Sécurité du protocole

4.2 Sécurité du protocole

4.2.1

Problématique

Une fois la transmission quantique effectuée, Alice et Bob partagent des données corrélées, et ils cherchent à en extraire une clé secrète. On peut montrer que l’informa- tion accessible à l’espion doit être inférieure à l’information IAB, partagée par Alice et

Bob, pour que cette extraction soit possible [49].

Pour évaluer IAB, Alice et Bob doivent évaluer les paramètres caractérisant la transmission, à l’aide d’un échantillon aléatoire des données. Une fois ces paramètres

connus, il est possible de calculer l’information mutuelle IAB entre Alice et Bob. Dans

notre cas, il s’agit d’évaluer les différents bruits intervenant dans le système, ainsi que les niveaux de signal et de pertes. Ceci nous permet d’évaluer le rapport signal à bruit, qui est directement lié à IAB d’après la formule de Shannon (3.24).

Reste donc à évaluer la quantité d’information accessible à l’espion : c’est le rôle des calculs de sécurité. Dans le reste de ce chapitre, nous nous placerons dans le cas d’une réconciliation inverse, telle que définie dans la section 2.2.1, puisque nos calculs montrent qu’elle fournit à Alice et Bob un avantage toujours supérieur à la réconciliation directe3_{. Dans ce cadre, l’information accessible à l’espion correspond à}

la connaissance qu’Eve a sur les données de Bob, c’est-à-dire à l’information mutuelle entre Bob et Eve, IBE.

4.2.2

Différentes classes d’attaques

Pour calculer IBE, il est nécessaire de modéliser le système de cryptographie quan-

tique correctement, mais aussi de bien délimiter l’ensemble des opérations qu’Eve est autorisée à effectuer : on parle de classes d’attaques, dont nous donnons quelques exemples ci-dessous.

• Attaques individuelles : Eve est autorisée à interagir de manière individuelle avec chaque état cohérent envoyé par Alice, et à stocker son état-sonde dans une mémoire quantique. Elle peut ensuite attendre que Bob révèle quel choix de quadrature il a effectué (c’est l’étape dite de sifting) pour réaliser la mesure la plus adaptée en fonction de cette quadrature. En revanche, on suppose qu’elle effectue cette mesure avant la réconciliation (cf. chapitre 7). L’information maxi- male qu’Eve obtient sur la clé de Bob est alors limitée par l’information mutuelle classique (dite de Shannon), IBE, définie dans la partie 3.2.4.

• Attaques collectives : Eve interagit toujours de manière individuelle avec les états cohérents, mais est autorisée à attendre que la totalité des étapes classiques d’extraction de clé soit terminée pour effecter la mesure la plus adaptée. Devetak et Winter ont montré [48] que l’information mutuelle à utiliser dans ce cas est l’information mutuelle quantique (dite de Holevo), χBE, définie dans la partie

3.2.5.

3. Les calculs pour la réconciliation directe peuvent être dérivés directement des méthodes utilisées dans ce chapitre, voir [1, 5] pour plus de détails.

56 Chapitre 4 : Preuves de sécurité

• Les attaques cohérentes sont les attaques les plus puissantes autorisées par la mé- canique quantique. Eve est alors autorisée à interagir collectivement avec tous les états envoyés par Alice, et à réaliser des mesures conjointes sur toutes ses sondes après la totalité des étapes d’extraction. La sécurité contre ce type d’attaques est dite inconditionnelle, puisqu’aucune hypothèse n’est faite sur les capacités de l’espion.

Dans le cas des systèmes de cryptographie quantique utilisant les quadratures d’états cohérents — tels que celui présenté dans ce manuscrit — il a été montré dans [50] que la borne χBE définie pour les attaques collectives reste valable asymptotique-

ment pour des attaques cohérentes arbitraires. Par conséquent, les résultats que nous calculons dans la suite de ce chapitre pour les attaques collectives restent valables pour des attaques cohérentes générales, ce qui garantit la sécurité inconditionnelle du protocole.

Mode réaliste

Dans tous les protocoles de cryptographie quantique actuellement mis en pratique, on considère que les sites physiques où sont placés les dispositifs d’Alice et de Bob sont sûrs. Ce mode de fonctionnement est généralement appelé mode réaliste, et repose sur l’idée simple que si l’espion a accès aux sites physiques, il peut avoir accès à l’ordinateur d’Alice ou Bob, et donc directement espionner le message.

En particulier, le mode réaliste implique que l’espion n’a pas accès au détecteur de Bob. Dans le cas des variables continues, nous modélisons l’hypothèse en supposant que l’espion ne peut avoir d’influence sur les pertes du détecteur χhom et sur le bruit

électronique vel; nous nous placerons dans ce cadre pour la suite4.

4.2.3

Modélisation à intrication virtuelle

Le protocole à variables continues présenté en 2.2.1 correspond à un schéma asy- métrique, dit prepare and measure (P&M) : Alice prépare un état selon une certaine distribution, puis l’envoie à Bob qui le mesure. On peut définir un autre protocole, parfaitement équivalent, fondé sur l’intrication :

• Alice génère une paire EPR (voir partie 2.1.2) parfaitement intriquée en quadra- tures, de variance V N0.

• Elle conserve un mode de l’état pour elle, et envoie l’autre moitié à Bob, par le canal de transmission.

• Elle effectue ensuite une mesure hétérodyne des deux quadratures de son mode, et obtient les valeurs xA et pA. Puisque les deux modes de l’état sont parfai-

tement intriqués, cette mesure projette le mode de Bob dans l’état cohérent

|xA
ipAy. Par ailleurs, puisque la distribution des quadratures de l’état EPR

est une gaussienne de variance V N0 pVA 1qN0, la distribution envoyée à Bob

est exactement la même que dans le protocole P&M.

4. Les premières preuves de sécurité ont été établies hors du mode réaliste [1], mais il est aisé de retrouver les formules non-réalistes (qualifiées de « paranoïaques » dans [51]) à partir des preuves que nous présentons ci-après, en remplaçant les bruits par χ1

tot, χ 1 lineet χ

1

hom, tels que χ 1 totχ

1

lineχtot et χ1

4.3. Expression de l’information secrète 57