Introduction `a la cryptographie quantique et au calcul quantique

Introduction `a la cryptographie quantique et au calcul quantique

Pierre Rouchon

Centre Automatique et Syst `emes Mines ParisTech pierre.rouchon@mines-paristech.fr

D ´ecembre 2012

Quelques r ´ef ´erences

Le cours de M ´ecanique Quantique de C. Cohen-Tannoudji B. Diu et F. Lalo ¨e. Hermann, Paris, Volumes I& II, 1977.

Cours en ligne de Serge Haroche au Coll `ege de France :

http://www.cqed.org/college/college.html

Exploring the quantum : atoms, cavities and photons. S. Haroche and J-M Raimond. Oxford University Press (2006).

Cours de Peskill au Caltech intitul ´e Quantum computation :

www.theory.caltech.edu/people/preskill/ph229/#lecture

Quantum computation and quantum information. M.A. Nielsen and I.Chuang, Cambridge Univ.Press. (2000)

Le site web d’une entreprise :http://www.idquantique.com

Plan

1 BB84

Le protocole de distribution de cl ´es de chiffrement Suret ´e du protocole : impossibilit ´e du clonage

2 Intrication

In ´egalit ´e de Bell pour un 2-qubit

Distribution de cl ´es secr `etes par partage d’ ´etats intriqu ´es Protocole de t ´el ´eportation

3 Calculs et algorithmes quantiques Portes et circuits logiques classiques Portes et circuits logiques quantiques Algorithme de Deutsch-Josza

Algorithme de recherche de Grover

Une id ´ee due `a Bennet et Brassard en 1984 (BB84)

GAP Optique 17 Geneva University

Alice's Bit Sequence

0 1 0 - 0 1 1 1 1 - 1 0 - 1 - - 0 1 - - 1 - 1 0 Bob's Bases

Bob's Results Key Alice

Bob

Polarizers Horizontal - Vertical Diagonal (-45 , +45 )° °

H/V Basis

45 Basis°

BB84 protocole:

BB84

Alice envoie `a Bob des photons polaris ´es lin ´eairement (i.e. les qubits|ψi=a₀|0i+a₁|1i) al ´eatoirement selon les 4 directions suivantes :

polarisation horizontale|0iet verticale|1i.

polarisation `a +45, ^|0i+|1i√

2 et -45, ^|0i−|1i√

2

Lorsque Bob rec¸oit un photon d’Alice, il choisit al ´eatoirement de le mesurer selon deux types de polariseurs :

Polariseur H/V :Z =|0i h0| − |1i h1|

Polariseur `a 45 :X =|1i h0|+|0i h1|

Alice communique `a Bob (canal classique public) pour chaque photon le type de polarisation (H/Vou+45/-45) mais pas la polarisation exacte.

Bob communique `a Alice (canal classique public) pour chaque photon mesur ´e le type de polariseur choisi (Z ouX) mais pas le r ´esultat de sa mesure.

BB84 (fin)

Les photons pour lesquels Alice et Bob ont utilis ´e des

polarisations compatibles : (H/V,Z) et (+45/-45,X) sont partag ´es en deux groupes :

1 le premier groupe forme la cl ´e secr `ete qui sera utilis ´ee dans un syst `eme classique de chiffrement.

2 pour le second groupe, Bob envoie `a Alice sur le canal classique et public les r ´esultats de ses mesures.

La s ´ecurit ´e vient du fait que sil’espion Oscar ´ecoute la ligne, i.e., capte certains photons envoy ´es par Alice, il les perturbe

in ´evitablement et alors Alice s’en rend compte sur les photons du second groupe (certaines mesures de Bob ne coincident pas avec les siennes). Intuitivement le nombre de photons envoy ´es par Alice doit ˆetre grand pour laisser une chance quasi-nulle `a Oscar d’espionner sans ˆetre rep ´er ´e.

Impossibilit ´e du clonagepar Oscar d’un photon venant d’Alice.

Suret ´e du protocole : impossibilit ´e du clonage d’un qubit

Pour copier le qubit|ψi ∈C², dans le qubit clone d’ ´etat initial

|bi ∈C², on utilise un appareil de fonction d’onde initiale|f_biqui vit dans un espace de HilbertH.

La fonction d’onde|Ξidu syst `eme composite (qubit initial, qubit clone, appareil) vit dans leproduit tensorielC<sup>2</sup>⊗C<sup>2</sup>⊗ H. Sa valeur `a l’instant initialt =0, d ´ebut du clonage, est donc

|Ξi_t=0=|ψi ⊗ |bi ⊗ |f_bi.

Le clonage met un tempsT >0. Entret =0 ett =T,|Ξi ´evolue selon Schr ¨odinger :ı~_dt^d |Ξi=H(t)|Ξio `uH(t)est l’hamiltonien, un op ´erateur lin ´eaire auto-adjointH^†=H. Latransformation (propagateur)U_T :|Ξi₀7→ |Ξi_T =U_T|Ξi₀est lin ´eaire, et pr ´eserve le produit hermitien (transformation unitaire).

Impossibilit ´e du clonage d’un qubit (fin)

SiU_T permet le clonage de n’importe quel qubit|ψi=ψ₀|0i+ψ₁|1i, cela implique en particulier queU_T v ´erifie :

|0i ⊗ |0i ⊗ f_|0i

=U_T (|0i ⊗ |bi ⊗ |f_bi)

|0i+|1i

√ 2

⊗

|0i+|1i

√ 2

⊗

f|0i+|1i

√ 2

=. . . . . .U_T

|0i+|1i

√ 2

⊗ |bi ⊗ |f_bi

Ce qui estimpossible carU_T pr ´eserve le produit hermitien: hΞ|Λi>hΞ|U_T^†U_T |Λi

avec|Ξi=|0i ⊗ |bi ⊗ |f_biet|Λi=

|0i+|1i√ 2

E

⊗ |bi ⊗ |f_bi.

Intrication d’un 2-qubit : mesure deZ =|0ih0| − |1ih1|sur le 1er qubit

Etat d ´ecrivant l’intrication d’une paire de qubits :

|ψi= |01i − |10i

√ 2

qui ne peut pas s’ ´ecrire comme le produit tensoriel de deux qubit :

∀a₀,a₁,b₀,b₁∈C,|ψi 6=(a₀|0i+a₁|1i)⊗(b₀|0i+b₁|1i).

Le premier qubit va versAliceet le second qubit va versBob.

Les mesures deBobetAliceont lieu en m ˆeme temps (causalement ind ´ependantes).

SiAlicemesureZ sur son qubit et trouve−1alors Bob qui

mesureZ sur le sien trouvera n ´ecessairement1, bien que Alice et Bob fassent leur mesure en m ˆeme temps.Non localit ´e de la fonction d’onde|ψi.

Intrication d’un 2-qubit : mesure deX =|0ih1|+|1ih0|sur le 1er qubit Avec|+i= ^|0i+|1i√

2 et|−i= ^{−|0i+|1i√}

2 on a

|ψi= |01i − |10i

√

2 = |+−i − |−+i

√ 2

Le premier qubit va versAliceet le second qubit va versBob.

Les mesures deBob etAliceont lieu en m ˆeme temps (causalement ind ´ependantes).

SiAlicemesureX =|+ih+| − |−ih−|sur son qubit et trouve−1 alors Bob qui mesureX sur le sien trouvera n ´ecessairement1, bien que Alice et Bob fasse leur mesure en m ˆeme temps.Non localit ´e de la fonction d’onde|ψi.

Impossibilit ´ed’interpr ´eter ^{|01i−|10i√}

2 comme unedistribution

statistique classiquede|01iavec la probabilit ´e classique de 1/2 et de|10iavec aussi une probabilit ´e de 1/2 : preuve exp ´erimentale via la violation des in ´egalit ´es de Bell.

In ´egalit ´e de Bell

Alice et Bob disposent d’un grand nombreN de paires de qubits intriqu ´es du type|ψi= ^{|01i−|10i√}

2 .

Pour chaque paire Alice mesure al ´eatoirement sur son qubit soit Q=Z ⊗I_d soitR=X⊗I_d; Bob mesure aussi sur la m ˆeme paire al ´eatoirement (et ind ´ependamment d’Alice) soitS=I_d⊗

−Z−X√ 2

soitT =I_d⊗

Z√−X 2

.

A la fin des exp ´eriences Alice et Bob mettent en commun leur r ´esultats et calculent ainsi la valeur moyenne de

QS+RS+RT −QT =

−(Z +X)⊗(Z+X)

√2 − (Z −X)⊗(Z−X)

√2

et ils trouvent environ2√ 2.

In ´egalit ´e de Bell (fin)

Raisonnement classique : comme

QS+RS+RT−QT = (Q+R)S+ (R−Q)T on voit que chaque mesure ne peut donner que±2car chaque mesure deQ,R,SetT donne±1.

On suppose qu’avant chaque mesure le syst `eme `a laprobabilit ´e

π(p,r,s,t)que la mesure deQdonnep=±1, celle deRdonner =±1, celle deSdonnes=±1 et celle deT donnet=±1

Donc la valeur moyenneE(QS+RS+RT −QT)v ´erifie l’in ´egalit ´e de Bell :

E(QS+RS+RT −QT) = X

q,r,s,t=±1

π(q,r,s,t)(qs+rs+rt−qt)≤2

Or Alice et Bob (Alain Aspectdans les ann ´ees 1980) trouvent un r ´esultat proche de2√

2>2.Donc le raisonnement classique ci-dessus n’est pas valable:les valeurs deQ,R,SetT ne sont pas d ´efiniesm ˆeme de fac¸on probabiliste,avant d’ ˆetre mesur ´ees, comme c’est implicitement le cas avec la th ´eorie des variables cach ´ees locales et le raisonnement probabiliste ci-dessus.

Cl ´es secr `etes par partage d’ ´etats intriqu ´es

Protocole imagin ´e par Ekert en 1991 ayant la m ˆeme utilit ´e que BB84.

Alice pr ´epare un grand nombreNde 2-qubitsintriqu ´es

|ψi_k = ^|00i+|11i√

2 . Pour chaque 2-qubit, Alice garde le premier qubit et envoie le second `a Bob.

Alice et Bob seram `enent `a la fin du protocole BB84.

Ind ´ependamment l’un de l’autre, Alice et Bob d ´ecident de mesurer leur qubit nok selonu_k pour Alice etv_k pour Bob

(u_k,v_k ∈ {X,Z}).

Apr `es avoir fait chacunNmesures, ils ´echangent publiquement lesu_k etv_k.

Ils se retrouvent alors exactement dans la m ˆeme situation qu’en fin de BB84 apr `es l’ ´echange desu<sub>k</sub> etv<sub>k</sub>. Ils proc `edent alors comme pour BB84 pour se convaincre que lesNqubits ´etaient au d ´epart bien intriqu ´es.

6

Téléportation quantique combinant intrication et transport d ’information classique (Bennet et al, 1993*):

Aliceet Bob partagent une paire EPR (b-c). Alicereçoit une particule quantique

a dans un état inconnu (qu ’elle ne peut d ’ailleurs déterminer) et la couple à son partenaire EPR (b ). Elle effectue une mesure collective sur l ’ensemble a -b

ainsi formé. Cette mesure a un effet immédiat sur la particule cde Bob(en raison de l’intrication b-c ). L’état final de c dépend de l ’état initial de aet du résultat de la mesure d ’Alice. Elle communique classiquement ce résultat à Bobqui peut alors, par une transformation unitaire sur

c, reconstituer l ’état initial de a.

a b c

(*) Phys.Rev.Lett. 70, 1895 (1993).

1

1Source : cours 2001/2002 de Serge Haroche, Coll `ege de France

T ´el ´eportation de|ψi=α|0i+β|1i

Alice (

Bob

00 11 2

|ψ₀i= 1

√2[α|0i(|00i+|11i) +β|1i(|00i+|11i)]

|ψ₁i= 1

√2[α|0i(|00i+|11i) +β|1i(|10i+|01i)]

|ψ₂i=1

2[α(|0i+|1i)(|00i+|11i) +β(|0i − |1i)(|10i+|01i)]

|ψ₂i=1

2[|00i(α|0i+β|1i) +|01i(α|1i+β|0i) +. . . . . .|10i(α|0i −β|1i) +|11i(α|1i −β|0i)]

T ´el ´eportation de|ψi=α|0i+β|1i(fin)

|ψ₂i=1

2[|00i(α|0i+β|1i) +|01i(α|1i+β|0i) +. . . . . .|10i(α|0i −β|1i) +|11i(α|1i −β|0i)]

Mesure d’Alice :















m₁ m₂

0 0 7→ |ψ₃i=α|0i+β|1i 0 1 7→ |ψ₃i=α|1i+β|0i 1 0 7→ |ψ₃i=α|0i −β|1i 1 1 7→ |ψ₃i=α|1i −β|0i

Alice communique `a Bob, via un canal de transmission classique, les valeurs dem<sub>1</sub>etm<sub>2</sub>. Bob retrouve alors|ψisur son qubit (α|0i+β|1i) en appliquant les portesX =|0i h1|+|1i h0|etZ =|0i h0| − |1i h1|si n ´ecessaire `a|ψ₃i:

α|0i+β|1i=Z^m1X^m2|ψ₃i.

Trois portes logiques classiques universellesAND,XORetNOT

Fonction bool ´eenne :f de{0,1}ⁿvers{0,1}^m; r ´ealisation def par un circuit classique par assemblage de quelques portes logiques dites universelles o `un,m≤2 comme les trois portes logiquesuniverselles, AND,XORetNOT:

AND:{0,1}²3(x₁,x₂) =x 7→f(x) =

1, six₁=x₂=1 ; 0, sinon.

XOR:{0,1}²3(x₁,x₂) =x 7→f(x) =

1, six₁6=x₂; 0, sinon.

NOT:{0,1} 3x 7→f(x) =

1, six =0 ; 0, sinon.

Fonctions bool ´eennes et classes de complexit ´e

Le calcul defn(x) :{0,1}ⁿ7→ {0,1}est consid ´er ´e commefacile (resp.difficile) si le nombrec_nde portes universelles du circuit qui r ´ealisef_n croit de fac¸onpolyn ˆomiale(resp.exponentielle) avecn.

f_n(x) :{0,1}ⁿ7→ {0,1}code un probl `eme de d ´ecision o `unest le nombre de bit n ´ecessaire pour le stockage des donn ´eesx : fn(x) =1 caract ´erise les instance positive. Si le probl `eme est dans P, alors le calcul def_nest facile.

Exemple :x = (r,s)entiers positifsr etsd’au plusn/2 bits chacun :r etsont-ils un diviseur non trivial ?

fn(r,s) =

0, sir ∧s =1 ; 1, sinon.

Comme le calcul du pgcd est polyn ˆomiale (algorithme fond ´e sur la division euclidienne) celui defn est facile.

Qubits et portes quantiques

Unit ´es de calcul quantique :

qubit ´evoluant dans dessuperpositionsde|0iet|1i n-qubit dans l’espace de HilbertH_n=C²

n de dimensionN=2ⁿ. Base canonique|xiindex ´ee parx =Pn−1

k=0x_k2^k, chaquex_k ∈ {0,1}:

|xi=|x₀i ⊗ |x₁i ⊗. . .⊗ |x_ki ⊗. . .⊗ |x_n−1i=|x₀,x1, . . . ,xk, . . . ,xn−1i.

´etat g ´en ´eral d’unn-qubit :

|ψi=

N−1

X

x=0

ψ_x|xi= X

x0,...,xn−1∈{0,1}

ψ_x0...xn−1|x₀, . . . ,xn−1i

o `u chaqueψ_x ∈CetPN−1

x=0 |ψ_x|²=1.

Une porte logique quantique `anqubits : une transformation unitaireUde H_n=C²

n dans lui-m ˆeme.

Circuit quantique: dispositif id ´eal qui r ´ealise une transformation unitaire associ ´ee `a son ´evolution selon l’ ´equation diff ´erentielle de Schr ¨odinger.

Portes quantiques universelles : portes `a un seul qubit et la porteCNOT R ´ealisation d’une transformation unitaire arbitraire avec un nombre fini de portes quantiquesCNOT `a deux qubits et de portes quantiques `a un seul qubit :

CNOT: transformation unitaire surH₂(⊕est l’addition modulo 2) : UCNOT|x₀,x1i=|x₀,x0⊕x1i

La porte `a un seul qubit : d ´ecomposition de toute transformation unitaire U1deH₁=C²:

U1=e^ıθe^−ıαZ/2e^−ıβX/2e^−ıγZ/2

avec quatre anglesθ,α,β etγarbitraireX,Y etZ les troismatrices de Pauli:

X =|0ih1|+|1ih0|, Y =ı|1ih0| −ı|0ih1|, Z =|0ih0| − |1ih1|. La porte deHadamardH= (X+Z)/√

2 est tr `es utilis ´ee :

H=_|0i+|1i

√ 2

h0|+_|0i−|1i

√ 2

h1|= ^√1

2 |0ih0|+|1ih0|+|0ih1| − |1ih1|

.

Porte quantique associ ´ee `a une fonction bool ´eenne classique

Fonction bool ´eenne (classique){0,1}ⁿ3x 7→f_n(x)∈ {0,1}

Porte logique quantiqueU_fn surH_n⊗ H₁de base canonique

|xi ⊗ |qio `u(x,q)∈ {0,1}ⁿ× {0,1}: U_fn |xi ⊗ |qi

=|xi ⊗ |q⊕f_n(x)i Sifnest facile `a calculer (circuit classique avec nombre

polyn ˆomiale enndeAND,XORetNOT), alorsU_fn est aussi facile `a calculer (circuit quantique avec un nombre polyn ˆomiale ennde portes quantiques `a un seul qubit et de portesCNOT).

Preuve : la transformation du circuit classique irr ´eversible en un circuit classique r ´eversible.

”Parall ´elisation” propre au calcul quantique

{0,1}ⁿ3x 7→f_n(x)∈ {0,1}, U_fn |xi ⊗ |qi

=|xi ⊗ |q⊕f_n(x)i

Calcul defn(x)avecU_fn : mesurer le dernier qubit deU_fn|xi ⊗ |0i Parall ´elisation du calcul defn:

U_fn ^√1

N

X

x

|xi

!

⊗ |0i

!

= ^√1

N

X

x

|xi ⊗ |f_n(x)i

! . Exploitation possible en rajoutant des transformations unitaires simples avant la mesure.

On dispose d’algorithmes quantiques rapides pour factoriser un grand nombre (Peter Shor 1994) et aussi pour calculer le logarithme discret. Ces deux algorithmes trop longs `a d ´ecrire dans le cadre du cours reposent sur la transform ´ee de Fourier quantique (g ´en ´eralisation directe de la FFT).

Le probl `eme r ´esolu par l’algorithme de Deutsch-Josza

Les donn ´ees :une fonction bool ´eenne

f :{0,1}ⁿ 3x 7→f(x)∈ {0,1}qui est soit balanc ´ee soit constante.

La question :la fonction est-elle constante ?

Sans autre information structurelle surf, la r ´eponse `a la question n ´ecessite de calculerf(x)pour au moins la moiti ´e desx possibles.

l’algorithme de Deutsch-Josza permet de r ´epondre avecun seul appel `a la porte quantique associ ´eeU_f.

L’avantage n’est d ´ecisif que pour une r ´eponse s ˆur. Pourf polyn ˆomiale, la certification des instances positives (et aussi n ´egatives) est dans RP: avecr ´evaluations def sur desx tir ´es au hasard, on se persuade de la r ´eponse avec une probabilit ´e d’erreur≤1/2^r.

Algorithme de Deutsch-Josza

X =|0ih1|+|1ih0|, H=_|0i+|1i

√ 2

h0|+_|0i−|1i

√ 2

h1|

1 On part de|Ψi₀=|0, . . . ,0i ⊗ |0i ∈ H_n⊗ H₁.

2 H^⊗nsur lesnpremiers qubits etHX sur le dernier :

|Ψi₁=^P

x|xi

√ N

⊗_|0i−|1i

√2

.

3 |Ψi₂=Uf|Ψi₁=|fi ⊗_|0i−|1i

√ 2

, ´etat s ´eparable avec

|fi=^√1

N

X

x

(−1)^f(x)|xi ∈ H_n.

f balanc ´ee :|fiest orthogonal `aP

x|xi f constante :|fiest colin ´eaire `aP

x|xi

4 CommeH^⊗n

√1 N

P

x|xi

=|0ion a : f balanc ´ee donneH^⊗n|fiorthogonal `a|0i f constante donneH<sup>⊗n</sup>|ficolin ´eaire `a|0i.

5 Mesure de chacun desnqubits deH^⊗n|fi: si lesnmesures donnent toutes|0ialorsf constante ; sinonf est balanc ´ee.

Algorithme de recherche de Grover

Recherche non structur ´eeg ´en ´eralisant celle du nom d’une personne dans un annuaire `a partir de son num ´ero de t ´el ´ephone :

Donn ´ees :f :{0,1}ⁿ3x 7→f(x)∈ {0,1}, nulle sauf pour un seulx¯ inconnu pour lequelf(¯x) =1.

Probl `eme :trouver la solution def(x) =1.

Sans autre information structurelle surf :un algorithme classique n ´ecessite dans le pire des casO(N)appels `a la fonctionf pour trouver x¯.

L’algorithme de Glover, valable pour toutf, donne la solution avec O(√

N)appels`a la porte quantiqueUf associ ´ee `af.

Le d ´epart identique Deutsch-Josza :H_n3 |0i 7→ |fi=OfH^⊗n|0io `u la transformation unitaireO_f est d ´efinie par

∀ |ψi ∈ H_n, U_f

|ψi ⊗_|0i−|1i

√ 2

= O_f|ψi

⊗_|0i−|1i

√ 2

.

Sur la base canonique deH_n:∀x ∈ {0,1}ⁿ, Of|xi= (−1)^f(x)|xi.

Algorithme de recherche de Grover (suite)

AvecO_f (O_f |xi= (−1)^f(x)|xi) on construit la transformation unitaire :

G_f =H^⊗n 2|0ih0| −In

H^⊗nO_f. Elle est it ´er ´eem=E

π 4

√N

fois pour calculer

|f_mi= (G_f)^{m √1}

N

X

x

|xi

!

= (G_f)^mH^⊗n|0i. Les mesures desnqubits formant|f_midonnent avec une probabilit ´e tr `es proche de 1, lesnbits codant¯x.

Il est alors facile de v ´erifier que cette mesure donne bien la solution par un seul appel `af.

Efficacit ´e du grand principe Shadok `a la base de la classeRP

”Plus c¸a rate, plus c¸a a des chances de marcher.”

Algorithme de recherche de Grover : sim=E

π 4

√ N

on a|f_mi ≈ |¯xi:

|si=H^⊗n|0i= ^√1

N

P

x|xi, |f_mi= H^⊗n

2|0ih0| −In

H^⊗nOf

m

| {z }

=(Gf)^m

|si

1 H^⊗n(2|0ih0| −In)H^⊗n=2|sihs| −Inest la sym ´etrie orthogonale par rapport `a|si.

2 O_f|si=|si −^√2

N|¯xi,O_f|x¯i=− |x¯i.

3 G_f|si= 1−_N⁴

|si+^√2

N|x¯i.

4 G_f|¯xi=|¯xi −^√2

N|si.

5 Plan(|si,|¯xi)invariant parG_f de base orthonorm ´ee|¯xi,|¯si= (P

x6=¯x|xi)/√ N−1 :

|si=p

(N−1)/N|¯si+p

1/N|¯xi.

s s x

O_f s

N 2N

2N

G_f s

La restriction deGf au plan(|¯si,|¯xi):rotation d’angle_N avec cos ₂^N

= qN−1

N , sin ₂^N

= q1

N.Comme|si=cos ₂^N

|¯si+sin ₂^N

|¯xi:

|f_mi= (G_f)^m|si=cos ^2m+1_{2 N}

|¯si+sin ^2m+1_{2 N}

|x¯i avec ^2m+1_{2 N}≈ ^π₂