6.4 Les preuves de s´ecurit´e en cryptographie quantique
6.4.3 Les principales attaques sur le protocole BB84
Nous venons de voir que l’examen des attaques que peut entreprendre un espion sur les syst`emes de distribution quantique de cl´e constitue un ´el´ement essentiel dans l’´evaluation
6.4. Les preuves de s´ecurit´e en cryptographie quantique
de la s´ecurit´e du protocole. Nous n’envisagerons ici que deux types d’attaques, renvoyant le lecteur aux r´ef´erences [28, 214, 30] pour des discussions plus d´etaill´ees.
Attaque de type « Interception – Renvoi »
Ce type d’attaque correspond `a celles qui sont les plus imm´ediates `a mettre en œuvre, et consiste pour Eve, `a mesurer indivuellement les impulsions lumineuses ´emises par Alice, puis `a renvoyer vers Bob un photon cod´e dans l’´etat correspondant au r´esultat de mesure qu’elle a obtenu. Il est facile de se convaincre que, dans le cas du protocole BB84, si Eve mesure au hasard dans l’une des deux bases de codage en polarisation, elle a une chance sur quatre d’introduire une erreur, tandis quelle obtient ainsi 75% de l’information cod´ee sur le photon mesur´e [214]. Eve peut faire baisser le taux d’erreur qu’elle introduit `a seulement 15%, en r´ealisant des mesures dans la base dite de BREIDBART [177], orient´ee `a 22.5◦ par rapport aux bases choisies par Alice et Bob.
Attaque « Photon-Number-Splitting »
L’une des attaques les plus puissanes d’une mise en œuvre exp´erimentale du proto-cole BB84 a ´et´e imagin´ee et ´etudi´ee par Norbert L ¨UTKENHAUS[186]. Couramment d´esign´ee par l’acronyme d’attaque « PNS », elle a permis de d´efinir ce qui est aujourd’hui consid´er´e comme les limites « pratiques » de la cryptographie quantique avec des impulsions coh´erentes att´enu´ees [183].
Cette attaque s’applique `a la quasi-totalit´e des exp´eriences de distribution quantique de cl´e utilisant des impulsions coh´erentes att´enu´ees, qui ne sont, comme nous l’avons rappel´e
`a la section pr´ec´edente, que des approximations d’´etats `a un photon.
L’existence d’une probabilit´e r´esiduelle que deux photons soient pr´esents dans l’impul-sion ´emise par Alice est `a l’origine d’une faille de s´ecurit´e qui peut ˆetre mises `a profit par Eve pour obtenir de l’information sans pour autant risquer d’ˆetre d´etect´ee par Alice ou Bob. La fi-gure 6.7 d´etaille comment Eve peut proc´eder pour obtenir toute l’information achemin´ee par les impulsions contenant deux photons ou plus. Ainsi, la s´ecurit´e de la transmission n’est plus parfaitement garantie par la seule mesure du taux d’erreur et cette attaque impose `a Alice de limiter la probabilit´e d’impulsions multi-photoniques en contr ˆolant le param`etre µ correspondant au nombre moyen de photons par impulsion. Comme d’autre part Eve peut exploiter les pertes afin de bloquer les impulsions `a un photon [183], on montre qu’Alice doit en pratique diminuer le param`etre µ jusqu’`a atteindre la valeur µ = T o `u T d´esigne la trans-mission en intensit´e du canal quantique. L’attaque PNS va donc limiter de mani`ere drastique la distance maximale sur laquelle il est possible de r´ealiser de mani`ere s´ecuris´ee la distribu-tion quantique de cl´e . `A titre d’exemple, pour d’excellentes performances exp´erimentales telles qu’une probabilit´e de coups d’obscurit´e par impulsion de 10−6 et une efficacit´e de d´etection de l’appareil de Bob de 0.1, les pertes maximales que peut supporter le proto-cole BB84 sont de 20 dB [183]. Un chiffre plus r´ealiste correspond `a une limite des pertes d’environ 13 dB au-del`a de laquelle il est en pratique impossible d’assurer la s´ecurit´e de la distribution de cl´e [184].
On comprend d`es lors tout l’int´erˆet d’utiliser des sources de photons r´eellement uniques pour une mise en œuvre du protocole BB84, puisque ces syst`emes ne seront pas affect´es par les attaques de type PNS. Les publications de Norbert L ¨UTKENHAUS [186, 185] donnent `a cet ´egard un cadre th´eorique complet permettant de comparer les performances de la
distri-QND
EVE
Alice Bob
MESURE
BIT
Canal classique
Base HV
Mémoire quantique
FIG. 6.7 – Principe de l’attaque PNS. Eve r´ealise une mesure quantique non-destructive (QND) du nombre de photon. Si l’impulsion contient plus d’un photon, Eve en conserve un dans une m´emoire quantique et transmet l’autre photon `a Bob. Eve attend ensuite que Bob annonce sa base de mesure pour faire la mesure a posteriori, dans la mˆeme base. De cette fac¸on, Eve peut acqu´erir, sans introduire aucune erreur, la totalit´e de l’information contenue sur les impulsions `a deux photons. Une telle attaque suppose qu’Eve est capable de r´ealiser une mesure QND du nombre de photons et qu’elle dispose d’une m´emoire quantique. Une telle hypoth`ese est en pratique tr`es hardie, mais elle est autoris´ee par la physique quantique [124, 144].
bution quantique de cl´e en fonction des param`etres exp´erimentaux, en faisant l’hypoth`ese que l’espion est limit´e `a des attaques individuelles sur chacune des impulsions, dont l’at-taque PNS fait partie. Nous nous sommes bas´es sur ces travaux pour l’analyse th´eorique de la s´ecurit´e des exp´eriences d´ecrites dans les chapitres 7 et 8. En pratique, les sources de pho-tons uniques que nous avons r´ealis´ees sont des sources d’impulsions avec une statistique
sub-poissonnienne du nombre de photons, pour lesquelles on peut montrer [198], s’appuyant
sur les r´ef´erences [186, 185], qu’un important gain de performance est obtenu dans le r´egime des fortes att´enuations.
On mentionnera pour conclure cette section que le groupe de Nicolas GISINa r´ecemment propos´e un nouveau protocole, parfois d´esign´e par l’acronyme « SARG » et qui semble beaucoup plus robuste contre l’attaque PNS [184]. L’id´ee directrice de ce travail est de mo-difier la phase classique du protocole BB84, correspondant `a l’annonce des bases de codage et de mesure et qui permet d’´etablir une correspondance entre les r´esultats de mesure (`a savoir quel photod´etecteur a produit un « clic ») et la succession des bits dans la cl´e brute partag´ee par Alice et Bob. Ils ont montr´e qu’en ´etablissant une correspondance non pas «impulsion par impulsion » mais en regroupant les impulsions par bloc de deux, on peut imposer que Eve, mˆeme en ´ecoutant l’annonce du choix des bases effectu´e par Bob, soit contrainte de discriminer des ´etats non-orthogonaux. L’efficacit´e de l’attaque PNS se trouve
6.4. Les preuves de s´ecurit´e en cryptographie quantique
alors fortement r´eduite. Les auteurs estiment pouvoir gagner en pratique 10 dB de pertes `a l’aide de tels protocoles, avec des impulsions coh´erentes att´enu´ees [184].