Analyse de la sécurité des protocoles de la communication quantique Soutenue le 12-12-2015

publicité
UNIVERSITE MOHAMMED V
FACULTE DES SCIENCES
Rabat
Order N° : 2821
THESE DE DOCTORAT
Présentée par
Abdelmajid MESLOUHI
Discipline: Physique Théorique
Spécialité : Sciences et Technologies de l’Information
Analyse de la sécurité des protocoles de la communication
quantique
Soutenue le
12-12-2015
Devant le jury :
Président:
HASSOUNI Yassine
PES, Faculté des Sciences, Rabat
Examinateurs :
Antonello SCARDICCHIO
Prof, Research Staff, Abdus Salam ICTP,
Italy.
A.Charif CHEFCHAOUNI
PES, INPT, Rabat.
El Hassan TAHIRI
PES, Faculté des Sciences, Oujda.
Najia KOMIHA
PES, Faculté des sciences, Rabat.
Morad El BAZ
PH, Faculté des sciences, Rabat.
Faculté des sciences, 4 Avenue Ibn Battouta B.P. 1014 RP, Rabat-Maroc
Tel +212 (0) 37 77 18 34/35/38, Fax: +212 (0) 37 77 42 61, http:/www.fsr.ac.ma
2821 : 2015
Auteur :
Titre :
Directeur de thèse :
Abdelmajid MESLOUHI
Analyse de la sécurité des protocoles de la communication quantique
Pr. Yassine HASSOUNI
Résumé Généralement la sécurisation des systèmes de communication se base sur des techniques de cryptographie à clef. A l'ère actuelle, cette opération nécessite l'échange d'une clef entre
les deux correspondants, sur un canal non protégé et supposé surveillé en permanence par un
potentiel espion dont l'objectif est d'obtenir cette clef à leur insu. En eet, cette situation résume
tous les scénarios cryptographiques possibles et met en évidence la grande problématique que
l'Homme essaie toujours de surmonter. Ainsi, plusieurs tentatives ont vu le jour an d'assurer
la condentialité de la communication et le partage de l'information, notamment les techniques
de chirement classiques. Certes, on arrive, en principe, à communiquer dans un environnement
supposé sécurisé, toutefois le risque et la menace sont toujours présents malgré les eorts considérables mis en ÷uvre. C'est dans cette optique, que s'inscrit le travail de cette thèse, dont une
grande partie est dévouée à démontrer l'insusance et l'incapacité de ces techniques à faire face
à la monté en èche des puissances de calcul et des nouvelles technologies qui mettent en danger
notre secret.
Par ailleurs, nous avons introduit l'informatique quantique comme meilleure alternative orant
plusieurs avantages. En fait, la mécanique quantique fournit de nouveaux horizons ; la superposition, la non-orthogonalité d'états et l'intrication quantique. Assemblés dans un seul processus,
ces fondements de base ont donné lieu à la genèse de la communication quantique sécurisée ou
le partage quantique de clés. Pour étayer ce sujet, nous avons étudié en détail ces notions dans
l'objectif de prouver la supériorité en terme de sécurité de la cryptographie quantique comparée
à son homologue classique. Cependant, nous avons eu également l'obligation de faire ressortir les
limitations et les imperfections dont soure la communication quantique. De ce fait, nous admettons que les technologies actuelles permettent la transmission des états quantiques, néanmoins
les eets d'absorption et de dispersion due à l'environnement et aux défauts des composantes
utilisées, dégradent énormément la qualité et la délité du système transmis.
Ayant le souci de contribuer à outrepasser cette entrave, les travaux de notre thèse ont voulu
joindre les points forts de la communication classique et les techniques quantiques an de proposer
des mécanismes capables de répondre à l'ensemble des exigences sécuritaires et environnementales
imposées. La sécurité et le transfert de l'information sont parmi les tâches les plus importantes
en théorie quantique de l'information. Les variables continues apparaissent en tant qu'alternatives aux variables discrètes dans les communications quantiques. Dans ce contexte, nous avons
proposé dans un premier temps, un protocole quantique basé sur des états cohérents déformés
an d'atteindre un niveau élevé de sécurité et une meilleure résistance aux bruits extérieurs. Par
la suite, nous avons eu l'idée de transposer un dispositif de sécurité classique pour produire une
version quantique, basé sur des composantes simple et basique, mais capable de faire face à plusieurs types d'attaques optiques. Les évolutions successives de notre perspective nous amènent
aujourd'hui à proposer et songer d'un processus de cryptographie quantique implémentant à la
fois les états déformés et intégrant d'autres dispositifs de protection quantiques.
Mots clés : Information quantique, Communication quantique, Cryptographie quantique,
Réseaux quantique, Variables continues, Etat cohérent déformé, Sécurité des protocoles quantiques, Dispositifs quantiques de protection. .
Avant propos
Les travaux présentés dans cette thèse ont été réalisés au sein du Laboratoire de Physique
Théorique -LPT URAC-13 du département de physique de la Faculté des Sciences de Rabat sous
la direction du Mr.Prof Yassine HASSOUNI.
Je remercie vivement Mr.Prof Yassine HASSOUNI Directeur du LPT, tout d'abord, pour être
président de jury de ma thése. Également, pour m'avoir accueilli dans le laboratoire et pour son
encadrement scientique rigoureux et pour la chance qu'il m'a oert de faire de la recherche
dans de bonnes conditions et également pour son amitié.
Je remercie chaleureusement tous les membres du Laboratoire Physique Théorique LPT
et plus particulièrement Mr.Prof. Mourad EL-BAZ pour ses nombreuses explications, sa
disponibilité, les travaux eectués ensemble, les moments passés dans le bureau ou ailleurs, et
nalement le travail de relecture et pour avoir eectué le lourd travail de rapporteur.
J'exprime ma gratitude à Mr El Hassan TAHRI pour avoir eectué le lourd travail de rapporteur.
Je remercie Mme Najia KOMIHA PES à la faculté de science de Rabat, Mr.Prof. Mourad
EL-BAZM PH à la faculté science de Rabat, Mr.Prof Antonello SCARDICCHIO PES à ICTP
Italie, Mr Abdelfattah Charif CHEFCHAOUNI PES à INPT de Rabat, Mr El Hassan TAHRI
PES à la faculté de scinece de Oujda d'avoir accepté de participer à mon jury.
Je tiens également à exprimer ma gratitude à toute l'équipe de notre laboratoire, ses
chercheurs permanents, ses nombreux thésards que j'ai pu côtoyer, et ses stagiaires qui forment
un environnement propice et idéal pour faire de la recherche.
Je suis aussi redevable à mon administration de m'avoir autorisé à continuer mes études et m'a
permis d'approfondir mes connaissances dans le domaine de la cryptographie, la sécurité des
communications et de l'échange de l'information et la sécurisation des protocoles quantiques.
Je remercie toutes les personnes avec qui j'ai eu le plaisir de travailler El ALLATI abderahim,
AMELLAL Hichem et d'autres personnes bien évidement.
Enn, pour leur soutien non-scientique mais non moins signicatif, je m'adresse à ma famille,
mes proches et mon entourage et je vous arme que je ne sais guerre les mots pour exprimer
ma gratitude et mes remerciements pour tous ce que vous avez fait pour moi, de me pouvoir
supporter si longtemps et de bien vouloir croire en moi. J'aimerais vous dire que sans vous rien
n'était possible et ma passion pour les sciences n'aura jamais l'occasion pour s'épanouir.
Et je laisse le meilleur pour la n, Mon épouse Asmae pour sa patience, sa compréhension et
son aide au quotidien ;
En n, il m'est agréable d'adresser mes sincères remerciements à tous ceux qui m'ont apporté de
près ou de loin, aide et conseils lors de l'élaboration de cette thèse de doctorat.
Le meilleur ami de "merci" est "beaucoup". Michel Bouthot.
Table des matières
1 Introduction générale
1.1
1.2
1.3
Aperçu historique . . . . . . . . . . . . . . . .
1.1.1 Application de la mécanique quantique
1.1.2 problématique de l'insécurité . . . . .
Contexte scientique . . . . . . . . . . . . . .
Plan de lecture . . . . . . . . . . . . . . . . .
. . . . .
: théorie
. . . . .
. . . . .
. . . . .
. . . . . . . . . .
de l'information
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
2 De la Cryptographie classique à de la Cryptographie quantique
2.1
2.2
2.3
Introduction à l'information quantique . . . . . . . . . . . . . . . . . . . . . . . .
2.1.1 Un bref historique sur la mécanique quantique . . . . . . . . . . . . . . . .
2.1.2 naissance de l'information quantique . . . . . . . . . . . . . . . . . . . . .
2.1.3 Vers un rêve quantique : ordinateur quantique . . . . . . . . . . . . . . . .
2.1.4 Communication quantique . . . . . . . . . . . . . . . . . . . . . . . . . . .
De la cryptographie classique à la communication quantique . . . . . . . . . . . .
2.2.1 Présentation de la cryptographie classique . . . . . . . . . . . . . . . . . .
2.2.1.1 la cryptographie symétrique . . . . . . . . . . . . . . . . . . . . .
2.2.1.2 la cryptographie asymétrique . . . . . . . . . . . . . . . . . . . .
2.2.2 Naissance de la cryptographie quantique ; Besoin légitime . . . . . . . . .
2.2.2.1 Limites procédurales de la cryptographie classique . . . . . . . .
2.2.2.2 Vulnérabilités et défaillances liées à l'implémentation . . . . . . .
2.2.3 Principe général de la cryptographie quantique : . . . . . . . . . . . . . .
2.2.3.1 la superposition cohérente d'états quantiques pour coder des qbits
2.2.4 Démystication de la notion du qubit . . . . . . . . . . . . . . . . . . . .
2.2.4.1 les supports de l'information quantique : qbits [33] . . . . . . . .
2.2.4.2 représentation et manipulation du qbit . . . . . . . . . . . . . . .
2.2.4.3 introduction d'état quantique à plusieurs qbits . . . . . . . . . .
Protocoles de cryptographie quantique . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1 Preuve de sécurité du protocole BB84 : . . . . . . . . . . . . . . . . . . . .
2.3.1.1 Èquivalence entre modèle intriqué et modèle prépare et mesure .
2.3.1.2 Preuve de sécurité inconditionnelle : . . . . . . . . . . . . . . . .
3 Démystication de l'univers quantique
3.1
Exploration de la puissance du domaine quantique . . . . .
3.1.1 Le non clonage et l'indéterminisme de la mesure . .
3.1.1.1 théorème de non clonage . . . . . . . . . .
3.1.1.2 le principe d'incertitude de Heisenberg . . .
3.1.2 L'importance de la mesure en mécanique quantique .
3.1.2.1 L'indéterminisme de la mesure . . . . . . .
3.1.2.2 Mesure Projective et base privilégiée . . . .
3.1.2.3 trace partielle et Décomposition de Schmidt
3.1.2.4 mesure généralisée et POVM . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
2
2
3
5
8
9
11
11
11
12
13
16
19
19
20
22
24
24
26
44
45
50
50
50
53
55
56
57
58
61
62
62
62
63
64
64
65
65
66
Table des matières
3.2
vi
3.1.2.5 meilleure mesure pour distinguer deux états . . . . . . . . . . . . 67
3.1.2.6 Mesures successives . . . . . . . . . . . . . . . . . . . . . . . . . 69
3.1.3 La quantication de l'information . . . . . . . . . . . . . . . . . . . . . . . 71
3.1.3.1 l'information classique et l'entropie de Shannon . . . . . . . . . . 71
3.1.3.2 Entropie de Von Neumann . . . . . . . . . . . . . . . . . . . . . 72
3.1.4 L'intrication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
3.1.4.1 dénition de l'intrication . . . . . . . . . . . . . . . . . . . . . . 79
3.1.4.2 détection et mesure de l'intrication . . . . . . . . . . . . . . . . . 80
La décohérence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
3.2.1 Superopérateurs CPPT et le formalisme opérateurs-somme . . . . . . . . 90
3.2.1.1 Application d'une fonction à un opérateur normal et la notion de
"Superopérateur" . . . . . . . . . . . . . . . . . . . . . . . . . . 90
3.2.1.2 La notion physique d'un superopérateur . . . . . . . . . . . . . . 94
3.2.2 Manifestation de la décohérence : Canaux quantiques et forme de Kraus . 98
3.2.2.1 Modèles simples de la décohérence pour un système à deux niveaux 98
3.2.2.2 canal quantique et quantication de la décohérence . . . . . . . . 101
3.2.3 Quelques problèmes d'ordre technique . . . . . . . . . . . . . . . . . . . . 105
3.2.4 Les limitations des protocoles quantiques et quelques conclusions . . . . . 108
4 Travaux relatifs à la sécurité de la communication et à la cryptographie quantique 112
4.1
4.2
Contribution.1 : A quantum secure direct communication protocol using entangled
modied spin coherent states . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.1 Description du protocole DPP . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.2 La proposition d'un protocole Ping Pong à base des états cohérents . . . .
4.1.3 L'analyse de sécurité pour les protocoles proposés . . . . . . . . . . . . . .
4.1.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contribution.2 : Proposition d'un parefeu quantique à la base des composantes
optiques simples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2.1 Les attaques quantiques optiques contre les systèmes QKD . . . . . . . .
4.2.1.1 synoptique des attaques réception/émission . . . . . . . . . . . .
4.2.1.2 attaque par les états contrefaits : Faked State Attack . . . . . .
4.2.2 Un parefeu garant de la sécurité au sein d'un réseau de communication
quantique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2.2.1 principe fonctionnel et mode opératoire du parefeu classique . .
4.2.2.2 Proposition d'un parefeu adapté au schéma de la communication
quantique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2.2.3 Description du pare-feu quantique . . . . . . . . . . . . . . . . .
4.2.3 L'analyse de la communication en présence du pare-feu quantique . . . . .
4.2.3.1 l'analyse des diérentes probabilités de réussite . . . . . . . . . .
4.2.3.2 les probabilités de réussite du parefeu optique . . . . . . . . . . .
4.2.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
112
112
114
116
121
121
121
121
122
123
123
123
125
126
126
127
133
5 Conclusion et perspectives
135
Bibliographie
137
Liste des publications
145
5.1
5.2
conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Liste des tableaux
2.1
2.2
2.3
2.4
2.5
3.1
Transformation des entrées données en hexadécimal "x" en "Si (x)" suivant la boite
S. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemple de calcul des coecients correspondants dans le cas où la valeur d'entrée
est a = (3)H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Distribution des diérences possibles avec leurs nombres d'occurrence pour l'entrée
a = (3)H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Shiftrows : décalage des lignes en fonction de Nb dans le cryptosystème AES . . .
Equivalence de taille des clés, en terme de sécurité,entre un algorithme à clé symétrique et algorithme à clé asymétrique . . . . . . . . . . . . . . . . . . . . . . .
42
la probabilité de distinguer entre |0i et |1i dans le protocole BB84 . . . . . . . .
69
28
30
31
36
1 Introduction générale
L'imagination est plus importante que le savoir
Albert Einstein.
1.1 Aperçu historique
La mécanique quantique est la théorie mathématique et physique capable de décrire dans le
temps et dans l'espace les phénomènes physiques à l'échelle microscopique. Elle a été découverte
lorsque les physiciens ont voulu démystier le comportement des particules microscopiques et les
échanges d'énergie entre la lumière et la matière à cette échelle. En eet, la physique quantique
a connu de profonds changements au cours de ces dernières années. Elle a d'abord permis
une compréhension de la structure de la matière qui a donné lieu à de nombreuses avancées
et plus particulièrement dans le domaine des nouvelles technologiques. Ainsi, ces progrès sont
aujourd'hui devenues les produits phares de l'industrie moderne.
Dans cette optique, on cite parmi ces grandes découvertes le laser, omniprésent dans
notre quotidien, dont le principe de fonctionnement est intrinsèquement quantique. Les semiconducteurs ont également été fortement développés grâce à la physique quantique. Ceci a
permis la miniaturisation et le développement des puissances de calcule à grande échelle. Toutes
ces applications sont basées sur une compréhension des phénomènes d'interactions complexes
qui opèrent entre ces minuscules particules avec la lumière mais également en s'interposant à son
environnement ambiant. La physique quantique est basée sur des concepts pour lesquels nous
n'avons que peu de règle de gestion mais beaucoup d'intuition. A l'opposé du modèle classique,
un corps quantique, est décrit par des quantités physiques probabilistes.
Ainsi, certaines grandeurs physiques facilement accessibles dans un contexte classique,
deviennent indéterministes et pratiquement non globalement mesurables. Cette particularité
de la mécanique quantique, appliquée cette fois-ci à des particules comme l'électron ou au
champ électromagnétique à l'origine de la lumière, montre en réalité que ces deux objets ne sont
ni obligatoirement des ondes ni vraiment des particules. L'aspect corpusculaire de la lumière
stipule, selon Einstein [1], que l'énergie présente dans une onde lumineuse est en réalité sous
forme de paquets discrets indivisibles ; les photons. De même, les électrons présentent également
des aspects ondulatoires, comme avait prédit Broglie [2].
Par conséquent, on peut en faire des expériences de diraction et d'interférence avec eux.
Cette situation est souvent résumée par le terme de "dualité onde-particule" pour la matière
et la lumière. Certes, ces nombreuses propriétés propres aux systèmes quantiques, peuvent être
considérées comme étranges et en contradiction avec la perception qu'on a du monde macroscopique. Toutefois, ces principes sont bel et bien démontrés, observés à l'échelle microscopique et
encore plus se manifestent en parfaite harmonie avec l'expérience et les prédictions. Par conséquent, l'identication d'un système quantique peut être faite en se référant à une superposition
de plusieurs états quantiques à la fois tous considérés comme des états possibles du système en
1.1. Aperçu historique
3
question. Ainsi, cette situation ambigüe n'étant levée partiellement que lorsque qu'une mesure
est eectuée sur le système. Par ailleurs, une telle action est susceptible de détruire la cohérence
du système mesuré et impute une perte d'information sur la partie inaccessible à la mesure.
1.1.1 Application de la mécanique quantique : théorie de l'information
Après avoir présenté brièvement l'histoire de la théorie quantique et la révolution qu'a
apporté dans l'explication de plusieurs phénomènes physiques. Nous allons présenter dans ce
paragraphe l'une de ses importantes avancées dans le domaine de la communication et l'échange
de l'information. On considère que l'information est le sang des organisations et le facteur clé de
la communication. Et si l'information a une valeur intrinsèque, liée notamment à sa création,
c'est surtout dans son échange et son partage qu'elle développe cette valeur essentielle. On peut
dire que l'information acquiert de la valeur quand elle aide à la prise de la décision, renseigne
la hiérarchie sur un événement en un temps opportun. Il est en fait dicile d'attribuer à ces
éléments une valeur comptable ou les évaluer en fonction des paramètres matériels, la perte,
la manipulation ou le vol d'information. Ces derniers peuvent considérablement aaiblir une
organisation et remettre en question ses perspectives d'avenir et ces capacités de réagir. Il est
toujours plus onéreux de produire et protéger l'information que de l'espionner.
Ainsi, l'information représente un actif aussi important que les actifs liés au système de
production classique (actifs physiques, actifs humains, actifs nanciers, ...). La sécurité de l'information est donc un domaine vaste et vitale : il couvre la sécurité des systèmes d'information
et des réseaux de communication. C'est dans ce contexte que s'inscrit l'évolution des sociétés
et des technologies. Les techniques de sécurisation de l'information ont joué un rôle crucial de
protection des données privées. Elles assurent aux personnes et aux entités la condentialité de
l'échange des données personnelles et elles permettent de protéger leurs documents sensibles. Des
techniques simples existent depuis longtemps, mais elles se sont perfectionnées plus récemment,
avec le développement de la mécanique dans un premier temps, puis de l'électronique et de
l'informatique par la suite.
Certes, un développement considérable a été enregistré dans le domaine de l'information. Néanmoins, le quadrillage de cette discipline était elle aussi nécessaire en vue de dénir clairement
les lois et les règles qui gouvernent l'échange de l'information. C'est ainsi que la première
quantication a eu lieu grâce à la théorie de l'information qui remonte aux années cinquante,
avec la contribution majeure de Claude Shannon [15] qui introduisait les outils nécessaires
pour quantier la notion d'information et les ressources nécessaires à sa manipulation et à son
stockage. Il a également participé à la mise en ÷uvre des bases théoriques de la compression des
données, des codes correcteurs d'erreurs et la mesure de la capacité des canaux de transmission.
En outre, l'information qu'on souhaite échangée est encodée en utilisant des symboles d'un
alphabet. Ces caractères peuvent être composé d'un ensemble d'éléments discret, c'est le cas du
codage numérique prenant les valeurs "0" ou "1", ou d'un ensemble d'éléments continu, comme
pour le codage analogique. Dans les deux cas, les éléments de l'alphabet peuvent correspondre
à diérents états d'un système physique. Les états "0" et "1" peuvent par exemple être stockés
dans une mémoire en utilisant deux états d'aimantation d'un matériau. Par contre, le codage
analogique peut correspondre à l'amplitude d'une tension ou d'un champ électromagnétique.
Tous ces systèmes ont la particularité d'être décrits par les lois de la physique classique, du fait
de leur taille macroscopique.
En revanche, depuis quelques décennies, il a été convenu de considérer que les propriétés
1.1. Aperçu historique
4
physiques de certains systèmes quantiques pouvaient être également utilisées comme des
ressources fondamentales pour véhiculer l'information. En eet, en codant un bit sur deux états
|0i et |1i d'un système physique obéissant aux lois de la mécanique quantique, notamment les
niveaux d'énergie d'un atome, les états de vibration dans un piège, la polarisation d'un photon,
l'état de spin d'un électron etc... le qubit peut se trouver dans une superposition arbitraire
α|0i + β|1i alors que le bit classique ne peut être exclusivement que dans l'état "0" ou "1". Cette
caractéristique formidable de superposition est à l'origine des principes du calcul quantique,
qui l'exploite an de résoudre certains problèmes complexe en un temps relativement raisonnable.
Donc, à l'instar du modèle classique, la communication quantique de l'information connait
elle aussi certains avantages et également des limitations. De ce fait, exploiter ecacement ces
propriétés quantiques reste un grand dé technologique, tant elles sont fragiles et tendent à
être estompées par l'environnement externe et les imperfections expérimentales. Beaucoup de
recherches sont eectuées en vue de trouver des implémentations robustes et utilisables à grande
échelle.
De ce fait, en exploitant certaines corrélations quantiques, ainsi que le principe d'incertitude
de Heisenberg, selon lequel certaines grandeurs quantiques ne peuvent pas être déterminées en
même temps. Cela a permis de développer les communications quantiques, dont l'exemple le
plus parlant est la cryptographie quantique ou la distribution quantique des clés, qui commence
à atteindre une maturité industrielle. En eet, le principe de base de la distribution quantique de
clé consiste à transmettre une chaine de bits entre deux partenaires, à travers un environnement
sous le contrôle d'un espion capable d'intercepter la communication à l'insu des utilisateurs.
L'information est codée souvent en utilisant de la lumière polarisée, envoyée dans une bre
optique ou se propageant dans l'air.
Ainsi, la force de cette technique réside dans le fait que la clé extraite est parfaitement
secrète, quelles que soient les ressources physiques dont dispose l'espion. Elle peut ensuite être
utilisée pour chirer le message, soit en procédant à un cryptage symétrique classique ou la
technique du masque jetable pour garantir un maximum de sécurité. Toutefois, comme on a
déjà évoqué, ce gain en condentialité est cependant imputable à la vitesse de codage et aux
débits de transmission qui pouvent être très faibles comparés à ceux atteints aujourd'hui par les
communications classiques standards. En plus, la taille de la clé secrète est d'autant plus faible
que la transmission sur le canal quantique est sujette au bruit, et peut même devenir nulle si les
conditions de la transmission sont trop défavorables.
Par ailleurs, l'information quantique ne se limite toutefois pas au calcul quantique et à la
cryptographie quantique. De nombreux autres protocoles permettent d'utiliser les ressources
quantiques pour le traitement de l'information ont vue le jour. Et ce, notamment dans le
domaine de la téléportation, le codage dense, .... En terme de codage de l'information, on peut
distinguer deux types de vecteurs de transmission ; à savoir les variables discrètes représentées
par des états discrets (photon, spin, ...), ou le codage continu, comme l'amplitude du champ
électrique où on introduit les variables continues.
Certains systèmes physiques sont naturellement décrits par des variables discrètes ou continues : les niveaux d'énergie d'un atome sont discrets, tout comme les états d'excitation d'un oscillateur harmonique, alors que la position ou l'impulsion d'un électron sont continues. D'autres
systèmes, comme le champ électromagnétique quantique, peuvent être aussi bien décrits par des
1.1. Aperçu historique
5
variables discrètes que par des variables continues. Le photon, quantum d'énergie par nature
indivisible, semble être naturellement décrit par des variables discrètes. En revanche, le champ
électromagnétique qui lui correspond prend des valeurs continues.
Dans cette optique, les expériences de physique quantique ont également mis en lumière le phénomène d'"intrication" entre deux particules distinctes et distantes. Ainsi, si l'on touche l'un des
deux objets, l'autre est également touché et l'action de chaque particule détermine totalement
celle de l'autre. Cette "formidable intrication" repose sur un deuxième principe cardinal de la
physique quantique, celui de la "non-localité". Lorsque les deux particules distantes agissent de
concert, elles sont liées par des corrélations dites "non locales". L'intrication quantique donne
ainsi l'impression d'une interaction à distance que la physique classique a rejetée depuis des années.
Appliquée au domaine de la cryptographie, l'intrication permet de créer des communications
hautement sécurisées, car elle limite au maximum la transmission des données de l'émetteur
au récepteur. C'est aujourd'hui le point faible de tout système de codage de données : dès lors
que les données doivent être physiquement transmises d'un point à un autre (via Internet par
exemple), elles peuvent être interceptées. Et même si les données interceptées sont cryptées,
n'importe quelle clé de codage utilisée peut être décryptée, tôt ou tard, vu les capacités de calcul
qui deviennent de plus en plus performantes et puissantes. Par contre, dans la cryptographie
quantique, une grande partie des écueils sont évités, car la phase de transmission classique des
données n'existe pas. Il faut imaginer un partage d'informations par cryptographie quantique de
la manière suivante :
1. Production de l'intrication : l'émetteur et le récepteur quantiques sont mis en action (les
expériences conduites jusqu'à présent permettent l'intrication dans un rayon allant jusqu'à 300
kilomètres). Par un "impensable hasard", ils produisent toujours un résultat identique (donc
génèrent toujours des données identiques) si l'on fait la mesure de chacun d'eux.
2. Détection d'une possible intrusion : le principe de "monogamie de l'intrication" permet particulièrement de vérier qu'il n'y a pas d'interférence dans les corrélations non locales entre
l'émetteur et le récepteur. S'il y a intrusion, il faut renoncer au partage de données et reprendre
à l'étape 1.
3. Partage des données : elle se fait idéalement par téléportation des données. La téléportation,
soit la disparition des données à l'émetteur suivie de sa réapparition au récepteur. Cette étape
passe sans aucune incorporation intermédiaire, ce qui garantirait une sécurité optimale, puisque
l'interception des données n'est pas possible. Par conséquent, on peut conclure que si l'anonymat
et la condentialité des données ne sont pas encore complètement épargnés, alors ils ont trouvé
un allié de poids dans la cryptographie quantique.
1.1.2 problématique de l'insécurité
La sécurité numérique vit un changement d'échelle, au l de la métamorphose numérique et
de son omniprésence dans nos activités professionnelles, sociales ou ludiques. En parallèle, l'état
des lieux révèle une insécurité diuse, ancrée parfois jusqu'au nos dispositifs eux-mêmes. Elle
contourne des barrières dont le principe est fragilisé par les usages mobiles et l'interconnexion ;
la gestion de nos données ou de nos identités est assurée par des tiers, dans des lieux indénis
et sous des juridictions indéterminées.
À l'insécurité s'ajoute la perte de conance, avec pour nécessité d'être à la fois réparateur des
dysfonctionnements et refondateur de nos systèmes d'information. Ainsi, la vulnérabilité touche,
l'individu, les organisations et les États. Elle atteint les liens sociaux, nos dispositifs de santé
autant que d'échange de monnaie. L'intégration grandissante du numérique et de l'humain fait
naître de nouveaux enjeux sociaux et technologiques en termes de sécurité.
1.1. Aperçu historique
6
Donc, une révolution de pointe ne se contente plus d'apposer des rustines de sécurité sur
des systèmes d'information et de communication existants. Mais, elle refonde entièrement le
noyau de sécurité autour duquel sont réarticulés ces systèmes. D'autres ruptures seront peut
être envisageables de point de vu technologiques, comme la cryptographie quantique, ou en
évolution culturelle, comme le renoncement au modernisme pour se réfugier dans l'archaïsme.
Par conséquent, on se demande à l'ère du "Big Data", est-il encore possible de préserver une
part de sa sphère privée ? Alors que toutes les données semblent être accessibles à qui en a le
temps et les moyens. Dans le monde digital, l'être humain est confronté à un "déshabillage"
permanent de sa propre condentialité ; il est de plus en plus nu, ses données personnelles sont
exposées aux accès de tiers, collectées, partagées et analysées. Les récentes révélations sur le
potentiel d'intrusion quasiment illimité font craindre la perte dénitive de la condentialité. Les
actions de piratage et de la cyber délinquance malveillante se développent constamment. Par
conséquent, à l'heure actuelle, les besoins en matière de sécurité sont grandissants et la demande
n'est certainement pas à la baisse.
Cette tendance se justie tout d'abord parce que la technologie informatique omniprésente
est devenue accessible à un prix abordable. Mais aussi par ce que l'utilisation des outils de la
télécommunication se sont banalisés au grand public. D'un autre côté, les organisations, elles
aussi informatisées, nécessitent un réseau sécurisé pour le transfert des données. Il se peut
qu'il soit entre les machines, ou avec des machines externes, distantes de plusieurs milliers de
kilomètres. Cette ouverture et ce réseautage ont augmenté les facteurs de risques et les menaces
qui peuvent mettre en péril ces systèmes d'information.
Donc, pour assurer l'échange sécurisé de l'information, on assiste également à une évolution constante des techniques de communication. Qu'il s'agisse des techniques visant à sécuriser
l'échange de ces données ou des techniques de mises au point pour contourner ces systèmes de
sécurité. D'une manière générale, la sécurité des données tend à s'améliorer. La raison principale
est qu'aujourd'hui, l'étude des contournements possibles est simultanée à l'étude des protections.
La tendance actuelle veut que les résultats découverts, tous domaines confondus, soient publiés.
Dans le cadre de la sécurité de la communication, cela permet de découvrir plus rapidement les
failles ou les avantages de certaines techniques.
C'est ainsi qu'avec la propagation grandissante des réseaux, des échanges de données, et donc
des transmissions entre individus, de nombreuses menaces émergèrent. Parmi celles-ci, on trouve
diverses catégories :
Les menaces accidentelles
Les menaces intentionnelles : passives ou actives
Les menaces accidentelles ne supposent aucune préméditation. Dans cette catégorie, sont repris
les erreurs de planication ou de conguration, les pannes matérielles et autres défaillances
"incontrôlables". Toutefois, les menaces intentionnelles quant à elles, reposent sur l'action d'un
tiers désirant s'introduire et relever des informations. Dans le cas d'une attaque passive, l'intrus
va tenter de dérober les informations par sondage, ce qui rend sa détection relativement dicile.
En eet, cet audit ne modie pas les données, ni n'altère les systèmes. Dans le cas d'une attaque
active, la détection est plus facile, mais il peut être déjà trop tard lorsque celle-ci a eu lieu.
Ici, l'intrus aura volontairement modié les informations ou le système en place pour s'en emparer.
Les menaces actives appartiennent principalement à quatre catégories :
1.1. Aperçu historique
7
Interruption = problème lié à la disponibilité des données
Interception = problème lié à la condentialité des données
Modication = problème lié à l'intégrité des données
Fabrication = problème lié à l'authenticité des données
Ainsi, pour contrecarrer ces menaces, l'Homme a inventé la cryptographie pour assurer la protection de son secret face aux ennemis potentiels. De ce fait, on considère que la cryptographie
a pour but de garantir la sécurité des communications et des données stockées en présence
d'un adversaire. Elle propose un ensemble de techniques permettant d'orir des services de
condentialité, d'authentication et d'intégrité.
La cryptologie, appelée également la Science du Secret, regroupe la cryptographie et la
cryptanalyse. Alors que le rôle des cryptographes est de construire et prouver, entre autres, des
systèmes de chirement ou de signature. Par contre, l'objectif des cryptanalystes est de "casser"
ces systèmes. L'histoire de la cryptologie a vu tour à tour les victoires des uns et des autres.
Dans ce contexte, la cryptographie a été pendant longtemps l'histoire des codes secrets qu'ont
décidés du sort des hommes et des nations.
En eet, jusqu'aux années 70, l'unique objectif de la cryptographie était de construire des
systèmes de chirement. Grâce à la cryptanalyse, les militaires et les cabinets des diplomates
ont pu mener leurs guerres dans l'ombre en découvrant les correspondances de leurs ennemis
et en contrôlant les réseaux de communications. D'autant plus, la révolution de la technologie
et l'utilisation de plus en plus massive de l'information sous forme numérique, ont facilité les
communications et ont rendu de ce fait plus fragiles les informations que l'on détient. En eet,
les réseaux "ouverts" créent des brèches de sécurité et il est plus aisé à un adversaire d'accéder
aux informations. De même, le remplacement de l'Homme par des machines a rendu les relations
beaucoup plus anonymes alors qu'en même temps l'accès aux données demande des moyens
d'authentication forts.
Ainsi, la révolution numérique des communications et de l'information a ouvert de nombreux
champs d'investigation à la cryptographie, de sorte que celle-ci a envahi notre vie quotidienne :
carte à puce, transaction bancaire, internet, téléphone cellulaire.... Commençons par voir quels
sont les services de sécurité que peut garantir la cryptographie et ses applications dans la vie
"réelle", on s'apréçoit rapidement de l'ampleur du problème qu'on doit en faire face.
En eet, la cryptographie ne permet pas de résoudre tous les problèmes de sécurité liés à la
communication. Cependant, elle apporte des garanties et des briques de base sur lesquelles des
produits de sécurité peuvent être construits. Il est bien connu que la sécurité d'un système de
sécurité se mesure à son maillon le plus faible. En général, le maillon le plus faible d'un système
de communication n'est pas le système cryptographique mais par contre c'est l'incontrôlabilité
de l'environnement externe.
En outre, il existe diverses attaques contre lesquelles la cryptographie n'est pas d'un grand
secours, comme les écoutes et les intrusions qui protent de la conance exagérée des utilisateurs dans le canal de la communication. Par conséquent, on constate que la cryptographie
participe à la sécurité en proposant des primitives qui permettent d'atteindre les objectifs
d'authentication, de condentialité et d'intégrité. Certes, au-delà de cette trilogie, la cryptographie apporte aussi certaines couche de complexité à un éventuel attaquant pour rendre
sa tâche plus dicile à réaliser. Néanmoins, ce niveau de sécurité est actuellement en grande
diculté du fait que plusieurs attaques et techniques permettent de percer le secret de l'in-
1.2. Contexte scientique
8
formation échangée à cause des défaillances intrinsèques du cryposystème lui même, notamment :
Il faut prévoir un moyen ecace de partage de clé dans le contexte du cryptage symétrique
entre l'émetteur et le récepteur. Or classiquement parlant, la seule méthode sécurisée reste
un contact direct entre les correspondants (le cas de la valise diplomatique), sinon un espion
peut intercepter l'échange de la clé elle même. Cette méthode parait inopérationnelle, du
fait que ce prérequis ne répondra jamais à toutes les situations de communication possibles.
La condition de partage de clé est fondamentale pour la sécurité inconditionnelle. Toutefois,
sa taille et son réutilisation demeurent également des exigences à prendre obligatoirement
en considération. Etant donné que la technique de masque jetable est, la seule méthode
prouvée, ayant la possibilité de chirer les données avec un niveau de sécurité infaillible. Et
ce, en respectant les deux hypothèses relatives à la taille de la clé qui doit être aussi longue
que le message à chirer. Ainsi que son utilisation durant une seule communication et pas
plus. Vue ce qui précède, on constate alors que le chirement par clé symétrique est une
impasse si on n'arrive pas à distribuer une clé, à la demande, entre deux correspondants
généralement éloignés avec une taille aussi grande que le message à chirer.
Quant à la cryptographie asymétrique, le problème est plus profond et dicile à appréhender tant sur la structure elle même des algorithmes que sur la preuve de sécurité. En outre,
cette dernière repose sur l'équivalence entre la complexité conjecturales des problèmes mathématiques diciles à résoudre et ne peut rien prétendre au delà. Donc, mettre en place
des mécanismes d'amélioration de ce type de chirement nécessite une refonte des principes
de base du cryptage à clés asymétriques.
Par ailleurs, la cryptographie quantique ou la distribution quantique des clés, propose une solution à ces problématiques. Usuellement, on peut joindre la distribution quantique des clés à
la technique du masque jetable. Cette association permet de se prononcer en toute certitude
sur la condentialité et l'intégrité de la clé partagée d'une part. Et de l'authenticité du message
transmis d'autre part grâce à la théorie de l'information et le principe du masque jetable.
Donc, l'objectif de cette thèse est de faire ressortir ces défaillances et les mettre en évidence
an de prouver la nécessité de changer la tendance de chirement et envisager la distribution
quantique de clé comme une meilleure alternance. Ensuite, nous élaborons une étude analytique
des fondements de la sécurité quantique. Nous proposons également des nouveaux protocoles
de communications capables d'assurer le secret du message transmis. Finalement, nous allons
proposer des dispositifs matériels basés sur des éléments simples an d'amplier le niveau de
sécurité.
1.2 Contexte scientique
L'information quantique est une nouvelle branche donnant lieu à de nombreuses thématiques
et applications. Sur le plan théorique, le quadrillage et la vérication de ces lois sont toujours
en plein chantier. Pour ce faire, cette théorie nécessite encore de développer de nouveaux outils
et d'explorer de nouveaux protocoles utilisant les ressources de la mécanique quantique.
Toutefois, de point de vue expérimental, le principal dé est la mise en ÷uvre de ces protocoles
et la vérication de ces concepts dans des conditions similaires aux environnements réels de
transmission. Ainsi, plusieurs avancées ont été enregistrées dans ce domaine, toutefois et compte
tenu des imperfections limitant grandement les performances, l'implémentation des expériences
quantiques reste un enjeu majeure à surmonter. Dans cette optique, le travail de cette thèse
s'inscrit dans le cadre de l'information quantique avec des variables continues déformées, et
1.3. Plan de lecture
9
présente des contributions aux problématiques théoriques et expérimentales.
Par conséquent, notre principal objectif était d'aborder les deux thématiques que nous avons
présentées dans les paragraphes précédents, à savoir : l'insécurité de la cryptographie classique
et la présentation d'une alternative quantique permettant de résoudre partiellement la problématique.
1.3 Plan de lecture
Ce mémoire de thèse est composé de cinq chapitres qui sont organisés comme suit :
-Premier chapitre
Nous commençons par une introduction générale du cadre théorique dans lequel le travail de
recherche a été eectué.
-Deuxième chapitre
Dans ce chapitre nous abordons la présentation de la cryptographie classique d'un point de vue
théorique pour en faire une transition vers le monde quantique. En eet, dans ce chapitre les principes et les fondements de base de la cryptographie classique ont été revisités dans un contexte
évaluatif. Par la suite, une discussion détaillée autour des principales failles et vulnérabilités dont
sourent la majorité des cryptosystèmes classiques a été illustrée. Finalement, une brève présentation du modèle quantique a été aborder dans l'objectif d'introduire cette nouvelle discipline.
-Troisième chapitre
Dans ce chapitre, nous avons appréhender profondément les bases et les lois de la mécanique
quantique qu'on considère source primordiale dans la preuve de sécurité des protocoles quantiques. En outre, après avoir exposé ces principes, nous nous penchons sur leur mise en valeur et
leur apport à la théorie de la communication. Par ailleurs, nous discutons certaines limitations,
imposées par les lois de la mécanique quantique, notamment la notion de la décohérence que
nous allons étayer explicitement.
-Quatrième chapitre
On estime présenter nos principales contributions dans ce chapitre. En eet, la première partie
est consacrée aux travaux relatifs à la proposition d'un nouveau protocole quantique basé sur
les états cohérents déformés. Dans cet article, nous proposons un moyen de communication
directe et de transmission de l'information entre deux ou plusieurs correspondants. Pour ce faire,
nous présentons d'abord le groupe SU (2) des états cohérents dans le cadre de la quantication
et la théorie de la déformation. Nous étudions également les propriétés de ces états lorsqu'ils
sont utilisés dans un cadre d'échange de l'information. Ainsi, la phase nale est consacrée à la
description du protocole proposé et aussi à la constatation des améliorations qu'apporte l'usage
d'un tel type d'état cohérent.
Dans la deuxième partie, nous abordons la problématique liée aux attaques quantiques comme
un risque réel qui menace la sécurité des communications. Ainsi, pour renforcer le niveau de
sécurité dans la phase de la transmission en utilisant les états cohérents, nous proposons un
dispositif optique sous forme d'un pare-feu. En eet, un tel mécanisme est capable de protéger
ces système contre l'espionnage via des stratégies d'attaque optiques. A l'instar du modèle du
pare-feu classique, le dispositif proposé ore aux utilisateurs légitimes, la possibilité de ltrer,
contrôler (états d'entrée/sortie) et de prendre une décision (ou de refuser l'accès) concernant les
états reçus. Pour prouver la sécurité et l'ecacité du pare-feu suggéré, nous avons analysé ses
performances contre la famille des attaques optiques, notamment celle connue sous le nom de
1.3. Plan de lecture
10
"Faked state Attack".
-Cinquième chapitre
Nous achevons ce mémoire de thèse par une conclusion où nous résumons nos principales
contributions et discutons quelques perspectives relatives aux domaines de la communication
quantique.
2 De la Cryptographie classique à de la
Cryptographie quantique
"Si vous croyez comprendre la mécanique quantique, c'est que vous ne la comprenez pas "
Richard Feynman.
2.1 Introduction à l'information quantique
2.1.1 Un bref historique sur la mécanique quantique
La mécanique quantique, c'est cette branche de la physique qui décrit la manière dont se
comportent les objets microscopiques : les molécules, les atomes ou les particules en générale.
Bizarrement on n'arrive pas jusqu'à présent à la mettre en défaut malgré son caractère
incomplet. La physique quantique a germé pendant la première moitié du XXème siècle de
l'interrogation des physiciens devant une quantité de faits expérimentaux qui s'accumulaient
sans interprétation tangible. Interrogation extraordinairement ambitieuse et féconde pour en
faire l'une des grandes aventures intellectuelles de l'humanité, peut-être la plus grande de la
science contemporaine. En eet, la mécanique quantique déborde de mystères, de surprises et
de paradoxes que leurs conceptions classiques demeurent incapables de les expliquer.
Ainsi, cette situation nous oblige à revoir la manière dont nous concevons la matière, et même
la physique en général. Cette splendide discipline perce fortuitement dégagée dans une idée de
Planck sur le rayonnement du corps noir, problème débattu par les physiciens de l'époque. C'est
alors que Planck propose une formule modiée, rendant compte des résultats expérimentaux à
toute longueur d'onde (14 décembre 1900)[3].
Planck justie sa formule théorique en combinant l'approche de la thermodynamique
statistique avec ses propres idées sur les quanta. Le rayonnement serait dû à des résonateurs
hertziens rigoureusement monochromatiques, pouvant émettre ou absorber de la lumière de
façon discontinue conformément à la théorie des quanta. La répartition de l'énergie entre
les résonateurs se fait de façon à maximiser l'entropie totale. La répartition de l'énergie du
rayonnement noir est alors implicitement identique à celle des résonateurs. À ce stade, la
théorie de Planck semble bien correspondre à la volonté de justier théoriquement une formule
expérimentale. Elle tire sa valeur non d'une construction intellectuelle rigoureuse, mais de
l'analogie entre la formule expérimentale et des résultats obtenus en thermodynamique.
L'analyse phénoménologique donnait un ensemble de recettes ecaces et utiles (Rydberg,
Rayleigh, Ritz). Mais rien ne laissait présager le bouleversement des fondements de la physique
classique. Bien que, nos premières impressions sur les atomes et les molécules nous sont
parvenues d'abord des chimistes du XIXe siècle qui pouvaient réduire les lois des réactions
chimiques à des nombres entiers, puis de la théorie cinétique de Maxwell et Boltzmann qui
expliquait les propriétés thermodynamiques des gaz à partir de l'hypothèse moléculaire.
2.1. Introduction à l'information quantique
12
En étant capable de décrire quantitativement ce que sont les atomes, la mécanique quantique
qui a l'exclusivité d'expliquer leur fondement. L'étendue de son champ d'application est
également se voit illimitée du fait que la physique et toute la chimie convergent dans une
vision quantique. La théorie rend compte des atomes, de la structure moléculaire, mais aussi
de la structure nucléaire, des propriétés des électrons dans les solides, de la conductibilité,
des chaleurs spéciques, réactions nucléaires. Même l'astrophysique connaît une expansion
spectaculaire grâce à la théorie quantique. Celle-ci permet une compréhension profonde et ne
du rayonnement, et ouvre des accès nouveaux et quantitatifs au cosmos, à sa composition,
aux conditions physiques qui y règnent. La théorie quantique seule permet de comprendre
certains états et processus cosmiques et bien évidemment tout cela avec un parfaite harmonie,
et concordance avec les lois de la physique classique.
En fait, l'avènement de la mécanique quantique non seulement a résolu pas mal de problème
microscopique mais il a bel et bien poussé la communauté scientique a changer l'angle de vision
et la conception intellectuel et philosophique. Bouleversement conceptuel : pour la première fois,
non seulement la raison pure, mais ce qu'on croit être le "sens commun " sont mis en défaut par
les faits expérimentaux. On doit construire une nouvelle façon de penser le réel, une nouvelle
logique. Ainsi, cette situation nous oblige à s'adapter à la conception quantique et se préparer à
contredire la perception humaine qui peut parfois nous induire en erreur.
C'est ainsi qu'il s'avère primordiale de façonner une intuition quantique, contraire à l'intuition
immédiate. On voit percer une révolution épistémologique. La pensée philosophique va jouer un
rôle profond dans la domestication de cette science nouvelle. Telle "évidence" n'est que le fruit
de notre intuition et de notre perception immédiate des choses. La mécanique quantique semble
se complaire et mettre en doute la raison tant jugé infaillible. La pédagogie de la mécanique
quantique doit sa réputation à sa puissance analytique et prédictive, la physique quantique a
permis de prévoir des eets dont les applications n'ont cessé, de bouleverser d'innombrables
secteurs de la technologie, d'ouvrir des voies nouvelles, de changer l'ordre de grandeur de ce qu'il
était concevable de réaliser, notamment la conception et la production de nouveaux matériaux
ayant des propriétés physiques adaptées à un usage donné, détecter une décience dans une
fonction biologique et y remédier de façon précise.
Le développement de la physique des semi-conducteurs, celui de la microélectronique, puis
de l'acquisition et du traitement de l'information, de l'accès au savoir et la protection et la
sécurité des canaux de communication constituent une véritable "révolution" dans l'histoire de
l'humanité. Ils multiplient la puissance de l'esprit comme la révolution industrielle du XIXe siècle
avait multiplié la force de l'homme. Ce pas géant a considérablement bouleversé l'ensemble de
la vie économique, sociale, politique, au point que l'adaptation de la société à ce progrès devient
en soi une question d'une nécessité cruciale pour l'épanouissement et l'expansion.
2.1.2 naissance de l'information quantique
La commercialisation du premier microprocesseur Intel 4004 (embarquant 2300 transistors
à 4 bits) a été considérée à l'époque comme révolutionnaire ; Les industriels n'ont cessé de
développer la technologie des microprocesseurs an d'augmenter leurs puissances de calcul. Ceci
se fait par l'augmentation de leur densité en minimisant les dimensions de ces composantes
électroniques. Néanmoins, les lois de la nature obligatoirement freinent cette expansion, chose
déclarée en 1965 par Gordon Moore qui a publiè dans la revue "Electronics Magazine" un article
célèbre dans lequel il postule une augmentation exponentielle du nombre de transistors dans les
2.1. Introduction à l'information quantique
13
microprocesseurs tous les deux ans environ [4].
En eet, cette conjecture ne peut être envisageable à l'inni du fait qu'elle dépend d'une
propriété intrinsèque à l'échelle microscopique. Cette dernière est relative à la densité limite
inférieure que l'on est capable d'atteindre en terme de miniaturisation des transistors (de
l'ordre de la dizaine d'atomes). Ainsi, on aurait dû théoriquement continuer jusqu'en 2015
avant qu'on ne bute sur des eets de bruits parasitaires (eets quantiques, désintégrations alpha).
Depuis 2004, la fréquence des processeurs tend à stagner en raison de dicultés de dissipation thermique, qui empêche une montée en fréquence en dépit de la taille plus faible
des composants. Les fréquences de processeurs montent à ce jour au-delà de 5 GHz. Il s'est
donc avéré indispensable de revisiter l'approche microélectronique et prévoir pour autant une
extension vers d'autres horizons susceptibles d'apporter des solutions et des ressources autres
que la miniaturisation pour améliorer la puissance de calcul. Toujours dans cet optique, Richard
Feynman a constaté à quel point il est complexe de simuler des systèmes quantiques sur des
ordinateurs classiques. En fait, au niveau microscopique, les lois qui régissent les interactions
physiques sont très diérentes de ce qu'on observe à notre échelle. Ainsi, il était le premier à
amorcer l'idée proéminente de construire des ordinateurs "quantiques" [5].
Cette intuition de pouvoir construire et utiliser les phénomènes quantiques pour améliorer les
capacités de calcul des ordinateurs dit "classiques" a été adopté par une large communauté
des chercheurs qui ont cru à sa concrétisation. La découverte des premiers algorithmes et
protocoles de communication quantiques ont donné naissance à deux nouvelles disciplines : la
théorie quantique de l'information et le calcul quantique. L'idée centrale de la théorie quantique
de l'information est d'unier deux domaines a priori diagonalement opposés, la mécanique
quantique et la théorie de l'information.
Autrement dit, il fallait respecter les contraintes imposées par les lois de la physique quantique
sur les transformations de l'information, quand celle-ci est transportée via des systèmes physiques
obéissant à la mécanique quantique. Il se trouve que la réponse est complexe : d'un côté, il
y a des améliorations qualitatives des protocoles classiques (comme le codage dense par exemple).
D'autre part, il y a des contraintes importantes, comme l'impossibilité de copier l'information
quantique et le principe de la superposition. De ce point de vue, on peut considérer que le but
de cette nouvelle branche est de comprendre et expliquer convenablement ces transformations
informationnelles dans un cadre purement physique. Cela ètant, d'autres chercheurs ont proposé
d'utiliser ces ressources pour obtenir une accélération exponentielle des calculs classiques en
protant du parallélisme quantique.
2.1.3 Vers un rêve quantique : ordinateur quantique
Le monde quantique n'a pas cessé de révolutionner la manière dont nous devons percevoir le
monde extérieur, autant sur l'échelle macroscopique que sur les dimensions microscopiques. En
eet, pour décrire certains phénomènes naturels, les physiciens comptent actuellement sur la
puissance et la cohérence de la théorie quantique pour mieux comprendre et élucider l'évolution
des systèmes complexes. Plusieurs sont ceux qui pensent au-delà de ces acquis atteints grâce
à cette nouvelle branche.Alors, on pense souvent qu'il est possible de concevoir une machine
capable d'explorer profondément et ecacement d'autres horizons inaccessibles via les machines
classiques dont on dispose actuellement.
2.1. Introduction à l'information quantique
14
En eet, pour une véritable machine quantique, les variables qui régissent les interactions
entre les composantes ainsi que les dispositifs d'entrée/sortie sont eux-mêmes des opérateurs
quantiques, à l'image de la position de l'électron dans un atome d'hydrogène. Ces machines
pourraient résoudre les problèmes inaccessibles aux machines classiques. Elles permettent
la transmission de données où la sécurité est assurée par des principes fondamentaux de la
physique. Elles permettent également de générer des nombres aléatoires certiés, réaliser des
mesures avec une précision sans précédent, et très probablement conduire à des applications
imprévues dans l'avenir.
En termes de progression, l'avènement des portes logiques quantiques laisse croire que la
mise en ÷uvre d'un tel engin superpuissant ne va pas beaucoup tarder à se réaliser. De plus, la
génération d'une grande variété d'états quantiques de la lumière, qui sont les briques de base de
l'information quantique avec une haute délité justie davantage ce sentiment de conance. Mais
nous avons besoin de franchir des étapes importantes an de mettre en ÷uvre des protocoles de
calcul quantique qui nécessitent, en général, la manipulation, le stockage et la restitution d'un
nombre important de qubits.
Cet handicap certes constitue un dét de taille pour toute la science, néanmoins ces dernières années on constate déjà une nette progression en matière des mémoires quantiques,
la mesure quantique et la stabilité des états quantiques. On note aussi que le temps de
cohérence d'un système quantique diminue de manière linéaire avec le nombre de qubits. Par
conséquent, le principal obstacle pour cette mise à l'échelle consiste à protéger l'état quantique du système physique contre cette dissipation de l'information, aussi appelée la décohérence.
Par consèquent, le rêve quantique de réaliser un ordinateur superpuissant en traitement
parallèle s'avère légitime, du fait qu'il ne peut être constitué que des portes logiques élémentaires
(Hadamard, Tooli, C-Not gates). Cette réalité se heurte à l'évidence qu'il n'est pas aussi simple
de manipuler des qubits dans un environnement réel (bruit, décohérence . . .).
Nous vivons actuellement dans un univers d'ondes radio et de signaux électromagnétiques,
notamment les réseaux Wi, GSM, satellites et GPS qui ne sont que quelques exemples de l'utilisation des ondes électromagnétiques dans notre quotidien. Bien évidemment, les ordinateurs
font partie intégrante de cet écosystème informationnel. En eet, l'aspect très important des
signaux électromagnétiques est la mesurabilité.
Il est alors assez facile de lire tous les paramètres d'un signal donné sans le modier (amplitude, fréquence, l'information qu'il contient...). C'est la raison pour laquelle, presque toutes les
technologies précédemment citées sont équipées du chirement, qui évite que les informations
transmises soient lues ou altérées par un tiers. Habituellement, les parties communicantes ne
disposent pas d'un canal de communication sécurisée.
Malgrè cela, les développeurs de système de chirement ont résolu le problème complexe de
négociation de clé de chirement secrète, quand les communications sont susceptible d'être
espionnées par un autrui. En eet, tous les systèmes de protection modernes sont basés sur
une complexité calculatoire (sécurité conditionnée par l'impuissance des appareils actuels à
déchirer une telle combinaison secrète).
A contrario, les ordinateurs quantiques sont peut être sur le point de mettre en cause l'hypothèse de se contenter d'une sécurité conditionnelle, ce qui implique la n de cette génération
2.1. Introduction à l'information quantique
15
de technologie. Manifestement inutilisables pour réaliser la plupart des tâches quotidiennes,
les ordinateurs quantiques sont capables de résoudre rapidement les problèmes mathématiques
utilisés dans les algorithmes de chirement classiques et les tâches d'optimisation de probabilité.
La liste des tâches, qui pourraient être considérablement accélérées en utilisant l'informatique
quantique est assez longue : optimisations logistiques, séquences d'ADN, prédictions du marché
boursier et attaque par force brute de clés de chirement. Dans cette optique, on peut considérer qu'ordinateur quantique opère selon des lois bien diérentes de celles d'ordinateur classique.
A titre d'exemple, on montre qu'il y a des calculs que le premier type d'ordinateur est
en mesure de réaliser mais que son homologue classique ne pourra pas. De telles preuves
d'accélération du calcul quantique par rapport au calcul classique existent abondamment dans
la littérature et c'est l'algorithme célèbre de Peter Shor qui nous démontre la possibilité de
factoriser un nombre entier N en un temps O log[(N )3 ] [6]. A cet eet, plusieurs cryptosystèmes
à clé publique, tels que le RSA, deviendraient vulnérables si on arriverait un jour à implémenter
ecacement cet algorithme. Un message chiré avec RSA peut être déchiré par factorisation
de sa clé publique N , qui est le produit de deux nombres premiers.
En l'état actuel, il n'existe aucun algorithme classique capable de réaliser cet exploit en
un temps O log[(N )k ] pour n'importe quel k , donc, l'algorithme de Shor peut casser le RSA
en un temps polynomial. De même, il serait aussi étendu pour attaquer beaucoup d'autres
cryptosystèmes à clé publique. Ainsi, un ordinateur quantique peut se manifester en une arme
à double tranchants, d'une part on a largement gagné en performance de calcul mais un tel
dispositif entre des mauvaises mains peut engendrer de graves atteintes à la liberté et à la
condentialité des personnes.
Cette crainte qu'un ordinateur quantique soit théoriquement capable de déchirer des messages cryptés par la méthode RSA en un temps raisonnable, a provoqué l'intérêt de nombreux
acteurs (gouvernementaux notamment) et a entraîné dans son sillage un développement inespéré
de tout le domaine de l'information quantique. Un autre exemple qui a suscité plus d'intérêt
c'est l'algorithme de Grover, permettant de rechercher un ou plusieurs éléments√qui répondent
à un critère donné parmi N éléments non classés en un temps proportionnel à N et avec un
espace de stockage proportionnel à log[N ] [7].
Pour mieux comprendre cette diérence entre le système classique et le système quantique en
terme de puissance de calcul, on fait remarquer qu'un registre de n qubits peut être représentés
par un état quantique dans un espace de Hilbert de dimension 2n. Par conséquent, on peut
évidemment représenter ce système par un ordinateur classique, étant donné que les ressources
demandées sont nies. On en déduit donc qu'un ordinateur classique peut simuler arbitrairement
bien un ordinateur quantique et vis versa. De ce fait, tout calcul pouvant être réalisé à l'aide
d'un ordinateur quantique peut, en principe, être mené à bien sur un ordinateur classique.
Mais, si en évaluant pratiquement les besoins en ressources nécessaires pour réaliser une telle
simulation. Alors on va rapidement se rendre compte de l'infaisabilité de la chose. Pour ce
faire, prenons par exemple un ordinateur quantique de 100 qubits, un nombre bien modeste
comparativement aux nombres de transistors utilisés par les ordinateurs actuels.
Dans ce cas, l'état quantique du système totale est représenté dans un espace d'Hilbert de
dimension 2100 ' 1030 . Pour encoder cette information sur un ordinateur classique on aura
donc besoin de 2100 ' 1030 nombres complexes. Toutefois, aucun ordinateur classique n'a assez
2.1. Introduction à l'information quantique
16
de mémoire pour subvenir à ce besoin, mais que dit-on des opérations logiques ? Considérons
maintenant les ressources en temps nécessaire lors de l'initialisation dans le cas classique, il est
nécessaire de spécier 2100 ' 1030 coecients simultanément, cette opération prendra plus de
temps que l'âge de l'univers. Contrairement au cas quantique, on a évidement besoin que de 100
opérations. Donc cette illustration nous montre bien qu'il n y a aucun doute de la suprématie
du traitement quantique par rapport au traitement classique quoique l'équivalence réciproque
est toujours assurée.
De ce fait, l'espoir de résoudre toute une nouvelle classe de problèmes de complexité
inaccessible aux ordinateurs classiques a fortement encouragé le développement et la recherche
dans le domaine quantique. Cependant, nous restons encore aujourd'hui dans l'ignorance des
limitations ou encore la puissance qui seraient celles d'un ordinateur quantique. D'autant plus,
plusieurs sont ceux qui se réservent de défendre la conception et la dotation d'une telle machine
en vue de détourner son usage pour des opérations d'espionnage. Ainsi, le chirement quantique
deviendra-t-il la solution de sécurité ? Étonnamment, il se pourrait que la physique quantique
soit le remède aux menaces qu'elle se pose elle même.
Théoriquement parlant, il est impossible d'espionner une connexion si elle est basée sur la
transmission unique de microparticules (la loi de la physique quantique stipule que chaque tentative de mesure d'un état quantique perturbera obligatoirement le système globale). Par ailleurs,
parallèlement à la recherche autour des dispositifs du calcul quantique, le même genre de progrès dans le domaine de la communication quantique a permis la transmission sécurisée d'états
quantiques sur des distances d'environ 100 km et même plus. Ici, les pertes inévitables dans les
canaux de transmission impactent la probabilité d'erreur qui augmente de manière exponentielle
avec la longueur du canal. Une façon prometteuse de lever cette limitation consiste à utiliser
des répéteurs quantiques. Là encore, le problème de la mémorisation de l'information quantique
pendant des durées susamment longues demeure un axe de recherche en pleine croissance.
2.1.4 Communication quantique
Une communication quantique est un dispositif de communication composé d'un système exploitant les principes de bases de la mécanique quantique (incertitude de la mesure, l'intrication
quantique et la superposition). En eet, une pensée brillante était l'élément butoir permettant
d'exploiter le principe d'incertitude comme une ressource plutôt que de le considérer comme
une limitation. Ainsi, l'idée de Wiesner c'est de concevoir des billets de banque infalsiables à
base de la propriété intrinsèque des particules à spins 12 . Chaque billet a un numéro de série
et une série de spins "stockés" sur le billet. L'orientation de chaque spin est connue de la
banque seule, qui reconnaît le billet à son numéro de série. Le principe d'incertitude empêche les
faux-monnayeurs de mesurer l'orientation des spins sans erreur. Contemplé à l'époque comme
étant inecace et inapproprié vu les ressources et les dicultés d'implémentation envisagées
(Le stockage de spin). Ainsi, cette proposition ne suscitera pas malheureusement l'intérêt de la
communauté scientique (valeur du bien à protéger est moins inférieur aux moyens déployés).
Par contre, il n'empêche pas de déclencher les premières réexions en matière de communication quantique protant ainsi de la ressemblance entre les deux mondes classique et quantique.
Ces derniers nécessitent tout simplement des systèmes à deux niveaux pour représenter le
"0" et le "1" logique. En fait, pourquoi cette perception antagoniste des manifestations des
phénomènes naturelles de l'univers.
2.1. Introduction à l'information quantique
17
La réponse est évidemment très simple, car notre conception de subdiviser le monde en des
entités diagonalement opposées, a permis de construire une représentation relativement dualiste
de l'environnement existentiel : noir/blanc, lent/rapide, mort/vivant, ouvert/fermé, etc. Ainsi,
en constatant cette habitude quotidienne d'un univers dont les états classiques exclusifs l'un de
l'autre qu'a donné naissance à la logique binaire dans le domaine du traitement de l'information.
Vers la n des années 30, Claude Shannon démontra qu'à l'aide de "contacteurs" (interrupteurs)
fermés pour "vrai" et ouverts pour "faux" il était possible d'eectuer des opérations logiques en
associant le nombre 1 pour "vrai" et 0 pour "faux".
Ce codage de l'information est nommé base binaire et permet actuellement de faire tourner
tous les ordinateurs classiques. Il consiste à utiliser deux états (représentés par les chires 0 et 1)
pour coder et échanger les informations. Après avoir eu les premières tentatives de quantication
de l'information et la transmission des états logiques vers des sites distants, la nécessité
de traiter et de formaliser ce concept s'avérait primordiale. D'où l'émergence de la théorie
des communications qui va s'occuper de normaliser tous les formalismes relatifs au circuit de
communication de l'information depuis une source jusqu'à un utilisateur nal [15] (cf. Figure 1.1).
La nature de la source peut-être très variée. Il peut bien s'agir par exemple d'une voix, d'un
signal électromagnétique ou d'une séquence de symboles binaires. Le canal considéré comme
vecteur de transport de l'information et qui peut se manifester en une ligne téléphonique,
une liaison radio ou encore un support magnétique ou optique : bande magnétique ou disque
compact. Vu que le canal fait partie intégrante de l'environnement inhomogène, cela paraît
évident qu'il fera généralement l'objet des perturbations par un bruit qui dépendra de l'environnement et du canal lui-même : perturbations électriques, rayures, ... . Par analogie, Le codeur
représente l'ensemble des opérations eectuées sur la sortie de la source avant la transmission.
Ces traitements peuvent être, par exemple, la modulation soit en fréquence soit en amplitude,
la compression ou encore l'ajout d'une redondance pour contrebalancer les eets du bruit.
En eet, l'ensemble de ces opérations ont pour but d'homogénéiser la sortie de la source avec
le canal. Enn, le décodeur devra être en mesure, à partir de la sortie du canal de restituer de
façon acceptable l'information fournie par la source. Ainsi, la communication quelque soit sa
nature, ses éléments, ses intervenants ...doit se conceptualiser avec le standard de communication
basique expliqué auparavant. Par ailleurs, ce schéma demeure toujours valable pour le traitement
quantique de l'information où on trouve généralement la source, le canal, le codeur et le décodeur.
Toutefois, un nouveau paradigme de représentation et manipulation de l'information, basé sur
les lois de la physique quantique se voit plus élaboré pour mieux appréhender la problématique
de la communication quantique. A l'aide de ce nouveau paradigme, il est possible d'accomplir
certaines tâches, expliquer certains phénomènes et même exploiter d'autres ressources plus
prometteuses, chose qu'on aperçoit impossibles avec la théorie classique. Dans ce cadre, en
évoquant les points de divergences entre le monde classique et son équivalent quantique, on
constate facilement l'incapacité du domaine classique de prévoir par exemple des lois qui régissent le codage de l'information en polarisation des photons comme vecteur de communication.
En faisant référence à l'idée proéminente d'exploitation de l'orientation des spins pour encoder
l'information nécessaire à révéler avec certitude l'authenticité des billets de banque, on constate
que le même principe de codage en polarisation a été repris par Bennett et Brassard en 1984
pour un protocole de distribution quantique de clés, qui semblait, lui, plus utile et plus réaliste.
2.1. Introduction à l'information quantique
18
Ce protocole, abrégé en BB84 [8], permet à deux correspondants, Alice et Bob, de générer conjointement une clé cryptographique secrète via un canal non sécurisé. Au lieu de
stocker les photons sur un billet, Alice les envoie à Bob, qui les mesure immédiatement et
aléatoirement. Comme le faux-monnayeur mentionné plus haut, Bob aura des résultats certes
probabilistes (Bob a une chance sur deux de choisir la bonne base), mais ces erreurs seront
simplement écartées par une conversation publique entre Alice et Bob an de confronter les
choix de ce dernier avec les bases réelles de l'encodage. Néanmoins, les erreurs induites par
un éventuel espion seront naturellement détectées par respect des lois de la mécanique quantique.
Ainsi, on peut prétendre à la n de cette communication qu'on mit à la disposition des parties
communicantes un moyen d'échange de l'information avec une condentialité inconditionnelle.
Vue les résultats favorables escomptés suite à une implémentation de ce protocole, plusieurs
expériences ont été assez rapidement mises sur pieds, d'abord sous la forme de démonstration
de principe (Proof of concept) [9], puis de dispositifs de plus en plus opérationnels [10, 11, 12].
La distribution quantique de clés, souvent confondue avec la cryptographie quantique, est à ce
jour le seul domaine de l'information quantique où des systèmes commerciaux sont disponibles.
La satisfaction partielle des résultats obtenus sur le terrain ont aussi permis la proposition et la
mise en place d'autres protocoles de distribution de clé quantique, que ce soit avec des photons,
des atomes ou plus récemment avec des variables continues (des lasers).
D'autres applications cryptographiques ont été étudiées, comme le partage de secret ou le problème de la communication directe et la signature quantique. L'exploitation plus spécique de
l'intrication phénomène purement quantique a également conduit au codage dense, à la téléportation quantique et à d'autres applications.
Figure 2.1 Schéma d'un système de communication
2.2. De la cryptographie classique à la communication quantique
19
2.2 De la cryptographie classique à la communication quantique
Bien évidemment l'expérience nous prouve que l'Homme depuis l'antiquité s'est toujours
dévoué à appliquer les principes de base de la sécurité de l'information. On évoquant la
condentialité, l'intégrité et la disponibilité dans l'ensemble des phases de traitement de
l'information (envoi, stockage, réception, codage, archivage ...). D'autant plus, il a mis au point
les moyens et les techniques nécessaires pour assurer la non répudiation des actions et des droits
d'accès attribués (signature, hachage, authentication ...) en vue d'empêcher toute personne
non autorisée à y accéder.
Toutefois, la logique et les exigences de l'environnement de travail nous obligent à accepter
certains risques, à savoir : la possibilité d'interception de l'information et l'altération des
données. Ainsi, la possibilité d'intercepter une information ne vaut pas certainement impliquer
une perforation du contenue et son exploitation. Ainsi, la condition de la lisibilité et l'accessibilité à l'information demeurent un facteur clé pour sa protection contre toute action malveillante.
Par conséquent, une science appelée cryptographie s'est emparée du problème et ne cesse de
jour en jour de nous présenter des solutions cryptographiques sous forme des algorithmes de
chirement capablent de dissimuler l'information et la restituer sous certaine condition. Parallèlement, et pour des besoins de sécurité nationale, des brevets d'industriels ou pour des actions
de piraterie et de sabotage, l'Homme a aussi mis en place l'art de percer le secret des messages
qui ne lui étaient pas destinés en développant la cryptanalyse.
2.2.1 Présentation de la cryptographie classique
Les premiers mécanismes de cryptographie ont pour objectif de protéger la condentialité
de messages entre l'émetteur et le récepteur Fig.2.1. Pour y parvenir, les premières réexions
reposaient sur des procédures secrètes permettant de transformer un message clair en un message
incompréhensible pour une personne non autorisée à le lire. La connaissance de cette opération
secrète était partagée principalement entre l'émetteur et le destinataire nal. Un des premiers
exemples apparus est le chirement de César où chaque lettre est décalée d'un certain nombre
de positions dans l'alphabet, selon l'ordre alphabétique. Le déchirement correspond alors à un
décalage en sens inverse. Avec l'accroissement en besoin sécuritaire pour transmettre de plus en
plus des messages condentiels, ce procédé simpliste a vite atteint ses limites.
Ainsi, la dénition de nouvelles opérations de permutation pour chaque couple émetteurdestinataire devient de moins au moins pratique. En eet, la notion de secret utilisée dans un
algorithme est dicile à quantier, et des principes de conception inventés par un émetteur
peuvent également être imaginés facilement par un attaquant. De ce fait, en se basant sur une
analyse statistique de code transitant on arrive, moyennant cette technique, à percer le secret.
De plus, la condentialité de ces principes est également dicile à maintenir d'un point de vue
organisationnel.
Ainsi, une telle solution est devenue dépassée par la nécessité croissante de protéger les
données sensibles. Les cryptographes introduisent alors le concept de clé qui est devenu un
paramètre de l'algorithme de chirement choisi aléatoirement. Certes, c'est une alternative qui
a permis de surmonter l'obligation de changer d'algorithme à chaque fois que le besoin se fait
sentir, néanmoins il a augmenté considérablement le facteur de risque. Car, d'une part il a fallu
tenir secret cette clé générée entre les correspondants légitimes et d'autre part il a ouvert le
2.2. De la cryptographie classique à la communication quantique
20
débat sur les modalités à envisager pour partager cette clé. Ainsi, l'utilisation des clés a permis
alors une large utilisation d'un même algorithme.
De ce fait, il devient dicile d'en contrôler la condentialité. Ce constat a conduit Auguste
Kerckhos à énoncer le principe suivant [13] : "La sécurité d'un cryptosystème doit résider dans
le secret de la clé. Les algorithmes utilisés doivent pouvoir être rendus publics"
2.2.1.1 la cryptographie symétrique
Le chirement ou le cryptage symétrique d'un message consiste à le chirer pour le rendre
incompréhensible pour celui qui n'est pas doté d'une clé de déchirement KD . Obligatoirement,
cette clé doit être gardée secrète entre les correspondants légitimes Fig.2.2. Ainsi, dans un cryptosystème, on distingue :
1. l'espace des messages clairs M sur un alphabet A (qui peut être l'alphabet romain, mais
qui sera le plus courant considéré pratiquement comme un alphabet binaire {0, 1} car tout
message pourra être codé en mode binaire ;
2. l'espace des messages chirés C sur un alphabet B qui est en général égal à A ;
3. l'espace des clés K ;
4. un ensemble E de transformations de chirement où chaque transformation est indexée par
une clé k ) :
EK : M ∈ M → C ∈ C
(2.1)
5. un ensemble D de transformations de déchirement où chaque transformation est indexée
par une clé) :
DK : C ∈ C → M ∈ M
(2.2)
en plus, on constate que les équivalences suivantes sont triviales :
DK (EK )(M ) = M
EK (DK )(C) = C
(2.3)
et on notera par la suite un tel cryptosystéme par le quintuplet suivant :
(M, C, K, E, D)
(2.4)
Le chirement et le déchirement utilisent des algorithmes, souvent mathématiques. Deux types
de cryptosystéme peuvent être distingués :
les algorithmes restreints, dont la sécurité repose sur le fait qu'ils sont tenus secrets.
les algorithmes à clé qui peut être privée ou publique.
Dans le premier cas de gure, quand un groupe de personne veulent communiquer condentiellement entre eux, ils doivent prévoir un algorithme dont la connaissance doit obligatoirement
être restreinte aux seuls membres de ce groupe. De ce fait, toute transmission interne passera
préalablement par cet algorithme de chirement et cette communauté ayant cette information
aura la possibilité d'accéder au contenu après déchirement. Toutefois, les conditions de sécurité
reposent essentiellement sur la condentialité des ces opérations mathématiques, chose qui
rend une telle implémentation inadaptée à la uidité sensée être dans une communication
sécurisée. En plus, cette technique s'avère très gourmande en matière des ressources à déployer
2.2. De la cryptographie classique à la communication quantique
21
Figure 2.2 Schéma d'un système de communication.
vue que à chaque départ d'un membre du groupe, une action de résiliation d'algorithme doit
impérativement le succéder aussi bien que le maintien à jour de l'espace des algorithmes. De ce
fait, ce type de cryptage se voit inadéquat avec l'évolution des moyens de communications et
l'expansion des ux informationnels.
Donc, La cryptographie moderne résout ce problème par l'utilisation de clés secrètes au lieu
des algorithmes secrets. Ces clés générées aléatoirement parmi un grand nombre de valeurs possibles, communément appelés ensemble de départ et l'ensemble de ces clés est appelé espace des
clés. Ainsi, cette manipulation a permis de transférer le risque d'atteinte à la condentialité des
algorithmes de chirement et a limité l'exigence à tenir et protéger seulement les clés de cryptage.
Evidemment, avec les algorithmes à clefs, toute la sécurité repose sur les clefs, et non plus sur
la connaissance de l'algorithme qui sont rendu public. En eet, les algorithmes à clef secrète sont
appelés aussi algorithmes symétriques. Ce sont des algorithmes où la clef de déchirement peut
être devinée à partir de la clef de chirement ou inversement, d'où le caractère symétrique. Et
même, dans la majorité des cas, les clefs sont identiques. Il y a donc nécessité de partage préalable
entre les correspondants des clefs communes, et ceci avant toute communication sécurisée. Pour
ces algorithmes, la condentialité des communications est directement liée au fait que les clefs
doivent demeurer secrètes. Le DES (Data Encryption Standard)[14] est un exemple de protocole
de cryptographie à clef secrète. Le code de Vernam ou le masque jetable est un algorithme
symétrique qui consiste à combiner le message en clair avec une clé présentant les caractéristiques
très particulières suivantes :
1. La clé doit être une suite de caractères au moins aussi longue que le message à chirer.
2. Les caractères composant la clé doivent être choisis de façon totalement aléatoire.
3. Chaque clé ou "masque", ne doit être utilisée qu'une seule fois (d'où le nom de masque
jetable).
La méthode de combinaison entre le clair et la clé est susamment simple pour être employée
à la main sans dispositif informatique, mécanique ou autre. L'intérêt considérable de cette
méthode de chirement est que si les trois règles ci-dessus sont strictement respectées, le système
2.2. De la cryptographie classique à la communication quantique
22
ore une sécurité inconditionnellement absolue, comme l'a prouvé Claude Shannon en 1949 [15].
L'argument théorique est le suivant, dans son principe : si on ne connaît que le texte chiré et
que toutes les clés sont équiprobables, alors tous les textes clairs sont possibles et avec la même
probabilité puisqu'il y a bijection, une fois le chiré xé, entre clés et textes clairs. Connaissant
le texte chiré, il n'y a aucun moyen de distinguer parmi ceux-ci le texte clair original lui
correspondant. Une analyse statistique est vaine. La connaissance d'une partie du texte clair et
du chiré correspondant donne la partie de la clé utilisée, mais ne donnent aucune information
supplémentaire : le reste de la clé est indépendant de la partie connue, la clé n'est pas réutilisée.
Ce type d'impossibilité, appelé sécurité sémantique, ne repose pas sur la diculté du calcul,
comme c'est le cas avec les autres systèmes de chirement en usage. Autrement dit, le système
du masque jetable est inconditionnellement sûr. Néanmoins, la première diculté que présente
ce système est la longueur et le nombre des clés nécessaires (le problème de leurs transmissions au correspondant, de leur stockage durable, accessible et secret, de leur identication). On
travaille en eet souvent avec plusieurs correspondants, ayant chacun plusieurs jeux de clés en
commun. Par la suite, générer des clés réellement aléatoires nécessite des moyens complexes que
même la meilleur technologie actuelle demeure incapable de fournir une telle ressource. Enn,
garantir l'utilisation unique de chaque clé, même à des intervalles espacés, pose des problèmes
d'organisation importante : à défaut, la sécurité envisagée peut être compromise.
2.2.1.2 la cryptographie asymétrique
Un cryptosystème conventionnel montre vite ses limites s'il s'adresse à un public très large.
La diculté réside déjà à déterminer susamment de clés et à les distribuer condentiellement
à tous les couples émetteurs récepteurs. De plus, une société désirant communiquer avec un
millier de correspondants potentiels devra conserver secrète une liste de mille clés correspondant
à chacun de ses interlocuteurs possibles. Mais sera également dans l'obligation d'autoriser
plusieurs personnes "sûres" à accéder à cette liste, multipliant dangereusement les risques
d'indiscrétion. Pour nir, les besoins en clés croissent trop vite : des communications cryptées
entre n abonnés nécessiteront n2 clés distinctes Ki,j correspondant à chacun des couples (Ei , Rj )
formés par un émetteur Ei et un récepteur Rj , avec i et j dans {1, ..., n}. C'est pour pallier ces
inconvénients que Die et Hellman ont introduit les cryptosystèmes à clés révélées en 1976 [16].
Le principe en est simple : puisqu'il s'agit de limiter le nombre de clés tenues secrètes, il sura
d'attribuer une clé secrète K au récepteur puis de construire, à l'aide d'une fonction judicieuse
T , une clé T (K) qui sera connue de tous les émetteurs. Evidemment, la fonction T devra être
susamment compliquée pour que l'on ne puisse pas retrouver la clé K de décodage à partir
de T (K), en un temps raisonnable et malgré l'utilisation des plus puissants ordinateurs. Un tel
système à clés révélées possède au moins deux avantages :
le nombre de clés nécessaires aux communications entre n abonnés devient n au lieu des n2
précédentes, et sont distribuées seulement aux récepteurs. Elles continueront à être gardées
secrètes. Ce sont les clés de décodage ;
les clés de codage T (K), par contre, pourront être connues par le public. Ainsi, le progrès
est énorme, du fait que ces clés pourront être regroupées dans des annuaires accessibles
publiquement.
A ce stade, on parle d'algorithme de cryptographie asymétrique (ou d'algorithme de cryptographie à clé publique) lorsqu'une personne A dispose d'une fonction à sens unique, c'est-à-dire
injective, très rapide à appliquer tout en étant très dicile à inverser si l'on ne connait pas une
brèche Fig.2.3. Cette fonction est nommée clé publique et la brèche est quant à elle nommée clé
2.2. De la cryptographie classique à la communication quantique
23
Figure 2.3 Schéma d'un système de communication asymétrique.
privée. A met à disposition de tout le monde la clé publique mais garde très secrètement la clé
privée. Ainsi lorsqu'une autre personne, disons B, veut envoyer un message à A, elle crypte son
message en lui appliquant la clé publique et envoie le message chiré obtenu à A. Comme A est
la seule personne connaissant la clé privée, B sait que même si le message est intercepté, seule
A pourra le déchirer.
La sécurité d'un tel procédé réside dans la diculté à trouver la clé privée et surtout dans
la diculté à inverser la fonction donnée par la clé publique. L'asymétrie vient du fait que les
interlocuteurs ne sont pas en possession des mêmes informations : le destinataire possède la clé
privée, alors que les expéditeurs possèdent la clé publique. C'est en opposition avec l'unique clé
secrète que se partagent les interlocuteurs pour les algorithmes de cryptographie symétrique.
L'analyse fréquentielle ne peut rien face aux algorithmes de cryptographie asymétrique,
cependant ces derniers sont souvent plus couteux à mettre en ÷uvre et la diculté à inverser la
fonction à sens unique est sujette à caution : ce qui est considéré comme dicile à un moment
donné, peut ne plus l'être plus tard suite aux avancées technologiques. Ce constat est dû au
fait que les mécanismes de cryptographie asymétrique utilisent tous, un problème de base, la
plupart du temps, issu de la théorie des nombres. L'emploi de problèmes réellement diciles
pour un attaquant est par conséquent primordial en termes de sécurité.
Majoritairement parlant, les cryptosystèmes modernes s'appuient sur le problème de la
factorisation, qui consiste à retrouver la décomposition en facteurs premiers d'un entier obtenu
de manière secrète par multiplication de deux nombres premiers de taille comparable. Un tel
nombre composé est classiquement appelé "module". Toutefois, et avec la progression de la
technologie, la factorisation n'est pas toujours estimée comme un problème complexe, entrainant
ainsi le déclin des algorithmes asymétriques. Pour améliorer davantage la sécurité, les problèmes
diciles de base doivent donc être en accord avec le niveau de robustesse recherché. Il est
de plus possible pour certains mécanismes de chirement de faire la preuve, éventuellement
sous certaines hypothèses, que la sécurité est équivalente à celle du problème de base et pas
uniquement reliée de manière heuristique. Cette approche moderne de la cryptographie permet
d'atteindre un niveau d'assurance meilleur que la simple approche qui consiste à constater
l'absence d'attaques connues.
2.2. De la cryptographie classique à la communication quantique
24
Concrètement, supposons que nous ayons n récepteurs potentiels R1 , R2 ,...Rn auxquels ont été
attribuées n clés K1 , K2 ,..., Kn de décodage, secrètes. Un émetteur E désire envoyer un message M
à Ri . Il consulte un annuaire public donnant toutes les clés de codage T (K1 ), T (K2 ),...,T (Kn )
des abonnés et obtient la clé T (Kj ) du client Rj . Il envoie le message codé CT (Kj ) (M) et le
destinataire le décodera en calculant DKj CT (Kj ) (M). On devra évidemment avoir :
DKj CT (Kj ) (M) = M
CT (Kj ) DKj (M) = M
(2.5)
pour toute clé Ki ∈ {K1 , ..., Kn } et pour tout message M.
Ainsi, la première application de ce principe fut le chirement RSA (Rivest-Shamir-Adleman
cryptosystem) [17]. Depuis lors, plusieurs cryptosystèmes ont été proposés. Leur sécurité repose
sur divers problèmes calculatoires, et notamment la théorie des grands nombres. Cet algorithme
a été inventé par Rivest R., Shamir A., et Adlemann L. du M.I.T. (Massachussets Institute of
Technology). C'est l'algorithme à clé publique le plus commode qui existe. Comme pour le D.E.S.
sa sécurité repose sur l'utilisation de clés susamment longue (512 bits n'est pas assez, 768 est
modérément sûr, et 1024 bits est une bonne clé). C'est la diculté que l'on a à factoriser les entiers
premiers (le problème des Logarithmes discrets est souvent considérés comme insurmontable).
Ainsi, ces algorithmes sont considérés comme étant dicilement cassables. Cependant, de larges
avancées en matière de factorisation des entiers larges ont été enregistrées en la matière. De
ce fait, l'augmentation considérable de la puissance des supercalculateurs rendront le RSA très
vulnérable. Certes, cet algorithme est toujours considéré comme très sûr en prenant garde à
prendre des entiers de plus en plus long, de façon à compenser la puissance en augmentation des
calculateurs. Toutefois, "Peter Williston Shor" a exhibé un algorithme qui permettra de venir
rapidement à bout du RSA dès qu'un calculateur quantique sera concrètement développé et mis
en marche [6]. D'où la nécessité d'explorer de nouvelles possibilités d'innovation et de création
notamment dans ce domaine.
2.2.2 Naissance de la cryptographie quantique ; Besoin légitime
La cryptographie moderne ne se limite pas à l'étude et l'amélioration des cryptosystèmes
symétriques et asymétriques, mais s'interesse également à la mise en cause de leurs preuves de
sécurité. Dans cet optique, nous estimons que le fait de présenter de façon rigoureuse toutes
les facettes de la cryptographie classiques et surtout celles de la cryptanalyse sort largement du
cadre de la présente thèse. Néanmoins nous mettons en exergue les aspects les plus importants qui
illustrent succinctement les inconvénients de la cryptographie classique. Ainsi, nous concluons à la
n de cette présentation qu'aucune méthode n'ore de solution parfaite d'autant plus une sécurité
inconditionnelle, bien que dans de nombreuses applications les deux méthodes sont généralement
combinées.
2.2.2.1 Limites procédurales de la cryptographie classique
Le principal avantage de la cryptographie symétrique est son très haut débit de cryptage ainsi
que sa parfaite adaptation avec l'implémentation dans des dispositifs matériels. On note les
systèmes de biométrie et de reconnaissance faciale, les gadgets d'authentication, les cartes à
puce, les systèmes de télécommunication .... En revanche, la sécurité de ces systèmes repose non
seulement sur l'existence des algorithmes diciles à cryptanalyser, mais aussi sur la possibilité
de pouvoir distribuer des clés de façon ecace et parfaitement sûre entre les diérents correspondants. Par ailleurs, la gestion des clés secrètes sur un réseau de N utilisateurs peut devenir
2.2. De la cryptographie classique à la communication quantique
25
fastidieuse dans la mesure où le nombre de clés nécessaires pour établir une communication
sécurisée est de l'ordre de N (N2−1) clés. Ainsi, il faut tenir en compte que la sécurité d'un
tel algorithme est assurée principalement par le fait de distribuer ecacement les clés de
chirement dans un premier temps. Or, nul ne peut prétendre ou armer la sécurité du canal
utilisé pour acheminer les clés. De ce fait, cette condition nécessaire pour proclamer l'assurance
et la conance dans ces systèmes cryptographiques est elle-même une entrave technique et
preuve d'insécurité. Il est à noter également que cette problématique est un point commun
entre l'ensemble des dispositifs symétriques. Ce qui prouve sous aucun doute l'insécurité de la
cryptographie à clé secrète.
Un autre problème majeur s'ajoute à la diculté susmentionnée, c'est la génération et la gestion
des clés de chirement. En eet, vu le nombre important des clés pour faire communiquer les
utilisateurs sur un canal symétrique, la mise en place d'une plateforme dédiée à cette n s'avère
indispensable. La complexité de cet environnement, réside dans le fait de prévoir une ressource
supplémentaire au dispositif du cryptage qu'il faut obligatoirement tenir à jour. Certes, cette
entrave est une diculté d'ordre technique, toutefois cette situation met en cause les fondements
de base de la cryptographie qui sont la uidité, la sécurité et la résilience, ce qui implique une
adaptation non triviale pour ces dispositifs.
Le cryptage asymétrique ; comme introduit auparavant ; était considéré comme la solution
optimale pour surmonter le problème de la distribution des clés. Ainsi, du fait de son principe
totalement diérent, où chaque partie dispose cette fois-ci de deux clés distinctes. Une clé
publique kpub permettant de crypter les messages est accessible publiquement à toute personne
désirant communiquer et une clé privée kpriv utilisée pour le décryptage qui demeure secrète (en
aucun cas cette clé n'est partagée avec quiconque). Pour illustration, on attribue généralement
d'un core fort ouvert que n'importe qui peut le verrouiller avec
à la clé publique le rôle
un cadenas, mais dont seul celui qui possède la clé privée peut accéder à son contenu. En
eet, cette méthode de cryptage n'est valide que si la connaissance de kpub n'implique pas
obligatoirement la découverte de la clé secrète kpriv . Néanmoins, les deux clés ne peuvent pas
être complètement indépendantes, et sont généralement construites en exploitant des conjectures
mathématiques laissant supposer qu'il est impossible de reconstruire kpriv à partir de kpub en un
temps raisonnable.
Dans ce sillage, la sécurité de la majorité des protocoles asymétriques repose sur le problème
de la factorisation d'un nombre entier en facteurs premiers qui est qualié d'un problème
complexe. Quoique les débits de cryptage atteignables avec ces méthodes sont un à deux ordres
de grandeur inférieurs à ceux des cryptages symétriques, cependant la gestion des clés sur un
réseau de N utilisateurs est grandement simpliée car seules N paires de clés privées et publiques
qui sont nécessaires. De ce qui précède, on constate clairement une nette amélioration en terme
de sécurité, toutefois, ce n'est qu'une solution provisoire et relative car le concept fondamental
de la cryptographie asymétrique inspire sa garantie de sécurité de l'incapacité de résoudre des
problèmes mathématiques complexes, notamment la factorisation et la décomposition en nombre
premier. Partant de ce principe, on arrive à la conclusion que si un jour on parvient à résoudre
ces problèmes, alors par implication la sécurité des cryptosystèmes asymétrique est compromise
[18].
Par ailleurs, d'autres dicultés moins importantes s'annexent à celle déjà discutée, c'est la
validité des clés publiques et la lenteur du processus de cryptage et décryptage. En eet, on
peut assimiler la distribution des clés comme un regroupement des informations publiquement
accessible via un annuaire libre à télécharger, consulter ou modier. Cette dernière action
2.2. De la cryptographie classique à la communication quantique
26
représente une grave atteinte à l'authentication et au non répudiation ; critères qu'il faut
inévitablement observer lors de chirement. Ainsi, pour remédier à cette défaillance, la mise
en place d'un dispositif de signature des clés avec la présence permanente d'une autorité de
certication est primordiale bien qu'ils représentent une surcharge supplémentaire et une lenteur
dans la communication.
Contrairement aux conclusions présentées dans les paragraphes précédents, la théorie de
l'information quant à elle apporte une réponse assez inattendue au problème des communications
sécurisées et indépendamment de la nature du cryptosystème. D'abord, considérant le modèle
d'une transmission telle qu'elle est envisagée en cryptographie standard où Alice dispose d'un
système lui permettant de coder un message m composé de n bits en un message crypté c de l
bits, lequel est alors acheminé vers Bob via un canal sans pertes supposé totalement accessible à
un éventuel espion Eve. Dès réception du message codé, Bob en possession d'un décodeur qui lui
permet d'inverser le processus d'Alice et de retrouver m à partir de c. Ceci dit, la théorie de l'information suppose alors que la transmission est sécurisée si Eve ne peut obtenir, en aucun cas et
sous aucune considération, une information qu'elle soit totale ou partielle sur m en connaissant c.
En eet, cela s'exprime par le fait que I(C; M) = 0 où I est l'information mutuelle de
Shannon [15], C et M sont les variables aléatoires correspondant aux messages c et m. Dans ce
contexte, Shannon a démontré que la seule possibilité d'y arriver est l'utilisation de la technique
du "masque jetable" (one time pad) [19], qui stipule l'usage d'une clé secrète aléatoire k aussi
longue que le message m et à transmettre la somme modulo 2 de la clé et du message m + k ≡ c
mod 2. Vue cette proposition, alors on se rend immédiatement à l'évidence qu'aucune méthode
de cryptographie standard n'est capable de garantir une sécurité inconditionnelle. Le résultat de
Shannon est même beaucoup plus décourageant, car bien qu'on parvient à utiliser un cryptage
par masque jetable, il est quasi impossible de prévoir un moyen ecace de distribution des clés
secrètes à Alice et Bob, et cette solution ne fait donc qu'amplier davantage la diculté.
Serait ce maintenant le temps à songer que la sécurité inconditionnelle des transmissions est
un dé perdu d'avance ? Une réponse immédiate à cette problématique s'avère précoce vue d'une
part que la supposition du modèle de Shannon est trop pessimiste où il ne tient pas compte des
contraintes physiques des canaux de transmission. D'autre part, le développement des technologies des systèmes d'information et de communication ne cessent de progresser du jour en jour. ils
mettent en fait à notre disposition des idées et des modèles de transmission plus réalistes. Certes,
la sécurité inconditionnelle fait défaut aux techniques de cryptographie classiques, malgré cela
ils permettent ; dans les meilleurs conditions ; une fuite sécuritaire avec des seuils asymptotiquement nuls. Face à cette situation compromettante, nous allons appuyer nos conclusions relatives
aux vulnérabilités des cryptosystèmes standards par l'étude de quelques scénarios pratiques dans
lesquels ces technologies promus glorieux dévoilent ainsi leurs failles critiques.
2.2.2.2 Vulnérabilités et défaillances liées à l'implémentation
Présenter de façon rigoureuse toutes les vulnérabilités et les défaillances dont sourent la
cryptographie classique sort largement du cadre de cette thèse. Toutefois, nous nous restreindrons à des démonstrations certes très succinctes des principales problématiques qui prouvent
l'insécurité amplement souhaitée et proclamée ainsi que l'incapacité à faire face à l'évolution
des techniques de cryptanalyse modernes. Ces méthodes de cassage ont chacune leurs modes
opératoires, mais elles convergent vers la même conclusion qui est la révélation du secret
dissimulé.
2.2. De la cryptographie classique à la communication quantique
27
cas du cryptosystème DES : Data Encryption Standard [20] :
Techniquement parlant, le cryptage symétrique utilise généralement le chirement itératif par
blocs. Ainsi, ils peuvent être à l'origine de chirements à ot, d'applications d'authentication
de message ou d'entité, de fonctions à sens unique ou de fonctions de hachage. D'un point de
vue historique, on évoque les standards publiques de chirement qui sont le DES et l'AES [21].
Data Encryption Standard communément abrégé en DES : Publié dans les années 1970 par le
National Bureau of Standards américain, le DES a été considéré comme le standard mondial
en matière de chirement jusqu'à la n des années 1990. Toutefois, et vue l'augmentation
exponentielle de la puissance de calcul des machines, cela a rendu une clé de 56 bits vulnérable
à plusieurs attaques et de techniques de cryptanalyse. Dans ce contexte, nous allons introduire
les attaques les plus répandues :
1- méthode de la recherche exhaustive :
DES est un algorithme capable de chirer un bloc de données P de 64 bits à l'aide d'une
clé secrète K de 56 bits. Le résultat est un bloc de données chirées de 64 bits que nous
noterons C . L'opération de déchirement P = DK (C) est, grâce à la structure même de
l'algorithme, quasiment identique à l'opération de chirement C = EK (P). Ainsi, supposons
que nous disposions d'un bloc de données chirées C et que nous voulions trouver la clé secrète
correspondante. Nous disposons également d'information supplémentaire sur la structure ou
sur le contenu des données en clair. Intuitivement, la méthode la plus simple est une recherche
exhaustive de la clé correspondante parmi les 256 possibilités qui représentent la dimension de
l'espace des clés potentielles. Par la suite, on essaye de déchirer le bloc de données en utilisant
en série clé après clé. Assisté par l'information supplémentaire sur la nature du message clair,
nous permettons de deviner la clé et donc d'interrompre la recherche. Nous aurons besoin, en
moyenne, de 255 essais avant d'achever l'attaque.
An de démonter l'applicabilité de cette attaque, nous introduisons tout d'abord une caractéristique du DES qui est très utile et nous permet par la suite de réduire l'espace de recherche d'un
facteur 2. En eet, cette réduction de 50% est une conséquence de la propriété de complémentarité de DES. Ainsi, nous considérons que si nous avons un texte P chiré avec une clé K donne un
texte codé C , alors le chirement de P avec la clé K produit C où X représente le complément bit
à bit de X . De ce fait, si l'espace des clés correspond à l'ensemble des mots de k bits, le nombre
moyen d'appels à la fonction de déchirement requis dans une attaque exhaustive est égal à 2k−1 .
Une telle attaque devient donc hors de portée dés que l'espace des clefs est susamment
grand. Au vu de la puissance actuelle de calcul, on considère qu'une clef secrète doit comporter
au minimum 128 bits. On recommande l'emploi de clefs de 256 bits dés que l'on souhaite
une sécurité relativement dure à casser. Il est à signaler que cette limite est dépendante de
l'évolution de la technologie en puissance de calcul. Quoique une attaque exhaustive du système
de chirement DES, qui utilise une clef secrète de 56 bits, a été réalisée en 56 heures en juillet
1998 à l'aide d'une machine dédiée comportant 1500 composants DES, toutefois cet algorithme
a attient ces limites et a démontré son impuissance face à ce type de cryptanalyse. Le temps de
calcul nécessaire à une attaque exhaustive est évidemment exponentiel en fonction de la taille
de la clef secrète.
2- méthode de la cryptanalyse diérentielle :
2.2. De la cryptographie classique à la communication quantique
x
Si (x)
0
e
1
4
2
d
3
1
4
2
5
f
6
b
7
8
8
3
9
a
a
6
b
c
c
5
d
9
28
e
0
f
7
Table 2.1 Transformation des entrées données en hexadécimal "x" en "Si (x)" suivant la boite
S.
La cryptanalyse diérentielle a été introduite par E. Biham et A. Shamir en 1991 [22],
c'est une attaque sur le dernier tour à message clair choisi applicable aux algorithmes de
chirement par blocs itératifs. Cette méthode stipule la connaissance préalable des chirés Y et
Y 0 correspondant à des couples de messages clairs X et X 0 dont la diérence δX est xée. Le
principe directeur de cette attaque consiste à étudier la propagation de cette diérence initiale
à travers le chirement. Les diérences sont dénies par une loi de groupe, en général le Xor bit
à bit. Cette attaque utilise la faiblesse potentielle de la fonction itérée F dans une dérivation
à l'ordre 1. Ainsi, elle peut être exécutée dés lors qu'il existe un couple de diérences (a, b) tel
que la diérence entre les images par le chirement de deux entrées dont la diérence vaut a est
égale à b avec une probabilité élevée. La diérence entre deux blocs de n bits est notée par ⊕,
qui est généralement considéré un "ou exclusif/Xor".
Autrement dit, l'attaque nécessite que, pour toutes les valeurs possibles de k1 , ..., kr−1
(sous-clés sont générés à partir de la clé maître K) la fonction de chirement G = Fkr−1 ◦ ... ◦ Fk1
vérie G(x ⊕ a) + G(x) = b pour une grande proportion des valeurs de x ∈ X . On peut alors
détecter le chirement à partir de la connaissance des valeurs prises par la fonction pour des
entrées dont la diérence vaut a. Le détecteur associé considère donc des couples d'entrées-sorties
de la forme (x1 , y1 ), (x1 ⊕ a, y1 0), (x2 , y2 ), (x2 ⊕ a, y2 0), ... et il compte le nombre de couples
(yi , yi 0) qui vérient bien évidement la condition yi ⊕ yi 0 = b.
Vu ce qui précède, on constate que la situation optimale pour que ce détecteur fonctionne est
réduite à la règle que le nombre N des couples (xi , yi ) et (xi ⊕ a, yi ) connus doit être supérieur
ou égale à p − 21n où p est la probabilité que la diérence des images de deux éléments qui
diérent de a soit égale à b. D'après cette présentation, on voit claire que la diculté de cette
attaque réside essentiellement dans le choix des couples et leurs diérences ainsi que dans l'étude
minutieuse de la fonction F itérée lors du processus de chirement.
An d'appréhender cette attaque et illustrer aisément son mode opératoire, on va présenter
un exemple simple à mettre en ÷uvre. On considère le chirement suivant Fig.2.4 qui permet
de mener une attaque diérentielle sur le DES à 4 tours. Il est à noter que c'est un exemple
juste à titre de démonstration car le DES réel comporte 16 tours. En eet, un tour DES comme
illustré à Fig.2.5 consiste à compartimenter l'entrée de 64 bits en deux sous groupes gauche
et droite (d; g) de 32 bits chacun. Ensuite, on ajoute des bits aléatoire à d pour la normé à
48 bits via une transformation E . On récupère la sortie de cette opération et on l'ajoute (Xor
logique) à la sous-clé du tour Ki . Une autre fois, on subdivise le résultat on 8 sous-entrées bi
qu'on injecte dans les boitiers Si respectivement. Suite à quoi, on applique une permutation P
et on additionne nalement les deux sous-groupes. Quant à la moitie gauche, elle est égale à
celle de droite. En outre, dans notre cas, le chireur est composé de 4 étages identiques et d'une
transformation nale qui ne contient pas de partie linéaire pour simplier l'étude. Les boîtes
S1 , S2 , S3 et S4 sont identiques et donnés par la table suivante (en hexadécimal) :
2.2. De la cryptographie classique à la communication quantique
Figure 2.4 Schéma d'un cryptosystème DES à 4 tours.
Figure 2.5 Schéma d'un tour de chirement DES.
29
2.2. De la cryptographie classique à la communication quantique
x
x0 = x ⊕ a
y = Si (x)
y0 = Si (x0)
δy = y ⊕ y0
0
3
e
1
f
1
2
4
d
9
2
1
d
4
9
3
0
1
e
f
4
7
2
8
a
5
6
f
b
4
6
5
b
f
4
7
4
8
2
a
8
b
3
c
f
9
a
a
6
c
a
9
6
a
c
b
8
c
3
f
c
f
5
7
2
d
e
9
0
9
30
e
d
0
9
9
f
c
7
5
2
Table 2.2 Exemple de calcul des coecients correspondants dans le cas où la valeur d'entrée
est a = (3)H .
Pour notre exemple, on constate que le passage de la diérence δX à travers la partie linaire et
l'addition de la sous-clé du tour engendre un passage avec une probabilité de 1. Par contre, lors
des transformations des boitiers Si qui prend en entrée/sortie des mots de 2n bits la probabilité
de passage est égale à 21n et ceux pour les chireurs idéales. Ce qui veut dire que le facteur de
réussite de cette attaque réside dans l'exploitation des probabilités d'apparition d'occurrences
de diérences entre des clairs et d'occurrences de diérences entre des chirés en entrée du
dernier tour du chire pour un certain δX avec une forte probabilité p d'apparition de δY .
Cela revient à construire une table des diérentiels qui résume les possibilités où chaque case
représente le nombre d'occurrences de δY étant donnée δX permettant ensuite de calculer la
meilleure probabilité de passage à travers la boîte Si . A cet eet, on considère dans notre cas
la boîte S , précédemment introduite, avec l'entrée a = (3)H an de construire le coecient
correspondant. On parcourt donc toutes les valeurs de X possibles :
Pour ce faire, on rappelle que l'opération de base est un Xor logique, donc si a = 3 et
X = (b)H alors X ⊕ a = b ⊕ 3 = 8. Ainsi, on généralise le calcul pour l'ensemble des valeurs de
correspondance de a an d'obtenir la table de distribution des diérences possibles.
La valeur correspondante du tableau nous permet de calculer la probabilité conditionnelle de
0)
passage à travers une boîte Si qui est P (δY) = N (a,Y
où N (a, Y 0) est le nombre d'occurrence
2n
dans la table.2.3 et n est le nombre de bits d'entrée/sortie de la boîte Si .
En eet, la somme de tous les éléments par ligne ou colonne vaut 2n = 16 et que toutes les
occurrences sont pairs, ainsi la diérence étant symétrique. De ce fait, logiquement si δX = 0, il
doit en être de même pour δY si la boite S était parfaite (tous les éléments du tableau devraient
être égaux). Ce qui n'est pas vrais dans le cas de notre chireur. A ce stade, on est capable
de construire le chemin optimale de passage à travers les boites Si en combinant les diérences
optimales comme suit :
Pour le premier étage, on traverse la boîte S2 avec la probabilité P (δY) = P ((2)H |a =
(b)H ) = 12 . Ce qui est la meilleure probabilité de passage sur le tableau.2.3.
Pour le deuxième étage, on traverse la boîte S3 avec la probabilité P (δY) = ((6)H |a =
(4)H ) = 83 .
Pour le troisième étage, on traverse la boîte S4 avec la probabilité P (δY) = ((5)H |a =
(2)H ) = 38 mais également on peut traverser la boîte S3 avec une probabilité P (δY) =
((5)H |a = (2)H ) = 83 .
Ce passage optimale est illustré en rouge sur Fig.2.6.
Considérant le chemin optimale adopté dans notre cas, on peut ainsi obtenir une probabilité
2.2. De la cryptographie classique à la communication quantique
a
0
1
2
3
4
5
6
7
8
9
a
b
c
d
e
f
31
δy
0123456789abcdef
16 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
0002000202404200
0002062202000020
0020200004202004
0002006002042000
0400022000402002
0004040000002222
0022202002200004
0000002200040422
0200200420222000
0220000060020040
0080020200000202
0200222000020600
0400000420202020
0024200060000020
0200600004020020
Table 2.3 Distribution des diérences possibles avec leurs nombres d'occurrence pour l'entrée
a = (3)H .
sur l'ensemble du trajet de la diérence sur les trois premiers étages du chirement égale à
3
P (δY = ((0)H ; (5)H ; (0)H ; (5)H |a = (0)H ; (b)H ; (0)H ; (0)H ) = 12 38 = 0.0263. Il faut rappeler que
le principe de cette attaque est de reconstruire la clé k5 après avoir combiné l'information sur les
boîtes Si pour construire une approximation globale. Donc, an d'obtenir de l'information sur la
forme de k5 = (L1 ; L2 ; L3 ; L4 ), on chire un certain nombre M de couples de textes clairs de la
forme (X , X 0 = X ⊕a) avec a = (0)H ; (b)H ; (0)H ; (0)H ) et on récupère tous les couples de chirés
correspondants (Y, Y 0). C'est donc le critère d'égalité à (5)H du deuxième et du quatrième mot
de 4 bits que nous allons tester pour retrouver la bonne clé. En conséquence, la clé devra vérier
cette hypothèse et qui apparaît le plus grand nombre de fois pour l'ensemble des couples de
chirés à tester. Pour ce faire, on ne teste pas toute la clé mais le deuxième mot de 4 bits L2
2.2. De la cryptographie classique à la communication quantique
32
Figure 2.6 Schéma du parcourt optimale d'une cryptanalyse diérentielle sur DES
ainsi que le quatrième mot L4 suivant l'algorithme ci-après :
Pour i variant de 1 à m faire
Choisir un couple (x, x ⊕ a) et chirer ce couple pour obtenir (y, y0)
Fin Pour
Pour (L2 , L4 ) variant de (0,0) à (f,f) faire
Compteur[L2 , L4 ] reçoit 0
Fin Pour
Pour chacun des m couples (y, y0) faire
Si le 1er et le 3ème mot de y et y0 alors
Pour (L2 , L4 ) variant de (0,0) à (f,f) faire
Déchirer y avec (L2 , L4 ) pour obtenir u
Déchirer y0 avec (L2 , L4 ) pour obtenir u0
Si le 2ème et le 4ème mot de u ⊕ u0 valent (5)H alors
Compteur[L2 , L4 ] reçoit Compteur[L2 , L4 ]+1
Fin Pour
Fin Si
Fin Pour
Retourner Max(Compteur[L2 , L4 ])
(2.6)
2.2. De la cryptographie classique à la communication quantique
33
Par ce raisonnement, nous avons pu mettre en ÷uvre un détecteur du DES à 3 tours capable
de recevoir en entrée M couples d'entrées-sorties. Ensuite, grâce à l'algorithme 2.6, le détecteur
est en mesure de compter le nombre de couple satisfaisant la condition de diérentiabilité avec
une forte occurrence. Par ailleurs, le résultat nal nous produit la bonne clé pour laquelle le plus
grand nombre de couples de sorties δY vérie cette propriété, c'est donc celle qui a la valeur de
compteur maximale. Pour ce qui est de nombre de couples M nécessaire pour détecter cette clé,
on l'approche généralement par la formule empirique :
M = C × P (δY|a)−1
(2.7)
où C est une petite constante et P (δY|a) est la probabilité de la caractéristique diérentielle
des R − 1 tours. Dans l'exemple que nous venons de traiter, P (δY|a)−1 = 37.92 et on détecte
pratiquement la clé pour 50 < M < 100. Comme on vient de le monter, ce détecteur permet
donc de révéler une attaque sur le DES à 4 tours qui permet de retrouver la clé de chirement
au dernier tour à partir de la connaissance de M couples clairs- chirés du système. Certes, une
attaque complet sur le DES nécessite une diérence qui se propage sur 15 tours du DES avec
une forte probabilité, néanmoins l'objectif de cette démonstration c'est de produire une preuve
au concept de l'attaque proposée.
3- méthode de la cryptanalyse linéaire :
Toujours dans le cadre des techniques de cryptanalyse possibles sur le DES, on présente la
crypteanalyse linaire où nous allons prononcer le principe de l'attaque sans trop détailler les
étapes [23, 24, 25]. De ce fait, l'analyse de cette méthode consiste à considérer aussi le dernier
tour du chireur. En eet, il s'agit d'une attaque à clair connu qui peut être menée dés que
le chirement soit aecté par la vulnérabilité suivante : il existe un ensemble de positions m,
{i1 , i2 ..., im } du mot à chirer et un ensemble de positions l, {j1 , j2 ..., jl } de la sortie tels que la
somme logique (⊕) des bits de l'entrée plus la somme des bits de la sortie prend la même valeur
pour la plupart des entrées. Autrement dit, si on note x[i] le ime bit de x, cela signie que, pour
toutes les valeurs possibles de k1 , ..., kr−1 , la fonction de chirement G = Fkr−1 ◦ ... ◦ Fk1 vérie
l'hypothèse suivante :
x[i1 ] ⊕ x[i2 ]... ⊕ x[im ] ⊕ G(x)[j1 ] ⊕ G(x)[j2 ]... ⊕ G(x)[jl ] = ε
(2.8)
où ε est une constante binaire indépendante de la valeur entrée x mais dépendante de la clé
de chirement K(k1 , ..., kr−1 ). Par conséquence, on peut exploiter cette propriété de linéarité
pour bâtir aussi un détecteur comme l'attaque diérentielle expliquée précédemment. En eet,
l'approche de la cryptanalyse linéaire consiste à déterminer des expressions de la forme Eq.2.8
qui peuvent se produire avec une grande probabilité d'occurrence. Ainsi, si un chireur ache
une tendance de cette forme avec, soit une faible ou une forte probabilité, alors on a une preuve
irréfutable du caractère non-aléatoire et l'incapacité à produire des sorties indéterminées.
A ce constat, il faut noter que supposant qu'on a mis à l'entrée m bits et on a récupéré l
bits, alors un comportement sain du chireur survient si et seulement si on injecte ces bits
dans l'équation (2.8) et on a exactement le résultat "0 " avec une probabilité 21 . En plus, toute
déviation de cette probabilité on l'exprime avec une sensibilité de cryptosystème à ce genre
d'attaques (les probabilités limites 0 et 1 indiquent que le chireur est catastrophiquement
faible). Ainsi, plus cette déviation et forte plus le système est fragile.
2.2. De la cryptographie classique à la communication quantique
34
Pour mener à bien cette attaque et exploiter parfaitement cette vulnérabilité, on agit
identiquement par l'étude des boitiers non-linéaires Si et on essaie de développer des relations
d'approximation linéaire de passage entre les étages (tours). Par conséquent, on peut concaténer
l'ensemble des équations pour en arriver à lier l'entrer du système avec le dernier tour et ceux
avec une probabilité diérente de 12 . Donc, après avoir construit un détecteur à R − 1 tours
pour un chirement de R tours, via une approximation linaire, le processus d'attaque consiste à
récupérer des bits de la dernière sous-clé KR−1 .
Autrement, cette méthode permet de déchirer partiellement la dernière ronde de l'algorithme
de cryptage. Plus précisément, pour toutes les valeurs possibles de la sous-clé partielle cible, les
bits correspondants de texte chiré sont combinés par un OU exclusif avec les bits de la sous-clé
partielle cible et le résultat est dirigé vers l'arrière à travers les boîtes Si correspondantes.
Ceci est fait pour tous les échantillons de chiré/clair connus et une valeur est conservée pour
chaque entrée de la sous-clé partielle cible. Cette valeur particulière de la sous-clé partielle
cible augmente lorsque l'expression linéaire est vrai pour les bits dans des boîtes Si de la
dernière ronde (déterminées par le décryptage partiel) et les bits clairs connus. La valeur de la
sous-clé partielle cible qui a le nombre qui diverge le plus de la moitié du nombre d'échantillons
clair/chiré est supposée représenter les valeurs correctes des bits partielles de la sous-clé cible.
En fait, cette approche est déterministe car elle suppose que la valeur de la sous-clé partielle
correcte se traduira par l'approximation linéaire parvenue avec une probabilité signicativement diérente de 21 (Que ce soit au-dessus ou en dessous de 12 dépend de l'expression
linéaire qui ane le mieux l'approximation et cela dépend des valeurs inconnues des bits de
la sous-clé implicitement impliqués dans l'expression linéaire). Une clé incorrecte est supposée entraîner une réaction relativement aléatoire dans les bits entrants dans les boîtes Si du
dernier tour et, par conséquent, produira une expression linéaire avec une probabilité proche de 12 .
cas du cryptosystème AES : Advanced Encryption Standard :
Issu d'un appel à candidatures international, le Rijndael est devenu le nouveau standard de
chirement par bloc. Il a été inventé par les cryptologues Vincent Rijmen et Joan Daemen pour
en découler "l'Advanced Encryption Standard" (AES) En 2000. Ainsi, la norme NIST FIPS 197
[21] décrit le chirement des blocs de 128 bits au moyen d'une clé maître de taille variable : 128,
192 ou 256 bits via une fonction d'itération. Le nombre de ces tours dépendent de la taille de la
clé où on trouve par exemple dans le cas de l'AES 128 bits l'application de 10 fois la fonction
de tour (sans le dernier "MixColumns"), alors qu'il faut 14 tours dans le cas d'une clé de 256
bits. Généralement, on décrit la fonction de tours comme étant une composition de 4 opérations
simples sur la matrice d'entrée :
la transformation SubBytes : C'est une étape qui correspond à la seule transformation
non-linéaire de l'algorithme. Dans cette phase, chaque élément de l'entrée est permuté selon
une table de substitution inversible notée boîte-S. Ici, la boîte-S est une permutation de
l'espace vectoriel F2 8 (Cette table est illustrée à la gure.2.7). Elle identie chaque mot de
8 bits à un élément du corps F28 = F2 [X]/{X 8 + X 4 + X 3 + X + 1} par l'isomorphisme
suivant :


X

F256 =
ai X i mod G(X), G(X) = X 8 + X 4 + X 3 + X + 1ai ∈ {0, 1}
(2.9)


i≥0
2.2. De la cryptographie classique à la communication quantique
35
Figure 2.7 Détail de la table AES boite-S
Cette boite-S est composée de la fonction inverse dans le corps ni F2 8 :
(2.10)
x ∈ F2 8 7−→ x254
Avec la fonction de l'espace F2 8 dénie comme suit :
  
y0
1
y1  1
  
y2  1
  
y3  1
 =
y4  1
  
y5  0
  
y6  0
y7
0
1
1
1
1
1
0
0 0
0
0
1
1
1
1
1
0
0
0
0
1
1
1
1
1
1
0
0
0
1
1
1
1
1
1
0
0
0
1
1
1
1
1
1
0
0
0
1
1
   
1 x0
1
x1  1
1
   
   
1
 x2  0

  
1 
x3  ⊕ 0
   
0
 x4  0

  
0 
x5  1


0 x6  1
1
x7
(2.11)
0
La gure.2.8 illustre par exemple la transformation de l'élément Sr,c en élément S 0 r,c . Il est
à signaler que l'ajout de la fonction ane permet de consolider davantage les propriétés
de non-linéarité de la boite-S.
La transformation Shiftrows : L'étape Shiftrows opère sur les lignes de la matrice
entrée et eectue pour chaque élément d'une ligne un décalage cyclique de n éléments
vers la gauche. L'oset n de décalage dépend de la ligne considérée. La ligne i est décalée
de Ci éléments, si bien que l'élément en position j de la ligne i est déplacé en position
j − Ci mod Nb . Les valeurs de Ci dépendent de la valeur de Nb et sont détaillée dans
la table suivante : Evidemment, cette table n'est fournit qu'a titre indicatif dans la mesure où l'AES xe la taille de bloc à Nb = 4. L'étape Shiftrows est illustrée dans la gure 2.9
2.2. De la cryptographie classique à la communication quantique
Figure 2.8 Schéma de la fonction SubBytes
Nb
4
5
6
7
8
C0
0
0
0
0
0
C1
1
1
1
1
1
C2
2
2
2
2
3
C3
3
3
3
4
4
Table 2.4 Shiftrows : décalage des lignes en fonction de Nb dans le cryptosystème AES
Figure 2.9 Schéma de la fonction Shiftrows
36
2.2. De la cryptographie classique à la communication quantique
37
La transformation MixColumns : C'est une transformation linéaire appliquée en pa-
rallèle aux 4 colonnes de la matrice d'entrée. Chaque colonne est traitée comme étant un
polynôme a(x) de degré 3 à coecients dans F256 . Ainsi, durant cette phase on eectue
pour chaque colonne une multiplication par un polynôme c(x) xé auparavant suivi d'une
réduction modulo le polynôme x4 + 1. De ce fait, cette transformation peut être exprimée
de la façon suivante :
 
  
x0
α
α+1
1
1
y0






1
α
α
+
1
1
y
1
 x1  (2.12)
=
Y (x) ≡ c(x)a(x) mod x4 + 1 ⇔ 
y2   1
1
α
α + 1 x2 
x3
α+1
1
1
α
y3
où α est la racine du polynôme caractéristique g(X). A cet eet, la gure 2.10 illustre
cette étape.
Figure 2.10 Schéma de l'opération MixColumns
La phase AddRoundKey : Lors de l'étape AddRoundKey, la matrice d'entrée est modi-
ée en l'additionnant (ou exclusif bit à bit) au sens de l'addition termes à termes dans F256
avec la clé du tour correspondant (voir gure 2.11). Il est à noter que c'est la seule
phase de la ronde qui fait intervenir la valeur de la clé de chirement.
1- méthode d'attaque par saturation ou l'attaque intégrale sur l'AES :
La crypteanalyse intégrale a été présentée la première fois par Joan Daemen, Vincent Rijmen
et Lars K.Knudsen [26, 27]. Après avoir présenté une variante de cette technique, Stefan Lucks l'a
renommée "attaque par saturation", cette fois-ci lors du FSE en 2001 [28]. En eet, cette attaque
exploite la caractéristique parfaite de diusion de l'AES en saturant un ou plusieurs octets de
l'entrée. Les attaques intégrales sont particulièrement performantes face aux schémas de chirement par bloc orientés par octet et ceux lorsque les opérations préservent certaines propriétés
algébriques permettant ainsi de construire un distingueur sur la sortie. Comme expliqué auparavant, l'entrée de l'AES 128 bits est représentée par une matrice 4 d'octets. Par la suite, la phase
de substitution mélange les bits à l'intérieur des octets en appliquant 16 fois en parallèle une
2.2. De la cryptographie classique à la communication quantique
38
Figure 2.11 Schéma de l'opération AddRoundKey
Boîte-S Si , suivie d'une transformation ane. La couche de permutation eectue cette opération
en utilisant une transformation linéaire. Ainsi, l'idée de base de cette attaque repose sur l'hypothèse informelle suivante : si à un étage, le nombre de Boîtes-S actives est petit, à l'étage suivant,
il doit être beaucoup plus grand. Ce principe est déduit de la nature de la fonction MixColumn
qui garantit la plus grande diusion possible, alors que la fonction ShiftRow garantit une très
grande dispersion en éloignant les éléments actifs les uns des autres. La première transformation
ShiftRows opère sur la matrice en décalant les octets de certaines lignes, mais elle ne modie
pas les octets. La seconde transformation quant'à elle, mélange les octets d'une colonne entière.
Enn, l'opération d'addition des sous-clés est une simple addition dans F2 8 . Donc, pour illustrer
ce mécanisme, on suppose qu'on veut saturer l'espace Q des diérences en entrée (le faire prendre
toutes les valeurs possibles) toute en remarquant les propriétés algébriques suivantes :
L'ensemble F2 8 est invariant par la permutation non-linéaire boîte-S.
Le produit scalaire d'une ligne de la matrice MixColumn par un vecteur comportant un
seul octet (mot) actif (tous les autres octet sont constants) est un octet actif (propriété de
diusion).
Le produit scalaire d'une ligne de la matrice MixColumn par un vecteur ne comportant
que des octets actifs est un octet équilibré (propriété de semi-bijectivité). Ici, on considère
qu'un octet actif est un octet qui prend toutes les valeurs possibles et un octet équilibré si
la somme des valeurs possibles de cet octet vaut 0.
Pour ce faire, soit Y le texte clair d'entrée, on note alors que Z la sortie du premier étage, R la
sortie du deuxième étage et T la sortie du troisième étage comme montré à la gure 2.12. Plus
précisément, ce n'est pas un seul texte clair que l'on va chirer mais 256 et on note également :


Y0,0 Y0,1 Y0,2 Y
Y1,0 Y1,1 Y1,2 Y1,3 

Y(y) = 
(2.13)
Y2,0 Y2,1 Y2,2 Y2,3 
Y3,0 Y3,1 Y3,2 Y3,3
2.2. De la cryptographie classique à la communication quantique
39
où y est l'élément à saturer. Après exploitation des propriétés citées ci-dessus, on constate que :
M
S(Y) = 0
(2.14)
S(Y(y)),y∈{0,255}
on remarque alors que en partant d'un ensemble de 28 clairs avec un seul octet saturé, on peut
Figure 2.12 Trois tours de l'AES avec un octet saturé
donc obtenir un distingueur sur trois tours. Cela est dû au fait que les octets sont tous équilibrés.
Pour étendre cette attaque sur d'autres tours, on suppose par exemple que le dernier tour de
l'AES ne contient pas de MixColumns. Ainsi, il est facile de monter une attaque sur 4 tours
à partir de ce distingueur. Si on note W(y) les 256 textes chirés après 4 tours de la fonction
d'étage de l'AES, on peut exprimer chacun des S(y) comme le déchiré de W(y) dépendant d'un
octet de la clé noté k0 4 et d'un octet de W(y) noté W0 (y). On a donc une relation du type :
S(y) = ByteSub−1 (W0 (y) ⊕ k0 4 )
(2.15)
et ce entre chaque octet d'entrée et de sortie du dernier étage. On peut alors déterminer la valeur
de l'octet k0 4 par l'algorithme suivant :
Chirer les 256 textes clairs Y(y) pour y de 0 à 255
Récupérer les 256 textes chirés W(y) correspondants
Calculer les valeurs des S(y) fonction de W0 (y) pour tout y
Si les 256 S(y) vérient S(y) = ByteSub−1 (W0 (y) ⊕ k0 4 ) alors
Renvoyer k0 4
Sinon
Refaire pour une autre valeur de k0 4
Fin Si
(2.16)
De cette façon, on peut retrouver tous les octets de la dernière sous-clé et inverser l'algorithme
de génération de sous-clés pour retrouver la clé. Par conséquent, on remarque que cet algorithme
peut évidemment se généraliser facilement pour retrouver la clé du premier ou des premiers
2.2. De la cryptographie classique à la communication quantique
40
tours et/ou la clé des derniers tours.
2- méthode d'attaque par injection de faute sur l'AES :
Après avoir démontré l'insécurité de l'AES face à la cryptanalyse par saturation. On constate
que le problème persiste encore lors de ces dernières années où nous avons assisté à l'apparition
d'un grand nombre de techniques de cryptanalyse nouvelles qui exploitent la présence d'informations additionnelles observées lors de l'exécution d'un algorithme de chirement sur des canaux
auxiliaires ; informations telles que le temps d'exécution, le rayonnement électromagnétique et
la consommation d'énergie. Pallier ces attaques sur les canaux auxiliaires est un dé, car il est
dicile de décorréler cette information des opérations sur les clés secrètes. De plus, la plateforme
de déploiement impose souvent des contraintes de taille et de performance qui rendent dicile
l'utilisation de techniques de protection. Aujourd'hui, nous sommes confrontés à un nouveau
modèle d'attaque, vu que la cryptographie est déployée dans des applications qui sont exécutées
sur des appareils ouverts et ceux sans utiliser des éléments sécurisés. Dans ce contexte, on parle
d'attaque en boîte blanche. Ainsi, un attaquant en boîte blanche a un accès complet à l'implémentation logicielle d'un algorithme cryptographique : le binaire est complètement visible et
modiable par l'attaquant et celui-ci a le plein contrôle de la plateforme d'exécution des appels
CPU, des registres mémoire, etc.). Par conséquent, l'implémentation elle-même est considérée la
seule ligne de défense.
Pour illustrer ces attaques, nous présentons l'attaque par faute sur l'AES [29, 30, 31]. En eet,
on sait que l'AES utilise une opération de masquage par la clé du dernier tour comme étape
nale de l'algorithme an de protéger l'itération nale de chirement. Cette avant-dernière opération consiste en une simple consultation de table. Comme les spécications de l'algorithme
sont publiques, la table est connue et est accessible par un attaquant. En eet, avec un simple
éditeur hexadécimal, cette table peut être située dans le binaire, et remplacée par des zéros. En
conséquence, la sortie de l'avant-dernière opération sera zéro, et l'exécution de l'opération de
masquage va simplement acher la sous-clé nale, à partir de laquelle la clé d'origine AES peut
être déduite.
La première cryptanalyse par faute de l'AES a été publiée par Giraud [31]. Cette technique
d'injection de faut est une inversion de bit, dont la localisation est inconnue sur les 128 bits
d'entrée de l'étape de SubBytes de la dernière ronde. Cette faute est équivalente à une faute
sur la clé de tour. Le dernier étage ne comporte qu'un ShiftRows et un SubBytes, mais pas de
MixColumns. Ainsi, l'injection de faute sur un bit d'un octet provoque une faute sur le résultat
du SubBytes de cet octet. Etant donnée que le ShiftRows ne fait que décaler les octets ; il déplace
simplement l'octet ; avant le ou exclusif avec la 10e clé de tour, l'erreur sur la sortie se limite
donc à un seul octet Fig.2.13. ici, on va désigner m9 l'octet sur lequel la faute e est injectée et
k10 l'octet de la 10e clé de tour qui va être ajouté par XOR. De ce fait, le résultat correct est :
SubBytes(m9) ⊕ k10 . Par contre, le résultat en injectant la faute sera : SubBytes(m9 ⊕ e) ⊕ k10 .
Ainsi, ajoutant ces deux résultats, on obtient nalement :
d = SubBytes(m9) ⊕ k10 ⊕ SubBytes(m9 ⊕ e) ⊕ k10
= SubBytes(m9) ⊕ SubBytes(m9 ⊕ e)
(2.17)
A ce stade, on connaît l'octet où a été injecté e, donc on déduit qu'il y a 8 possibilités pour le bit
qui a été touché. Cela va nous permettre d'établir une liste des m9 possibles et ce pour chaque
possibilité. Ensuite, on réitère le processus avec d'autres injections e. Pratiquement parlant,
avec 3 fautes en moyenne, on obtient la valeur de m9. De telle sorte, si on ajoute SubBytes(m9)
au résultat correct, on obtient l'octet k10 de la clé. En somme, avec environ 50 injections, on
2.2. De la cryptographie classique à la communication quantique
41
Figure 2.13 Attaque par faute de Giraud sur l'AES (DFA : Dierential Fault Analysis)
obtient la 10e clé de tour, qui va nous faciliter la reconstitution de la clé de chirement complète.
cas du cryptosystème RSA : Ronald Rivest, Adi Shamir et Leonard Adleman
Baptisé du nom de ces inventeurs en 1978 [17], cet algorithme est l'une des méthodes de
chirement asymétrique les plus utilisées dans le monde. En eet, son principe est basé sur la
diculté de factoriser des grands nombres entiers. Autrement, la cryptographie à clé publique
utilise une fonction à sens unique permettant d'évaluer rapidement f(x) connaissant x, tandis
qu'en connaissant f(x) seulement, retrouver x devient pratiquement dicile. Ainsi, la description
de l'algorithme de création de la paire des clés est le suivant :
1. On commence par générer une clé publique
secrets p et q .
2. On choisit ensuite une clé aléatoire
n qui est le produit de deux nombres premiers
e première avec (p − 1) ∗ (q − 1).
3. On crée ensuite la clé privée d qui est donnée par : d ≡ e−1 mod ((p − 1) ∗ (q − 1)). On
appelle e l'exposant public et d l'exposant privé.
4. On dénie ainsi la clé publique de chirement par le couple (n,e ) et la clé privée par le
couple(n,d ).
5. De ce fait, pour chirer un bloc m, il sut de calculer : c ≡ me mod n (cette opération
est facile à réaliser si on connait la clés public).
6. Par contre, pour déchirer le bloc c, il sut d'appliquer : m ≡ cd mod n (Ici, on constate
que seule la personne possédant la clef privée d peut déchirer ce message).
En eet, on a :
ed ≡(1 mod (p -1)(q -1))⇔ ed =k(p -1)(q -1)+1
d'après le théorème de Fermat nous avons : m φ(n) ≡ 1( mod n), avec φ(n) est la fonction
indicatrice d'Euler (qui correspond au nombre des éléments de Z/nZ).
Or, φ(n)=(p -1)(q -1)⇒m (p−1)(q−1) ≡ 1( mod n)
Donc, c d ≡ (me )d ≡med ≡mk(d−1)(q−1) ≡m( mod n)
En eet, la sécurité de cet algorithme repose entièrement sur la diculté à factoriser un grand
nombre dont on sait qu'il est le produit de deux nombres premiers. Ainsi, nous connaissons n et
nous savons qu'il est le produit de deux nombres premiers p et q. Donc, si on arrive à trouver
ces deux nombres on réussit à casser le la clé privée. L'inconvénient du système RSA réside dans
la taille des clés. Car en terme de protection équivalente, on a besoin d'une clé beaucoup plus
longue comparée à un algorithme à clé symétrique.
Ainsi, avec une clé RSA de 1024 bits (la valeur actuellement courante), on a une protection
2.2. De la cryptographie classique à la communication quantique
Algo symétrique
64 bits
80 bits
112 bits
128 bits
42
Clé RSA
512 bits
1024 bits
2048 bits
3072 bits
Table 2.5 Equivalence de taille des clés, en terme de sécurité,entre un algorithme à clé symétrique et algorithme à clé asymétrique
équivalente à celle d'un chirement symétrique de 80 bits. Comme déjà expliqué auparavant,
la sécurité de RSA repose sur deux conjectures : il faut factoriser n pour trouver la clé privée
et cette opération doit se dérouler en un temps polynomial. Cela implique qu'en choisissant
n susamment grand, le RSA est considéré sûr. Toutefois, cette équivalence a des impacts
fortement redoutés, car si on arrive à résoudre ou au moins à diminuer la complexité du problème
de factorisation. Alors, non seulement la sécurité des clés privées qui est compromise, mais aussi
les fondements de base de RSA qui sont mis en question.
1- Fractions continues et attaque de Wiener sur le RSA :
Fractions continuées :
Dénition : Soit (an )n∈N une suite de nombres entiers naturels. On pose pour tout n ≥ 0 :
[a0 : a1 ..., an ] = a0 +
1
a1 +
(2.18)
1
a2 +
1
...+ a1
n
et on a la suite Sn ((ai )i∈{0,n} ) = [a0 ] , [a0 , a1 ] [a0 , ..., an ] est une suite convergente.
Proposition 1 : Soit x ∈ R. Il existe une unique suite d'entiers naturels (an )n∈N telle que
x = limn→∞ [a0 : a1 ..., an ]. De plus, la suite an est nulle à partir d'un certain rang si et
1
seulement si x ∈ Q (on utilise la convention +∞
= 0 et 10 = +∞. Ainsi, (an )n∈N est le le
développement en fraction continuée de x.
Proposition 2 :Soit x ∈ R et soit pqnn une convergente de x. Si q est un entier tel que
q ≤ qn , alors si |x − pq | < 2q12 donc pq est une convergente de x.
Proposition 3 : Soit d un exposant privé RSA vériant d < 31 n 4 , alors on peut retrouver
1
d.
1-1 attaque de Wiener :
La première attaque montée contre le RSA à exposant privé est due à Wiener [32]. C'est une
attaque astucieuse reposant sur la théorie des fractions continues. Donc, pour illustrer cette
attaque, on considère que n =pq avec p et q sont premiers. Et soit e inversible modulo φ(n) et
soit d un inverse de e modulo φ(n). Comme ed ≡ 1( mod φ(n)), alors il existe un petit entier k
tel que ed -k φ(n) = 1. On remarque que k et d sont premiers entre eux et qu'on a aussi :
e
k 1
(2.19)
φ(n) − d = kφ(n)
e
, lui même très
ainsi, la fraction inconnue kd est une très bonne approximation du rationnel φ(n)
√
e
proche du rationnel n qui est cette fois-ci connu. En eet, φ(n) = n−p−q+1 d'ou |n -φ(n)|<3 n.
2.2. De la cryptographie classique à la communication quantique
43
Un calcul élémentaire montre alors que :
e
k
(∗) − <
n d
(∗)(étant donné que k <d ) =⇒ <
(∗)(alors si
1
6
d < √ n 4 ) =⇒ <
1
3k
√
d n
3k
√
d n
1
d2
(2.20)
donc, d'après la proposition.2, dk est une convergente de ne . Pour déterminer de quelle réduite il
s'agit, on peut calculer les premières réduites de ne , jusqu'à en trouver une dont le dénominateur
soit bien d (la clé privée). A ce stade, on constate qu'on parvient réellement à casser totalement le RSA avec un algorithme nécessitant O(log(n)) appels à la fonction de déchirement
correspondant. Pour ce faire, on suit le raisonnement suivant :
m un message clair choisi au hasard
Soit c le chiré d'un message aléatoire m : c ≡ me mod (n)
ki
On calcule les convergents de
di
Si le di vérie : cdi = m
t
(t ≤ O(n))
i=0
mod (n)
Renvoyer di
Sinon
Refaire pour une autre valeur di+1
Fin Si
(2.21)
pour mieux illustrer cette attaque, on considère l'exemple suivant :
soit le problème RAS(n =160523347,e =60728973) et le message m =313. On cherche à déterminer la clé privée d.
soit les convergents de ne = [0, 2, 1, 1, 1, 4, 12, 102, 1, 1, 2, 3, 2, 2, 36]
en testant les convergents successifs, on s'aperçoit que le sixième résout le problème RSA.
En eet on a 14
37 = [0, 2, 1, 1, 1, 4] et que :
31360728973
37
≡ 37
mod (160523347)
(2.22)
donc nalement, on arrive à reconstruire la clé secrète d =37.
1-2 L'algorithme de Shor pour factoriser de grands nombres :
Comme on a déjà étayé précédemment, la sécurité du protocole RSA repose sur le problème
de la factorisation d'un nombre entier en facteurs premiers dans un temps raisonnable (ie.
polynômiale). Ainsi, malgré la conjecture mathématique laissant supposer qu'il est pratiquement
impossible de reconstruire la clé privée à partir de la clé publique. Actuellement, et grâce
à l'avènement des nouvelles approches, notamment l'algorithme de Shor qui a bouleversé ce
constat [9]. Ainsi, on assiste à un développement spectaculaire en puissance de calcul promû par
la théorie quantique qui nous arme la possibilité de factoriser les entiers en une complexité
polynomiale équivalant à la taille de l'entier à factoriser.
En eet, le problème de RSA se résume dans la possibilité de factoriser un entier N = pq
en un temps polynomial. Donc, si on arrive à eectuer cette tâche en un temps moyennement
2.2. De la cryptographie classique à la communication quantique
44
raisonnable, alors la sécurité du RAS va être altérer. Dans ce contexte, on propose alors l'algorithme probabiliste de Shor capable d'accomplir une telle opération en un temps O(log3 (N ))
avec N est l'entier à factoriser. Q
En outre, on considère que N = i=1 k pi ei avec pi > 2 et ki ≥ 2. Cela revient à dire que N ne
contient pas de puissance de 2 car la factorisation sera équivalente à déterminer la parité de N
et que N n'est pas le produit en puissance d'un seul entier premier pi ei sinon la factorisation
sera triviale. Ainsi, pour factoriser N on fait appel à l'algorithme d'Euler basé sur la recherche
de l'ordre de N .
Squelette de l'algorithme :
1. choisir a ∈ {2, ..., N − 1} aléatoirement et calculer ensuite le d = P GDC(a, N ) grâce à
l'algorithme d'Euclide de complexité O(log3 (N )).
2. on teste ensuite si d > 1 alors d est un diviseur non triviale de N . On garde se facteur et
on refait l'étape "1".
3. par contre, si d = 1 alors on conclut que a et N sont premiers entre eux. A ce stade,
on essaie de trouver le plus petit élément r tel que : ar ≡ 1 mod N . Autrement dit,
on cherche l'ordre de a mod N . Malheureusement, aucun algorithme classique n'est en
mesure de nous fournir la réponse en un temps polynomiale. Alors, c'est à cette phase
qu'intervient la partie quantique de Shor pour réaliser ce traitement à l'aide des principes
de la mécanique quantique ; que nous allons détailler par la suite ; an d'exécuter cette
tâche en O(log3 (N )).
4. on teste cette fois-ci si r est impaire ou si a
autre a.
r2
2
≡ −1 mod N , si c'est le cas, on choisi un
5. donc on passe ensuite à déterminer le d± = P GDC(a
seurs non triviaux avec a
d'Euclide).
r2
1
r2
1
±1, N ) > 1 car N partage des divi-
±1. Cette phase est réalisée en un temps O(log3 (N ) (algorithme
6. c'est juste une étape de vérication pour voir si vraiment on a le produit des facteurs
trouvés est égale à N . Sinon refaire avec un autre a jusqu'à validation.
Nous voyons qu'en présence d'une passerelle qui permettrait de passer l'étape 3. La complexité
d'une telle analyse dérive justement de l'algorithme d'Euclide qui est de l'ordre de O(log3 (N ).
Pourtant cette man÷uvre transforme l'ensemble du procédé du déterminisme au probabilisme
(étape 3). Encore une fois, on peut démontrer que la probabilité de succès est bien supérieur à
3
4 et même on peut agir sur l'expérience pour l'améliorer davantage.
Vue ce qui précède, on constate alors que la cryptographie classique a largement montré son
incapacité à préserver la condentialité et le secret des messages transmis. Ainsi, on va introduire
une nouvelle approche permettant d'atteindre de meilleurs performances sécuritaires.
2.2.3 Principe général de la cryptographie quantique :
A l'instar de la communication classique, où l'information est codée sur des amplitudes électriques se propageant d'un point à un autre pour transmettre le contenu secret. On dénie son
homologue quantique, qui assure presque la même mission mais à des diérences prêts. Donc,
classiquement parlant, en mesurant cette amplitude, les deux correspondants sont en mesure de
reconstruire et à récupérer l'information initiale. Bien entendu, l'information qui transite sur le
canal est parfaitement accessible à une tierce personne, Eve. Cette personne peut prélever une
partie du signal, et éventuellement l'amplier de sorte à brouiller et dissimuler son action. Les
2.2. De la cryptographie classique à la communication quantique
45
utilisateurs légitimes sont ainsi, incapables de détecter une telle action malveillante. Quoiqu'ils
peuvent recourir à des techniques de cryptage ; symétriques ou asymétrique ; an de compliquer
davantage la tâche de l'espion. Pourtant, nous avons démontré qu'elles orent seulement une
sécurité partielle et qu'on peut percer la condentialité des données transmises.
En conséquence, récapitulant ce qui précède, nous relevons les défaillances suivantes :
il faut prévoir un moyen ecace de partage de clé dans le contexte de cryptage symétrique
entre l'émetteur et le récepteur. Or classiquement parlant, la seule méthode sécurisée reste
un contact direct entre les correspondants (le cas de la valise diplomatique). Chose qu'on
qualie d'inappropriée, du fait que ce prérequis ne pourra jamais être satisfait dans toutes
les situations de communication.
bien que la condition de partage de clé est fondamentale pour la sécurité inconditionnelle.
Toutefois, sa taille et son réutilisation demeurent elles aussi des exigences à prendre obligatoirement en considération. Etant donné que la technique de masque jetable reste la seule
possibilité qui permet de chirer les données avec un niveau de sécurité infaillible. Et ce,
en respectant les deux hypothèses relatives à sa taille qui doit être aussi longue que le
message à chirer. Ainsi que son utilisation qui doit faire l'objet d'une seule communication et pas plus. Vue ce qui précède, on constate que le chirement symétrique est une
impasse si on n'arrive pas à distribuer condentiellement une clé, à la demande entre deux
correspondants généralement éloignés, avec un niveau de sécurité acceptable.
on ce qui concerne la cryptographie asymétrique, le problème est plus profond et dicile à
appréhender tant sur le plan de la structure elle-même des algorithmes de chirement que
sur la preuve de sécurité. En eet, cette dernière repose essentiellement sur l'équivalence
entre la complexité conjecturale des problèmes mathématiques diciles à résoudre et ne
peut rien proclamer au-delà. Donc, mettre en place des mesures susceptibles d'améliorer le
chirement asymétrique nécessite obligatoirement une refonte des principes de base de ce
type de cryptage.
Par ailleurs, la cryptographie quantique ou communément appelée distribution quantique
des clés, propose alors une solution partielle à ces problématiques. Usuellement, on peut
joindre la distribution quantique des clés pour garantir leur intégrité avec la technique du
masque jetable. Cette association nous permettra par la suite de se prononcer en toute
certitude sur la condentialité et l'intégrité de la clé partagée d'une part et de l'authenticité
du message chiré et déchiré grâce à la théorie de l'information et le principe du masque jetable.
2.2.3.1 la superposition cohérente d'états quantiques pour coder des qbits
La cryptographie quantique, ou la distribution quantique de clé (QKD), s'inspire des méthodes
de transmissions classiques à la diérence que les vecteurs de transports de l'information sont
gouvernés par les lois de la mécanique quantique. En eet, ce moyen de transport permet
d'échanger une clé secrète entre deux acteurs distants, fréquemment appelés Alice et Bob, dans
un environnement hostile contrôlé par un Espion, Eve. Ainsi, l'apport majeur de la cryptographie quantique est de s'acquitter de toute hypothèse limitant le pouvoir (puissance de calcul,
possibilité d'accès aux canaux, condition initiale ...) d'Eve à seulement celles imposées par la
mécanique quantique. Quoique ces limitations, sûrement très pessimistes pour les correspondants
légitimes compte tenu de la technologie actuelle. Toutefois, elles permettent de s'assurer que le
secret de la clé n'est pas dû à une quelconque hypothèse qui puisse être outrepassée dans le futur.
1- Schéma général des protocoles quantiques
2.2. De la cryptographie classique à la communication quantique
46
Figure 2.14 Schéma d'un système de communication quantique
Alice génère un état quantique sur lequel elle va coder une information secrète. Le principe
du codage est simple où il faut s'assurer que la représentation est faite sur la base de deux
observables qui ne commutent pas Fig.2.14.
Alice envoie ensuite l'état quantique via un canal adéquat (bre optique ou simplement en
aire) à Bob.
Bob reçoit l'état quantique. Il est doté des appareils appropriés pour eectuer la mesure
suivant un choix aléatoire (l'un des deux observables qui va être mesuré) et récupère par
la suite une information brute.
Bob communique à Alice une fraction des ses mesures en vue de vérier les corrélations de
mesure avec les états initiaux.
2- Hypothèses sur l'environnement
Canal quantique : Eve a un contrôle total sur le canal quantique. En eet, elle peut intercepter, modier, mesurer, remplacer, interagir .... Mais compte tenu des principes de
la mécanique quantique, toute opération d'Eve sur ce canal est sanctionnée par une perte
d'information entre Alice et Bob. Ainsi, ils peuvent facilement déceler sa présence.
Capacité de calcul : Aucune restriction n'est imposée sur la puissance de calcul dont est
dotée Eve. Donc, si elle arrive à mesurer et à extraire une information quelconque. Elle est,
en principe, capable d'en tirer prot indépendamment de la complexité de l'algorithme.
Canal classique : Si Eve est en mesure d'agir ; sans aucune restriction ; sur le canal quantique. Cependant ses actions sont limitées sur le canal classique. En conséquence, elle est
seulement autorisée à écouter les communications qui transitent via ce canal sans pouvoir
les changer ou les manipuler. Manifestement, cette condition parait simple, mais une grande
partie de la sécurité repose sur cette hypothèse.
Accès aux installations : Bien évidement, on considère aussi qu'Eve ne pourra pas accéder
aux installations d'Alice et de Bob, sinon ce schème devient pratiquement inutile.
3- Hypothèses d'attaques
En raison des privilèges dont dispose Eve, nous étayons alors les scénarios possibles d'attaques
2.2. De la cryptographie classique à la communication quantique
47
qu'elle peut mener contre une transmission quantique :
Attaque individuelle : dans ce genre d'attaque intuitive, Eve n'a pas besoin de recourir à
ses pouvoirs extraordinaires. En outre, elle interagit avec chaque état interceptée et essaie
par un choix aléatoire de la mesurer et en déduire une information utile. Toutefois, une
telle intervention est sectionnée par une augmentation proportionnelle à la probabilité de
sa détection.
Attaque collective : pour ce type d'attaque, Eve a besoin de faire usage d'une mémoire
quantique an de sauvegarder les états envoyés. Par la suite, Eve prépare des clones et
envoies à son tour ces états à Bob. Ainsi, à la phase classique, Eve dispose maintenant d'une
information supplémentaire divulguée conjointement par Alice et Bob et peut eectuer une
mesure sur les états stockés. Une autre fois, cette action perturbe le cursus normal de la
transmission chose que les deux correspondants peuvent le détecter. Néanmoins, Eve accède
au secret partagé.
Attaque cohérente : ce sont les attaques les plus dangereuses, car à ce niveau, Eve utilise
tout son potentiel. Ainsi, elle intrique ses propres états avec ceux envoyés par Alice. Ensuite,
elle sauvegarde ses états sur une mémoire quantique et libère ceux d'Alice. Une fois arrivé
à la phase classique, Alice et Bob annoncent des informations qu'Eve peut utiliser pour
mesurer correctement ses états. Malheureusement, aucune parade n'est possible et aucune
alternative de détection n'est à envisager. Par ailleurs, ce type d'attaque est considéré
comme la vraie garantit de sécurité inconditionnelle lors de la distribution quantique des
clés (le seuil de secret à ne pas franchir pour un protocole donné).
4- Raisonnement inductif sur la sécurité de transmission
Dans ce raisonnement de sécurité, on va survoler sommairement les principes et les fondements
de la mécanique quantique permettant de proscrire les actions malveillantes d'Eve contre une
transmission quantique. Une étude détaillée fera l'objet des paragraphes suivants.
Nombreuses sont les variantes de distribution quantique de clés et quoique chacune dégage une
particularité spéciale. Toutes sans exceptions fondent leurs analyse de sécurité sur les mêmes
principes de base. Il est judicieux de rappeler que les vecteurs utilisés pour transmettre l'information d'un point à un autre, sont des systèmes gouvernés par les lois de la mécanique quantique.
Donc, qu'il soit un photon ou un électron, ces particules obéissent aux règles suivantes :
1. Théorème de non clonage : Il est impossible de réaliser une parfaite copie d'un état quantique inconnu.
2. La mesure quantique et le principe d'incertitude : Bien que deux observables qui ne commutent pas, alors il est impossible de les mesurer conjointement avec certitude. Cela revient
à dire qu'on ne peut pas décerner parfaitement une particule aléatoire et déduire ces propriétés intrinsèques sans information préalable.
3. Principe de la superposition et de la cohérence quantique : On peut décrire ce principe
par le fait qu'un système quantique peut se trouver superposé dans plusieurs états en
même temps. Ainsi, On dit qu'il est en superposition quantique. En eet, supposons que
les états A et B correspondent à deux positions distinctes d'une particule donnée, alors la
combinaison linaire A + B est alors également un état possible et accessible au système
considéré. Par conséquent, une même particule peut être considérée simultanément à deux
endroits séparés par une distance macroscopique, jusqu'à ce qu'on fasse une mesure pour
déterminer sa position exacte. Toutefois, une action menée sur le système pour le mesurer
conduit généralement à la destruction de cette superposition. On dit qu'on assiste à un
eondrement de l'état quantique du système.
4. L'intrication : Par extrapolation, on peut rapprocher ce phénomène quantique comme étant
une corrélation à la fois très forte et très fragile entre deux systèmes A et B . En eet, comme
2.2. De la cryptographie classique à la communication quantique
48
le principe de la superposition, on peut concevoir un système A + B mais cette fois-ci avec
une combinaison linéaire de deux systèmes A et B et non pas leurs états respectives. Or
il est assez facile de voir qu'on ne peut pas représenter cet état globale sous la forme d'un
simple produit des deux systèmes. Car les sous-systèmes ne peuvent pas être considérés ici
comme des objets séparés, ayant chacun un état quantique déni, et pourtant ils peuvent
être très éloignés l'un de l'autre. Dans ce cas, l'état de chaque sous-système est indéterminé : lorsqu'on les mesure individuellement, ils sont parfaitement désintriqués. Mais le
plus surprenant, c'est qu'une mesure du sous-système A détermine immédiatement l'état
du sous-système B , qui peut alors se trouver à des milliers de kilomètres. Ainsi, on dit que
les états quantiques se dénissent et communiquent mutuellement.
5- Phasage de la communication
1. transmission quantique :
Alice génère aléatoirement une séquence S = {s1 , ..., sn } avec si ∈ {0, 1}. Ensuite elle
encode son information sur une série d'états quantiques {|χi⊗n } choisis de manière
adéquate. Puis elle envoie le résultat à Bob à travers le canal quantique. En eet, la
technique d'encodage quantique ne sera pas abordée ici en détail. Dés réception des
états envoyés, Bob choisi aléatoirement et sans aucune inuence (information ou indice)
les bases de mesure. Ainsi, il va obtenir une série de résultat R = {r1 , ..., rn } corrélée
partiellement à S = {s1 , ..., sn }.
Rappelons que le canal quantique est librement accessible. Alors Eve peut avoir accès à des
données corrélées, avec ceux des deux correspondants, indépendamment du type d'attaque
choisi. Cependant, son interaction avec l'environnement de transmission, notamment le
canal quantique et les états envoyés va engendrer une corrélation entre l'ensemble des
résultats. A savoir l'état de départ S = {s1 , ..., sn }, le résultat nale de Bob R = {r1 , ..., rn }
et le résultat d'Eve E = {e1 , ..., en }. Donc, si la mécanique quantique l'autorise à eectuer
des attaques sous plusieurs formes. Tout de même, pour cette raison l'information d'Eve
est aussi imputable à sa discrétion et durant une phase d'analyse on arrive facilement à
sentir son intervention.
2. analyse de la transmission :
Avant d'entamer cette phase, il est préférable de rappeler la nature et la valeur de la
séquence générée par Alice. En eet, il s'agit bien d'une chaine aléatoire de bits classiques
qui n'ont aucun poids en termes de condentialité ou aucune importance car elle ne
contient pas d'informations secrètes. Toutefois, après le partage et la distillation de cette
séquence c'est à ce moment qu'elle devienne cruciale pour le système de cryptage.
De ce fait, lors de cette phase Alice et Bob vont sacrier une fraction représentative de
leurs données respectives (S = {s1 , ..., sl }, R = {r1 , ..., rl } avec l<n). Donc, en rendant
public ce sous-ensemble sélectionné au hasard, Alice et Bob peuvent estimer indirectement
la quantité maximum d'information espionnée. Statistiquement parlant, le caractère
aléatoire de l'information échangée jumelé à la nature quantique des états transmis ; certes
ne restreint pas l'action d'Eve ; mais renseigne les correspondants légitimes des actions
malveillantes survenues au moment de la transmission.
Cette situation prote bien à Alice et Bob, car indépendamment des hypothèses qu'on peut
faire sur la manière dont Eve agit sur le canal quantique, le codage sur les états quantiques
est conçu de manière à ce que les inuences d'Eve se répercutent sur les données reçues
par Bob sous la forme d'une déviation statistique. Par conséquent, dès qu'Alice et Bob
2.2. De la cryptographie classique à la communication quantique
49
évaluent l'information interceptée et trouvent qu'elle est équivalente à l'information qu'ils
ont échangée, alors le processus est abandonné et réamorcé à nouveau. Dans le cas contraire,
où la quantité d'information intercéptée est inférieur à celle échangée, alors une clé secrète
peut être distillée à partir de l'information non publiée.
3. réconciliation et correction d'erreur :
La séquence que partagent Alice et Bob maintenant n'est pas exempte d'erreurs et, par
ailleurs, un espion peut avoir intercepté une partie de l'information. C'est alors dans ce
cadre que s'inscrit la phase de réconciliation. Cette étape supplémentaire est nécessaire
pour générer une clé secrète parfaitement sûre et identique pour les deux correspondants
légitimes. Compte tenu du taux d'erreur qu'Alice et Bob peuvent contrôler en permanence,
les deux correspondants peuvent évaluer la quantité d'information maximale interceptée
par un espion éventuel.
Dans ce contexte, on estime qu'il leur est possible de continuer à générer une clé
inconditionnellement sûre si est seulement si le taux de fuite est susamment acceptable.
Pour ce faire, ils procèdent à l'exécution des opérations classiques sur les clés brutes
obtenues pour éliminer toute disparate constatée lors de la transmission. Ainsi, durant
cette phase appelée réconciliation, Alice et Bob corrigent les erreurs résiduelles de la clé
brute, illustrées notamment dans les contraintes environnementales s'exerçant sur le canal
de transmission et les imperfections des systèmes de mesure.
Généralement, et malgré l'absence de l'espion, on assiste a des séquences de bits partagées
S = {s1 , ..., sn−l }, R = {r1 , ..., rn−l } qui ne sont donc jamais parfaitement identiques
(S =
6 R). Par conséquent, il faut agir sur ces séquences via des opérations logiques jusqu'à
atteindre l'homogénéité désirée. Donc, pratiquement parlant, on considère toujours que la
séquence de référence est celle d'Alice et on corrige celle de Bob. La correction des erreurs
ne peut se faire qu'en échangeant de l'information sur le canal public supposé sous-écoute
d'Eve. Vue cela, il est primordiale de limiter ces correspondances au stricte nécessaire, et
idéalement d'atteindre la limite xée par la théorie de l'information : H(S|R) bits où H est
l'entropie de Shannon. Donc pour corriger ecacement ces taux d'erreur on peut faire appel
aux procédés de correction binaires (Binary Correction Protocol, BCP). Ces téchniques qui
se basent principalement sur l'enchainement de simples calculs de parités, suivit par des
échanges interactifs entre Alice et Bob des résultats obtenus et cela pendant un nombre
d'itérations xées à l'avance.
4. amplication de la condentialité :
Après avoir passé avec succès l'étape de la réconciliation, Alice et Bob entament alors
la dernière phase des protocoles de distribution quantique de clé qu'est la génération
proprement dite de la clé secrète à partir du résultat obtenu. Quoique cette étape est
communément considérée une phase classique qu'on peut outrepasser, néanmoins son
apport à la sécurité et à la condentialité de la clé nale est souvent considérable.
En eet, lors de cette phase les deux correspondants s'appuient sur un algorithme déterministe choisi à l'avance permettant d'extraire une fraction K = {k1 , ..., km } de la séquence
initiale S = {s1 , ..., sn−l } de manière à rendre l'incertitude d'Eve maximale sur la sortie K.
Ainsi, on écrit : H(K|E = {e1 , ..., en }) ≈ k où K est la variable aléatoire représentant la
séquence nale de ki bits et ei est l'information totale d'Eve. Admettant généralement que
ces algorithmes sont la famille des fonctions de hachage qui sont capable de calculer une
empreinte digitale à partir d'une donnée fournie en entrée, servant à amplier davantage
2.2. De la cryptographie classique à la communication quantique
50
la condentialité de la clé nale.
2.2.4 Démystication de la notion du qubit
2.2.4.1 les supports de l'information quantique : qbits [33]
Dans cette section nous allons aborder la question triviale qu'on peut formuler vis à vis du
moyen de transport de l'information quantique. Donc à l'instar de la communication classique
qui utilise le bit supposé la plus petite unité de mesure de l'information et qui obéit à la logique
et aux règles de la théorie de l'information. Nous dénissons par extrapolation la notion du qubit
qui lui aussi permet de jouer le rôle du vecteur basique de transmission quantique entre deux
entités distantes. Bien évidement, ce moyen agit et évolue dans le cadre de la mécanique quantique et jouit d'une formulation mathématique stricte et rigoureuse qui dénisse les structures
de bases des bits quantiques.
Par abus de langage, on appel qubit (quantum+bit ; prononcer kiou-bite) l'état quantique qui
représente l'unité de stockage d'information quantique. Il se compose d'une superposition de
deux états de base parfaitement distinguables. Généralement noté par convention |0i et |1i. Un
état qubit est constitué d'une superposition quantique linéaire de ces deux états. En eet, une
mémoire à qubits est supposée signicativement diérente à une mémoire classique par le fait
qu'un bit ne peut prendre que les valeurs 0 et 1, et une seule à la fois. Par contre, un qubit
ne suit pas cette restriction car il peut contenir autant d'états possibles qui sont accessibles au
système quantique.
Il convient de rappeler qu'un qubit n'est pas une particule ni une information mais un support
d'information. Donc, un qubit peut être illustré en une particule en superpositions d'états quantiques .En général un fermion de spin 12 tel qu'un électron, un photon ou une propriété quantique
telle que la diérence d'énergie entre deux états atomiques, etc. Ce qu'on peut retenir d'après
cette introduction, ce que n'importe quel système à deux niveaux (énergie, spin, polarisation
...) qu'on peut distinguer par une mesure, peut être considéré comme un support de codage de
l'information quantique.
2.2.4.2 représentation et manipulation du qbit
Pour aborder l'approche de la formulation mathématique de la notion du qubit, nous allons
étendre la formulation mathématique du bit classique étouée par les principes de la mécanique
quantique. Considérons un registre à un bit d'information classique, susceptible de représenter
0 ou 1 (vrai ou faux, existe ou absent, noir ou blanc ...). Dans la formulation classique, ces
deux possibilités sont représentées simplement par des nombres entiers 0 ou 1 qu'on code
généralement sur une impulsion électrique ou électromagnétique.
Par ailleurs, la formulation quantique, nous permet de représenter ces deux états par deux
vecteurs orthogonaux dans un espace de Hilbert H de dimension 2. En utilisant la notation de
Dirac, les deux vecteurs sont indiqués par |0i et |1i, avec h0|1i=0 et h0|0i = h1|1i=1. Le choix
de la norme unitaire est en fait un choix légitime, puisque en mécanique quantique chaque état
physique est représenté par un vecteur de norme unitaire dans un espace de Hilbert. D'après
cette formulation, autre que |0i et |1i, on considère aussi que chaque état |φi = a|0i + b|1i, avec
la condition (a, b) ∈ C2 et |a|2 + |b|2 = 1) est un état possible de ce registre quantique. En eet,
ce résultat découle directement du principe fondamental de la mécanique quantique qu'est la
superposition. Ainsi, si deux états quelconque |φi et |ψi sont des états possibles d'un système
physique, alors chaque combinaison linéaire |χi = α|φi + β|ψi, telle que hχ|χi=1, est aussi un
état possible de ce système.
2.2. De la cryptographie classique à la communication quantique
51
Couramment, on peut recourir à la représentation géométrique du qubit qu'est donnée par la
Figure 2.15 représentation géométrique du qubit : sphère de Bloch
sphère de Bloch (gure.2.15). Dans cette conguration, l'état |φi = a|0i + b|1i représentant
un qubit est simulé à un point de la surface de la sphère (sphère de rayon unitaire). Donc la
superposition des états |0i et |1i permet de parcourir l'ensemble de la surface extérieure de la
sphère de Bloch contenant de la forme suivante :
|φi = a|0i + b|1i
≡
θ
θ
|φi = cos[ ]|0i + eiφ sin[ ]|1i
2
2
(2.23)
avec θ ∈ [0, π] et φ ∈ [0, 2π] car la variation de ces deux variables permet à un état quantique
d'atteindre toutes les valeurs de la sphère de Bloch.
- manipulation des qubits :
Nous allons rappeler que nous avons donné une description du qubits comme étant des objets
mathématiques avec certaines propriétés à la fois spéciques et étrange que généralement on
ne rencontre pas dans le domaine classique. Ainsi, il est vrai qu'on réalise des qubits à la base
des systèmes physiques qui nous permet un passage uide entre le point de vue mathématique
abstrait et les systèmes réels. Cependant, pour la plupart du temps nous traitons les qubits
comme des objets mathématiques conceptuels. La beauté de cette supposition consiste en
ce qu'il nous donne la liberté de construire une théorie générale de calcul et d'information
quantiques qui ne dépend pas d'un système spécique.
Par analogie, les ordinateurs classiques mesurent à chaque instant l'état des bits classiques
an d'en tirer les contenus de leurs mémoires. Plutôt remarquablement, nous ne pouvons pas
examiner un qubit pour déterminer son état quantique, c'est-à-dire les valeurs de α et de β . Au
lieu de cela la mécanique quantique nous dit que nous pouvons acquérir seulement beaucoup plus
2.2. De la cryptographie classique à la communication quantique
52
de renseignements restreints sur l'état quantique. Quand nous mesurons un qubit nous recevons
le résultat 0, avec la probabilité α2 , ou le résultat 1, avec la probabilité β 2 . Naturellement,
α2 + β 2 = 1 car les probabilités sont normées.
Géométriquement parlant, nous pouvons l'interpréter comme la condition que l'état du
qubit doit être normalisé à la longueur 1. Ainsi, dans le cas général, l'état de qubit est un
vecteur d'unité dans un espace vectoriel complexe de deux dimensions. Cette incision entre
l'état inobservable d'un qubit et les observations que nous pouvons faire est au c÷ur de calcul
quantique et de la théorie de l'information. Le manque de cette correspondance directe dans
la mécanique quantique rend dicile à prédire le comportement de systèmes quantiques.
Cependant, il y a une correspondance indirecte, car les états de qubit peuvent être manipulés
et transformés des façons qui mènent aux résultats de mesure qui dépendent distinctement
des diérentes propriétés de l'état. Ainsi, ces états quantiques sont réellement les conséquences
expérimentalement vériables de nos actions sur les systèmes quantiques.
Pour illustrer cette étrangeté, il peut être judicieux d'appréhender certaines réalisations
possible : comme les deux diérentes polarisations d'un photon ; l'alignement d'un électron
dans un champ magnétique uniforme ; deux états d'un électron décrivant une orbite (niveau
d'énergie) autour d'un atome simple. Dans le modèle d'atome par exemple, l'électron peut
exister dans l'état soi-disant 'stable' ou dans l'état 'excité', que nous appellerons |0i et |1i,
respectivement. En envoyant un faisceau lumineux sur l'atome, avec une intensité appropriée
et pendant un temps approprié, il est possible de déplacer l'électron de |0i à |1i et vice versa.
Toutefois, intéressons nous au cas où en réduisant le temps de brillance, l'électron initialement
dans |0i peut être déplacé 'à mi-chemin' entre |0i et |1i. On dit qu'il est en superposions d'état.
manipulation par mesure dans une base autre que la base de calcul :
Nous avons introduit la notion de la mesure d'une manière intuitive en décrivant les probabilités
d'obtenir un '0' ou un '1' à partir du qubit α|0i + β|1i par α2 et β 2 respectivement. En fait,
la mécanique quantique permet un peu plus d'adaptabilité et de souplesse dans la classe de
mesures qui peuvent être eectuées, bien que certainement nul ne peut accéder à α et β via une
seule mesure. Donc, il est préférable de noter que les états |0i et |1i représentent juste un choix
parmi plusieurs possibilités de bases disponibles pour la mesure. En eet, un autre choix possible
est la base {|+i, |−i} où |+i = √12 (|0i + |1i) et |−i = √12 (|0i − |1i). Donc un état arbitraire
|ψi = α|0i + β|1i peut être réécrit dans cette nouvelle base sous la forme :
|ψi = α|0i + β|1i
(α + β)
(α − β)
√
|ψi =
|+i + √
|−i.
2
2
(2.24)
Ainsi, on constate que la mesure suivant la base {|+i, |−i} nous indique qu'on peut obtenir
l'état '+' avec la probabilité (α + β)2 et le résultat '-' avec la probabilité (α − β)2 respectivement.
Plus généralement et quelque soit la base de mesure {|xi, |yi}. Il est possible d'exprimer
un état arbitraire comme une combinaison linéaire de |xi et |yi. En outre, pourvu que les
états soient orthonormés, il est possible d'exécuter une mesure en ce qui concerne l'état
|ψi = α|xi + β|yi, an d'avoir le système dans l'état |xi avec une probabilité de α2 ou
dans l'état |yi avec une probabilité de β 2 . D'une façon analogue et plus imagé, il est alors
possible de mesurer un système quantique de plusieurs qubits suivant une base orthonormée arbitraire et inversement on peut toujours mesurer un système quantique dans n'importe
qu'elle base à condition qu'elle soit orthonormée. Et ainsi, on est à coup sûr d'obtenir un résultat.
2.2. De la cryptographie classique à la communication quantique
53
manipulation par évolution unitaire (cas des portes logiques quantiques) :
Dans notre formulation mathématique, on considère une opération sur un qubit se fait via
un opérateur unitaire U agissant dans l'espace de Hilbert H. Cette conclusion nous parvient
directement de la mécanique quantique, où l'évolution temporelle d'un système est gouvernée par
un opérateur unitaire agissant sur l'état du système. L'unitarité dans notre cas est primordiale
an de préserver la norme du vecteur d'état. A titre d'exemple, nous allons introduire l'opérateur
qui correspond à l'opération "NOT" sur un qubit. Dans la base de calcule {|0i, |1i}, la matrice
correspondante à cet opérateur s'écrit :
0 1
UN OT =
.
(2.25)
1 0
Donc, il est simple de vérier, qu'appliquer
une action similaire au "NOT" classique :
0
UN OT |0i =
1
0
UN OT |1i =
1
cet opérateur sur les deux vecteurs de base, on aura
1
0
1
0
0
1
1
0
1
0
0
1
=
=
(2.26)
la linéarité imposée par la mécanique quantique implique que l'opérateur UN OT , appliqué sur la
superposition α|0i + β|1i donne :
UN OT (α|0i + β|1i) = α (UN OT |0i) + β (UN OT |1i)
= α|1i + β|0i.
(2.27)
Ainsi, une analyse de ce résultat nous montre que l'opérateur UN OT et par extrapolation l'opération de "NOT" eectuée simultanément sur les deux états qui étaient superposés dans le qubit
α|0i + β|1i. Dans cet exemple on distingue clairement la manifestation du parallélisme quantique
qui se dière absolument du parallélisme classique. Alors que dans un traitement classique on
peut toujours savoir quel est l'état interne du système, une telle connaissance est par principe
exclue dans un traitement quantique.
2.2.4.3 introduction d'état quantique à plusieurs qbits
Maintenant on se pose la question dans le cas où on veut généraliser cette situation à plusieurs qubits. Généralement, on pourrait s'attendre à ce que ce passage n'aecte que l'espace de
représentation. Certes, c'est le cas, mais en fait nous allons voir que la structure à deux qubits
est extraordinairement riche. Car elle introduit des corrélations quantiques qu'on ne peut pas
trouver dans le monde classique. En plus, on ne peut pas s'en rendre compte par une simple
considération de probabilités de mesure. Etant cette corrélation est à la base de la compréhension et la réalisation de plusieurs avancées dans le domaine quantique. Comme nous le verrons
dans le prochain chapitre, l'intrication joue un rôle important dans la description et l'analyse
d'un grand nombre de concepts ou processus quantiques : non-localité, complémentarité, théorie
de la mesure, relaxation et décohérence, frontière classique-quantique. Par conséquent, elle est
également considéré l'ingrédient essentiel à la mise en ÷uvre de processus nouveaux de traitement quantique de l'information.
Ainsi, comme dans le cas classique, on va essayer d'étendre la formulation à deux bits classiques.
2.2. De la cryptographie classique à la communication quantique
54
Les états possibles sont 00, 01, 10 et 11. Par analogie avec le cas précédant, nous pouvons dénir
un espace de Hilbert H cette fois-ci de dimension 4, avec une base orthonormée donnée par les
quatre vecteurs |00i, |01i, |10i et |11i. Comme pour le cas d'un qubit, ce registre à deux qubits
peut se trouver dans un état qui est une combinaison linéaire arbitraire :
|ψi = α|00i + β|01i + γ|10i + δ|11i.
(2.28)
Avec {α, β, γ, δ} ∈ C4 et que |α|2 + |β|2 + |γ|2 + |δ|2 = 1. On remarque par la suite que cette
dénition correspond au produit tensoriel de deux sous-espaces de Hilbert de deux qubits séparés.
On peut voir le vecteur |00i comme le produit tensoriel de |0i1 ⊗|0i2 , où |0i1 et |0i2 appartiennent
respectivement aux sous-espaces H1 et H2 . En eet, les trois autres vecteurs de base peuvent
eux aussi être considérés de même. Toutefois, cette approche demeure uniquement valable pour
certains cas très spéciques où les deux qubits sont séparables. De ce fait, on peut dire que
l'espace vectoriel H engendré par le produit tensoriel de deux sous-espaces H1 et H2 contient
l'ensemble des états séparables qui lui aussi un sous-espace de l'espace des états à deux qubits.
Après avoir présenté la méthode de construction, nous allons aborder la réalisation mathématique
de la notion de deux qubits. Essayons de voir un état à deux qubits dont le premier évolue dans
un espace de Hilbert HA , ayant comme base orthonormée {|0iA , |1iA }, et le second qubit dans un
espace de Hilbert HB , ayant comme base orthonormée {|0iB , |1iB }. Il est commode de représenter
un état physique où le premier qubit est dans l'état |0iA et le second est dans l'état |0iB par un
seul vecteur que l'on écrit sous la forme |X00 i = |0iA × |0iB ; en prenant en compte les autres
valeurs possibles de qubit on aura a priori quatre possibilités :
|X00 i = |0iA × |0iB
|X01 i = |0iA × |1iB
|X10 i = |1iA × |0iB
|X11 i = |1iA × |1iB .
(2.29)
Donc soit l'état |φiA ∈ HA et de même pour |φiB ∈ HB , avec :
|φiA = αA |0iA + βA |1iA
|φiB = αB |0iB + βB |1iB .
(2.30)
On dénie aussi l'état |φiAB ∈ HAB par :
|φiAB = |φiA × |φiB
= αA αB |X00 i + αA βB |X01 i + βA αB |X10 i + βA βB |X11 i.
(2.31)
Néanmoins, malgré cette formulation mathématique rigoureuse on a pas encore abouti à dénir
la forme la plus générale d'un vecteur d'état de deux qubits. En eet, si |ψiAB ∈ HAB , alors
l'état le plus générale de HAB est de la forme suivante :
|φiAB = αAB |X00 i + βAB |X01 i + γAB |X10 i + δAB |X11 i
(2.32)
et pour que |ψiAB soit de la forme |ψiA × |ψiB , une condition nécessaire et susante c'est que :
αAB δAB = βAB γAB .
(2.33)
Et on dit que |ψiAB est séparable. De ce qui précède, on constate bien que cette condition n'est pas
triviale d'être vériée incessamment. Alors que le contraire est à priori valide αAB δAB 6= βAB γAB .
Pour illustrer ce principe on considère l'état suivant :
|φiAB = αAB |X00 i ± δAB |X11 i.
(2.34)
2.3. Protocoles de cryptographie quantique
55
Qui est bel et bien un état de HAB mais qu'on peut pas l'exprimer sous la forme de |ψiA × |ψiB .
On dit que ces états sont des états intriqués.Il est évident que ces vecteurs ne peuvent pas
être exprimés comme un produit tensoriel. Pourtant, le principe de superposition en mécanique
quantique nous impose que ces états eux aussi font partie de cet espace. En outre, l'existence
de tels états constitue la vraie singularité de la mécanique quantique. Puisque ils n'ont aucune
analogie avec des états classiques de la matière. Nous verrons cela plus en détail quand nous
abordons le sujet de l'intrication et de la décohérence. Il n'est donc pas surprenant, que c'est
la possibilité de réaliser de tels états qui produit les avantages du traitement quantique de
l'information par rapport au paradigme classique.
2.3 Protocoles de cryptographie quantique
Le protocole BB84 [34] proposé par Gilles Bennett et Charles Brassard a été le premier protocole de cryptographie quantique totalement conçu à la base des propriétés quantiques des photons
polarisés. Il est indispensable de connaître et de comprendre son principe qui va être considéré
comme une introduction aux techniques de distribution quantique des clés. Pratiquement, ce
protocole utilise 4 qubits formant deux bases incompatibles d'un espace de Hilbert de dimension
2 pour coder l'information :
|0i+ = |0i
1
|0i× = √ (|0i + |1i)
2
,
,
|1i+ = |1i
1
|1i× = √ (|0i − |1i).
2
(2.35)
Avec B+ = {|0i+ , |1i+ } est la base de calcule et B× = {|0i× , |1i× } est la base de Hadamard.
Dans cette conguration, on peut vérier aisément l'orthogonalité de la base B× (h1|0i× = 0)
et l'incompatibilité des deux bases (B+ , B× ) (|h+|0i|2 = |h+|1i|2 = |h−|0i|2 = |h−|1i|2 = 12 ). En
eet, cette disposition nous permet d'écrire la matrice densité de l'état envoyé par Alice sous la
forme :
ρ =
=
1
(|0ih0| + |1ih1|)
2
1
(|+ih+| + |−ih−|) .
2
(2.36)
Où on constate que chaque état est susceptible d'être envoyé avec la même probabilité et qu'aucune information n'est accessible sur la préparation d'Alice. Donc pour transmettre la séquence
à Bob, Alice procède comme suit :
1. Alice génère aléatoirement deux séquences ai∈{0,...n} et xi∈{0,...n} . La première séquence
sera utilisée pour déterminer la base d'encodage ((B+ , B× )) et l'autre pour le choix du bit
classique. Ainsi nous avons :
ai = 0
et
xi = 0 → |0i
ai = 0
et
xi = 1 → |1i
ai = 1
et
xi = 0 → |+i
ai = 1
et
xi = 1 → |−i
on écrit généralement
H ai |xi i
où H est la transformation Hadamard.
(2.37)
Une fois les états sont préparés dans leurs bases correspondantes. Alice envoies sa préparation à Bob.
2.3. Protocoles de cryptographie quantique
56
2. Alors que Bob est dépourvue de l'information sur la préparation envoyée par Alice, il
prépare lui aussi une chaine classique bi∈{0,...n} pour mesurer aléatoirement les états reçus.
De ce fait, on a :
bi = 0 → B+
bi = 1 → B× .
(2.38)
3. Lorsque les choix d'Alice et de Bob ne sont pas compatibles (ai 6= bi ) le résultat de la
projection est totalement aléatoire et ne fournit aucune information sur la valeur du bit
transmis xi . Dans ce cas, on l'élimine de la séquence de génération de clé. Dans le cas
contraire (ai = bi ), le bit xi est parfaitement transmis et mesuré. Par la suite sa valeur
peut être considérée dans la phase de génération de clé. Une fois les "n" bits sont reçus,
Alice annonce publiquement les "n" bases de codages utilisées. Certes cette annonce ne
fournit aucune information sur la valeur des bits transmis, mais par contre permet à Bob
d'éliminer certaines mesures incompatibles (ai 6= bi ). Statistiquement parlant, 50% des bits
transmis par Alice sont ainsi écartés. Mais idéalement, les mesures de Bob sont capable de
décider sans ambigüité sur le reste des 50% des bits restants.
4. L'analyse de la transmission repose principalement sur le principe de non clonage, qui
interdit à Eve de dupliquer avec certitude les états qu'elle intercepte. Pour ce faire, Alice et
Bob dévoilent publiquement un échantillon représentatif de leurs séquences respectives pour
estimer le taux d'erreur. Ainsi, on considère que la transmission a échouée ou espionnée
si ce taux d'erreur est trop élevé. Par conséquent, les deux interlocuteurs peuvent choisir
d'abandonner la communication à ce stade. En eet, un taux d'erreur trop élevé peut être
le signe révélateur d'une présence malveillante sur le canal quantique. Par contre, si ce test
est réussi alors Alice et Bob vont conserver la partie restante de leurs chaines respectives.
5. à la base du taux d'erreur évalué précédemment, Alice envoie à Bob l'information lui
permettant de corriger les erreurs constatées lors de la réconciliation. A la n de cette
phase, Alice et Bob sont alors en possession d'une chaîne de bits parfaitement identique.
2.3.1 Preuve de sécurité du protocole BB84 :
Une analyse à la halte permet de concevoir la notion de la sécurité inconditionnelle qu'ore
ce genre de protocole. En eet, supposons qu'un espion décide de mesurer certains des qubits
envoyés par Alice. Dans ce cas, Bob peut recourir au canal classique authentié pour alerter
Alice qu'il n'a rien reçu. Les bits envoyés alors seront facilement identiables par Alice qui va les
éliminer avant de poursuivre normalement le protocole. La seule conséquence possible de cette
attaque est un possible déni de service ou une saturation du canal quantique. Dans ce cas, l'espion décide d'intercepter tous les qubits ou d'envoyer continuellement des qubits aléatoires sur
le canal qui devient inutilisable.
An de camouer son action malveillante en interceptant des qubits, un espion pourrait alors
essayer de cloner les qubits au cours de la transmission entre Alice et Bob. Toutefois, comme
nous l'avons déjà mentionné auparavant, il est impossible de cloner parfaitement un état quantique inconnu. Par conséquent, la man÷uvre de l'espion sera forcément imputable à sa discrétion
et facilement décelable par des écarts dans les mesures de Bob. De ce fait, les correspondent
légitimes pourraient alors se rendre compte de la tentative d'espionnage au cours de la phase
d'estimation des erreurs et décider d'interrompre la communication.
Quoique cette preuve tient debout pour prouver sommairement la sécurité des protocoles de
distribution quantique de clé. Toutefois, une démonstration rigoureuse et bien cohérente de la
sécurité inconditionnelle qu'ils orent demeure l'handicape majeur des ces méthodes. En eet,
2.3. Protocoles de cryptographie quantique
57
bien que la première procédure de distribution quantique de clé a vue le jour en 1984. Néanmoins, sa preuve de sécurité n'a eu lieu qu'après une décennie et suite à plusieurs tentatives de
démonstration contre certains types d'attaques. Ce n'est qu'en 2000 que Shor [6] a établit la
preuve de la sécurité inconditionnelle des clés produites par le BB84. Dans cette optique, on va
reprendre la technique de démonstration adoptée lors de la démarche du raisonnement d'équivalence entre le modèle intriqué et le modèle prépare et mesure dans la communication quantique
an de reproduire la preuve de sécurité inconditionnelle escomptée.
2.3.1.1 Èquivalence entre modèle intriqué et modèle prépare et mesure
Le protocole présenté précédemment s'inscrit dans le modèle dit "Prepare and Measure"
(P &M ) où Alice prépare un état quantique à partir de ses choix de bits et le transmet à
Bob qui le mesure dans une base choisie aléatoirement. Parmi les grandes avantages de cette
méthode, c'est qu'elle permet d'implémenter ces protocoles quantiques avec la technologie
disponible actuellement (bre optique, source de photon, détecteur ...). Encore plus, elle n'exige
pas de matériels complexes tels qu'une source de photons intriqués ou le recours aux mémoires
quantiques. Toutefois, il est possible de réaliser des protocoles de distribution quantique de clés
en utilisant des paires intriquées.
Ces protocoles appelés "Entanglement Based" (EB) ont été introduits pour la première fois
par Ekert [35] et Bennett [36]. Ainsi, lors de ces méthodes, au lieu de préparer un état quantique
à une particule. Alice cette fois-ci est appelée à produire un état bipartite intriqué et transmet
ensuite une partie à Bob et garde l'autre particule dans une mémoire quantique. Une fois c'est
fait, Alice procède à une mesure aléatoire de sa particule, suite à quoi l'état de Bob sera projeté
sur l'état correspondant à ce qu'Alice a mesuré.
Pour mieux illustrer ce protocole, on considère qu'Alice prépare un état de Bell qu'on va supposer
dans la forme suivante :
1
|φiAB = √ (|0iA ⊗ |0iB + |1iA ⊗ |1iB )
2
(2.39)
Ainsi, on estime que les indices A et B représentent les parties retenues par Alice et Bob respectivement. Donc après la transmission et avant la mesure, on identie la partie envoyée à Bob via
le canal quantique comme suit :
ρB = T rA (|φihφ|AB )
1
=
(|0iB h0| + |1iB h1|)
2
1
=
12B .
2
(2.40)
Où T rA est la trace partielle sur A de l'opérateur densité du système globale. Par ailleurs, on
constate que chacun des deux correspondants est en possession d'une moitié de la paire intriquée.
En plus, ils peuvent mesurer leur état quantique dans une base choisie aléatoirement sans aucune
restriction imposée. Pratiquement parlant, on constate que les mesures seront parfaitement
corrélées si et seulement si Alice et Bob choisissent la même et seront statistiquement aléatoire
dans le cas contraire.
Dès lors, le reste du processus de communication demeure identique à celui des protocoles
P &M en passant par l'ensemble des étapes de réconciliation, estimation des erreurs, amplication de la condentialité et l'extraction de la clé secrète. Certes, les protocoles EB sont
2.3. Protocoles de cryptographie quantique
58
d'un intérêt primordiale dans la théorie de l'information et surtout lors de la preuve de la
sécurité inconditionnelle. Et cela du fait de leurs propriétés intrinsèques, néanmoins leurs
implémentations restent l'un des dés majeures de la technologie actuelle. Pourtant, cela
n'empêche d'en proter pour démonter la sécurité du protocole BB84. Ètant donné qu'il est
plus habile d'étudier la sécurité des protocoles de distribution quantique de clés lorsqu'ils sont
sous la forme EB . Il est intéressant de rappeler aussi que la transformation en sens inverse est
théoriquement envisageable (de la forme EB à la forme P M ).
2.3.1.2 Preuve de sécurité inconditionnelle :
Protocole EB :
pour ce qui est de ce protocole, nous avons :
Alice et Bob s'entendent au préalable sur le code correcteur C = CSS(C1 , C2 ), un [n, k]code qui corrige t bit-ip et t phase-ip. Soit ε > 0 un paramètre de sécurité,
⊗(2+ε)n
Alice prépare |β00 i ≡ √12 (|00i + |11i)
, avec h ∈R {0, 1}2n et pose |ΨiAB = (1A ⊗
⊗h
HB
)|β00 i, choisit ensuite I ⊆R {1, . . . , (2 + ε)n} avec Pr (i ∈ I) = 12 ,
Alice transmet la moitié des demi-paires EP R à Bob,
Bob reçoit les (2 + ε)n états et annonce un acquittement, l'état reçu est ρ0 ,
Alice ensuite déclare publiquement les h et I ,
Bob calcule ρ00 = H ⊗h ρ0 H ⊗h .
Alice et Bob mesurent chaque qubits i ∈ I avec l'observable Z et échangent les résultats.
Suite à quoi, Alice et Bob estiment tx , le nombre d'erreurs lorsque hi = 0 et tz , le
((2+ε)n−#I)tx
nombre d'erreurs lorsque hi = 1. Ainsi, ils abandonnent si t ≤ (1−ε)·#{i∈I|h
et/ou
i =0}
((2+ε)n−#I)tz
t ≤ (1−ε)·#{i∈I|h
.
i =1}
Alice et Bob procèdent à une distillation de paires EPR avec le code C sur les n premières
paires qui n'ont pas été échantillonnées,
Alice et Bob mesurent chacun de leur côté le k qubits avec l'observable Z . Ainsi, soient K
la clé d'Alice et K 0 la clé de Bob.
Avant d'entamer la démonstration de la sécurité du protocole proposé, il est judicieux de rappeler ce que nous entendons par protocoles sûrs de distribution de clé. En premier lieu, nous
désignons par Πn un protocole de distribution de clé avec paramètre de sécurité n. En eet, ce
paramètre de sécurité permet à Alice et Bob de déterminer le niveau de sécurité de la clé générée.
Par conséquent, nous voulons qu'un protocole de distribution de clé ne donne pas plus qu'une
quantité négligeable d'information à l'adversaire sur la clé générée par Alice et Bob lorsqu'ils
n'abandonnent pas l'exécution. Pour ce faire, on suppose que cet événement est conditionné par
la réalisation de l'événement OK.
Dénition 2.1 Un protocole pour la distribution de clé avec paramètre de sécurité n est α-sûr,
pour α > 0, si
I(K; E|OK) ≤ 2−αn ,
où K est la variable aléatoire pour la clé générée par Alice, E est l'information sur K accessible
à l'adversaire Eve par une mesure sur son état quantique.
En eet, cette dénition 2.1 borne la quantité d'information espionnée sur la clé de la même
façon que le théorème d'Holevo. Ainsi, la dénition arme donc qu'un protocole d'échange de
clé est sûr si toute mesure sur l'état classique-quantique de l'adversaire ne donne qu'une quantité
négligeable d'information sur la clé produite. En enchainant sur la démonstration et en s'appuyant
sur le lemme suivant :
2.3. Protocoles de cryptographie quantique
59
Lemme 2.1 La distillation de clés dans le protocole présenté ci-dessus
réussira à récupérer
2
paires EPR parfaites sauf avec probabilité négligeable 1 − (1 −
ε
2− 4 n )2
k
.
Notons que le lemme 2.1 permet de se prononcer sur la délité entre l'état partagé par Alice et
Bob et k paires EPR. Donc, en supposant que σAB est l'état partagé par Alice et Bob après la
ε2
distillation et avant les mesures, alors nous avons que F 2 (σAB , |β00 ihβ00 |⊗k ) ≥ 1−(1−2− 4 n )2 ≥
ε2
ε2
1 − 2− 4 n+2 puisque hβ00 |⊗k σAB |β00 i⊗k ≥ 1 − 2− 4 n+2 . Ainsi, nous aurons :
Lemme 2.2 Si F 2 (ρ, |β00 ihβ00 |⊗k ) ≥ 1 − 2−s , s > 0, alors :
S(ρ) ≤ 2−s (s + 2k +
1
) + O(2−2s ).
ln 2
en eet la conclusion du lemme.2.2 découle directement du fait que si on a F 2 (ρ, |β00 ihβ00 |⊗k ) =⊗k
hβ00 |β00 ⊗k > 1 − 2−s , alors ρ aura obligatoirement une valeur propre au moins aussi grande que
1 − 2−s (démonstration par l'absurde). Ainsi, soit S(ρ)max la valeure maximale de l'entropie de
von neumann atteignable. Donc, d'après ce qui précède, S(ρ)max aura la forme suivante :


1 − 2−s
0
0
...
0
2−s
 0
0
...
0 


22k −1
−s


2

.
.
.
0
0
0
2k
ρ=
2 −1


.. 
 ..
..
.
 .
. 
2−s
0
...
22k −1
−s
2
). Le résultat nale est une conséquence
ainsi, S(ρ)max = −(1 − 2−s ) log (1 − 2−s ) − 2−s log ( 22n
−1
directe des propriétés de l'entropie, l'additivitée et l'approximation en série de Taylor. À ce stade,
nous avons tout les éléments nécessaires pour armer que :
Théoréme 2.1 (Sécurité de EB ) Le protocole
sûr pour α > 0.
EB
est un protocole de distribution de clé α-
pour le prouver, on suppose que K est la variable aléatoire sur l'éspace des clés d'Alice aprés
la mesure, et soit E la variable aléatoire désignant la quantité d'information espionnée suite
à une mesure d'Eve sur létat envoyée. En eet, on essaie de démontrer que si Alice et Bon
n'abandonnent pas la communication dans le cas de EB alors
I(K; E|OK) ≤ 2−αn ,
α>0 .
Aini, pour ce faire, le lemme 2.1 nous arme que les paires distillées σAB sont parfaites sauf avec
une probabilité négligeable. Autrement dit :
ε2
F (σAB , |β00 ihβ00 ⊗k ) ≥ 1 − 2− 4 n+2 .
(2.41)
en plus, le lemme 2.2 établi que :
ε2
S(σAB )max ≤ 2− 4 n+2 (
ε2 n
1
+ 2 + 2k +
) .
4
ln 2
(2.42)
ainsi, combinant Eq.2.41, Eq.2.42 et le théorème d'Holevo, nous concluons que :
I(K; E) ≤ S(σAB ) ≤ 2−αn , α > 0 .
(2.43)
2.3. Protocoles de cryptographie quantique
60
Donc, après avoir établit la démonstration sur la sécurité du protocole EB susmentionné,
nous attaquons le modèle du passage du protocole EB au protocole BB84. Par conséquent, on
considère cette fois-ci que Alice peut dès le départ préparer ses qubits dans la base de calcul
B+ = {|0i, |1i} ou la base Hadamard B× = {|+i, |−i} au lieu d'appliquer des transformations
d'Hadamard aux positions i ou hi = 1. Ainsi, elle xe préalablement les valeurs de h. Alors, elle
prépare son qubit aléatoirement dans B+ si h1 = 0 et dans B× si hi = 1.
Encore plus, Bob peut procéder à une mesure aléatoire sans attendre l'annonce des bases de
préparation d'Alice. On constate alors, si Alice transmettait deux fois plus de qubits aléatoires
(i.e.(4 + ε)n au lieu de (2 + ε)n). Alors en mesurant les qubits reçus, Bob en principe sera capable
au moins d'avoir (2 + ε0 )n dans la même base que celle d'Alice pour ε0 > 0. La situation est
maintenant identique à celle dans le protocole EB si Alice et Bob avaient utilisés le paramètre
de sécurité ε0 . Ainsi, cette équivalence de modèle implique essentiellement et par transitivité la
sécurité du protocole BB84.
taux d'erreur tolérable en pratique :
Parmi les grands avantages du BB84 c'est qu'il est facile à mettre en ÷uvre car il n'exige que la
préparation des qubits individuels et la mesure dans les bases {B+ B× }. Par contre, ce protocole
est en mesure d'assurer la sécurité inconditionnelle de la clé sur un canal quantique avec un
taux d'erreur n'excédant pas le seuil de 5.5%, correspondant bien évidemment au taux d'erreur
tolérable pour les codes correcteurs avec un taux de transmission non nul.
Alors, étant donné que la démonstration du preuve de sécurité repose principalement sur la
correction d'erreur et la possibilité de distillation des paires parfaitement intriquées. Alors, on
sera condamné à respecter cette limitation, quoiqu'on peut tolérer le double de ce taux d'erreur
en permutant les positions avant la correction d'erreur. En eet, la force de cette extension est
due à une propriété des codes correcteurs aléatoires qui peuvent corriger un taux d'erreur environ
deux fois plus élévé que le taux d'erreurs qu'ils corrigent avec certitude. Avec cette considération,
nous pouvons donc accepter un canal quantique avec un taux d'erreur d'environ 11%.
3 Démystication de l'univers quantique
Parmi les diérences agrantes entre l'approche classique et l'approche quantique on trouve
le principe du non-clonage. En eet, si dans le monde classique on est en mesure de reproduire
exactement l'état classique d'un système en autant d'exemplaires qu'on le souhaite. Toutefois, le
théorème de non-clonage nous interdit d'extrapoler cette dénition dans le domaine quantique
sans restriction. À cette incapacité d'un clonage parfait d'un état quantique inconnu, se
complique davantage la situation vu d'autres diérences portant sur la nature de l'information
que l'on souhaite extraire ou manipuler. À cet eet, et si on ne considère que l'accès à un
système classique n'obéisse à aucune restriction, étant donné qu'on y peut parvenir et même
mesurer l'ensemble des grandeurs physiques qu'elles le caractérise. Une telle intervention nous
est en eet impossible comme préconise les relations d'incertitude de Heisenberg qui limitent
notre champ de précision.
Ainsi, dans le cadre de ce postulat, et si on considère l'exemple d'une particule pour laquelle
on mesure la position et l'implusion. Alors, toute précision supplémentaire recherchée sur son
impulsion se fait au détriment de sa position et inversement une précision sur la position aecte
négativement la détermination de l'impulsion. Par ailleurs, dans le reste de ce chapitre, nous
allons montrer quelques faiblesses dont soure la théorie quantique, illustrées bien évidement
dans le phénomène de la décohérence. Cette théorie qui est susceptible d'expliquer la transition
entre les règles physiques quantiques et les règles physiques classiques telles que nous les
connaissons, à un niveau macroscopique. Plus spéciquement, cette approche apporte une
réponse, considérée la plus complète à ce jour, au paradoxe du chat de Schrödinger et au
problème de la mesure quantique.
Le problème majeur est que la mécanique quantique admet la représentation d'un système
physique par ces états superposés. Ces états sont non seulement inaccessibles à l'appareil de
mesure, mais également n'ont aucune représentation à un niveau macroscopique décrit par
la physique classique. Supposons par exemple l'expérience du chat de Schrödinger décrivant
ce phénomène étrange où on peut considérer simultanément un chat "vivant" et "mort".
Certes, inconcevable dans le monde classique, néanmoins ce paradoxe trouve une explication
convaincante dans le domaine quantique.
Par extrapolation de cette expérience de pensée, l'état superposé d'une particule (désintégrée/non désintégrée) doit se propager en respectant scrupuleusement ces règles quantiques. Elle
est similaire à l'état d'un chat qui devrait également être dans un état superposé mort et vivant. Or, un tel état n'est jamais observé à l'échelle macroscopique. Donc, la théorie quantique
tient compte de cette non-observabilité des états superposés. En plus, elle apporte la preuve de
l'eondrement de la fonction d'onde suite à un acte d'observation. Autrement, l'observabilité du
système implique obligatoirement le choix instantané d'un seul état parmi l'ensemble des états
superposés possibles. Cette démonstration élégante, est en parfaite harmonie avec le postulat de
la "Réduction du paquet d'onde" et le "Problème de la mesure quantique".
3.1. Exploration de la puissance du domaine quantique
62
3.1 Exploration de la puissance du domaine quantique
3.1.1 Le non clonage et l'indéterminisme de la mesure
3.1.1.1 théorème de non clonage
Il s'agit d'un principe très fondamental dans la mécanique quantique et qui a été démontré
en 1982 par W.K.Wootters et W.H. Zurek [37]. En eet, on arme qu'il est impossible de créer
une parfaite copie d'un état quantique inconnu. Par conséquent, si le clonage était envisageable,
plusieurs autres principes vont être naturellement violés.
Théoréme 3.1 (théorème de non clonage) Soient les états |φi, |ψi et |χi ∈ H1 , H2 et H3 ,
où |φi est l'état à cloner, |ψi est l'état clonant et |χi est un état ancillaire. Alors, il n'existe
aucune transformation unitaire permettant de cloner parfaitement |φi en |ψi. Autrement dit :
@
U : H1 ⊗ H2 ⊗ H3 → H1 ⊗ H2 ⊗ H3
tel que : U (|φi|ψi|χi) = |φi|φi|χiφ
(3.1)
La démontration du théorème se fait par l'absurde en supposant l'existence d'une telle transformation unitaire capable de cloner des états quantiques quelconques.
Démonstration :
On considère un système composé d'un qubit arbitraire |φi à dupliquer, un second qubit qui va
recevoir la copie et une machine copieuse. Ainsi, la formulation mathématique de l'état représentant cette hypothèse est la suivante :
(3.2)
|φi ⊗ |V i ⊗ |Ri
avec
et
|φi = α|0i + β|1i
|α|2 + |β|2 = 1
|V i ∈ H2
cet état joue le rôle de la page vierge
|Ri ∈ H2
cet état joue le rôle de la référence
(3.3)
d'après l'hypothèse de départ, cette machine serait capable d'eectuer une transformation unitaire U de sorte à reproduire l'état inconnu |φi dans l'état |V i. Cela veut dire que :
(3.4)
U (|φi ⊗ |V i ⊗ |Ri) = |φi ⊗ |φi ⊗ |R(|φi)i
donc si on s'intéresse à l'état de sortie on aura :
U (|φi ⊗ |V i ⊗ |Ri) = |φi ⊗ |φi ⊗ |R(|φi)i
= (α|0i + β|1i) ⊗ (α|0i + β|1i) ⊗ |R(|φi)i
2
(3.5)
2
= (α |00i + αβ|01i + αβ|10i + β |11i) ⊗ |R(|φi)i
d'autre part, nous avons :
U (|0i ⊗ |V i ⊗ |Ri) = |0i ⊗ |0i ⊗ |R(|0i)i
U (|1i ⊗ |V i ⊗ |Ri) = |1i ⊗ |1i ⊗ |R(|1i)i
en vertu de la linéarité
⇓
U (|φi ⊗ |V i ⊗ |Ri) = α|00i ⊗ |R(|0i)i + β|11i ⊗ |R(|1i)i
(3.6)
3.1. Exploration de la puissance du domaine quantique
63
qui est clairement diérent de (Eq.3.5). Par conséquent, on déduit facilement que l'hypothèse de
départ est fausse.
Il est à noter également qu'un état connu peut être cloné sans aucun problème. En eet, si on
connait l'état initial du qubit alors il est considéré, dans ce cas, comme un bit classique. Donc,
on peut eectuer avec certitude une mesure et exploiter cette information pour en faire autant
de copie qu'on souhaite.
3.1.1.2 le principe d'incertitude de Heisenberg
Le principe d'incertitude d'Heisenberg arme qu'il est impossible d'obtenir simultanément
et avec autant d'exactitude une information sur deux grandeurs physiques conjuguées dont les
observables ne commutent pas. Ainsi, il serait, par exemple, possible de mesurer avec une grande
précision la position d'une particule à l'échelle microscopique, mais cela va être au détriment
de la précision obtenue sur la quantité de mouvement de cette particule et inversement. Mathématiquement parlant, si on désigne par ∆x et ∆p les incertitudes sur la position et la quantité
de mouvement d'une particule, la relation d'incertitude est habituellement exprimée de la façon
suivante :
∆x · ∆p ≥
~
2
avec ~ est la constante de Planck réduite.
(3.7)
Plus généralement, l'incertitude sur deux observables A et B qui ne commutent pas sur un état
quantique quelconque |φi ∈ H est donnée par :
∆A · ∆B ≥
hφ| [A, B] |φi
2
avec [A, B] est le commutateur de A et B .
(3.8)
pour quantier cette incertitude, nous introduisons la notion de la variance dénie par ∆X =
p
hX 2 i − hXi2 et on va rappeler que :
hφ| [A, B] |φi2 = 4I (hφ|AB|φi)2
hφ| {A, B} |φi
2
= 4R (hφ|A, B|φi)
avec I(x) est la partie imaginaire de x
2
avec R(x) est la partie réelle de x
(3.9)
donc en ajoutant les deux équations dans Eq.3.9 membre par membre, nous trouvons :
hφ| [A, B] |φi2 + hφ| {A, B} |φi2 = 4| (hφ|A, B|φi) |2
(3.10)
Or d'après l'inégalité de Cauchy-Schwartz on a :
| (hφ|A, B|φi) |2 ≤ | (hφ|A|φi) |2 · | (hφ|B|φi) |2
(3.11)
En remarquons d'après ces deux derniers résultats qu'on a :
hφ| [A, B] |φi2 ≤ 4| (hφ|A|φi) |2 · | (hφ|B|φi) |2
donc, en remplaçant A = A0 − hA0 i et B = B 0 − hB 0 i et en constatant également que :
2
| (hφ|X |φi) |2 = (hφ|X 0 − hX 0 i2 |φi)
avec X ∈ {A, B}.
(3.12)
(3.13)
Pour deux observables quelconques on trouve l'inégalité suivante :
∆A · ∆B ≥
hφ| [A, B] |φi
.
2
(3.14)
3.1. Exploration de la puissance du domaine quantique
64
On peut alors déduire de ce principe que lors de l'échange de l'information dans un protocole
de communication quantique, ce principe nous garantie qu'un observateur malveillant ne peut
pas mesurer sans introduire une erreur sur l'état envoyé. Donc, à partir de cette observation on
s'aperçoit la nécessité d'encoder l'information sur des observables qui ne commutent pas.
En eet, cette condition va nous permettre par la suite de proter de ce principe qui permet
la détection d'intervention illicite sur le canal. A titre d'indication, on rappelle que dans le cas
du protocole BB84, on utilise les bases {B0 = {0, π2 }; B1 = { π4 , 3π
4 }}. En eet, les observables
associées aux mesures dans chacune des bases B0 ou B1 ne commutent pas. Par conséquent, cela
assure qu'un espion va commettre nécessairement des erreurs en essayant de compromettre les
communications.
Par ailleurs, une telle erreur sera quantiable et imputable à la probabilité de sa discrétion. Ce
qui fait, lors de l'établissement de la communication, les correspondants légitimes peuvent alors
décider d'abandonner la procédure en cas de taux d'erreur excessif.
3.1.2 L'importance de la mesure en mécanique quantique
3.1.2.1 L'indéterminisme de la mesure
La mesure est l'ingrédient qui est à la fois essentielle et déterminant pour aborder l'implémentation du modèle quantique dans des réalisations pratiques. C'est grâce à la mesure que
nous pourrons accéder partiellement à l'information quantique. Donc pour mieux décrire cette
problématique,
on va se poser la question suivante : Soit un système quantique décrit par l'état
P
|φi = i αi |φii où les |φii sont l'ensemble des états quantiques possibles. À un instant donné,
on tente de savoir l'état de système via un appareil de mesure supposé capable d'accéder simultanément à l'ensemble des possibilités. Dans ce cas, on risque d'être en contradiction avec les
principes et les postulats de la mécanique quantique. Pour s'en convaincre, il sut de constater
qu'une telle mesure nous permettrait de cloner le système quantique et de reproduire tant de
copie qu'on désire. Ainsi, par mesure d'un système quantique, nous entendons l'action d'une
évolution non unitaire et irréversible.
La notion de la mesure
Pour décrire le processus de mesure tel qu'il est dénie par von Neumann [38, 39], on considère
un appareil de mesure M et le système quantique subissant la mesure S . Ainsi, l'opération de
mesure est régie par une corrélation macroscopique entre les deux systèmes. Cette observation
nous permet de décrire le système global avec des bases qui dépendent à la fois de l'appareil
choisi et du système à observer. Autrement, la réduction du paquet d'onde du S se fera conjointement entre la base de S et la base de M. Et inversement pour le système M, son nouvel état
après l'action de mesure sera elle aussi étroitement liée à la base de mesure. Mathématiquement
parlant, on considère une mesure comme étant un ensemble M = {Mm }, où m est un événement susceptible de se réaliser. L'action de mesure nous permet d'obtenir m avec une probabilité
†
p(m) = hψ| Mm
Mm |ψi . Par conséquent, un état quelconque |ψi devient :
Mm |ψi
|ψi −→ q
.
†
hψ| Mm Mm |ψi
P
P
P
†
De plus m M †m Mm = 12 ce qui impose m p(m) = m hψ| Mm
Mm |ψi = 1 où Mi = |iihi| est
la base calculatoire.
3.1. Exploration de la puissance du domaine quantique
65
3.1.2.2 Mesure Projective et base privilégiée
La notion de la base privilégiée a été soulevée la première fois par Zurek en 1981 [40, 41] qui
a mis le point de nuance entre ce problème et celui de l'unicité du résultat. Son raisonnement
s'orientait du sorte qu'il faut déterminer quels sont les résultats possibles avant de s'interroger
sur l'unicité du résultat. Par ailleurs, on constate que la notion de la base privilégiée et le résultat
de la mesure sont étroitement liées à la décomposition de Schmidt qui fournit une partie de la
réponse à propos de cette problématique.
3.1.2.3 trace partielle et Décomposition de Schmidt
1. Si ρAB est un état bi-parti, alors l'opérateur de densité représentant l'état de la partie A
est décrit par
ρA = trB ρAB
où
trB (|a1 iha2 | ⊗ |b1 ihb2 |) , |a1 iha2 | tr(|b1 ihb2 |) .
ou encore
XA
trB ρAB ,
( ⊗hi|)ρAB (A ⊗|ii)
i
où les |ii forment une base de l'espace de la partie B .
2.
Théoréme 3.2 (Décomposition de Schmidt) Si |ψi est un état pur bi-parti, AB , alors
∃
2 ensembles orthonormaux sur A et B , |iA i et |iB i, tels que
|ψi =
X
λi |iA i|iB i
i
où λi ∈+ et
Les λi sont appelés coecients de Schmidt.
3. Corollaire 3.2.1 Soit |ψi un état pur sur le système AB , alors
2
i λi
P
= 1.
ρA =
X
λ2i |iA ihiA |
et
i
B
ρ
=
X
λ2i |iB ihiB | .
i
4. Le nombre de valeurs propres diérentes dans la décomposition de Schmidt est appelé le
nombre de Schmidt.
5. Le nombre de Schmidt est préservé par des opérations locales sur le système A ou sur le
système B .
P
6. Si ρ, un état sur l'espace Q, a pour décomposition spectrale ρ = i λi iQ iQ , alors l'état
bi-partie, oùPR √
est le même espace que Q et où |iR i est une base orthonormale de l'espace
R, |QRi = i λi |iQ i|iR i est appelé purication de ρ et trR (|QRihQR|) = ρ.
7. Si |ψi est un état composé sur le système AB alors son nombre de Schmidt est égal à 1 si
et seulement s'il est un produit tensoriel de ρA et de ρB où ρA et ρB sont purs.
8. Si |ψi et |ϕi sont 2 états purs composites AB avec des coecients de Schmidts identiques,
alors ∃ U et V , des transformations unitaires, telles que |ψi = (U ⊗ V )|ϕi.
3.1. Exploration de la puissance du domaine quantique
66
Ce théorème prouve alors seulement l'existence d'une décomposition bi-orthogonale pour tout
état pur biparti interprété comme étant le résultat d'une pseudo-mesure. Par conséquent,
la condition d'unicité de cette décomposition est assurée par le fait que l'ensemble des λi
(coecients de Schmidt) sont distincts.
Ainsi, nous avons discuté l'origine du problème lié à l'unicité du résultat de la mesure
et de son relation avec la décomposition de Schmidt. Nous allons maintenant illustrer la
notion du modèle de base privilégiée. Supposons qu'on dispose d'un système quantique S ,
représenté par un dispositif expérimental décrit par la superposition de deux états quantique
possibles |φi0 et |φi1 et un appareil de mesure M dont le cadran admet deux positions "0" et "1".
Ainsi, si l'acheur nous indique la position "0" alors on conclut que le système S est dans
l'état |φi0 et inversement s'il indique "1" alors on sait que S est dans l'état |φi1 . Supposons
maintenant que l'appareil de mesure est initialement dans l'état |0i. De ce fait,la transformation
permettant de corréler le système S avec M peut se mettre sous la forme suivante :
US,M = |φ0 , 0ihφ0 , 0| + |φ1 , 1ihφ1 , 1| + |φ0 , 0ihφ1 , 1| + +|φ1 , 0ihφ0 , 1|.
Les vecteurs/valeurs propres de cette transformation sont :
0+1
0−1
|φ0 , 0i/1; |φ1 , 1i/1; φ0 , √
/1; φ1 , √
/1.
2
2
(3.15)
(3.16)
Cette constatation nous indique alors que cet appareil peut mesurer les quatre possibilités : |0i,
√ i, | 0−1
√ i. D'où l'ambiguïté de cette prédiction avec ce qui a été mesuré.
|1i, | 0+1
2
2
Toutefois, nous savons que ce qui a réellement été mesuré est l'observable
|φ0 , 0ihφ0 , 0| + |φ1 , 1ihφ1 , 1| puisque jamais nous n'observons un cadran en superposition
d'un état |0i et d'un état |1i à la fois. Ainsi, cette ambiguïté de la décomposition orthogonale
empêche donc d'interpréter la pseudo-mesure comme une mesure. Autrement dit, le mécanisme
de von Neumann ne permet pas de privilégier une base par rapport à une autre. D'autant plus,
une telle expérience montre que la mesure d'une quantité physique fournit un résultat unique.
De ce fait, cette observation pratique correspond au postulat de la "réduction du paquet
d'onde" [42]. Il peut paraître étonnant que toute évolution quantique obéisse à l'équation de
Schrödinger sauf l'évolution via un processus de mesure qui nécessite une description particulière. Par conséquent, le schéma de mesure de von Neumann demeure un essai raisonnable an
d'expliquer la mesure via l'interaction entre un système et un appareil de mesure. De ce qui
précède,
P on dénie alors la mesure "Projective" comme étant un opérateur Hermitien M tel que
M = m mPm où m, valeur propre correspondante, est un résultat possible de l'observation Pm
qui est un projecteur sur l'espace propre associé à m. Ainsi, la probabilité d'obtenir le résultat
m est dénie par p(m) = hψ| Pm |ψi. De ce fait, on dit que l'état du système après la mesure est
projeté sur la base de la mesure et son nouvel état sera déni comme suit :
P |ψi
pm
.
p(m)
(3.17)
3.1.2.4 mesure généralisée et POVM
Pour aborder la notion de mesure généralisée on va supposer qu'on dispose d'un système
quantique S dont l'état est décrit par un opérateur densité ρ. Donc, pour mesurer l'état de S
3.1. Exploration de la puissance du domaine quantique
67
on va le mélanger avec un système auxiliaire R, puis on va mesurer le système conjoint. Un tel
processus décrit la mesure généralisée [43]. Ainsi, pour étayer cette démarche on va agir sur le
système résultant H = HS ⊗ HR par l'observable O dont la décomposition spectrale est :
X
O=
λΠλ
(3.18)
λ
où Πλ est un projecteur. partant de l'hypothèse de départ stipulant que l'état composé des deux
systèmes {S, R} est initialement non intriqués, alors la probabilité P(λ) d'observer la valeur
propre λ est :
P(λ) = trSR Πλ ρSR
S
= trS trR ρS ⊗ 1R
12 ⊗ ρR Πλ
2
= trS ρS trR 1S2 ⊗ ρR Πλ
(3.19)
on pose
Eλ = trR
12 S ⊗ ρR Πλ
(3.20)
déni comme étant un opérateur linéaire sur HS . En plus, on constate que cet opérateur vérie
les propriétés suivantes :
1. Eλ est hermitien ⇐⇒ Eλ = Eλ †
2. Eλ est positif ⇐⇒ ∀ψ ∈ HS , hψ| Eλ |ψi ≥ 0
3. l'ensemble de {Eλ } vérie la relation de fermeture ⇐⇒
P
λ Eλ
= 1S2
En statuant ainsi, la mesure projective peut être élaborée par un ensemble de projecteurs Πλ
résultants de la décomposition spectrale de l'observable O. Tandis qu'une mesure généralisée est
dénie, quant à elle, par un ensemble d'opérateurs hermitiens Eλ agissant dans l'espace d'Hilbert
du système considéré HS . Par ailleurs, un tel processus de mesure est généralement connu sous
le nom de POVM (Positive Operator Valued Measure).
P Il est à noter également que'un POVM
est une collection {Eλ } d'opérateur
positifs tel que λ Eλ = 12 . Ceci implique que la mesure
√
{Mλ } associée √
est égale à { Eλ }. Donc, considérant le théorème de décomposition polaire, on a
∀Mλ , Mλ = Uλ Eλ où Eλ = Mλ †Mλ .
3.1.2.5 meilleure mesure pour distinguer deux états
Après avoir abordé la problématique de la mesure et introduire ses diérents processus, on
va essayer de déterminer quelle serait la mesure adéquate pour distinguer entre deux états d'un
système quantique. Ainsi, cette démarche nous sera par la suite très utile dans le cadre des protocoles de communication quantique an d'extraire l'information échangée entre les correspondants.
Pour ce faire, supposons que nous disposons d'une source quantique S produisant un état aléatoire choisi uniformémement et aléatoirement parmi les deux états possibles {ρ0 , ρ1 } ⊂ D(S)
(l'état ρ0 nous indique un 0 et l'état ρ1 un 1). Une telle source peut être représentée par une
combinaison linaire comme suit :
1
1
S = {( , ρ0 ), ( , ρ1 )}
2
2
(3.21)
Dans ce sens, la question qu'on se pose intuitivement, sera comment peut-on distinguer ; d'une
manière optimale ; entre les deux états possibles {ρ0 , ρ1 }. Pour répondre à cette question, on
3.1. Exploration de la puissance du domaine quantique
68
considère le couplé {Π0 , Π1 }, un POVM tel que Π0 + Π1 = 12 . Alors, la probabilité de succès ps
est obtenue directement par :
1
tr (ρ0 Π0 ) +
2
1
tr (ρ0 Π0 ) +
2
ps =
=
1
tr (ρ1 Π1 )
2
1
tr (ρ1 (1 − Π0 ))
2

1
1
tr (ρ0 Π0 ) + tr (ρ1 ) − tr (ρ1 Π0 )
2
2 | {z }
=
=1
1 1
1
+ tr (ρ0 Π0 ) − tr (ρ1 Π0 )
2 2
2
1 1
+ tr ((ρ0 − ρ1 )Π0 ) .
2 2
=
=
(3.22)
Ainsi, on pose ρ = ρ0 − ρ1 et soit {λi }i ∈ R l'ensemble des valeurs propres de cet opérateur
(les valeurs propres sont toutes réelles puisque ρ ∈ Her(S)). D'autant plus, on peut regrouper
l'ensemble des valeurs propres positives et négatives respectivement de sorte que, V + = {i | λi ≥
0} et V − = {i | λi < 0}. Par la décomposition spectrale, nous pouvons réécrire
X
X
ρ=
λi |fi ihfi | −
|λi | · |fi ihfi |.
(3.23)
i∈V −
i∈V +
P
De
plus,
on
a
tr(ρ
−
ρ
)
=
tr(ρ
)
−
tr(ρ
)
=
0
.
Alors,
nous
en
concluons
que
0
1
0
1
i∈V + |λi | =
P
P
P
i∈V + λi . Reprenons l'équation (3.22) et à
i |λi | = 2
i∈V − |λi | ou de façon équivalente,
l'aide de ces observations, nous aurons :
 
 
X
1 1   X
ps =
+
tr
λi |fi ihfi | −
|λj | · |fj ihfj | Π0 
2 2
+
−
i∈I
j∈I

 

 
X
1
1 1  X
+ tr
λi |fi ihfi | Π0  − tr 
|λj | · |fj ihfj | Π0  .
=
2 2
2
+
−
i∈I
j∈I
Nous constatons dans ce cas que pour maximiser cette probabilité, il sut alors de minimiser
le terme de la droite et de maximiser le terme de la gauche. En eet, ces optimisations sont
possibles de façon indépendante, car les sous-espaces {|fi i}i∈V + et {|fj i}j∈VP
− sont orthogonaux.
De ce fait, le maximum de ps est donc obtenu en posant simplement Π0 = i∈I + |fi ihfi |. Ainsi,
nous obtenons :


X
1 1
+
λi 
ps =
2 2
+
i∈V
!
1 1 X
+
|λi |
=
2 4
i
=
1 1
+ kρ0 − ρ1 k1 .
2 4
(3.24)
Notez que la mesure optimale est une observable sur l'espace S . Il est donc possible de distinguer
d'une façon optimale entre deux états quantiques en appliquant une observable plutôt qu'un
3.1. Exploration de la puissance du domaine quantique
69
POVM. L'équation (3.24) suggère de dénir la distance entre deux opérateurs hermitiens comme
la trace-norme de leur diérence. Par ailleurs, cette interprétation peut être vue comme étant le
maximal d'information qui puisse être extrait suite à l'exécution de la meilleure mesure possible
pour distinguer entre ces deux états.
Dénition 3.1 Soient
∆(ρ0 , ρ1 ),
ρ0 , ρ1 ∈ D(S).
est dénie par
∆(ρ0 , ρ1 ) :=
La trace-distance entre les opérateurs ρ0 et ρ1 , dénotée
kρ0 − ρ1 k1
tr (|ρ0 − ρ1 |)
=
.
2
2
La trace-distance est telle que 0 ≤ ∆(ρ0 , ρ1 ) ≤ 1 avec égalités lorsque ρ0 et ρ1 sont identiques ou
ont des supports orthogonaux respectivement.
Nous pouvons maintenant reformuler le résultat que nous venons d'établir en fonction de la
trace-distance.
Théoréme 3.3 (Helström) La meilleure mesure pour distinguer deux états
chacun produit avec probabilité 12 , réussi avec probabilité
ps =
ρ0 , ρ1 ∈ D(S),
1 + ∆(ρ0 , ρ1 )
1 kρ0 − ρ1 k1
= +
.
2
2
4
La mesure optimale peut être choisie comme une observable.
Autrement, le résultat obtenu nous permet de conclure que dans le cas du protocole BB84 quand
Alice envoie aléatoirement les deux états |0i et |1i, la meilleur mesure ore à Bob une probabilité
de succès de %75.
Alice
0
0
1
1
Bob
Bonne base (0)
Mauvaise Base (0,1)
Bonne base (0)
Mauvaise Base (0,1)
Prob
1
4
1
8
1
4
1
8
Table 3.1 la probabilité de distinguer entre |0i et |1i dans le protocole BB84
Ainsi, la probabilité de distinguer correctement entre |0i et |1i suite à cette mesure est de 0.75.
3.1.2.6 Mesures successives
Après avoir discuté de la notion de la mesure et la construction optimale d'un processus de
mesure, nous abordons dans ce paragraphe la problématique liée à l'ordre d'exécution de cette
mesure et son impact sur le résultat obtenu. En eet, la théorie classique des statistiques sur les
résultats de mesure demeure valable dans le cas des observables qui commutent. Par contre, on
observe des déviations statistiques importantes qui apparaissent dans le cas ou ces observables
ne commutent pas.
Ainsi, cette propriété importante est au c÷ur de la sécurité et des fondements de la preuve de la
robustesse des protocoles quantique face aux interventions d'une tierce partie non-autorisée sur
le canal. En général, dans la théorie quantique, deux observables M1 et M2 n'ont pas les même
probabilités de résultat si M1 est exécuté avant M2 que si M2 est exécuté avant M1 .
3.1. Exploration de la puissance du domaine quantique
70
Lemme 3.1 Soit M1 et M2 deux observables sous forme d'opérateurs hermitiens qui commutent.
Alors la probabilité (m1 , m2 ) lorsque M1 et M2 sont mesurées est indépendante de l'ordre dans
laquelle est exécutée cette mesure.
Comme [M1 , M2 ]=0, alors M1 et M2 sont simultanément diagonalisables.
Cela revient à dire
P
qu'on peut trouver une base {|vi i}i orthonormée dans S où M1 = i ri |vi ihvi | ∈ L(S) et M2 =
P
j sj |vj ihvj | ∈ L(S). Ainsi, soit ρ ∈ D(S) un état arbitraire de la source S . Vériant l'hypothèse
que l'ordre d'exécution des observables lors de la mesure n'est pas important dans le cas où ils
commutent.
Pour ce faire, on suppose qu'on applique M1 d'abord suivi de M2 ensuite. Ainsi,
pour calculer
P
ces probabilités pour un résultat r ∈ {ri }i arbitraire, nous dénissons Pr = i:ri =r |vi ihvi |. Par
conséquent, nous avons,
pr (ρ) = tr (Pr ρ) .
Et l'état résultant suite à cette action est,
ρr =
Pr ρPr
.
pr
de plus, enP
exécutant M2 , nous observons un résultat arbitraire s ∈ {sj }j via l'action du projecteur Qs = i:si =s |vi ihvi | sur l'état ρr avec une probabilité pr,s (ρ). Cette probabilité est le résultat
de l'action combinée de M1 pour obtenir r et M2 pour avoir s successivement (autrement, on dit
que ρ est observé d'abord par M1 et ensuite par M2 ). Ainsi, nous avons :
pr,s (ρ) = pr tr (Qs ρr )
Pr ρPr
= pr tr Qs
pr
= tr (Qs Pr ρPr )
X X
=
tr (|vi ihvi | · |vj ihvj |ρPr )
i:si =s j:rj =r
=
X X
tr (|vj ihvj | · |vi ihvi |ρPr )
(3.25)
i:si =s j:rj =r
= tr (Pr Qs ρPr )
= tr (Pr Qs ρ)
= tr (ρPr Qs )
= tr (ρPr Qs Qs )
= tr (ρQs Pr Qs )
(3.26)
= tr (Pr Qs ρQs )
= ps,r (ρ),
(3.27)
où (3.25) est obtenue parce que {|vi i}i est une base orthonormée : Pr et Qs commutent. (3.26)
est obtenue encore une fois parce que Pr et Qs commutent. Les autres égalités sont obtenues
par la cyclicité de la trace. L'équation nale (3.27) est la probabilité d'obtenir les résultats s et
r lorsque M2 est mesuré en premier et ensuite M1 .
Une conséquence immédiate du lemme 3.1 c'est que la distribution observée pour une population
donnée n'est absolument aectée par l'ordre d'observation. En eet, chaque population existe
objectivement et indépendamment de l'autre population, quoiqu'on répète l'expérience avec
n'importe quel ordre de mesure. Par contre, plusieurs populations usuelles en mécanique
3.1. Exploration de la puissance du domaine quantique
71
quantique n'ont pas cette propriété. Notamment, le qubit encodé dans la polarisation des
photons, qui est fréquemment utilisée dans la communication quantique.
En outre, soit la première population de distribution du nombre de |0ih0| observés en mesurant chacun des qubits avec l'observable Z . de même, on considère la seconde population est la
distribution du nombre de |+ih+| observés en mesurant chacun des qubits avec l'observable X .
Sachant que ces deux observables ne commutent pas, alors on ne peut pas espérer d'existence et
d'action indépendantes l'une de l'autre. En eet, si nous mesurons Z en premier sur l'état |0i
alors |0ih0| sera toujours observé. Par contre, si X est mesuré en premier, le résultat |0ih0| n'a
maintenant qu'une probabilité 12 d'apparaitre. On dit que ces deux observables sont incompatibles. Alors cette propriété ,elle aussi, joue un rôle fondamentale dans la sécurité des protocoles
quantique. En eet, dans un processus de communication normale, si Alice envoie à Bob des
états quantiques encodés suivant Z et X aléatoirement, et si on suppose que le canal quantique
est parfait, alors en principe les seuls déviations statistiques observées, en l'occurrence les erreurs
de choix de la base eectué par Bob, qui doivent être constatées. Donc tout écart mesuré hors
de ce seuil est généralement imputable à une intervention illicite sur le canal.
3.1.3 La quantication de l'information
3.1.3.1 l'information classique et l'entropie de Shannon
L'entropie de Shannon, notée H(X), cherche à quantier l'incertitude quant au résultat
d'une expérience aléatoire. Soit X une variable aléatoire avec distribution {(x, px )}x∈X . Posons
quelques axiomes pour une mesure H(X) de l'entropie associée à la réalisation de la variable
aléatoire X :
1. Positivité : H(X) ≥ 0,
2. H(X) est continue,
P
3. Additivité forte : H(X, Y ) = H(X) + H(Y |X) où H(Y |X) = x px H(Y |X = x),
1
1
1
4. H n1 , n1 , ..., n1 ≤ H n+1
, n+1
, ..., n+1
.
Shannon montra qu'une seule mesure peut satisfaire ces axiomes :
Théoréme 3.4 (Shannon) La seule mesure qui satisfait les axiomes 2, 3 et 4 à une constante
près est
H(X) = −
X
px log2 px
x
L'unité de mesure de H(X) lorsque le log · est pris en base 2 est le bit. Ainsi, nous présentons
quelques propriétés fondamentales de cette quantité :
1. H(X, Y ) = H(Z) où H(Z) est la distribution de densité conjointe donnée par pxy (x, y),
2. H(X|Y ) = H(X, Y ) − H(Y ) et H(X|Y ) est appelée entropie conditionnelle de X étant
donné Y .,
3. La règle de la chaîne :
H(X, Y ) = H(X) + H(Y |X) = H(Y ) + H(X|Y ) .
Le résultat qui a fait de la théorie de l'information un instrument prépondérant pour l'analyse
des problèmes liés à la transmission de l'information est le théorème de codage de Shannon. De
ce fait, ce théorème stipule que l'entropie d'une variable aléatoire est équivalente à la quantité
de bits qui doit être transmise sur un canal parfait pour déterminer avec certitude la valeur de
X :
3.1. Exploration de la puissance du domaine quantique
72
Théoréme 3.5 (Codage de Shannon) Soit une source X , alors il est possible de transmettre
la réalisation de X par un code binaire C tel que pour n instances de X ,
C(x1 , x2 , ..., xn )
' H(X)
n
et le décodage se fait avec probabilité d'erreur
pε (n) → 0, n → ∞ .
D'autre part, si pour δ > 0
C(x1 , x2 , ..., xn )
< H(X) − δ
n
alors
pε (n) → 1, n → ∞ .
Autrement dit, le codage de Shannon est le seul codage asymptotiquement optimal qu'on peut
espérer.
Associée ce principe à l'incertitude, nous pouvons donc dénir une mesure d'information d'une
variable aléatoire que donne sur une autre. En l'occurrence, l'information que Y donne sur X
peut être dénie comme la réduction d'incertitude sur X que la connaissance de Y donne.
Dénition 3.2
L'information mutuelle
partir de l'entropie.
est une réduction d'incertitude qui peut être dénie à
I(X; Y ) = H(X) − H(X|Y )
X
pxy (x, y)
=
pxy (x, y) log
.
px (x)py (y)
x,y
de ce fait, cette quantité elle-aussi satisfait les propriétés suivantes :
1. I(X; Y ) = I(Y ; X),
2. I(X; Y ) = H(X) + H(Y ) − H(X, Y ),
3. H(X|Y ) ≤ H(X),
4. H(X, Y ) ≤ H(X) + H(Y ).
3.1.3.2 Entropie de Von Neumann
Dans ce paragraphe, nous allons maintenant aborder la possibilité d'extrapoler la notion d'entropie dans le domaine quantique. Ainsi, on considère que l'incertitude d'un état ρ ∈ D(A) et
son entropie associée comme étant l'incertitude minimale associée au résultat d'une mesure de
Von Neumann sur état ρ. Donc, par la décomposition spectrale, nous avons
X
ρ=
λi |fi ihfi | ,
i
avec
i λi = 1. Par conséquent, il est évident de constater que la mesure de Von Neumann
{|fi ihfi |}i est celle qui minimise l'entropie du résultat d'une mesure complète appliquée à ρ. Par
contre, il semble que tout état pur |ψi n'a pas d'incertitude associée au résultat de la mesure
{|ψihψ|, . . .} du fait que le résultat |ψihψ| sera obtenu avec certitude :
P
3.1. Exploration de la puissance du domaine quantique
Dénition 3.3
L'entropie de Von Neumann, S(ρ),
associée à ρ =
73
P
i λi |fi ihfi |
est dénie par
S(ρ) = H(λ1 , λ2 , . . . , λn ) .
Nous dénotons également S(ρ), pour ρ ∈ D(A), par S(A)ρ . En général, si ρ ∈ D(A ⊗ B) alors
S(A)ρ := S(trB (ρ)). En eet, si l'état ρ est désigné sans ambiguïté dans un contexte donné, alors
nous écrirons S(A) et S(B), par soucis de simplication, S(A)ρ et S(B)ρ respectivement.
Lemme 3.2 Pour |ψi ∈ A ⊗ B un état pur arbitraire, nous avons
S(A)|ψihψ| = S(B)|ψihψ| .
ce lemme est une conséquence évidente de la décomposition de Schmidt. En eet, pour tout état
pur biparti, les états correspondant à chacune des parties ont la même entropie. ainsi, la forme
de Schmidt nous donne :
Xp
|ψi =
λi |ei i|fi i .
i
Nous avons,
ρA =
X
hfj |(|ψihψ|)|fj i =
ρB =
λi |ei ihei | ,
i
j
et de façon similaire :
X
X
hej |(|ψihψ|)|ej i =
j
X
λi |fi ihfi | .
i
donc, on constate que les valeurs propres de ρA = trB (|ψihψ|) et ρB = trA (|ψihψ|) ont les mêmes
valeurs propres avec les mêmes facteurs de multiplicités, ce qui donne le résultat recherché :
S(A)|ψihψ| = S(B)|ψihψ| .
Comme son homologue classique, l'entropie de Von Neumann elle-aussi jouit de quelques propriétés utiles :
1. ∀ρ ∈ D(A), S(ρ) ≥ 0,
P
2. si ρ = i n1 |ei ihei | où les {|ei i} sont orthogonaux,
1
1 1
S(ρ) = H
, , ...,
= log n ,
n n
n
3. Soit la distribution d'états {(pi , ρi )}i ,
!
X
X
pi ρi ≤ H (p1 , p2 , ..., pn ) +
pi S(ρi ) ,
S(ρ) = S
i
i
4. S(ρ ⊗ σ) = S(ρ) + S(σ).
Par ailleurs, nous énonçons le théorème de Schumacher [44] l'équivalent du théorème de codage
de Shannon dans un contexte quantique :
Théoréme 3.6 (Schumacher) Soit B une source d'états quantiques purs {(pi , |φi i)}i . Alors B
peut transmettre l'information de façon asymptotiquement parfaite en transmettant S(ρ) qubits
en moyenne par utilisation du canal, où
ρ=
X
pi |φi ihφi | .
i
Par contre, la transmission de S(ρ) − ε qubits via un canal quantique résultera en une probabilité
d'erreur de décodage pe ' 1 lorsque le nombre d'usages tend vers l'inni.
3.1. Exploration de la puissance du domaine quantique
74
L'information de Von Neumann : entropie conditionnelle
Considérons maintenant un système bipartite ρAB ∈ D(A ⊗ B) avec
S(AB) := S(ρAB ), S(A) := S(trB (ρAB )) et S(B) := S(trA (ρAB )) .
Dénition 3.4 Nous dénissons l' entropie conditionnelle de Von Neumann de la même façon
que dans le cas classique :
S(A|B) = S(AB) − S(B) .
L' information mutuelle de Von Neumann est dénie de la même façon que l'information de
Shannon, comme une réduction d'incertitude :
S(A; B) = S(A) − S(A|B) = S(A) + S(B) − S(AB) .
On montre facilement que l'information mutuelle est symétrique, c'est à dire que S(A; B) =
S(B; A). Utiliser les mêmes dénitions pour l'entropie conditionnelle et l'information mutuelle de
Von Neumann ne garantie pas que leur interprétation soit similaire. L'exemple suivant montre
|00iAB +|11iAB
√
une diérence importante entre le cas classique et quantique. Soit |β00 iAB =
, un
2
état de Bell. Nous avons,
S(A|B) = S(AB) − S(B)
= S(|β00 ihβ00 |) − S(12 /2)
= 0−1
= −1 .
Donc, l'information conditionnelle de Von Neumann peut devenir négative. Ceci est tout simplement impossible avec l'entropie conditionnelle de Shannon. De ce fait, il existe une interprétation
qui permet de donner un sens au cas où l'entropie conditionnelle est négative c'est que le système
quantique enferme une corrélation de type quantique communément appelée "l'intrication". Les
théorèmes suivants donnent des propriétés importantes de l'entropie, de l'entropie conditionnelle
et de l'information de Von Neumann. Le théorème suivant montre que l'entropie du résultat
d'une mesure de Von Neumann est toujours au moins celle de l'état observé.
Théoréme 3.7 Soit
une mesure
de Von
P
P Neumann sur un état ρ ∈ D(A) quelconque
pour lequel #A = N . Posons ρ0 = i Pi ρPi = i tr(ρPi ) Pi , l'état classique correspondant au
résultat i ∈ {1, . . . , N } avec probabilité tr(ρPi ). Alors,
{Pi }N
i=1
S(ρ) ≤ S(ρ0 ) ,
avec égalité si et seulement si Pi et ρ commutent pour chaque i.
La propriété suivante établit la sous-additivité forte de l'entropie de Von Neumann.
Théoréme 3.8 (Sous-additivité forte) Pour tout état
vantes sont satisfaites :
ρ ∈ D(A ⊗ B ⊗ C),
S(A) + S(B) ≤ S(AC) + S(BC)
et
S(ABC) + S(B) ≤ S(AB) + S(AB) + S(BC) .
les identités sui-
3.1. Exploration de la puissance du domaine quantique
75
Le théorème suivant donne trois conditions sur l'évolution de l'entropie conditionnelle et de
l'information mutuelle pour les états à trois parties lorsque certaines actions y sont appliquées.
Ces propriétés seront utiles pour prouver le théorème de Holevo (théorème 3.10).
Théoréme 3.9 Soit ρ ∈ D(A ⊗ B ⊗ C) un état quelconque. Alors,
1.
S(A|BC) ≤ S(A|B) .
2.
S(A; BC) ≥ S(A; B) .
3. Soit E : L(B) → L(B0 ) une opération CPPT et posons σ = trC (ρ). Nous avons,
S(A; B 0 )(1A ⊗E)(σ) ≤ S(A; B)σ .
Montrons l'identité 1. L'inégalité S(A|BC) ≤ S(A|B) est équivalente à S(ABC) − S(BC) ≤
S(AB) − S(B), par dénition de l'entropie conditionnelle. Et cette dernière inégalité est équivalente à S(ABC) + S(B) ≤ S(AB) + S(BC), qui est vériée par la sous-additivité forte (théorème 3.8).
Montrons maintenant l'identité 2. Par dénition de l'information mutuelle, l'inégalité S(A; BC) ≥
S(A; B) est équivalente à S(A) − S(A|BC) ≥ S(A) − S(A|B), qui se réduit à S(A|BC) ≤ S(A|B).
Cette dernière est vériée par l'identité 1.
Montrons nalement l'identité 3. Puisque E est une opération CPPT, le théorème de Kraus nous
dit qu'il existe une isométrie U ∈ L(B, B 0 ⊗ C) pour laquelle :
E(σ) = trC (U σU ∗ ) .
Nous avons donc que S(A; B)σ = S(A; B 0 C)E(σ) , car les isométries ne changent pas les valeurs
propres de l'opérateur sur lequel elles sont appliquées. De plus, S(A; B 0 C)E(σ) ≥ S(A; B 0 )E(σ) ,
par l'identité 2.
La borne de Holevo :
Le théorème de Holevo donne la quantité d'information classique accessible dans un état
quantique. Si une source quantique transmet un état ρ(X) ∈ D(A), pour X une variable
aléatoire uniformément distribuée dans une ensemble discret, alors le théorème d'Holevo borne
supérieurement la quantité d'information à propos de X qu'une mesure quantique de ρ(X)
puisse révéler.
Théoréme 3.10 (Holevo) Supposons qu'Alice transmet {(px , ρ(x))}Nx=1 à Bob. Supposons que
Bob applique un POVM {Πy }y sur le système reçu pour déterminer la variable aléatoire X =
{1, 2, ..., N } à partir du résultat Y de son POVM. Alors,
I(X; Y ) ≤ S(ρ) −
X
x
où ρ =
P
x px ρ(x)
.
px S(ρ(x)) ,
3.1. Exploration de la puissance du domaine quantique
76
Considérons l'état cojoint de trois registres suivant :
X
px |xihx|A ⊗ ρ(x)B ⊗ |0ih0|Q ,
σABQ =
x
qui possède 3 registres : le choix de X fait par Alice, le système quantique correspondant transmis
à Bob et un registre initialement dans l'état |0ih0|. L'état σAB est appelé état cq parce qu'il inclus
un registre c lassique ainsi qu'un autre registre qui contient l'état q uantique correspondant. Soit
{Πy }y le POVM que Bob applique ainsi que sa réalisation Πy = My∗ My pour chaque résultat
possible y . Considérons maintenant l'opération quantique E : L(A⊗ B ⊗ Q) → L(A⊗ B 0 ⊗Q0 ) qui
mesure le registre B et range le résultat classique dans le registre Q. Le super-opérateur E(·) est
une réalisation de la mesure du registre B selon {Πy }y par une opération quantique qui préserve
la trace. Les registres B 0 et Q0 indiquent les registres B et Q respectivement après l'action de la
mesure. Nous avons :
X
px |xihx|A0 ⊗ My∗ ρ(x)B0 My∗ ⊗ |yihy|Q0 .
E(σ) =
x,y
L'information mutuelle quantique entre les registres A et B de σ peut être bornée inférieurement
par l'information mutuelle de ces registres après la mesure :
(3.28)
S(A; B)σ = S(A; BQ)σ
0
0
0
0
0
(3.29)
≥ S(A ; B Q )E(σ)
(3.30)
≥ S(A ; B )E(σ) ,
où on obtient (3.28) parce que le registre Q est initialement dans l'état pur |0ih0|, on obtient
(3.29) et (3.30) par les identités 3 et 2 respectivement du théorème 3.9. Pour conclure la preuve,
nous montrons que S(A; B) ≥ S(A0 ; B 0 ) correspond
à l'énoncé à prouver.
P
Montrons d'abord que S(A; B)σ = S(ρ) − x px ρ(x). Par dénition,
S(A; B)σ = S(A)σ + S(B)σ − S(AB)σ .
Pour chacune de ces parties, nous avons :
S(A)σ = H(X),
S(B)σ = S(ρ) et S(AB)σ = H(X) +
X
px S(ρ(x)) .
x
Donc
S(A; B)σ = H(X) + S(ρ) − H(X) −
X
px S(ρ(x))
x
= S(ρ) −
X
px S(ρ(x)) .
x
Montrons maintenant que S(A0 ; Q0 )E(σ) = I(X; Y ). Par dénition de l'information mutuelle,
S(A0 ; Q0 )E(σ) = S(A0 )E(σ) + S(Q0 )E(σ) − S(A0 , Q0 )E(σ) .
L'état des registres A0 et Q0 est donné par :
X
trB0 (E(σ)) =
px |xihx|A0 tr ρ(x)My∗ My |yihy|Q0
x,y
=
X
px py|X=x |xihx|A0 ⊗ |yihy|Q0
x,y
=
X
x
px |xihx|A0 ⊗
X
y
py|X=x |yihy|Q0 .
3.1. Exploration de la puissance du domaine quantique
Donc,
S(A0 ) = H(X),
77
S(Q0 ) = H(Y ) et S(A0 Q0 ) = H(X) + H(Y |X) .
Ainsi,
S(A0 ; Q0 ) = H(X) + H(Y ) − H(X) − H(Y |X)
= H(Y ) − H(Y |X)
= I(X; Y ) .
Le corollaire concernant la borne d'Holevo est utile dans le contexte de la cryptographie. En
eet, ce corollaire permet d'établir la quantité d'information accessible à un adversaire sur une
clé partagée par Alice et Bob obtenue en mesurant des demi-paires EPR. De ce fait, l'information
accessible à propos du résultat d'une mesure appliquée sur une partie d'un état pur est bornée
par l'entropie de Von Neumann de n'importe quelle partie de cet état.
Corollaire 3.10.1 Supposons qu'Alice et Ève partagent un état pur |ψi ∈ A ⊗ E . Supposons
qu'Alice mesure sa partie avec le POVM {Πx }x pour obtenir le résultat X . Ève veut maximiser
son information à propos de X en appliquant un POVM {∆y }y pour obtenir Y . Alors,
I(X; Y ) ≤ S(A)|ψihψ| = S(E)|ψihψ| .
Écrivons la mesure d'Alice sous forme d'opérateur CPPT A : L(A) → L(A0 ⊗ X ) déni pour
ρ ∈ D(A) par,
X
A(ρ) =
Mx ρA Mx∗ ⊗ |xihx|X .
x
L'opération A appliquée sur le registre A de l'état |ψi résulte en
X
(A ⊗ 1E )(|ψihψ|) =
|xihx|X ⊗ (Mx ⊗ 1E )|ψihψ|(Mx ⊗ 1E )∗
x
=
X
px |xihx| ⊗ ρ(x) ,
x
où pxP= tr(|ψihψ|(Mx ⊗1E )∗ (Mx ⊗1E )) et ρ(x) = trA ((1A ⊗Mx )|ψihψ|(1A ⊗Mx )∗ )/px . En posant
ρ = x px ρ(x), le théorème d'Holevo nous permet d'écrire pour chaque POVM {∆y }y que :
X
I(X; Y ) ≤ S(ρ) −
px ρ(x) ≤ S(ρ) .
x
P
En eet, ρ =
x px ρ(x) est l'état d'Ève après l'application du POVM {Πx }x d'Alice. Etant
donné que la mesure d'Alice ne modie pas le système d'Ève et que celui-ci est dans l'état
trA (|ψihψ|), nous avons ρ = trA (|ψihψ|) et donc, S(ρ) = S(E)|ψihψ| . La preuve est complétée en
observant que S(E)|ψihψ| = S(A)|ψihψ| , en utilisant le lemme 3.2.
Application : Cas du BB84
Pour mettre en application le corollaire précédent, nous supposons un scénario idéal permettant
à Alice et Bob de partager une clé secrète de n bits en présence d'une intervention illicite sur
le canal de transmission eectuée par Eve. Pour ce faire, admettant qu'Alice et Bob partagent
l'état pur |ψiAB = |β00 i⊗n
AB :
X
|ψiAB = 2−n/2
|xiA ⊗ |xiB .
x∈{0,1}n
3.1. Exploration de la puissance du domaine quantique
78
Maintenant, supposons qu'Alice et Bob mesurent chacun de son côté les n qubits dans la
base de calcul {|xihx|}x∈{0,1}n . Donc, soient KA , KB ∈ {0, 1}n les variables aléatoires pour les
résultats de la mesure d'Alice et de Bob respectivement. En l'absence du bruit, nous savons
que Pr (KA = KB ) = 1 et Pr (KA = x) = 2−n , pour chaque x ∈ {0, 1}n . Ainsi, Alice et
Bob partagent une clé identique et celle-ci est uniformément distribuée dans {0, 1}n . Toutefois, qu'elle serait la quantité d'information accessible à un adversaire Ève à propos de KA ou KB .
En eet, le corollaire 3.10.1 permet d'y répondre directement, malgré que si on considére que
l'espion est doté d'une puissance maximale, nous savons que l'information dont il peut disposer
est bornée par ce corollaire. Par conséquent, nous pouvons supposer qu'Ève possède dans sa
mémoire quantique tous les qubits de l'Univers qui ne sont pas en possession d'Alice et de Bob.
Nous pouvons supposer aussi que l'Univers est un système fermé, ceci procure plus de puissance à
Ève. Ainsi, étant donné que |ψi est un état pur partagé seulement entre Alice et Bob et que l'état
de l'Univers est considéré pur, donc l'état globale décrivant cette situation sera de la forme :
|ψU iABE = |ψiAB ⊗ |φiE .
(3.31)
Le corollaire 3.10.1, nous exige que toute mesure executée par Eve sur son système produit un
résultat Y qui satisfait à l'inégalité suivante :
I(KA ; Y ) ≤ S(AB)|ψU ihψU | = S(E)|ψU ihψU | = 0.
(3.32)
par conséquent, la clé partagée entre Alice et Bob est donc une clé cryptographique parfaitement
secrète. Par ailleurs, nous pouvons également considérer qu'Alice et Bob pourraient également
avoir conance en leur clé si S(E)|ψU ihψU | ≤ 2−αn , α > 0. Dans ce cas, on dit que la clé partagée
est α sûre et que l'information accessible à Ève sur la clé d'Alice et Bob serait négligeable au
lieu d'être nulle.
3.1.4 L'intrication
Dans cette section, nous introduisons des corrélations présentes dans certains états quantiques
appelés "intriqués" [45] et nous étudions par la suite la nature et les propriétés physiques de
l'intrication. Ainsi, on observe ce type de corrélation purement et intrinsèquement quantique que
dans des systèmes quantiques à plusieurs qubits. D'autant plus, on va constater que ces corrélations n'ont pas d'équivalent classique, en d'autres termes, elles ne peuvent pas être décrites par
des distributions de probabilité classiques. Par conséquent, l'utilisation du terme "intrication"
serait exclusivement resérvé pour désigner ce type spécial de corrélations dont la nature est purement quantique.
De ce fait, nous allons tout d'abord discuter le prototype des états intriqués pour deux qubits,
notamment les états de Bell. Nous abordons ensuite le sujet des inégalité de Bell [46]. Ces inégalités, qui furent d'abord proposées par John Bell (1964), donnent un critère d'intrication qui
peut être vérié expérimentalement. Ces expériences, qui furent d'abord réalisées par Aspect
et Grangier [47], puis dans divers autres contextes, conrment les prédictions théoriques de la
mécanique quantique.
L'intrication est considérée comme une ressource capitale dans le traitement quantique de l'information. Ainsi, elle joue un role primordial dans plusieurs protocoles pour la communication
quantique, la téléportation et le codage dense. Dans cette optique, nous décrirons une applications pertinente, sous sa forme la plus simpliée : la téléportation. Il est à noter que, l'intrication
a également été utilisée dans des protocoles de cryptographie quantique comme le protocole
d'Ekert 1991 [35].
3.1. Exploration de la puissance du domaine quantique
79
3.1.4.1 dénition de l'intrication
Au c÷ur de la théorie de l'information quantique, l'intrication est un phénomène étrange et
nouveau. Cette corrélation quantique décrit, en fait, le "jumelage parfait" de deux particules
subatomiques, pour former un seul état quantique commun. L'engouement actuel pour ce phénomène est continuellement croissant, car il s'avère fondamental pour le traitement quantique de
l'information et de la communication.
Certes, l'intrication se manifeste facilement au niveau microscopique. Toutefois, les expériences
qui s'eorcent de le prouver nécessitent souvent des conditions diciles à atteindre dans les laboratoires usuels. D'autant plus, décrire un protocole expérimental capable de démontrer l'intrication quantique au niveau macroscopique via des systèmes contrôlables est relativement dicile à
monter. Néanmoins l'intrication est largement débattu de point de vue théorique. Dans ce cadre,
considérons l'état des deux qubits |qi1 = α|0i + β|1i et |qi2 = γ|0i + δ|1i avec (α, β|, γ, δ) ∈ C 4 .
La fonction d'onde décrivant le produit tensoriel |qi1 ⊗ |qi2 est l'état global des deux particules,
qu'on peut mettre sous la forme suivante :
|qi1 ⊗ |qi2 = αγ|00i + βγ|10i + αδ|01i + βδ|11i
(3.33)
alors, si |qi1 , |qi2 ∈ H1 , H2 donc |qi1 ⊗ |qi2 ∈ H1 ⊗ H2 . On constate alors qu'un état arbitraire
|φi de H avec Dim(H) = 4 est de la forme :
|φi = a|00i + b|10i + c|01i + d|11i
(3.34)
avec (a, b, c, d) ∈ C 4 , n'est pas obligatoirement de la forme Eq.3.33. Ainsi, on fait ressortir la
condition suivante :
a = αγ,
b = βγ,
c = αδ,
d = βδ
(3.35)
pour que les deux formes soient équivalentes.
Toutefois, cette condition n'est à priori aucune raison d'être valide tout le temps. Autrement,
si par exemple on a ”b = c = 0”, alors |φi ne peut pas se mettre sous une forme factorisable. On
dit alors, que le système est dans un état intriqué. Il est clair que lorsqu'un système est dans un
tel état, les propriétés du système global sont dénies, mais celles de chacun des sous-systèmes
ne le sont pas.
Par exemple, lorsqu'on a un système composé d'une paire d'électrons, il est possible de
préparer un système intriqué de sorte que les deux électrons aient des spins opposés et donc
un état de spin total nul, sans que l'on puisse dire dans quelle direction pointe chaque spin
individuel. Ainsi, quand on mesure le spin de l'un des électrons de la paire, on trouve toujours
que l'autre est dans l'orientation opposée. Tout se passe comme si une mesure d'un des spins,
opérée le long d'un axe, obligeait l'autre spin à prendre la valeur opposée.
Cette opération de concertation mutuelle des deux spins est relativement mystérieuse. En
outre, la mesure du spin de l'un des particule dans la direction horizontale n'empêche pas
d'obtenir aussi un résultat dans la direction verticale. Ce qui suggère que les particules n'ont
pas d'axes de rotation privilégié. En un mot, les résultats des mesures eectuées sur les deux
électrons sont corrélés d'une façon que la physique classique ne parvient jamais à expliquer.
Par conséquent, cette inaptitude de la théorie classique fait de l'intrication des états l'une
des spécicités de la théorie quantique. Il est cependant important de souligner que, comme
3.1. Exploration de la puissance du domaine quantique
80
un système composé de nombreux particules est dicile à isoler de l'environnement. Alors, ses
constituants ont une probabilité bien plus grande d'interagir avec des particules non contrôlées de l'environnement, ce qui détruit leurs interconnexions originales. Autrement dit, dans les
termes servant à décrire la décohérence, trop d'informations s'échappent du système vers l'environnement. Ce qui confère au système un comportement classique, non quantique. On comprend
donc que lorsqu'on cherchent à exploiter l'intrication, on doit songer d'abord à la préserver et la
protéger.
3.1.4.2 détection et mesure de l'intrication
Comme c'est le cas avec toute ressource physique, il est primordial tout d'abord d'expliciter
ce phénomène. Ensuite, il serait judicieux d'arriver à quantier l'intrication via des outils de
mesure pour estimer ; sur la base d'une échelle physique ; le degré d'intrication dans un état
quantique donné. Et ce, dans l'objectif de comprendre quels sont les processus permettant de
transformer, modier ou perturber l'état de l'intrication. Ainsi, dans cette section, on n'aura à
traiter le cas des états bipartis maximalement intriqué.
les états de Bell :
Le caractère surprenant des états intriqués a pour la première fois été souligné par Einstein,
Podolsky et Rosen dans un article de 1935 [45] qui tentait de montrer à la fois que la mécanique
quantique était incomplète et qu'elle est également diérente de la théorie réaliste. Dans cet
article, les auteurs décrivent une expérience de pensée connue par le paradoxe EPR. Dans cette
optique, des états intriqués imaginés par ce trio ont, depuis, été observés en laboratoire et leur
comportement correspond à celui que prévoit la théorie quantique.
En eet, l'état intriqué présenté dans Eq.3.34 avec ”a = d = 0” et ”c = b = √12 ” n'est pas
arbitraire. Du fait qu'il est l'un des quatre états de Bell possibles représentants l'état d'un système à deux particules intriquées, pouvant être proches comme elles peuvent être séparées d'une
grande distance. Mais leurs états quantiques sont parfaitement corrélés. Nous avons mentionné
auparavant que |wi ∈ A ⊗ B ne peut pas s'écrire toujours comme |wi = |ui ⊗ |vi pour |ui ∈ A
et |vi ∈ B . Ainsi, on dénit les états suivants, appelées états de Bell, ayant cette propriété sur
(C2 ≈ H) ⊗ (C2 ≈ H) = H2 :
1. |β00 i =
2. |β01 i =
3. |β10 i =
4. |β11 i =
√1 (|00i
2
1
√ (|00i
2
√1 (|01i
2
√1 (|01i
2
+ |11i),
− |11i),
+ |10i) et
− |01i).
La notation est choisie selon la règle qui suit :
1
|βxy i = √ (|0yi + (−1)x |1ȳi).
2
(3.36)
où ȳ indique la négation du bit y. Ainsi, nous vérions facilement que ces quatre états sont
normés et réciproquement orthogonaux, donc ils forment une base orthonormée sur H2 . En eet,
pour tout |ψi ∈ H2 de la forme Eq.3.34, on peut l'exprimer comme suit :
|ψi = |β00 ihβ00 ||ψi + |β01 ihβ01 ||ψi + |β10 ihβ10 ||ψi + |β11 ihβ11 ||ψi
1
= √ [(a + d)|β00 i + (a − d)|β01 i + (c + b)|β10 i + (c − b)|β11 i+] .
2
(3.37)
3.1. Exploration de la puissance du domaine quantique
81
Après avoir introduit les quatre fameux états de Bell, nous allons aborder l'une des techniques
permettant la construction d'un tel état intriqué. Donc, pour ce faire, on considère deux particules
de spin 12 en interaction mutuelle suivant l'hamiltonien suivant :
1 − →
σ1−
σ2
H = ~ω →
2
(3.38)
−
avec →
σ x sont les matrices de Pauli. On dénit l'opérateur suivant :
O =
=
1
−
−
(12 + →
σ1→
σ 2)
2
1
12 + δi,j σ1 i σ2 j
2
(3.39)
soit le qubit |iji avec i + j = 1, alors on vérie facilement que :
O|iji = |jii
O|β10 i = |β10 i
O|β11 i = −|β11 i
(3.40)
→
−
σ 1 σ2 |β10 i = |β10 i
→
−
σ 1 σ2 |β11 i = −3|β11 i
(3.41)
donc on déduit que :
−
cela revient à dire que |β10 i et |β11 i sont vecteurs propres de →
σ 1 σ2 avec les valeurs propres +1 et
−3 respectivement et donc vecteurs propre de H avec les valeurs propres E+ = 12 ~ω et E− = 32 ~ω
aussi. Par conséquent, si nous avons l'état |10i = 12 (|β10 i + |β11 i) à l'instant t = 0, son évolution
est donné par :
t
t
t
1
exp−i ~ H |10i =
exp−i ~ H |β10 i + exp−i ~ H |β11 i
2
tω
tω
1
exp−i 2 |β10 i + exp+3i 2 |β11 i
=
2
tω
expi 2
exp−itω |β10 i + expitω |β11 i
=
2
tω
= expi 2 (cos(tω)|β10 i − i sin(tω)|β11 i)
(3.42)
donc si on prend un temps d'interaction t égale à t =
exp−i
π )
(t= 4ω
H
~
π
4ω ,
alors nous aurons :
1
|10i = √ (|10i − i|01i) .
2
(3.43)
Cette construction est réalisée selon la stratégie de rapprocher puis d'éloigner les deux qubits.
Ainsi, l'interaction est considérée à courte distance, toutefois d'autres méthodes sont également
possibles pour atteindre le même objectif mais à grande distance.
détection de l'intrication : théorème de Bell :
Nous allons continuer à explorer davantage la nature non classique des états intriqués. En
eet, les propriétés de la matière nous suggère que les résultats des mesures nous permettent
de connaitre des propriétés d'un système. Ce point de vue est fort soutenu par notre vision
classique incapable de cerner le monde quantique. Du fait que la théorie quantique telle que nous
l'avons vue jusqu'à présent, nous arme qu'un système n'est pas indépendamment caractérisé
3.1. Exploration de la puissance du domaine quantique
82
du processus de mesure qu'on lui applique.
D'autant plus, ces propriétés intrinsèques sont déterminées en quelques sortes par le processus
même de la mesure. Par exemple, la direction d'un spin n'a pas une composante déterminée le
long de l'axe "X" et une autre déterminée le long de l'axe "Z", de manière à ce que les deux quantités puissent être mesurées indépendamment. Selon la mécanique quantique, tout ce que nous
pouvons conrmer sont des probabilités de coexistences pour les résultats des diérentes mesures.
Dans le même contexte, on considère un autre exemple plus parlant où on suppose que deux
personnes ; susamment éloignées ; disposent d'une particule de la paire |β10 i. Quoique l'expérience de mesure eectuée par chaque personne est répétée avec plusieurs paires de particules
préparées dans le même état |β10 i. Les séquences de résultat obtenues seront parfaitement
corrélées. Ainsi, si la première personne obtient {0, 0, 1, 0, 1, 1, 0, ...}, alors elle saura à coup sûre
que l'autre aura {1, 1, 0, 1, 0, 0, 1, ...} du fait que si S est la séquence de mesure d'une personne,
alors l'autre aura exactement S .
Par ailleurs, avant d'eectuer l'opération de mesure, ni l'un ni l'autre n'est en mesure de
prédire quoi que ce soit sur le résultat de la mesure. C'est pour ces raisons que l'analyse EPR
mis en cause le fait que la personne est parfaitement capable de prévoir le résultat de la mesure
de l'autre (après avoir eectuée sa propre mesure). Cela revient à conclure que le résultat de la
mesure est un élément de réalité (une propriété intrinsèque au système) que l'autre va surement
détecter par l'acte de sa mesure. Donc la théorie devrait être en mesure de prévoir avec certitude
cette caractéristique. Par contre, la mécanique quantique ne peut pas prévoir ce résultat mais
seulement établir des probabilités.
Ainsi, plusieurs sont ceux qui n'étaient pas convaincu de ce point de vue étrange. Etant donné
que, le principe de base stipule que dans le contexte de la réalité, les propriétés physiques d'un
système doivent obligatoirement appartenir au système indépendamment de l'acte de la mesure.
Une théorie comme la mécanique quantique, qui ne permet pas de prévoir ces éléments de réalité,
devait nécessairement être une théorie incomplète.
Dénition 3.5 (Réalité) en etend par réalité, si sans perturber localement un système, on
arrive à déterminer avec certitude la valeur de l'une de ces grandeurs physiques, alors on dit
qu'il existe un élément de réalité associé à cette grandeur.
de même on dénie la localité par :
Dénition 3.6 (localité) En physique, le principe de localité, connu également sous le nom de
principe de séparabilité, est un principe selon lequel des systèmes distants ne peuvent avoir une
inuence directe l'un sur l'autre. Ainsi, un système ne peut être inuencé que par son environnement immédiat. Autrement, lors d'une perturbation, les systèmes n'interagissent plus et sont
dans des régions locales où aucun indice de causalité peut les relier.
Donc, l'analyse EPR adoptée nous permet de conclure que la théorie quantique est une théorie incomplète du fait qu'elle arrive à expliquer certains éléments de la réalité, notamment la
superposition des états de "Spin". Pourtant, elle demeure incapable de prédire avec certitude
ces orientations. Par conséquent, le formalisme quantique est partiellement valide mais nécessite
obligatoirement un complément. Mais, ce n'est qu'en 1964 que Bell démontra théoriquement
qu'une telle corrélation ne peut être expliquée dans l'esprit d'incomplétude suggéré par Einstien
[46].
3.1. Exploration de la puissance du domaine quantique
83
Théoréme 3.11 (Théorème Bell) Soit un nombre positif |X| calculable à partir des corrélations observées, tel que :
1. |X| est toujours inférieur ou égal à 2 si les corrélations sont à caractère classiques.
2. dans le cas contraire, |X| peut dépasser 2 lorsque les corrélations sont dues à l'intrication.
Alors si |X| > 2, on dit que les corrélations violent l'inégalité de Bell.
l'idée clé de la démonstration consiste à considérer une source S produisant, à chaque instant
t, une paire de particules "EPR". Par la suite, l'une des particules s'envole vers le laboratoire
d'Alice tandis que l'autre se dirige vers le laboratoire de Bob. On suppose aussi que les deux
laboratoires sont susamment éloignés de sorte que chaque correspondant travaille indépendamment de l'autre et aucune communication ni interaction n'est établie jusqu'à la n de l'expérience.
Lors de cette analyse Alice peuvent choisir de mesurer selon deux base possibles {BA 1 , BA 2 } et
{BB 1 , BB 2 } respectivement. Appelons les deux quantités mesurées A1 , A2 , B1 et B2 les résultats
enregistrés par Alice et Bob respectivement. Il est à noter que ces quantités ne peuvent avoir
que les valeurs ±1. Nous soulignons ici encore une fois qu'Alice et Bob eectuent leur mesures
de façon indépendante. En fait, on peut constater qu'on a quatre congurations possibles selon
le choix eectué :
1 et Bob B 1 ,
1. [A1 , B1 ] = A1 · B1 ⇐⇒ si Alice choisi BA
B
1 et Bob B 2 ,
2. [A1 , B2 ] = A1 · B2 ⇐⇒ si Alice choisi BA
B
2 et Bob B 1 et
3. [A2 , B1 ] = A2 · B1 ⇐⇒ si Alice choisi BA
B
2 et Bob B 2 .
4. [A2 , B2 ] = A2 · B2 ⇐⇒ si Alice choisi BA
B
Considérons la quantité :
[A1 , B1 ] − [A1 , B2 ] + [A2 , B1 ] + [A2 , B2 ]
A1 · B1 − A1 · B2 + A2 · B1 + A2 · B2
(3.44)
il facile de constater que Eq.3.44 peut se mettre sous la forme :
X = (A1 + A2 ) · B1 + (A2 − A1 ) · B2
(3.45)
en plus, étant donné que −1 ≤ Ai · Bi ≤ 1 alors on déduit que −2 ≤ X ≤ 2. Ceci dit,
malheureusement, on ne peut pas mesurer et vérier X sur chaque paire de particules, car
Alice(Bob) mesure soit A1 (B1 ) soit A2 (B2 ) mais jamais les deux à la fois.
En outre, si on admet que la Nature est caractérisée par des éléments de réalité (hypothèse
de départ), alors il faut penser qu'à chaque réalisation, les valeurs de A1 , B1 , A2 , B2 sont toutes
gées à l'avance indépendamment du processus de mesure. Dans cette situation, une distribution
de probabilité p(A1 , B1 , A2 , B2 ) sera favorable pour représenter l'ensemble des combinaisons
possibles.
En eet, pratiquement parlant, on suppose que cette distribution de probabilité sera dénie
parfaitement une fois que les deux utilisateurs s'échangent leurs résultats. L'objectif de cette
probabilité est de pouvoir déterminer une valeur moyenne caractérisant cette expérience. Pour
ce faire, soit la valeur moyenne E(X ) de la quantité X . Or, maintenant nous pouvons calculer
3.1. Exploration de la puissance du domaine quantique
84
cette moyenne :
E(X )
X
=
p(A1 , B1 , A2 , B2 )X
{A1 ,B1 ,A2 ,B2 }
X
≤
p(A1 , B1 , A2 , B2 ) × 2 = 2
(3.46)
{A1 ,B1 ,A2 ,B2 }
=⇒ E(X ) ≤ 2
or par la linéarité de la moyenne, nous aurons :
E(X ) = E [A1 , B1 ] − E [A1 , B2 ] + E [A2 , B1 ] + E [A2 , B2 ]
(3.47)
donc du Eq.3.46 et Eq.3.47 nous avons :
E [A1 , B1 ] − E [A1 , B2 ] + E [A2 , B1 ] + E [A2 , B2 ] ≤ 2
(3.48)
Nous avons obtenu cette dernière inégalité en faisant deux hypothèses. La première c'est que
les résultats possibles de toutes les mesures sont des caractéristiques de l'état du système
indépendamment de la mesure. Par contre, la deuxième stipule que la mesure eectuée par
Alice(Bob) ne peut en aucune manière inuencer le résultat de Bob (Alice).
De ce fait, les deux hypothèse ensemble constituent ce qu'on appelle l'hypothèse de réalisme
local et Alice et Bob peuvent vérier l'inégalité de Bell en faisant tourner l'expérience plusieurs
fois. Or pour les états corrélés comme |β10 i, la théorie quantique prédit toutefois des valeurs
moyennes des observables mesurables A et B parfois diérentes. Pour nous en convaincre, nous
allons considérer les situations de mesure suivantes :
1 et Bob B 1 ,
1. [Aθ , Bθ ] = A1 · B1 ⇐⇒ si Alice choisi BA
B
1 et Bob B 2 ,
2. [Aθ , Bθ⊥ ] = A1 · B2 ⇐⇒ si Alice choisi BA
B
2 et Bob B 1 et
3. [Aθ⊥ , Bθ ] = A2 · B1 ⇐⇒ si Alice choisi BA
B
2 et Bob B 2 .
4. [Aθ⊥ , Bθ⊥ ] = A2 · B2 ⇐⇒ si Alice choisi BA
B
avec Xθ,(θ⊥) est l'observable mesurable suivant l'angle θ(θ ⊥) matérialisé avec un ltre polariseur
orienté à un angle θ(θ + π2 ) par rapport à l'axe horizontale. Il est à noter que si Alice et Bob
décident de mesurer avec ces ltres orientés, alors ils vont avoir les mêmes résultats que s'ils
décident d'utiliser d'autres orientations. Et cela est justié du fait que |β10 i peut être exprimé
dans la base {|θi, |θ ⊥i} comme suit :
|β10 i =
=
1
√ (|01i + |10i)
2
1
√ (|θ, θ ⊥i + |θ ⊥, θi)
2
(3.49)
toutefois, si on suppose que Alice reste dans la base computationnelle {|0i, |1i}, tandis que Bob
mesure avec son ltre orienté selon θ. Alors il serait judicieux de récrire l'état sous la forme
suivante :
|β10 i =
=
1
√ (|01i + |10i)
2
1
√ (|0 ⊗ (sin(θ)|0i + cos(θ ⊥)|1i)i − |1 ⊗ (cos(θ)|0i − sin(θ ⊥)|1i)i).
2
(3.50)
3.1. Exploration de la puissance du domaine quantique
85
Dans ce cas nous aurons pour la moyenne :
E(Ai , Bj ) = h0, θ|β10 i2 + h0, θ ⊥ |β10 i2 + h1, θ|β10 i2 + h1, θ ⊥ |β10 i2
(3.51)
= sin(θ)2 − cos(θ)2
= −2 cos(2θ)
et plus généralement, on constate que cette moyenne ne dépend que de l'angle entre le ltre de
Bob et celui d'Alice. Ainsi, on aura :
E(Ai , Bj ) = −2 cos(2(θA − θB ))
en plus nous avons d'après Eq.3.47 :
X
E(X ) =
E(Ai , Bj )
{A1 ,B1 ,A2 ,B2 }
X
= −2
cos (2(θAi − θBi ))
(3.52)
{θA1 ,θB1 ,θA2 ,θB2 }
donc, il est facile de constater qu'on peut trouver des valeurs pour les θi violant l'inégalité de
Bell :
π
8
θA2 = 3π
θB2 = π +
√ 4
⇒ E(X ) = 2 2 > 2
θA1 = 0 θB1 =
π
8
(3.53)
Par la présente démonstration, on conclus que les corrélations quantiques ne sont pas établies
à la source et sont donc d'une nature diérentes des corrélations classiques. En eet, aucune
corrélation de type classique n'est en mesure de reproduire les eets quantiques ni d'expliquer
classiquement ce genre de corrélation. Ainsi, deux qubits "A" et "B" de ce type forment une seule
entité, sont non-séparables et dit intriqués, et cela quelle que soit la distance qui les sépare. En
outre, la théorie quantique ne remplit pas l'hypothèse de réalisme local et c'est grâce à l'inégalité
de Bell que nous avons une méthode opérationnelle de prouver le comportement quantique de la
Nature qui n'obéit pas au réalisme local.
Nous allons par la suite examiner une application pratique des états corrélés dans l'information
quantique à savoir la téléportation quantique.
téléportation quantique :
La téléportation quantique consiste à transmettre un état quantique inconnu d'un point un autre,
sans transporter de la matière. En eet, ce processus de communication est purement quantique
du fait que la description d'un seul qubit nécessite deux nombres complexes. Ce qui est une
quantité non bornée de bits classiques. Donc, la téléportation est impossible de point de vue
classique.
Donc pour illustrer le mécanisme de la téléportation, nous allons considér le protocole de communication quantique dans lequel Alice partage une paire EPR |β00 i = √12 (|00i + |11i) avec Bob,
pour lui téléporter un qubit |ψi ∈ C2 = α|0i + β|1i en mesurant sa demi-paire EPR et |ψi avec la
mesure de Bell {|β00 ihβ00 |, |β01 ihβ01 |, |β10 ihβ10 |, |β11 ihβ11 |}. Ainsi, soit |βxz ihβxz | le résultat de la
mesure obtenue par Alice. Elle annonce alors (x, z) à Bob qui retrouve |ψi après avoir appliqué
X x Z z sur sa demi-paire EPR. Puisque l'état de Bob est l'état associé à une demi-pair EPR, 122 ,
et que cet état ne change pas tant que le résultat de la mesure d'Alice demeure inconnu à Bob,
pour chaque ρ ∈ D(C2 ) :
p
12
= (ρ + XρX + Y ρY + ZρZ) .
(3.54)
2
4
3.1. Exploration de la puissance du domaine quantique
86
En eet, comment cela s'explique de point de vue de Bob lorsque Alice eectue sa partie de la téléportation. Au départ, Bob possède la moitié d'un état |β00 i et nous savons que T rA (|β00 i) = 122 .
Alors, si ρ = |ψihψ| est l'état à téléporter de Alice vers Bob, avant
Bob
deux bits
que
ne1 reçoive
les
1
1
1
classiques, le qubit en sa possession est dans l'état
|ψi,
;
X|ψi
;
Z|ψi
;
X.Z|ψi
4
4
4
4
ayant comme matrice de densité Eq.3.54.
Donc nalement, on constate alors quand Alice mesure les qubits dans la base de Bell, cette
action va transformer le qubit de Bob en l'état inconnu original d'Alice multiplié par l'un des
quatre opérateurs {I, Z, X, ZX} unitaires selon le résultat obtenu par Alice. Par conséquent, une
fois Alice informe Bob via un canal classique de son résultat, il peut alors appliquer l'opérateur
unitaire approprié pour récupérer l'état original d'Alice.
Discorde : une nouvelle forme de corrélation purement quantique
L'intrication a longtemps été vue comme un élément essentiel dans le domaine de la communication et l'information quantique. Considérée comme synonyme des corrélations quantiques, elle
n'est pas la seule propriété témoignant du caractère quantique de ces corrélations. Ceci est vrai
car certains mélanges d'états non complètement intriqués peuvent tout de même présenter des
corrélations supérieures aux corrélations classiques [50].
Dans cette optique, quantiait l'intrication rêver aussi un caractère primordiale dans la
théorie quantique pour classier les états. Cette nouvelle approche ore d'une part des nouvelles
perspectives d'échelonner le degré d'interaction conné dans un système donné. D'autre part,
de lever la nuance entre la corrélation quantique totale estimée à l'aide de l'entropie de von
Neumann et la corrélation classique d'une sous partie du système globale.
En eet, à un passé récent, cette nuance n'est était pas prise en considération du fait qu'on
supposait qu'une telle distinction ne serait d'aucune utilité. Toutefois, la diérence de ces deux
quantités correspond aux corrélations d'origine purement quantique appelée discorde [48, 49].
Elle a permit d'envisager une possibilité d'exploitation des états non intriqués mais ayant une
discorde non nulle. De ce fait, cette notion a fait récemment l'objet de plusieurs recherches an de
mettre en évidence sa capacité d'être considérée une nouvelle ressource en information quantique.
L'avantage, par rapport à l'intrication, est qu'elle est beaucoup moins "fragile" face aux eets du
phénomène de la décohérence et également beaucoup plus facile à produire expérimentalement.
Par ailleurs, l'handicape majeur actuellement réside dans la diculté de construire une observable
pour mesurer directement cette propriété physique. Néanmoins, une estimation indirecte à travers
un modèle a été bien élaborée an de quantier la discorde.
Avant de présenter le modèle de la discorde, on va rappeler les diérentes classes des systèmes
quantiques composés de deux parties "A" et "B" :
1.
état factorisable : on dis qu'un système S (A,B) est dans un état factorisable si les états
des sous-systèmes correspondants sont complètement décorrélé les uns des autres. Autrement, cette proposition est équivalente au fait que l'action de mesurer l'une de ces modes
n'apporte aucune information sur les autres modes.
2.
état classiquement corrélé : dans ce cas, un tel état est considéré partiellement corrélé.
3.
état formé de mélange statistique : Un état est dit séparable ou en état de mélange s'il
n'est pas intriqué, mais pourtant il contient probablement des corrélations plus fortes que
les corrélations classiques. À ce stade, on parle de mesure de la discorde pour les mettre en
évidence.
Cela revient à dire que la mesure locale ne perturbe pas l'état globale du système [51].
3.1. Exploration de la puissance du domaine quantique
4.
87
état intriqué : Un état est dit intriqué s'il n'appartient pas à l'ensemble des états précé-
dents. Cela revient à dire, qu'on ne peut pas le factoriser, l'action de la mesure perturbe
obligatoirement l'état du système et la connaissance d'une sous-partie nous renseigne parfaitement sur l'autre partie.
Ainsi, si on considère deux variables classiques corrélés "A" et "B", alors cette corrélation correspond à leur information mutuelle :
I(A : B) = H(A) + H(B) − H(A, B)
(3.55)
de même pour le cas quantique, la généralisation est triviale est s'obtient par :
I(ρ(AB)) = S(ρ(A)) + S(ρ(B)) − S(ρ(AB))
(3.56)
en eet, cette mesure capture toutes les corrélations présentes dans ρ(AB) indépendamment de
son origine (classique et/ou quantique) [52, 53, 54, 55]. Dans cette optique, si on fait varier la
mesure exécutée sur les parties classiques "A" et "B", l'information mutuelle reste inchangée.
Donc la formule de Eq.3.55 peut être réécrite sous une autre forme :
I(A : B) = H(A) − H(A|B) = H(A, B) = H(B) − H(B|A)
(3.57)
Par contre, dans le cas quantique, on a pas cette possibilité du fait que la mesure perturbe l'état
du système. Ainsi, si on mesure à l'aide d'un POVM {Πb } la partie "B", alors la matrice densité
T rB Πb ρ(AB)
de l'autre partie sera ρA = pB =T
rAB Πb ρ(AB) . Donc, la version quantique de Eq.3.57 sera dénie
comme suit :
X
C(A|{Πb }) = S(ρ(A)) −
pB (k)S(ρA|k )
(3.58)
k
cette quantité correspond à l'information mutuelle classique obtenue avec {Πb } et les corrélations
classiques totales sont obtenues en maximisant C(A|{Πb }) sur tout les POVM {Πb } [49]. La
discorde quantique est ainsi dénie comme la diérence entre les corrélations totales I(ρ(AB))
et les corrélations classiques C(A|B) :
D(A|B) = I(ρ(AB)) − C(A|B).
(3.59)
Pour mieux illustrer le concept de la discorde, nous proposons une étude dont l'objectif est
d'estimer cette quantité pour des états cohérentes déformés [56] couplé à un environnement
décohérent. Nous avons choisi d'analyser des états déformés bimodes. En fonction du facteur de
déformation, ces états peuvent présenter ou non de l'intrication [57, 58, 59, 60, 61, 62, 63, 64,
65, 66, 67, 68, 69], mais en revanche ils présentent toujours de la discorde, sauf s'ils approchent
de la limite classique alors qu'ils deviennent factorisables. Ainsi, on rappelle qu'un état cohérent
déformé peut s'écrire sous la forme suivante :
|Z, f i = Nf
∞
X
√
n=0
1
αn
|ni , Nf = [expf [|α|2 ]]− 2 , α ∈ C.
n!f (n)!
(3.60)
avec Z est l'amplitude cohérente, f est le facteur/fonction de déformation et "expf " est la forme
déformée de la fonction exponentielle [70]. Ceci dit, alors on peut construire, à la base de l'état
de Eq.3.60, la version déformée des quatre états de Bell dénie comme suit :
|φ± if
=
|ψ ± if
=
1
N (|Z; Zif ± | − Z; −Zif ),
1
N (|Z; −Zif ± | − Z; Z, if ).
(3.61)
3.1. Exploration de la puissance du domaine quantique
88
Dans notre étude, on va considérer le modèle d'un canal dissipatif dans lequel évolue l'un de ces
quatre états. Ainsi, on va estimer l'évolution de la discorde et voir sa variation en fonction des
paramètres initiales (amplitude, déformation, l'amortissement induit par la décohérence...). Par
conséquent, l'interaction entre le système bipartite et l'environnement peut être modélisée par
l'Hamiltonien :
HD =
ω †
(A A + AA† ),
2
(3.62)
où A et A† sont les opérateurs d'annihilation et de création déformés donnés par :
A = af (n̂) = f (n̂ + 1)a , A† = f (n̂)a† = a† f (n̂ + 1)
(3.63)
avec ω une grandeur homogène assimilée à une fréquence angulaire appelée pulsation propre de
l'oscillateur. De ce fait, l'évolution du système composé de l'état biparti déformé et de l'environnement est gouvernée par l'équation maitresse "master equation" donnée par [71] :
∂ρ
= −i[HD , ρ] − λ(n̂f 2 (n̂)ρ + ρn̂f 2 (n̂) − 2f (n̂ + 1)aρa† f (n̂ + 1)).
∂τ
(3.64)
Après la résolution de cette équation, nous obtenons l'opérateur densité ρ(τ ) du système à un
instant τ 6= 0 donné par :
ρ(τ ) = N− 2 {|tzi1 htz| ⊗ | − tzi2 h−tz| + | − tzi1 h−tz| ⊗ |tzi2 htz|
2
− expf [−|z|2 ]2r (|tzi1 h−tz| ⊗ | − tzihtz| + H.c)},
(3.65)
avec t = exp[− 21 λn0 τ ] = exp[− 21 λf 0 (n0 )τ ]. Ultérieurement, nous adoptons une normalisation du
temps d'interaction ”r” déduite du ”τ ” par :
p
r = 1 − t2 .
(3.66)
Dans ce contexte, il serai préférable de réécrire ρ(τ ) de Eq.(3.65) sous la forme matricielle suivante :
!
ρ
0
0 ρ
1
ρ|ψ− if = N− 2
3
0 ρ2 −ρ2 0
0 −ρ2 ρ2 0
ρ3 0
0 ρ4
.
(3.67)
Pour ce faire, on utilise la base orthonormale paire-impaire dénie comme suit :
1
|±i = p
(|tzi ± | − tzi)
2N± (t)
(3.68)
avec N± (t) est le facteur de normalisation N± (t) = 1 ± expf [−|tz|2 ] et les éléments ρi sont :
ρ1 = (1 − T )N+ (t)2
ρ2 = (1 − T )N+ (t)N− (t)
ρ3 = (1 − T )N− (t)2
ρ4 = −(1 − T )N+ (t)N− (t)
T
N−
2
= expf [−|z|2 ]2r
1
q
.
=
4 (1 − expf [−|z|2 ]2 )
(3.69)
3.1. Exploration de la puissance du domaine quantique
89
avant de préciser la quantication de la discorde, on rappelle une relation qui lie l'intrication de
formation [72] et la corrélation classique dans un système physique donnée par :
(3.70)
C AB + E BC = S B .
Ainsi, tout calcul fait, la discorde est évaluée comme suit :
DAB = S A + E BC − S AB
=
2
X
i=1
q
2 
√
3
X
1 + 1 − 2N− 2 (ρ2 − ρ1 ρ4 )
+
−λi log2 (λi ) + H 
δi log2 (δi ),(3.71)
2

i=1
p
avec δi ∈ {2ρ2 , 12 ρ1 + ρ4 ± (ρ1 − ρ4 )2 + 4ρ3 } et λi ∈ {ρ1 + ρ2 , ρ2 + ρ4 }. dans cette étude
nous avons pu quantier la discorde en fonction des paramètres initiales du système considéré.
Ainsi, nous avons aussi montré l'eet que peut engendrer l'environnement dans la diminution
de l'intrication totale, et que la compréhension de ce phénomène est primordiale pour tous
les domaines de la Physique, et plus particulièrement pour le domaine de l'information quantique.
En eet, un système quantique sur lequel on aimerait mesurer une observable donnée est
inévitablement plongé dans un environnement. C'est en fait q'un système réel ne sera jamais
totalement isolé, il y aura toujours une interaction résiduelle entre les degrés de liberté du
système à étudier et les indiscernables degrés de liberté de l'environnement. Toutefois, et
contrairement au comportement de l'intrication, qu'on constate très fragile, la discorde est
par contre plus robuste, et peut même augmenter par un couplage avec un environnement
bien préparé, ce qui fait d'elle une ressource particulièrement intéressante d'un point de vue
expérimental et fonctionnel.
Après avoir abordé les principaux aspects de la mécanique quantique, notamment la notion de la
mesure, l'intrication et la quantication de l'information avec lesquelles nous avons pu toucher
de prêt la puissance et l'amélioration que peut apporter dans le domaine de la communication
quantique. En plus nous avons eu l'occasion de découvrir le mystère des fondements quantiques,
certes diversié et étrange. Toutefois, elle nous impose des règles et des limitations qu'on doit
obligatoirement prendre en considération lors des études des systèmes physiques utilisés comme
support de transmission de l'information.
C'est dans cette optique, qu'on va introduire la notion de la décohérence comme principale
entrave imposée par les lois de la théorie quantique. En eet, c'est à cause de l'interaction
résiduelle entre l'environnement et le système en question qui engendre la décohérence et qui
sélectionne les états quantiques accessibles à la mesure. Ainsi, il est important de souligner qu'un
système, composé de deux parties ou plus, est dicile de le maintenir isoler de l'environnement.
Du fait que ses constituants ont une grande probabilité de s'intriquer avec des particules non
contrôlées de l'environnement.
Autrement dit, dans les termes servant à décrire la décohérence, on estime que beaucoup
d'informations s'échappent du système vers l'environnement. Par conséquent, cette situation
impose au système un comportement qui tend vers le classique. On comprend donc que lorsqu'on
cherche à exploiter l'intrication, par exemple dans le cadre de la communication, le principal dé
qu'on doit envisager est la diculté de préserver l'intrication.
3.2. La décohérence
90
3.2 La décohérence
L'obstacle principal à la manipulation pratique de l'information est la perte de cohérence [75]
qui est parmi les propriétés les plus intéressantes dans le domaine quantique. Cette altération
est globalement provoquée par les interactions avec l'environnement (et le moins souvent) est
due aux interactions du système avec les appareils de mesure.
Ainsi, dans cette section on va mettre en relief la sources majeure de la décohérence à savoir
la modélisation de l'eet de l'environnement via la représentation de Kraus appliquée au registre
quantique des transformations unitaires aléatoires. Cette approche permet, en outre, de reproduire exactement l'eet d'environnement mais, en règle générale, elle est dicile de maintenir la
condition d'évolution quantique unitaire. Toutefois, nous allons voir que malgré que cette évolution induite sur le sous-système n'est pas unitaire, mais elle doit au moins respecter plusieurs
contraintes. Ce qui permettra toujours d'envoyer un état quantique valable vers un autre état
quantique valable. De ce fait, une telle évolution sera décrite par un opérateur linéaire, communément appelé superopérateur, étant donné que lui aussi agit sur des opérateurs linéaires.
En outre, le formalisme opérateurs-somme nous procure les outils nécessaires pour représenter
mathématiquement une opération eectuée par l'environnement sur le système quantique en
question. Par la suite, nous établirons l'application directe de cette approche pour modéliser un
environnement aux canaux quantiques bruyants. Ensuite, nous discutons l'eet engendré par une
mesure incomplète ou non lue sur un système physique donné. Cette étape nous sera très utile
pour répondre à la question "Pourquoi n'observe-t-on pas réellement de superpositions étranges
des systèmes macroscopiques ?". A la n, nous terminons par une brève ouverture sur d'autres
obstacles, mais cette fois-ci, d'ordre technique freinant les avancées dans le domaine quantique
et plus particulièrement les protocoles de communication.
3.2.1 Superopérateurs CPPT et le formalisme opérateurs-somme
3.2.1.1 Application d'une fonction à un opérateur normal et la notion de "Superopérateur"
On rappelle d'abord la notion permettant d'appliquer une fonction quelconque "f " sur un
opérateur "A". Ainsi, on considère f : C → C une fonction (une application) et soit A un
opérateur normal. La notation f (A) ést interprétée comme l'application de la fonction f sur les
valeurs propres de A.
Plus particulièrement, si A ∈ Pos(A), alors les fonctions f : R+√→ R+ peuvent être appliquées
√
à A (racine carrée positive : x = y ∈ R+ tel que y 2 = x. Ainsi, A a une signication logique).
Cette possibilité d'appliquer des fonctions sur des opérateurs nous a permis de construire
d'autres opérateurs f (A) en se basant sur A. De ce fait, on va essayer de voir comment un
opérateur se comporte lorsq'un autre lui est appliqué dans le contexte de l'évolution quantique
d'un sous-système interagissant avec son environnement.
Pour ce faire, on sait que d'après le postulat 2 de la mécanique quantique qu'un système isolé
dont l'état initial est ρ ∈ D(A) peut être transformé en l'état ρ0 via une transformation unitaire
U ∈ U(A) telle que
ρ0 = U ρ U ∗
.
d'autant plus, rien n'empêche de considérer un système S non isolé, mais en interaction avec un
grand nombre de degrés de liberté qui constituent son environnement E . Initialement, dans notre
3.2. La décohérence
91
préparation on va supposer que le système et l'environnement ne sont pas intriqués. Donc, l'état
représentant l'ensemble {S, E} est de la forme :
ρ{S,E} = ρS ⊗ ρE
maintenant, le système combiné peut être soumis à une évolution unitaire U ∈ U(S ⊗ E) :
ρ0 = U (ρS ⊗ ρE ) U † .
(3.72)
globalement, l'évolution de S est extraite en traçant sur l'environnement :
h
i
ρ{S} → N (ρ{S} ) = T rE U (ρS ⊗ ρE ) U † .
Par analogie, nous proposons une reformulation du postulat sur l'évolution des systèmes
quantiques. En eet, nous considérons les situations où un système évolue avant qu'une partie
de ce système devienne inaccessible. Nous pouvons voir les opérations quantiques résultantes
comme celles qui puissent être réalisées dans un système ouvert plutôt que dans un système
fermé, comme le suppose le deuxième postulat.
Cette approche analytique est souvent plus proche de la réalité que le fait de considérer que
le système est isolé. Car pratiquement parlant, le système que l'on veut analyser ne peut pas
toujours être considéré fermé. D'un point de vue théorie de la communication, un support de
l'information fait toujours l'objet des erreurs de transmission et d'attaques par les adversaires
sur le canal. Donc,un système quantique ρ ∈ D(A) peut évoluer selon N(ρ) si le super-opérateur
N : L(A) → L(B) est :
∀ρ ∈ D(A), N(ρ) ≥ 0 et tr(N(ρ)) = tr(ρ),
Pm
Linéaire : N(
i=1 pi N(ρi ),
i=1 pi ρi ) =
Complètement positif : ∀ρ ∈ D(A ⊗ C), (N ⊗ 1C )(ρ) ≥ 0.
par ailleurs, on dénit les super-opérateurs décrits auparavant comme suit :
Positif et préserve la trace :
Pm
Dénition 3.7 Tout super-opérateur qui satisfait aux trois conditions susmentionnées est appelé
super-opérateur complètement positif qui conserve la trace
CPCT.
ou, plus simplement, super-opérateur
Dans cette optique, on considère le théorème de Kraus [73] qui nous permet d'établir que les
super-opérateurs complètement positif peuvent toujours être réalisés par le biais d'une isométrie
suivie d'une annulation de l'action de l'environnement. De plus, le théorème de Kraus nous
procure une façon à la fois simpliste et rigoureuse pour représenter une super-opération quantique
valide par un ensemble d'opérateurs qui résolvent l'identité, d'une façon semblable aux POVMs.
Cette formulation canonique de représenter une super-opération quantique est appelée forme de
Kraus ou représentation opérateur-somme.
Théoréme 3.12 (Kraus) Le super-opérateur N : L(A) → L(B) est CPCT si et seulement s'il
existe {Nk }k ⊂ L(A, B) tel que pour chaque ρ ∈ D(A),
N(ρ) =
X
k
Nk ρ Nk∗
et
X
Nk∗ Nk = 1A .
k
L'ensemble {Nk }k est appelé décomposition/forme de Kraus de l'opération quantique N. D'autre
part, le super-opérateur N : L(A) → L(B) est CPCT si et seulement s'il existe une isométrie
U ∈ L(A, B ⊗ E) telle que pour chaque ρ ∈ D(A),
N(ρ) = trE (U ρ U ∗ ) .
3.2. La décohérence
92
Pour démonter cette représentation, la preuve est purement calculatoire. Ainsi, nous allons montrer dans un premier temps que si N : L(A) → L(B) satisfait aux conditions des superopérateurs
complètement positifs, alors il existe une
P représentation 0opérateurs-somme {Nk }k pour N. Pour
ce faire, on considère un état |ϕi = √1
i |ei i|ei i ∈ A⊗A où d = #A et ρAA0 = (1A0 ⊗N)(|ϕihϕ|).
d
P
P
0
En plus, on pose |ψi = i ψi |ei i ∈ A avec son état associé |ψi = i ψ i |ei i ∈ A0 . Par conséquent, on aura :
d
1
X
1X
1
ψ ρAA0 ψ = ψ N(|ek ihel |) ⊗ |ek ihel | ψ =
ψ l ψk N(|ek ihel |) = N(|ψihψ|) ,
d
d
d
k,l=1
k,l
(3.73)
pour obtenir la dernière égalité nous avons fait recours à la linéarité de N. Ainsi, on constate
que l'état ρAA0 contient toute l'information nécessaire pour la construction de N.
D'un autre point de vue, réécrivons ρAA0 sous la forme :
X
ρAA0 =
pk |nk ihnk |AA0 .
(3.74)
k
En se basant sur la décomposition spectrale, où {|nk i}k est l'ensemble des vecteurs propres
orthonormés de ρAA0 . En outre, on considère l'opérateur
p
Nk |ψi = d · pk ψ nk AA0
agissant sur |ψi ∈ A. Ainsi, l'action de cet opérateur sur n'importe quel état pur |ψi ∈ A sera
comme suit :
X
X Nk |ψihψ|Nk∗ = d
pk ψ nk nk ψ = d ψ ρAA0 ψ = N(|ψihψ|) .
k
k
Il est à noter également que la dernière égalité est la conséquence de (3.73) et on mentionne aussi
que le même résultat est obtenu dans le cas des états mixtes. De ce fait, nous avons pu démontrer
que {Nk }k est une représentation opérateurs-somme de N. Il en reste maintenant d'établir que
P
∗
k Nk Nk = 1A . Pour avoir se résultat, il sut de voir que pour chaque état |ei i ∈ A de la base
canonique, nous avons :
X
X
hei |
Nk∗ Nk |ei i =
hei | Nk∗ Nk |ei i
k
k
= d
X
pk hnk |eiihei |nki
k
= d
X
pk tr (hei |nkihnk |eii)
k
= tr (N(|ei ihei |))
= 1 ,
(3.75)
P
où (3.75) est une conséquence du fait que N préserve la trace. Il en résulte que k Nk∗ Nk = 1A
puisque (3.75) est observé pour tous les éléments de la base canonique {|ei i}i . Ceci complète
le preuve qu'un super-opérateur CPCT peut toujours être représenté sous la forme opérateurssomme.
Pour ce qui est du chemin inverse, nous devons montrer que tout super-opérateur représenté
sous la forme opérateurs-somme {Nk }k , où Nk ∈ L(A, B), correspond bien à un super-opérateur
3.2. La décohérence
93
P
CPCT N : L(A) → L(B). On considère alors N(ρ) = k Nk ρ Nk∗ .
Il est évident que N est linéaire et qu'il préserve également la trace, puisque :
!
!
!
X
X
X
tr
Nk ρ Nk∗ = tr
ρ Nk∗ Nk = tr ρ
Nk∗ Nk = tr (ρ 1A ) = tr (ρ) .
k
k
k
À ce stade, il ne reste qu'à montrer que N est complètement positif. Donc, pour le prouver,
on considère un état |ψi ∈ B ⊗ C sur un espace euclidien C arbitraire et σ ∈ D(B ⊗ C) une
matrice densité. Si on pose |ϕk i = √1` (Mk ⊗ 1C )|ψi avec `k = hψ|(Mk∗ Mk ⊗ 1C )|ψi ≥ 0, car
k
Mk∗ Mk ⊗ 1C ∈ Pos(B ⊗ C). Nous avons,
hψ|(Mk∗ ⊗ 1C ) ρ (Mk ⊗ 1C )|ψi = `k hϕk |ρ|ϕk i ≥ 0 ,
puisque ρ ∈ Pos(B ⊗ C). Finalement,
hψ|(N ⊗ 1C )(ρ)|ψi =
X
`k hϕk |ρ|ϕk i ≥ 0.
k
Et N est un super-opérateur CPCT.
Maintenant, il nous reste à établir que pour toute isométrie U P
∈ L(A, B ⊗ C) et pour chaque
ρ ∈ D(A), il existe une décomposition de Kraus {Ek }k telle que k Ek ρEk∗ = trC (U ρU ∗ ). Donc,
pour le démonter, nous procédons par la dénition de Ek à partir d'une base orthornomée {|ck i}k
pour C :
ρ0 = trC (U ρU ∗ )
X
=
hck |U ρ U ∗ |ck i
| {z }
| {z }
k
=
Ek ∈L(A,B)
X
Ek∗ ∈L(B,A)
Ek ρEk∗ .
k
Vérions la résolution de l'identité sur A :
X
X
Ek∗ Ek =
U ∗ |ck ihck |U
k
k
=
X
U ∗ (1B ⊗ |ck i)(hck | ⊗ 1B )U
k
= U∗
!
X
(1B ⊗ |ck i)(hck | ⊗ 1B ) U
k
∗
= U 1BC U
= 1A .
Il ne reste qu'à montrer que tout super-opérateur sous forme de Kraus {Nk }k ⊂ L(A, B) est
équivalent à une isométrie U ∈ L(A, B ⊗ C) suivi d'une trace sur C . Encore une fois, il sut de
poser, pour |ψi ∈ A quelconque,
X
U |ψi =
Ek |ψi ⊗ |ki .
k
3.2. La décohérence
94
Nous avons, pour {|ci}c une base orthonormale pour C ,


X
X
X
Ek |ψihψ|Ek∗ .
hc|C 
Ek |ψi|ki k 0 hψ|Ek∗0  |ciC =
trC (U |ψihψ|U ∗ ) =
c
k,k0
k
Il est facile de vérier que U ∗ U = 1A . Une derniére propriété très intéressante et qui nous sera
très utile c'est la somme de deux CPPT est une CPPT. En fait, si on pose E : L(A) → L(B)
un opérateur CPPT avec décomposition opérateurs-somme {Ei }ei=1 et T : L(B) → L(C) un
opérateur CPPT avec décomposition opérateurs-somme {Fj }tj=1 . Alors la composition de ces
deux super-opérations appliquée à ρ ∈ D(A) possède aussi une décomposition opérateurs-somme :
!
X
X
∗
T(E(ρ)) =
Fj
Ei ρEi Fj∗
j
=
X
=
X
i
Fj Ei ρEi∗ Fj∗
i,j
Gk ρG∗k ,
k
et {Gk }t·e
k=1 est la réprésentation opérateurs-somme du super opérateur CPPT G = T ◦ E :
L(A) → L(C).
Théoréme 3.13 Les {Ei }i et {Fj }j produisent les mêmes opérations CPPT si et seulement s'il
existe une matrice unitaire U = {uij }i,j tel que
∀i, Ei =
X
uij Fj
j
où on ajoute des opérateurs ∅ dans l'ensemble qui en contient le moins.
Nous avons vu quelles sont les propriétés vériées par un superopérateur obtenu en appliquant
une évolution unitaire sur le système et son environnement. Nous allons maintenant évoquer
une interprétation physique de ce résultat. En eet, nous pouvons redénir le postulat relatif à
l'évolution des systèmes quantiques de sorte que l'ajout explicite d'un système ancillaire n'est
plus nécessaire. Les transformations possibles sur un état sont des opérateurs isométriques dont
le domaine correspond à l'espace euclidien sur lequel la transformation est appliquée.
3.2.1.2 La notion physique d'un superopérateur
Dans ce paragraphe nous allons démontrer une équivalence non triviale entre l'action induite
par un superopérateur agissant sur un système quantique ouvert en évolution et l'action d'une
mesure généralisée faite sur le système en question [74]. On doit tout d'abord observer que
la forme de Kraus est absolument générale, pour tout superopérateur linéaire complètement
positif. De plus, nous avons pu voir qu'on peut trouver une représentation de Kraus quelle que
soit la nature de l'environnement associé au système ouvert.
Ainsi, en comparant Eq.3.20 (aussi bien que les conditions dans Sec.3.1.2.4) au théorème.,
nous constatons que toute évolution par superopérateur linéaire complètement positif peut être
interprétée comme une mesure généralisée exécutèe sur le système cible. Donc, on peut toujours
3.2. La décohérence
95
représenter un superopérateur agissant sur un système S comme un résultant d'une évolution
unitaire d'un système étendu S ⊕ E , suivie d'une mesure projective non conclusive dans E . Ici E
représente un environnement ancillaire.
Ainsi, c'est l'interprétation physique de l'action posée par un super opérateur avec une certaine
décomposition en opérateurs-somme. Pour la concrétiser, nous considérons E : L(A) −→ L(B)
un superopérateur CPPT déni comme suit :
E(ρ) = trC (U ρU ∗ )
où U ∈ L(A, B ⊗ C) est une isométrie. De même, on suppose que nous avons {|ci i}i une base
orthonormée pour C . Par conséquent, on a :
X
ρ0 = E(ρ) =
hci |U ρU ∗ |ci i
i
=
X
Ei ρEi∗ ,
i
pour Ei := hci |U ∈ L(A, B). D'un autre point de vue, on construit une mesure de Von Neumann
permettant d'eectuer une mesure sur C dénie ainsi :
M = {|ci ihci |}i
donc, si on exécute une telle mesure, l'état non-normalisé résultant sera :
X
ρ̃0k =
hci |E (|ck ihck |E ⊗ 1B ) U ρU ∗ (|ck ihck |E ⊗ 1B ) |ci iE
i
= (hck |E ⊗ 1B ) U ρU ∗ (|ck iE ⊗ 1B ) ,
(3.76)
où (3.76) est obtenu par dénition du produit scalaire partiel. En normalisant ρ̃0k , nous obtenons :
ρ0k =
Ek ρEk∗
,
tr ρEk∗ Ek
et l'état résultant ρ0 ∈ D(B) qui ignore le résultat de la mesure sur l'environnement C est :
X
ρ0 =
tr (ρEk∗ Ek ) ρ0k .
k
L'interprétation de cette approche est que l'action de E sur ρ est équivalente à lui appliquer
√ Ei ∗
avec une probabilité tr(ρEi∗ Ei ).
tr(ρEi Ei )
Pour mieux illustrer cette notion, on va adopter l'exemple suivant an de mettre en évidence cette
équivalence. Donc, pour commencer, nous allons étudier l'isométrie U dénie sur L(A, A ⊗ C)
par :
U = |00ih0| + |11ih1| .
appliquant une telle transformation sur ρ ∈ D(A), nous permet d'obtenir l'évolution suivante :
U ρU ∗ = CNOTρ ⊗ |0ih0|C CNOT∗ ,
où CNOT ∈ U(A ⊗ C) est l'opération logique control-not. Donc, pour passer à la super-opération
équivalente, nous allons tracer maintenant sur le registre C dans la base {|0i, |1i} pour obtenir
nalement :
E(ρ) = trC (U ρU ∗ ) .
(3.77)
3.2. La décohérence
96
autrement, nous avons procédé comme suit :
E(ρ) = trC (U ρU ∗ )
= h0|U ρU ∗ |0i + h1|U ρU ∗ |1i
= |0ih0|ρ|0ih0| + |1ih1|ρ|1ih1|
(3.78)
= h0|ρ|0i|0ih0| + h1|ρ|1i|1ih1| .
(3.79)
Donc, on constate bien que l'équation (3.78) peut être vue comme une superopération qui mesure
ρ avec une mesure projective dans la base de calcul. En eet, cette opération consiste à appliquer
le projecteur |0ih0| avec une probabilité de tr(ρ|0ih0|) et à appliquer aussi le projecteur |1ih1| avec
une probabilité de tr(ρ|1ih1|). Cette action est en fait une mixture linéaire des deux opérations
projectives |0ih0| et |1ih1|. Simplement, l'équation (3.79) nous montre que ρ est exprimée en
fonction de h0|ρ|0i × |0ih0| et de p
h1|ρ|1i × |1ih1|. La
p représentation opérateurs-somme obtenue du
superopérateur est donc {|0ih0|/ h0|ρ|0i, |1ih1|/ h1|ρ|1i}. Toutefois, cette équivalence n'est pas
la seule représentation possible. En eet, si on trace le registre sur C dans la base {|+i, |−i} au
lieu de {|0i, |1i}, nous allons trouver :
E(ρ) = trC (U ρU ∗ )
= h+|U ρU ∗ |+i + h−|U ρU ∗ |−i
1ρ1 ZρZ
+
,
=
2
2
par analogie, nous pouvons interpréter cette transformation par la superopération qui ne fait rien
à ρ avec une probabilité 21 et qui renverse la phase avec une probabilité 12 . La super-opération
√
√
E peut donc être représentée par l'opérateurs-somme {1/ 2, Z/ 2}. Ces deux représentations
sont donc équivalentes :
|0ih0|
|1ih1|
1 Z
{p
,p
} ≡ {√ , √ } ,
2 2
h0|ρ|0i
h1|ρ|1i
pour tout état ρ ∈ D(C2 ).
Ce qu'on doit retenir est que nous somme devant le même phénomène physique qu'on peut interpréter mathématiquement par plusieurs représentations équivalentes. Ainsi, nous allons énonncer
un théorème qui nous xe la condition requise pour que deux représentations opérateurs-somme
correspondent à la même superopération.
Théoréme 3.14 Les {Ei }i et {Fj }j produisent les mêmes opérations CPPT si et seulement s'il
existe une matrice unitaire U = {uij }i,j tel que
∀i, Ei =
X
uij Fj
j
Toutefois, il n'est pas nécessaire que les deux ensembles {Ei }i et {Fj }j aient le même nombre
d'éléments. On peut, en eet, compléter l'ensemble de cardinal le plus petit par des opérateurs
nuls.
Quant à l'équivalence entre la représentation de Kraus et l'exécution d'une mesure généralisée,
nous savons qu'une mesure lue correspond à une transformation de l'opérateur densité qui n'a
pas la forme de Kraus. Cette constatation est due au fait que le superopérateur correspondant
n'est pas linéaire à cause du terme de normalisation au dénominateur. Donc une action de mesure
suivie d'une réduction du paquet d'onde correspondant à l'acquisition explicite d'une information
supplémentaire comme étant le résultat enregistré de la mesure.
3.2. La décohérence
97
An de démonter cette équivalence, nous allons d'abord prouver que la procédure décrite en
(3.19) peut-être modelisée par un POVM. Pour ce faire, nous considérons U ∈ L(A, B ⊗ C) une
isométrie et {Px }x ⊂ Pos(C) une observable agissant sur un état quantqiue arbitraire déne par
ρ ∈ D(A). Ainsi, Nous avons :
px (ρ) = tr ((1B ⊗ Px )U ρ U ∗ (1B ⊗ Px ))




= tr ρ U ∗ (1B ⊗ Px )U  .
|
{z
}
Πx ∈L(A)
on dénie, ainsi, l'opérateur {Πx }x∈X qu'on doit vérier qu'il s'agit bien d'un POVM. De ce fait,
on va commencer tout d'abord par la résolution de l'identité sur A :
X
X
Πx =
U ∗ (1B ⊗ Px )U
x∈X
x∈X
!
= U∗
X
1B ⊗ Px
U
x∈X
= U ∗ 1BC U
= 1A .
par la suite, il nous reste à démontrer que chaque Πx est un opérateur positif. Quant à cette
condition, il est facile de constater que :
Πx = U ∗ (1B ⊗ Px )U
= U ∗ (1B ⊗ Px )(1B ⊗ Px )U
= ((1B ⊗ Px )U )∗ ((1B ⊗ Px )U )
= Mx∗ Mx
≥ 0 .
Par la règle de Born, l'état résultant après avoir obtenu x ∈ X en observant ρ ∈ D(A) est :
ρx =
(1B ⊗ Px )U ρ U ∗ (1B ⊗ Px )
Mx ρMx∗
=
.
px (ρ)
px (ρ)
Pour compléter cette démonstration, nous devons prouver qu'un POVM tel que {Πx }x∈X ⊂
Pos(A) est possible de le réaliser à l'aide des opérations décrites en (3.19), notamment une
isométrie suivie d'une action d'une observable. Nous allons considérer une transformation U ∈
L(A, B ⊗ C) dénie pour chaque |φi ∈ A, comme suit :
X
U |φiA =
Mx |φiB ⊗ |xiC ,
x
où les Mx ∈ L(A, B) sont tels que Mx∗ Mx = Πx . Il nous reste à vérier que U est bien une
3.2. La décohérence
98
isométrie, donc nous avons :
U ∗U
=
X
=
X
=
X
=
X
(Mx∗ ⊗ hx|)(Mx0 ⊗ x0 )
x,x0
Mx∗ Mx0 xx0
x,x0
Mx∗ Mx hx|xi
x
Mx∗ Mx
x
= 1A .
Nous dénissons l'observable {|xihx|}x∈X sur C . Vérifons maintenant que la probabilité px (ρ)
d'observer x ∈ X est telle que px (ρ) = tr(ρΠx ) pour chaque ρ ∈ D(A) :
px (ρ) = tr ((1B ⊗ |xihx|)U ρ U ∗ (1B ⊗ |xihx|))
= tr (ρ U ∗ (1B ⊗ |xihx|)U )
!
X
X
Mx00 ⊗ x00 C
= tr ρ
Mx∗0 ⊗ x0 B (1B ⊗ |xihx|C )
x00
x0

= tr ρ
=
X
Mx∗0 1A Mx00

0 00
⊗ x x xx 
x0 ,x00
tr (ρ Mx∗ Mx )
= tr (ρ Πx ) .
Ainsi nous avons pu mettre en évidence la liaison qui existe entre la représentation de Kraus et
l'application d'une mesure généralisée dont le résultat est non lu.
3.2.2 Manifestation de la décohérence : Canaux quantiques et forme de Kraus
Dans cette section, nous allons voir des applications directes de la représentation de Kraus et
la manifestation de la décohérence dans des environnements diérents. Donc, après avoir réalisé
qu'une telle perte de cohérence [75] est une conséquence d'une interaction avec un système
quantique dont les degrés de liberté sont indiscernables. Cette transformation est modélisée par
une isométrie d'un système cible à un système résultant plus un environnement suivie d'une trace
partielle sur cet environnement.
3.2.2.1 Modèles simples de la décohérence pour un système à deux niveaux
Nous pouvons dénir le comportement du bruit quantique, lorsqu'un état est transmis sur le
canal quantique, par une superopération. C'est le cas typique où les superopérations sont très
utiles. Le bruit peut être modélisé comme une isométrie appliquée sur le qubit transmis qui
le fait interagir avec l'environnement inaccessible au récepteur. Ainsi, voici quelques exemples
d'opérateurs qui peuvent être réalisés par un canal quantique bruyant [76, 77] :
1. La super-opération BF : L2 (C) → L2 (C) qui désigne un bit ip en anglais ou un renversement de bit en français. Cette opération applique X sur le qubit transmis avec une
probabilité p et ne fait rien avec une probabilité 1 − p :
BFp (ρ) = p XρX + (1 − p) ρ .
3.2. La décohérence
99
On peut extraire de cette transformation une représentation unitaire ou une mesure généralisée avec un environnement constitué d'un qubit dans E :
p
√
(3.80)
U = 1 − p1A ⊗ 1E + pXA ⊗ XE
cette mesure sur l'environnement laisse le qubit qA inchangé avec une probabilité "1-p"
ou il le bascule avec une probabilité "p". Ètant donné qu'il est commode d'exprimer les
densités ρ et BFp (ρ) dans la représentation de Bloch, alors nous avons :
ρ=
1
(12 + r · σ) ,
2
BFp (ρ) =
1
12 + r0 · σ
2
(3.81)
où les vecteurs de Bloch r = (x, y, z) et r0 = (x0 , y 0 , z 0 ) sont tels que (|r|, |r0 |) ∈ [0, 1]. On
constate facilement qu'on peut mettre BFp (ρ) = p XρX + (1 − p) ρ sous la forme suivante :
BFp (ρ) = p XρX + (1 − p) ρ
(1 − p)
(p)
=
(12 + r · σ) +
(12 + x · X − y · Y − z · Z)
2
2
1
(12 + x · X − (1 − 2p)y · Y − (1 − 2p)z · Z)
=
2
(3.82)
ce qui nous permet d'écrire :
r −→ r0
avec
(x, y, z) −→ (x0 = x, y 0 = (1 − 2p)y, z 0 = (1 − 2p)z).
(3.83)
Ainsi, on conclut que lors d'un "basculement du bit", la sphére de Bloch se contracte selon
un ellipsoïde de révolution d'axe "Ox". Ceci revient à dire que la composante suivant "x"
reste invariante et les composantes suivant "y" et "z" sont contractées ou déformées de
(1 − 2p) (Voir Fig.3.1)
Figure 3.1 graphe d'une opération Bit-Flip
3.2. La décohérence
100
2. La super-opération PF : L2 (C) → L2 (C) qui désigne un phase ip en anglais ou un renversement de phase en français. Cette opération applique Z sur le qubit transmis avec une
probabilité p et ne fait rien avec une probabilité 1 − p :
PFp (ρ) = p ZρZ + (1 − p) ρ .
De même on va dénir une mesure généralisée avec un environnement constitué d'un qubit
dans E :
p
√
U = 1 − p1A ⊗ 1E + pZA ⊗ ZE
(3.84)
suivant que E est mesuré dans l'état "0" (avec la probabilité "1-p") ou dans "1" (probabilité
"p") les états propres de "X" restent invariants ou s'échangent. Cette mesure bascule ou
laisse inchangé le qubit qA avec une probabilité "p" ou "1-p" suivant que "E" est mesuré
dans l'état "0" ou dans "1" respectivement . Nous avons la représentation géométrique
suivante :
r −→ r0
avec
(x, y, z) −→ (x0 = (1 − 2p)x, y 0 = (1 − 2p)y, z 0 = z)
(3.85)
étant donné que :
ρ=
1
(12 + r · σ) ,
2
PFp (ρ) =
1
12 + r0 · σ
2
(3.86)
avec
PFp (ρ) = p ZρZ + (1 − p) ρ
1
=
(12 − (1 − 2p)x · X − (1 − 2p)y · Y − z · Z) .
2
(3.87)
Par conséquent, on interprète géométriquement le basculement de phase sur la sphére de
Bloch par une contraction selon un ellipsoïde de révolution d'axe "Oz". Ceci revient à
dire que la composante suivant "z" reste invariante et les deux autres sont contractées de
(1 − 2p) (Voir Fig.3.2)
3. La super-opération BPF : L2 (C) → L2 (C) qui renverse la phase et le bit du qubit transmis
avec une probabilité "p" et ne fait rien à celui-ci avec une probabilité "1 − p". En posant
"Y = XZ ", nous obtenons :
BPFp (ρ) = p Y ρY + (1 − p) ρ .
Ainsi, il est évident de voir que nous avons ici une sphère de Bloch qui se transforme en
un ellipsoïde de révolution "Oy".
4. Finalement, nous allons combiner les renversements de bit et de phase dans une seule opérations, celle du canal de renversement de Pauli R : L2 (C) → L2 (C). Cette superopération
laisse le qubit invariant avec une probabilité de "1 − p". Par contre, elle agit avec un
renversement de bit "X " avec une probabilité de p3 , un renversement de phase "Z " avec
probabilité de p3 et un renversement de phase et de bit Y avec une probabilité de p3 . Cette
transformation est donnée par :
Rp (ρ) =
p
(XρX + Y ρY + ZρZ) + (1 − p) ρ .
3
3.2. La décohérence
101
Figure 3.2 graphe d'une opération Phase-Flip
En eet, une telle transformation on peut la mettre sous une forme équivalente, en constatant que XρX + Y ρY + ZρZ = 21+ ρ. Donc, que le qubit est remplacé par un état complè0
tement dépolarisé avec la probabilité 4p
3 = p et laissé inchangé avec la probabilité complé4p
mentaire 1 − 3 = 1 − p0 . Par conséquent, on dénie le canal dépolarisant, : L2 (C) → L2 (C)
qui change ρ en un état complètement aléatoire (i.e. complètement mixte) avec une probabilité "p" et ne fait rien avec une probabilité "1 − p".
Dp (ρ) = p
1
+ (1 − p) ρ .
2
Et on a également :
Dp (ρ)(p0 ) ≡ Rp (ρ)(p) avec,
4p
= p0 .
3
3.2.2.2 canal quantique et quantication de la décohérence
- Modèle pour l'amortissement de phase :
(3.88)
(3.89)
Le basculement de phase décrit par l'équation 3.82 agissant sur un qubit qA peut être interprété
comme résultant de l'évolution unitaire ou un saut quantique de qA couplé à un qutrit qE (l'espace
HE est choisi de dimension 3), gouverné par les opérateurs de Kraus suivant :
√
√
p
p
p
M0 = 1 − p1A , M1 =
(1A + Z) , M2 =
(1A − Z)
2
2
2
X
CDp (ρ) =
Mk ρMk †
(3.90)
k=0
3.2. La décohérence
102
ces générateurs agissent sur ρ de sorte à aboutir à l'évolution suivante :
CDp (ρ) =
2
X
Mk ρMk †
k=0
ρ00
(1 − p)ρ01
(1 − p)ρ10
ρ11
=
(3.91)
étant donné que ρ = [ρij ].
Il est à noter que cette transformation unitaire :
aecte uniquement les cohérences représentées par la population anti-diagonale de ρ ;
est une forme de basculement de phase donnée par l'équation 3.82 avec p ≡ 2p.
Pour mieux illustrer le phénomène de la décohérence, nous allons appliquer ce processus n fois
sur la matrice ρ. Ainsi, il convient de l'écrire comme suit :
ρ00
(1 − p)n ρ01
n
CDp (ρ) =
.
(3.92)
(1 − p)n ρ10
ρ11
Par la suite, nous considérons que la transition quantique passe dans un temps δ(t) avec t = n·δ(t)
est le temps de l'interaction. Par conséquent, si nous avons un saut qui passe dans un temps très
réduit δ(t) −→ 0, alors :
"
#
t
ρ00
exp(− δ(t)
)ρ01
ρ00
(1 − p)n ρ01
n
n
CDp (ρ) =
−→ CDp (ρ) =
t
(1 − p)n ρ10
ρ11
)ρ10
ρ11
exp(− δ(t)
du fait que : lim (1 − p)n = exp(−
δ(t)→0
t
).
δ(t)
(3.93)
Pour expliquer ce résultat, nous supposons qu'un système quantique à deux niveaux, est préparé
initialement (t=0) dans un état pur |ψi = α|0i + β|1i, (α, β) ∈ C qui est une superposition
cohérente de |0i et |1i dénie comme suit :
ρ00 = |α|2
ρ01 = αβ ∗
.
(3.94)
ρ(|ψi) = |ψihψ| =
ρ10 = α∗ β ρ11 = 1 − |α|2
Alors, après un temps d'interaction t >> δ(t) et contenu de l'équation 3.93, l'état quantique est
transformé en une superposition incohérente de |0i et |1i :
"
#
2
t
|α|2
exp(− δ(t)
) · αβ ∗
|α|
0
ρ(|ψi)(t) =
−→
.
(3.95)
t
exp(− δ(t)
) · α∗ β
1 − |α|2
0 1 − |α|2
On constate que les termes diagonaux demeurent identiques alors que les termes hors-diagonaux
ont été réduits par un facteur d'amortissement. Or, ces termes hors-diagonaux, qui manifestent
concrètement la notion de la "cohérence quantique" de phase entre les états |0i et |1 [75]. On
interpréte cette situation par le fait que le canal aecte la cohérence de phase et on constate
alors que toute l'information concernant la phase relative de l'état du système initial est perdue
avec le temps. On dit que le système quantique a subit un processus de décohérence induit par
une interaction imminente avec son environnement.
- Modèle pour l'amortissement d'amplitude :
3.2. La décohérence
103
Pour concrétiser l'amortissement d'amplitude, nous allons étudier le modèle de la désintégration d'un état excité d'un atome à deux niveaux en raison de l'émission spontanée d'un photon.
En détectant le photon émis, autrement en observant l'environnement, on eectue une mesure qui
donne des informations sur la préparation initiale de l'atome. Ainsi, ce processus physique décrit
réellement les systèmes qui perdent de l'énergie suite à une interaction avec l'environnement.
Nous allons décrire cette transformation entre le système A qui est l'atome et son environnement E par le fait que le système A peut se trouver dans un état excité |1iA ou dans un état
fondamental |0iA . De même, on observe l'environnement dans son état fondamental caractérisé
par l'absorption de zéro photon |0iE ou dans un état à un photon absorbé |1iE . Pratiquement
parlant, un tel système quantique est susceptible de transiter d'un état excité |1iA vers l'état
fondamental |0iA en perdant un photon avec une probabilité p ∝ δ(t). Par conséquent, un tel
processus peut être décrit par la transformation unitaire suivante :
p
√
U = |0, 0iA,E h0, 0| + 1 − p|1, 0iA,E h1, 0| + p|0, 1iA,E h0, 1|.
(3.96)
Une telle représentation stipule que si l'atome est dans l'état initial |0, 0iA,E cela revient à prédire
qu'il va rester inchangé. Par contre, si l'état initial est |1, 0iA,E , alors l'atome peut soit émettre
un photon avec une probabilité p ou rester dans cet état avec une probabilité 1 − p. Ainsi, on
extrait la représentation de Kraus suivante :
p
M0 = hE 0|U|0iE = |0iA h0| + 1 − p|1iA h1|
√
p|0iA h1|
M1 = hE 1|U|0iE =
CDp (ρ) =
1
X
Mk ρMk † .
(3.97)
k=0
Ces générateurs agissent sur ρ de sorte à aboutir à l'évolution suivante :
CMp (ρ) =
1
X
Mk ρMk †
k=0
=
√
ρ00 + pρ11
1 − pρ01
√
1 − pρ10 (1 − p)ρ11
(3.98)
étant donné que ρ = [ρij ].
Il est à noter que cette transformation :
aecte aussi bien les cohérences représentées par la population anti-diagonale de ρ que les
éléments diagonaux ;
√
est une forme de contraction anisotrope d'un facteur de 1 − p et une translation d'un
facteur p. Ce qui implique que les coordonnées de la sphère de Bloch change de la manière
suivante :
p
p
p
r −→ r0 avec (x, y, z) −→ (x0 = 1 − px, y 0 = 1 − py, z 0 = 1 − pz + p). (3.99)
Comme précédemment, on applique successivement n fois l'opérateur d'amortissement CMp (ρ)
sur la matrice ρ. Ainsi, il convient de l'écrire comme suit :
n
(1 − (1 − p)n )ρ11 1 − p) 2 ρ01
n
n
CMp (ρ) =
.
(3.100)
(1 − p) 2 ρ10
(1 − p)n ρ11
Nous considérons que la transition quantique passe dans un temps δ(t) avec t = n · δ(t) est le
temps de l'interaction. Par conséquent, si nous avons un saut qui passe dans un temps très réduit
3.2. La décohérence
104
δ(t) −→ 0, alors :
"
#
n
t
t
(1 − exp(− δ(t)
))ρ11 exp(− 2δ(t)
)ρ01
(1 − (1 − p)n )ρ11 1 − p) 2 ρ01
n
n
→ CDp (ρ) =
CMp (ρ) =
(3.101)
.
t
t
exp(− 2δ(t)
)ρ10
exp(− δ(t)
)ρ11
(1 − p) 2 ρ10
(1 − p)n ρ11
n
La première conclusion que nous allons déduire c'est que le temps de décroissance des cohérences diagonales est deux fois plus grand que le temps de décroissance des cohérences des
anti-diagonales. En plus, on constate que à t −→ ∞ la probabilité de transition passe à 1, donc :
ρ00 + ρ11 0
∞
CDp (ρ) =
.
(3.102)
0
0
de ce fait, l'atome a tendance à stagner dans son état fondamental.
Par ailleurs, quoique le long de cette partie nous avons vu que le bruit quantique ou l'environnement transforme généralement un état pur en un état mixte. Néanmoins, dans le modèle
d'amortissement d'amplitude, nous avons pu démontrer que indépendamment de l'état initial,
pur ou mélange, l'état nal est un état pur. Physiquement parlant, un système par nature
cherche toujours à minimiser son énergie et se mettre dans une position de repos qu'on assigne
d'état fondamental. Alors, cette transition est un passage du monde quantique au monde
classique.
Le principe de superposition arme que si un système physique peut être dans chacun des
combinaisons linéaires de ces états possibles. Toutefois, l'extrapolation de cette notion au
monde macroscopique demeure toujours en diculté vue qu'on se heurte rapidement à des
contradictions avec notre pouvoir de perception sensorielle. Par exemple, on a jamais arrivé à
observer simultanément une superposition avec l'÷il nu. Donc, à vrais dire, la problématique
qui se pose c'est comment réconcilier la réalité physique avec notre observation empirique de
certains états macroscopiques "classiques".
Parmi les tentatives d'explication de cette observation étrange intervient la transition
quantique-classique qu'est souvent évoquée dans le cadre du problème de la mesure quantique.
En outre, on décrit ici une approche qui s'ingénie de lier l'action de la mesure via l'appareil
de mesure dans le cadre du postulat de "réduction du paquet d'onde" en faisant référence
implicitement à la notion de la décohérence. Toutefois, une telle démarche demeure incomplète,
du fait qu'elle reste incapable d'expliquer autres situations quantiques.
Ainsi, on présente par la suite la théorie de la décohérence qui fournit des instruments
explicatifs qui reposent sur le fait que le système global {S, E} doit êrte considéré comme un
système ouvert. Par conséquent, cette nouvelle démarche qui tient en compte l'environnement,
va apporter des nouveaux éléments de réponse plus crédibles et plus cohérents. De ce fait,
si on interprète l'idée de base du couplage avec l'environnement et en admettant aussi qu'un
système quantique n'est guerre fermé. Alors, une évolution unitaire prévue dans ce cadre
va permettre de faire apparaître une base privilégiée et de transformer une superposition
d'états de cette base en une mixture d'états possibles. Ce résultat nous montre qu'une superposition initiale de la forme α|0i+β|1i qui interagit avec son environnement va réduire la cohérence.
Le rôle dont jouit l'environnement dans cette représentation est essentiel pour la théorie de
la décohérence. Ainsi, nous avons introduit les diérentes manifestations de l'environnement
dans le cadre d'une évolution unitaire d'un système quantique ouvert. Par ailleurs, nous avons
évoqué l'un des principaux problèmes de la théorie quantique et particulièrement ceux en
3.2. La décohérence
105
relation avec le traitement et le stockage de l'information sous sa forme quantique. Ce constat
de l'environnement hostile qui restreint les états quantiques accessibles est considéré comme
l'entrave majeure du développement des traitements quantiques.
Il s'agit donc d'une nouvelle voie à prospecter pour contourner l'obstacle de la décohérence,
étant donné que le temps de cohérence d'un système quantique diminue de manière linéaire
avec le nombre de qubits [83, 84, 85, 86, 87]. Par conséquent, le principal obstacle pour cette
mise à l'échelle consiste à protéger l'état quantique du système contre cette dissipation de
l'information. En plus de ces dicultés liées aux fondements de la théorie quantique, nous devons
aussi faire face au problème pratique de l'estimation et du contrôle en temps réel de ces systèmes.
En d'autres termes, cela veut dire qu'il faut gagner la course contre le temps de décohérence,
généralement très court. Cette forte atténuation de cohérence des corrélations, qui sont essentielles au calcul quantique ou plus généralement au traitement de l'information quantique, reste
l'enjeu majeur à gérer pour proter amplement de la puissance du monde quantique. Certes, cela
est un dé de taille mais il faut obligatoirement l'éliminer ou à défaut nous sommes contraints
de le minimiser.
3.2.3 Quelques problèmes d'ordre technique
Après avoir présenté la décohérence comme étant l'entrave majeure qui freine l'évolution et
l'épanouissement de la communication quantique. Toutefois, rien n'empêche d'expliciter d'autres
contraintes ou limitations, moins intrinsèques, mais plus liées à la relative jeunesse du domaine.
Ainsi, nous allons discuter autour des problèmes suivants :
1.
Produire un photon unique ou sources à photon unique : [78, 79, 80] En eet,
comme son nom l'indique une source de photon unique est un dispositif qui produit après
excitation une émission spontanée d'un unique photon grâce à des propriétés optiques et
matérielles remarquables. En fait, l'excitation en question est souvent de nature optique.
Ainsi, c'est avec une grande dynamique que s'active les recherches dans ce domaine an
de mettre en ÷uvre une telle source capable d'être intégrée facilement dans une chaine de
communication quantique.
D'autant plus, les photons émis doivent avoir des propriétés lumineuses particulières
telles qu'une direction d'émission bien spécique, une polarisation rectiligne ou circulaire,
mais également un taux réduit d'émission de plus d'un photon par pulsion. Ce dernier
paramètre représente en fait la grande problématique. Considérant la lumière comme un
ux de photons, on pourrait laisser croire que pour obtenir un photon unique, il ne faut
qu'atténuer susamment une impulsion de lumière classique. Logiquement cela semble
correcte, néanmoins il est loin d'être réel.
Pour se rendre compte, il faut revoir qu'une impulsion laser est gouvernée par une
statistique poissonnienne. Par conséquent, si on atténue une impulsion laser de façon à
avoir un photon en moyenne dans chaque impulsion. Alors, la probabilité d'obtenir un
signal sur chacun des photodétecteurs simultanément (c'est-à-dire d'obtenir deux photons)
est égale à la moitié de la probabilité d'en avoir un seul. On dit alors qu'on arrive à avoir
un photon "en moyenne" et n'en pas un photon "unique".
Dans la même optique, si on continue l'atténuation de façon à atteindre un nombre
3.2. La décohérence
106
moyen très inférieur à un. Alors, l'impulsion contiendra rarement un photon et encore
plus rarement deux photons. Pire encore, ceci n'est pas non plus une impulsion à un
photon unique, puisque cette fois-ci nous allons produire des impulsions vides (avec zéro
photon). De plus, la probabilité d'avoir deux photons ne sera jamais nulle. On constate
que les défauts cités ci-dessus vont certainement aecter les performances des systèmes
quantiques. Ainsi, les impulsions "vides" vont entrainer une baisse du débit de communication par contre les impulsions "doubles" vont impacter la sécurité de la transmission.
2.
Générateur aléatoire des états quantiques [81] : Un générateur aléatoire des
états quantiques est un dispositif capable de produire une séquence des états quantiques
imprédictible et qu'on ne peut pas extraire des propriétés déterministes. En fait, la preuve
de sécurité repose essentiellement sur ce caractère aléatoire qui doit y exister.
En eet, c'est la chaine des états quantiques, que va produire les correspondants, est facile
à deviner par un attaquant, alors il lui est de même pour la mesurer. Ainsi, l'importance
de l'aléatoire dans le processus de génération est primordiale et s'installe au premier rang
avant même toute analyse de sécurité. On dit alors qu'il s'agit ici d'une condition primitive
et contraignante.
Par conséquent, quoique caractériser l'aléatoire est dicile. Toutefois, on va l'introduire
comme étant un générateur des états aléatoires Xi de sorte qu'aucun algorithme A ne serait
capable de deviner Xn à partir de {Xi≤n−1 }. Certains phénomènes sont intrinsèquement
aléatoires et peuvent être utilisés pour produire les suites des états aléatoires. Mais, le
problème c'est que la plupart des phénomènes ne sont souvent aléatoires qu'en apparence
et sourent du phénomène de "biais". De ce fait, un tel problème joue toujours à l'encontre
des avancées dans le domaine de la communication quantique.
3.
Manipuler les particules et les états quantiques à l'échelle microscopique : En
entend par manipulation des états quantiques : la production, le contrôle et l'utilisation
d'états quantiques de la lumière, et ce le long du processus de communication [82].
Souvent, on s'habitue à la production et l'usage des états quantiques via l'amélioration
des mécanismes qu'on commence à maitriser. Toutefois, le maniement et le stockage des
états quantiques, ainsi que la relecture et l'extraction de cette information à la demande,
demeure toujours un énorme dé à surmonter.
Le besoin en mémoire quantique capable de stocker l'état de centaines de qubits intriqués
sur des temps très longs est une course contre le temps de décohérence qui peut atteindre
quelques fractions de seconde [83, 84, 85, 86, 87]. Malheureusement, la durée maximale
d'un tel traitement quantique est limitée par le temps au bout duquel les qubits perdent
leur cohérence quantique [88, 89]. D'autant plus, toutes autres manipulations ne sont pas
autorisées par les principes de la mécanique quantique.
Dans cette optique, on considère une action de mesure qu'elle soit lue ou non comme une
transformation destructrice et qui engendre une fuite de l'information. Voir même, elle
va provoquer un changement dans l'état du système. Donc, Puisque toute mesure détruit
l'état quantique, la transmission doit se faire à travers une bre optique "opaque" et aussi
doit être hermétique. Cela revient à dire sans aucun contact ou interaction avec l'extérieur.
Ce que nous allons retenir, c'est que ces conditions sont très contraignantes et diciles à
3.2. La décohérence
107
respecter en pratique.
Ainsi, les pertes de la bre de transmission ne peuvent donc pas être compensées ni
estimées. Ceci induit une distance limitée de transmission, au delà de laquelle un tel
dispositif de communication devient inutile. Actuellement, cette distance maximale est
typiquement comprise entre "20" et "200" kms (elle peut atteindre même à 300kms), en
fonction des protocoles et des conditions des laboratoires de test [90, 91].
4.
Canal quantique, décohérence et bruit de fond : Le développement de la cryptographie quantique au cours des dernières décennies a donné de l'intérêt pour les études
des limites fondamentales de la transmission d'information via un canal quantique. Donc,
si certains canaux sont assez bien caractérisés de point de vue quantication des pertes
d'information induites. Toutefois, les minimiser ou à défaut les maitriser n'est possible que
d'une manière conjecturée.
De ce fait, le bruit injecté dans le canal lors de l'échange de l'information impacte
négativement sa capacité de transmettre et de recevoir [92]. On rappelle que le mécanisme
de décohérence est sans doute l'un des aspects les plus intrigants de la physique quantique.
Du fait qu'il est directement lié à la diculté à envisager une superposition "classique"
d'états quantique et de la maintenir autant qu'on souhaite.
C'est en fait le vrais talon d'achille de la cryptographie quantique dont elle soure énormément et qui bloque son évolution. Néanmoins, la communauté scientique s'activent
pour mettre en ÷uvre des états quantiques capables de résister aux mieux à ces eets
indésirables. Ces eets se manifestent, premièrement, dans l'absorption au niveau de la
bre, qui dépend de la distance de transmission inuençant indirectement le taux d'erreur.
Et deuxièmement, la décohérence partiale de l'état avec le canal de transmission qui, pour
être évitée, nécessite des bres de très bonne qualité.
5.
Imperfection des détecteurs qui impactent négativement les probabilités de
détection : La cryptographie quantique permet la distribution de clés ainsi qu'elle
assure leur condentialité absolue. Lors d'une communication par bres optiques, un des
principes de la transmission consiste à atténuer la lumière jusqu'à son plus bas niveau
possible qui est le photon. Ainsi, une mesure exacte des photons s'avère nécessaire, et
demande l'utilisation des composantes très sensibles et qui permettent de compter les
photons reçus.
Toutefois, dans un détecteur de photon, on ne peut généralement éviter la détection
aléatoire de photons d'origine thermique ou autre phénomène comme les coups d'obscurité
(dark count). On estime que le taux d'erreur a une proportionnalité linéaire au temps
d'ouverture du détecteur et inversement proportionnel à l'intensité du signal transmis et
donc directement proportionnel à l'absorption dans la bre.
Autrement, l'apparition d'une telle erreur, due à la détection fortuite de photons au
niveau du récepteur, va augmenter exponentiellement avec la distance. On ajoute la perte
en intensité occasionnée par l'atténuation du signal à la source et la perte en intensité
due à la qualité des détecteurs disponibles à l'heure actuelle [93]. Tous ces paramètres
vont diminuer considérablement les performances des protocoles de communication
3.2. La décohérence
108
quantique. Et plus particulièrement, ils limitent le débit maximal de la transmission qui
est étroitement lié à la fréquence maximale de détection correcte des photons.
Ainsi, malgré qu'on assiste à une accélération notable dans le domaine de la création
et du développement des "composantes électroniques", pourtant l'industrialisation de ce
processus demeure moins prometteur à cause de cette problématique de détection.
3.2.4 Les limitations des protocoles quantiques et quelques conclusions
1. Possibilité d'espionnage par "beamsplitting" (photon number splitting [94]) :
Pour introduire ce genre d'attaque, on rappelle que les sources de photons employées
utilisent des sources laser atténuées et non pas des sources à photon unique. Cela implique
qu'on n'a pas exactement un photon par pulse mais plutôt un photon moyen par pulse.
Etant donné que ces lasers sont à la base des états cohérents et ayant une émission
gouvernée par une distribution poissonienne. Donc, la possibilité d'avoir plus q'un photon
est assez fréquemment probable dans cette conguration.
Par conséquent, un espion pourrait intercepter un photon et laisser passer le reste du pulse
sans que cela modie de façon estimable la qualité du signal. Pour ce faire, l'attaquant
peut recourir à un miroir semi-transparent pour subdiviser les pulsions en deux parties.
Ensuite, il va envoyer une partie et stocker l'autre en vue d'analyser sa polarisation dans
la base compatible. Et cela lorsque celle-ci est annoncée publiquement par l'émetteur une
fois la phase de la détection des intrusions est terminée. Ainsi, une telle technique prote
d'une faiblesse au niveau des dispositifs de communication quantique qu'on arrive pas à
surmonter jusqu'à présent.
2.
Possibilité d'espionnage par le "cheval de troie" [95] :
Une autre stratégie d'attaque sur des congurations de distribution quantique des clés est
l'attaque par le cheval de troie ou "the Trojan attack". L'idée principale de cette stratégie
consiste à ne pas interagir avec les photons transmis entre Alice et Bob. Mais, plutôt
d'entrer en contact direct avec les appareils dans le laboratoire des deux correspondants
en envoyant un faible signale et en recueillant l'onde rééchie en vue d'analyser ces
changements par rapport au signale de référence.
L'attaquant est en possession d'un laser et un système de détection. Donc, il envoie des
impulsions de lumière vers la conguration soit d'Alice ou de Bob, qui vont être rééchies
sur son dispositif de mesure au retour. Ainsi, il peut utiliser les informations du signal
rééchi pour détecter quelle base d'encodage a été mise en ÷uvre pour la préparation du
photon ou bien la base qui a été utilisée pour eectuer la mesure. La révélation d'une telle
information secrète est susceptible de compromettre la sécurité et la condentialité de la
clé générée.
3.
Possibilité d'espionnage par les "états truqués" [96, 97] :
Toujours dans le cadre des attaques quantiques, nous présentons l'attaque à base
des états truqués ou "Facked states attack". Cette stratégie fait partie de la famille
des attaques "Interception et Emission : IR" à une diérence près que l'attaquant
ne cherche pas à reproduire l'état intercepté. Mais, il parvient à envoyer un signal de
3.2. La décohérence
109
brouillage au dispositif du récepteur lui permettant de le contrôler totalement et à distance.
Pour ce faire, il intercepte les états envoyés par l'émetteur en utilisant un clone du dispositif
du récepteur. Ensuite, il transmet un état au récepteur qui ne peut être détecté que par
une base compatible avec son choix. En eet, cette vulnérabilité est due à l'inadéquation
des détecteurs des photons utilisés lors de la communication. Donc, en exploitant cette
faiblesse, l'attaquant peut contrôler la valeur du bit générer et donc il est en mesure
d'extraire la clé partagée ou le secret transmis.
4.
Possibilité d'espionnage par le "décalage temporel" [98, 99] :
Une autre version de l'attaque citée plus haut, est la stratégie dite attaque par décalage
temporel ou "the time-shift attack". En eet, cette attaque exploite également les
défaillances liées au problèmes de détection. Mais, à la diérence que l'attaquant ne
mesure pas l'état envoyé par l'émetteur, néanmoins il joue sur le temps du signal de façon
aléatoire du sorte qu'il arrive à l'extérieur de la courbe de sensibilité de la détection du
récepteur.
En raison de son choix d'intervalle, l'attaquant est en mesure de déduire le résultat
exact de la mesure du récepteur. En fait, ce résultat est dû à son capacité d'aveugler
complètement un détecteur par son décalage dans le temps. Donc, il sera en mesure
d'obtenir des informations complètes sur le résultat de la mesure eectuée. Ainsi, il est
évident de mentionner qu'une telle intrusion permet à une tierce personne d'obtenir des
informations sur la clé secrète.
5.
Possibilité d'espionnage par l'attaque "interception et renvoi" [100, 94] :
Dans cette attaque intuitive l'attaquant va capturer tous les photons avant qu'il n'arrivent
à destination pour les mesurer. Par la suite, il va renvoyer vers le récepteur une version de
ce qu'il a reçu. Ainsi, pour prouver la sécurité des protocoles quantiques, une telle attaque
simple est écartée en principe et cela est dû aux hypothèses de départ :
l'attaquant dispose d'un accès libre et totale au canal quantique,
par contre, il dispose d'un accès limité et restreint au canal classique.
Donc suite à ces conditions et après que l'attaquant choisit une base. Il mesure chaque
photon intercepté et stocke le résultat dans une mémoire (couple base et mesure obtenue).
Nous avons en principe les trois cas de gure suivants :
a) les deux correspondants eectuent un choix de base diérent, alors leurs mesures sont
tout simplement abandonnées.
b) l'attaquant a eectué le même choix de base que les deux correspondants. Par conséquent, son intervention ne perturbe pas la mesure, puisqu'il envoie exactement le même
état qu'il a reçoit. Dans ce cas il sera indécelable.
c) l'attaquant a eectué un choix de base diérent de celui des deux correspondants. Alors,
en principe l'anomalie intervient quand ces correspondants font le même choix de base.
Ce cas de gure produit une perturbation de l'état quantique. Donc son intervention
sur le canal sera détectée.
Mais si on suppose, par contre, que l'attaquant est en mesure de compromettre également
le canal classique. Alors, comment peut-on détecter une intervention illicite si on arrive pas
à échanger classiquement de l'information ? Paradoxalement, on implique explicitement la
3.2. La décohérence
110
cryptographie classique dans la preuve de sécurité de la communication quantique. Toutefois, on prétend être capable d'outrepasser le chirement classique. Bizarrement, on voit
claire qu'un tel seuil de sécurité n'est atteignable réellement qu'avec une mutualisation des
techniques entre les deux principes de chirement quantique et classique.
À présent, nous allons nous interroger à propos de l'avenir de la cryptographie sous ces deux
volets possibles. Et par la suite, nous avons l'obligation de fournir une réponse impartiale,
objective et claire pour répondre à cette problématique. Cela doit se faire loin des prétentions
et des hypothèses des partisans de la cryptographie classique ou de la cryptographie quantique.
Dans ce cadre, la première question qui nous intéresse est sur les signes montrant que la
cryptographie classique sous sa forme actuelle a-t-elle atteint sa date de péremption. Par
conséquent, et face à cette situation critique, la cryptographie quantique se présente comme le
seul candidat capable de prendre le relais. Toutefois, pouvons nous l'accepter réellement malgré
ses limitations d'intégration dans le domaine de l'industrialisation professionnelle. En plus est
ce que ces mécanismes de chirements sont-ils assez matures pour accomplir cette tâche vue
que nous avons prouvé l'existence de plusieurs défaillances et anomalies d'implémentation et de
fonctionnement.
Pour analyser ecacement cette problématique, nous devons reprendre la preuve de sécurité
présenter pour la majorité des protocoles de communication quantique. En eet, les démonstrations de la sécurité inconditionnelle reposent toutes sur des conditions qu'on ne peut espérer
leurs réalisations que dans des laboratoires de test et n'en pas dans un environnement "hostile".
Pour appuyer cette conclusion, il sut de se référer au nombre d'attaques et les preuves de
concept, concernant le vol des clés de session partagées et l'inltration dans le canal ...., mises
en évidence dans le cadre de la communication quantique.
Logiquement parlant, si la communication est inconditionnellement sûre alors comment
peut-on justier tant de vulnérabilités relevant du domaine quantique. En plus, si on espère
un jour faire une rupture nette avec les techniques de chirement classique. Alors, nous allons
rapidement buter sur plusieurs entraves pratiques à savoir : le débit de chirement, la vitesse de
déchirement, la distance de propagation et d'absorption des états quantiques, l'investissement
énorme et l'infrastructure colossale à mettre en ÷uvre, ....
Et généralement on va se trouver avec une technologie vraiment très limitée et rudimentaire
incapable de répondre même aux besoins les plus élémentaires en matière de sécurité de
l'information. Ainsi, on va se sentir comme si on recule d'un pas au lieu d'avancer. Notamment,
on va perdre en terme des performances et de stabilité déjà acquises.
Toujours dans le même contexte, mais cette fois-ci nous allons discuter autour de la
cryptographie classique, et plus particulièrement les algorithmes symétriques qui vont être
les plus touchés par une attaque quantique. Ainsi, une clef "AES-128" traitée par un algorithme de recherche quantique (algorithme de Grover) [7] ne possède plus qu'une force d'une
clé ayant une taille de "64" ! !. Cette règle a pour conséquence de diviser la force de tous
les algorithmes symétriques par deux et par analogie le temps d'attaque lui aussi est divisé
√
quadratiquement. Donc nous allons passer d'une complexité à O(N ) à une complexité de O( N ).
Concernant les systèmes de chirement asymétriques, eux également sont vulnérables aux
assauts d'un algorithme de factorisation quantique [6]. Par conséquent, beaucoup de crypto-
3.2. La décohérence
111
systèmes à clé publique, tel que le RSA, deviendraient vulnérables une fois qu'on implémente
complètement l'algorithme de Shor dans un calculateur quantique. Donc, un message chiré
avec RSA peut être déchiré par factorisation de sa clé publique N , qui est le produit de deux
nombres premiers. En l'état actuel, il n'existe pas d'algorithme classique capable de faire cela
en un temps O ()k pour n'importe quel "k". En plus, il est à signaler qu'un ajustement simple
sura pour attaquer d'autres cryptosystèmes à clé publique.
Vue ce qui précède et en terme de conclusion, nous estimons que la solution idéale serait la
réalisation d'une parfaite cohabitation entre la cryptographie classique et la cryptographie
quantique. Une telle harmonisation à pour eet de colmater mutuellement les brèches de l'une
en utilisant les points forts de l'autre et vis versa.
Dans cette optique, on propose alors des démarches qui doivent s'inscrire dans un processus de
coexistence et d'hybridation entre les deux mécanismes de chirement. Ainsi, une telle mesure
contribuera sans doute à rehausser le niveau de sécurité et permettra de se procurer une puissance
proportionnel à la fois à la sécurité oertte par la mécabique quantique et la complexité de
chirement classique. Pour ce faire, nous allons aborder dans le prochain chapitre la stratégie
que nous allons adopter pour fonder un mécanisme de chirement à la fois robuste et sécurisé
basé essentiellement sur :
La proposition des protocoles de communication quantique à base des états cohérents
déformés, capables de résister au phénomène de décohérence et des pertes sur les canaux
de transmission.
L'analyser et l'étude des protocoles quantiques actuels en vue de détecter les failles et les
vulnérabilités pour proposer les correctifs et les mise à jour à appliquer. Cette orientation
va nous permettre de présenter la cryptanalyse comme outil ou moyen permettant de tester
la sécurité et la abilité des protocoles.
La conception des dispositifs de sécurité en s'inspirant des architecture et des standards de
communication classique. Ètant donné que tout ce qui est classique n'est pas forcément non
valable, notamment nous allons proposer la structure et le fonctionnement d'un "Parefeu
quantique" en se basant sur un modèle opératoire classique.
4 Travaux relatifs à la sécurité de la
communication et à la cryptographie
quantique
4.1 Contribution.1 : A quantum secure direct communication
protocol using entangled modied spin coherent states
Résumé : Les états cohérents qui sont des superpositions linéaires de tous les états de Fock,
jouent un rôle important dans la mécanique quantique. Plus particulièrement, ils peuvent être
considérés comme le moyen de transmission quantique de l'information le plus utilisé. Dans cet
article [110], nous avons proposer un nouveau protocole de communication directe basé sur des
états cohérents de spin modiés en tant que vecteur de transmission de l'information entre deux
ou plusieurs correspondants. Pour ce faire, nous allons tout d'abord présenter le groupe SU (2) des
états cohérents dans un cadre plus général de la quantication qui est la théorie de déformation.
Nous avons étudié également les propriétés de ces états lorsqu'ils sont utilisés dans un protocole
d'échange de l'information. Ainsi, la phase nale est consacrée à l'étude et l'analyse de la sécurité
de la transmission en fonction des fuites d'informations enregistrées, en évaluant ces interférences
sur le canal de transmission, on peut alors estimer l'information obtenue par un espion potentiel.
Par ailleurs, l'article est organisé comme suit : Dans le premier paragraphe, nous donnons un
bref aperçu sur le protocole "Quantum Direct Communication Protocol Using Einstein-PodolskyRosen Pair Block" abrégé en DPP [101]. Par la suite, le deuxième paragraphe sera consacré à la
description du protocole proposé à la base des états cohérents normales et aussi déformés pour
constater à la n l'amélioration du niveau de sécurité lors de la communication en utilisant les
états modiés. Pour clôturer, une discussion détaillé des résultats obtenues sera présentée dans
le dernier paragraphe.
4.1.1 Description du protocole DPP
L'idée clé de ce protocole repose essentiellement sur les propriétés, que nous avons amplement
discuté, des états EPR ou les états de Bell dénis comme suit :
|φ± i =
|ψ ± i =
1
√ (|00i ± |11i)
2
1
√ (|10i ± |10i)
2
(4.1)
Ainsi, on constate que si un état d'un photon est mesuré, l'état globale va s'eondrer et l'état
de l'autre particule sera complètement déterminé. Dans ce cadre, le protocole original "PingPong" fonde son raisonnement sur la base de cette constatation. En eet, une telle propriété
nous accorde la possibilité de coder un bit d'information dans les états |ψ ± i, et cette technique
de dissimulation est complètement inaccessible à toute personne n'ayant pas un accès simultané
au deux particules. Par conséquent, l'opération inverse d'extraction du message secret, nécessite
4.1. Contribution.1 : A quantum secure direct communication protocol using
entangled modied spin coherent states
113
obligatoirement la possession des deux photons. Nous allons alors commencer par une description
des étapes du protocole DPP :
(S1) Alice prépare une séquence ordonnée des pairs EPR de la forme de |ψ − i. Elle extrait
ensuite la première particule de chaque pair pour former la séquence S1 et le reste pour
former la séquence S2.
(S2) Après cela, Alice envoie S1 vers Bob. Les deux correspondants peuvent s'assurer de
l'absence d'une présence malveillante sur le canal, en suivant la procédure ci-après :
(a) Bob va choisir aléatoirement une fraction des particules de S1 et va informer Alice
de son choix.
(b) Bob va également choisir une base parmi les deux bases de mesure σz ou σx pour
mesurer son état.
(c) Une fois c'est fait, Bob annonce à Alice ses choix ainsi que les valeurs obtenues.
(d) Ainsi, Alice réutilise les mêmes bases que Bob pour mesurer les photons de S2
correspondants aux mêmes emplacements choisis par Bob.
Logiquement parlant, s'il n'y a pas eu de modication ou altération quelconques sur
la canal de transmission, alors leurs résultats doivent être parfaitement corrélés. Cette
procédure de vérication est considérée comme une première mesure de protection.
Ainsi, si les deux utilisateurs n'ont rien constatés d'anormale, alors ils continuent les
démarches du protocole, sinon ils vont abandonner.
(S3) Pour envoyer son message secret à Bob, Alice code cette information sur la séquence
S2 et le transmet par la suite à Bob. Mais avant la transmission, elle doit obligatoirement
envisager de protéger son message. Pour ce faire, Alice doit ajouter un petit truc dans
la séquence S2. Il s'agit de sélectionner de façon aléatoire dans la séquence S2 certaines
particules et eectue au hasard l'une des quatre opérations unitaire de Pauli. Il est à noter
que le nombre de ces particules doit être représentatif an de fournir une vision sur l'analyse
du taux d'erreur. Par conséquent, on constate que seule Alice qui connaît les positions de
ces particules d'échantillonnage et qu 'elle doit les garder en secret jusqu'à la n de la
communication. Par contre, le reste des particules de la séquence S2 sont utilisés pour
transporter directement le message secret. Pour coder le message, ils utilisent le système
de codage dense de Bennett et Wiesner [102], où l'information est codée sur une paire EPR
avec une opération locale sur un seul qubit. Ici, dans ce protocole, les deux particules de la
paire EPR sont envoyés par Alice à Bob en deux étapes, et la transmission de paires EPR
se fait donc en bloc. Explicitement, Alice fait agir l'une des quatre opérations unitaires
(U0 , U1 , U2 et U3 ) sur chacun de ses particules :
U0 = σ0 = |0ih0| + |1ih1|
U1 = σz = |0ih0| − |1ih1|
U2 = σx = |0ih1| + |1ih0|
U3 = σy = |0ih1| − |1ih0|
(4.2)
cette action va transformer l'état |ψ − i aux états |ψ − i, |ψ + i, |φ− i et |φ+ i respectivement.
Il est à signaler également que ces opérations logiques correspondent aux valeurs binaires
suivantes 00, 01, 10 et 11, respectivement.
(S4) Après la transmission de la séquence S2, Alice informe Bob des positions des paires
d'échantillonnage et le choix des opérations unitaires exécutées. Alors, Bob eectue une
mesure de Bell sur la séquence S1 et S2 simultanément. En vériant les paires d'échantillonnage que Alice a choisi, il obtiendra une estimation du taux d'erreur dans la séquence
de transmission S2. En fait, dans la seconde transmission, Eve ne peut pas perturber la
transmission et ne peut pas également voler l'information, parce qu'elle ne peut pas obtenir
4.1. Contribution.1 : A quantum secure direct communication protocol using
entangled modied spin coherent states
114
une information à partir d'une seule particule d'une paire EPR, c'est le principe qu'on a
déjà évoqué auparavant.
(S5) Ainsi, si le taux d'erreur des paires d'échantillonnage est relativement faible, Alice
et Bob peuvent alors accepter le processus de communication, et continuent à corriger les
erreurs dans le message secret en utilisant des méthodes de correction d'erreur. Sinon, Alice
et Bob abandonnent la transmission et répétent la procédure depuis le début.
(S6) En eet, la correction d'erreur sur les résultats obtenus se fait exactement de la même
manière que celle dans QKD. Toutefois, an de préserver l'intégrité du message transmis,
des techniques de préservation des bits de correction doivent être utilisées telles que la
procédure "CASCADE" [103].
4.1.2 La proposition d'un protocole Ping Pong à base des états cohérents
Avant d'aborder la description du protocole proposé, nous allons à la lumière des états de Bell
photonique dénir des état de Bell à base des états cohérents comme suit :
|φ± i =
|ψ ± i =
1
√ (|α, αi ± | − α, −αi)
2
1
√ (|α, −αi ± | − α, αi)
2
(4.3)
avec
|αi = exp
−|α|2
2
∞
X
αn
√ )
(
n!
n=0
(4.4)
est un état cohérent normale exprimé dans la base de fock et :
1
|α, jiq = q
(1 + |α|2 )q 2 j
j
X
m=−i
2j
m+j
! 12
α(m+j) |j, mi
(4.5)
q
est un état cohérent déformé aussi dans la même base de fock. Il est à noter que quand q = 1,
nous retrouvons l'état cohérent de spin normale [104, 105].
L'objectif de ce travail est à la fois introduire l'utilisation des états cohérents dans les tâches de
communications et dans l'échange de l'information et également étudier l'impact de la déformation sur les performances de la sécurité de transmission et le niveau de condentialité atteint
grâce à l'usage de ces états modiés. Ainsi, le protocole présenté dans cet article suit le processus
de transmission par lots de N paires EPR décrit dans [106]. En eet, parmi les avantages de ce
schéma de transmission par bloc est que nous pouvons vérier la sécurité de la transmission par
la mesure de certains particules [107, 108] dans la première étape, où Alice et Bob possèdent une
séquence de particules à portée de leurs mains, ce qui signie qu'un espion n'a pas accès à la
première séquence de particules, n'aura aucune information sur l'état du système et ce quelque
soit son action sur la deuxième séquence. Par la suite, nous allons dénir l'état :
|ψi =
|ψi ≡
1
√ (|αi ⊗ |αi + | − αi ⊗ | − αi)
2
1
√ (|α, αi + | − α, −αi)
2
(4.6)
4.1. Contribution.1 : A quantum secure direct communication protocol using
entangled modied spin coherent states
115
et les opérateurs unitaires (U0 , U1 , U2 et U3 ) suivant :
U0 = σ0 = |αihα| + | − αih−α|
U1 = σz = |αihα| − | − αih−α|
U2 = σx = |αih−α| + | − αihα|
U3 = σy = |αih−α| − | − αihα|
(4.7)
avec
|αi ∈ {|αi( état normal avec q = 1), |αiq ( état normal avec q 6= 1}
(4.8)
en eet, on peut supposer, à titre approximatif, que ces opérateurs peuvent être considérés
comme des opérateurs unitaires sous certaines conditions (voire appendice A.[110]). De ce fait,
on va estimer dans notre cas que U0 , U1 , U2 et U3 sont approximativement unitaires.
Par conséquent, nous allons décrire le protocole proposé comme suit :
(S1) Bob prépare N états de Bell de la forme :
1
|φ+ i = √ (|α, αi + | − α, −αi)
2
(4.9)
avec
|αi ∈ {|αi( état normal avec q = 1), |αiq ( état normal avec q 6= 1}
(4.10)
ensuite, il extrait toutes les premières particules de ces N états pour former la séquence
ABob . Cette séquence sera utilisée pour transmettre un message sécurisé de Alice vers Bob.
Par contre, les particules restantes vont former la séquence BBob que Bob va conserver.
(S2) Bob prépare également un grand nombre d'états de la forme |ψi pour constituer la
séquence CBob pour détecter toutes les actions illicites sur le canal. Dans la séquence CBob ,
il mesure la première particule de |ψi dans la base BZ = {|αi, | − αi} et enregistre les
résultats de mesure. Après cela, il insère la seconde particule de |ψi, dans la séquence ABob
au hasard, de sorte qu'il forme une nouvelle séquence DBob . Ladite séquence contient en
ce moment les particules de détection d'intrusion et les particules d'encodage du message
secret. Toutefois, il faut remarquer que la position d'insertion des ces particules doit être
garder secrète.
(S3) Bob va stocker la séquence BBob et envoie la séquence DBob
(S4) Après avoir reçu la séquence DBob , Alice va demander à Bob de lui communiquer les
positions des particules de détection et les résultats de la mesure qu'il a enregistrées. En
se basant sur ces information, Alice extrait ces particules de la séquence DBob et eectue
ensuite la mesure dans la même base que Bob. Ceci étant la première phase de vérication.
De ce fait, s'il n'y a pas une intervention sur le canal, alors les deux mesures doivent être
parfaitement corrélées. Donc, tout déviation de ce constat doit être interpréter comme une
action d'interception menée sur le canal, et par conséquent, la communication doit être
interrompue et le protocole doit être abandonné (refaire depuis (S1)).
(S5) Dans cette étape, Alice élimine les particules de détection de la séquence DBob , alors
cette séquence redevient la séquence ABob de nouveau. Alice code son messages sur la séquence ABob et la transmet à Bob. An de se prémunir contre toute action illicite dans cette
transmission, Alice va également insérer des particules de détection dans la séquence ABob
avant la transmission. De la même manière que précédemment, elle va insérer aléatoirement
la première particule de l'état |ψi dans la séquence ABob et va mesurer la deuxième particule et conserver son résultat. Seulement cette fois-ci c'est Alice qui connaît les positions
4.1. Contribution.1 : A quantum secure direct communication protocol using
entangled modied spin coherent states
116
de ces particules et les résultats de mesure. En eet, la séquence ABob est utilisée pour
transporter directement le message secret. Pour augmenter la capacité de transmission, le
système de codage dense peut être également intégré dans ce schéma. Explicitement, Alice
exécute l'une des quatre opérations unitaires (U0 , U1 , U2 et U3 ) sur chaque mode de la séquence ABob en fonction du message à transmettre. Ainsi, cette action transforme |φ+ i en
|φ+ i, |φ− i, |ψ + i et |ψ − i respectivement. Donc on admet que ces opérations correspondent
à transmettre les valeurs classiques suivantes 00, 01, 10 et 11 respectivement. Puis Alice
transmet à Bob la séquence ABob qui porte les particules transformées et les particules de
détection.
(S6) Après la transmission de la séquence de ABob , Alice annonce à Bob les positions des
particules de détection et les résultats de mesure des premières particules. Pour obtenir le
message secret, Bob eectue une mesure de Bell sur les séquences ABob et BBob simultanément. En vériant les particules servant d'élément de détection, insérées par Alice, Bob
déterminera une estimation du taux d'erreur dans la séquence ABob . En fait, Eve ne peut
perturber la transmission et ne peut pas voler l'information, parce qu'elle ne peut obtenir
une information complète d'une seule particule à partir d'une paire EPR. Ainsi, si le taux
d'erreur est raisonnablement faible, Alice et Bob peuvent ensuite faire conance dans ce
processus, et continuent à transmettre le message secret. Sinon, Alice et Bob abandonnent
la transmission et répéter les procédures depuis le début. Comme indiqué ci-dessus, le
message secret peut être transmis de façon sécurisée entre Alice et Bob, et l'espion sera
découvert s'il tente de perturber la ligne de communication quantique. En eet, physiquement parlant, Eve ne peut pas accéder aux informations encodées dans la demi pair-EPR
à partir de l'autre moitié EPR (même si elle capte la séquence ABob ) parce que cette opération nécessite, à la fois, la connaissance des position des particules de détection pour les
éliminer et l'exécution d'une mesure de Bell sur les deux parties ABob et BBob . Donc, on
conclut que la transmission dans le cadre de ce protocole est considérée sécurisée.
4.1.3 L'analyse de sécurité pour les protocoles proposés
Dans le protocole "Ping-Pong" original [101], l'auteur a estimé la valeur maximale de l'information I(dio ) qu'Eve peut soutirer du canal et la probabilité dio pour laquelle Eve est détecté
comme suit :
I(di0 ) = −di0 log2 (di0 ) − (1 − di0 )log2 (1 − di0 )
(4.11)
en eet, le maximum de cette fonction est prévu lorsque p0 = p1 = 0.5. Donc, on constate
qu'en peut détecter Eve avec une probabilité de dio = 0.5 quand elle a accès à l'information totale. Maintenant, pour analyser l'ecacité de la détection d'intrusion dans les deux
protocoles proposés, on va se mettre dans la situation où l'espion "Eve" va procéder à l'exécution d'une attaque par "beam-splitter", considérée comme l'attaque la plus performante et la
plus élaborée dans le contexte où les états cohérents sont utilisés comme vecteur de transmission.
Cette opération représentée par l'opération unitaire Ubs va aboutir à l'obtention d'un
information partielle qu'Alice va encoder sur les modes transitoires. Donc, notre approche
analytique consiste à supposer que Eve eectue une mesure sur la partie du système dont elle
a seulement accès. D'autant plus, il faut rappeler que toutes les particules émises entre Alice
et Bob sont envoyés sous forme de bloc. Par conséquent, un attaquant n'aura pas la possibilité
de diérencier entre les particules utilisées pour détecter les intrusions et celles utilisées pour
transmettre l'information dans le lot envoyé.
4.1. Contribution.1 : A quantum secure direct communication protocol using
entangled modied spin coherent states
117
Ainsi, la seule démarche logique qui sera accessible à Eve est d'eectuer seulement la même
opération d'attaque sur toutes les particules sans aucune distinction. De ce fait, en se basant
sur le constat que l'état des modes transitoires est indiscernable du mélange complet, alors
nous devons analyser l'attaque que Eve va eectuer dans cette condition. Ensuite, nous devons
déterminer, la probabilité de détection et l'erreur introduite dans le canal quantique. Pour ce
faire, on va recourir à l'information mutuelle comme un outil de mesure pour estimer la variation
de gain d'information entre l'émetteur, le récepteur et l'attaquant. Donc, de ce qui précède on va
commencer tout d'abord par décrire l'action d'une "beam-splitter" UBS qui liée l'état d'entrée à
l'état de sortie correspondant par :
|outi = UBS |inti
(4.12)
est donné par [109] :
θ
† b+ab† )
UBS = ei 2 (a
(4.13)
ici, a et b (a† et b† respectivement) sont les opérateurs d'annihilation (opérateurs de création
respectivement) décrivant les entrées et les sorties de la "beam-splitter". Ainsi, cette description
nous a permis de modéliser l'opérateur d'attaque comme suit :
Ubs | ± α(q)iB ⊗ |0iE = | ± ηα(q)iB | ± τ α(q)iE
(4.14)
avec |α(q)iB (q ∈ [0, 1]) et η et τ sont les facteurs de transmission et de réexion de la beamsplitter d'Eve avec η 2 + τ 2 = 1. Explicitement, cette transformation unitaire agira sur l'état
cohérent introduite en entrée de la façon suivante :
(4.15)
Ubs | ± αiB ⊗ |0iE = | ± ηαiB | ± τ αiE ,
UBS |α, ji|0i =
1
q
(1 + |α|2 )q 2 j
q=1
2j X
n
X
n=0 p=0
! 12 1
2j
n 2 n p n−p
α T R
|pi|n − pi,
n q
p
q 6= 1
En vertu de ce qui précède, les particules de détection vont redevenir après l'attaque comme
suit :
1
(I ⊗ Ubs )|ψi ≡ (I ⊗ Ubs ) √ (|α, αi + | − α, −αi)
2
(4.16)
En eet, cette forme de représentation nous permet de monter que seule le mode transitoire qui
va être attaqué par contre l'autre mode, détenu par Alice, sera inchangé sous l'action de "I "
opérateur identité agissant sur le premier mode des états EPR. Ainsi, pour évaluer la probabilité
de succès de la mesure nous allons considérer une situation explicite. Pour ce faire, on suppose
qu'Alice envoie à Bob l'état de détection | ± α(q)i, de ce fait la probabilité de succès correspondante à la mesure de l'état | ± α(q)i après l'intervention d'Eve dans la base BZ = {|αi, −|αi}
est donnée par :
prob|±α(q)i = [h±α(q)|Ubs | ± α(q)i]2
(4.17)
par analogie, nous concluons que l'erreur introduite par Eve sera de la forme :
Err = 1 − prob|±α(q)i
(4.18)
4.1. Contribution.1 : A quantum secure direct communication protocol using
entangled modied spin coherent states
118
donc tout calcul fait (voir appendice A et B [110]), nous aurons :
prob|±α(q)i = exp
prob|α(q),ji =
−|α|2 (1−η)2
2
[2j]q !
(q = 1))
2j Min(2j−p,2j−p0)
X
X
((1 + |α(q)|2 )q 2j )−2 p,p0
m=0
1
2
(m + p)!(m + p0)!
×
[m + p]q ![m + p0]q ![2j − m − p]q ![2j − m − p0]q !
|α(q)|(2m+p+p0) T 2m (1 − T 2 )
×
√
m!
pp0
p+p0
2
(q 6= 1))
(4.19)
on constate d'après l'équation Eq.4.19 que la probabilité de succès dépend fortement de l'amplitude de l'état cohérent α et des coecients η(τ ) de la "Beamsplitter" utilisée dans cette attaque.
En plus, cette variation dépend également du paramètre de déformation q dans le cas des états
cohérents modiés. Donc pour conrmer ces observations et en vue d'explorer davantage l'eet
qu'apporte la variation de ces paramètres sur la probabilité de succès et le taux d'erreur, qu'introduit l'espion en cas d'attaque, nous avons représenté cette évolution sur la gures Fig.4.1 a et b.
(a)
(b)
Figure 4.1 (a) l'évolution de la probabilité d'erreur en fonction de 0 < |α| < 3 avec un taux
de réexion de 50% et une déformation q ∈ {0.1, 0.5, 0.99 ' 1}, (b) l'évolution de
la probabilité de succès en fonction de 0 < |α| < 3 avec un taux de réexion de
50% et une déformation q ∈ {0.1, 0.5, 0.99 ' 1}.
Ainsi, nous concluons que globalement pour une amplitude α plus large, la probabilité de
succès diminue (voir gure 4.1.b) et inversement le taux d'erreur augmente (voir gure 4.1.a).
En plus, on constate que pour la même valeur de l'amplitude α, la probabilité de succès diminue
également tout en s'éloignant de l'unité (1), c'est la valeur classique des état cohérents non
déformés, mais cette tendance on l'observe aussi dans le taux d'erreur qui s'amplie à chaque
fois qu'on déforme plus q 1.
Par conséquent, on conclus qu'une telle situation nous serait optimale dans un mode d'une
communication sécurisée parce que au lieu d'utiliser des états cohérents avec des grandes
4.1. Contribution.1 : A quantum secure direct communication protocol using
entangled modied spin coherent states
119
amplitudes, qualiées d'un vice de sécurité et une faiblesse lors de la transmission (attaque
pas splitting), alors on peut contourner cette entrave par le recours à la déformation des états
cohérents.
Toutefois, il serait judicieux d'étudier la faisabilité de cette proposition dans des conditions de
communication réelle. En eet, comme on a déjà mentionné auparavant, les conditions d'évolution des particules transmetteurs de l'information se fait dans un environnement généralement
qu'on n'arrivera jamais à contrôler.
De ce fait, imaginer une situation de communication dans
des conditions réelle, revient à imposer des pertes à encaisser le long de la ligne entre les deux
correspondants légitimes.
Ainsi, l'ensemble de ces pertes on peut les modéliser sous formes d'une série des "Beamsplitter"
(miroir rééchissante) placées devant un détecteur parfait de Bob. A cet eet, on considère
que la "Beamsplitter" B1 utilisée par l'attaquant dispose d'un facteur de réexion η1 , l'eet de
l'environnement et de la décohérence induite est représentée lui aussi par une "Beamsplitter" B2
dont le facteur de réexion est η2 et nalement les pertes subis pendants la phase de la mesure,
causées généralement par l'imperfection des détecteurs, elles aussi peuvent êtres symbolisées
par le schéma équivalent qui fait correspondre une opération de mesure imparfaite à une
"Beamsplitter" rééchissante B3 (η3 ) installée devant un détecteur parfait.
Par conséquent, la mise en série de ces "Beamsplitters" et en vertu de la linéarité de cette
transformation, on peut les regrouper dans une seule "Beamsplitter" équivalente d'un facteur de transmission globale de (1 − η1 )(1 − η2 )(1 − η3 ). Ainsi, la transmissibilité du dispositif de communication va diminuer et cette situation va certainement impacter les performances de détection d'intrusion et les probabilités de succès de ce protocole. Pour ce faire
nous avons tracé leur évolution dans Fig.?? a et b mais cette fois-ci en prenant en considération les eets et l'impact de l'environnement, la décohérence et les problèmes liés à la mesure.
(a)
(b)
Figure 4.2 (a) l'évolution de la probabilité d'erreur en fonction de 0 < |α| < 3 avec un taux
de réexion de η ∈ {25%, 50%} et une déformation q ∈ {0.1, 0.5, 0.99 ' 1}, (b)
l'évolution de la probabilité de succès en fonction de 0 < |α| < 3 avec un taux de
réexion de η ∈ {25%, 50%} et une déformation q ∈ {0.1, 0.5, 0.99 ' 1}.
4.1. Contribution.1 : A quantum secure direct communication protocol using
entangled modied spin coherent states
120
Ainsi, nous constatons que généralement les courbes gardent la même allure que précédemment.
Cela implique que pour une amplitude α plus large, la probabilité de succès diminue (voir gure
4.b) et inversement le taux d'erreur augmente (voir gure 4.a). En plus, on observe également
que pour la même valeur de l'amplitude α, la probabilité de succès diminue tout en éloignant
le paramètre de déformation de l'unité. Pour ce qui est de l'ecacité des détecteurs et les
eets indésirables de l'environnement, on voit clairement leur impact sur la probabilité de succès.
En eet, plus l'ecacité des détecteurs diminue, plus la probabilité de réussite diminue et son
erreur correspondante augmente. Par conséquent, la décohérence, l'imperfection des détecteurs
et le bruit sont des facteurs qu'on peut pas gérer directement mais qu'on peut, à la rigueur,
compenser via la déformation. Par ailleurs, on déduit par exemple dans la conguration où
q < 1, l'amplitude α < 1.5 et une ecacité 25% < η < 50% que la meilleur situation se produit
lorsqu'on déforme plus (q 1). Néanmoins, pour réduire à la fois la probabilité de succès et la
quantité d'erreur pour les faibles amplitudes, nous proposons dans la conguration suivante une
démarche utilisant un état cohérent modié contenant trois états déformés dénie comme :
|ψi =
|ψi ≡
1
√ (|αi ⊗ |αi ⊗ |αi + | − αi ⊗ | − αi ⊗ | − αi)
2
1
√ (|α, α, αi + | − α, −α − αi)
2
(4.20)
avec |αi = |α, ji et | − αi = | − α, ji. cette situation est très favorable pour les communications à
faible amplitudes. En eet, si on note psec (2) la probabilité de succès de la première conguration
et psec (3) est la conguration de l'état à trois particules alors nous avons :
psec (3) = (psec (2))2
en vertu que
x2 < x pour x ≤ 1
⇓
psec (3) < psec (2)
(a)
Figure 4.3 (a) Evolution of the probability for Z
(4.21)
(b)
= 1 and 0 < q < 1, (b) Evolution of the
probability for 0 < α < 3 the dotted line (q = 0.5) and solid line (q = 1).
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
121
4.1.4 Conclusion
En guise de conclusion, nous avons proposé un nouveau protocole basé sur les états cohérents
de spin modiée en s'inspirant d'un protocole de communication quantique directe. Ainsi, dans
un premier temps, nous nous sommes intéressés à la déformation de l'algèbre SU (2) que nous
avons noté Uq (SU (2)), qui est en fait une déformation de l'algèbre enveloppante U (SU (2)) et le
générateur des états utilisés dans notre protocole. Par la suite, nous avons étudié l'eet de paramètre de déformation q sur la probabilité de détection et le taux d'erreur introduit par Eve sur le
canal quantique. Enn, nous avons eectué une comparaison en terme de ces performance entre
un état cohérent normal et celui modié et nous avons démontré que la seconde situation permet
d'atteindre un niveau de sécurité meilleur que le premier. D'autant plus, nous avons suggéré la
possibilité de compenser les eets indésirables rencontrés lors de la communication, notamment
le bruit et la décohérence y compris l'imperfection des détecteurs ..., via la déformation des
particules transmetteurs de l'information.
4.2 Contribution.2 : Proposition d'un parefeu quantique à la base
des composantes optiques simples
Résumé : An de renforcer la sécurité de la transmission dans les communications quantiques
en utilisant les états cohérents, nous proposons un dispositif optique [111] sous forme d'un parefeu quantique pour protéger ces système contre l'espionnage via des stratégies d'attaque optiques.
A l'instar du modèle classique du pare-feu, le dispositif proposé ore aux utilisateurs, légitimes,
la possibilité de ltrer, contrôler (états d'entrée/sortie) et de prendre une décision (ou de refuser
l'accès) concernant les états reçus. Pour prouver la sécurité et l'ecacité du pare-feu optique
suggéré, nous analysons ses performances contre une famille spécique d'attaques, notamment
celle la plus importante connue comme "Faked state Attack".
4.2.1 Les attaques quantiques optiques contre les systèmes QKD
Avant d'entamer la description et l'analyse du dispositif proposé, nous allons tout d'abord
rappeler brièvement le principe des attaques quantiques et plus particulièrement les stratégies
adaptées aux dispositifs de communication optiques.
4.2.1.1 synoptique des attaques réception/émission
Généralement, dans ce genre d'attaques [112], l'espion va entrer en action directe avec le
canal pour installer ses équipements. En eet, il va tout d'abord insérer un polariseur avec une
orientation réglable suivie par un détecteur de photons. Par la suite, il va choisir d'intercepter
certains ou l'ensemble des photons qui transitent par le canal suivant sa stratégie. Après cela,
il va choisir aléatoirement une base pour exécuter sa mesure. Une fois c'est fait, il produira un
photon spécialement préparé pour Bob polarisée dans la même direction que celle qu'il a mesuré.
Par conséquent, s'il choisit la même base que Alice, alors il ne sera pas détecté car l'état de
polarisation n'est pas perturbé. Toutefois, s'il choisit une base diérente, à cet instant là il aura
une chance égale de mesurer correctement ou incorrectement la polarisation de la particule. En
fait, il sera plus susceptible d'être détecté dans cette circonstance, parce que le résultat dépend
aussi de la mesure de Bob. Par conséquent, si Bob a choisi une base diérente de Alice, cette
mesure sera abandonnée et l'espion sera épargné. Néanmoins, si Bob utilise la même base que
Alice et l'attaquant, donc il n'y a pas moyen de détecter cette perturbation, on dit que son action
est transparente sur l'état du système. Toutefois, si Alice et Bob utilisent la même base quant à
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
122
l'attaquant mesure suivant une base diérente, c'est ainsi que l'état du photon va s'eondrer, et
à ce moment-là il va être détecté.
4.2.1.2 attaque par les états contrefaits : Faked State Attack
An de monter des attaques plus élaborées [96] dans le cadre des attaques par réception/émission, un attaquant peut potentiellement exploiter les faiblesses de certains dispositifs
de distribution de clés quantiques. En eet, l'attaquant bénécie d'une vulnérabilité aectant
un type bien déterminé des détecteurs utilisés par les correspondants légitimes.
Comme indiqué auparavant, l'espion intercepte le signal émis par Alice et mesure la polarisation sur une base choisie au hasard. Par la suite, il prépare ses résultats de mesure
sur de nouveaux photons et il les envoie vers Bob, comme le cas d'une attaque classique.
Mais cette fois-ci et à la diérence près que l'attaquant va contrôler les détecteurs de Bob
et les condamner à travailler en régime saturé au lieu du régime linéaire. En conséquence,
si le récepteur a les mêmes choix de base que l'espion, ces impulsions vont livrer une valeur
de puissance susante pour générer des déclencheurs dans le détecteur de Bob, donc les
résultats de Bob seront similaires à ceux de l'attaquant. Mais, si par contre la base choisie
par Bob est diérente à celle de l'espion, alors les impulsions de l'attaquant ne vont pas
exciter susamment les détecteurs de Bob pour générer un clic. Ainsi, on constate que dans ce
contexte l'intervention de l'espion introduit un taux d'erreur acceptable et ne révèle aucun doute.
Donc nalement, il parait clair qu'il génère une clé identique que les utilisateurs légitimes
sans attirer leurs intentions. Du coup, Alice et Bob vont reconnaître la validité de la clé générée.
En fait, un espion peut attaquer un système quantique de distribution des clés avec la méthode
de contrôle des détecteurs décrite ci-dessus. En eet, Dans un tel système, Bob a plusieurs
détecteurs et fait un choix de la base de détection. Par conséquent et vue les opportunités
dont dispose l'attaquant, alors il a la possibilité et la liberté d'exciter un détecteur spécique
dans une base spécique de son choix. Par ailleurs une telle man÷uvre a pour conséquence de
permettre à cet attaquant de contrôler le processus de génération des clés de chirement et de
compromettre la sécurité des messages codés.
An de résoudre ce problème, nous considérons l'exemple d'un système de cryptographie quantique avec un codage de polarisation et un choix de base interactif tel que le protocole BB84
[113, 8]. Pour démontrer brièvement l'eet d'une telle attaque, nous supposons que l'entrée du
signale d'Alice passe d'abord par un modulateur qui, au choix aléatoire de Bob, est orienté vers
un diviseur de faisceau polarisant. La composante verticale de la polarisation va au détecteur D0
et la composante horizontale va au détecteur D1 . Dans cette attaque on désigne l'attaquant par
"Eve" qui va agir de sorte qu'elle :
Bloque complètement le canal entre Alice et Bob.
Peut cloner la conguration de Bob pour mesurer les états envoyés par Alice et on suppose
qu'elle eectue un choix aléatoire de la base de détection.
Oblige Bob à eectuer une mesure similaire à celle de son choix en provoquant un clic
dans le détecteur de Bob correspondant à son choix et avec la même valeur qu'elle vient
de mesurer.
Prépare un état quantique très particulier, appelé un état truqué, qui sera envoyé à Bob.
Rendre aveugle les détecteurs de Bob et n'autorise que ceux coïncidant avec ses choix et
les maintient opérationnels dans ce cas.
Les détecteurs de Bob reçoivent le signal envoyé par Eve. Ensuite Bob eectue une mesure
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
123
selon son choix de base. Donc, si Bob choisit la même base que l'espion, alors son détecteur
opérationnel va cliquer, sinon les autres détecteurs sont aveuglés et ils ne vont pas cliquer.
Dans ce cas, nous pouvons conclure que Eve gagne la même information partagée entre
Alice et Bob, mais reste également indétectable.
Finalement, nous pouvons constater qu'une telle attaque permettra eectivement à une tierce
personne, non autorisée à lire et voir la clé secrète, la procuration du secret partagé entre les deux
correspondants légitimes. Ainsi, pour combattre le feu, il parait judicieux parfois d'utiliser le feu.
C'est dans cette optique, que nous avons proposé un dispositif matériel pour combler les lacunes
et les vulnérabilités des dispositifs de détections à la base de simples composantes optiques.
4.2.2 Un parefeu garant de la sécurité au sein d'un réseau de communication
quantique
4.2.2.1 principe fonctionnel et mode opératoire du parefeu classique
Un parefeu [114] est un système conçu pour empêcher l'accès non autorisé à un réseau
privé. Les parefeux peuvent être trouvés dans le marché sous forme matériel, logiciel, ou une
combinaison des deux. Ces dispositifs sont souvent considérés comme un serveur de passerelle
de réseau couramment utilisé pour empêcher les utilisateurs non autorisés d'accéder aux réseaux
privés ou des infrastructures particulièrement critiques. Tous le trac entrant ou sortant doit au
préalable passer à travers cette composante, qui va inspecter chaque trame et bloque celle qui
ne répond pas aux critères de sécurité spéciées.
Cette fonctionnalité de base est le principe fondateur des parefeux, que lorsqu'il est activé, il
permet d'assurer la sécurité du réseau en ltrant les entrées et les sorties selon les règles de sécurité
dénies dans la politique de la communication. Généralement, un simple pare-feu est réputé
pour surveiller et vérier les demandes pour assurer qu'ils proviennent des utilisateurs légitimes.
Donc, on peut conclure qu'il autorise l'accès à distance dans un réseau privé en se basant sur la
source du signal ou sa destination. Une telle règle permet généralement de préserver le système
d'information contre les attaques et les utilisateurs malveillants. C'est dans cette optique que
s'inscrit notre proposition d'une nouvelle classe de pare-feu ayant la particularité d'être incorporé
facilement dans un schéma de communication quantique [115, 116, 117, 118] tout en concervant
son principe actif de protection exigé par les normes de sécurité.
4.2.2.2 Proposition d'un parefeu adapté au schéma de la communication quantique
revue de protocole BB84 : Dans ce qui suit, nous présentons le schéma synoptique
du
pare-feu quantique proposé et qui sera essentiellement composé d'une superposition de quatre
"Beamsplitters" et quatre détecteurs (voir réf Fig.4.4. Ces dispositifs permettront d'analyser en
profondeur la nature du signal entrant et se basant sur le résultat de l'état mesuré, il sera autorisé
à passer ou non par le canal quantique pour continuer vers les détecteurs de Bob. An d'illustrer
pratiquement le régime de fonctionnement de ce dispositif, nous considérons dans ce qui suit
que l'information partagée entre Alice et Bob va être véhiculée via le protocole standard BB84
[113, 8] à l'aide des états cohérents comme vecteur d'encodage. Le scénario d'envoi peut être
résumée comme suit :
Alice envoie à Bob une séquence aléatoire des états cohérents en sélectionnant 0 ou 1 codée
dans la base H/V (horizontale, verticale) ou D/A (Diagonal, Anti-diagonal).
Bob choisit au hasard une base parmi H/V ou D/A pour mesurer les états reçus.
Alice et Bob échangent, par un canal classique, les bases qu'ils ont utilisé. Puis, ils éliminent
de leur clé les valeurs pour lesquels ils ont utilisé des bases diérentes.
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
124
Pour ce qui est des bits restants, ils communiquent une fraction de bits en public an de
renforcer la sécurité de la clé partagée.
Par conséquent, dans le protocole BB84 [9], chaque état est porté par un seul qubit envoyé par
Alice et reçu par Bob. Pour chaque qubit préparé dans l'une des deux bases orthonormées et
conjuguées, il représente un bit de la clé à générer. Quand Alice utilise la base H/V , ses états
seront de la forme suivante :
1
√ (|0Z i + |1Z i)
2
1
√ (|0Z i − |1Z i).
2
|Hi =
|V i =
(4.22)
par contre, quand elle utilise la base D/A, les états auront la forme :
1
√ (|0Z i + i|1Z i)
2
1
√ (|0Z i − i|1Z i).
2
|Di =
|Ai =
(4.23)
Théoriquement, la source de Alice est en mesure d'envoyer l'un de ces quatre états, choisi au
hasard. Puis, Bob mesure le qubit qu'il reçoit soit dans la base H/V ou D/A choisi uniformément.
Après cela, Alice et Bob réconcilient leur clé à l'aide d'un canal classique, où ils conservent
seulement les bits des clés pour lesquels la base de préparation et celle de la mesure coïncident. La
version nale de la clé sera obtenue à partir de la chaîne distillée via un processus d'amplication.
Cependant, en pratique, Alice utilise des impulsions laser transmises par une bre optique. Dans
notre étude, nous examinons les états sources d'Alice an d'éviter la propagation d'un signal
illégitime sur le canal quantique. Donc, nous représentons les quatre états légitimes par une
paire de modes de photons (décrit par les opérateurs d'annihilation aR et aS ) [119] :
|Hi =
†
†
−|α|2 α aR +aS
|V
e
e
†
†
2
−|α| α aR −aS
|V i = e
e
|V aciR ⊗ |V aciS = |αiR ⊗ | − αiS
2
α a†R +ia†S
2
α a†R −ia†S
|Di = e−|α| e
|Ai = e−|α| e
aciR ⊗ |V aciS = |αiR ⊗ |αiS
|V aciR ⊗ |V aciS = |αiR ⊗ |iαiS
|V aciR ⊗ |V aciS = |αiR ⊗ | − iαiS
(4.24)
Nous considérons également que la phase de α est relative à une phase classique xe de référence
qui peut être accessible par l'espion. D'autant plus, nous considérons aussi que le "signal de
base" est référencé par l'état du mode S et nous appelons l'état de mode de R l'impulsion "de
référence". La clé est codée dans la phase relative des deux impulsions, dans notre cas, seule la
phase de l'impulsion de "signal de base" qui est modulée par la source [119]. Ainsi, après avoir
décrit le cadre de la communication entre les deux correspondants et xé les conditions de la
démonstration, nous allons alors présenter le schéma du dispositif du rewall optique dans le
section qui suit.
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
125
4.2.2.3 Description du pare-feu quantique
Figure 4.4 The proposed quantum optical rewall scheme
Dans notre analyse de sécurité, nous allons nous intéresser à l'état de mode de S , utilisé pour
le codage de l'information d'Alice. Pour cela, nous supposons que lors de la transmission, Alice
utilise un état |χi ∈ {|αi, | − αi, |iαi, | − iαi} qui va traverser notre dispositif comme indiquer sur
la gure.4.4. Ainsi, selon le signal entrant, certains détecteurs vont cliquer et d'autres ne le feront
pas. Donc, nous allons décrire les diérents cas de transmission et expliquer les rôles du parefeu optique pour autoriser ou refuser le signal d'entrée en se basant sur la réaction des détecteurs.
Dans le schéma proposé, le signal original |χi sera divisé en deux fractions avec un BS 50/50.
Par la suite, la première | √χ2 i fera l'objet d'un traitement optique par le pare-feu an d'en dégager
une conclusion. C'est en s'appuyant sur ce résultat, corrélé aux règles de ltrage prédénies, que
la deuxième partie | √χ2 i sera envoyé aux détecteurs de Bob ou sera rejeté. En ce qui concerne,
sommairement, le processus d'analyse, nous divisons la première partie en quatre sous-fractions,
χ
en utilisant des séparateurs de faisceau où les quatre modes d'entrée, notamment | 2√
i seront
2
α
α
√
√
fusionnés avec des impulsions spéciales (| ± 2 2 i, | ± i 2 2 i) en appliquant ces opérateurs de
α
√ ), D(± √
√ i, | χ±iα
√ i) vont être
déplacement (D(± 2iα
)). Après cela, les modes de sortie (| χ±α
2
2 2
2 2
2 2
redirigés vers les détecteurs Di ( où i ∈ {1, 4}) an de détecter au moins un photon dans leurs
ports respectifs. Par conséquent, nous allons constater que certains détecteurs vont cliquer et
d'autres non selon les sources de signaux d'entrée. Ainsi, nous pouvons diviser tous les événements
possibles indépendamment de la source d'entrée comme suit :
Événement E1 : représente la situation où tous les détecteurs cliquent.
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
126
Événement E2 : représente la situation où trois détecteurs cliquent parmi les quatre détecteurs.
Événement E3 : représente la situation où deux détecteurs cliquent parmi les quatre détecteurs.
Événement E4 : représente la situation où un seul détecteur qui va cliquer.
Événement E5 : représente la situation où tous les détecteurs ne cliquent pas.
4.2.3 L'analyse de la communication en présence du pare-feu quantique
4.2.3.1 l'analyse des diérentes probabilités de réussite
La discrimination ambiguïe des états (The unambiguous state discrimination USD) est très
liée au domaine de la cryptographie quantique et plus précisément dans la distribution de clé
quantique (QKD). Il peut être très utile pour la communication quantique dans la mesure où
cette approche permet de distinguer de manière optimale entre un ensemble donné des états.
Cependant, l'erreur minimale de la distinction entre deux états non orthogonaux équiprobables
correspond à une mesure projective connue sous le nom de la mesure Helstrom [120]. Ainsi, on
peut approcher généralement l'action "USD" par une mesure généralisée connue sous le nom
d'Ivanovic-Dieks-Peres (IDP) [121, 122].
Pour mieux expliquer ce principe, nous considérons un exemple simple quand on veut comparer
deux états cohérents diérentes |αi et |βi dont on ignore leur amplitude |α| et |β| et leur phase.
Pour ce faire, nous utilisons un diviseur de faisceau "beam-splitter" 50/50 pour eectuer une
comparaison entre ces deux états comme indiqué sur Fig.4.5.
Les modes de sortie de diviseur de faisceau deux sont reliés aux ports d'entrée par la relation
suivante : Les deux modes de sortie de diviseur de faisceau sont reliés aux ports d'entrée par la
relation suivante :
1 âoutput = √ âinput + b̂input
(4.25)
2
1 b̂output = √ âinput − b̂input
(4.26)
2
où â et ↠(b̂ et b̂† ) sont les opérateurs d'annihilation et de création du premier et du deuxième
mode d'entrée respectivement.
Par conséquent l'action de diviseur de faisceau va transformer le mode d'entrée |αiinput ⊗ |βiinput
en :
α + β
α − β
|αiinput ⊗ |βiinput =⇒ √
⊗ √
(4.27)
2 output 2 output
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
127
Figure 4.5 Evolution of two input coherent elds through a beam-splitter
An d'optimiser l'analyse des modes de sortie, nous considérons les deux conditions suivantes :
Dans le cas où il n'y a pas de problème liée au "dark counts" dans les détecteurs et que
α = β , le mode de sortie D2 contiendra seulement le vide. Par conséquent, toute détection
d'un photon au moins dans la sortie D2 conrmera que soient les phases ou les amplitudes
de α et β ne sont pas identiques.
Dans le cas où nous ne pouvons pas avoir des détecteurs avec une probabilité de "dark
counts" nulle, alors nous ne pouvons plus conrmer que α 6= β .
Ainsi, on constate que l'ecacité des détecteurs impacte négativement l'ecacité de notre dispositif et par conséquent la probabilité de succès. Certes, une telle condition va certainement réduire
la probabilité de détecter une diérence entre α et β , cependant elle va mettre à l'épreuve notre
dispositif dans des conditions réelles de communication (perte dans le canal, imperfection des
détecteurs, bruit ...). De ce fait, en se basant sur ce qui précède, on estime que la probabilité de
succès de détecter une diérence entre α et β est égale à la probabilité
de détecter au moins un
E
α−β
√
photon dans le mode de sortie D2 et qui est équivalente à ( 2 ). Etant donné que la proba
bilité de détecter zéro photon dans ce mode est donnée par p (0) = exp − 12 |α − β|2 , alors la
probabilité de succès sera ainsi de la forme suivante :
1
Psuccess = P (0) = 1 − e− 2 |α−β|
2
(4.28)
donc après avoir déterminé les probabilités relatives à la discrimination ambiguïe des états cohérents, nous allons alors procéder de la même manière dans la section suivante pour caractériser
notre dispositif de protection en se basant sur les cinq événements déjâ identiés.
4.2.3.2 les probabilités de réussite du parefeu optique
An de valider l'ecacité de notre dispositif, nous allons procéder tout d'abord à la détermination de la probabilité de réussite du parefeu optique proposé en fonction des paramètres
du système de communication. Ainsi, pour ce faire, nous allons extrapoler la discrimination
ambiguïe des états pour l'adapter à notre cas d'étude composé de quatre états cohérents symétriques. Cette mesure discriminatoire peut être utilement employée par l'un des correspondants
légitimes dont l'objectif est d'attester l'authenticité de l'état reçu.
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
128
donc à titre de rappelle, nous considérons une conguration contenant quatre détecteurs de
photon unique (SPDs) Di ∈ {1, 2, 3, 4}, et nous considérons également que Ei est l'ensemble des
événements
S conditionnés par le nombre de clics de ces détecteurs. En outre, soit un état d'entrée
|χi ∈ A B (où A = {|±αi , |±iαi} incident sur quatre BS 50/50, suivi de quatre détecteurs
{D1, D2, D3, D4} positionné à la sortie de chaque BS (voir gure.4.4). Dans ce qui suit, nous
allons estimer la probabilité de succès, dans cette conguration, pour chaque événement possible
en fonction de la source de signal incident. Evénement E1 :
la probabilité de succès pour E1 quand χi = αi est donnée par :
4
Y
P (E1|χ = α) =
(4.29)
P c (di )
i=1
avec P c (di ) représente la probabilité de détecter au moins un photon dans le détecteur di .
|αi |2
i(φα −φχ )
P c (di ) = 1 − e− 2 |1−ye i i |
(4.30)
toujours avec αi ∈ A ; y = αχii ; |αi i = |α| eiφαi et |χi i = |χ| eiφχi
nous remarquons également que lorsque χi = αi , alors nous aurons P c (di ) = 0. A cet eet :
(4.31)
P (E1|χ = α) = 0
de même dans le cas où χi = βi , alors nous avons :
1 X c
P (E1|χ = β) =
P (di )
4
(4.32)
χi ∈B
avec
P c (di ) =
Y
(4.33)
P c (χi ).
di
Par analogie, nous allons avoir :
P c (di ) = 1 − e−
i(φ −φ )
|αi |2
|1−ye αi βi |
2
(4.34)
en plus, si nous avons βi =β , alors :
P c (di , β) = (1 − e−
|α|2
|1−y|2
2
)(1 − e−
|α|2
|1+y|2
2
)(1 − e−
|α|2
|1+y 2 |
2
(4.35)
)2
mais cette fois-ci, nous constatons également que :
(4.36)
P c (di , ±β) = P c (di , ±iβ)
par conséquent :
P (E1|χ = βi ) = P c (di , β)
= (1 − e−
Evénement E2 :
|α|2
|1−y|2
2
)(1 − e−
|α|2
|1+y|2
2
)(1 − e−
|α|2
|1+y 2 |
2
)2
(4.37)
En suivant la même démarche qu'auparavant, nous déduisons que la probabilité de succès pour
E2 quand χi = αi est donnée par :
2
|α|2
−|α|2
− 2
P (E2|χ = αi ) = 1 − e
(4.38)
1−e
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
129
et plus particulièrement quand χi = βi dans ce cas nous aurons :
P (E2|χ = βi ) = 2(1 − e−
+(e−
|α|2
|1−y|2
2
|α|2
|1−y|2
2
+(1 − e−
)(1 − e−
)(1 − e−
|α|2
|1−y|2
2
)(e−
|α|2
|1+y|2
2
)(1 − e−
|α|2
|1+y|2
2
)(1 − e−
|α|2
|1+y 2 |
2
)2 (1 − e−
|α|2
|1+y 2 |
2
|α|2
|1+y 2 |
2
)(e−
|α|2
|1+y 2 |
2
)2
)2
|α|2
|1+y 2 |
2
(4.39)
)2
Evénement E3 :
Toujours de la même façon, la probabilité de succès pour E3 dans le cas où χi = αi est donnée
comme suit :
2
|α|2
−|α|2
−|α|2
−|α|2
−|α|2
2
2
2
P (E3|χ = αi ) = e
1−e
1−e
+2 1−e
e
(4.40)
ainsi, si χi = βi alors cette probabilité sera donnée par :
P (E3|χ = βi ) = (1 − e−
|α|2
|1−y|2
2
+2(1 − e−
+2e−
+e−
)(1 − e−
|α|2
|1−y|2
2
|α|2
|1−y|2
2
|α|2
|1−y|2
2
)e−
(1 − e−
e−
|α|2
|1+y|2
2
|α|2
|1+y|2
2
|α|2
|1+y|2
2
|α|2
|1+y|2
2
)e−|α|
2 |1+y 2 |
(1 − e−
|α|2
|1+y 2 |
2
)e−
|α|2
|1+y 2 |
2
)(1 − e−
|α|2
|1+y 2 |
2
)e−
|α|2
|1+y 2 |
2
(1 − e−
|α|2
|1+y 2 |
2
(4.41)
)2
Evénement E4 :
en se basant sur ce qui précède, la probabilité de succès pour E4 quand χi = αi est donnée
comme suit :
2
2
P (E4|χ = αi ) = (1 − e−|α| )e−|α| + 2e
−3|α|2
2
(1 − e−
|α|2
2
(4.42)
)
de même, dans le cas où χi = βi nous avons :
P (E4|χ = βi ) = (1 − e−
+e−
|α|2
|1−y|2
2
|α|2
|1−y|2
2
+2e−
)e−
|α|2
|1+y|2
2
(1 − e−
|α|2
|1−y|2
2
e−
e−|α|
|α|2
|1+y|2
2
|α|2
|1+y|2
2
2 |1+y 2 |
)e−|α|
(1 − e−
2 |1+y 2 |
|α|2
|1+y 2 |
2
)e−
|α|2
|1+y 2 |
2
(4.43)
Evénement E5 :
Finalement, la probabilité de succès pour le dernier événement, E5, quand χi = αi est :
P (E5|χ = αi ) = e−2|α|
2
(4.44)
cette probabilité sera égale à :
P (E5|χ = βi ) = e−
|α|2
|1−y|2
2
e−
|α|2
|1+y|2
2
e−|α|
2 |1+y 2 |
(4.45)
quand χi = βi .
On constate alors que pour ce dispositif, on peut le caractériser par le nombre (N) de détecteur(s)
qui clique(nt) en fonction du signale incident. Cette possibilité sera alors la base qui xe les règles
de ltrage dans les diérentes congurations comme suit :
on suppose que si N = 3, alors on estime qu'on a un signale d'une provenance légitime.
alors que si N = 4, nous concluons certainement que la source du signale est douteuse.
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
130
par contre, si nous avons N < 3, alors dans ce cas, nous ne pouvons plus tirer une conclusion
directe. Toutefois, nous disposons actuellement d'un paramètre qu'on qualie de pertinent
pour cette installation. En eet, un tel paramètre nous ore la possibilité de congurer le
pare-feu optique de plusieurs manières et ce en fonction de la situation de la communication
et l'objectif recherché.
Ainsi, en ce basant sur les événements précédents, il se trouve que nous avons la possibilité de
gérer notre pare-feu tels que :
1.
Première conguration, nous bloquons le signal lorsque N < 3.
Dans cette conguration, on suppose que si N < 3, nous allons bloquer le signal. Ainsi, le
pare-feu optique sera considéré comme ecace lorsque :
χi = αi et le nombre de clique "N" est égale à 3.
χi = βi et N ∈ {4, 2, 1, 0}.
Alors, la probabilité de succès sera :
Psuccess = P (E2|αi ) + P (E1|βi ) + P (E3|βi ) + P (E4|βi ) + P (E5|βi )
(4.46)
Cependant, le pare-feu échoue lorsque :
χi = αi et le nombre de clique est égale à 2, 1 ou 0.
χi = βi et nous avons "N=3".
pour cela, la probabilité d'erreur est donnée par :
Perror = P (E3|αi ) + P (E4|αi ) + P (E5|αi ) + P (E2|βi )
2.
(4.47)
La seconde conguration, nous bloquons le signal lorsque N < 2.
Dans cette situation, nous considérons que le pare-feu agit correctement lorsque :
χi = αi et nous avons N=3 ou 2.
ou χi = βi et N ∈ {4, 1, 0}.
Ensuite, la probabilité de réussite sera :
Psuccess = P (E2|αi ) + P (E1|βi ) + P (E3|αi ) + P (E4|βi ) + P (E5|βi )
(4.48)
par contre, le parefeu sera outrepassé lorsque :
χi = αi et nous avons N=1 ou 0.
ou χi = βi et N ∈ {3, 2}.
par conséquent, la probabilité d'erreur est :
Perror = P (E4|αi ) + P (E5|αi ) + P (E3|βi ) + P (E2|βi )
3.
(4.49)
La dernière conguration, nous bloquons le signal lorsque N < 1.
Dans cette conguration, on suppose alors que si N < 1, donc nous allons bloquer le signal.
Comme indiqué précédemment, le pare-feu sera ecace lorsque :
χi = αi et nous avons N=3, 2 ou 1.
ou χi = βi et N=4 ou 0.
dans cette conguration, la probabilité de réussite sera donnée par :
Psuccess = P (E2|αi ) + P (E1|βi ) + P (E3|αi ) + P (E4|βi) + P (E5|βi )
toutefois, le pare-feu échoue lorsque :
χi = αi et aucun clique n'est enregistré.
ou χi = βi et nous avons N ∈ {3, 2, 1}.
(4.50)
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
131
et la probabilité correspondante sera :
Perror = P (E2|βi ) + P (E3|βi ) + P (E4|βi ) + P (E5|αi )
(4.51)
D'après les résultats obtenus ci-dessus, il est facile de voir que les probabilités de succès des
diérentes congurations possibles du dispositif proposé, dépendent de l'amplitude du signale
incident, qu'il soit légitime ou illégitime mais aussi de l'ecacité des détecteurs utilisés. Pour
analyser l'eet de chacun de ces paramètres, nous allons tracer ces fonctions et analyser leurs
comportement en fonction de l'évolution de ces paramètres.
Figure 4.6 The
success probabilities of all possible congurations as a function of |α| the
legitimate amplitude and |β| the illegitimate amplitude when α = β and β = 2α.
Ainsi, d'après la gure 4.6 nous avons représenter l'évolution des probabilités de succès de
toutes les congurations possibles en fonction de |α| qui est l'amplitude légitime et |β| qui est
l'amplitude illégitime lorsque α = β , β = 2α et l'ecacité du détecteur n = 0, 9. Alors on constate
clairement que pour toutes les congurations confondues, les probabilités de succès augmentent
remarquablement quand α ≥ 1.5 et plus particulièrement, Psuccs augmente notablement dans
le cas où β = 2α. D'autant plus, nous remarquons également que la probabilité de succès de la
conguration 3 croît rapidement par rapport aux probabilités de succès des congurations 2 et
1 lorsque α ∈ [1, 2.3]. Pour illustrer cette conclusion, nous considérons le cas où α = 1, 5, β = 2α
et n = 0, 9 nous constatons que Psuccs ≈ 0, 98, ce qui indique que le dispositif proposé dans
cette conguration propose un très haut niveau de protection contre les attaques optiques qui se
caractérisent par une forte impulsion β (β > α).
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
132
Figure 4.7 The
success probabilities of all possible congurations as a function of |α| the
legitimate amplitude and |β| the illegitimate amplitude when α = 2β .
Pour observer l'évolution de la probabilité de succès de toutes les congurations dans le cas
d'une impulsion faible et voir le comportement de notre dispositif face à ce genre d'attaques,
nous allons tracer dans la gure 4.7 les courbes des probabilités de réussite en fonction de |α|
et |β| lorsque α = 2β . Ainsi, nous remarquons que les probabilités de réussite Psuccs suivent
la même tendance de croissance pour toutes les congurations avec une légère diérence dans
l'évolution pour les faibles valeurs d'amplitudes où on constate que la probabilité uctue autour
de 21 . Toutefois, une nette progression est observée une fois que les valeurs dépassent un certain
seuil, notamment quand |α| > 2.5. De ce fait, si on prend par exemple, dans la conguration
3 α ≥ 1.5, quand β = 2α et n = 0, 9 nous constatons que Psuccs ≈ 0, 5, ce qui indique que ce
dispositif propose, dans cette conguration, un niveau moyen de protection contre les attaques
optiques qui se caractérisent par une faible impulsion β soit β < α avec α est le signale légitime.
Figure 4.8 The
success probabilities of all possible congurations as a function of |α| the
legitimate amplitude against the detector eciency parameter n when n = 0.5
and n = 1.
Après avoir observé l'évolution de la probabilité de réussite en fonction de l'amplitude des
signaux incidents, nous allons analyser l'impact du facteur d'ecacité des détecteurs sur la
variation de cette probabilité. En eet, dans la gure.4.8, nous décrivons la variation des courbes
d'évolution des probabilités de réussite pour toutes les congurations possibles par rapport
au changement de l'ecacité n lorsque n ∈ {0.5, 1} et α = β . Ainsi, nous remarquons que
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
133
ces probabilités de succès de toutes les congurations possibles lorsque n = 1 sont nettement
supérieur que celles lorsque n = 0, 5 et ce pour toutes les congurations. De ce fait, on
conclut que l'ecacité des détecteurs joue également un rôle important dans la croissance des
probabilités de succès et par ailleurs le rendement de notre dispositif.
Dans cette optique, on déduit de cette analyse des diérents résultats des courbes ci-dessus et
en particulier ceux de la Fig.4.6 et Fig.4.7 que le pare-feu optique ne peut pas être paramétrée
simultanément contre les attaques optiques avec des fortes impulsions (β > α) et ceux avec des
faibles impulsions (β < α). Eectivement, cette incapacité est due au changement de variation
des probabilités de succès qui se fait de la même manière que la probabilité d'erreur. Par
conséquent, toute action visant à hausser la probabilité de succès va pareillement impacter la
probabilité d'erreur.
Une telle situation rend l'utilisateur en face de deux choix possibles : soit augmenter le taux de
la probabilité de réussite et par conséquent celui de la probabilité d'erreur ou bien minimiser les
deux probabilités. Pour surmonter cette entrave, nous suggérons une cascade de deux pare-feu
optiques (g.4.9), dont le premier pare-feu sera paramétré contre les attaques optiques à forte
impulsion (β > α) par exemple contre la "Faked State Attack", et le second contre les attaques
optiques à faible impulsion (β < α) par exemple contre "Trojan Horse Attack". Dès lors, cette
uidité d'implémentation et de paramétrage va garantir un meilleur niveau de sécurité dans les
protocoles de communication quantique face aux attaques optiques.
Figure 4.9 Cascade of two optical rewalls
4.2.4 Conclusion
En somme, dans cet article, nous avons proposé un système de pare-feu optique basé sur
une superposition de dispositifs quantiques simples, notamment beam-splitters (BS) et des
détecteurs de photons uniques (SPD). En vue d'eectuer une analyse de sécurité, nous avons
procéder à l'étude des diérents scénarios possibles en diversiant la source du signale incident.
Le but était de révéler, à la fois les limites et les points forts du dispositif présenté, évoluant
dans des conditions réelles, an d'être intégré ecacement dans des processus de communication
quantiques plus sophistiqués et complexes. Pour réaliser cette étude, nous avons d'abord revisiter
le système de pare-feu classique qui est considéré une composante primordiale dans le réseau
classique et permet actuellement de garantir un niveau de protection très élevé.
De ce fait, nous avons élaboré notre approche à la lumière de plusieurs risques (source illégitime,
bruit de l'environnement, imperfection des détecteurs ...) qui nous a permis de mesurer le degré
de sécurité établi par la solution proposée. Ainsi, la sécurité contre les attaques de type "Faked
4.2. Contribution.2 : Proposition d'un parefeu quantique à la base des
composantes optiques simples
134
State Attack" a été prouvée et amplement discutée. Par conséquent, un tel dispositif va permettre
de rejeter les impulsions d'origine douteux au cours de la transmission et ore également au
récepteur la possibilité d'être alerté et de découvrir une attaque qui est en cours d'exécution. En
outre, notre pare-feu optique représente un véritable compromis entre la simplicité d'utilisation,
la sécurité et la facilité de mise en ÷uvre facile. Pour résumer, le système proposé permet de
protéger une certaine classe de communication quantique basée sur les états cohérents contre
l'espionnage et l'altération de l'information par des actions illicites.
5 Conclusion et perspectives
Toute chose n'est connue que parce que l'on veut croire la connaître. Koan zen.
5.1 conclusion
En somme, lors de cette thèse, nous avons appréhendé deux voie de la communication quantique utilisant les états cohérents déformés, notamment la proposition d'un nouveau protocole de
communication et la présentation d'un dispositif de sécurité basé sur des composantes optiques
simples. La grande partie de notre travail a été axé sur la démystication de la cryptographie
classique en évoquant l'ensemble des problématiques liées à cette discipline en vue de justier
l'émergence de la cryptographie quantique. C'est ainsi que dans le deuxième chapitre que nous
avons analysé les processus de chirement, symétrique et asymétrique, et cela nous a permis de
déceler plusieurs défaillances de sécurité permettant de percer le secret du message transmis.
Par conséquent, le changement des moyens et des outils basés sur le cryptage classique est
devenu une urgence fondamentale pour l'individu, l'organisation et l'Etat. Et cela an de
préserver la condentialité et la sécurité des données à caractères personnelles et sensibles. Dans
cette optique, elle s'inscrit la théorie de l'information et plus particulièrement la cryptographie
quantique qui se présente actuellement comme le meilleur candidat capable de prendre en charge
l'intégrité de l'information échangée.
En eet, dans le troisième chapitre, nous avons rappelé les concepts de la mécanique quantique
ainsi que de la théorie de l'information. Ensuite, nous avons présenté les fondements nécessaires
à la démonstration de la sécurité inconditionnelle qu'apporte la mécanique quantique dans le
domaine de la théorie de l'information. Notamment, en présentant les outils mathématiques
utilisés dans la description des états quantiques, la notion de la mesure, le formalisme de
l'opérateur densité, les qubits, l'entropie de von Neumann et le phénomène de l'intrication. En
plus, nous avons abordé l'entrave majeure qui freine l'évolution de la technologie quantique à
savoir la décohérence.
Ce phénomène physique qu'on présente comme étant une théorie susceptible d'expliquer la
transition quantique/classique telle que nous la connaissons, à un niveau macroscopique. Plus
spéciquement, cette théorie apporte une réponse, considérée comme étant la plus complète à
ce jour, au paradoxe du chat de Schrdinger, au problème de la mesure quantique et l'interaction
avec l'environnement.
Dans le quatrième chapitre, nous avons exploité l'eet de la déformation sur les systèmes biparti
dans le contexte de la distribution quantique de clés en utilisant les états cohérents. La généralisation et l'analyse de ces états est discutée, ce qui nous a permis de prouver l'ecacité de
la transmission et l'amélioration de niveau de sécurité atteint, en se comparant aux protocoles
existants. Dans un autre volet, nous avons proposé un dispositif de sécurité basé sur des composantes optiques très simples. L'analyse de la sécurité des protocoles quantiques en présence de
ce dispositif a été élaborée avec des modèles d'attaques optiques.
Tout cela, nous a permis de conclure que les systèmes de chirement tels qu'ils sont actuellement nécessitent une refonte de leurs fondements de base. Et cela dans l'objectif de faire face
5.2. Perspectives
136
aux menaces omniprésentes. Certes, le changement est inévitable, néanmoins prétendre que la
cryptographie quantique, sous sa forme actuelle, est en mesure de résoudre complètement le
problème est loin d'être un scénario idéal. Ce constat est décliné de ces nombreuses limitations
et défauts d'implémentations. Dans cette optique, nous avons alors pensé à faire cohabiter les
deux techniques de chirement, notamment le modèle classique et quantique an de s'entraider
mutuellement et que l'une colmate les brèches de l'autre. Un tel compromis est dévoué à faire
sortir la cryptographie quantique des laboratoires de recherche et de faciliter son intégration dans
l'infrastructure des télécommunications dans un futur proche.
5.2 Perspectives
Au-delà des diverses preuves théoriques, propositions et suggestions apportés par ce travail,
ce dernier a aussi permis d'ouvrir la voie à de futures recherches dans le domaine de la communication quantique. En particulier, nous avons identié les pistes suivantes :
Il s'agirait tout d'abord d'étendre nos recherches à d'autres protocoles de distribution
quantique de clé existants. Il serait en particulier intéressant d'étudier le comportement de
ces protocoles en utilisant des variables continues déformées [123, 124, 125, 126, 127, 128,
129, 130, 131].
Un sujet que nous n'avons pas eu le temps d'aborder au cours de cette thèse est l'élaboration
d'un modèle d'audit des nouveaux protocoles de distribution quantique de clé. Cette phase
de cryptanalyse [132, 133, 134, 135, 136, 137, 138] est très intéressante avant de passer
à l'implémentation. En eet, lors des tests de robustesse des protocoles, nous serons en
mesure de détecter les failles et les vulnérabilités susceptibles d'impacter le processus de la
communication. Ainsi, une telle démarche va nous permettre à la fois de vérier l'ecacité
du protocole et de corriger les défaillances constatées.
Nous avons constaté également que le niveau de sécurité des protocoles de distribution
quantique de clé peut être amélioré continuellement. Il sut d'intégrer des dispositifs très
simples n'impactant guère les performances mais qui aident considérablement au renforcement de la sécurité. Cela nous a conduits à concevoir dans un premier temps un pare-feu
quantique, mais rien n'empêche de prévoir une extension d'autres dispositifs du monde
classique vers l'univers quantique. Dans ce contexte, on poursuit toujours cette conquête
an d'identier d'autres modèles classiques à intégrer dans les communications quantiques.
Décohérence des états cohérents : L'étude de la dynamique de l'intrication dans les conditions défavorables est aux c÷urs de nos préoccupations. On essaie toujours de trouver un
lien direct entre la décohérence et la déformation. Cette ambition est en fait justier par la
volonté de contrebalancer les eets indésirables et incontrôlables de la décohérence. Cette
action de déformation qu'on va appliquer, soit au cours de l'évolution de l'état, soit qu'on va
l'appliquer au début de l'interaction, va résoudre partiellement cette problématique. Ainsi,
si on arrive à déchirer la liaison entre ces deux phénomènes, alors on estime contrôler la
décohérence ! ! !.
En termes de conclusion, nous avons bien voulu mettre à l'épreuve nos résultats théoriques et
les vérier expérimentalement. Cette phase est déterminante pour valider nos estimations et va
nous encourager à poursuivre l'exploration dans cette direction. C'est ainsi qu'on espère un jour
accéder aux ressources nécessaires pour approuver nos modèles théoriques.
Bibliographie
[1] A.Einstein, maxwell's inuence on the development of the conception of physical reality, In
james clerk maxwell : a commemorative volume cambridge, 73, (1931). (Cité en page 2.)
[2] L.d.Broglie, Thesis Researches on the theory of quanta (Recherches sur la théorie des
quanta in French), In Paris.Ann.de.Physique (10) 3, 22 (1925). (Cité en page 2.)
[3] M.Planck, On an Improvement of Wien's Equation for the Spectrum, In Verhandlungen der Deutschen Physikalischen Gesellschaft 2, 204 ; 2 : 237 (1900)
M.Planck, Entropy and Temperature of Radiant Heat, In Annalen der Physik 4,
306, 737, doi :10.1002/andp.19003060410 ; On Irreversible Radiation Processes, 306, 69,
doi :10.1002/andp.19003060105 (1900) M.Planck, In Annalen der Physik 3, 309, 563,
doi :10.1002/andp.19013090310 (1901). (Cité en page 11.)
[4] E.G.Moore, Cramming More Components Onto Integrated Circuits, In Electronics, 38
(1965). (Cité en page 13.)
[5] R.P.Feynman, Quantum mechanical computers, In Foundations of Physics, 16, 6, 507
(1986). (Cité en page 13.)
[6] P.W.Shor, Algorithms for quantum computation : discrete logarithms and factoring, In
Foundations of Computer Science, 1994 Proceedings, 35th Annual Symposium on, 134,
10.1109/SFCS.1994.365700 (1994). (Cité en pages 15, 24, 57 et 110.)
[7] L.K.Grover, Quantum Mechanics Helps in Searching for a Needle in a Haystack, In
Phys.Rev.Lett. 79, 325 (1997). (Cité en pages 15 et 110.)
[8] C.H.Bennett and G.Brassard, Quantum cryptography : Public key distribution and coin
tossing, In Proceedings of IEEE International Conference on Computers, Systems and
Signal Processing, 175, 8 (1984). (Cité en pages 18, 122 et 123.)
[9] P.W.Shor and J.Preskill, Simple Proof of Security of the BB84 Quantum Key Distribution
Protocol, In Phys.Rev.Lett. 85, 441 (2000). (Cité en pages 18, 43 et 124.)
[10] T.Schmitt-Manderbach, H.Weier and al, Experimental Demonstration of Free-Space DecoyState Quantum Key Distribution over 144 km, In Phys.Rev.Lett. 98, 010504 (2007). (Cité
en page 18.)
[11] C.Gobby, Z.L.Yuan1 and A.J.Shields, Quantum key distribution over 122 km of standard
telecom ber, In Appl.Phys.Lett. 84, 3762 (2004). (Cité en page 18.)
[12] H.Takesue, S.W.Nam et al, Quantum key distribution over a 40-dB channel loss using
superconducting single-photon detectors, In Nature Photonics 1, 348 (2007). (Cité en
page 18.)
[13] A.Kerckhos, La cryptographie militaire, Journal des sciences militaires, IX, 5-38 ; 161-191
(1883) (Cité en page 20.)
[14] W.Die, M.E.Hellman, Special Feature Exhaustive Cryptanalysis of the NBS Data Encryption Standard, In IEEE Computer Society, 84, 10.1109/C-M.1977.217750 (1977). (Cité
en page 21.)
[15] C.E.Shannon, Communication theory of secrecy systems, In Bell System Technical Journal,
28, 4, 715, 10.1002/j.1538-7305.1949.tb00928.x (1949). (Cité en pages 3, 17, 22 et 26.)
Bibliographie
138
[16] W.Die, M.E.Hellman, New directions in cryptography, In Information Theory IEEE Transactions, 22, 6 10.1109/TIT.1976.1055638 (1976). (Cité en page 22.)
[17] R.L.Rivest, A.Shamir and L.Adleman, A method for obtaining digital signatures and public-key cryptosystems, In Communications of the ACM, 21, 2, 126,
doi :doi>10.1145/359340.359342 (1978). (Cité en pages 24 et 41.)
[18] S.Y.Yan, Quantum Attacks on Public-Key Cryptosystems, 10.1007/978-1-4419-7722-9,
(2013). (Cité en page 25.)
[19] G.S.Vernam, Secret signaling system, In US Google Patents 1,310,719, US1310719 A
(1919). (Cité en page 26.)
[20] FIPS (Federal Information Processing Standards Publication), Data Encryption Standard,
In FIPS 46-3, U.S. Department of Commerce/N.I.S.T (1999). (Cité en page 27.)
[21] FIPS (Federal Information Processing Standards Publication), Advanced Encryption Standard, In FIPS 197, U.S. Department of Commerce/N.I.S.T (2001). (Cité en pages 27 et 34.)
[22] E.Biham and A.Shamir, Dierential Cryptanalysis of DES-like cryptosystems, In Journal
of Cryptology, 4(1), 72 (1991). (Cité en page 28.)
[23] B.S.Kaliski and M.J.B.Robshaw, Linear cryptanalysis using multiple approximations, In
Advances in Cryptology -CRYPTO'94, 839, 39 (1994). (Cité en page 33.)
[24] A.Biryukov, C.De Cannière and M.Quisquater, On multiple linear approximations, In Advances in Cryptology - CRYPTO 2004, 3152, 22 (2004). (Cité en page 33.)
[25] P.Junod, Statistical Cryptanalysis of Block Ciphers, Thèse de doctorat, École Polytechnique Fédérale de Lausanne (2005). (Cité en page 33.)
[26] J.Daemen, L.R.Knudsen and V.Rijmen, The block cipher Square, In Fast Software Encryption - FSE'97, 1267, 165 (1997). (Cité en page 37.)
[27] L.R.Knudsen and D.Wagner, Integral cryptanalysis, In Fast Software Encryption - FSE
2002, 2365, 127 (2002). (Cité en page 37.)
[28] N.Ferguson, S.Lucks and al, Improved cryptanalysis of rijndael. In Fast Software Encryption, 7th International Workshop 2000, 1978, 230 (2001). (Cité en page 37.)
[29] P.Dusart, G.Letourneux and O.Vivolo, Dierential Fault Analysis on AES, In Cryptology
ePrint Archive, Report 2003/010, (2003).
[30] G.Piret and J.J.Quisquater, A Dierential Fault Attack Technique against SPN Structures,
with Application to the AES and KHAZAD. In Cryptographic Hardware and Embedded
Systems -CHES 2003, 2779, 88 (2003). (Cité en page 40.)
[31] C.Giraud, Dierential Fault Attack on AES, In Advanced Encryption Standard -AES, 4th
International Conference -AES 2004, 3373, 41 (2004). (Cité en page 40.)
[32] M.Wiener, Cryptanalysis of Short RSA Secret Exponents, In IEEE Transaction on Information Theory, 36, 3 (1990). (Cité en page 40.)
[33] B.W.Schumacher, Quantum coding, In Phys.Rev.A 51(4), 2747 (1995). (Cité en page 42.)
[34] C.H.Bennett and G.Brassard, in Proc.IEEE Int.Conf, Systems and Signal Processing,
(IEEE, New York), 179 (1984). (Cité en pages v et 50.)
[35] A.K.Ekert, Quantum Cryptography Based on Bell's Theorem, In Phys.Rev.Lett, 67(6) :
661663 (1991). (Cité en page 55.)
[36] H.Bennett, G.Brassard, C.Crepeau, R.Jozsa, A.Pweres
Phys.Rev.Lett. 70, 1895 (1993). (Cité en pages 57 et 78.)
and
W.K.Wootters,
In
Bibliographie
139
[37] W.K.Wooters, W.H.Zurek, A single quantum cannot be cloned, Nature, 299, 802 (1982).
(Cité en page 57.)
[38] J.von Neumann. Zur allgemeinen Theorie des Masses, In Fund. Math, 13, 116, (1929).
(Cité en page 62.)
[39] J.von Neumann, Mathematical Foundations of Quantum Mechanics, In Princeton University Press (1955). (Cité en page 64.)
[40] W.H.Zurek, Pointer basis of quantum apparatus : Into what mixture does the wave packet
collapse, In Phys.Rev.D, 24 1516 (1981). (Cité en page 64.)
[41] W.H.Zurek, Environment-induced superselection rules, In Phys.Rev.D, 26, 1862 (1982).
(Cité en page 65.)
[42] J.P.Paz and W.H.Zurek, Quantum limit of decoherence : Environment induced superselection of energy eigenstates, In Phys.Rev.Lett, 82 5181 (1999). (Cité en page 65.)
[43] M.A.Nielsen and I.L.Chuang, Quantum Computation and Quantum Information, In Cambridge University Press, Cambridge, United Kingdom (2000). (Cité en page 66.)
[44] B.Schumacher, Quantum coding, In Phys.Rev.A 51, 2747 (1995). (Cité en page 67.)
[45] A.Einstein, B.Podolsky and N.Rosen, Can quantum-mechanical description of physical
reality be considered complete ?, In Phys.Rev, 47(10), 780 (1935). (Cité en page 73.)
[46] J.S.Bell, On the problem of hidden variables in quantum mechanics, In Rev.Mod.Phys,
38(3), 452 (1966). (Cité en pages 78 et 80.)
[47] A.Aspect, P.Grangier and G.Roger, Experimental Tests of Realistic Local Theories via
Bell's Theorem, In Phys.Rev.Lett. 47, 460 (1981). (Cité en pages 78 et 82.)
[48] H.Ollivier and W.H.Zurek, Quantum discord : A measure of the quantumness of correlations, In Phys.Rev.Lett, 88, 017901 (2001). (Cité en page 78.)
[49] L.Henderson and V.Vedral, Classical, quantum and total correlations, In Journal of
Phys.A : Math.Gen 34, 6899 (2001). (Cité en page 86.)
[50] N.Li and S.Luo, Classical states versus separable states, In Phys.Rev.A 78, 024303 (2008).
(Cité en pages 86 et 87.)
[51] S.Luo, Using measurement-induced disturbance to characterize correlations as classical or
quantum, In Phys.Rev.A 77, 022301 (2008). (Cité en page 86.)
[52] N.J.Cerf and C.Adami, Negative entropy and information in quantum mechanics, In
Phys.Rev.Lett, 79, 5194 (1997). (Cité en page 86.)
[53] C.Adami and N.J.Cerf, von neumann capacity of noisy quantum channels, Phys.Rev.A 56,
3470 (1997). (Cité en page 87.)
[54] K.Modi, A.Brodutch, H.Cable, T.Paterek and V.Vedral, The classical-quantum boundary
for correlations : Discord and related measures, Rev.Mod.Phys 84, 1655 (2012). (Cité en
page 87.)
[55] V.Vedral, The role of relative entropy in quantum information theory, In Rev.Mod.Phys
74, 197 (2002). (Cité en page 87.)
[56] A.Meslouhi, Y.Hassouni, On Quantum Discord for Analyzing Decoherence Eect and Deformation Phenomena in Entangled Coherent Bipartite State, In Inter.Jour.Theo.Phys,
53(5), 1778 (2014) (Cité en page 87.)
[57] K.Berrada and M.A.Al-Rajhi, Improving and Controlling Quantum Entanglement from
Excited BarutGirardello Coherent States via Unitary Beam Splitters, In Jour.Russ.Las.Res,
34(5), 423 (2013). (Cité en page 87.)
Bibliographie
140
[58] K.Berrada, S.Abdel-Khalek, H.Eleuch and Y.Hassouni, Beam splitting and entanglement
generation : excited coherent states, In Quan.Info.Proc, 12(1), 82, (2012). (Cité en page 87.)
[59] S.Abdel-Khalek, K.Berrada and C.H.Raymond Ooi, Beam splitter entangler for nonlinear
bosonic elds, In Las.Phys, 22(9), 1454, (2012). (Cité en page 87.)
[60] K.Berrada, S.Abdel-Khalek and A.S.Alaamer, Bipartite entanglement within the framework of real and ideal lasers, In Jour.Russ.Las.Res, 33(3), 282 (2012). (Cité en page 87.)
[61] S.Salimi, A.Mohammadzade and K.Berrada, Concurrence for a two-qubits mixed state
consisting of three pure states in the framework of SU(2) coherent states, In Quan.Info.Proc,
11(2), 518 (2011). (Cité en page 87.)
[62] K.Berrada, M.El Baz, H.Eleuch and Y.Hassouni, Bipartite entanglement of nonlinear quantum systems in the context of the q-Heisenberg Weyl algebra, In Quan.Info.Proc, 11(2),
372 (2011). (Cité en page 87.)
[63] K.Berrada, A.Benmoussa and Y.Hassouni, Entanglement generation with deformed BarutGirardello coherent states as input states in an unitary beam splitter, In Quan.Info.Proc,
10(5), 588 (2010). (Cité en page 87.)
[64] K.Berrada, M.El Baz and Y.Hassouni, Generalized Spin Coherent States : Construction
and Some Physical Properties, In Jour.Stat.Phys, 142(3), 523, (2011). (Cité en page 87.)
[65] K.Berrada and Y.Hassouni, Maximal entanglement of bipartite spin states in the context
of quantum algebra, In Eurp.Phys.Jour.D, 61 (2), 521, (2010). (Cité en page 87.)
[66] K.Berrada, A.Chak, H.Eleuch and Y.Hassouni, Concurrence in the framework of coherent
states, In Quan.Info.Proc, 9 (1), 26, (2009). (Cité en page 87.)
[67] K.Berrada1, M.El Baz, F.Saif, Y.Hassouni and S.Mnia, Entanglement generation from
deformed spin coherent states using a beam splitter, In J.Phys.A : Math.Theor. 42 285306
doi :10.1088/1751-8113/42/28/285306, (2009). (Cité en page 87.)
[68] K.Berradaa and S.Abdel-Khaleka, Entanglement of atomeld interaction for nonlinear optical elds, In Phys.E, 44(3), 634, (2011). (Cité en page 87.)
[69] K.Berradaa, M.El Baz and Y.Hassouni, Generalized Heisenberg algebra coherent states for
power-law potentials, In Phys.Lett.A, 375(3), 302, (2011). (Cité en page 87.)
[70] R.S.Johal, Modied exponential function : the connection between non-extensivity and
q-deformation, In Phys.Lett.A , 258, 17 (1999). (Cité en page 87.)
[71] A.Isar and W.Scheid,Deformation of quantum oscillator and of its interaction with environment, In Physica A 335, 79 (2004). (Cité en page 87.)
[72] W.K.Wootters, Entanglement of formation of an arbitrary state of two qubits, In
Phys.Rev.Lett, 80, 2245 (1998). (Cité en page 88.)
[73] K.Kraus, States, eects, and operations, In Fundamental notions of quantum theory, 190
Lecture Notes in Physics, (1983). (Cité en page 89.)
[74] I.Gelfand and M.Neumark, On the imbedding of normed rings into the ring of operators
in Hilbert space, In Rec.Math.N.S., 12(54) :2, 217 (1943). (Cité en page 91.)
[75] C.Cohen-Tannoudji, B.Diu and F. Laloë, Mécanique Quantique. Hermann, Paris (1977).
(Cité en page 94.)
[76] J.Preskill, Quantum information and computation. Lecture notes for physics 229, California
Institute of Technology, (1998). (Cité en pages 90, 98 et 102.)
[77] S.Haroche, Superpositions mésoscopiques d'états : Super-opérateur sous forme de
somme (représentation de Kraus), Année 2003-2004-3ème Cours, Collège de France,
UPL50839.SHaroche.12052004 (2004). (Cité en page 98.)
Bibliographie
141
[78] C.K.Hong and L.Mandel, Experimental realization of a localized one photon state, In
Phys.Rev.Lett, 56, 60, (1986). (Cité en page 98.)
[79] B.Lounis and W.E.Moerner, Single photons on demand from a single molecule at room
temperature, In Nature, 407, 493, (2000).
[80] C.Santori, M.Pelton, G.Solomon, Y.Dale, and Y.Yamamoto, Triggered single photons from
a quantum dot, In Phys.Rev.Lett,86, 1504, (2001). (Cité en page 105.)
[81] B.Sanguinetti, A.Martin, H.Zbinden and N.Gisin, Quantum Random Number Generation
on a Mobile Phone, In Phys.Rev.X, 4, 031056 (2014). (Cité en page 105.)
[82] I.A.Lvovsky, B.C.Sanders and W.Tittel, Optical quantum memory, In Nature Photonics 3,
714, doi :10.1038/nphoton.2009.231 (2009). (Cité en page 105.)
[83] T.Tanabe, M.Notomi, E.Kuramochi, A.Shinya and H.Taniyama, Trapping and delaying
photons for one nanosecond in an ultrasmall high-Qphotoniccrystal nanocavity. In Nature
Photon. 1, 52 (2007). (Cité en page 106.)
[84] T.Tanabe, M.Notomi, H.Taniyama, E.Kuramochi, Dynamic release of trapped light from
an ultrahigh-Qnanocavity via adiabatic frequency tuning, In Phys.Rev.Lett. 102, 043907
(2009). (Cité en page 106.)
[85] D.F.Phillips, A.Fleischhauer, A.Mair, R.L.Walsworth and M.D.Lukin, Storage of light in
atomic vapor. In Phys.Rev.Lett, 86, 786 (2001). (Cité en pages 105 et 106.)
[86] C.Liu, Z.Dutton, C.H.Behroozi and L.V.Hau, Observation of coherent optical information
storage in an atomic medium using halted light pulses, In Nature 409, 493 (2001). (Cité
en pages 105 et 106.)
[87] A.V.Gorshkov, A.André, M.Fleischhauer, A.S.SØrensen and M.D.Lukin, Universal approach to optimal photon storage in atomic media, In Phys.Rev.Lett, 98, 123601 (2007).
(Cité en pages 105 et 106.)
[88] P.W.Shor, Scheme for reducing decoherence in quantum computer memory, In Phys.Rev.A
52, R2496 (1995). (Cité en pages 105 et 106.)
[89] D.Gottesman, in Encyclopedia of Mathematical Physics, 4, (eds Francoise, J.-P., Naber,
G. L. Tsou, S. T.) 201 (2006). (Cité en pages 105 et 106.)
[90] Y.L.Tang and al, Measurement-Device-Independent Quantum Key Distribution over 200
km , In Phys.Rev.Lett. 113, 190501 (2014). (Cité en page 106.)
[91] B.Korzh and al , Provably secure and practical quantum key distribution over 307 km of
optical bre, In Nature Photonics, 9, 168, doi :10.1038/nphoton.2014.327 (2015). (Cité en
page 106.)
[92] P.Galliona, F.Mendietab and S.Jiang, Signal and Quantum Noise in Optical Communications and Cryptography, In Progress in Optics 52, 149259, (2009). (Cité en page 107.)
[93] B.Calkins and al, High quantum-eciency photon-number-resolving detector for photonic on-chip information processing, In Optics Express, 21, 19, 22670, doi :
10.1364/OE.21.022657, (2013). (Cité en page 107.)
[94] G.Brassard, N.Lütkenhaus, T.Mor and B.C.Sanders, Limitations on practical quantum
cryptography. In Phys.Rev.Lett, 85(6) : 1330 (2000). (Cité en page 107.)
[95] N.Gisin, S.Fasel, B.Kraus, H.Zbinden and G.Ribordy, Trojan-horse attacks on quantumkey-distribution systems, In Phys.Rev.A 73, 022320 (2006). (Cité en page 107.)
[96] V.Makarov and D.R.Hjelme, Faked states attack on quantum cryptosystems, In
J.of.Mod.Optics 52(5), 705, DOI :10.1080/09500340410001730986 (2005).
(Cité en
pages 108 et 109.)
Bibliographie
142
[97] I.Gerhardt, Q.Liu, A.L.Linares, J.Skaar, C.Kurtsiefer and V.Makarov, Full-eld implementation of a perfect eavesdropper on a quantum cryptography system, In Nature Communications, 2, 349 doi :10.1038/ncomms1348 (2011). (Cité en page 108.)
[98] Y.Zhao and al, Quantum hacking : Experimental demonstration of time-shift attack against
practical quantum-key-distribution systems, In Phys.Rev.A 78, 042333 (2008). (Cité en
pages 108 et 122.)
[99] N.Jain and al, Device Calibration Impacts Security of Quantum Key Distribution, In
Phys.Rev.Lett. 107, 110501 (2011). (Cité en page 108.)
[100] C.H.Bennett, F.Bessette, G.Brassard, L.Salvail and J.Smolin, Experimental quantum cryptography, In Journal of Cryptology, 5(1), 28, (1992). (Cité en page 109.)
[101] F.G.Deng, G.L.Long and X.S.Liu, Two-step quantum direct communication protocol using
the EinsteinPodolsky-Rosen pair block, In Phys.Rev.A 68, 042317 (2003).
(Cité en
page 109.)
[102] C.H.Bennett and S.J.Wiesner, Communication via one-and two-particle operators on
Einstein-Podolsky-Rosen states, In Phys.Rev.Lett 69, 2884(1992). (Cité en page 109.)
[103] G.Brassard and L.Salvail, Secret key reconciliation by public discussion, In Advances in
Cryptology LNCS 765, 423 (1994). (Cité en pages 112 et 116.)
[104] D.Markham and V.Vedral, Classicality of spin coherent states via entanglement and distinguishability, In Phys.Rev.A 67, 042113 (2003). (Cité en page 113.)
[105] C.C.Gerry and A.Benmoussa, Beam splitting and entanglement : Generalized coherent
states, group contraction, and the classical limit, In Phys.Rev. A 71, 062319 (2005). (Cité
en page 114.)
[106] G.L.Long and X.S.Liu, Theoretically ecient high-capacity quantum-key-distribution, In
Phys.Rev.A 65(3), 032302 (2002). (Cité en page 114.)
[107] C.Y.Li, H.Y.Zhou, Y.Wang et al, Secure quantum key distribution network with Bell states
and local unitary operations, In Chin.Phys.Lett 22(5), 1052 (2005). (Cité en page 114.)
[108] C.Y.Li, X.H.Li, F.G.Deng et al, Ecient quantum cryptography network entanglement
and quantum memory, In Chin.Phys.Lett 23(11), 2908 (2006). (Cité en page 114.)
[109] M.S.Kim, W.Son, V.Buzek and P.L.Knight, Entanglement by a beam splitter : nonclassicality as a prerequisite for entanglement, In Phys.Rev.A 65 , 032323 (2002). (Cité en
page 114.)
[110] A.Meslouhi and Y.Hassouni, A quantum secure direct communication protocol using entangled modied spin coherent states, Quantum.Inf.Process 12, doi.10.1007/s11128-0130546-4 (2013). (Cité en page 114.)
[111] H.Amellal, A.Meslouhi, Y.Hassouni, M.El Baz, A quantum optical rewall based on simple
quantum devices, In Quan.Info.Proc, 14, 7, 2633, (2015). (Cité en page 117.)
[112] Kollmitzer.c, Pivk.M, Applied quantum cryptogtraphy, Lect.Not.Phys 797,ISBN 978-3-64204829-6, Springer (2010). (Cité en pages 112, 115 et 118.)
[113] C.H.Bennett, G.Brassard, N.D.Mermin, Quantum cryptography without Bell's theorem,
In Phys.Rev.Lett 68(5), 559 (1992). (Cité en page 121.)
[114] A.X.Liu, M.G.Gouda, Diverse rewall design, In Parallel Distrib. Syst.IEEE Trans, 19(9),
1251, doi :10.1109/TPDS.2007.70802 (2008). (Cité en page 121.)
[115] A.El Allati, M.El Baz, Quantum key distribution using optical coherent states via amplitude damping, In Opt.Quant.Electron, 47(5), 1046 doi :10.1007/s11082-014-9959-2, (2015).
(Cité en pages 122 et 123.)
Bibliographie
143
[116] A.El Allati, Y.Hassouni, N.Metwally, Communication via an entangled coherent quantum
network, In Phys.Scr 83, 065002 (2011). (Cité en page 123.)
[117] A.Meslouhi, H.Amellal, Y.Hassouni, A.El Allati, A Secure Quantum Communication via
Deformed Tripartite Coherent States, In J.Russ.Laser.Res, 35(4), 382, doi :10.1007/s10946014-9438-z (2014). (Cité en page 123.)
[118] A.El Allati, M.El Baz, Y.Hassouni, Quantum key distribution via tripartite coherent states,
In Quant.Inf.Process 10(5), 589 (2011). (Cité en page 123.)
[119] H.L.Lo, J.Preskill, security of quantum key distribution using weak coherent states with
nonrandon phases, In Qua.Info.Comp, 7, 431, 58 (2007). (Cité en page 123.)
[120] E.Andersson, M.Curty, I.Jex, Experimentally realizable quantum comparison of coherent
states and its applications, In Phys.Rev.A 74, 022304,(2007). (Cité en page 123.)
[121] I.D.Ivanovic, How to dierentiate between non-orthogonal states, In Phys.Lett.A 123, 257
(1987). (Cité en page 124.)
[122] A.Peres, How to dierentiate between non-orthogonal states, In Phys.Lett.A 128, 19 (1988).
(Cité en page 126.)
[123] D.Deutsch and al, Quantum Privacy Amplication and the Security of Quantum Cryptography over Noisy Channels, In Phys.Rev.Lett 77, 2818 (1996). (Cité en page 126.)
[124] D.Mayers, Unconditionally Secure Quantum Bit Commitment is Impossible, In
Phys.Rev.Lett 78, 3414 (1997). (Cité en page 126.)
[125] S.L.Braunstein and H.J.Kimble, Teleportation of Continuous Quantum Variables, In
Phys.Rev.Lett 80, 869 (1998). (Cité en page 136.)
[126] H.Buhrman, R.Cleve, J.Watrous and R.Wolf, Quantum Fingerprinting, In Phys.Rev.Lett
87, 167902 (2001). (Cité en page 136.)
[127] N.J.Cerf and al, Security of Quantum Key Distribution Using d-Level Systems, In
Phys.Rev.Lett 88, 127902 (2002). (Cité en page 136.)
[128] W.Y.Hwang, Quantum Key Distribution with High Loss : Toward Global Secure Communication, In Phys.Rev.Lett 91, 057901 (2003). (Cité en page 136.)
[129] C.Brukner and al, Bells Inequalities and Quantum Communication Complexity, In
Phys.Rev.Lett 92, 127901 (2004). (Cité en page 136.)
[130] H.K.Lo, X.Ma and K.Chen, Decoy State Quantum Key Distribution, In Phys.Rev.Lett 94,
230504 (2005). (Cité en page 136.)
[131] B.Kraus, N.Gisin and R.Renner, Lower and Upper Bounds on the Secret-Key Rate
for Quantum Key Distribution Protocols Using One-Way Classical Communication, In
Phys.Rev.Lett 95, 080501 (2005). (Cité en page 136.)
[132] S.Wolfram, Origins of randomness in physical systems, In Phys.Rev.Lett 55, 449 (1985).
(Cité en page 136.)
[133] O.Hirota, Practical security analysis of a quantum stream cipher by the Yuen 2000 protocol,
In Phys.Rev.A 76, 032307 (2007). (Cité en page 136.)
[134] S.J.Qin, F.Gao, Q.Y.Wen and F.C.Zhu, Cryptanalysis of the Hillery-Buzek-Berthiaume
quantum secret-sharing protocol, In Phys.Rev.A 76, 062324 (2007). (Cité en page 136.)
[135] F.Gao, S.J.Qin, F.C.Zhu and Q.Y.Wen, Cryptanalysis of the arbitrated quantum signature
protocols, In Phys.Rev.A 84, 022344 (2011). (Cité en page 136.)
Bibliographie
144
[136] K.Bartkiewicz, K.Lemr, A.Cernoch, J.Soubusta and A.Miranowicz, Experimental Eavesdropping Based on Optimal Quantum Cloning, In Phys.Rev.Lett 110, 173601 (2013). (Cité
en page 136.)
[137] L.Yu, A.Carlos, P.Delgado and J.F.Fitzsimons, Limitations on information-theoreticallysecure quantum homomorphic encryption, In Phys.Rev.A 90, 050303(R) (2014). (Cité en
page 136.)
[138] T.Y.Wang, X.Q.Cai, Y.L.Ren and R.L.Zhang, Security of quantum digital signatures for
classical messages, In Scientic Reports 5, 9231, doi :10.1038/srep09231 (2015).
Liste des publications
A quantum secure direct communication protocol using entangled modied spin coherent
states, Quantum.Inf.Process 12, DOI 10.1007/s11128-013-0546-4 (2013).
On Quantum Discord for Analyzing Decoherence Eect and Deformation Phenomena in
Entangled Coherent Bipartite State, Inter.Jour.Theo.Phys. 53,5 1778 (2014).
A Secure Quantum Communication via Deformed Tripartite Coherent States,
Jour.Russ.Las.Res
35,4 382 (2014).
A quantum optical rewall based on simple quantum devices, Quantum.Inf.Process 14,7
2633 (2015).
On the deformed cat state : Generating scheme via amplitude dispersion and the analysis
of nonclassical features, Int.J.Mod.Phys.B DOI : 10.1142/S021797921550232X (2015).
Quantum protocol communication a security analysis
Author :
Title :
Supervisor :
Abdelmajid MESLOUHI
Etude de sécurité des protocoles de communication quantqiue
Pr. Yassine HASSOUNI
Abstract Generally secure communication systems is based on key cryptography techniques.
In the current era, this operation requires the exchange of a key between two parties on an
unprotected channel which is considered permanently monitor by a potential spy that can obtain
this key without their knowledge. Indeed, this situation summarizes all possible cryptographic
scenarios and highlights the great problem that we are always trying to overcome. Thus, several
attempts have been initiated to ensure the condentiality of the communication and sharing of
information, including traditional encryption techniques. Basing on that, we can assume that we
communicate in a secure environment, however the risk and the threat are still present despite
the considerable eorts made. In this context, a part of this thesis, is devoted to demonstrate
the inadequacy and the insecurity of these techniques to face the development of the computing
power and the new technologies that threatening our secret.
Furthermore, we introduced the quantum communication as the best alternative we have
with several benets. In fact, Quantum mechanics provides new horizons ; superimposition,
non-cloning states and quantum entanglement. Assembled in a single process, those principles
led to the genesis of a secure quantum communication and quantum cryptography. To support
this, we studied in detail these concepts with the objective to prove the superiority of quantum
cryptography compared to its conventional counterpart. However, we also had an obligation to
highlight the limitations and the imperfections those aect quantum communication. Therefore,
we assume that current technologies allow the transmission of quantum states, however,
the absorption and decoherence eects, greatly degrade the quality and the delity of the
transmitted system.
Having the desire to contribute to override this hinders, the work of our thesis try to join
the strengths of classical and quantum communication techniques to propose a mechanisms
capable to face all problems related to this issue. Accordingly, we agree that security and
transfer of information are among the most important tasks in quantum information theory.
Continuous variables appear as alternatives to discrete variables in quantum communications.
In this context, we proposed initially, a quantum protocol based on deformed coherent states
to achieve a high level of security and able to resist to outside noise. Subsequently, we had the
idea to design an optical rewall, from a classic device, to produce a quantum version based on
simple and basic components such as beam-splitter and detectors. However, this setup is able
to protect against several types of optical attacks. Successive changes in our perspective lead us
today to propose and hope a quantum cryptography process implementing both the deformed
states and other quantum devices in future.
Keywords :
Quantum Information and Communication, quantum Cryptography, quantum Networks, Deformed Coherent State, Security of Quantum Protocols, Quantum Devices.
Téléchargement
Random flashcards
aaaaaaaaaaaaaaaa

4 Cartes Beniani Ilyes

découpe grammaticale

0 Cartes Beniani Ilyes

Fonction exponentielle.

3 Cartes axlb48

TEST

2 Cartes Enrico Valle

Créer des cartes mémoire