx|A0 ⊗ My∗ ρ(x)B0 My∗ ⊗ |yihy|Q0 . E(σ) = x,y L'information mutuelle quantique entre les registres A et B de σ peut être bornée inférieurement par l'information mutuelle de ces registres après la mesure : (3.28) S(A; B)σ = S(A; BQ)σ 0 0 0 0 0 (3.29) ≥ S(A ; B Q )E(σ) (3.30) ≥ S(A ; B )E(σ) , où on obtient (3.28) parce que le registre Q est initialement dans l'état pur |0ih0|, on obtient (3.29) et (3.30) par les identités 3 et 2 respectivement du théorème 3.9. Pour conclure la preuve, nous montrons que S(A; B) ≥ S(A0 ; B 0 ) correspond à l'énoncé à prouver. P Montrons d'abord que S(A; B)σ = S(ρ) − x px ρ(x). Par dénition, S(A; B)σ = S(A)σ + S(B)σ − S(AB)σ . Pour chacune de ces parties, nous avons : S(A)σ = H(X), S(B)σ = S(ρ) et S(AB)σ = H(X) + X px S(ρ(x)) . x Donc S(A; B)σ = H(X) + S(ρ) − H(X) − X px S(ρ(x)) x = S(ρ) − X px S(ρ(x)) . x Montrons maintenant que S(A0 ; Q0 )E(σ) = I(X; Y ). Par dénition de l'information mutuelle, S(A0 ; Q0 )E(σ) = S(A0 )E(σ) + S(Q0 )E(σ) − S(A0 , Q0 )E(σ) . L'état des registres A0 et Q0 est donné par : X trB0 (E(σ)) = px |xihx|A0 tr ρ(x)My∗ My |yihy|Q0 x,y = X px py|X=x |xihx|A0 ⊗ |yihy|Q0 x,y = X x px |xihx|A0 ⊗ X y py|X=x |yihy|Q0 . 3.1. Exploration de la puissance du domaine quantique Donc, S(A0 ) = H(X), 77 S(Q0 ) = H(Y ) et S(A0 Q0 ) = H(X) + H(Y |X) . Ainsi, S(A0 ; Q0 ) = H(X) + H(Y ) − H(X) − H(Y |X) = H(Y ) − H(Y |X) = I(X; Y ) . Le corollaire concernant la borne d'Holevo est utile dans le contexte de la cryptographie. En eet, ce corollaire permet d'établir la quantité d'information accessible à un adversaire sur une clé partagée par Alice et Bob obtenue en mesurant des demi-paires EPR. De ce fait, l'information accessible à propos du résultat d'une mesure appliquée sur une partie d'un état pur est bornée par l'entropie de Von Neumann de n'importe quelle partie de cet état. Corollaire 3.10.1 Supposons qu'Alice et Ève partagent un état pur |ψi ∈ A ⊗ E . Supposons qu'Alice mesure sa partie avec le POVM {Πx }x pour obtenir le résultat X . Ève veut maximiser son information à propos de X en appliquant un POVM {∆y }y pour obtenir Y . Alors, I(X; Y ) ≤ S(A)|ψihψ| = S(E)|ψihψ| . Écrivons la mesure d'Alice sous forme d'opérateur CPPT A : L(A) → L(A0 ⊗ X ) déni pour ρ ∈ D(A) par, X A(ρ) = Mx ρA Mx∗ ⊗ |xihx|X . x L'opération A appliquée sur le registre A de l'état |ψi résulte en X (A ⊗ 1E )(|ψihψ|) = |xihx|X ⊗ (Mx ⊗ 1E )|ψihψ|(Mx ⊗ 1E )∗ x = X px |xihx| ⊗ ρ(x) , x où pxP= tr(|ψihψ|(Mx ⊗1E )∗ (Mx ⊗1E )) et ρ(x) = trA ((1A ⊗Mx )|ψihψ|(1A ⊗Mx )∗ )/px . En posant ρ = x px ρ(x), le théorème d'Holevo nous permet d'écrire pour chaque POVM {∆y }y que : X I(X; Y ) ≤ S(ρ) − px ρ(x) ≤ S(ρ) . x P En eet, ρ = x px ρ(x) est l'état d'Ève après l'application du POVM {Πx }x d'Alice. Etant donné que la mesure d'Alice ne modie pas le système d'Ève et que celui-ci est dans l'état trA (|ψihψ|), nous avons ρ = trA (|ψihψ|) et donc, S(ρ) = S(E)|ψihψ| . La preuve est complétée en observant que S(E)|ψihψ| = S(A)|ψihψ| , en utilisant le lemme 3.2. Application : Cas du BB84 Pour mettre en application le corollaire précédent, nous supposons un scénario idéal permettant à Alice et Bob de partager une clé secrète de n bits en présence d'une intervention illicite sur le canal de transmission eectuée par Eve. Pour ce faire, admettant qu'Alice et Bob partagent l'état pur |ψiAB = |β00 i⊗n AB : X |ψiAB = 2−n/2 |xiA ⊗ |xiB . x∈{0,1}n 3.1. Exploration de la puissance du domaine quantique 78 Maintenant, supposons qu'Alice et Bob mesurent chacun de son côté les n qubits dans la base de calcul {|xihx|}x∈{0,1}n . Donc, soient KA , KB ∈ {0, 1}n les variables aléatoires pour les résultats de la mesure d'Alice et de Bob respectivement. En l'absence du bruit, nous savons que Pr (KA = KB ) = 1 et Pr (KA = x) = 2−n , pour chaque x ∈ {0, 1}n . Ainsi, Alice et Bob partagent une clé identique et celle-ci est uniformément distribuée dans {0, 1}n . Toutefois, qu'elle serait la quantité d'information accessible à un adversaire Ève à propos de KA ou KB . En eet, le corollaire 3.10.1 permet d'y répondre directement, malgré que si on considére que l'espion est doté d'une puissance maximale, nous savons que l'information dont il peut disposer est bornée par ce corollaire. Par conséquent, nous pouvons supposer qu'Ève possède dans sa mémoire quantique tous les qubits de l'Univers qui ne sont pas en possession d'Alice et de Bob. Nous pouvons supposer aussi que l'Univers est un système fermé, ceci procure plus de puissance à Ève. Ainsi, étant donné que |ψi est un état pur partagé seulement entre Alice et Bob et que l'état de l'Univers est considéré pur, donc l'état globale décrivant cette situation sera de la forme : |ψU iABE = |ψiAB ⊗ |φiE . (3.31) Le corollaire 3.10.1, nous exige que toute mesure executée par Eve sur son système produit un résultat Y qui satisfait à l'inégalité suivante : I(KA ; Y ) ≤ S(AB)|ψU ihψU | = S(E)|ψU ihψU | = 0. (3.32) par conséquent, la clé partagée entre Alice et Bob est donc une clé cryptographique parfaitement secrète. Par ailleurs, nous pouvons également considérer qu'Alice et Bob pourraient également avoir conance en leur clé si S(E)|ψU ihψU | ≤ 2−αn , α > 0. Dans ce cas, on dit que la clé partagée est α sûre et que l'information accessible à Ève sur la clé d'Alice et Bob serait négligeable au lieu d'être nulle. 3.1.4 L'intrication Dans cette section, nous introduisons des corrélations présentes dans certains états quantiques appelés "intriqués" [45] et nous étudions par la suite la nature et les propriétés physiques de l'intrication. Ainsi, on observe ce type de corrélation purement et intrinsèquement quantique que dans des systèmes quantiques à plusieurs qubits. D'autant plus, on va constater que ces corrélations n'ont pas d'équivalent classique, en d'autres termes, elles ne peuvent pas être décrites par des distributions de probabilité classiques. Par conséquent, l'utilisation du terme "intrication" serait exclusivement resérvé pour désigner ce type spécial de corrélations dont la nature est purement quantique. De ce fait, nous allons tout d'abord discuter le prototype des états intriqués pour deux qubits, notamment les états de Bell. Nous abordons ensuite le sujet des inégalité de Bell [46]. Ces inégalités, qui furent d'abord proposées par John Bell (1964), donnent un critère d'intrication qui peut être vérié expérimentalement. Ces expériences, qui furent d'abord réalisées par Aspect et Grangier [47], puis dans divers autres contextes, conrment les prédictions théoriques de la mécanique quantique. L'intrication est considérée comme une ressource capitale dans le traitement quantique de l'information. Ainsi, elle joue un role primordial dans plusieurs protocoles pour la communication quantique, la téléportation et le codage dense. Dans cette optique, nous décrirons une applications pertinente, sous sa forme la plus simpliée : la téléportation. Il est à noter que, l'intrication a également été utilisée dans des protocoles de cryptographie quantique comme le protocole d'Ekert 1991 [35]. 3.1. Exploration de la puissance du domaine quantique 79 3.1.4.1 dénition de l'intrication Au c÷ur de la théorie de l'information quantique, l'intrication est un phénomène étrange et nouveau. Cette corrélation quantique décrit, en fait, le "jumelage parfait" de deux particules subatomiques, pour former un seul état quantique commun. L'engouement actuel pour ce phénomène est continuellement croissant, car il s'avère fondamental pour le traitement quantique de l'information et de la communication. Certes, l'intrication se manifeste facilement au niveau microscopique. Toutefois, les expériences qui s'eorcent de le prouver nécessitent souvent des conditions diciles à atteindre dans les laboratoires usuels. D'autant plus, décrire un protocole expérimental capable de démontrer l'intrication quantique au niveau macroscopique via des systèmes contrôlables est relativement dicile à monter. Néanmoins l'intrication est largement débattu de point de vue théorique. Dans ce cadre, considérons l'état des deux qubits |qi1 = α|0i + β|1i et |qi2 = γ|0i + δ|1i avec (α, β|, γ, δ) ∈ C 4 . La fonction d'onde décrivant le produit tensoriel |qi1 ⊗ |qi2 est l'état global des deux particules, qu'on peut mettre sous la forme suivante : |qi1 ⊗ |qi2 = αγ|00i + βγ|10i + αδ|01i + βδ|11i (3.33) alors, si |qi1 , |qi2 ∈ H1 , H2 donc |qi1 ⊗ |qi2 ∈ H1 ⊗ H2 . On constate alors qu'un état arbitraire |φi de H avec Dim(H) = 4 est de la forme : |φi = a|00i + b|10i + c|01i + d|11i (3.34) avec (a, b, c, d) ∈ C 4 , n'est pas obligatoirement de la forme Eq.3.33. Ainsi, on fait ressortir la condition suivante : a = αγ, b = βγ, c = αδ, d = βδ (3.35) pour que les deux formes soient équivalentes. Toutefois, cette condition n'est à priori aucune raison d'être valide tout le temps. Autrement, si par exemple on a ”b = c = 0”, alors |φi ne peut pas se mettre sous une forme factorisable. On dit alors, que le système est dans un état intriqué. Il est clair que lorsqu'un système est dans un tel état, les propriétés du système global sont dénies, mais celles de chacun des sous-systèmes ne le sont pas. Par exemple, lorsqu'on a un système composé d'une paire d'électrons, il est possible de préparer un système intriqué de sorte que les deux électrons aient des spins opposés et donc un état de spin total nul, sans que l'on puisse dire dans quelle direction pointe chaque spin individuel. Ainsi, quand on mesure le spin de l'un des électrons de la paire, on trouve toujours que l'autre est dans l'orientation opposée. Tout se passe comme si une mesure d'un des spins, opérée le long d'un axe, obligeait l'autre spin à prendre la valeur opposée. Cette opération de concertation mutuelle des deux spins est relativement mystérieuse. En outre, la mesure du spin de l'un des particule dans la direction horizontale n'empêche pas d'obtenir aussi un résultat dans la direction verticale. Ce qui suggère que les particules n'ont pas d'axes de rotation privilégié. En un mot, les résultats des mesures eectuées sur les deux électrons sont corrélés d'une façon que la physique classique ne parvient jamais à expliquer. Par conséquent, cette inaptitude de la théorie classique fait de l'intrication des états l'une des spécicités de la théorie quantique. Il est cependant important de souligner que, comme 3.1. Exploration de la puissance du domaine quantique 80 un système composé de nombreux particules est dicile à isoler de l'environnement. Alors, ses constituants ont une probabilité bien plus grande d'interagir avec des particules non contrôlées de l'environnement, ce qui détruit leurs interconnexions originales. Autrement dit, dans les termes servant à décrire la décohérence, trop d'informations s'échappent du système vers l'environnement. Ce qui confère au système un comportement classique, non quantique. On comprend donc que lorsqu'on cherchent à exploiter l'intrication, on doit songer d'abord à la préserver et la protéger. 3.1.4.2 détection et mesure de l'intrication Comme c'est le cas avec toute ressource physique, il est primordial tout d'abord d'expliciter ce phénomène. Ensuite, il serait judicieux d'arriver à quantier l'intrication via des outils de mesure pour estimer ; sur la base d'une échelle physique ; le degré d'intrication dans un état quantique donné. Et ce, dans l'objectif de comprendre quels sont les processus permettant de transformer, modier ou perturber l'état de l'intrication. Ainsi, dans cette section, on n'aura à traiter le cas des états bipartis maximalement intriqué. les états de Bell : Le caractère surprenant des états intriqués a pour la première fois été souligné par Einstein, Podolsky et Rosen dans un article de 1935 [45] qui tentait de montrer à la fois que la mécanique quantique était incomplète et qu'elle est également diérente de la théorie réaliste. Dans cet article, les auteurs décrivent une expérience de pensée connue par le paradoxe EPR. Dans cette optique, des états intriqués imaginés par ce trio ont, depuis, été observés en laboratoire et leur comportement correspond à celui que prévoit la théorie quantique. En eet, l'état intriqué présenté dans Eq.3.34 avec ”a = d = 0” et ”c = b = √12 ” n'est pas arbitraire. Du fait qu'il est l'un des quatre états de Bell possibles représentants l'état d'un système à deux particules intriquées, pouvant être proches comme elles peuvent être séparées d'une grande distance. Mais leurs états quantiques sont parfaitement corrélés. Nous avons mentionné auparavant que |wi ∈ A ⊗ B ne peut pas s'écrire toujours comme |wi = |ui ⊗ |vi pour |ui ∈ A et |vi ∈ B . Ainsi, on dénit les états suivants, appelées états de Bell, ayant cette propriété sur (C2 ≈ H) ⊗ (C2 ≈ H) = H2 : 1. |β00 i = 2. |β01 i = 3. |β10 i = 4. |β11 i = √1 (|00i 2 1 √ (|00i 2 √1 (|01i 2 √1 (|01i 2 + |11i), − |11i), + |10i) et − |01i). La notation est choisie selon la règle qui suit : 1 |βxy i = √ (|0yi + (−1)x |1ȳi). 2 (3.36) où ȳ indique la négation du bit y. Ainsi, nous vérions facilement que ces quatre états sont normés et réciproquement orthogonaux, donc ils forment une base orthonormée sur H2 . En eet, pour tout |ψi ∈ H2 de la forme Eq.3.34, on peut l'exprimer comme suit : |ψi = |β00 ihβ00 ||ψi + |β01 ihβ01 ||ψi + |β10 ihβ10 ||ψi + |β11 ihβ11 ||ψi 1 = √ [(a + d)|β00 i + (a − d)|β01 i + (c + b)|β10 i + (c − b)|β11 i+] . 2 (3.37) 3.1. Exploration de la puissance du domaine quantique 81 Après avoir introduit les quatre fameux états de Bell, nous allons aborder l'une des techniques permettant la construction d'un tel état intriqué. Donc, pour ce faire, on considère deux particules de spin 12 en interaction mutuelle suivant l'hamiltonien suivant : 1 − → σ1− σ2 H = ~ω → 2 (3.38) − avec → σ x sont les matrices de Pauli. On dénit l'opérateur suivant : O = = 1 − − (12 + → σ1→ σ 2) 2 1 12 + δi,j σ1 i σ2 j 2 (3.39) soit le qubit |iji avec i + j = 1, alors on vérie facilement que : O|iji = |jii O|β10 i = |β10 i O|β11 i = −|β11 i (3.40) → − σ 1 σ2 |β10 i = |β10 i → − σ 1 σ2 |β11 i = −3|β11 i (3.41) donc on déduit que : − cela revient à dire que |β10 i et |β11 i sont vecteurs propres de → σ 1 σ2 avec les valeurs propres +1 et −3 respectivement et donc vecteurs propre de H avec les valeurs propres E+ = 12 ~ω et E− = 32 ~ω aussi. Par conséquent, si nous avons l'état |10i = 12 (|β10 i + |β11 i) à l'instant t = 0, son évolution est donné par : t t t 1 exp−i ~ H |10i = exp−i ~ H |β10 i + exp−i ~ H |β11 i 2 tω tω 1 exp−i 2 |β10 i + exp+3i 2 |β11 i = 2 tω expi 2 exp−itω |β10 i + expitω |β11 i = 2 tω = expi 2 (cos(tω)|β10 i − i sin(tω)|β11 i) (3.42) donc si on prend un temps d'interaction t égale à t = exp−i π ) (t= 4ω H ~ π 4ω , alors nous aurons : 1 |10i = √ (|10i − i|01i) . 2 (3.43) Cette construction est réalisée selon la stratégie de rapprocher puis d'éloigner les deux qubits. Ainsi, l'interaction est considérée à courte distance, toutefois d'autres méthodes sont également possibles pour atteindre le même objectif mais à grande distance. détection de l'intrication : théorème de Bell : Nous allons continuer à explorer davantage la nature non classique des états intriqués. En eet, les propriétés de la matière nous suggère que les résultats des mesures nous permettent de connaitre des propriétés d'un système. Ce point de vue est fort soutenu par notre vision classique incapable de cerner le monde quantique. Du fait que la théorie quantique telle que nous l'avons vue jusqu'à présent, nous arme qu'un système n'est pas indépendamment caractérisé 3.1. Exploration de la puissance du domaine quantique 82 du processus de mesure qu'on lui applique. D'autant plus, ces propriétés intrinsèques sont déterminées en quelques sortes par le processus même de la mesure. Par exemple, la direction d'un spin n'a pas une composante déterminée le long de l'axe "X" et une autre déterminée le long de l'axe "Z", de manière à ce que les deux quantités puissent être mesurées indépendamment. Selon la mécanique quantique, tout ce que nous pouvons conrmer sont des probabilités de coexistences pour les résultats des diérentes mesures. Dans le même contexte, on considère un autre exemple plus parlant où on suppose que deux personnes ; susamment éloignées ; disposent d'une particule de la paire |β10 i. Quoique l'expérience de mesure eectuée par chaque personne est répétée avec plusieurs paires de particules préparées dans le même état |β10 i. Les séquences de résultat obtenues seront parfaitement corrélées. Ainsi, si la première personne obtient {0, 0, 1, 0, 1, 1, 0, ...}, alors elle saura à coup sûre que l'autre aura {1, 1, 0, 1, 0, 0, 1, ...} du fait que si S est la séquence de mesure d'une personne, alors l'autre aura exactement S . Par ailleurs, avant d'eectuer l'opération de mesure, ni l'un ni l'autre n'est en mesure de prédire quoi que ce soit sur le résultat de la mesure. C'est pour ces raisons que l'analyse EPR mis en cause le fait que la personne est parfaitement capable de prévoir le résultat de la mesure de l'autre (après avoir eectuée sa propre mesure). Cela revient à conclure que le résultat de la mesure est un élément de réalité (une propriété intrinsèque au système) que l'autre va surement détecter par l'acte de sa mesure. Donc la théorie devrait être en mesure de prévoir avec certitude cette caractéristique. Par contre, la mécanique quantique ne peut pas prévoir ce résultat mais seulement établir des probabilités. Ainsi, plusieurs sont ceux qui n'étaient pas convaincu de ce point de vue étrange. Etant donné que, le principe de base stipule que dans le contexte de la réalité, les propriétés physiques d'un système doivent obligatoirement appartenir au système indépendamment de l'acte de la mesure. Une théorie comme la mécanique quantique, qui ne permet pas de prévoir ces éléments de réalité, devait nécessairement être une théorie incomplète. Dénition 3.5 (Réalité) en etend par réalité, si sans perturber localement un système, on arrive à déterminer avec certitude la valeur de l'une de ces grandeurs physiques, alors on dit qu'il existe un élément de réalité associé à cette grandeur. de même on dénie la localité par : Dénition 3.6 (localité) En physique, le principe de localité, connu également sous le nom de principe de séparabilité, est un principe selon lequel des systèmes distants ne peuvent avoir une inuence directe l'un sur l'autre. Ainsi, un système ne peut être inuencé que par son environnement immédiat. Autrement, lors d'une perturbation, les systèmes n'interagissent plus et sont dans des régions locales où aucun indice de causalité peut les relier. Donc, l'analyse EPR adoptée nous permet de conclure que la théorie quantique est une théorie incomplète du fait qu'elle arrive à expliquer certains éléments de la réalité, notamment la superposition des états de "Spin". Pourtant, elle demeure incapable de prédire avec certitude ces orientations. Par conséquent, le formalisme quantique est partiellement valide mais nécessite obligatoirement un complément. Mais, ce n'est qu'en 1964 que Bell démontra théoriquement qu'une telle corrélation ne peut être expliquée dans l'esprit d'incomplétude suggéré par Einstien [46]. 3.1. Exploration de la puissance du domaine quantique 83 Théoréme 3.11 (Théorème Bell) Soit un nombre positif |X| calculable à partir des corrélations observées, tel que : 1. |X| est toujours inférieur ou égal à 2 si les corrélations sont à caractère classiques. 2. dans le cas contraire, |X| peut dépasser 2 lorsque les corrélations sont dues à l'intrication. Alors si |X| > 2, on dit que les corrélations violent l'inégalité de Bell. l'idée clé de la démonstration consiste à considérer une source S produisant, à chaque instant t, une paire de particules "EPR". Par la suite, l'une des particules s'envole vers le laboratoire d'Alice tandis que l'autre se dirige vers le laboratoire de Bob. On suppose aussi que les deux laboratoires sont susamment éloignés de sorte que chaque correspondant travaille indépendamment de l'autre et aucune communication ni interaction n'est établie jusqu'à la n de l'expérience. Lors de cette analyse Alice peuvent choisir de mesurer selon deux base possibles {BA 1 , BA 2 } et {BB 1 , BB 2 } respectivement. Appelons les deux quantités mesurées A1 , A2 , B1 et B2 les résultats enregistrés par Alice et Bob respectivement. Il est à noter que ces quantités ne peuvent avoir que les valeurs ±1. Nous soulignons ici encore une fois qu'Alice et Bob eectuent leur mesures de façon indépendante. En fait, on peut constater qu'on a quatre congurations possibles selon le choix eectué : 1 et Bob B 1 , 1. [A1 , B1 ] = A1 · B1 ⇐⇒ si Alice choisi BA B 1 et Bob B 2 , 2. [A1 , B2 ] = A1 · B2 ⇐⇒ si Alice choisi BA B 2 et Bob B 1 et 3. [A2 , B1 ] = A2 · B1 ⇐⇒ si Alice choisi BA B 2 et Bob B 2 . 4. [A2 , B2 ] = A2 · B2 ⇐⇒ si Alice choisi BA B Considérons la quantité : [A1 , B1 ] − [A1 , B2 ] + [A2 , B1 ] + [A2 , B2 ] A1 · B1 − A1 · B2 + A2 · B1 + A2 · B2 (3.44) il facile de constater que Eq.3.44 peut se mettre sous la forme : X = (A1 + A2 ) · B1 + (A2 − A1 ) · B2 (3.45) en plus, étant donné que −1 ≤ Ai · Bi ≤ 1 alors on déduit que −2 ≤ X ≤ 2. Ceci dit, malheureusement, on ne peut pas mesurer et vérier X sur chaque paire de particules, car Alice(Bob) mesure soit A1 (B1 ) soit A2 (B2 ) mais jamais les deux à la fois. En outre, si on admet que la Nature est caractérisée par des éléments de réalité (hypothèse de départ), alors il faut penser qu'à chaque réalisation, les valeurs de A1 , B1 , A2 , B2 sont toutes gées à l'avance indépendamment du processus de mesure. Dans cette situation, une distribution de probabilité p(A1 , B1 , A2 , B2 ) sera favorable pour représenter l'ensemble des combinaisons possibles. En eet, pratiquement parlant, on suppose que cette distribution de probabilité sera dénie parfaitement une fois que les deux utilisateurs s'échangent leurs résultats. L'objectif de cette probabilité est de pouvoir déterminer une valeur moyenne caractérisant cette expérience. Pour ce faire, soit la valeur moyenne E(X ) de la quantité X . Or, maintenant nous pouvons calculer 3.1. Exploration de la puissance du domaine quantique 84 cette moyenne : E(X ) X = p(A1 , B1 , A2 , B2 )X {A1 ,B1 ,A2 ,B2 } X ≤ p(A1 , B1 , A2 , B2 ) × 2 = 2 (3.46) {A1 ,B1 ,A2 ,B2 } =⇒ E(X ) ≤ 2 or par la linéarité de la moyenne, nous aurons : E(X ) = E [A1 , B1 ] − E [A1 , B2 ] + E [A2 , B1 ] + E [A2 , B2 ] (3.47) donc du Eq.3.46 et Eq.3.47 nous avons : E [A1 , B1 ] − E [A1 , B2 ] + E [A2 , B1 ] + E [A2 , B2 ] ≤ 2 (3.48) Nous avons obtenu cette dernière inégalité en faisant deux hypothèses. La première c'est que les résultats possibles de toutes les mesures sont des caractéristiques de l'état du système indépendamment de la mesure. Par contre, la deuxième stipule que la mesure eectuée par Alice(Bob) ne peut en aucune manière inuencer le résultat de Bob (Alice). De ce fait, les deux hypothèse ensemble constituent ce qu'on appelle l'hypothèse de réalisme local et Alice et Bob peuvent vérier l'inégalité de Bell en faisant tourner l'expérience plusieurs fois. Or pour les états corrélés comme |β10 i, la théorie quantique prédit toutefois des valeurs moyennes des observables mesurables A et B parfois diérentes. Pour nous en convaincre, nous allons considérer les situations de mesure suivantes : 1 et Bob B 1 , 1. [Aθ , Bθ ] = A1 · B1 ⇐⇒ si Alice choisi BA B 1 et Bob B 2 , 2. [Aθ , Bθ⊥ ] = A1 · B2 ⇐⇒ si Alice choisi BA B 2 et Bob B 1 et 3. [Aθ⊥ , Bθ ] = A2 · B1 ⇐⇒ si Alice choisi BA B 2 et Bob B 2 . 4. [Aθ⊥ , Bθ⊥ ] = A2 · B2 ⇐⇒ si Alice choisi BA B avec Xθ,(θ⊥) est l'observable mesurable suivant l'angle θ(θ ⊥) matérialisé avec un ltre polariseur orienté à un angle θ(θ + π2 ) par rapport à l'axe horizontale. Il est à noter que si Alice et Bob décident de mesurer avec ces ltres orientés, alors ils vont avoir les mêmes résultats que s'ils décident d'utiliser d'autres orientations. Et cela est justié du fait que |β10 i peut être exprimé dans la base {|θi, |θ ⊥i} comme suit : |β10 i = = 1 √ (|01i + |10i) 2 1 √ (|θ, θ ⊥i + |θ ⊥, θi) 2 (3.49) toutefois, si on suppose que Alice reste dans la base computationnelle {|0i, |1i}, tandis que Bob mesure avec son ltre orienté selon θ. Alors il serait judicieux de récrire l'état sous la forme suivante : |β10 i = = 1 √ (|01i + |10i) 2 1 √ (|0 ⊗ (sin(θ)|0i + cos(θ ⊥)|1i)i − |1 ⊗ (cos(θ)|0i − sin(θ ⊥)|1i)i). 2 (3.50) 3.1. Exploration de la puissance du domaine quantique 85 Dans ce cas nous aurons pour la moyenne : E(Ai , Bj ) = h0, θ|β10 i2 + h0, θ ⊥ |β10 i2 + h1, θ|β10 i2 + h1, θ ⊥ |β10 i2 (3.51) = sin(θ)2 − cos(θ)2 = −2 cos(2θ) et plus généralement, on constate que cette moyenne ne dépend que de l'angle entre le ltre de Bob et celui d'Alice. Ainsi, on aura : E(Ai , Bj ) = −2 cos(2(θA − θB )) en plus nous avons d'après Eq.3.47 : X E(X ) = E(Ai , Bj ) {A1 ,B1 ,A2 ,B2 } X = −2 cos (2(θAi − θBi )) (3.52) {θA1 ,θB1 ,θA2 ,θB2 } donc, il est facile de constater qu'on peut trouver des valeurs pour les θi violant l'inégalité de Bell : π 8 θA2 = 3π θB2 = π + √ 4 ⇒ E(X ) = 2 2 > 2 θA1 = 0 θB1 = π 8 (3.53) Par la présente démonstration, on conclus que les corrélations quantiques ne sont pas établies à la source et sont donc d'une nature diérentes des corrélations classiques. En eet, aucune corrélation de type classique n'est en mesure de reproduire les eets quantiques ni d'expliquer classiquement ce genre de corrélation. Ainsi, deux qubits "A" et "B" de ce type forment une seule entité, sont non-séparables et dit intriqués, et cela quelle que soit la distance qui les sépare. En outre, la théorie quantique ne remplit pas l'hypothèse de réalisme local et c'est grâce à l'inégalité de Bell que nous avons une méthode opérationnelle de prouver le comportement quantique de la Nature qui n'obéit pas au réalisme local. Nous allons par la suite examiner une application pratique des états corrélés dans l'information quantique à savoir la téléportation quantique. téléportation quantique : La téléportation quantique consiste à transmettre un état quantique inconnu d'un point un autre, sans transporter de la matière. En eet, ce processus de communication est purement quantique du fait que la description d'un seul qubit nécessite deux nombres complexes. Ce qui est une quantité non bornée de bits classiques. Donc, la téléportation est impossible de point de vue classique. Donc pour illustrer le mécanisme de la téléportation, nous allons considér le protocole de communication quantique dans lequel Alice partage une paire EPR |β00 i = √12 (|00i + |11i) avec Bob, pour lui téléporter un qubit |ψi ∈ C2 = α|0i + β|1i en mesurant sa demi-paire EPR et |ψi avec la mesure de Bell {|β00 ihβ00 |, |β01 ihβ01 |, |β10 ihβ10 |, |β11 ihβ11 |}. Ainsi, soit |βxz ihβxz | le résultat de la mesure obtenue par Alice. Elle annonce alors (x, z) à Bob qui retrouve |ψi après avoir appliqué X x Z z sur sa demi-paire EPR. Puisque l'état de Bob est l'état associé à une demi-pair EPR, 122 , et que cet état ne change pas tant que le résultat de la mesure d'Alice demeure inconnu à Bob, pour chaque ρ ∈ D(C2 ) : p 12 = (ρ + XρX + Y ρY + ZρZ) . (3.54) 2 4 3.1. Exploration de la puissance du domaine quantique 86 En eet, comment cela s'explique de point de vue de Bob lorsque Alice eectue sa partie de la téléportation. Au départ, Bob possède la moitié d'un état |β00 i et nous savons que T rA (|β00 i) = 122 . Alors, si ρ = |ψihψ| est l'état à téléporter de Alice vers Bob, avant Bob deux bits que ne1 reçoive les 1 1 1 classiques, le qubit en sa possession est dans l'état |ψi, ; X|ψi ; Z|ψi ; X.Z|ψi 4 4 4 4 ayant comme matrice de densité Eq.3.54. Donc nalement, on constate alors quand Alice mesure les qubits dans la base de Bell, cette action va transformer le qubit de Bob en l'état inconnu original d'Alice multiplié par l'un des quatre opérateurs {I, Z, X, ZX} unitaires selon le résultat obtenu par Alice. Par conséquent, une fois Alice informe Bob via un canal classique de son résultat, il peut alors appliquer l'opérateur unitaire approprié pour récupérer l'état original d'Alice. Discorde : une nouvelle forme de corrélation purement quantique L'intrication a longtemps été vue comme un élément essentiel dans le domaine de la communication et l'information quantique. Considérée comme synonyme des corrélations quantiques, elle n'est pas la seule propriété témoignant du caractère quantique de ces corrélations. Ceci est vrai car certains mélanges d'états non complètement intriqués peuvent tout de même présenter des corrélations supérieures aux corrélations classiques [50]. Dans cette optique, quantiait l'intrication rêver aussi un caractère primordiale dans la théorie quantique pour classier les états. Cette nouvelle approche ore d'une part des nouvelles perspectives d'échelonner le degré d'interaction conné dans un système donné. D'autre part, de lever la nuance entre la corrélation quantique totale estimée à l'aide de l'entropie de von Neumann et la corrélation classique d'une sous partie du système globale. En eet, à un passé récent, cette nuance n'est était pas prise en considération du fait qu'on supposait qu'une telle distinction ne serait d'aucune utilité. Toutefois, la diérence de ces deux quantités correspond aux corrélations d'origine purement quantique appelée discorde [48, 49]. Elle a permit d'envisager une possibilité d'exploitation des états non intriqués mais ayant une discorde non nulle. De ce fait, cette notion a fait récemment l'objet de plusieurs recherches an de mettre en évidence sa capacité d'être considérée une nouvelle ressource en information quantique. L'avantage, par rapport à l'intrication, est qu'elle est beaucoup moins "fragile" face aux eets du phénomène de la décohérence et également beaucoup plus facile à produire expérimentalement. Par ailleurs, l'handicape majeur actuellement réside dans la diculté de construire une observable pour mesurer directement cette propriété physique. Néanmoins, une estimation indirecte à travers un modèle a été bien élaborée an de quantier la discorde. Avant de présenter le modèle de la discorde, on va rappeler les diérentes classes des systèmes quantiques composés de deux parties "A" et "B" : 1. état factorisable : on dis qu'un système S (A,B) est dans un état factorisable si les états des sous-systèmes correspondants sont complètement décorrélé les uns des autres. Autrement, cette proposition est équivalente au fait que l'action de mesurer l'une de ces modes n'apporte aucune information sur les autres modes. 2. état classiquement corrélé : dans ce cas, un tel état est considéré partiellement corrélé. 3. état formé de mélange statistique : Un état est dit séparable ou en état de mélange s'il n'est pas intriqué, mais pourtant il contient probablement des corrélations plus fortes que les corrélations classiques. À ce stade, on parle de mesure de la discorde pour les mettre en évidence. Cela revient à dire que la mesure locale ne perturbe pas l'état globale du système [51]. 3.1. Exploration de la puissance du domaine quantique 4. 87 état intriqué : Un état est dit intriqué s'il n'appartient pas à l'ensemble des états précé- dents. Cela revient à dire, qu'on ne peut pas le factoriser, l'action de la mesure perturbe obligatoirement l'état du système et la connaissance d'une sous-partie nous renseigne parfaitement sur l'autre partie. Ainsi, si on considère deux variables classiques corrélés "A" et "B", alors cette corrélation correspond à leur information mutuelle : I(A : B) = H(A) + H(B) − H(A, B) (3.55) de même pour le cas quantique, la généralisation est triviale est s'obtient par : I(ρ(AB)) = S(ρ(A)) + S(ρ(B)) − S(ρ(AB)) (3.56) en eet, cette mesure capture toutes les corrélations présentes dans ρ(AB) indépendamment de son origine (classique et/ou quantique) [52, 53, 54, 55]. Dans cette optique, si on fait varier la mesure exécutée sur les parties classiques "A" et "B", l'information mutuelle reste inchangée. Donc la formule de Eq.3.55 peut être réécrite sous une autre forme : I(A : B) = H(A) − H(A|B) = H(A, B) = H(B) − H(B|A) (3.57) Par contre, dans le cas quantique, on a pas cette possibilité du fait que la mesure perturbe l'état du système. Ainsi, si on mesure à l'aide d'un POVM {Πb } la partie "B", alors la matrice densité T rB Πb ρ(AB) de l'autre partie sera ρA = pB =T rAB Πb ρ(AB) . Donc, la version quantique de Eq.3.57 sera dénie comme suit : X C(A|{Πb }) = S(ρ(A)) − pB (k)S(ρA|k ) (3.58) k cette quantité correspond à l'information mutuelle classique obtenue avec {Πb } et les corrélations classiques totales sont obtenues en maximisant C(A|{Πb }) sur tout les POVM {Πb } [49]. La discorde quantique est ainsi dénie comme la diérence entre les corrélations totales I(ρ(AB)) et les corrélations classiques C(A|B) : D(A|B) = I(ρ(AB)) − C(A|B). (3.59) Pour mieux illustrer le concept de la discorde, nous proposons une étude dont l'objectif est d'estimer cette quantité pour des états cohérentes déformés [56] couplé à un environnement décohérent. Nous avons choisi d'analyser des états déformés bimodes. En fonction du facteur de déformation, ces états peuvent présenter ou non de l'intrication [57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69], mais en revanche ils présentent toujours de la discorde, sauf s'ils approchent de la limite classique alors qu'ils deviennent factorisables. Ainsi, on rappelle qu'un état cohérent déformé peut s'écrire sous la forme suivante : |Z, f i = Nf ∞ X √ n=0 1 αn |ni , Nf = [expf [|α|2 ]]− 2 , α ∈ C. n!f (n)! (3.60) avec Z est l'amplitude cohérente, f est le facteur/fonction de déformation et "expf " est la forme déformée de la fonction exponentielle [70]. Ceci dit, alors on peut construire, à la base de l'état de Eq.3.60, la version déformée des quatre états de Bell dénie comme suit : |φ± if = |ψ ± if = 1 N (|Z; Zif ± | − Z; −Zif ), 1 N (|Z; −Zif ± | − Z; Z, if ). (3.61) 3.1. Exploration de la puissance du domaine quantique 88 Dans notre étude, on va considérer le modèle d'un canal dissipatif dans lequel évolue l'un de ces quatre états. Ainsi, on va estimer l'évolution de la discorde et voir sa variation en fonction des paramètres initiales (amplitude, déformation, l'amortissement induit par la décohérence...). Par conséquent, l'interaction entre le système bipartite et l'environnement peut être modélisée par l'Hamiltonien : HD = ω † (A A + AA† ), 2 (3.62) où A et A† sont les opérateurs d'annihilation et de création déformés donnés par : A = af (n̂) = f (n̂ + 1)a , A† = f (n̂)a† = a† f (n̂ + 1) (3.63) avec ω une grandeur homogène assimilée à une fréquence angulaire appelée pulsation propre de l'oscillateur. De ce fait, l'évolution du système composé de l'état biparti déformé et de l'environnement est gouvernée par l'équation maitresse "master equation" donnée par [71] : ∂ρ = −i[HD , ρ] − λ(n̂f 2 (n̂)ρ + ρn̂f 2 (n̂) − 2f (n̂ + 1)aρa† f (n̂ + 1)). ∂τ (3.64) Après la résolution de cette équation, nous obtenons l'opérateur densité ρ(τ ) du système à un instant τ 6= 0 donné par : ρ(τ ) = N− 2 {|tzi1 htz| ⊗ | − tzi2 h−tz| + | − tzi1 h−tz| ⊗ |tzi2 htz| 2 − expf [−|z|2 ]2r (|tzi1 h−tz| ⊗ | − tzihtz| + H.c)}, (3.65) avec t = exp[− 21 λn0 τ ] = exp[− 21 λf 0 (n0 )τ ]. Ultérieurement, nous adoptons une normalisation du temps d'interaction ”r” déduite du ”τ ” par : p r = 1 − t2 . (3.66) Dans ce contexte, il serai préférable de réécrire ρ(τ ) de Eq.(3.65) sous la forme matricielle suivante : ! ρ 0 0 ρ 1 ρ|ψ− if = N− 2 3 0 ρ2 −ρ2 0 0 −ρ2 ρ2 0 ρ3 0 0 ρ4 . (3.67) Pour ce faire, on utilise la base orthonormale paire-impaire dénie comme suit : 1 |±i = p (|tzi ± | − tzi) 2N± (t) (3.68) avec N± (t) est le facteur de normalisation N± (t) = 1 ± expf [−|tz|2 ] et les éléments ρi sont : ρ1 = (1 − T )N+ (t)2 ρ2 = (1 − T )N+ (t)N− (t) ρ3 = (1 − T )N− (t)2 ρ4 = −(1 − T )N+ (t)N− (t) T N− 2 = expf [−|z|2 ]2r 1 q . = 4 (1 − expf [−|z|2 ]2 ) (3.69) 3.1. Exploration de la puissance du domaine quantique 89 avant de préciser la quantication de la discorde, on rappelle une relation qui lie l'intrication de formation [72] et la corrélation classique dans un système physique donnée par : (3.70) C AB + E BC = S B . Ainsi, tout calcul fait, la discorde est évaluée comme suit : DAB = S A + E BC − S AB = 2 X i=1 q 2 √ 3 X 1 + 1 − 2N− 2 (ρ2 − ρ1 ρ4 ) + −λi log2 (λi ) + H δi log2 (δi ),(3.71) 2 i=1 p avec δi ∈ {2ρ2 , 12 ρ1 + ρ4 ± (ρ1 − ρ4 )2 + 4ρ3 } et λi ∈ {ρ1 + ρ2 , ρ2 + ρ4 }. dans cette étude nous avons pu quantier la discorde en fonction des paramètres initiales du système considéré. Ainsi, nous avons aussi montré l'eet que peut engendrer l'environnement dans la diminution de l'intrication totale, et que la compréhension de ce phénomène est primordiale pour tous les domaines de la Physique, et plus particulièrement pour le domaine de l'information quantique. En eet, un système quantique sur lequel on aimerait mesurer une observable donnée est inévitablement plongé dans un environnement. C'est en fait q'un système réel ne sera jamais totalement isolé, il y aura toujours une interaction résiduelle entre les degrés de liberté du système à étudier et les indiscernables degrés de liberté de l'environnement. Toutefois, et contrairement au comportement de l'intrication, qu'on constate très fragile, la discorde est par contre plus robuste, et peut même augmenter par un couplage avec un environnement bien préparé, ce qui fait d'elle une ressource particulièrement intéressante d'un point de vue expérimental et fonctionnel. Après avoir abordé les principaux aspects de la mécanique quantique, notamment la notion de la mesure, l'intrication et la quantication de l'information avec lesquelles nous avons pu toucher de prêt la puissance et l'amélioration que peut apporter dans le domaine de la communication quantique. En plus nous avons eu l'occasion de découvrir le mystère des fondements quantiques, certes diversié et étrange. Toutefois, elle nous impose des règles et des limitations qu'on doit obligatoirement prendre en considération lors des études des systèmes physiques utilisés comme support de transmission de l'information. C'est dans cette optique, qu'on va introduire la notion de la décohérence comme principale entrave imposée par les lois de la théorie quantique. En eet, c'est à cause de l'interaction résiduelle entre l'environnement et le système en question qui engendre la décohérence et qui sélectionne les états quantiques accessibles à la mesure. Ainsi, il est important de souligner qu'un système, composé de deux parties ou plus, est dicile de le maintenir isoler de l'environnement. Du fait que ses constituants ont une grande probabilité de s'intriquer avec des particules non contrôlées de l'environnement. Autrement dit, dans les termes servant à décrire la décohérence, on estime que beaucoup d'informations s'échappent du système vers l'environnement. Par conséquent, cette situation impose au système un comportement qui tend vers le classique. On comprend donc que lorsqu'on cherche à exploiter l'intrication, par exemple dans le cadre de la communication, le principal dé qu'on doit envisager est la diculté de préserver l'intrication. 3.2. La décohérence 90 3.2 La décohérence L'obstacle principal à la manipulation pratique de l'information est la perte de cohérence [75] qui est parmi les propriétés les plus intéressantes dans le domaine quantique. Cette altération est globalement provoquée par les interactions avec l'environnement (et le moins souvent) est due aux interactions du système avec les appareils de mesure. Ainsi, dans cette section on va mettre en relief la sources majeure de la décohérence à savoir la modélisation de l'eet de l'environnement via la représentation de Kraus appliquée au registre quantique des transformations unitaires aléatoires. Cette approche permet, en outre, de reproduire exactement l'eet d'environnement mais, en règle générale, elle est dicile de maintenir la condition d'évolution quantique unitaire. Toutefois, nous allons voir que malgré que cette évolution induite sur le sous-système n'est pas unitaire, mais elle doit au moins respecter plusieurs contraintes. Ce qui permettra toujours d'envoyer un état quantique valable vers un autre état quantique valable. De ce fait, une telle évolution sera décrite par un opérateur linéaire, communément appelé superopérateur, étant donné que lui aussi agit sur des opérateurs linéaires. En outre, le formalisme opérateurs-somme nous procure les outils nécessaires pour représenter mathématiquement une opération eectuée par l'environnement sur le système quantique en question. Par la suite, nous établirons l'application directe de cette approche pour modéliser un environnement aux canaux quantiques bruyants. Ensuite, nous discutons l'eet engendré par une mesure incomplète ou non lue sur un système physique donné. Cette étape nous sera très utile pour répondre à la question "Pourquoi n'observe-t-on pas réellement de superpositions étranges des systèmes macroscopiques ?". A la n, nous terminons par une brève ouverture sur d'autres obstacles, mais cette fois-ci, d'ordre technique freinant les avancées dans le domaine quantique et plus particulièrement les protocoles de communication. 3.2.1 Superopérateurs CPPT et le formalisme opérateurs-somme 3.2.1.1 Application d'une fonction à un opérateur normal et la notion de "Superopérateur" On rappelle d'abord la notion permettant d'appliquer une fonction quelconque "f " sur un opérateur "A". Ainsi, on considère f : C → C une fonction (une application) et soit A un opérateur normal. La notation f (A) ést interprétée comme l'application de la fonction f sur les valeurs propres de A. Plus particulièrement, si A ∈ Pos(A), alors les fonctions f : R+√→ R+ peuvent être appliquées √ à A (racine carrée positive : x = y ∈ R+ tel que y 2 = x. Ainsi, A a une signication logique). Cette possibilité d'appliquer des fonctions sur des opérateurs nous a permis de construire d'autres opérateurs f (A) en se basant sur A. De ce fait, on va essayer de voir comment un opérateur se comporte lorsq'un autre lui est appliqué dans le contexte de l'évolution quantique d'un sous-système interagissant avec son environnement. Pour ce faire, on sait que d'après le postulat 2 de la mécanique quantique qu'un système isolé dont l'état initial est ρ ∈ D(A) peut être transformé en l'état ρ0 via une transformation unitaire U ∈ U(A) telle que ρ0 = U ρ U ∗ . d'autant plus, rien n'empêche de considérer un système S non isolé, mais en interaction avec un grand nombre de degrés de liberté qui constituent son environnement E . Initialement, dans notre 3.2. La décohérence 91 préparation on va supposer que le système et l'environnement ne sont pas intriqués. Donc, l'état représentant l'ensemble {S, E} est de la forme : ρ{S,E} = ρS ⊗ ρE maintenant, le système combiné peut être soumis à une évolution unitaire U ∈ U(S ⊗ E) : ρ0 = U (ρS ⊗ ρE ) U † . (3.72) globalement, l'évolution de S est extraite en traçant sur l'environnement : h i ρ{S} → N (ρ{S} ) = T rE U (ρS ⊗ ρE ) U † . Par analogie, nous proposons une reformulation du postulat sur l'évolution des systèmes quantiques. En eet, nous considérons les situations où un système évolue avant qu'une partie de ce système devienne inaccessible. Nous pouvons voir les opérations quantiques résultantes comme celles qui puissent être réalisées dans un système ouvert plutôt que dans un système fermé, comme le suppose le deuxième postulat. Cette approche analytique est souvent plus proche de la réalité que le fait de considérer que le système est isolé. Car pratiquement parlant, le système que l'on veut analyser ne peut pas toujours être considéré fermé. D'un point de vue théorie de la communication, un support de l'information fait toujours l'objet des erreurs de transmission et d'attaques par les adversaires sur le canal. Donc,un système quantique ρ ∈ D(A) peut évoluer selon N(ρ) si le super-opérateur N : L(A) → L(B) est : ∀ρ ∈ D(A), N(ρ) ≥ 0 et tr(N(ρ)) = tr(ρ), Pm Linéaire : N( i=1 pi N(ρi ), i=1 pi ρi ) = Complètement positif : ∀ρ ∈ D(A ⊗ C), (N ⊗ 1C )(ρ) ≥ 0. par ailleurs, on dénit les super-opérateurs décrits auparavant comme suit : Positif et préserve la trace : Pm Dénition 3.7 Tout super-opérateur qui satisfait aux trois conditions susmentionnées est appelé super-opérateur complètement positif qui conserve la trace CPCT. ou, plus simplement, super-opérateur Dans cette optique, on considère le théorème de Kraus [73] qui nous permet d'établir que les super-opérateurs complètement positif peuvent toujours être réalisés par le biais d'une isométrie suivie d'une annulation de l'action de l'environnement. De plus, le théorème de Kraus nous procure une façon à la fois simpliste et rigoureuse pour représenter une super-opération quantique valide par un ensemble d'opérateurs qui résolvent l'identité, d'une façon semblable aux POVMs. Cette formulation canonique de représenter une super-opération quantique est appelée forme de Kraus ou représentation opérateur-somme. Théoréme 3.12 (Kraus) Le super-opérateur N : L(A) → L(B) est CPCT si et seulement s'il existe {Nk }k ⊂ L(A, B) tel que pour chaque ρ ∈ D(A), N(ρ) = X k Nk ρ Nk∗ et X Nk∗ Nk = 1A . k L'ensemble {Nk }k est appelé décomposition/forme de Kraus de l'opération quantique N. D'autre part, le super-opérateur N : L(A) → L(B) est CPCT si et seulement s'il existe une isométrie U ∈ L(A, B ⊗ E) telle que pour chaque ρ ∈ D(A), N(ρ) = trE (U ρ U ∗ ) . 3.2. La décohérence 92 Pour démonter cette représentation, la preuve est purement calculatoire. Ainsi, nous allons montrer dans un premier temps que si N : L(A) → L(B) satisfait aux conditions des superopérateurs complètement positifs, alors il existe une P représentation 0opérateurs-somme {Nk }k pour N. Pour ce faire, on considère un état |ϕi = √1 i |ei i|ei i ∈ A⊗A où d = #A et ρAA0 = (1A0 ⊗N)(|ϕihϕ|). d P P 0 En plus, on pose |ψi = i ψi |ei i ∈ A avec son état associé |ψi = i ψ i |ei i ∈ A0 . Par conséquent, on aura : d 1 X 1X 1 ψ ρAA0 ψ = ψ N(|ek ihel |) ⊗ |ek ihel | ψ = ψ l ψk N(|ek ihel |) = N(|ψihψ|) , d d d k,l=1 k,l (3.73) pour obtenir la dernière égalité nous avons fait recours à la linéarité de N. Ainsi, on constate que l'état ρAA0 contient toute l'information nécessaire pour la construction de N. D'un autre point de vue, réécrivons ρAA0 sous la forme : X ρAA0 = pk |nk ihnk |AA0 . (3.74) k En se basant sur la décomposition spectrale, où {|nk i}k est l'ensemble des vecteurs propres orthonormés de ρAA0 . En outre, on considère l'opérateur p Nk |ψi = d · pk ψ nk AA0 agissant sur |ψi ∈ A. Ainsi, l'action de cet opérateur sur n'importe quel état pur |ψi ∈ A sera comme suit : X X Nk |ψihψ|Nk∗ = d pk ψ nk nk ψ = d ψ ρAA0 ψ = N(|ψihψ|) . k k Il est à noter également que la dernière égalité est la conséquence de (3.73) et on mentionne aussi que le même résultat est obtenu dans le cas des états mixtes. De ce fait, nous avons pu démontrer que {Nk }k est une représentation opérateurs-somme de N. Il en reste maintenant d'établir que P ∗ k Nk Nk = 1A . Pour avoir se résultat, il sut de voir que pour chaque état |ei i ∈ A de la base canonique, nous avons : X X hei | Nk∗ Nk |ei i = hei | Nk∗ Nk |ei i k k = d X pk hnk |eiihei |nki k = d X pk tr (hei |nkihnk |eii) k = tr (N(|ei ihei |)) = 1 , (3.75) P où (3.75) est une conséquence du fait que N préserve la trace. Il en résulte que k Nk∗ Nk = 1A puisque (3.75) est observé pour tous les éléments de la base canonique {|ei i}i . Ceci complète le preuve qu'un super-opérateur CPCT peut toujours être représenté sous la forme opérateurssomme. Pour ce qui est du chemin inverse, nous devons montrer que tout super-opérateur représenté sous la forme opérateurs-somme {Nk }k , où Nk ∈ L(A, B), correspond bien à un super-opérateur 3.2. La décohérence 93 P CPCT N : L(A) → L(B). On considère alors N(ρ) = k Nk ρ Nk∗ . Il est évident que N est linéaire et qu'il préserve également la trace, puisque : ! ! ! X X X tr Nk ρ Nk∗ = tr ρ Nk∗ Nk = tr ρ Nk∗ Nk = tr (ρ 1A ) = tr (ρ) . k k k À ce stade, il ne reste qu'à montrer que N est complètement positif. Donc, pour le prouver, on considère un état |ψi ∈ B ⊗ C sur un espace euclidien C arbitraire et σ ∈ D(B ⊗ C) une matrice densité. Si on pose |ϕk i = √1` (Mk ⊗ 1C )|ψi avec `k = hψ|(Mk∗ Mk ⊗ 1C )|ψi ≥ 0, car k Mk∗ Mk ⊗ 1C ∈ Pos(B ⊗ C). Nous avons, hψ|(Mk∗ ⊗ 1C ) ρ (Mk ⊗ 1C )|ψi = `k hϕk |ρ|ϕk i ≥ 0 , puisque ρ ∈ Pos(B ⊗ C). Finalement, hψ|(N ⊗ 1C )(ρ)|ψi = X `k hϕk |ρ|ϕk i ≥ 0. k Et N est un super-opérateur CPCT. Maintenant, il nous reste à établir que pour toute isométrie U P ∈ L(A, B ⊗ C) et pour chaque ρ ∈ D(A), il existe une décomposition de Kraus {Ek }k telle que k Ek ρEk∗ = trC (U ρU ∗ ). Donc, pour le démonter, nous procédons par la dénition de Ek à partir d'une base orthornomée {|ck i}k pour C : ρ0 = trC (U ρU ∗ ) X = hck |U ρ U ∗ |ck i | {z } | {z } k = Ek ∈L(A,B) X Ek∗ ∈L(B,A) Ek ρEk∗ . k Vérions la résolution de l'identité sur A : X X Ek∗ Ek = U ∗ |ck ihck |U k k = X U ∗ (1B ⊗ |ck i)(hck | ⊗ 1B )U k = U∗ ! X (1B ⊗ |ck i)(hck | ⊗ 1B ) U k ∗ = U 1BC U = 1A . Il ne reste qu'à montrer que tout super-opérateur sous forme de Kraus {Nk }k ⊂ L(A, B) est équivalent à une isométrie U ∈ L(A, B ⊗ C) suivi d'une trace sur C . Encore une fois, il sut de poser, pour |ψi ∈ A quelconque, X U |ψi = Ek |ψi ⊗ |ki . k 3.2. La décohérence 94 Nous avons, pour {|ci}c une base orthonormale pour C , X X X Ek |ψihψ|Ek∗ . hc|C Ek |ψi|ki k 0 hψ|Ek∗0 |ciC = trC (U |ψihψ|U ∗ ) = c k,k0 k Il est facile de vérier que U ∗ U = 1A . Une derniére propriété très intéressante et qui nous sera très utile c'est la somme de deux CPPT est une CPPT. En fait, si on pose E : L(A) → L(B) un opérateur CPPT avec décomposition opérateurs-somme {Ei }ei=1 et T : L(B) → L(C) un opérateur CPPT avec décomposition opérateurs-somme {Fj }tj=1 . Alors la composition de ces deux super-opérations appliquée à ρ ∈ D(A) possède aussi une décomposition opérateurs-somme : ! X X ∗ T(E(ρ)) = Fj Ei ρEi Fj∗ j = X = X i Fj Ei ρEi∗ Fj∗ i,j Gk ρG∗k , k et {Gk }t·e k=1 est la réprésentation opérateurs-somme du super opérateur CPPT G = T ◦ E : L(A) → L(C). Théoréme 3.13 Les {Ei }i et {Fj }j produisent les mêmes opérations CPPT si et seulement s'il existe une matrice unitaire U = {uij }i,j tel que ∀i, Ei = X uij Fj j où on ajoute des opérateurs ∅ dans l'ensemble qui en contient le moins. Nous avons vu quelles sont les propriétés vériées par un superopérateur obtenu en appliquant une évolution unitaire sur le système et son environnement. Nous allons maintenant évoquer une interprétation physique de ce résultat. En eet, nous pouvons redénir le postulat relatif à l'évolution des systèmes quantiques de sorte que l'ajout explicite d'un système ancillaire n'est plus nécessaire. Les transformations possibles sur un état sont des opérateurs isométriques dont le domaine correspond à l'espace euclidien sur lequel la transformation est appliquée. 3.2.1.2 La notion physique d'un superopérateur Dans ce paragraphe nous allons démontrer une équivalence non triviale entre l'action induite par un superopérateur agissant sur un système quantique ouvert en évolution et l'action d'une mesure généralisée faite sur le système en question [74]. On doit tout d'abord observer que la forme de Kraus est absolument générale, pour tout superopérateur linéaire complètement positif. De plus, nous avons pu voir qu'on peut trouver une représentation de Kraus quelle que soit la nature de l'environnement associé au système ouvert. Ainsi, en comparant Eq.3.20 (aussi bien que les conditions dans Sec.3.1.2.4) au théorème., nous constatons que toute évolution par superopérateur linéaire complètement positif peut être interprétée comme une mesure généralisée exécutèe sur le système cible. Donc, on peut toujours 3.2. La décohérence 95 représenter un superopérateur agissant sur un système S comme un résultant d'une évolution unitaire d'un système étendu S ⊕ E , suivie d'une mesure projective non conclusive dans E . Ici E représente un environnement ancillaire. Ainsi, c'est l'interprétation physique de l'action posée par un super opérateur avec une certaine décomposition en opérateurs-somme. Pour la concrétiser, nous considérons E : L(A) −→ L(B) un superopérateur CPPT déni comme suit : E(ρ) = trC (U ρU ∗ ) où U ∈ L(A, B ⊗ C) est une isométrie. De même, on suppose que nous avons {|ci i}i une base orthonormée pour C . Par conséquent, on a : X ρ0 = E(ρ) = hci |U ρU ∗ |ci i i = X Ei ρEi∗ , i pour Ei := hci |U ∈ L(A, B). D'un autre point de vue, on construit une mesure de Von Neumann permettant d'eectuer une mesure sur C dénie ainsi : M = {|ci ihci |}i donc, si on exécute une telle mesure, l'état non-normalisé résultant sera : X ρ̃0k = hci |E (|ck ihck |E ⊗ 1B ) U ρU ∗ (|ck ihck |E ⊗ 1B ) |ci iE i = (hck |E ⊗ 1B ) U ρU ∗ (|ck iE ⊗ 1B ) , (3.76) où (3.76) est obtenu par dénition du produit scalaire partiel. En normalisant ρ̃0k , nous obtenons : ρ0k = Ek ρEk∗ , tr ρEk∗ Ek et l'état résultant ρ0 ∈ D(B) qui ignore le résultat de la mesure sur l'environnement C est : X ρ0 = tr (ρEk∗ Ek ) ρ0k . k L'interprétation de cette approche est que l'action de E sur ρ est équivalente à lui appliquer √ Ei ∗ avec une probabilité tr(ρEi∗ Ei ). tr(ρEi Ei ) Pour mieux illustrer cette notion, on va adopter l'exemple suivant an de mettre en évidence cette équivalence. Donc, pour commencer, nous allons étudier l'isométrie U dénie sur L(A, A ⊗ C) par : U = |00ih0| + |11ih1| . appliquant une telle transformation sur ρ ∈ D(A), nous permet d'obtenir l'évolution suivante : U ρU ∗ = CNOTρ ⊗ |0ih0|C CNOT∗ , où CNOT ∈ U(A ⊗ C) est l'opération logique control-not. Donc, pour passer à la super-opération équivalente, nous allons tracer maintenant sur le registre C dans la base {|0i, |1i} pour obtenir nalement : E(ρ) = trC (U ρU ∗ ) . (3.77) 3.2. La décohérence 96 autrement, nous avons procédé comme suit : E(ρ) = trC (U ρU ∗ ) = h0|U ρU ∗ |0i + h1|U ρU ∗ |1i = |0ih0|ρ|0ih0| + |1ih1|ρ|1ih1| (3.78) = h0|ρ|0i|0ih0| + h1|ρ|1i|1ih1| . (3.79) Donc, on constate bien que l'équation (3.78) peut être vue comme une superopération qui mesure ρ avec une mesure projective dans la base de calcul. En eet, cette opération consiste à appliquer le projecteur |0ih0| avec une probabilité de tr(ρ|0ih0|) et à appliquer aussi le projecteur |1ih1| avec une probabilité de tr(ρ|1ih1|). Cette action est en fait une mixture linéaire des deux opérations projectives |0ih0| et |1ih1|. Simplement, l'équation (3.79) nous montre que ρ est exprimée en fonction de h0|ρ|0i × |0ih0| et de p h1|ρ|1i × |1ih1|. La p représentation opérateurs-somme obtenue du superopérateur est donc {|0ih0|/ h0|ρ|0i, |1ih1|/ h1|ρ|1i}. Toutefois, cette équivalence n'est pas la seule représentation possible. En eet, si on trace le registre sur C dans la base {|+i, |−i} au lieu de {|0i, |1i}, nous allons trouver : E(ρ) = trC (U ρU ∗ ) = h+|U ρU ∗ |+i + h−|U ρU ∗ |−i 1ρ1 ZρZ + , = 2 2 par analogie, nous pouvons interpréter cette transformation par la superopération qui ne fait rien à ρ avec une probabilité 21 et qui renverse la phase avec une probabilité 12 . La super-opération √ √ E peut donc être représentée par l'opérateurs-somme {1/ 2, Z/ 2}. Ces deux représentations sont donc équivalentes : |0ih0| |1ih1| 1 Z {p ,p } ≡ {√ , √ } , 2 2 h0|ρ|0i h1|ρ|1i pour tout état ρ ∈ D(C2 ). Ce qu'on doit retenir est que nous somme devant le même phénomène physique qu'on peut interpréter mathématiquement par plusieurs représentations équivalentes. Ainsi, nous allons énonncer un théorème qui nous xe la condition requise pour que deux représentations opérateurs-somme correspondent à la même superopération. Théoréme 3.14 Les {Ei }i et {Fj }j produisent les mêmes opérations CPPT si et seulement s'il existe une matrice unitaire U = {uij }i,j tel que ∀i, Ei = X uij Fj j Toutefois, il n'est pas nécessaire que les deux ensembles {Ei }i et {Fj }j aient le même nombre d'éléments. On peut, en eet, compléter l'ensemble de cardinal le plus petit par des opérateurs nuls. Quant à l'équivalence entre la représentation de Kraus et l'exécution d'une mesure généralisée, nous savons qu'une mesure lue correspond à une transformation de l'opérateur densité qui n'a pas la forme de Kraus. Cette constatation est due au fait que le superopérateur correspondant n'est pas linéaire à cause du terme de normalisation au dénominateur. Donc une action de mesure suivie d'une réduction du paquet d'onde correspondant à l'acquisition explicite d'une information supplémentaire comme étant le résultat enregistré de la mesure. 3.2. La décohérence 97 An de démonter cette équivalence, nous allons d'abord prouver que la procédure décrite en (3.19) peut-être modelisée par un POVM. Pour ce faire, nous considérons U ∈ L(A, B ⊗ C) une isométrie et {Px }x ⊂ Pos(C) une observable agissant sur un état quantqiue arbitraire déne par ρ ∈ D(A). Ainsi, Nous avons : px (ρ) = tr ((1B ⊗ Px )U ρ U ∗ (1B ⊗ Px )) = tr ρ U ∗ (1B ⊗ Px )U . | {z } Πx ∈L(A) on dénie, ainsi, l'opérateur {Πx }x∈X qu'on doit vérier qu'il s'agit bien d'un POVM. De ce fait, on va commencer tout d'abord par la résolution de l'identité sur A : X X Πx = U ∗ (1B ⊗ Px )U x∈X x∈X ! = U∗ X 1B ⊗ Px U x∈X = U ∗ 1BC U = 1A . par la suite, il nous reste à démontrer que chaque Πx est un opérateur positif. Quant à cette condition, il est facile de constater que : Πx = U ∗ (1B ⊗ Px )U = U ∗ (1B ⊗ Px )(1B ⊗ Px )U = ((1B ⊗ Px )U )∗ ((1B ⊗ Px )U ) = Mx∗ Mx ≥ 0 . Par la règle de Born, l'état résultant après avoir obtenu x ∈ X en observant ρ ∈ D(A) est : ρx = (1B ⊗ Px )U ρ U ∗ (1B ⊗ Px ) Mx ρMx∗ = . px (ρ) px (ρ) Pour compléter cette démonstration, nous devons prouver qu'un POVM tel que {Πx }x∈X ⊂ Pos(A) est possible de le réaliser à l'aide des opérations décrites en (3.19), notamment une isométrie suivie d'une action d'une observable. Nous allons considérer une transformation U ∈ L(A, B ⊗ C) dénie pour chaque |φi ∈ A, comme suit : X U |φiA = Mx |φiB ⊗ |xiC , x où les Mx ∈ L(A, B) sont tels que Mx∗ Mx = Πx . Il nous reste à vérier que U est bien une 3.2. La décohérence 98 isométrie, donc nous avons : U ∗U = X = X = X = X (Mx∗ ⊗ hx|)(Mx0 ⊗ x0 ) x,x0 Mx∗ Mx0 xx0 x,x0 Mx∗ Mx hx|xi x Mx∗ Mx x = 1A . Nous dénissons l'observable {|xihx|}x∈X sur C . Vérifons maintenant que la probabilité px (ρ) d'observer x ∈ X est telle que px (ρ) = tr(ρΠx ) pour chaque ρ ∈ D(A) : px (ρ) = tr ((1B ⊗ |xihx|)U ρ U ∗ (1B ⊗ |xihx|)) = tr (ρ U ∗ (1B ⊗ |xihx|)U ) ! X X Mx00 ⊗ x00 C = tr ρ Mx∗0 ⊗ x0 B (1B ⊗ |xihx|C ) x00 x0 = tr ρ = X Mx∗0 1A Mx00 0 00 ⊗ x x xx x0 ,x00 tr (ρ Mx∗ Mx ) = tr (ρ Πx ) . Ainsi nous avons pu mettre en évidence la liaison qui existe entre la représentation de Kraus et l'application d'une mesure généralisée dont le résultat est non lu. 3.2.2 Manifestation de la décohérence : Canaux quantiques et forme de Kraus Dans cette section, nous allons voir des applications directes de la représentation de Kraus et la manifestation de la décohérence dans des environnements diérents. Donc, après avoir réalisé qu'une telle perte de cohérence [75] est une conséquence d'une interaction avec un système quantique dont les degrés de liberté sont indiscernables. Cette transformation est modélisée par une isométrie d'un système cible à un système résultant plus un environnement suivie d'une trace partielle sur cet environnement. 3.2.2.1 Modèles simples de la décohérence pour un système à deux niveaux Nous pouvons dénir le comportement du bruit quantique, lorsqu'un état est transmis sur le canal quantique, par une superopération. C'est le cas typique où les superopérations sont très utiles. Le bruit peut être modélisé comme une isométrie appliquée sur le qubit transmis qui le fait interagir avec l'environnement inaccessible au récepteur. Ainsi, voici quelques exemples d'opérateurs qui peuvent être réalisés par un canal quantique bruyant [76, 77] : 1. La super-opération BF : L2 (C) → L2 (C) qui désigne un bit ip en anglais ou un renversement de bit en français. Cette opération applique X sur le qubit transmis avec une probabilité p et ne fait rien avec une probabilité 1 − p : BFp (ρ) = p XρX + (1 − p) ρ . 3.2. La décohérence 99 On peut extraire de cette transformation une représentation unitaire ou une mesure généralisée avec un environnement constitué d'un qubit dans E : p √ (3.80) U = 1 − p1A ⊗ 1E + pXA ⊗ XE cette mesure sur l'environnement laisse le qubit qA inchangé avec une probabilité "1-p" ou il le bascule avec une probabilité "p". Ètant donné qu'il est commode d'exprimer les densités ρ et BFp (ρ) dans la représentation de Bloch, alors nous avons : ρ= 1 (12 + r · σ) , 2 BFp (ρ) = 1 12 + r0 · σ 2 (3.81) où les vecteurs de Bloch r = (x, y, z) et r0 = (x0 , y 0 , z 0 ) sont tels que (|r|, |r0 |) ∈ [0, 1]. On constate facilement qu'on peut mettre BFp (ρ) = p XρX + (1 − p) ρ sous la forme suivante : BFp (ρ) = p XρX + (1 − p) ρ (1 − p) (p) = (12 + r · σ) + (12 + x · X − y · Y − z · Z) 2 2 1 (12 + x · X − (1 − 2p)y · Y − (1 − 2p)z · Z) = 2 (3.82) ce qui nous permet d'écrire : r −→ r0 avec (x, y, z) −→ (x0 = x, y 0 = (1 − 2p)y, z 0 = (1 − 2p)z). (3.83) Ainsi, on conclut que lors d'un "basculement du bit", la sphére de Bloch se contracte selon un ellipsoïde de révolution d'axe "Ox". Ceci revient à dire que la composante suivant "x" reste invariante et les composantes suivant "y" et "z" sont contractées ou déformées de (1 − 2p) (Voir Fig.3.1) Figure 3.1 graphe d'une opération Bit-Flip 3.2. La décohérence 100 2. La super-opération PF : L2 (C) → L2 (C) qui désigne un phase ip en anglais ou un renversement de phase en français. Cette opération applique Z sur le qubit transmis avec une probabilité p et ne fait rien avec une probabilité 1 − p : PFp (ρ) = p ZρZ + (1 − p) ρ . De même on va dénir une mesure généralisée avec un environnement constitué d'un qubit dans E : p √ U = 1 − p1A ⊗ 1E + pZA ⊗ ZE (3.84) suivant que E est mesuré dans l'état "0" (avec la probabilité "1-p") ou dans "1" (probabilité "p") les états propres de "X" restent invariants ou s'échangent. Cette mesure bascule ou laisse inchangé le qubit qA avec une probabilité "p" ou "1-p" suivant que "E" est mesuré dans l'état "0" ou dans "1" respectivement . Nous avons la représentation géométrique suivante : r −→ r0 avec (x, y, z) −→ (x0 = (1 − 2p)x, y 0 = (1 − 2p)y, z 0 = z) (3.85) étant donné que : ρ= 1 (12 + r · σ) , 2 PFp (ρ) = 1 12 + r0 · σ 2 (3.86) avec PFp (ρ) = p ZρZ + (1 − p) ρ 1 = (12 − (1 − 2p)x · X − (1 − 2p)y · Y − z · Z) . 2 (3.87) Par conséquent, on interprète géométriquement le basculement de phase sur la sphére de Bloch par une contraction selon un ellipsoïde de révolution d'axe "Oz". Ceci revient à dire que la composante suivant "z" reste invariante et les deux autres sont contractées de (1 − 2p) (Voir Fig.3.2) 3. La super-opération BPF : L2 (C) → L2 (C) qui renverse la phase et le bit du qubit transmis avec une probabilité "p" et ne fait rien à celui-ci avec une probabilité "1 − p". En posant "Y = XZ ", nous obtenons : BPFp (ρ) = p Y ρY + (1 − p) ρ . Ainsi, il est évident de voir que nous avons ici une sphère de Bloch qui se transforme en un ellipsoïde de révolution "Oy". 4. Finalement, nous allons combiner les renversements de bit et de phase dans une seule opérations, celle du canal de renversement de Pauli R : L2 (C) → L2 (C). Cette superopération laisse le qubit invariant avec une probabilité de "1 − p". Par contre, elle agit avec un renversement de bit "X " avec une probabilité de p3 , un renversement de phase "Z " avec probabilité de p3 et un renversement de phase et de bit Y avec une probabilité de p3 . Cette transformation est donnée par : Rp (ρ) = p (XρX + Y ρY + ZρZ) + (1 − p) ρ . 3 3.2. La décohérence 101 Figure 3.2 graphe d'une opération Phase-Flip En eet, une telle transformation on peut la mettre sous une forme équivalente, en constatant que XρX + Y ρY + ZρZ = 21+ ρ. Donc, que le qubit est remplacé par un état complè0 tement dépolarisé avec la probabilité 4p 3 = p et laissé inchangé avec la probabilité complé4p mentaire 1 − 3 = 1 − p0 . Par conséquent, on dénie le canal dépolarisant, : L2 (C) → L2 (C) qui change ρ en un état complètement aléatoire (i.e. complètement mixte) avec une probabilité "p" et ne fait rien avec une probabilité "1 − p". Dp (ρ) = p 1 + (1 − p) ρ . 2 Et on a également : Dp (ρ)(p0 ) ≡ Rp (ρ)(p) avec, 4p = p0 . 3 3.2.2.2 canal quantique et quantication de la décohérence - Modèle pour l'amortissement de phase : (3.88) (3.89) Le basculement de phase décrit par l'équation 3.82 agissant sur un qubit qA peut être interprété comme résultant de l'évolution unitaire ou un saut quantique de qA couplé à un qutrit qE (l'espace HE est choisi de dimension 3), gouverné par les opérateurs de Kraus suivant : √ √ p p p M0 = 1 − p1A , M1 = (1A + Z) , M2 = (1A − Z) 2 2 2 X CDp (ρ) = Mk ρMk † (3.90) k=0 3.2. La décohérence 102 ces générateurs agissent sur ρ de sorte à aboutir à l'évolution suivante : CDp (ρ) = 2 X Mk ρMk † k=0 ρ00 (1 − p)ρ01 (1 − p)ρ10 ρ11 = (3.91) étant donné que ρ = [ρij ]. Il est à noter que cette transformation unitaire : aecte uniquement les cohérences représentées par la population anti-diagonale de ρ ; est une forme de basculement de phase donnée par l'équation 3.82 avec p ≡ 2p. Pour mieux illustrer le phénomène de la décohérence, nous allons appliquer ce processus n fois sur la matrice ρ. Ainsi, il convient de l'écrire comme suit : ρ00 (1 − p)n ρ01 n CDp (ρ) = . (3.92) (1 − p)n ρ10 ρ11 Par la suite, nous considérons que la transition quantique passe dans un temps δ(t) avec t = n·δ(t) est le temps de l'interaction. Par conséquent, si nous avons un saut qui passe dans un temps très réduit δ(t) −→ 0, alors : " # t ρ00 exp(− δ(t) )ρ01 ρ00 (1 − p)n ρ01 n n CDp (ρ) = −→ CDp (ρ) = t (1 − p)n ρ10 ρ11 )ρ10 ρ11 exp(− δ(t) du fait que : lim (1 − p)n = exp(− δ(t)→0 t ). δ(t) (3.93) Pour expliquer ce résultat, nous supposons qu'un système quantique à deux niveaux, est préparé initialement (t=0) dans un état pur |ψi = α|0i + β|1i, (α, β) ∈ C qui est une superposition cohérente de |0i et |1i dénie comme suit : ρ00 = |α|2 ρ01 = αβ ∗ . (3.94) ρ(|ψi) = |ψihψ| = ρ10 = α∗ β ρ11 = 1 − |α|2 Alors, après un temps d'interaction t >> δ(t) et contenu de l'équation 3.93, l'état quantique est transformé en une superposition incohérente de |0i et |1i : " # 2 t |α|2 exp(− δ(t) ) · αβ ∗ |α| 0 ρ(|ψi)(t) = −→ . (3.95) t exp(− δ(t) ) · α∗ β 1 − |α|2 0 1 − |α|2 On constate que les termes diagonaux demeurent identiques alors que les termes hors-diagonaux ont été réduits par un facteur d'amortissement. Or, ces termes hors-diagonaux, qui manifestent concrètement la notion de la "cohérence quantique" de phase entre les états |0i et |1 [75]. On interpréte cette situation par le fait que le canal aecte la cohérence de phase et on constate alors que toute l'information concernant la phase relative de l'état du système initial est perdue avec le temps. On dit que le système quantique a subit un processus de décohérence induit par une interaction imminente avec son environnement. - Modèle pour l'amortissement d'amplitude : 3.2. La décohérence 103 Pour concrétiser l'amortissement d'amplitude, nous allons étudier le modèle de la désintégration d'un état excité d'un atome à deux niveaux en raison de l'émission spontanée d'un photon. En détectant le photon émis, autrement en observant l'environnement, on eectue une mesure qui donne des informations sur la préparation initiale de l'atome. Ainsi, ce processus physique décrit réellement les systèmes qui perdent de l'énergie suite à une interaction avec l'environnement. Nous allons décrire cette transformation entre le système A qui est l'atome et son environnement E par le fait que le système A peut se trouver dans un état excité |1iA ou dans un état fondamental |0iA . De même, on observe l'environnement dans son état fondamental caractérisé par l'absorption de zéro photon |0iE ou dans un état à un photon absorbé |1iE . Pratiquement parlant, un tel système quantique est susceptible de transiter d'un état excité |1iA vers l'état fondamental |0iA en perdant un photon avec une probabilité p ∝ δ(t). Par conséquent, un tel processus peut être décrit par la transformation unitaire suivante : p √ U = |0, 0iA,E h0, 0| + 1 − p|1, 0iA,E h1, 0| + p|0, 1iA,E h0, 1|. (3.96) Une telle représentation stipule que si l'atome est dans l'état initial |0, 0iA,E cela revient à prédire qu'il va rester inchangé. Par contre, si l'état initial est |1, 0iA,E , alors l'atome peut soit émettre un photon avec une probabilité p ou rester dans cet état avec une probabilité 1 − p. Ainsi, on extrait la représentation de Kraus suivante : p M0 = hE 0|U|0iE = |0iA h0| + 1 − p|1iA h1| √ p|0iA h1| M1 = hE 1|U|0iE = CDp (ρ) = 1 X Mk ρMk † . (3.97) k=0 Ces générateurs agissent sur ρ de sorte à aboutir à l'évolution suivante : CMp (ρ) = 1 X Mk ρMk † k=0 = √ ρ00 + pρ11 1 − pρ01 √ 1 − pρ10 (1 − p)ρ11 (3.98) étant donné que ρ = [ρij ]. Il est à noter que cette transformation : aecte aussi bien les cohérences représentées par la population anti-diagonale de ρ que les éléments diagonaux ; √ est une forme de contraction anisotrope d'un facteur de 1 − p et une translation d'un facteur p. Ce qui implique que les coordonnées de la sphère de Bloch change de la manière suivante : p p p r −→ r0 avec (x, y, z) −→ (x0 = 1 − px, y 0 = 1 − py, z 0 = 1 − pz + p). (3.99) Comme précédemment, on applique successivement n fois l'opérateur d'amortissement CMp (ρ) sur la matrice ρ. Ainsi, il convient de l'écrire comme suit : n (1 − (1 − p)n )ρ11 1 − p) 2 ρ01 n n CMp (ρ) = . (3.100) (1 − p) 2 ρ10 (1 − p)n ρ11 Nous considérons que la transition quantique passe dans un temps δ(t) avec t = n · δ(t) est le temps de l'interaction. Par conséquent, si nous avons un saut qui passe dans un temps très réduit 3.2. La décohérence 104 δ(t) −→ 0, alors : " # n t t (1 − exp(− δ(t) ))ρ11 exp(− 2δ(t) )ρ01 (1 − (1 − p)n )ρ11 1 − p) 2 ρ01 n n → CDp (ρ) = CMp (ρ) = (3.101) . t t exp(− 2δ(t) )ρ10 exp(− δ(t) )ρ11 (1 − p) 2 ρ10 (1 − p)n ρ11 n La première conclusion que nous allons déduire c'est que le temps de décroissance des cohérences diagonales est deux fois plus grand que le temps de décroissance des cohérences des anti-diagonales. En plus, on constate que à t −→ ∞ la probabilité de transition passe à 1, donc : ρ00 + ρ11 0 ∞ CDp (ρ) = . (3.102) 0 0 de ce fait, l'atome a tendance à stagner dans son état fondamental. Par ailleurs, quoique le long de cette partie nous avons vu que le bruit quantique ou l'environnement transforme généralement un état pur en un état mixte. Néanmoins, dans le modèle d'amortissement d'amplitude, nous avons pu démontrer que indépendamment de l'état initial, pur ou mélange, l'état nal est un état pur. Physiquement parlant, un système par nature cherche toujours à minimiser son énergie et se mettre dans une position de repos qu'on assigne d'état fondamental. Alors, cette transition est un passage du monde quantique au monde classique. Le principe de superposition arme que si un système physique peut être dans chacun des combinaisons linéaires de ces états possibles. Toutefois, l'extrapolation de cette notion au monde macroscopique demeure toujours en diculté vue qu'on se heurte rapidement à des contradictions avec notre pouvoir de perception sensorielle. Par exemple, on a jamais arrivé à observer simultanément une superposition avec l'÷il nu. Donc, à vrais dire, la problématique qui se pose c'est comment réconcilier la réalité physique avec notre observation empirique de certains états macroscopiques "classiques". Parmi les tentatives d'explication de cette observation étrange intervient la transition quantique-classique qu'est souvent évoquée dans le cadre du problème de la mesure quantique. En outre, on décrit ici une approche qui s'ingénie de lier l'action de la mesure via l'appareil de mesure dans le cadre du postulat de "réduction du paquet d'onde" en faisant référence implicitement à la notion de la décohérence. Toutefois, une telle démarche demeure incomplète, du fait qu'elle reste incapable d'expliquer autres situations quantiques. Ainsi, on présente par la suite la théorie de la décohérence qui fournit des instruments explicatifs qui reposent sur le fait que le système global {S, E} doit êrte considéré comme un système ouvert. Par conséquent, cette nouvelle démarche qui tient en compte l'environnement, va apporter des nouveaux éléments de réponse plus crédibles et plus cohérents. De ce fait, si on interprète l'idée de base du couplage avec l'environnement et en admettant aussi qu'un système quantique n'est guerre fermé. Alors, une évolution unitaire prévue dans ce cadre va permettre de faire apparaître une base privilégiée et de transformer une superposition d'états de cette base en une mixture d'états possibles. Ce résultat nous montre qu'une superposition initiale de la forme α|0i+β|1i qui interagit avec son environnement va réduire la cohérence. Le rôle dont jouit l'environnement dans cette représentation est essentiel pour la théorie de la décohérence. Ainsi, nous avons introduit les diérentes manifestations de l'environnement dans le cadre d'une évolution unitaire d'un système quantique ouvert. Par ailleurs, nous avons évoqué l'un des principaux problèmes de la théorie quantique et particulièrement ceux en 3.2. La décohérence 105 relation avec le traitement et le stockage de l'information sous sa forme quantique. Ce constat de l'environnement hostile qui restreint les états quantiques accessibles est considéré comme l'entrave majeure du développement des traitements quantiques. Il s'agit donc d'une nouvelle voie à prospecter pour contourner l'obstacle de la décohérence, étant donné que le temps de cohérence d'un système quantique diminue de manière linéaire avec le nombre de qubits [83, 84, 85, 86, 87]. Par conséquent, le principal obstacle pour cette mise à l'échelle consiste à protéger l'état quantique du système contre cette dissipation de l'information. En plus de ces dicultés liées aux fondements de la théorie quantique, nous devons aussi faire face au problème pratique de l'estimation et du contrôle en temps réel de ces systèmes. En d'autres termes, cela veut dire qu'il faut gagner la course contre le temps de décohérence, généralement très court. Cette forte atténuation de cohérence des corrélations, qui sont essentielles au calcul quantique ou plus généralement au traitement de l'information quantique, reste l'enjeu majeur à gérer pour proter amplement de la puissance du monde quantique. Certes, cela est un dé de taille mais il faut obligatoirement l'éliminer ou à défaut nous sommes contraints de le minimiser. 3.2.3 Quelques problèmes d'ordre technique Après avoir présenté la décohérence comme étant l'entrave majeure qui freine l'évolution et l'épanouissement de la communication quantique. Toutefois, rien n'empêche d'expliciter d'autres contraintes ou limitations, moins intrinsèques, mais plus liées à la relative jeunesse du domaine. Ainsi, nous allons discuter autour des problèmes suivants : 1. Produire un photon unique ou sources à photon unique : [78, 79, 80] En eet, comme son nom l'indique une source de photon unique est un dispositif qui produit après excitation une émission spontanée d'un unique photon grâce à des propriétés optiques et matérielles remarquables. En fait, l'excitation en question est souvent de nature optique. Ainsi, c'est avec une grande dynamique que s'active les recherches dans ce domaine an de mettre en ÷uvre une telle source capable d'être intégrée facilement dans une chaine de communication quantique. D'autant plus, les photons émis doivent avoir des propriétés lumineuses particulières telles qu'une direction d'émission bien spécique, une polarisation rectiligne ou circulaire, mais également un taux réduit d'émission de plus d'un photon par pulsion. Ce dernier paramètre représente en fait la grande problématique. Considérant la lumière comme un ux de photons, on pourrait laisser croire que pour obtenir un photon unique, il ne faut qu'atténuer susamment une impulsion de lumière classique. Logiquement cela semble correcte, néanmoins il est loin d'être réel. Pour se rendre compte, il faut revoir qu'une impulsion laser est gouvernée par une statistique poissonnienne. Par conséquent, si on atténue une impulsion laser de façon à avoir un photon en moyenne dans chaque impulsion. Alors, la probabilité d'obtenir un signal sur chacun des photodétecteurs simultanément (c'est-à-dire d'obtenir deux photons) est égale à la moitié de la probabilité d'en avoir un seul. On dit alors qu'on arrive à avoir un photon "en moyenne" et n'en pas un photon "unique". Dans la même optique, si on continue l'atténuation de façon à atteindre un nombre 3.2. La décohérence 106 moyen très inférieur à un. Alors, l'impulsion contiendra rarement un photon et encore plus rarement deux photons. Pire encore, ceci n'est pas non plus une impulsion à un photon unique, puisque cette fois-ci nous allons produire des impulsions vides (avec zéro photon). De plus, la probabilité d'avoir deux photons ne sera jamais nulle. On constate que les défauts cités ci-dessus vont certainement aecter les performances des systèmes quantiques. Ainsi, les impulsions "vides" vont entrainer une baisse du débit de communication par contre les impulsions "doubles" vont impacter la sécurité de la transmission. 2. Générateur aléatoire des états quantiques [81] : Un générateur aléatoire des états quantiques est un dispositif capable de produire une séquence des états quantiques imprédictible et qu'on ne peut pas extraire des propriétés déterministes. En fait, la preuve de sécurité repose essentiellement sur ce caractère aléatoire qui doit y exister. En eet, c'est la chaine des états quantiques, que va produire les correspondants, est facile à deviner par un attaquant, alors il lui est de même pour la mesurer. Ainsi, l'importance de l'aléatoire dans le processus de génération est primordiale et s'installe au premier rang avant même toute analyse de sécurité. On dit alors qu'il s'agit ici d'une condition primitive et contraignante. Par conséquent, quoique caractériser l'aléatoire est dicile. Toutefois, on va l'introduire comme étant un générateur des états aléatoires Xi de sorte qu'aucun algorithme A ne serait capable de deviner Xn à partir de {Xi≤n−1 }. Certains phénomènes sont intrinsèquement aléatoires et peuvent être utilisés pour produire les suites des états aléatoires. Mais, le problème c'est que la plupart des phénomènes ne sont souvent aléatoires qu'en apparence et sourent du phénomène de "biais". De ce fait, un tel problème joue toujours à l'encontre des avancées dans le domaine de la communication quantique. 3. Manipuler les particules et les états quantiques à l'échelle microscopique : En entend par manipulation des états quantiques : la production, le contrôle et l'utilisation d'états quantiques de la lumière, et ce le long du processus de communication [82]. Souvent, on s'habitue à la production et l'usage des états quantiques via l'amélioration des mécanismes qu'on commence à maitriser. Toutefois, le maniement et le stockage des états quantiques, ainsi que la relecture et l'extraction de cette information à la demande, demeure toujours un énorme dé à surmonter. Le besoin en mémoire quantique capable de stocker l'état de centaines de qubits intriqués sur des temps très longs est une course contre le temps de décohérence qui peut atteindre quelques fractions de seconde [83, 84, 85, 86, 87]. Malheureusement, la durée maximale d'un tel traitement quantique est limitée par le temps au bout duquel les qubits perdent leur cohérence quantique [88, 89]. D'autant plus, toutes autres manipulations ne sont pas autorisées par les principes de la mécanique quantique. Dans cette optique, on considère une action de mesure qu'elle soit lue ou non comme une transformation destructrice et qui engendre une fuite de l'information. Voir même, elle va provoquer un changement dans l'état du système. Donc, Puisque toute mesure détruit l'état quantique, la transmission doit se faire à travers une bre optique "opaque" et aussi doit être hermétique. Cela revient à dire sans aucun contact ou interaction avec l'extérieur. Ce que nous allons retenir, c'est que ces conditions sont très contraignantes et diciles à 3.2. La décohérence 107 respecter en pratique. Ainsi, les pertes de la bre de transmission ne peuvent donc pas être compensées ni estimées. Ceci induit une distance limitée de transmission, au delà de laquelle un tel dispositif de communication devient inutile. Actuellement, cette distance maximale est typiquement comprise entre "20" et "200" kms (elle peut atteindre même à 300kms), en fonction des protocoles et des conditions des laboratoires de test [90, 91]. 4. Canal quantique, décohérence et bruit de fond : Le développement de la cryptographie quantique au cours des dernières décennies a donné de l'intérêt pour les études des limites fondamentales de la transmission d'information via un canal quantique. Donc, si certains canaux sont assez bien caractérisés de point de vue quantication des pertes d'information induites. Toutefois, les minimiser ou à défaut les maitriser n'est possible que d'une manière conjecturée. De ce fait, le bruit injecté dans le canal lors de l'échange de l'information impacte négativement sa capacité de transmettre et de recevoir [92]. On rappelle que le mécanisme de décohérence est sans doute l'un des aspects les plus intrigants de la physique quantique. Du fait qu'il est directement lié à la diculté à envisager une superposition "classique" d'états quantique et de la maintenir autant qu'on souhaite. C'est en fait le vrais talon d'achille de la cryptographie quantique dont elle soure énormément et qui bloque son évolution. Néanmoins, la communauté scientique s'activent pour mettre en ÷uvre des états quantiques capables de résister aux mieux à ces eets indésirables. Ces eets se manifestent, premièrement, dans l'absorption au niveau de la bre, qui dépend de la distance de transmission inuençant indirectement le taux d'erreur. Et deuxièmement, la décohérence partiale de l'état avec le canal de transmission qui, pour être évitée, nécessite des bres de très bonne qualité. 5. Imperfection des détecteurs qui impactent négativement les probabilités de détection : La cryptographie quantique permet la distribution de clés ainsi qu'elle assure leur condentialité absolue. Lors d'une communication par bres optiques, un des principes de la transmission consiste à atténuer la lumière jusqu'à son plus bas niveau possible qui est le photon. Ainsi, une mesure exacte des photons s'avère nécessaire, et demande l'utilisation des composantes très sensibles et qui permettent de compter les photons reçus. Toutefois, dans un détecteur de photon, on ne peut généralement éviter la détection aléatoire de photons d'origine thermique ou autre phénomène comme les coups d'obscurité (dark count). On estime que le taux d'erreur a une proportionnalité linéaire au temps d'ouverture du détecteur et inversement proportionnel à l'intensité du signal transmis et donc directement proportionnel à l'absorption dans la bre. Autrement, l'apparition d'une telle erreur, due à la détection fortuite de photons au niveau du récepteur, va augmenter exponentiellement avec la distance. On ajoute la perte en intensité occasionnée par l'atténuation du signal à la source et la perte en intensité due à la qualité des détecteurs disponibles à l'heure actuelle [93]. Tous ces paramètres vont diminuer considérablement les performances des protocoles de communication 3.2. La décohérence 108 quantique. Et plus particulièrement, ils limitent le débit maximal de la transmission qui est étroitement lié à la fréquence maximale de détection correcte des photons. Ainsi, malgré qu'on assiste à une accélération notable dans le domaine de la création et du développement des "composantes électroniques", pourtant l'industrialisation de ce processus demeure moins prometteur à cause de cette problématique de détection. 3.2.4 Les limitations des protocoles quantiques et quelques conclusions 1. Possibilité d'espionnage par "beamsplitting" (photon number splitting [94]) : Pour introduire ce genre d'attaque, on rappelle que les sources de photons employées utilisent des sources laser atténuées et non pas des sources à photon unique. Cela implique qu'on n'a pas exactement un photon par pulse mais plutôt un photon moyen par pulse. Etant donné que ces lasers sont à la base des états cohérents et ayant une émission gouvernée par une distribution poissonienne. Donc, la possibilité d'avoir plus q'un photon est assez fréquemment probable dans cette conguration. Par conséquent, un espion pourrait intercepter un photon et laisser passer le reste du pulse sans que cela modie de façon estimable la qualité du signal. Pour ce faire, l'attaquant peut recourir à un miroir semi-transparent pour subdiviser les pulsions en deux parties. Ensuite, il va envoyer une partie et stocker l'autre en vue d'analyser sa polarisation dans la base compatible. Et cela lorsque celle-ci est annoncée publiquement par l'émetteur une fois la phase de la détection des intrusions est terminée. Ainsi, une telle technique prote d'une faiblesse au niveau des dispositifs de communication quantique qu'on arrive pas à surmonter jusqu'à présent. 2. Possibilité d'espionnage par le "cheval de troie" [95] : Une autre stratégie d'attaque sur des congurations de distribution quantique des clés est l'attaque par le cheval de troie ou "the Trojan attack". L'idée principale de cette stratégie consiste à ne pas interagir avec les photons transmis entre Alice et Bob. Mais, plutôt d'entrer en contact direct avec les appareils dans le laboratoire des deux correspondants en envoyant un faible signale et en recueillant l'onde rééchie en vue d'analyser ces changements par rapport au signale de référence. L'attaquant est en possession d'un laser et un système de détection. Donc, il envoie des impulsions de lumière vers la conguration soit d'Alice ou de Bob, qui vont être rééchies sur son dispositif de mesure au retour. Ainsi, il peut utiliser les informations du signal rééchi pour détecter quelle base d'encodage a été mise en ÷uvre pour la préparation du photon ou bien la base qui a été utilisée pour eectuer la mesure. La révélation d'une telle information secrète est susceptible de compromettre la sécurité et la condentialité de la clé générée. 3. Possibilité d'espionnage par les "états truqués" [96, 97] : Toujours dans le cadre des attaques quantiques, nous présentons l'attaque à base des états truqués ou "Facked states attack". Cette stratégie fait partie de la famille des attaques "Interception et Emission : IR" à une diérence près que l'attaquant ne cherche pas à reproduire l'état intercepté. Mais, il parvient à envoyer un signal de 3.2. La décohérence 109 brouillage au dispositif du récepteur lui permettant de le contrôler totalement et à distance. Pour ce faire, il intercepte les états envoyés par l'émetteur en utilisant un clone du dispositif du récepteur. Ensuite, il transmet un état au récepteur qui ne peut être détecté que par une base compatible avec son choix. En eet, cette vulnérabilité est due à l'inadéquation des détecteurs des photons utilisés lors de la communication. Donc, en exploitant cette faiblesse, l'attaquant peut contrôler la valeur du bit générer et donc il est en mesure d'extraire la clé partagée ou le secret transmis. 4. Possibilité d'espionnage par le "décalage temporel" [98, 99] : Une autre version de l'attaque citée plus haut, est la stratégie dite attaque par décalage temporel ou "the time-shift attack". En eet, cette attaque exploite également les défaillances liées au problèmes de détection. Mais, à la diérence que l'attaquant ne mesure pas l'état envoyé par l'émetteur, néanmoins il joue sur le temps du signal de façon aléatoire du sorte qu'il arrive à l'extérieur de la courbe de sensibilité de la détection du récepteur. En raison de son choix d'intervalle, l'attaquant est en mesure de déduire le résultat exact de la mesure du récepteur. En fait, ce résultat est dû à son capacité d'aveugler complètement un détecteur par son décalage dans le temps. Donc, il sera en mesure d'obtenir des informations complètes sur le résultat de la mesure eectuée. Ainsi, il est évident de mentionner qu'une telle intrusion permet à une tierce personne d'obtenir des informations sur la clé secrète. 5. Possibilité d'espionnage par l'attaque "interception et renvoi" [100, 94] : Dans cette attaque intuitive l'attaquant va capturer tous les photons avant qu'il n'arrivent à destination pour les mesurer. Par la suite, il va renvoyer vers le récepteur une version de ce qu'il a reçu. Ainsi, pour prouver la sécurité des protocoles quantiques, une telle attaque simple est écartée en principe et cela est dû aux hypothèses de départ : l'attaquant dispose d'un accès libre et totale au canal quantique, par contre, il dispose d'un accès limité et restreint au canal classique. Donc suite à ces conditions et après que l'attaquant choisit une base. Il mesure chaque photon intercepté et stocke le résultat dans une mémoire (couple base et mesure obtenue). Nous avons en principe les trois cas de gure suivants : a) les deux correspondants eectuent un choix de base diérent, alors leurs mesures sont tout simplement abandonnées. b) l'attaquant a eectué le même choix de base que les deux correspondants. Par conséquent, son intervention ne perturbe pas la mesure, puisqu'il envoie exactement le même état qu'il a reçoit. Dans ce cas il sera indécelable. c) l'attaquant a eectué un choix de base diérent de celui des deux correspondants. Alors, en principe l'anomalie intervient quand ces correspondants font le même choix de base. Ce cas de gure produit une perturbation de l'état quantique. Donc son intervention sur le canal sera détectée. Mais si on suppose, par contre, que l'attaquant est en mesure de compromettre également le canal classique. Alors, comment peut-on détecter une intervention illicite si on arrive pas à échanger classiquement de l'information ? Paradoxalement, on implique explicitement la 3.2. La décohérence 110 cryptographie classique dans la preuve de sécurité de la communication quantique. Toutefois, on prétend être capable d'outrepasser le chirement classique. Bizarrement, on voit claire qu'un tel seuil de sécurité n'est atteignable réellement qu'avec une mutualisation des techniques entre les deux principes de chirement quantique et classique. À présent, nous allons nous interroger à propos de l'avenir de la cryptographie sous ces deux volets possibles. Et par la suite, nous avons l'obligation de fournir une réponse impartiale, objective et claire pour répondre à cette problématique. Cela doit se faire loin des prétentions et des hypothèses des partisans de la cryptographie classique ou de la cryptographie quantique. Dans ce cadre, la première question qui nous intéresse est sur les signes montrant que la cryptographie classique sous sa forme actuelle a-t-elle atteint sa date de péremption. Par conséquent, et face à cette situation critique, la cryptographie quantique se présente comme le seul candidat capable de prendre le relais. Toutefois, pouvons nous l'accepter réellement malgré ses limitations d'intégration dans le domaine de l'industrialisation professionnelle. En plus est ce que ces mécanismes de chirements sont-ils assez matures pour accomplir cette tâche vue que nous avons prouvé l'existence de plusieurs défaillances et anomalies d'implémentation et de fonctionnement. Pour analyser ecacement cette problématique, nous devons reprendre la preuve de sécurité présenter pour la majorité des protocoles de communication quantique. En eet, les démonstrations de la sécurité inconditionnelle reposent toutes sur des conditions qu'on ne peut espérer leurs réalisations que dans des laboratoires de test et n'en pas dans un environnement "hostile". Pour appuyer cette conclusion, il sut de se référer au nombre d'attaques et les preuves de concept, concernant le vol des clés de session partagées et l'inltration dans le canal ...., mises en évidence dans le cadre de la communication quantique. Logiquement parlant, si la communication est inconditionnellement sûre alors comment peut-on justier tant de vulnérabilités relevant du domaine quantique. En plus, si on espère un jour faire une rupture nette avec les techniques de chirement classique. Alors, nous allons rapidement buter sur plusieurs entraves pratiques à savoir : le débit de chirement, la vitesse de déchirement, la distance de propagation et d'absorption des états quantiques, l'investissement énorme et l'infrastructure colossale à mettre en ÷uvre, .... Et généralement on va se trouver avec une technologie vraiment très limitée et rudimentaire incapable de répondre même aux besoins les plus élémentaires en matière de sécurité de l'information. Ainsi, on va se sentir comme si on recule d'un pas au lieu d'avancer. Notamment, on va perdre en terme des performances et de stabilité déjà acquises. Toujours dans le même contexte, mais cette fois-ci nous allons discuter autour de la cryptographie classique, et plus particulièrement les algorithmes symétriques qui vont être les plus touchés par une attaque quantique. Ainsi, une clef "AES-128" traitée par un algorithme de recherche quantique (algorithme de Grover) [7] ne possède plus qu'une force d'une clé ayant une taille de "64" ! !. Cette règle a pour conséquence de diviser la force de tous les algorithmes symétriques par deux et par analogie le temps d'attaque lui aussi est divisé √ quadratiquement. Donc nous allons passer d'une complexité à O(N ) à une complexité de O( N ). Concernant les systèmes de chirement asymétriques, eux également sont vulnérables aux assauts d'un algorithme de factorisation quantique [6]. Par conséquent, beaucoup de crypto- 3.2. La décohérence 111 systèmes à clé publique, tel que le RSA, deviendraient vulnérables une fois qu'on implémente complètement l'algorithme de Shor dans un calculateur quantique. Donc, un message chiré avec RSA peut être déchiré par factorisation de sa clé publique N , qui est le produit de deux nombres premiers. En l'état actuel, il n'existe pas d'algorithme classique capable de faire cela en un temps O ()k pour n'importe quel "k". En plus, il est à signaler qu'un ajustement simple sura pour attaquer d'autres cryptosystèmes à clé publique. Vue ce qui précède et en terme de conclusion, nous estimons que la solution idéale serait la réalisation d'une parfaite cohabitation entre la cryptographie classique et la cryptographie quantique. Une telle harmonisation à pour eet de colmater mutuellement les brèches de l'une en utilisant les points forts de l'autre et vis versa. Dans cette optique, on propose alors des démarches qui doivent s'inscrire dans un processus de coexistence et d'hybridation entre les deux mécanismes de chirement. Ainsi, une telle mesure contribuera sans doute à rehausser le niveau de sécurité et permettra de se procurer une puissance proportionnel à la fois à la sécurité oertte par la mécabique quantique et la complexité de chirement classique. Pour ce faire, nous allons aborder dans le prochain chapitre la stratégie que nous allons adopter pour fonder un mécanisme de chirement à la fois robuste et sécurisé basé essentiellement sur : La proposition des protocoles de communication quantique à base des états cohérents déformés, capables de résister au phénomène de décohérence et des pertes sur les canaux de transmission. L'analyser et l'étude des protocoles quantiques actuels en vue de détecter les failles et les vulnérabilités pour proposer les correctifs et les mise à jour à appliquer. Cette orientation va nous permettre de présenter la cryptanalyse comme outil ou moyen permettant de tester la sécurité et la abilité des protocoles. La conception des dispositifs de sécurité en s'inspirant des architecture et des standards de communication classique. Ètant donné que tout ce qui est classique n'est pas forcément non valable, notamment nous allons proposer la structure et le fonctionnement d'un "Parefeu quantique" en se basant sur un modèle opératoire classique. 4 Travaux relatifs à la sécurité de la communication et à la cryptographie quantique 4.1 Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states Résumé : Les états cohérents qui sont des superpositions linéaires de tous les états de Fock, jouent un rôle important dans la mécanique quantique. Plus particulièrement, ils peuvent être considérés comme le moyen de transmission quantique de l'information le plus utilisé. Dans cet article [110], nous avons proposer un nouveau protocole de communication directe basé sur des états cohérents de spin modiés en tant que vecteur de transmission de l'information entre deux ou plusieurs correspondants. Pour ce faire, nous allons tout d'abord présenter le groupe SU (2) des états cohérents dans un cadre plus général de la quantication qui est la théorie de déformation. Nous avons étudié également les propriétés de ces états lorsqu'ils sont utilisés dans un protocole d'échange de l'information. Ainsi, la phase nale est consacrée à l'étude et l'analyse de la sécurité de la transmission en fonction des fuites d'informations enregistrées, en évaluant ces interférences sur le canal de transmission, on peut alors estimer l'information obtenue par un espion potentiel. Par ailleurs, l'article est organisé comme suit : Dans le premier paragraphe, nous donnons un bref aperçu sur le protocole "Quantum Direct Communication Protocol Using Einstein-PodolskyRosen Pair Block" abrégé en DPP [101]. Par la suite, le deuxième paragraphe sera consacré à la description du protocole proposé à la base des états cohérents normales et aussi déformés pour constater à la n l'amélioration du niveau de sécurité lors de la communication en utilisant les états modiés. Pour clôturer, une discussion détaillé des résultats obtenues sera présentée dans le dernier paragraphe. 4.1.1 Description du protocole DPP L'idée clé de ce protocole repose essentiellement sur les propriétés, que nous avons amplement discuté, des états EPR ou les états de Bell dénis comme suit : |φ± i = |ψ ± i = 1 √ (|00i ± |11i) 2 1 √ (|10i ± |10i) 2 (4.1) Ainsi, on constate que si un état d'un photon est mesuré, l'état globale va s'eondrer et l'état de l'autre particule sera complètement déterminé. Dans ce cadre, le protocole original "PingPong" fonde son raisonnement sur la base de cette constatation. En eet, une telle propriété nous accorde la possibilité de coder un bit d'information dans les états |ψ ± i, et cette technique de dissimulation est complètement inaccessible à toute personne n'ayant pas un accès simultané au deux particules. Par conséquent, l'opération inverse d'extraction du message secret, nécessite 4.1. Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states 113 obligatoirement la possession des deux photons. Nous allons alors commencer par une description des étapes du protocole DPP : (S1) Alice prépare une séquence ordonnée des pairs EPR de la forme de |ψ − i. Elle extrait ensuite la première particule de chaque pair pour former la séquence S1 et le reste pour former la séquence S2. (S2) Après cela, Alice envoie S1 vers Bob. Les deux correspondants peuvent s'assurer de l'absence d'une présence malveillante sur le canal, en suivant la procédure ci-après : (a) Bob va choisir aléatoirement une fraction des particules de S1 et va informer Alice de son choix. (b) Bob va également choisir une base parmi les deux bases de mesure σz ou σx pour mesurer son état. (c) Une fois c'est fait, Bob annonce à Alice ses choix ainsi que les valeurs obtenues. (d) Ainsi, Alice réutilise les mêmes bases que Bob pour mesurer les photons de S2 correspondants aux mêmes emplacements choisis par Bob. Logiquement parlant, s'il n'y a pas eu de modication ou altération quelconques sur la canal de transmission, alors leurs résultats doivent être parfaitement corrélés. Cette procédure de vérication est considérée comme une première mesure de protection. Ainsi, si les deux utilisateurs n'ont rien constatés d'anormale, alors ils continuent les démarches du protocole, sinon ils vont abandonner. (S3) Pour envoyer son message secret à Bob, Alice code cette information sur la séquence S2 et le transmet par la suite à Bob. Mais avant la transmission, elle doit obligatoirement envisager de protéger son message. Pour ce faire, Alice doit ajouter un petit truc dans la séquence S2. Il s'agit de sélectionner de façon aléatoire dans la séquence S2 certaines particules et eectue au hasard l'une des quatre opérations unitaire de Pauli. Il est à noter que le nombre de ces particules doit être représentatif an de fournir une vision sur l'analyse du taux d'erreur. Par conséquent, on constate que seule Alice qui connaît les positions de ces particules d'échantillonnage et qu 'elle doit les garder en secret jusqu'à la n de la communication. Par contre, le reste des particules de la séquence S2 sont utilisés pour transporter directement le message secret. Pour coder le message, ils utilisent le système de codage dense de Bennett et Wiesner [102], où l'information est codée sur une paire EPR avec une opération locale sur un seul qubit. Ici, dans ce protocole, les deux particules de la paire EPR sont envoyés par Alice à Bob en deux étapes, et la transmission de paires EPR se fait donc en bloc. Explicitement, Alice fait agir l'une des quatre opérations unitaires (U0 , U1 , U2 et U3 ) sur chacun de ses particules : U0 = σ0 = |0ih0| + |1ih1| U1 = σz = |0ih0| − |1ih1| U2 = σx = |0ih1| + |1ih0| U3 = σy = |0ih1| − |1ih0| (4.2) cette action va transformer l'état |ψ − i aux états |ψ − i, |ψ + i, |φ− i et |φ+ i respectivement. Il est à signaler également que ces opérations logiques correspondent aux valeurs binaires suivantes 00, 01, 10 et 11, respectivement. (S4) Après la transmission de la séquence S2, Alice informe Bob des positions des paires d'échantillonnage et le choix des opérations unitaires exécutées. Alors, Bob eectue une mesure de Bell sur la séquence S1 et S2 simultanément. En vériant les paires d'échantillonnage que Alice a choisi, il obtiendra une estimation du taux d'erreur dans la séquence de transmission S2. En fait, dans la seconde transmission, Eve ne peut pas perturber la transmission et ne peut pas également voler l'information, parce qu'elle ne peut pas obtenir 4.1. Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states 114 une information à partir d'une seule particule d'une paire EPR, c'est le principe qu'on a déjà évoqué auparavant. (S5) Ainsi, si le taux d'erreur des paires d'échantillonnage est relativement faible, Alice et Bob peuvent alors accepter le processus de communication, et continuent à corriger les erreurs dans le message secret en utilisant des méthodes de correction d'erreur. Sinon, Alice et Bob abandonnent la transmission et répétent la procédure depuis le début. (S6) En eet, la correction d'erreur sur les résultats obtenus se fait exactement de la même manière que celle dans QKD. Toutefois, an de préserver l'intégrité du message transmis, des techniques de préservation des bits de correction doivent être utilisées telles que la procédure "CASCADE" [103]. 4.1.2 La proposition d'un protocole Ping Pong à base des états cohérents Avant d'aborder la description du protocole proposé, nous allons à la lumière des états de Bell photonique dénir des état de Bell à base des états cohérents comme suit : |φ± i = |ψ ± i = 1 √ (|α, αi ± | − α, −αi) 2 1 √ (|α, −αi ± | − α, αi) 2 (4.3) avec |αi = exp −|α|2 2 ∞ X αn √ ) ( n! n=0 (4.4) est un état cohérent normale exprimé dans la base de fock et : 1 |α, jiq = q (1 + |α|2 )q 2 j j X m=−i 2j m+j ! 12 α(m+j) |j, mi (4.5) q est un état cohérent déformé aussi dans la même base de fock. Il est à noter que quand q = 1, nous retrouvons l'état cohérent de spin normale [104, 105]. L'objectif de ce travail est à la fois introduire l'utilisation des états cohérents dans les tâches de communications et dans l'échange de l'information et également étudier l'impact de la déformation sur les performances de la sécurité de transmission et le niveau de condentialité atteint grâce à l'usage de ces états modiés. Ainsi, le protocole présenté dans cet article suit le processus de transmission par lots de N paires EPR décrit dans [106]. En eet, parmi les avantages de ce schéma de transmission par bloc est que nous pouvons vérier la sécurité de la transmission par la mesure de certains particules [107, 108] dans la première étape, où Alice et Bob possèdent une séquence de particules à portée de leurs mains, ce qui signie qu'un espion n'a pas accès à la première séquence de particules, n'aura aucune information sur l'état du système et ce quelque soit son action sur la deuxième séquence. Par la suite, nous allons dénir l'état : |ψi = |ψi ≡ 1 √ (|αi ⊗ |αi + | − αi ⊗ | − αi) 2 1 √ (|α, αi + | − α, −αi) 2 (4.6) 4.1. Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states 115 et les opérateurs unitaires (U0 , U1 , U2 et U3 ) suivant : U0 = σ0 = |αihα| + | − αih−α| U1 = σz = |αihα| − | − αih−α| U2 = σx = |αih−α| + | − αihα| U3 = σy = |αih−α| − | − αihα| (4.7) avec |αi ∈ {|αi( état normal avec q = 1), |αiq ( état normal avec q 6= 1} (4.8) en eet, on peut supposer, à titre approximatif, que ces opérateurs peuvent être considérés comme des opérateurs unitaires sous certaines conditions (voire appendice A.[110]). De ce fait, on va estimer dans notre cas que U0 , U1 , U2 et U3 sont approximativement unitaires. Par conséquent, nous allons décrire le protocole proposé comme suit : (S1) Bob prépare N états de Bell de la forme : 1 |φ+ i = √ (|α, αi + | − α, −αi) 2 (4.9) avec |αi ∈ {|αi( état normal avec q = 1), |αiq ( état normal avec q 6= 1} (4.10) ensuite, il extrait toutes les premières particules de ces N états pour former la séquence ABob . Cette séquence sera utilisée pour transmettre un message sécurisé de Alice vers Bob. Par contre, les particules restantes vont former la séquence BBob que Bob va conserver. (S2) Bob prépare également un grand nombre d'états de la forme |ψi pour constituer la séquence CBob pour détecter toutes les actions illicites sur le canal. Dans la séquence CBob , il mesure la première particule de |ψi dans la base BZ = {|αi, | − αi} et enregistre les résultats de mesure. Après cela, il insère la seconde particule de |ψi, dans la séquence ABob au hasard, de sorte qu'il forme une nouvelle séquence DBob . Ladite séquence contient en ce moment les particules de détection d'intrusion et les particules d'encodage du message secret. Toutefois, il faut remarquer que la position d'insertion des ces particules doit être garder secrète. (S3) Bob va stocker la séquence BBob et envoie la séquence DBob (S4) Après avoir reçu la séquence DBob , Alice va demander à Bob de lui communiquer les positions des particules de détection et les résultats de la mesure qu'il a enregistrées. En se basant sur ces information, Alice extrait ces particules de la séquence DBob et eectue ensuite la mesure dans la même base que Bob. Ceci étant la première phase de vérication. De ce fait, s'il n'y a pas une intervention sur le canal, alors les deux mesures doivent être parfaitement corrélées. Donc, tout déviation de ce constat doit être interpréter comme une action d'interception menée sur le canal, et par conséquent, la communication doit être interrompue et le protocole doit être abandonné (refaire depuis (S1)). (S5) Dans cette étape, Alice élimine les particules de détection de la séquence DBob , alors cette séquence redevient la séquence ABob de nouveau. Alice code son messages sur la séquence ABob et la transmet à Bob. An de se prémunir contre toute action illicite dans cette transmission, Alice va également insérer des particules de détection dans la séquence ABob avant la transmission. De la même manière que précédemment, elle va insérer aléatoirement la première particule de l'état |ψi dans la séquence ABob et va mesurer la deuxième particule et conserver son résultat. Seulement cette fois-ci c'est Alice qui connaît les positions 4.1. Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states 116 de ces particules et les résultats de mesure. En eet, la séquence ABob est utilisée pour transporter directement le message secret. Pour augmenter la capacité de transmission, le système de codage dense peut être également intégré dans ce schéma. Explicitement, Alice exécute l'une des quatre opérations unitaires (U0 , U1 , U2 et U3 ) sur chaque mode de la séquence ABob en fonction du message à transmettre. Ainsi, cette action transforme |φ+ i en |φ+ i, |φ− i, |ψ + i et |ψ − i respectivement. Donc on admet que ces opérations correspondent à transmettre les valeurs classiques suivantes 00, 01, 10 et 11 respectivement. Puis Alice transmet à Bob la séquence ABob qui porte les particules transformées et les particules de détection. (S6) Après la transmission de la séquence de ABob , Alice annonce à Bob les positions des particules de détection et les résultats de mesure des premières particules. Pour obtenir le message secret, Bob eectue une mesure de Bell sur les séquences ABob et BBob simultanément. En vériant les particules servant d'élément de détection, insérées par Alice, Bob déterminera une estimation du taux d'erreur dans la séquence ABob . En fait, Eve ne peut perturber la transmission et ne peut pas voler l'information, parce qu'elle ne peut obtenir une information complète d'une seule particule à partir d'une paire EPR. Ainsi, si le taux d'erreur est raisonnablement faible, Alice et Bob peuvent ensuite faire conance dans ce processus, et continuent à transmettre le message secret. Sinon, Alice et Bob abandonnent la transmission et répéter les procédures depuis le début. Comme indiqué ci-dessus, le message secret peut être transmis de façon sécurisée entre Alice et Bob, et l'espion sera découvert s'il tente de perturber la ligne de communication quantique. En eet, physiquement parlant, Eve ne peut pas accéder aux informations encodées dans la demi pair-EPR à partir de l'autre moitié EPR (même si elle capte la séquence ABob ) parce que cette opération nécessite, à la fois, la connaissance des position des particules de détection pour les éliminer et l'exécution d'une mesure de Bell sur les deux parties ABob et BBob . Donc, on conclut que la transmission dans le cadre de ce protocole est considérée sécurisée. 4.1.3 L'analyse de sécurité pour les protocoles proposés Dans le protocole "Ping-Pong" original [101], l'auteur a estimé la valeur maximale de l'information I(dio ) qu'Eve peut soutirer du canal et la probabilité dio pour laquelle Eve est détecté comme suit : I(di0 ) = −di0 log2 (di0 ) − (1 − di0 )log2 (1 − di0 ) (4.11) en eet, le maximum de cette fonction est prévu lorsque p0 = p1 = 0.5. Donc, on constate qu'en peut détecter Eve avec une probabilité de dio = 0.5 quand elle a accès à l'information totale. Maintenant, pour analyser l'ecacité de la détection d'intrusion dans les deux protocoles proposés, on va se mettre dans la situation où l'espion "Eve" va procéder à l'exécution d'une attaque par "beam-splitter", considérée comme l'attaque la plus performante et la plus élaborée dans le contexte où les états cohérents sont utilisés comme vecteur de transmission. Cette opération représentée par l'opération unitaire Ubs va aboutir à l'obtention d'un information partielle qu'Alice va encoder sur les modes transitoires. Donc, notre approche analytique consiste à supposer que Eve eectue une mesure sur la partie du système dont elle a seulement accès. D'autant plus, il faut rappeler que toutes les particules émises entre Alice et Bob sont envoyés sous forme de bloc. Par conséquent, un attaquant n'aura pas la possibilité de diérencier entre les particules utilisées pour détecter les intrusions et celles utilisées pour transmettre l'information dans le lot envoyé. 4.1. Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states 117 Ainsi, la seule démarche logique qui sera accessible à Eve est d'eectuer seulement la même opération d'attaque sur toutes les particules sans aucune distinction. De ce fait, en se basant sur le constat que l'état des modes transitoires est indiscernable du mélange complet, alors nous devons analyser l'attaque que Eve va eectuer dans cette condition. Ensuite, nous devons déterminer, la probabilité de détection et l'erreur introduite dans le canal quantique. Pour ce faire, on va recourir à l'information mutuelle comme un outil de mesure pour estimer la variation de gain d'information entre l'émetteur, le récepteur et l'attaquant. Donc, de ce qui précède on va commencer tout d'abord par décrire l'action d'une "beam-splitter" UBS qui liée l'état d'entrée à l'état de sortie correspondant par : |outi = UBS |inti (4.12) est donné par [109] : θ † b+ab† ) UBS = ei 2 (a (4.13) ici, a et b (a† et b† respectivement) sont les opérateurs d'annihilation (opérateurs de création respectivement) décrivant les entrées et les sorties de la "beam-splitter". Ainsi, cette description nous a permis de modéliser l'opérateur d'attaque comme suit : Ubs | ± α(q)iB ⊗ |0iE = | ± ηα(q)iB | ± τ α(q)iE (4.14) avec |α(q)iB (q ∈ [0, 1]) et η et τ sont les facteurs de transmission et de réexion de la beamsplitter d'Eve avec η 2 + τ 2 = 1. Explicitement, cette transformation unitaire agira sur l'état cohérent introduite en entrée de la façon suivante : (4.15) Ubs | ± αiB ⊗ |0iE = | ± ηαiB | ± τ αiE , UBS |α, ji|0i = 1 q (1 + |α|2 )q 2 j q=1 2j X n X n=0 p=0 ! 12 1 2j n 2 n p n−p α T R |pi|n − pi, n q p q 6= 1 En vertu de ce qui précède, les particules de détection vont redevenir après l'attaque comme suit : 1 (I ⊗ Ubs )|ψi ≡ (I ⊗ Ubs ) √ (|α, αi + | − α, −αi) 2 (4.16) En eet, cette forme de représentation nous permet de monter que seule le mode transitoire qui va être attaqué par contre l'autre mode, détenu par Alice, sera inchangé sous l'action de "I " opérateur identité agissant sur le premier mode des états EPR. Ainsi, pour évaluer la probabilité de succès de la mesure nous allons considérer une situation explicite. Pour ce faire, on suppose qu'Alice envoie à Bob l'état de détection | ± α(q)i, de ce fait la probabilité de succès correspondante à la mesure de l'état | ± α(q)i après l'intervention d'Eve dans la base BZ = {|αi, −|αi} est donnée par : prob|±α(q)i = [h±α(q)|Ubs | ± α(q)i]2 (4.17) par analogie, nous concluons que l'erreur introduite par Eve sera de la forme : Err = 1 − prob|±α(q)i (4.18) 4.1. Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states 118 donc tout calcul fait (voir appendice A et B [110]), nous aurons : prob|±α(q)i = exp prob|α(q),ji = −|α|2 (1−η)2 2 [2j]q ! (q = 1)) 2j Min(2j−p,2j−p0) X X ((1 + |α(q)|2 )q 2j )−2 p,p0 m=0 1 2 (m + p)!(m + p0)! × [m + p]q ![m + p0]q ![2j − m − p]q ![2j − m − p0]q ! |α(q)|(2m+p+p0) T 2m (1 − T 2 ) × √ m! pp0 p+p0 2 (q 6= 1)) (4.19) on constate d'après l'équation Eq.4.19 que la probabilité de succès dépend fortement de l'amplitude de l'état cohérent α et des coecients η(τ ) de la "Beamsplitter" utilisée dans cette attaque. En plus, cette variation dépend également du paramètre de déformation q dans le cas des états cohérents modiés. Donc pour conrmer ces observations et en vue d'explorer davantage l'eet qu'apporte la variation de ces paramètres sur la probabilité de succès et le taux d'erreur, qu'introduit l'espion en cas d'attaque, nous avons représenté cette évolution sur la gures Fig.4.1 a et b. (a) (b) Figure 4.1 (a) l'évolution de la probabilité d'erreur en fonction de 0 < |α| < 3 avec un taux de réexion de 50% et une déformation q ∈ {0.1, 0.5, 0.99 ' 1}, (b) l'évolution de la probabilité de succès en fonction de 0 < |α| < 3 avec un taux de réexion de 50% et une déformation q ∈ {0.1, 0.5, 0.99 ' 1}. Ainsi, nous concluons que globalement pour une amplitude α plus large, la probabilité de succès diminue (voir gure 4.1.b) et inversement le taux d'erreur augmente (voir gure 4.1.a). En plus, on constate que pour la même valeur de l'amplitude α, la probabilité de succès diminue également tout en s'éloignant de l'unité (1), c'est la valeur classique des état cohérents non déformés, mais cette tendance on l'observe aussi dans le taux d'erreur qui s'amplie à chaque fois qu'on déforme plus q 1. Par conséquent, on conclus qu'une telle situation nous serait optimale dans un mode d'une communication sécurisée parce que au lieu d'utiliser des états cohérents avec des grandes 4.1. Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states 119 amplitudes, qualiées d'un vice de sécurité et une faiblesse lors de la transmission (attaque pas splitting), alors on peut contourner cette entrave par le recours à la déformation des états cohérents. Toutefois, il serait judicieux d'étudier la faisabilité de cette proposition dans des conditions de communication réelle. En eet, comme on a déjà mentionné auparavant, les conditions d'évolution des particules transmetteurs de l'information se fait dans un environnement généralement qu'on n'arrivera jamais à contrôler. De ce fait, imaginer une situation de communication dans des conditions réelle, revient à imposer des pertes à encaisser le long de la ligne entre les deux correspondants légitimes. Ainsi, l'ensemble de ces pertes on peut les modéliser sous formes d'une série des "Beamsplitter" (miroir rééchissante) placées devant un détecteur parfait de Bob. A cet eet, on considère que la "Beamsplitter" B1 utilisée par l'attaquant dispose d'un facteur de réexion η1 , l'eet de l'environnement et de la décohérence induite est représentée lui aussi par une "Beamsplitter" B2 dont le facteur de réexion est η2 et nalement les pertes subis pendants la phase de la mesure, causées généralement par l'imperfection des détecteurs, elles aussi peuvent êtres symbolisées par le schéma équivalent qui fait correspondre une opération de mesure imparfaite à une "Beamsplitter" rééchissante B3 (η3 ) installée devant un détecteur parfait. Par conséquent, la mise en série de ces "Beamsplitters" et en vertu de la linéarité de cette transformation, on peut les regrouper dans une seule "Beamsplitter" équivalente d'un facteur de transmission globale de (1 − η1 )(1 − η2 )(1 − η3 ). Ainsi, la transmissibilité du dispositif de communication va diminuer et cette situation va certainement impacter les performances de détection d'intrusion et les probabilités de succès de ce protocole. Pour ce faire nous avons tracé leur évolution dans Fig.?? a et b mais cette fois-ci en prenant en considération les eets et l'impact de l'environnement, la décohérence et les problèmes liés à la mesure. (a) (b) Figure 4.2 (a) l'évolution de la probabilité d'erreur en fonction de 0 < |α| < 3 avec un taux de réexion de η ∈ {25%, 50%} et une déformation q ∈ {0.1, 0.5, 0.99 ' 1}, (b) l'évolution de la probabilité de succès en fonction de 0 < |α| < 3 avec un taux de réexion de η ∈ {25%, 50%} et une déformation q ∈ {0.1, 0.5, 0.99 ' 1}. 4.1. Contribution.1 : A quantum secure direct communication protocol using entangled modied spin coherent states 120 Ainsi, nous constatons que généralement les courbes gardent la même allure que précédemment. Cela implique que pour une amplitude α plus large, la probabilité de succès diminue (voir gure 4.b) et inversement le taux d'erreur augmente (voir gure 4.a). En plus, on observe également que pour la même valeur de l'amplitude α, la probabilité de succès diminue tout en éloignant le paramètre de déformation de l'unité. Pour ce qui est de l'ecacité des détecteurs et les eets indésirables de l'environnement, on voit clairement leur impact sur la probabilité de succès. En eet, plus l'ecacité des détecteurs diminue, plus la probabilité de réussite diminue et son erreur correspondante augmente. Par conséquent, la décohérence, l'imperfection des détecteurs et le bruit sont des facteurs qu'on peut pas gérer directement mais qu'on peut, à la rigueur, compenser via la déformation. Par ailleurs, on déduit par exemple dans la conguration où q < 1, l'amplitude α < 1.5 et une ecacité 25% < η < 50% que la meilleur situation se produit lorsqu'on déforme plus (q 1). Néanmoins, pour réduire à la fois la probabilité de succès et la quantité d'erreur pour les faibles amplitudes, nous proposons dans la conguration suivante une démarche utilisant un état cohérent modié contenant trois états déformés dénie comme : |ψi = |ψi ≡ 1 √ (|αi ⊗ |αi ⊗ |αi + | − αi ⊗ | − αi ⊗ | − αi) 2 1 √ (|α, α, αi + | − α, −α − αi) 2 (4.20) avec |αi = |α, ji et | − αi = | − α, ji. cette situation est très favorable pour les communications à faible amplitudes. En eet, si on note psec (2) la probabilité de succès de la première conguration et psec (3) est la conguration de l'état à trois particules alors nous avons : psec (3) = (psec (2))2 en vertu que x2 < x pour x ≤ 1 ⇓ psec (3) < psec (2) (a) Figure 4.3 (a) Evolution of the probability for Z (4.21) (b) = 1 and 0 < q < 1, (b) Evolution of the probability for 0 < α < 3 the dotted line (q = 0.5) and solid line (q = 1). 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 121 4.1.4 Conclusion En guise de conclusion, nous avons proposé un nouveau protocole basé sur les états cohérents de spin modiée en s'inspirant d'un protocole de communication quantique directe. Ainsi, dans un premier temps, nous nous sommes intéressés à la déformation de l'algèbre SU (2) que nous avons noté Uq (SU (2)), qui est en fait une déformation de l'algèbre enveloppante U (SU (2)) et le générateur des états utilisés dans notre protocole. Par la suite, nous avons étudié l'eet de paramètre de déformation q sur la probabilité de détection et le taux d'erreur introduit par Eve sur le canal quantique. Enn, nous avons eectué une comparaison en terme de ces performance entre un état cohérent normal et celui modié et nous avons démontré que la seconde situation permet d'atteindre un niveau de sécurité meilleur que le premier. D'autant plus, nous avons suggéré la possibilité de compenser les eets indésirables rencontrés lors de la communication, notamment le bruit et la décohérence y compris l'imperfection des détecteurs ..., via la déformation des particules transmetteurs de l'information. 4.2 Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples Résumé : An de renforcer la sécurité de la transmission dans les communications quantiques en utilisant les états cohérents, nous proposons un dispositif optique [111] sous forme d'un parefeu quantique pour protéger ces système contre l'espionnage via des stratégies d'attaque optiques. A l'instar du modèle classique du pare-feu, le dispositif proposé ore aux utilisateurs, légitimes, la possibilité de ltrer, contrôler (états d'entrée/sortie) et de prendre une décision (ou de refuser l'accès) concernant les états reçus. Pour prouver la sécurité et l'ecacité du pare-feu optique suggéré, nous analysons ses performances contre une famille spécique d'attaques, notamment celle la plus importante connue comme "Faked state Attack". 4.2.1 Les attaques quantiques optiques contre les systèmes QKD Avant d'entamer la description et l'analyse du dispositif proposé, nous allons tout d'abord rappeler brièvement le principe des attaques quantiques et plus particulièrement les stratégies adaptées aux dispositifs de communication optiques. 4.2.1.1 synoptique des attaques réception/émission Généralement, dans ce genre d'attaques [112], l'espion va entrer en action directe avec le canal pour installer ses équipements. En eet, il va tout d'abord insérer un polariseur avec une orientation réglable suivie par un détecteur de photons. Par la suite, il va choisir d'intercepter certains ou l'ensemble des photons qui transitent par le canal suivant sa stratégie. Après cela, il va choisir aléatoirement une base pour exécuter sa mesure. Une fois c'est fait, il produira un photon spécialement préparé pour Bob polarisée dans la même direction que celle qu'il a mesuré. Par conséquent, s'il choisit la même base que Alice, alors il ne sera pas détecté car l'état de polarisation n'est pas perturbé. Toutefois, s'il choisit une base diérente, à cet instant là il aura une chance égale de mesurer correctement ou incorrectement la polarisation de la particule. En fait, il sera plus susceptible d'être détecté dans cette circonstance, parce que le résultat dépend aussi de la mesure de Bob. Par conséquent, si Bob a choisi une base diérente de Alice, cette mesure sera abandonnée et l'espion sera épargné. Néanmoins, si Bob utilise la même base que Alice et l'attaquant, donc il n'y a pas moyen de détecter cette perturbation, on dit que son action est transparente sur l'état du système. Toutefois, si Alice et Bob utilisent la même base quant à 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 122 l'attaquant mesure suivant une base diérente, c'est ainsi que l'état du photon va s'eondrer, et à ce moment-là il va être détecté. 4.2.1.2 attaque par les états contrefaits : Faked State Attack An de monter des attaques plus élaborées [96] dans le cadre des attaques par réception/émission, un attaquant peut potentiellement exploiter les faiblesses de certains dispositifs de distribution de clés quantiques. En eet, l'attaquant bénécie d'une vulnérabilité aectant un type bien déterminé des détecteurs utilisés par les correspondants légitimes. Comme indiqué auparavant, l'espion intercepte le signal émis par Alice et mesure la polarisation sur une base choisie au hasard. Par la suite, il prépare ses résultats de mesure sur de nouveaux photons et il les envoie vers Bob, comme le cas d'une attaque classique. Mais cette fois-ci et à la diérence près que l'attaquant va contrôler les détecteurs de Bob et les condamner à travailler en régime saturé au lieu du régime linéaire. En conséquence, si le récepteur a les mêmes choix de base que l'espion, ces impulsions vont livrer une valeur de puissance susante pour générer des déclencheurs dans le détecteur de Bob, donc les résultats de Bob seront similaires à ceux de l'attaquant. Mais, si par contre la base choisie par Bob est diérente à celle de l'espion, alors les impulsions de l'attaquant ne vont pas exciter susamment les détecteurs de Bob pour générer un clic. Ainsi, on constate que dans ce contexte l'intervention de l'espion introduit un taux d'erreur acceptable et ne révèle aucun doute. Donc nalement, il parait clair qu'il génère une clé identique que les utilisateurs légitimes sans attirer leurs intentions. Du coup, Alice et Bob vont reconnaître la validité de la clé générée. En fait, un espion peut attaquer un système quantique de distribution des clés avec la méthode de contrôle des détecteurs décrite ci-dessus. En eet, Dans un tel système, Bob a plusieurs détecteurs et fait un choix de la base de détection. Par conséquent et vue les opportunités dont dispose l'attaquant, alors il a la possibilité et la liberté d'exciter un détecteur spécique dans une base spécique de son choix. Par ailleurs une telle man÷uvre a pour conséquence de permettre à cet attaquant de contrôler le processus de génération des clés de chirement et de compromettre la sécurité des messages codés. An de résoudre ce problème, nous considérons l'exemple d'un système de cryptographie quantique avec un codage de polarisation et un choix de base interactif tel que le protocole BB84 [113, 8]. Pour démontrer brièvement l'eet d'une telle attaque, nous supposons que l'entrée du signale d'Alice passe d'abord par un modulateur qui, au choix aléatoire de Bob, est orienté vers un diviseur de faisceau polarisant. La composante verticale de la polarisation va au détecteur D0 et la composante horizontale va au détecteur D1 . Dans cette attaque on désigne l'attaquant par "Eve" qui va agir de sorte qu'elle : Bloque complètement le canal entre Alice et Bob. Peut cloner la conguration de Bob pour mesurer les états envoyés par Alice et on suppose qu'elle eectue un choix aléatoire de la base de détection. Oblige Bob à eectuer une mesure similaire à celle de son choix en provoquant un clic dans le détecteur de Bob correspondant à son choix et avec la même valeur qu'elle vient de mesurer. Prépare un état quantique très particulier, appelé un état truqué, qui sera envoyé à Bob. Rendre aveugle les détecteurs de Bob et n'autorise que ceux coïncidant avec ses choix et les maintient opérationnels dans ce cas. Les détecteurs de Bob reçoivent le signal envoyé par Eve. Ensuite Bob eectue une mesure 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 123 selon son choix de base. Donc, si Bob choisit la même base que l'espion, alors son détecteur opérationnel va cliquer, sinon les autres détecteurs sont aveuglés et ils ne vont pas cliquer. Dans ce cas, nous pouvons conclure que Eve gagne la même information partagée entre Alice et Bob, mais reste également indétectable. Finalement, nous pouvons constater qu'une telle attaque permettra eectivement à une tierce personne, non autorisée à lire et voir la clé secrète, la procuration du secret partagé entre les deux correspondants légitimes. Ainsi, pour combattre le feu, il parait judicieux parfois d'utiliser le feu. C'est dans cette optique, que nous avons proposé un dispositif matériel pour combler les lacunes et les vulnérabilités des dispositifs de détections à la base de simples composantes optiques. 4.2.2 Un parefeu garant de la sécurité au sein d'un réseau de communication quantique 4.2.2.1 principe fonctionnel et mode opératoire du parefeu classique Un parefeu [114] est un système conçu pour empêcher l'accès non autorisé à un réseau privé. Les parefeux peuvent être trouvés dans le marché sous forme matériel, logiciel, ou une combinaison des deux. Ces dispositifs sont souvent considérés comme un serveur de passerelle de réseau couramment utilisé pour empêcher les utilisateurs non autorisés d'accéder aux réseaux privés ou des infrastructures particulièrement critiques. Tous le trac entrant ou sortant doit au préalable passer à travers cette composante, qui va inspecter chaque trame et bloque celle qui ne répond pas aux critères de sécurité spéciées. Cette fonctionnalité de base est le principe fondateur des parefeux, que lorsqu'il est activé, il permet d'assurer la sécurité du réseau en ltrant les entrées et les sorties selon les règles de sécurité dénies dans la politique de la communication. Généralement, un simple pare-feu est réputé pour surveiller et vérier les demandes pour assurer qu'ils proviennent des utilisateurs légitimes. Donc, on peut conclure qu'il autorise l'accès à distance dans un réseau privé en se basant sur la source du signal ou sa destination. Une telle règle permet généralement de préserver le système d'information contre les attaques et les utilisateurs malveillants. C'est dans cette optique que s'inscrit notre proposition d'une nouvelle classe de pare-feu ayant la particularité d'être incorporé facilement dans un schéma de communication quantique [115, 116, 117, 118] tout en concervant son principe actif de protection exigé par les normes de sécurité. 4.2.2.2 Proposition d'un parefeu adapté au schéma de la communication quantique revue de protocole BB84 : Dans ce qui suit, nous présentons le schéma synoptique du pare-feu quantique proposé et qui sera essentiellement composé d'une superposition de quatre "Beamsplitters" et quatre détecteurs (voir réf Fig.4.4. Ces dispositifs permettront d'analyser en profondeur la nature du signal entrant et se basant sur le résultat de l'état mesuré, il sera autorisé à passer ou non par le canal quantique pour continuer vers les détecteurs de Bob. An d'illustrer pratiquement le régime de fonctionnement de ce dispositif, nous considérons dans ce qui suit que l'information partagée entre Alice et Bob va être véhiculée via le protocole standard BB84 [113, 8] à l'aide des états cohérents comme vecteur d'encodage. Le scénario d'envoi peut être résumée comme suit : Alice envoie à Bob une séquence aléatoire des états cohérents en sélectionnant 0 ou 1 codée dans la base H/V (horizontale, verticale) ou D/A (Diagonal, Anti-diagonal). Bob choisit au hasard une base parmi H/V ou D/A pour mesurer les états reçus. Alice et Bob échangent, par un canal classique, les bases qu'ils ont utilisé. Puis, ils éliminent de leur clé les valeurs pour lesquels ils ont utilisé des bases diérentes. 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 124 Pour ce qui est des bits restants, ils communiquent une fraction de bits en public an de renforcer la sécurité de la clé partagée. Par conséquent, dans le protocole BB84 [9], chaque état est porté par un seul qubit envoyé par Alice et reçu par Bob. Pour chaque qubit préparé dans l'une des deux bases orthonormées et conjuguées, il représente un bit de la clé à générer. Quand Alice utilise la base H/V , ses états seront de la forme suivante : 1 √ (|0Z i + |1Z i) 2 1 √ (|0Z i − |1Z i). 2 |Hi = |V i = (4.22) par contre, quand elle utilise la base D/A, les états auront la forme : 1 √ (|0Z i + i|1Z i) 2 1 √ (|0Z i − i|1Z i). 2 |Di = |Ai = (4.23) Théoriquement, la source de Alice est en mesure d'envoyer l'un de ces quatre états, choisi au hasard. Puis, Bob mesure le qubit qu'il reçoit soit dans la base H/V ou D/A choisi uniformément. Après cela, Alice et Bob réconcilient leur clé à l'aide d'un canal classique, où ils conservent seulement les bits des clés pour lesquels la base de préparation et celle de la mesure coïncident. La version nale de la clé sera obtenue à partir de la chaîne distillée via un processus d'amplication. Cependant, en pratique, Alice utilise des impulsions laser transmises par une bre optique. Dans notre étude, nous examinons les états sources d'Alice an d'éviter la propagation d'un signal illégitime sur le canal quantique. Donc, nous représentons les quatre états légitimes par une paire de modes de photons (décrit par les opérateurs d'annihilation aR et aS ) [119] : |Hi = † † −|α|2 α aR +aS |V e e † † 2 −|α| α aR −aS |V i = e e |V aciR ⊗ |V aciS = |αiR ⊗ | − αiS 2 α a†R +ia†S 2 α a†R −ia†S |Di = e−|α| e |Ai = e−|α| e aciR ⊗ |V aciS = |αiR ⊗ |αiS |V aciR ⊗ |V aciS = |αiR ⊗ |iαiS |V aciR ⊗ |V aciS = |αiR ⊗ | − iαiS (4.24) Nous considérons également que la phase de α est relative à une phase classique xe de référence qui peut être accessible par l'espion. D'autant plus, nous considérons aussi que le "signal de base" est référencé par l'état du mode S et nous appelons l'état de mode de R l'impulsion "de référence". La clé est codée dans la phase relative des deux impulsions, dans notre cas, seule la phase de l'impulsion de "signal de base" qui est modulée par la source [119]. Ainsi, après avoir décrit le cadre de la communication entre les deux correspondants et xé les conditions de la démonstration, nous allons alors présenter le schéma du dispositif du rewall optique dans le section qui suit. 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 125 4.2.2.3 Description du pare-feu quantique Figure 4.4 The proposed quantum optical rewall scheme Dans notre analyse de sécurité, nous allons nous intéresser à l'état de mode de S , utilisé pour le codage de l'information d'Alice. Pour cela, nous supposons que lors de la transmission, Alice utilise un état |χi ∈ {|αi, | − αi, |iαi, | − iαi} qui va traverser notre dispositif comme indiquer sur la gure.4.4. Ainsi, selon le signal entrant, certains détecteurs vont cliquer et d'autres ne le feront pas. Donc, nous allons décrire les diérents cas de transmission et expliquer les rôles du parefeu optique pour autoriser ou refuser le signal d'entrée en se basant sur la réaction des détecteurs. Dans le schéma proposé, le signal original |χi sera divisé en deux fractions avec un BS 50/50. Par la suite, la première | √χ2 i fera l'objet d'un traitement optique par le pare-feu an d'en dégager une conclusion. C'est en s'appuyant sur ce résultat, corrélé aux règles de ltrage prédénies, que la deuxième partie | √χ2 i sera envoyé aux détecteurs de Bob ou sera rejeté. En ce qui concerne, sommairement, le processus d'analyse, nous divisons la première partie en quatre sous-fractions, χ en utilisant des séparateurs de faisceau où les quatre modes d'entrée, notamment | 2√ i seront 2 α α √ √ fusionnés avec des impulsions spéciales (| ± 2 2 i, | ± i 2 2 i) en appliquant ces opérateurs de α √ ), D(± √ √ i, | χ±iα √ i) vont être déplacement (D(± 2iα )). Après cela, les modes de sortie (| χ±α 2 2 2 2 2 2 2 redirigés vers les détecteurs Di ( où i ∈ {1, 4}) an de détecter au moins un photon dans leurs ports respectifs. Par conséquent, nous allons constater que certains détecteurs vont cliquer et d'autres non selon les sources de signaux d'entrée. Ainsi, nous pouvons diviser tous les événements possibles indépendamment de la source d'entrée comme suit : Événement E1 : représente la situation où tous les détecteurs cliquent. 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 126 Événement E2 : représente la situation où trois détecteurs cliquent parmi les quatre détecteurs. Événement E3 : représente la situation où deux détecteurs cliquent parmi les quatre détecteurs. Événement E4 : représente la situation où un seul détecteur qui va cliquer. Événement E5 : représente la situation où tous les détecteurs ne cliquent pas. 4.2.3 L'analyse de la communication en présence du pare-feu quantique 4.2.3.1 l'analyse des diérentes probabilités de réussite La discrimination ambiguïe des états (The unambiguous state discrimination USD) est très liée au domaine de la cryptographie quantique et plus précisément dans la distribution de clé quantique (QKD). Il peut être très utile pour la communication quantique dans la mesure où cette approche permet de distinguer de manière optimale entre un ensemble donné des états. Cependant, l'erreur minimale de la distinction entre deux états non orthogonaux équiprobables correspond à une mesure projective connue sous le nom de la mesure Helstrom [120]. Ainsi, on peut approcher généralement l'action "USD" par une mesure généralisée connue sous le nom d'Ivanovic-Dieks-Peres (IDP) [121, 122]. Pour mieux expliquer ce principe, nous considérons un exemple simple quand on veut comparer deux états cohérents diérentes |αi et |βi dont on ignore leur amplitude |α| et |β| et leur phase. Pour ce faire, nous utilisons un diviseur de faisceau "beam-splitter" 50/50 pour eectuer une comparaison entre ces deux états comme indiqué sur Fig.4.5. Les modes de sortie de diviseur de faisceau deux sont reliés aux ports d'entrée par la relation suivante : Les deux modes de sortie de diviseur de faisceau sont reliés aux ports d'entrée par la relation suivante : 1 âoutput = √ âinput + b̂input (4.25) 2 1 b̂output = √ âinput − b̂input (4.26) 2 où â et ↠(b̂ et b̂† ) sont les opérateurs d'annihilation et de création du premier et du deuxième mode d'entrée respectivement. Par conséquent l'action de diviseur de faisceau va transformer le mode d'entrée |αiinput ⊗ |βiinput en : α + β α − β |αiinput ⊗ |βiinput =⇒ √ ⊗ √ (4.27) 2 output 2 output 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 127 Figure 4.5 Evolution of two input coherent elds through a beam-splitter An d'optimiser l'analyse des modes de sortie, nous considérons les deux conditions suivantes : Dans le cas où il n'y a pas de problème liée au "dark counts" dans les détecteurs et que α = β , le mode de sortie D2 contiendra seulement le vide. Par conséquent, toute détection d'un photon au moins dans la sortie D2 conrmera que soient les phases ou les amplitudes de α et β ne sont pas identiques. Dans le cas où nous ne pouvons pas avoir des détecteurs avec une probabilité de "dark counts" nulle, alors nous ne pouvons plus conrmer que α 6= β . Ainsi, on constate que l'ecacité des détecteurs impacte négativement l'ecacité de notre dispositif et par conséquent la probabilité de succès. Certes, une telle condition va certainement réduire la probabilité de détecter une diérence entre α et β , cependant elle va mettre à l'épreuve notre dispositif dans des conditions réelles de communication (perte dans le canal, imperfection des détecteurs, bruit ...). De ce fait, en se basant sur ce qui précède, on estime que la probabilité de succès de détecter une diérence entre α et β est égale à la probabilité de détecter au moins un E α−β √ photon dans le mode de sortie D2 et qui est équivalente à ( 2 ). Etant donné que la proba bilité de détecter zéro photon dans ce mode est donnée par p (0) = exp − 12 |α − β|2 , alors la probabilité de succès sera ainsi de la forme suivante : 1 Psuccess = P (0) = 1 − e− 2 |α−β| 2 (4.28) donc après avoir déterminé les probabilités relatives à la discrimination ambiguïe des états cohérents, nous allons alors procéder de la même manière dans la section suivante pour caractériser notre dispositif de protection en se basant sur les cinq événements déjâ identiés. 4.2.3.2 les probabilités de réussite du parefeu optique An de valider l'ecacité de notre dispositif, nous allons procéder tout d'abord à la détermination de la probabilité de réussite du parefeu optique proposé en fonction des paramètres du système de communication. Ainsi, pour ce faire, nous allons extrapoler la discrimination ambiguïe des états pour l'adapter à notre cas d'étude composé de quatre états cohérents symétriques. Cette mesure discriminatoire peut être utilement employée par l'un des correspondants légitimes dont l'objectif est d'attester l'authenticité de l'état reçu. 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 128 donc à titre de rappelle, nous considérons une conguration contenant quatre détecteurs de photon unique (SPDs) Di ∈ {1, 2, 3, 4}, et nous considérons également que Ei est l'ensemble des événements S conditionnés par le nombre de clics de ces détecteurs. En outre, soit un état d'entrée |χi ∈ A B (où A = {|±αi , |±iαi} incident sur quatre BS 50/50, suivi de quatre détecteurs {D1, D2, D3, D4} positionné à la sortie de chaque BS (voir gure.4.4). Dans ce qui suit, nous allons estimer la probabilité de succès, dans cette conguration, pour chaque événement possible en fonction de la source de signal incident. Evénement E1 : la probabilité de succès pour E1 quand χi = αi est donnée par : 4 Y P (E1|χ = α) = (4.29) P c (di ) i=1 avec P c (di ) représente la probabilité de détecter au moins un photon dans le détecteur di . |αi |2 i(φα −φχ ) P c (di ) = 1 − e− 2 |1−ye i i | (4.30) toujours avec αi ∈ A ; y = αχii ; |αi i = |α| eiφαi et |χi i = |χ| eiφχi nous remarquons également que lorsque χi = αi , alors nous aurons P c (di ) = 0. A cet eet : (4.31) P (E1|χ = α) = 0 de même dans le cas où χi = βi , alors nous avons : 1 X c P (E1|χ = β) = P (di ) 4 (4.32) χi ∈B avec P c (di ) = Y (4.33) P c (χi ). di Par analogie, nous allons avoir : P c (di ) = 1 − e− i(φ −φ ) |αi |2 |1−ye αi βi | 2 (4.34) en plus, si nous avons βi =β , alors : P c (di , β) = (1 − e− |α|2 |1−y|2 2 )(1 − e− |α|2 |1+y|2 2 )(1 − e− |α|2 |1+y 2 | 2 (4.35) )2 mais cette fois-ci, nous constatons également que : (4.36) P c (di , ±β) = P c (di , ±iβ) par conséquent : P (E1|χ = βi ) = P c (di , β) = (1 − e− Evénement E2 : |α|2 |1−y|2 2 )(1 − e− |α|2 |1+y|2 2 )(1 − e− |α|2 |1+y 2 | 2 )2 (4.37) En suivant la même démarche qu'auparavant, nous déduisons que la probabilité de succès pour E2 quand χi = αi est donnée par : 2 |α|2 −|α|2 − 2 P (E2|χ = αi ) = 1 − e (4.38) 1−e 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 129 et plus particulièrement quand χi = βi dans ce cas nous aurons : P (E2|χ = βi ) = 2(1 − e− +(e− |α|2 |1−y|2 2 |α|2 |1−y|2 2 +(1 − e− )(1 − e− )(1 − e− |α|2 |1−y|2 2 )(e− |α|2 |1+y|2 2 )(1 − e− |α|2 |1+y|2 2 )(1 − e− |α|2 |1+y 2 | 2 )2 (1 − e− |α|2 |1+y 2 | 2 |α|2 |1+y 2 | 2 )(e− |α|2 |1+y 2 | 2 )2 )2 |α|2 |1+y 2 | 2 (4.39) )2 Evénement E3 : Toujours de la même façon, la probabilité de succès pour E3 dans le cas où χi = αi est donnée comme suit : 2 |α|2 −|α|2 −|α|2 −|α|2 −|α|2 2 2 2 P (E3|χ = αi ) = e 1−e 1−e +2 1−e e (4.40) ainsi, si χi = βi alors cette probabilité sera donnée par : P (E3|χ = βi ) = (1 − e− |α|2 |1−y|2 2 +2(1 − e− +2e− +e− )(1 − e− |α|2 |1−y|2 2 |α|2 |1−y|2 2 |α|2 |1−y|2 2 )e− (1 − e− e− |α|2 |1+y|2 2 |α|2 |1+y|2 2 |α|2 |1+y|2 2 |α|2 |1+y|2 2 )e−|α| 2 |1+y 2 | (1 − e− |α|2 |1+y 2 | 2 )e− |α|2 |1+y 2 | 2 )(1 − e− |α|2 |1+y 2 | 2 )e− |α|2 |1+y 2 | 2 (1 − e− |α|2 |1+y 2 | 2 (4.41) )2 Evénement E4 : en se basant sur ce qui précède, la probabilité de succès pour E4 quand χi = αi est donnée comme suit : 2 2 P (E4|χ = αi ) = (1 − e−|α| )e−|α| + 2e −3|α|2 2 (1 − e− |α|2 2 (4.42) ) de même, dans le cas où χi = βi nous avons : P (E4|χ = βi ) = (1 − e− +e− |α|2 |1−y|2 2 |α|2 |1−y|2 2 +2e− )e− |α|2 |1+y|2 2 (1 − e− |α|2 |1−y|2 2 e− e−|α| |α|2 |1+y|2 2 |α|2 |1+y|2 2 2 |1+y 2 | )e−|α| (1 − e− 2 |1+y 2 | |α|2 |1+y 2 | 2 )e− |α|2 |1+y 2 | 2 (4.43) Evénement E5 : Finalement, la probabilité de succès pour le dernier événement, E5, quand χi = αi est : P (E5|χ = αi ) = e−2|α| 2 (4.44) cette probabilité sera égale à : P (E5|χ = βi ) = e− |α|2 |1−y|2 2 e− |α|2 |1+y|2 2 e−|α| 2 |1+y 2 | (4.45) quand χi = βi . On constate alors que pour ce dispositif, on peut le caractériser par le nombre (N) de détecteur(s) qui clique(nt) en fonction du signale incident. Cette possibilité sera alors la base qui xe les règles de ltrage dans les diérentes congurations comme suit : on suppose que si N = 3, alors on estime qu'on a un signale d'une provenance légitime. alors que si N = 4, nous concluons certainement que la source du signale est douteuse. 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 130 par contre, si nous avons N < 3, alors dans ce cas, nous ne pouvons plus tirer une conclusion directe. Toutefois, nous disposons actuellement d'un paramètre qu'on qualie de pertinent pour cette installation. En eet, un tel paramètre nous ore la possibilité de congurer le pare-feu optique de plusieurs manières et ce en fonction de la situation de la communication et l'objectif recherché. Ainsi, en ce basant sur les événements précédents, il se trouve que nous avons la possibilité de gérer notre pare-feu tels que : 1. Première conguration, nous bloquons le signal lorsque N < 3. Dans cette conguration, on suppose que si N < 3, nous allons bloquer le signal. Ainsi, le pare-feu optique sera considéré comme ecace lorsque : χi = αi et le nombre de clique "N" est égale à 3. χi = βi et N ∈ {4, 2, 1, 0}. Alors, la probabilité de succès sera : Psuccess = P (E2|αi ) + P (E1|βi ) + P (E3|βi ) + P (E4|βi ) + P (E5|βi ) (4.46) Cependant, le pare-feu échoue lorsque : χi = αi et le nombre de clique est égale à 2, 1 ou 0. χi = βi et nous avons "N=3". pour cela, la probabilité d'erreur est donnée par : Perror = P (E3|αi ) + P (E4|αi ) + P (E5|αi ) + P (E2|βi ) 2. (4.47) La seconde conguration, nous bloquons le signal lorsque N < 2. Dans cette situation, nous considérons que le pare-feu agit correctement lorsque : χi = αi et nous avons N=3 ou 2. ou χi = βi et N ∈ {4, 1, 0}. Ensuite, la probabilité de réussite sera : Psuccess = P (E2|αi ) + P (E1|βi ) + P (E3|αi ) + P (E4|βi ) + P (E5|βi ) (4.48) par contre, le parefeu sera outrepassé lorsque : χi = αi et nous avons N=1 ou 0. ou χi = βi et N ∈ {3, 2}. par conséquent, la probabilité d'erreur est : Perror = P (E4|αi ) + P (E5|αi ) + P (E3|βi ) + P (E2|βi ) 3. (4.49) La dernière conguration, nous bloquons le signal lorsque N < 1. Dans cette conguration, on suppose alors que si N < 1, donc nous allons bloquer le signal. Comme indiqué précédemment, le pare-feu sera ecace lorsque : χi = αi et nous avons N=3, 2 ou 1. ou χi = βi et N=4 ou 0. dans cette conguration, la probabilité de réussite sera donnée par : Psuccess = P (E2|αi ) + P (E1|βi ) + P (E3|αi ) + P (E4|βi) + P (E5|βi ) toutefois, le pare-feu échoue lorsque : χi = αi et aucun clique n'est enregistré. ou χi = βi et nous avons N ∈ {3, 2, 1}. (4.50) 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 131 et la probabilité correspondante sera : Perror = P (E2|βi ) + P (E3|βi ) + P (E4|βi ) + P (E5|αi ) (4.51) D'après les résultats obtenus ci-dessus, il est facile de voir que les probabilités de succès des diérentes congurations possibles du dispositif proposé, dépendent de l'amplitude du signale incident, qu'il soit légitime ou illégitime mais aussi de l'ecacité des détecteurs utilisés. Pour analyser l'eet de chacun de ces paramètres, nous allons tracer ces fonctions et analyser leurs comportement en fonction de l'évolution de ces paramètres. Figure 4.6 The success probabilities of all possible congurations as a function of |α| the legitimate amplitude and |β| the illegitimate amplitude when α = β and β = 2α. Ainsi, d'après la gure 4.6 nous avons représenter l'évolution des probabilités de succès de toutes les congurations possibles en fonction de |α| qui est l'amplitude légitime et |β| qui est l'amplitude illégitime lorsque α = β , β = 2α et l'ecacité du détecteur n = 0, 9. Alors on constate clairement que pour toutes les congurations confondues, les probabilités de succès augmentent remarquablement quand α ≥ 1.5 et plus particulièrement, Psuccs augmente notablement dans le cas où β = 2α. D'autant plus, nous remarquons également que la probabilité de succès de la conguration 3 croît rapidement par rapport aux probabilités de succès des congurations 2 et 1 lorsque α ∈ [1, 2.3]. Pour illustrer cette conclusion, nous considérons le cas où α = 1, 5, β = 2α et n = 0, 9 nous constatons que Psuccs ≈ 0, 98, ce qui indique que le dispositif proposé dans cette conguration propose un très haut niveau de protection contre les attaques optiques qui se caractérisent par une forte impulsion β (β > α). 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 132 Figure 4.7 The success probabilities of all possible congurations as a function of |α| the legitimate amplitude and |β| the illegitimate amplitude when α = 2β . Pour observer l'évolution de la probabilité de succès de toutes les congurations dans le cas d'une impulsion faible et voir le comportement de notre dispositif face à ce genre d'attaques, nous allons tracer dans la gure 4.7 les courbes des probabilités de réussite en fonction de |α| et |β| lorsque α = 2β . Ainsi, nous remarquons que les probabilités de réussite Psuccs suivent la même tendance de croissance pour toutes les congurations avec une légère diérence dans l'évolution pour les faibles valeurs d'amplitudes où on constate que la probabilité uctue autour de 21 . Toutefois, une nette progression est observée une fois que les valeurs dépassent un certain seuil, notamment quand |α| > 2.5. De ce fait, si on prend par exemple, dans la conguration 3 α ≥ 1.5, quand β = 2α et n = 0, 9 nous constatons que Psuccs ≈ 0, 5, ce qui indique que ce dispositif propose, dans cette conguration, un niveau moyen de protection contre les attaques optiques qui se caractérisent par une faible impulsion β soit β < α avec α est le signale légitime. Figure 4.8 The success probabilities of all possible congurations as a function of |α| the legitimate amplitude against the detector eciency parameter n when n = 0.5 and n = 1. Après avoir observé l'évolution de la probabilité de réussite en fonction de l'amplitude des signaux incidents, nous allons analyser l'impact du facteur d'ecacité des détecteurs sur la variation de cette probabilité. En eet, dans la gure.4.8, nous décrivons la variation des courbes d'évolution des probabilités de réussite pour toutes les congurations possibles par rapport au changement de l'ecacité n lorsque n ∈ {0.5, 1} et α = β . Ainsi, nous remarquons que 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 133 ces probabilités de succès de toutes les congurations possibles lorsque n = 1 sont nettement supérieur que celles lorsque n = 0, 5 et ce pour toutes les congurations. De ce fait, on conclut que l'ecacité des détecteurs joue également un rôle important dans la croissance des probabilités de succès et par ailleurs le rendement de notre dispositif. Dans cette optique, on déduit de cette analyse des diérents résultats des courbes ci-dessus et en particulier ceux de la Fig.4.6 et Fig.4.7 que le pare-feu optique ne peut pas être paramétrée simultanément contre les attaques optiques avec des fortes impulsions (β > α) et ceux avec des faibles impulsions (β < α). Eectivement, cette incapacité est due au changement de variation des probabilités de succès qui se fait de la même manière que la probabilité d'erreur. Par conséquent, toute action visant à hausser la probabilité de succès va pareillement impacter la probabilité d'erreur. Une telle situation rend l'utilisateur en face de deux choix possibles : soit augmenter le taux de la probabilité de réussite et par conséquent celui de la probabilité d'erreur ou bien minimiser les deux probabilités. Pour surmonter cette entrave, nous suggérons une cascade de deux pare-feu optiques (g.4.9), dont le premier pare-feu sera paramétré contre les attaques optiques à forte impulsion (β > α) par exemple contre la "Faked State Attack", et le second contre les attaques optiques à faible impulsion (β < α) par exemple contre "Trojan Horse Attack". Dès lors, cette uidité d'implémentation et de paramétrage va garantir un meilleur niveau de sécurité dans les protocoles de communication quantique face aux attaques optiques. Figure 4.9 Cascade of two optical rewalls 4.2.4 Conclusion En somme, dans cet article, nous avons proposé un système de pare-feu optique basé sur une superposition de dispositifs quantiques simples, notamment beam-splitters (BS) et des détecteurs de photons uniques (SPD). En vue d'eectuer une analyse de sécurité, nous avons procéder à l'étude des diérents scénarios possibles en diversiant la source du signale incident. Le but était de révéler, à la fois les limites et les points forts du dispositif présenté, évoluant dans des conditions réelles, an d'être intégré ecacement dans des processus de communication quantiques plus sophistiqués et complexes. Pour réaliser cette étude, nous avons d'abord revisiter le système de pare-feu classique qui est considéré une composante primordiale dans le réseau classique et permet actuellement de garantir un niveau de protection très élevé. De ce fait, nous avons élaboré notre approche à la lumière de plusieurs risques (source illégitime, bruit de l'environnement, imperfection des détecteurs ...) qui nous a permis de mesurer le degré de sécurité établi par la solution proposée. Ainsi, la sécurité contre les attaques de type "Faked 4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des composantes optiques simples 134 State Attack" a été prouvée et amplement discutée. Par conséquent, un tel dispositif va permettre de rejeter les impulsions d'origine douteux au cours de la transmission et ore également au récepteur la possibilité d'être alerté et de découvrir une attaque qui est en cours d'exécution. En outre, notre pare-feu optique représente un véritable compromis entre la simplicité d'utilisation, la sécurité et la facilité de mise en ÷uvre facile. Pour résumer, le système proposé permet de protéger une certaine classe de communication quantique basée sur les états cohérents contre l'espionnage et l'altération de l'information par des actions illicites. 5 Conclusion et perspectives Toute chose n'est connue que parce que l'on veut croire la connaître. Koan zen. 5.1 conclusion En somme, lors de cette thèse, nous avons appréhendé deux voie de la communication quantique utilisant les états cohérents déformés, notamment la proposition d'un nouveau protocole de communication et la présentation d'un dispositif de sécurité basé sur des composantes optiques simples. La grande partie de notre travail a été axé sur la démystication de la cryptographie classique en évoquant l'ensemble des problématiques liées à cette discipline en vue de justier l'émergence de la cryptographie quantique. C'est ainsi que dans le deuxième chapitre que nous avons analysé les processus de chirement, symétrique et asymétrique, et cela nous a permis de déceler plusieurs défaillances de sécurité permettant de percer le secret du message transmis. Par conséquent, le changement des moyens et des outils basés sur le cryptage classique est devenu une urgence fondamentale pour l'individu, l'organisation et l'Etat. Et cela an de préserver la condentialité et la sécurité des données à caractères personnelles et sensibles. Dans cette optique, elle s'inscrit la théorie de l'information et plus particulièrement la cryptographie quantique qui se présente actuellement comme le meilleur candidat capable de prendre en charge l'intégrité de l'information échangée. En eet, dans le troisième chapitre, nous avons rappelé les concepts de la mécanique quantique ainsi que de la théorie de l'information. Ensuite, nous avons présenté les fondements nécessaires à la démonstration de la sécurité inconditionnelle qu'apporte la mécanique quantique dans le domaine de la théorie de l'information. Notamment, en présentant les outils mathématiques utilisés dans la description des états quantiques, la notion de la mesure, le formalisme de l'opérateur densité, les qubits, l'entropie de von Neumann et le phénomène de l'intrication. En plus, nous avons abordé l'entrave majeure qui freine l'évolution de la technologie quantique à savoir la décohérence. Ce phénomène physique qu'on présente comme étant une théorie susceptible d'expliquer la transition quantique/classique telle que nous la connaissons, à un niveau macroscopique. Plus spéciquement, cette théorie apporte une réponse, considérée comme étant la plus complète à ce jour, au paradoxe du chat de Schrdinger, au problème de la mesure quantique et l'interaction avec l'environnement. Dans le quatrième chapitre, nous avons exploité l'eet de la déformation sur les systèmes biparti dans le contexte de la distribution quantique de clés en utilisant les états cohérents. La généralisation et l'analyse de ces états est discutée, ce qui nous a permis de prouver l'ecacité de la transmission et l'amélioration de niveau de sécurité atteint, en se comparant aux protocoles existants. Dans un autre volet, nous avons proposé un dispositif de sécurité basé sur des composantes optiques très simples. L'analyse de la sécurité des protocoles quantiques en présence de ce dispositif a été élaborée avec des modèles d'attaques optiques. Tout cela, nous a permis de conclure que les systèmes de chirement tels qu'ils sont actuellement nécessitent une refonte de leurs fondements de base. Et cela dans l'objectif de faire face 5.2. Perspectives 136 aux menaces omniprésentes. Certes, le changement est inévitable, néanmoins prétendre que la cryptographie quantique, sous sa forme actuelle, est en mesure de résoudre complètement le problème est loin d'être un scénario idéal. Ce constat est décliné de ces nombreuses limitations et défauts d'implémentations. Dans cette optique, nous avons alors pensé à faire cohabiter les deux techniques de chirement, notamment le modèle classique et quantique an de s'entraider mutuellement et que l'une colmate les brèches de l'autre. Un tel compromis est dévoué à faire sortir la cryptographie quantique des laboratoires de recherche et de faciliter son intégration dans l'infrastructure des télécommunications dans un futur proche. 5.2 Perspectives Au-delà des diverses preuves théoriques, propositions et suggestions apportés par ce travail, ce dernier a aussi permis d'ouvrir la voie à de futures recherches dans le domaine de la communication quantique. En particulier, nous avons identié les pistes suivantes : Il s'agirait tout d'abord d'étendre nos recherches à d'autres protocoles de distribution quantique de clé existants. Il serait en particulier intéressant d'étudier le comportement de ces protocoles en utilisant des variables continues déformées [123, 124, 125, 126, 127, 128, 129, 130, 131]. Un sujet que nous n'avons pas eu le temps d'aborder au cours de cette thèse est l'élaboration d'un modèle d'audit des nouveaux protocoles de distribution quantique de clé. Cette phase de cryptanalyse [132, 133, 134, 135, 136, 137, 138] est très intéressante avant de passer à l'implémentation. En eet, lors des tests de robustesse des protocoles, nous serons en mesure de détecter les failles et les vulnérabilités susceptibles d'impacter le processus de la communication. Ainsi, une telle démarche va nous permettre à la fois de vérier l'ecacité du protocole et de corriger les défaillances constatées. Nous avons constaté également que le niveau de sécurité des protocoles de distribution quantique de clé peut être amélioré continuellement. Il sut d'intégrer des dispositifs très simples n'impactant guère les performances mais qui aident considérablement au renforcement de la sécurité. Cela nous a conduits à concevoir dans un premier temps un pare-feu quantique, mais rien n'empêche de prévoir une extension d'autres dispositifs du monde classique vers l'univers quantique. Dans ce contexte, on poursuit toujours cette conquête an d'identier d'autres modèles classiques à intégrer dans les communications quantiques. Décohérence des états cohérents : L'étude de la dynamique de l'intrication dans les conditions défavorables est aux c÷urs de nos préoccupations. On essaie toujours de trouver un lien direct entre la décohérence et la déformation. Cette ambition est en fait justier par la volonté de contrebalancer les eets indésirables et incontrôlables de la décohérence. Cette action de déformation qu'on va appliquer, soit au cours de l'évolution de l'état, soit qu'on va l'appliquer au début de l'interaction, va résoudre partiellement cette problématique. Ainsi, si on arrive à déchirer la liaison entre ces deux phénomènes, alors on estime contrôler la décohérence ! ! !. En termes de conclusion, nous avons bien voulu mettre à l'épreuve nos résultats théoriques et les vérier expérimentalement. Cette phase est déterminante pour valider nos estimations et va nous encourager à poursuivre l'exploration dans cette direction. C'est ainsi qu'on espère un jour accéder aux ressources nécessaires pour approuver nos modèles théoriques. Bibliographie [1] A.Einstein, maxwell's inuence on the development of the conception of physical reality, In james clerk maxwell : a commemorative volume cambridge, 73, (1931). (Cité en page 2.) [2] L.d.Broglie, Thesis Researches on the theory of quanta (Recherches sur la théorie des quanta in French), In Paris.Ann.de.Physique (10) 3, 22 (1925). (Cité en page 2.) [3] M.Planck, On an Improvement of Wien's Equation for the Spectrum, In Verhandlungen der Deutschen Physikalischen Gesellschaft 2, 204 ; 2 : 237 (1900) M.Planck, Entropy and Temperature of Radiant Heat, In Annalen der Physik 4, 306, 737, doi :10.1002/andp.19003060410 ; On Irreversible Radiation Processes, 306, 69, doi :10.1002/andp.19003060105 (1900) M.Planck, In Annalen der Physik 3, 309, 563, doi :10.1002/andp.19013090310 (1901). (Cité en page 11.) [4] E.G.Moore, Cramming More Components Onto Integrated Circuits, In Electronics, 38 (1965). (Cité en page 13.) [5] R.P.Feynman, Quantum mechanical computers, In Foundations of Physics, 16, 6, 507 (1986). (Cité en page 13.) [6] P.W.Shor, Algorithms for quantum computation : discrete logarithms and factoring, In Foundations of Computer Science, 1994 Proceedings, 35th Annual Symposium on, 134, 10.1109/SFCS.1994.365700 (1994). (Cité en pages 15, 24, 57 et 110.) [7] L.K.Grover, Quantum Mechanics Helps in Searching for a Needle in a Haystack, In Phys.Rev.Lett. 79, 325 (1997). (Cité en pages 15 et 110.) [8] C.H.Bennett and G.Brassard, Quantum cryptography : Public key distribution and coin tossing, In Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, 175, 8 (1984). (Cité en pages 18, 122 et 123.) [9] P.W.Shor and J.Preskill, Simple Proof of Security of the BB84 Quantum Key Distribution Protocol, In Phys.Rev.Lett. 85, 441 (2000). (Cité en pages 18, 43 et 124.) [10] T.Schmitt-Manderbach, H.Weier and al, Experimental Demonstration of Free-Space DecoyState Quantum Key Distribution over 144 km, In Phys.Rev.Lett. 98, 010504 (2007). (Cité en page 18.) [11] C.Gobby, Z.L.Yuan1 and A.J.Shields, Quantum key distribution over 122 km of standard telecom ber, In Appl.Phys.Lett. 84, 3762 (2004). (Cité en page 18.) [12] H.Takesue, S.W.Nam et al, Quantum key distribution over a 40-dB channel loss using superconducting single-photon detectors, In Nature Photonics 1, 348 (2007). (Cité en page 18.) [13] A.Kerckhos, La cryptographie militaire, Journal des sciences militaires, IX, 5-38 ; 161-191 (1883) (Cité en page 20.) [14] W.Die, M.E.Hellman, Special Feature Exhaustive Cryptanalysis of the NBS Data Encryption Standard, In IEEE Computer Society, 84, 10.1109/C-M.1977.217750 (1977). (Cité en page 21.) [15] C.E.Shannon, Communication theory of secrecy systems, In Bell System Technical Journal, 28, 4, 715, 10.1002/j.1538-7305.1949.tb00928.x (1949). (Cité en pages 3, 17, 22 et 26.) Bibliographie 138 [16] W.Die, M.E.Hellman, New directions in cryptography, In Information Theory IEEE Transactions, 22, 6 10.1109/TIT.1976.1055638 (1976). (Cité en page 22.) [17] R.L.Rivest, A.Shamir and L.Adleman, A method for obtaining digital signatures and public-key cryptosystems, In Communications of the ACM, 21, 2, 126, doi :doi>10.1145/359340.359342 (1978). (Cité en pages 24 et 41.) [18] S.Y.Yan, Quantum Attacks on Public-Key Cryptosystems, 10.1007/978-1-4419-7722-9, (2013). (Cité en page 25.) [19] G.S.Vernam, Secret signaling system, In US Google Patents 1,310,719, US1310719 A (1919). (Cité en page 26.) [20] FIPS (Federal Information Processing Standards Publication), Data Encryption Standard, In FIPS 46-3, U.S. Department of Commerce/N.I.S.T (1999). (Cité en page 27.) [21] FIPS (Federal Information Processing Standards Publication), Advanced Encryption Standard, In FIPS 197, U.S. Department of Commerce/N.I.S.T (2001). (Cité en pages 27 et 34.) [22] E.Biham and A.Shamir, Dierential Cryptanalysis of DES-like cryptosystems, In Journal of Cryptology, 4(1), 72 (1991). (Cité en page 28.) [23] B.S.Kaliski and M.J.B.Robshaw, Linear cryptanalysis using multiple approximations, In Advances in Cryptology -CRYPTO'94, 839, 39 (1994). (Cité en page 33.) [24] A.Biryukov, C.De Cannière and M.Quisquater, On multiple linear approximations, In Advances in Cryptology - CRYPTO 2004, 3152, 22 (2004). (Cité en page 33.) [25] P.Junod, Statistical Cryptanalysis of Block Ciphers, Thèse de doctorat, École Polytechnique Fédérale de Lausanne (2005). (Cité en page 33.) [26] J.Daemen, L.R.Knudsen and V.Rijmen, The block cipher Square, In Fast Software Encryption - FSE'97, 1267, 165 (1997). (Cité en page 37.) [27] L.R.Knudsen and D.Wagner, Integral cryptanalysis, In Fast Software Encryption - FSE 2002, 2365, 127 (2002). (Cité en page 37.) [28] N.Ferguson, S.Lucks and al, Improved cryptanalysis of rijndael. In Fast Software Encryption, 7th International Workshop 2000, 1978, 230 (2001). (Cité en page 37.) [29] P.Dusart, G.Letourneux and O.Vivolo, Dierential Fault Analysis on AES, In Cryptology ePrint Archive, Report 2003/010, (2003). [30] G.Piret and J.J.Quisquater, A Dierential Fault Attack Technique against SPN Structures, with Application to the AES and KHAZAD. In Cryptographic Hardware and Embedded Systems -CHES 2003, 2779, 88 (2003). (Cité en page 40.) [31] C.Giraud, Dierential Fault Attack on AES, In Advanced Encryption Standard -AES, 4th International Conference -AES 2004, 3373, 41 (2004). (Cité en page 40.) [32] M.Wiener, Cryptanalysis of Short RSA Secret Exponents, In IEEE Transaction on Information Theory, 36, 3 (1990). (Cité en page 40.) [33] B.W.Schumacher, Quantum coding, In Phys.Rev.A 51(4), 2747 (1995). (Cité en page 42.) [34] C.H.Bennett and G.Brassard, in Proc.IEEE Int.Conf, Systems and Signal Processing, (IEEE, New York), 179 (1984). (Cité en pages v et 50.) [35] A.K.Ekert, Quantum Cryptography Based on Bell's Theorem, In Phys.Rev.Lett, 67(6) : 661663 (1991). (Cité en page 55.) [36] H.Bennett, G.Brassard, C.Crepeau, R.Jozsa, A.Pweres Phys.Rev.Lett. 70, 1895 (1993). (Cité en pages 57 et 78.) and W.K.Wootters, In Bibliographie 139 [37] W.K.Wooters, W.H.Zurek, A single quantum cannot be cloned, Nature, 299, 802 (1982). (Cité en page 57.) [38] J.von Neumann. Zur allgemeinen Theorie des Masses, In Fund. Math, 13, 116, (1929). (Cité en page 62.) [39] J.von Neumann, Mathematical Foundations of Quantum Mechanics, In Princeton University Press (1955). (Cité en page 64.) [40] W.H.Zurek, Pointer basis of quantum apparatus : Into what mixture does the wave packet collapse, In Phys.Rev.D, 24 1516 (1981). (Cité en page 64.) [41] W.H.Zurek, Environment-induced superselection rules, In Phys.Rev.D, 26, 1862 (1982). (Cité en page 65.) [42] J.P.Paz and W.H.Zurek, Quantum limit of decoherence : Environment induced superselection of energy eigenstates, In Phys.Rev.Lett, 82 5181 (1999). (Cité en page 65.) [43] M.A.Nielsen and I.L.Chuang, Quantum Computation and Quantum Information, In Cambridge University Press, Cambridge, United Kingdom (2000). (Cité en page 66.) [44] B.Schumacher, Quantum coding, In Phys.Rev.A 51, 2747 (1995). (Cité en page 67.) [45] A.Einstein, B.Podolsky and N.Rosen, Can quantum-mechanical description of physical reality be considered complete ?, In Phys.Rev, 47(10), 780 (1935). (Cité en page 73.) [46] J.S.Bell, On the problem of hidden variables in quantum mechanics, In Rev.Mod.Phys, 38(3), 452 (1966). (Cité en pages 78 et 80.) [47] A.Aspect, P.Grangier and G.Roger, Experimental Tests of Realistic Local Theories via Bell's Theorem, In Phys.Rev.Lett. 47, 460 (1981). (Cité en pages 78 et 82.) [48] H.Ollivier and W.H.Zurek, Quantum discord : A measure of the quantumness of correlations, In Phys.Rev.Lett, 88, 017901 (2001). (Cité en page 78.) [49] L.Henderson and V.Vedral, Classical, quantum and total correlations, In Journal of Phys.A : Math.Gen 34, 6899 (2001). (Cité en page 86.) [50] N.Li and S.Luo, Classical states versus separable states, In Phys.Rev.A 78, 024303 (2008). (Cité en pages 86 et 87.) [51] S.Luo, Using measurement-induced disturbance to characterize correlations as classical or quantum, In Phys.Rev.A 77, 022301 (2008). (Cité en page 86.) [52] N.J.Cerf and C.Adami, Negative entropy and information in quantum mechanics, In Phys.Rev.Lett, 79, 5194 (1997). (Cité en page 86.) [53] C.Adami and N.J.Cerf, von neumann capacity of noisy quantum channels, Phys.Rev.A 56, 3470 (1997). (Cité en page 87.) [54] K.Modi, A.Brodutch, H.Cable, T.Paterek and V.Vedral, The classical-quantum boundary for correlations : Discord and related measures, Rev.Mod.Phys 84, 1655 (2012). (Cité en page 87.) [55] V.Vedral, The role of relative entropy in quantum information theory, In Rev.Mod.Phys 74, 197 (2002). (Cité en page 87.) [56] A.Meslouhi, Y.Hassouni, On Quantum Discord for Analyzing Decoherence Eect and Deformation Phenomena in Entangled Coherent Bipartite State, In Inter.Jour.Theo.Phys, 53(5), 1778 (2014) (Cité en page 87.) [57] K.Berrada and M.A.Al-Rajhi, Improving and Controlling Quantum Entanglement from Excited BarutGirardello Coherent States via Unitary Beam Splitters, In Jour.Russ.Las.Res, 34(5), 423 (2013). (Cité en page 87.) Bibliographie 140 [58] K.Berrada, S.Abdel-Khalek, H.Eleuch and Y.Hassouni, Beam splitting and entanglement generation : excited coherent states, In Quan.Info.Proc, 12(1), 82, (2012). (Cité en page 87.) [59] S.Abdel-Khalek, K.Berrada and C.H.Raymond Ooi, Beam splitter entangler for nonlinear bosonic elds, In Las.Phys, 22(9), 1454, (2012). (Cité en page 87.) [60] K.Berrada, S.Abdel-Khalek and A.S.Alaamer, Bipartite entanglement within the framework of real and ideal lasers, In Jour.Russ.Las.Res, 33(3), 282 (2012). (Cité en page 87.) [61] S.Salimi, A.Mohammadzade and K.Berrada, Concurrence for a two-qubits mixed state consisting of three pure states in the framework of SU(2) coherent states, In Quan.Info.Proc, 11(2), 518 (2011). (Cité en page 87.) [62] K.Berrada, M.El Baz, H.Eleuch and Y.Hassouni, Bipartite entanglement of nonlinear quantum systems in the context of the q-Heisenberg Weyl algebra, In Quan.Info.Proc, 11(2), 372 (2011). (Cité en page 87.) [63] K.Berrada, A.Benmoussa and Y.Hassouni, Entanglement generation with deformed BarutGirardello coherent states as input states in an unitary beam splitter, In Quan.Info.Proc, 10(5), 588 (2010). (Cité en page 87.) [64] K.Berrada, M.El Baz and Y.Hassouni, Generalized Spin Coherent States : Construction and Some Physical Properties, In Jour.Stat.Phys, 142(3), 523, (2011). (Cité en page 87.) [65] K.Berrada and Y.Hassouni, Maximal entanglement of bipartite spin states in the context of quantum algebra, In Eurp.Phys.Jour.D, 61 (2), 521, (2010). (Cité en page 87.) [66] K.Berrada, A.Chak, H.Eleuch and Y.Hassouni, Concurrence in the framework of coherent states, In Quan.Info.Proc, 9 (1), 26, (2009). (Cité en page 87.) [67] K.Berrada1, M.El Baz, F.Saif, Y.Hassouni and S.Mnia, Entanglement generation from deformed spin coherent states using a beam splitter, In J.Phys.A : Math.Theor. 42 285306 doi :10.1088/1751-8113/42/28/285306, (2009). (Cité en page 87.) [68] K.Berradaa and S.Abdel-Khaleka, Entanglement of atomeld interaction for nonlinear optical elds, In Phys.E, 44(3), 634, (2011). (Cité en page 87.) [69] K.Berradaa, M.El Baz and Y.Hassouni, Generalized Heisenberg algebra coherent states for power-law potentials, In Phys.Lett.A, 375(3), 302, (2011). (Cité en page 87.) [70] R.S.Johal, Modied exponential function : the connection between non-extensivity and q-deformation, In Phys.Lett.A , 258, 17 (1999). (Cité en page 87.) [71] A.Isar and W.Scheid,Deformation of quantum oscillator and of its interaction with environment, In Physica A 335, 79 (2004). (Cité en page 87.) [72] W.K.Wootters, Entanglement of formation of an arbitrary state of two qubits, In Phys.Rev.Lett, 80, 2245 (1998). (Cité en page 88.) [73] K.Kraus, States, eects, and operations, In Fundamental notions of quantum theory, 190 Lecture Notes in Physics, (1983). (Cité en page 89.) [74] I.Gelfand and M.Neumark, On the imbedding of normed rings into the ring of operators in Hilbert space, In Rec.Math.N.S., 12(54) :2, 217 (1943). (Cité en page 91.) [75] C.Cohen-Tannoudji, B.Diu and F. Laloë, Mécanique Quantique. Hermann, Paris (1977). (Cité en page 94.) [76] J.Preskill, Quantum information and computation. Lecture notes for physics 229, California Institute of Technology, (1998). (Cité en pages 90, 98 et 102.) [77] S.Haroche, Superpositions mésoscopiques d'états : Super-opérateur sous forme de somme (représentation de Kraus), Année 2003-2004-3ème Cours, Collège de France, UPL50839.SHaroche.12052004 (2004). (Cité en page 98.) Bibliographie 141 [78] C.K.Hong and L.Mandel, Experimental realization of a localized one photon state, In Phys.Rev.Lett, 56, 60, (1986). (Cité en page 98.) [79] B.Lounis and W.E.Moerner, Single photons on demand from a single molecule at room temperature, In Nature, 407, 493, (2000). [80] C.Santori, M.Pelton, G.Solomon, Y.Dale, and Y.Yamamoto, Triggered single photons from a quantum dot, In Phys.Rev.Lett,86, 1504, (2001). (Cité en page 105.) [81] B.Sanguinetti, A.Martin, H.Zbinden and N.Gisin, Quantum Random Number Generation on a Mobile Phone, In Phys.Rev.X, 4, 031056 (2014). (Cité en page 105.) [82] I.A.Lvovsky, B.C.Sanders and W.Tittel, Optical quantum memory, In Nature Photonics 3, 714, doi :10.1038/nphoton.2009.231 (2009). (Cité en page 105.) [83] T.Tanabe, M.Notomi, E.Kuramochi, A.Shinya and H.Taniyama, Trapping and delaying photons for one nanosecond in an ultrasmall high-Qphotoniccrystal nanocavity. In Nature Photon. 1, 52 (2007). (Cité en page 106.) [84] T.Tanabe, M.Notomi, H.Taniyama, E.Kuramochi, Dynamic release of trapped light from an ultrahigh-Qnanocavity via adiabatic frequency tuning, In Phys.Rev.Lett. 102, 043907 (2009). (Cité en page 106.) [85] D.F.Phillips, A.Fleischhauer, A.Mair, R.L.Walsworth and M.D.Lukin, Storage of light in atomic vapor. In Phys.Rev.Lett, 86, 786 (2001). (Cité en pages 105 et 106.) [86] C.Liu, Z.Dutton, C.H.Behroozi and L.V.Hau, Observation of coherent optical information storage in an atomic medium using halted light pulses, In Nature 409, 493 (2001). (Cité en pages 105 et 106.) [87] A.V.Gorshkov, A.André, M.Fleischhauer, A.S.SØrensen and M.D.Lukin, Universal approach to optimal photon storage in atomic media, In Phys.Rev.Lett, 98, 123601 (2007). (Cité en pages 105 et 106.) [88] P.W.Shor, Scheme for reducing decoherence in quantum computer memory, In Phys.Rev.A 52, R2496 (1995). (Cité en pages 105 et 106.) [89] D.Gottesman, in Encyclopedia of Mathematical Physics, 4, (eds Francoise, J.-P., Naber, G. L. Tsou, S. T.) 201 (2006). (Cité en pages 105 et 106.) [90] Y.L.Tang and al, Measurement-Device-Independent Quantum Key Distribution over 200 km , In Phys.Rev.Lett. 113, 190501 (2014). (Cité en page 106.) [91] B.Korzh and al , Provably secure and practical quantum key distribution over 307 km of optical bre, In Nature Photonics, 9, 168, doi :10.1038/nphoton.2014.327 (2015). (Cité en page 106.) [92] P.Galliona, F.Mendietab and S.Jiang, Signal and Quantum Noise in Optical Communications and Cryptography, In Progress in Optics 52, 149259, (2009). (Cité en page 107.) [93] B.Calkins and al, High quantum-eciency photon-number-resolving detector for photonic on-chip information processing, In Optics Express, 21, 19, 22670, doi : 10.1364/OE.21.022657, (2013). (Cité en page 107.) [94] G.Brassard, N.Lütkenhaus, T.Mor and B.C.Sanders, Limitations on practical quantum cryptography. In Phys.Rev.Lett, 85(6) : 1330 (2000). (Cité en page 107.) [95] N.Gisin, S.Fasel, B.Kraus, H.Zbinden and G.Ribordy, Trojan-horse attacks on quantumkey-distribution systems, In Phys.Rev.A 73, 022320 (2006). (Cité en page 107.) [96] V.Makarov and D.R.Hjelme, Faked states attack on quantum cryptosystems, In J.of.Mod.Optics 52(5), 705, DOI :10.1080/09500340410001730986 (2005). (Cité en pages 108 et 109.) Bibliographie 142 [97] I.Gerhardt, Q.Liu, A.L.Linares, J.Skaar, C.Kurtsiefer and V.Makarov, Full-eld implementation of a perfect eavesdropper on a quantum cryptography system, In Nature Communications, 2, 349 doi :10.1038/ncomms1348 (2011). (Cité en page 108.) [98] Y.Zhao and al, Quantum hacking : Experimental demonstration of time-shift attack against practical quantum-key-distribution systems, In Phys.Rev.A 78, 042333 (2008). (Cité en pages 108 et 122.) [99] N.Jain and al, Device Calibration Impacts Security of Quantum Key Distribution, In Phys.Rev.Lett. 107, 110501 (2011). (Cité en page 108.) [100] C.H.Bennett, F.Bessette, G.Brassard, L.Salvail and J.Smolin, Experimental quantum cryptography, In Journal of Cryptology, 5(1), 28, (1992). (Cité en page 109.) [101] F.G.Deng, G.L.Long and X.S.Liu, Two-step quantum direct communication protocol using the EinsteinPodolsky-Rosen pair block, In Phys.Rev.A 68, 042317 (2003). (Cité en page 109.) [102] C.H.Bennett and S.J.Wiesner, Communication via one-and two-particle operators on Einstein-Podolsky-Rosen states, In Phys.Rev.Lett 69, 2884(1992). (Cité en page 109.) [103] G.Brassard and L.Salvail, Secret key reconciliation by public discussion, In Advances in Cryptology LNCS 765, 423 (1994). (Cité en pages 112 et 116.) [104] D.Markham and V.Vedral, Classicality of spin coherent states via entanglement and distinguishability, In Phys.Rev.A 67, 042113 (2003). (Cité en page 113.) [105] C.C.Gerry and A.Benmoussa, Beam splitting and entanglement : Generalized coherent states, group contraction, and the classical limit, In Phys.Rev. A 71, 062319 (2005). (Cité en page 114.) [106] G.L.Long and X.S.Liu, Theoretically ecient high-capacity quantum-key-distribution, In Phys.Rev.A 65(3), 032302 (2002). (Cité en page 114.) [107] C.Y.Li, H.Y.Zhou, Y.Wang et al, Secure quantum key distribution network with Bell states and local unitary operations, In Chin.Phys.Lett 22(5), 1052 (2005). (Cité en page 114.) [108] C.Y.Li, X.H.Li, F.G.Deng et al, Ecient quantum cryptography network entanglement and quantum memory, In Chin.Phys.Lett 23(11), 2908 (2006). (Cité en page 114.) [109] M.S.Kim, W.Son, V.Buzek and P.L.Knight, Entanglement by a beam splitter : nonclassicality as a prerequisite for entanglement, In Phys.Rev.A 65 , 032323 (2002). (Cité en page 114.) [110] A.Meslouhi and Y.Hassouni, A quantum secure direct communication protocol using entangled modied spin coherent states, Quantum.Inf.Process 12, doi.10.1007/s11128-0130546-4 (2013). (Cité en page 114.) [111] H.Amellal, A.Meslouhi, Y.Hassouni, M.El Baz, A quantum optical rewall based on simple quantum devices, In Quan.Info.Proc, 14, 7, 2633, (2015). (Cité en page 117.) [112] Kollmitzer.c, Pivk.M, Applied quantum cryptogtraphy, Lect.Not.Phys 797,ISBN 978-3-64204829-6, Springer (2010). (Cité en pages 112, 115 et 118.) [113] C.H.Bennett, G.Brassard, N.D.Mermin, Quantum cryptography without Bell's theorem, In Phys.Rev.Lett 68(5), 559 (1992). (Cité en page 121.) [114] A.X.Liu, M.G.Gouda, Diverse rewall design, In Parallel Distrib. Syst.IEEE Trans, 19(9), 1251, doi :10.1109/TPDS.2007.70802 (2008). (Cité en page 121.) [115] A.El Allati, M.El Baz, Quantum key distribution using optical coherent states via amplitude damping, In Opt.Quant.Electron, 47(5), 1046 doi :10.1007/s11082-014-9959-2, (2015). (Cité en pages 122 et 123.) Bibliographie 143 [116] A.El Allati, Y.Hassouni, N.Metwally, Communication via an entangled coherent quantum network, In Phys.Scr 83, 065002 (2011). (Cité en page 123.) [117] A.Meslouhi, H.Amellal, Y.Hassouni, A.El Allati, A Secure Quantum Communication via Deformed Tripartite Coherent States, In J.Russ.Laser.Res, 35(4), 382, doi :10.1007/s10946014-9438-z (2014). (Cité en page 123.) [118] A.El Allati, M.El Baz, Y.Hassouni, Quantum key distribution via tripartite coherent states, In Quant.Inf.Process 10(5), 589 (2011). (Cité en page 123.) [119] H.L.Lo, J.Preskill, security of quantum key distribution using weak coherent states with nonrandon phases, In Qua.Info.Comp, 7, 431, 58 (2007). (Cité en page 123.) [120] E.Andersson, M.Curty, I.Jex, Experimentally realizable quantum comparison of coherent states and its applications, In Phys.Rev.A 74, 022304,(2007). (Cité en page 123.) [121] I.D.Ivanovic, How to dierentiate between non-orthogonal states, In Phys.Lett.A 123, 257 (1987). (Cité en page 124.) [122] A.Peres, How to dierentiate between non-orthogonal states, In Phys.Lett.A 128, 19 (1988). (Cité en page 126.) [123] D.Deutsch and al, Quantum Privacy Amplication and the Security of Quantum Cryptography over Noisy Channels, In Phys.Rev.Lett 77, 2818 (1996). (Cité en page 126.) [124] D.Mayers, Unconditionally Secure Quantum Bit Commitment is Impossible, In Phys.Rev.Lett 78, 3414 (1997). (Cité en page 126.) [125] S.L.Braunstein and H.J.Kimble, Teleportation of Continuous Quantum Variables, In Phys.Rev.Lett 80, 869 (1998). (Cité en page 136.) [126] H.Buhrman, R.Cleve, J.Watrous and R.Wolf, Quantum Fingerprinting, In Phys.Rev.Lett 87, 167902 (2001). (Cité en page 136.) [127] N.J.Cerf and al, Security of Quantum Key Distribution Using d-Level Systems, In Phys.Rev.Lett 88, 127902 (2002). (Cité en page 136.) [128] W.Y.Hwang, Quantum Key Distribution with High Loss : Toward Global Secure Communication, In Phys.Rev.Lett 91, 057901 (2003). (Cité en page 136.) [129] C.Brukner and al, Bells Inequalities and Quantum Communication Complexity, In Phys.Rev.Lett 92, 127901 (2004). (Cité en page 136.) [130] H.K.Lo, X.Ma and K.Chen, Decoy State Quantum Key Distribution, In Phys.Rev.Lett 94, 230504 (2005). (Cité en page 136.) [131] B.Kraus, N.Gisin and R.Renner, Lower and Upper Bounds on the Secret-Key Rate for Quantum Key Distribution Protocols Using One-Way Classical Communication, In Phys.Rev.Lett 95, 080501 (2005). (Cité en page 136.) [132] S.Wolfram, Origins of randomness in physical systems, In Phys.Rev.Lett 55, 449 (1985). (Cité en page 136.) [133] O.Hirota, Practical security analysis of a quantum stream cipher by the Yuen 2000 protocol, In Phys.Rev.A 76, 032307 (2007). (Cité en page 136.) [134] S.J.Qin, F.Gao, Q.Y.Wen and F.C.Zhu, Cryptanalysis of the Hillery-Buzek-Berthiaume quantum secret-sharing protocol, In Phys.Rev.A 76, 062324 (2007). (Cité en page 136.) [135] F.Gao, S.J.Qin, F.C.Zhu and Q.Y.Wen, Cryptanalysis of the arbitrated quantum signature protocols, In Phys.Rev.A 84, 022344 (2011). (Cité en page 136.) Bibliographie 144 [136] K.Bartkiewicz, K.Lemr, A.Cernoch, J.Soubusta and A.Miranowicz, Experimental Eavesdropping Based on Optimal Quantum Cloning, In Phys.Rev.Lett 110, 173601 (2013). (Cité en page 136.) [137] L.Yu, A.Carlos, P.Delgado and J.F.Fitzsimons, Limitations on information-theoreticallysecure quantum homomorphic encryption, In Phys.Rev.A 90, 050303(R) (2014). (Cité en page 136.) [138] T.Y.Wang, X.Q.Cai, Y.L.Ren and R.L.Zhang, Security of quantum digital signatures for classical messages, In Scientic Reports 5, 9231, doi :10.1038/srep09231 (2015). Liste des publications A quantum secure direct communication protocol using entangled modied spin coherent states, Quantum.Inf.Process 12, DOI 10.1007/s11128-013-0546-4 (2013). On Quantum Discord for Analyzing Decoherence Eect and Deformation Phenomena in Entangled Coherent Bipartite State, Inter.Jour.Theo.Phys. 53,5 1778 (2014). A Secure Quantum Communication via Deformed Tripartite Coherent States, Jour.Russ.Las.Res 35,4 382 (2014). A quantum optical rewall based on simple quantum devices, Quantum.Inf.Process 14,7 2633 (2015). On the deformed cat state : Generating scheme via amplitude dispersion and the analysis of nonclassical features, Int.J.Mod.Phys.B DOI : 10.1142/S021797921550232X (2015). Quantum protocol communication a security analysis Author : Title : Supervisor : Abdelmajid MESLOUHI Etude de sécurité des protocoles de communication quantqiue Pr. Yassine HASSOUNI Abstract Generally secure communication systems is based on key cryptography techniques. In the current era, this operation requires the exchange of a key between two parties on an unprotected channel which is considered permanently monitor by a potential spy that can obtain this key without their knowledge. Indeed, this situation summarizes all possible cryptographic scenarios and highlights the great problem that we are always trying to overcome. Thus, several attempts have been initiated to ensure the condentiality of the communication and sharing of information, including traditional encryption techniques. Basing on that, we can assume that we communicate in a secure environment, however the risk and the threat are still present despite the considerable eorts made. In this context, a part of this thesis, is devoted to demonstrate the inadequacy and the insecurity of these techniques to face the development of the computing power and the new technologies that threatening our secret. Furthermore, we introduced the quantum communication as the best alternative we have with several benets. In fact, Quantum mechanics provides new horizons ; superimposition, non-cloning states and quantum entanglement. Assembled in a single process, those principles led to the genesis of a secure quantum communication and quantum cryptography. To support this, we studied in detail these concepts with the objective to prove the superiority of quantum cryptography compared to its conventional counterpart. However, we also had an obligation to highlight the limitations and the imperfections those aect quantum communication. Therefore, we assume that current technologies allow the transmission of quantum states, however, the absorption and decoherence eects, greatly degrade the quality and the delity of the transmitted system. Having the desire to contribute to override this hinders, the work of our thesis try to join the strengths of classical and quantum communication techniques to propose a mechanisms capable to face all problems related to this issue. Accordingly, we agree that security and transfer of information are among the most important tasks in quantum information theory. Continuous variables appear as alternatives to discrete variables in quantum communications. In this context, we proposed initially, a quantum protocol based on deformed coherent states to achieve a high level of security and able to resist to outside noise. Subsequently, we had the idea to design an optical rewall, from a classic device, to produce a quantum version based on simple and basic components such as beam-splitter and detectors. However, this setup is able to protect against several types of optical attacks. Successive changes in our perspective lead us today to propose and hope a quantum cryptography process implementing both the deformed states and other quantum devices in future. Keywords : Quantum Information and Communication, quantum Cryptography, quantum Networks, Deformed Coherent State, Security of Quantum Protocols, Quantum Devices.