chaotique. Par exemple, certains utilisent l’ensemble des valeurs des registres d’un ordinateur depuis son premier allumage, les paquets TCP/IP arrivant sur le port ethernet, les frappes du clavier. Ces sources chaotiques doivent ensuite être traitées pour éliminer tout caractère non aléatoires (biais, . . . ). Du fait de ce traitement, il faut se méfier de la qualité de ces générateurs.
Générateurs physiques Des générateurs de nombres aléatoires produisent de l’aléa à partir de bruits physiques, par exemple le bruit électronique dans des diodes Zener. Pour éliminer les perturbations extérieures, on utilise la différence de tension entre deux diodes mitoyennes. Beaucoup d’ordinateurs de bureau sont actuellement dotés d’un tel générateur. Sous le sys- tème d’exploitation linux, ces générateurs sont accessibles via le périphérique /dev/hwrandom. Ces générateurs peuvent produire des séquences aléatoires de bonnes qualité, mais à un taux insuffisant, de l’ordre de 10 kb/s.
Générateurs quantiques Aux grands maux, les grands remèdes. Un système de distribution quantique de clé se doit de disposer d’un aléa quantique. La société suisse idQuantique propose à la vente des cartes PCI capables de générer un aléa quantique jusqu’à 16 Mb/s. Ces générateurs reposent sur l’incertitude sur la voie de sortie d’un photon arrivant sur une lame séparatrice. Pour faire fonctionner notre système de distribution quantique de clé au taux de 1 MHz, il nous faudrait acquérir une carte pour Bob, et deux cartes pour Alice.
Le bruit de photon mesuré par une détection homodyne est une source aléatoire quantique gaussienne. Au lieu d’utiliser un générateur de nombres binaires transformés en modulation gaussienne par une fonction mathématique, il est plus intéressant de disposer directement de nombres quantiques gaussiens. Pour cela, nous envisageons l’utilisation d’une détection homodyne mesurant le bruit quantique d’un mode vide. Le dispositif est simple : une source laser est injectée dans un coupleur 50/50. Les intensités des deux voies de sortie du cou- pleur sont mesurées par des photodiodes raccordées à un circuit de détection homodyne. Nous pouvons ensuite profiter des voies d’entrée libres de notre carte d’acquisition pour acquérir ce signal et disposer de nombres aléatoires gaussien pour notre logiciel de modulation. Moyennant une renormalisation, ces nombres peuvent être directement utilisés pour choisir les quadratures X et P envoyées par Alice.
10.9
Intégration en rack 19 pouces
Le projet SECOQC vise à construire un réseau quantique composé de 6 liens de natures différentes, entre quatre nœuds distants. Ce réseau, dont la topologie est schématisée figure 10.5, sera implanté à Vienne en mars 2008. L’un de ces liens sera assuré, nous l’espérons, par notre système de distribution quantique de clé avec des états cohérents. À cette fin, notre système doit être intégré dans un boîtier au format 19 pouces. Nous avons d’ores et déjà regroupé l’ensemble de l’optique de Bob dans un tel boîtier, afin de vérifier la stabilité de notre interféromètre dans ces conditions. Un autre compartiment sera dédié à l’électronique d’acquisition et contiendra un ordinateur capable de traiter nos données et de fournir une clé secrète aux organes de plus haut niveau du réseau. L’établissement d’une clé secrète à partir de nos mesures quantiques fait l’objet de la troisième partie de ce manuscrit.
130 Chapitre 10 : Intégration et prototypage
Fig. 10.5: Topologie du réseau quantique prévu par le projet SECOQC. 6 liens principaux ("Quantum Backbone") relient 4 nœuds répartis dans la ville de Vienne, à des distances variant entre 12 km et 35 km. Un lien externe de 80 km est également prévu. Éventuellement, d’autres liaisons fonctionnant à plus faible distance ("Quantum Access Network") peuvent se connecter au réseau principal. Des protocoles réseau sont en cours d’élaboration pour gérer les clés produites par chaque lien.
Troisième partie
Distillation d’une clé secrète
Chapitre 11
Introduction
À l’issue de l’échange quantique, Alice et Bob possèdent chacun une chaîne de variables aléatoires réelles, distribuées avec une probabilité gaussienne. Pour Bob, cette chaîne est direc- tement l’ensemble de ses mesures homodynes, normalisées en unités de bruit de photon. Alice, de son côté, possède les deux quadratures XAet PA de chaque état cohérent envoyé. Alors Bob révèle publiquement son choix de quadrature (X ou P ) pour chaque mesure. Ainsi Alice forme sa chaîne de variables réelles en ne conservant que la quadrature qui a été mesurée par Bob. L’autre quadrature reste inutilisée. Nous avons vu au cours des chapitres précédents que ces deux chaînes présentent les propriétés suivantes :
1. Les chaînes d’Alice et de Bob sont corrélées. Le théorème de Shannon nous apprend qu’il est possible d’en extraire au plus IAB bits communs : IAB est l’information mutuelle contenue dans les corrélations.
2. Les relations de Heisenberg sur les variances conditionnelles dans le cas de la réconciliation inverse, écrites en section 2.4, nous apprennent que l’espion connaît au plus IBE bits parmi les IAB bits.
Suite à ces deux remarques, l’obtention d’une clé secrète se déroule en deux étapes classiques (figure 11.1) de traitement des données gaussiennes :
1. La réconciliation tente de générer IAB bits identiques pour Alice et Bob à partir des données gaussiennes corrélées. Cette étape fait face à deux problèmes : d’abord, il faut définir un système de discrétisation permettant de transformer nos variables continues en variables discrètes, ou mots binaires. Ensuite, il faut corriger les erreurs introduites par le bruit du canal quantique sur ces variables discrètes. Pour ce faire, Alice et Bob utilisent des codes correcteurs d’erreurs, et disposent d’un canal classique public authentifié [59] par lequel ils peuvent s’échanger Irev bits d’information. Comme le canal classique n’est pas sécurisé, Ève acquiert aussi cette information de Irev bits, dits «bits révélés». En pratique, les algorithmes de réconciliation échouent à extraire toute l’information disponible dans les corrélations, et n’exploitent finalement qu’une fraction β de l’information IAB initialement disponible. On appelle β l’efficacité de la réconciliation. On note b le nombre de bits produits par la réconciliation.
2. L’amplification de confidentialité [60] permet à Alice et Bob d’obtenir ∆I = βIAB − IBE bit totalement inconnus de l’espion à partir des b bits sans erreur produits par la réconciliation. On appelle parfois cette étape la distillation d’une clé secrète car elle permet d’obtenir un nombre ∆I de bits parfaitement secrets à partir d’un nombre b plus
134 Chapitre 11 : Introduction Variables gaussiennes corrélées Expérience Expérience Irec Amplification de confidentialité Réconciliation (décodage) Variables gaussiennes corrélées Irec Amplification de confidentialité Réconciliation (encodage) quantique Alice Canal Canal classique Bob
Fig. 11.1: Étapes du processus de génération d’une clé secrète à partir des données expérimentales.
IAB IBE Transmission quantique IBE I ∆ Amplification de confidentialité AB BE I ∆ IAB β AB BE Réconciliation AB BE Irev b H(X) rev I ^
Fig. 11.2: Histogrammes représentant les informations échangées au cours du processus de réconci- liation et de distillation.
grand de bits partiellement connus de l’espion. Cette étape est réalisée par l’application d’une fonction de hachage.
On peut établir un bilan de l’information échangée entre Alice et Bob. D’abord, βIAB bits sont extraits de la transmission quantique. Ensuite, Irev bits sont échangés par le canal classique. Ces deux échanges d’information permettent à Alice et Bob de partager un ensemble de mots binaires, qu’on peut voir comme des réalisations d’une variable aléatoire discrète ˆX1. Nous avons vu que le nombre de bits nécessaires pour spécifier une variable aléatoire ˆX est son entropie H( ˆX). Ainsi, l’information échangée est égale à l’entropie H( ˆX). En pratique, le processus de discrétisation introduit une redondance dans la variable discrétisée, et le nombre de bits b produit par la réconciliation est supérieur à l’entropie H( ˆX). Finalement, notre bilan informationnel s’écrit :
b > H( ˆX) = βIAB+ Irev (11.1)
Les informations mises en jeu dans les processus de réconciliation et de distillation sont sym- bolisées par la figure 11.2.
135
Le processus d’obtention d’une clé secrète est soumis à plusieurs contraintes. D’abord, les usages du canal classique doivent être modérés. On ne peut envisager des taux supérieurs à ceux autorisés par les liaisons standards (typiquement le Megabit par seconde). Ensuite, et c’est là-dessus que nous allons concentrer nos efforts, la génération de la clé doit être rapide. À ce jour, le temps nécessaire pour réconcilier une clé est le facteur limitant pour le taux secret : le taux avec lequel nous réconcilions les blocs de données est environ un ordre de grandeur inférieur au taux de répétition de l’expérience.
Chapitre 12
Réconciliation et codes correcteurs
d’erreurs
À l’issue de l’échange quantique, Alice et Bob possèdent deux chaînes de variables gaus- siennes corrélées. Ces corrélations ne sont pas parfaites : le signal envoyé par Alice est entaché du bruit de photon, et ces corrélations sont encore dégradées par le bruit ajouté introduit par l’espion (ou le canal de communication quantique). Afin d’obtenir une chaîne de bits sans er- reur, il est nécessaire d’établir un protocole de «réconciliation» visant à discrétiser nos variables gaussiennes, et à en éliminer les erreurs.
Pour arriver à leur fin, Alice et Bob disposent, en parallèle du canal quantique, d’un canal classique sans erreur (par exemple un lien ethernet). Ce canal permet d’échanger de l’informa- tion nécessaire à la correction d’erreurs. Cet échange est doublement contraint :
• Le canal classique n’est pas sécurisé. Toute information y transitant est considérée comme parfaitement connue de l’espion.
• Le taux de clé secrète ∆I = βIAB − IBE dérivé chapitre 2 a été calculé dans le cadre de la réconciliation inverse, pour laquelle la chaîne de Bob sert de référence à la clé. C’est pourquoi tout échange d’information sur le canal classique doit se faire de façon
unidirectionnelle, de Bob vers Alice, pour éviter de construire une clé qui proviendrait de
l’information envoyée par Alice plutôt que de l’information reçue par Bob1.
Dans le processus de réconciliation, nous utiliserons deux types de codes correcteurs d’er- reurs unidirectionnels couramment employés dans les télécommunications pour leurs bonnes efficacités :
• les codes LDPC ("low density parity check"), qui consistent à faire des calculs de parités sur les bits erronés que l’on doit corriger ;
• et dans une moindre mesure les turbo codes, qui atteignent de bonnes performances en utilisant plusieurs codes en parallèle (voir annexe A).
Ce chapitre introduit les concepts que l’on rencontre dans la manipulation de ces codes, et montre comment on les adapte à la réconciliation de variables gaussiennes corrélées. Ensuite, nous aborderons brièvement le principe des algorithmes de décodage. Enfin, nous traiterons du décodage multi-niveaux, qui nous permet d’extraire l’information de nos variables continues.
1Les premières réalisations de la réconciliation de variables continues [14] utilisaient des protocoles bidirec-
tionnels. Des aménagements spécifiques [7] devaient alors être considérés dans le décompte de l’information accessible à l’espion, au détriment de l’efficacité du processus.
138 Chapitre 12 : Réconciliation et codes correcteurs d’erreurs
Bits utiles (k bits) Redondance (r bits) Mot code (n bits)
Fig. 12.1: Représentation d’un mot code de n bits contenant k bits d’information et r bits de redon- dance. Cette représentation est symbolique : la plupart du temps, les k bits utiles ne se retrouvent pas explicitement à l’intérieur du mot code. Toutefois, on appelle «code systématique» un code pour lequel on retrouve les k bits utiles dans le mot code. Ce sont ces codes systématiques que nous pourrons utiliser dans notre situation de réconciliation.