Cryptographie quantique : des concepts aux applications 17 Avril 2007 Crypto’ Puces Porquerolles Romain Alléaume Département Informatique et Réseaux Ecole Nationale Supérieure des Télécommunications - Paris
Plan de l’exposé Elements d’information quantique Cryptographie quantique : principes, réalisations Projet SECOQC : réseaux de distribution quantique de clé Perspectives d’applications de la crypto quantique
Elements d’information quantique
Physique et information • L’information est stockée sur un médium physique physique et manipulée manipulée par des opération opération physiques physiques => les processus processus élémentaires élémentaires mis en jeu sont quantiques • In Info form rmat atio ion n Qua Quant ntiq ique ue : spéc spécif ific icit ités és !
Ne peut être copiée
!
Superpositions Superpositions d’états autorisées
!
La mesure affecte l’état quantique
Le qubit vs le bit Classique 1 bit
Quantique 1 qubit
0 ou 1
! |0! + " |1!
|! |2 + |" |2=1
n qubit
n bit
000...0 (0) 000...1 (1)
n
n
2
"1
2
!c
i
!
i
Mesure
ex. à 4 qubits: |7! = |0111! Mesure
b1b2b3...bn
1
=
=
=
111...1 (2n-1)
ci
2
i 0
i 0
M
"1
n
2
"1
!c
i
i
i 0 =
"
"
b1b2b3...bn
i avec probabilité |ci|2
Intrication (entanglement) Intrication : il existe des états non séparables A
B !
Corrélations eventuellement non-locales
Exemple :
Entanglement : non-classical correlations
Violation of Bell inequalities => refutation of Local Realism Entanglement => fondamental ressource for Q computation and Q communication
Circuits et portes quantiques Ensemble complet: (Ou-exclusif, Toutes les portes à 1 qubit) Ou-exclusif: (non-contrôlé)
Ex. porte a 1 qubit:
|a!
|a! |b! si a=0 |b! si a=1
|b!
H
|0! &
1 2
(|0!+|1!)
|1! &
1 2
(|0!-|1!)
Quantum Circuit A quantum circuit provides an visual representation of a quantum algorithm.
0 0 0 0
initial state
quantum gates time
measurement
Applications • Efficient simulations of quantum systems
• Phase estimation; improved time-frequency and other measurement standards (e.g. GPS)
• Factoring and Discrete Logarithms (Shor Algorithm, 1994) • Hidden subgroup problems • Amplitude amplification • and much more…
Computational Complexity Comparison Classical
Quantum
Factoring
e Elliptic Curve Discrete Logarithms
(
1/ 3
O n
e
log 2 / 3 n
( )
O n
)
O(n )! e
()
O n !e
O
(log n )
O
(log n )
(in terms of number of group multiplications for n-bit inputs)
Cryptographie quantique
Une belle idée “When elementary quantum systems … are used to transmit digital information, the uncertainty principle gives rise to novel cryptographic phenomena unachievable with traditional transmission media.” Charles H. Bennett et Gilles Brassard (1984)
Les 3 piliers de la cryptographie quantique 1.
Cryptographie Confidentialité des informations transmises (clés aléatoires)
2.
Physique Quantique Comportement des particules quantique élémentaires : 1. Il est impossible de dupliquer un état quantique arbitraire 2. La mesure d’un état quantique perturbe ce dernier
3.
Théorie de l’Information Distillation publique de secret , avec une sécurité dite inconditionnelle (caractère secret portant sur l’information au sens de Shannon)
Scénario de la cryptographie quantique Eve Alice
Bob Canal quantique
Canal classique
But du jeu :
IAB > IAE, IBE
CLÉ
Coder l’information sur un état quantique Etats de polarisation linéaires d’un photon »
Encodage d’information
,
»
= (+ ) /!2
»
= ( - ) /!2
0
1
Si photon unique : Information ambigüe si l’on ne connaît pas la base de codage Acquérir de l’information sur le bit codé se traduit pas une perturbation
Mesure d’un état de polarisation • Un analyseur de polarisation donne 2 résultats : transmis ou dévié • Une détection conjointe sur les deux sorties permet de déterminer avec certitude l’état du photon polarisé dans la même base que la base d’analyse Dévié : vertical Transmis : horizontal Analyseur • Si la polarisation et la base d’analyse diffèrent, le résultat de mesure devient aléatoire (50 % - 50 % pour la base à 45°)
? Analyseur
Mise en oeuvre : le protocole BB84
L’espionnage peut être détecté Eve ' 25% errors
BB84 protocol:
Bob
H/V Basis Alice
Polarizers
°
45 Basis
Horizontal - Vertical °
°
Diagonal (-45 , +45 )
Alice's Bit Sequence Bob's Bases Bob's Results Key
0 1 0 - 0 1 1 1 1 -
1 0
-
1 0
1 -
-
0 1
-
- 1 -
Post-processing classique •
A l’issue de la phase quantique, Alice et Bob disposent d’informations corrélées mais • Entachées d’erreurs (expérimentales et / ou dues à l’espion) • Partiellement connues de l’espion. 2 ETAPES DE POST-PROCESSING
1) Correction d’erreur (codes correcteurs d’erreurs classiques 1) Réconciliation : se fait sur canal classique (public) 2) But : travailler près de la borne de Shannon 3) Augmente l’information d’un espion potentiel 2) Amplification de confidentialité => clé totalement secrète
Amplifier la confidentialité de la clé : principe Alice
Bob Canal classique Eve
UE Situation intiale : I(X A=XB ; UE) > 0
XA =0100110001010 X’A = X’B
XB =0100110001010 I(X’A=X’B ; UE) -> 0
Bilan : Générations d’une clé secrète = processus en 3 étapes Données initiales
Il faut corriger les erreurs
contiennent des erreurs
Il faut annihiler l’information d’Eve
(EVE) Information mutuelle
Alice Bob Alice Bob
Eve Alice Bob
Eve
Eve Com Quantique + filtrage
Réconciliation
Info secrète
Amplification de confidentialité
Asymétrie d’information initiale est cruciale
•Wireless Sensor Networks •Injectable Tissue Engineering •Nano Solar Cells •Mechatronics •Grid Computing •Molecular Imaging •Nanoimprint Lithography •Software Assurance •Glycomics •Quantum Cryptography
Quantum Key Distribution is now at the Telecom Age
Dmax ~ 100 km Débit ~ 5 kbit/s @ 25 km, en progression constante
Quantum Random Number Generator !
Physical randomness source
!
Commercially available
!
Applications » Cryptography » Numerical simulations » Statistics
Réseaux QKD, projet SECOQC
Quantum Key Distribution network (QKD network)
Definition: Set of « QKD links » connecting distant « QKD nodes ». Goal: Infrastructure capable of performing symmetric key establishment, with unconditional security, between any pair of QKD nodes connected to the network.
QKD networks come in different flavors Can be distinguished by the functionnality of the network nodes: !
Quantum Nodes : With Full Quantum Repeaters » implies Q memories + Entanglement Distillation » Essentially a distributed Q Computer …
!
Optical Nodes : Switching, routing at the level of the Q optical signals » Multi-user QKD possible » But cannot extend range
!
Trusted Relay Nodes » Extra trust assumption but long distance possible » Achievable with today’s technologies.
Maintaining perfect secrecy over an arbitrary long distance.
« Hop-by-hop » key transport, with new key One-TimePad key encryption at each node.
M appears in cleartext in each node All nodes have to be trusted. A path is secure, if and only if all its nodes are.
The SECOQC European Project
SEcure COmmunication based on Quantum Cryptography
!
Development of a Global Network for
!
IP, FP6 within the IST program Security & Trust Integrated Project FP6-2002- IST-1 -506813 Unit D4: ICT for Trust and Security Duration: April 2004 – April 2008 => Oct 2008 www.secoqc.net
! ! ! !
SECOQC Developments ! ! ! !
Fully functional Quantum Key Distribution (QKD) Devices Novel Security Architecture Quantum Information Security Proofs Novel Protocols and Design of QKD Networks
!
Standardization of QKD devices and network interface
!
Certification based on Common Criteria + COPRAS coop.
!
5 Backbone QKD technologies + 2 Access QKD techno.
!
Full deployment of a QKD network in 2008, Vienna
SECOQC QKD Network Architecture External USER
QBB USER
QAN USER
Application (User)
Secrets :
QAN Node
Key store global management
QBB Node
QBB LINK QAN LINK
M. Dianati, R. A. Proc. IEEE QSEC 2007
Quantum Key Distribution quant-ph/0610202
QBB node Q3P instance 1
Linklayer module
Other modules QBB link 1 Keystore
QKD Device array
Q3P instance 2
Linklayer module
R o u t i n g m o d u l e
F o r w a r d i n g m o d u l e
QBB link 2 Keystore
QKD Device array
. . .
. . .
Q3 P instance n
Linklayer module
QBB link n Keystore
QBB Node
QKD Device array
Analogue to a router in a conventional packet switching networks Integrated design (19’’ racks)
QBB link QBB Node
QBB Node QBB Link
Classical Network Interface
Classical Network Interface
Classical Channel
QKD Device
1
Quantum Channel
1
QKD Device 1
QKD Device
2
Quantum Channel
2
QKD Device 2
.
.
.
.
.
.
QKD Device n
Quantum Channel n
QKD Device n
• Multiple QKD links can be deployed in parallel, they operate over the same shared classical channel, and fill the same key store • Typically for high-rate / high-cost core network links
Protocol Stack of the QKD network QKD Application Layer (NI/SYS) QKD Transport Layer (ENST)
QKD Network Layer (ENST)
Q3P: QKD Point-to-Point Protocol (ARCS)
QKD Network Demonstrator (1)
Deployment over a real metropolitan area telecom fibre network. Cooperation: Siemens Vienna, fall 2008
QKD Network Demonstrator (2) Meshed Topology Fully connected parallelogram + Long Distance Link
Different QBB-Link technologies: !
Coherent One Way System ( N. Gisin, Univ. Genève)
!
One Way Weak Pulse System (A. Shields, Toshiba)
!
Continuous Variables (P. Grangier , CNRS)
!
Entangled Photons (A. Zeilinger , Univ. Vienna)
!
Autocompensating Plug&Play (G. Ribordy, id Quantique, Genève)
Perspectives d’application de la cryptographie quantique
Comparative advantages of QKD over classical key distribution techniques
quant-ph/0701168 Romain Alléaume, Jan Bouda, Cyril Branciard, Thierry Debuisschert, Mehrdad Dianati, Nicolas Gisin, Mark Godfrey, Philippe Grangier, Thomas Länger, Anthony Leverrier, Norbert Lütkenhaus, Philippe Painchault, Momtchil Peev, Andreas Poppe, Thomas Pornin, John Rarity, Renato Renner, Grégoire Ribordy, Michel Riguidel, Louis Salvail, Andrew Shields, Harald Weinfurter, Anton Zeilinger,
Some messages !
QKD main advantage : properties of the key » Unconditionnal security versus computationnal security » Composability
!
QKD is not adapted to open networks » Open networks : trust relations + asymetric crypto (Internet) => no symmetrically shared secret » QKD is for closed, operated, (and medium-sized networks).
!
One of the main challenges for QKD will be sidechannel analysis => very intesting for the analysis of side-channles in classical cryptosystems.
Application « naturelle » : renouvellement de clés pour chiffrage de liens Chiffrage One-Time-Pad (masque jetable) ' Sécurité inconditionnelle ' En particulier forward secrecy ' Mais débits faibles (débit données = débit clés) !
Chiffrage Symétrique (DES, AES, etc…) ' Gain en sécurité : sécurité de la clé + fréquence de renouvellement ' Débits élevés !
Pour quelles infrastructures ? => Réseaux opérés, « consommateurs » de secrets Réseaux privés de grande sécurité : bancaire, cœur de réseau opérateur, militaires, gouvernementaux ! Réseaux de stockage sécurisé de données (SANs) ! PKIs: distribution des clés secrètes, initialisation !
Autre idée ??
!
Side-channels et crypto quantique classique Public
Interfaces classique-quantique => critique pour les side-channels
quantique
Privé
Problématique standard de gestion de secrets => smartcards ?
classique Public Privé
Espace quantique présentant une garantie forte contre les side-channels: test de correlations quantiques
Conclusion !
Systèmes de distribution quantique de clé sont maintenant fiables, deployables sur des réseaux fibrés télécoms
!
SECOQC: premiers éléments d’un standard européen
Nouvel outil cryptographique => nécessité d’identifier les avantages que l’on peut en tirer et les applications adaptées => projet FP7
!