QUANTUM KEY DISTRIBUTION PROTOCOLS :

(1)

Université d’Abomey-Calavi École Polytechnique d’Abomey-Calavi

Département de Génie Informatique et Télécommunications

Mémoire de Fin de Formation

présenté pour obtenir le titre d’INGÉNIEUR DE CONCEPTION en Réseaux et Télécommunications

QUANTUM KEY DISTRIBUTION PROTOCOLS : ÉTUDE

COMPARATIVE ET ANALYSE DE LA SÉCURITÉ

Présenté par:

Kouassi Philippe Tanguy AKPLA

Soutenu le 22/12/2015 devant un jury composé de :

Président Dr. Thiérry EDOH Université de Bonn

Membres Dr. Tahirou DJARA Université d’Abomey-Calavi

M. Bienvenu OLORY Université d’Abomey-Calavi

Encadrant Capitaine Orphée HOUNKANRIN, Ir Université d’Abomey-Calavi

(2)

SOMMAIRE

SOMMAIRE

i

DÉDICACES

ii

REMERCIEMENTS

iii

LISTE DES SIGLES ET ABRÉVIATIONS

iv

Liste des tableaux

v

Table des figures

vi

RÉSUMÉ

vii

ABSTRACT

viii

INTRODUCTION GÉNÉRALE 1

1 État de l’art de la cryptographie 5

2 Cryptographie quantique 23

3 Photons uniques et protocoles de distribution de clé quantique 57

4 Analyse et Discussion 72

Conclusion et perspectives 83

Annexes 85

ENGLISH VERSION 88

Bibliographie 103

Table des matières 106

i

(3)

DÉDICACES

A ma mère Henriette MESSAN et mon feu père Virgile AKPLA, mes sœurs Nadia, Dolorès et Elke AKPLA.

Merci de m’avoir toujours soutenu et d’avoir cru en moi.

Tanguy AKPLA

(4)

REMERCIEMENTS

Je remercie, en premier lieu, le Seigneur Dieu Tout-Puissant pour m’avoir permis d’aller jusqu’au bout du présent travail malgré les épreuves traversées.

Je remercie aussi tous ceux qui, de près ou de loin, ont participé à la réalisation de ce travail. Je pense particulièrement :

• au Professeur Félicien AVLESSI, Directeur de l’École Polytechnique d’Abomey- Calavi, et à son adjoint le Dr. Clément BONOU ;

• au Professeur Marc Kokou ASSOGBA, chef du département de Génie Infor- matique et Télécommunications et à tous les enseignants dudit département ;

• à l’ensemble du corps enseignant de l’EPAC ;

• à mon maître de mémoire, le Capitaine Orphée HOUNKANRIN, qui a ac- cepté d’encadrer ce travail ;

• à mon beau-frère Christel LOKOTO (Ingénieur civil) ;

• à ma chère Oriane Délya HOUNKPÈ ;

• aux camarades de la 8^`^eme promotion, que ce soit en Génie Informatique et Télécommunications, Génie Électrique, Génie Mécanique et Énergétique ou en Génie Civil ;

• à tonton Georges d’ALMEIDA et son épouse, leurs enfants Cyrille et Alain et au Père Justin d’ALMEIDA ;

• à Ernest AKPLA, Jeannette MÈSSÈKODE, Dorine HOUNKPÈ, Pierre- Claver MONTCHO,Valérie DELE et tous mes amis.

iii

(5)

LISTE DES SIGLES ET ABRÉVIATIONS

AES : Advanced Encryption Standard BB84 : Bennett and Brassard 1894

B92 : Bennett 1992

cNOT : controlled NOT gate DES : Data Encryption Standard

3DES : Triple Data Encryption Standard

DARPA : Defense Advanced Research Projects Agency Email : Electronic mail

EPR : Einstein-Podolsky-Rosen GAB : Guichet Automatique Bancaire

IBM : International Business Machines corporation MMS : Multimedia Messaging Service

QKD : Quantum Key Distribution RSA : Rivest- Shamir-Adleman SMS : Short Message Service

SECOQC : Secure Communication based on Quantum Cryptography

(6)

Liste des tableaux

I.I Chiffrement RSA. . . 20

I.II Déchiffrement RSA. . . 20

II.I Les portes logiques classiques agissant sur un bit [10]. . . 42

II.II États d’entrée et de sortie de la porte cN OT [10]. . . 49

III.I Bases linéaire et diagonale et bit codés . . . 61

III.II Partage d’une clé secrète . . . 61

III.III BB84 à 6 états . . . 67

IV.I Comparaison des protocoles . . . 71

I.I Sharing a secret key. . . 95

I.II Comparison of protocols . . . 97

v

(7)

Table des figures

1.3.1 Protocole de chiffrement [5]. . . 7

1.3.2 Schéma d’un cryptosystème [5]. . . 8

1.5.1 Chiffrement symétrique. . . 14

1.5.2 Chiffrement asymétrique. . . 17

2.2.1 Ligne du temps de 1970 à 1989 [20]. . . 25

2.2.2 Ligne du temps de 1990 à 1997 [20]. . . 26

2.3.1 Représentation géométrique d’un qubit sur une sphère de Bloch [6]. 30 2.3.2 Atome à deux niveaux [10]. . . 31

2.3.3 Onde polarisée. . . 33

2.3.4 Principe d’incertitude d’Heisenberg [12]. . . 45

2.3.5 circuit cNOT [10]. . . 50

2.3.6 Comment communiquer le qubit A ? [10] . . . 51

3.2.1 Centre NV dans la maille cristalline du diamant. Spectres d’absorption et d’émission [13]. . . 59

3.2.2 Principe de la microscopie confocale pour accroître le rapport sig- nal sur fond en collectant la fluorescence [13]. . . 60

3.6.1 Méthode de codage temporel . . . 67

4.4.1 Information mutuelle entre Alice-Bob et Alice-Oscar [6]. . . 75

A.1 Montage pour l’expérience de cryptographie quantique [13]. . . 85

.2 Symetric cipher . . . 90

.3 Asymmetrical cipher. . . 91

(8)

RÉSUMÉ

Le présent projet consiste à étudier les protocoles QKD. Ainsi, après un bref historique sur la cryptographie quantique, il est montré comment les photons peuvent être utilisés pour transmettre de l’information. Les protocoles BB84, EPR et B92, dont la sécurité inconditionnelle est due au principe d’incertitude de Heisenberg, sont ensuite exposés, puis nous en analysons la sécurité. Finalement, les limites des protocoles de distribution quantique de clé sont exposées.

Mots clés : Cryptographie quantique, Quantum Key Distribution, sécurité.

vii

(9)

ABSTRACT

This project consists in studying the QKD protocols. Thus, after a brief history of quantum cryptography, it is shown how the photons can be used to transmit information. The BB84 protocol, EPR and B92, whose unconditional security is due to the Heisenberg uncertainty principle, are then exposed. Then we analyze security. Finally, the limits of the quantum cryptography are provided.

Keywords : Quantum Cryptography, Quantum Key Distribution, security.

(10)

INTRODUCTION GÉNÉRALE

Le développement des réseaux de communication a radicalement changé notre façon d’échanger l’information. L’augmentation des débits des lignes de transmission a tout d’abord autorisé des communications de plus en plus élaborées. Alors qu’il y 20 ans les communications en temps réel étaient encore limitées aux conver- sations téléphoniques, il est aujourd’hui possible de diffuser une vidéo conférence d’un bout à l’autre de la planète de manière quasi-instantanée. Mais l’augmentation de la capacité des réseaux s’est aussi accompagnée d’une évolution de la nature des messages échangés. A travers le réseau Internet, on peut désormais non seulement communiquer à distance avec une personne physique mais aussi accéder virtuellement à n’importe quel service. En conséquence, les réseaux véhiculent un nombre de plus en plus important de données bancaires, médicales, commerciales, administratives, etc [1].

La croissance de la connectivité des réseaux s’est malheureusement aussi accom- pagnée d’une augmentation de leur vulnérabilité. Une fois un message envoyé, il est devenu difficile de garantir que ce dernier ne sera ni intercepté, stocké, dupliqué ou voir même dans le pire des cas modifié avant d’atteindre son destinataire légi- time. Autant l’interception d’un courriel ne prête généralement pas à conséquence, autant l’accès à certaines des données mentionnées précédemment peut porter pré- judice. Cette nécessité de protéger un volume de données sensibles de plus en plus important a bouleversé le champ d’application de la cryptographie. Alors qu’elle n’était utilisée qu’à des fins militaires il y a encore quelques dizaines d’années, la cryptographie est aujourd’hui au cœur même de toutes nos communications [1].

La sécurité des méthodes de chiffrement les plus répandues repose sur des conjec- tures mathématiques laissant penser qu’il est impossible de déchiffrer un message

1

(11)

INTRODUCTION GÉNÉRALE

chiffré ou de retrouver une clé de chiffrement en un temps raisonnable avec la puissance de calcul actuelle. Cette notion de sécurité calculatoire présente cependant un inconvénient majeur : la sécurité a une portée limitée dans le temps car elle peut être remise en cause par des progrès mathématiques ou technologiques. Le chiffrement RSA, par exemple, inventée en 1977 repose sur l’hypothèse qu’il est difficile de décomposer un grand nombre entier en facteurs premiers, mais l’algorithme pro- posé en 1995 par Peter Shor permet cependant d’effectuer cette opération en un temps très court si sa mise en œuvre sur un ordinateur quantique s’avérait possible.

Sans même parier sur l’avènement hypothétique d’une technologique «quantique», une clé RSA de 512 bits était considérée tout à fait sûre au début des années 90, mais il n’a fallu que quelques mois pour casser ce code avec 300 ordinateurs en 1999. La taille des clés recommandée pour le RSA est d’ailleurs aujourd’hui de 1024 ou 2048 bits [1].

La cryptographie quantique permet de remédier à cet inconvénient en envisa- geant la sécurité d’une toute autre manière. Tout d’abord la sécurité est évaluée de manière quantitative selon les critères de la théorie de l’information. Les messages ne sont plus envisagés comme des quantités déterministes mais comme des gran- deurs fondamentalement aléatoires, et un message chiffré est sécurisé s’il semble totalement aléatoire à toute personne ne possédant pas la clé de déchiffrement.

Cette notion de sécurité inconditionnelle est aujourd’hui acceptée comme la défi- nition la plus stricte et la plus générale de la sécurité. La deuxième particularité de la cryptographie quantique est de coder l’information via des états quantiques [1].

Alors que la cryptographie classique autorise un éventuel espion à manipuler une copie parfaitement identique du message original, les lois de la mécanique quantique interdisent la duplication parfaite d’un état quantique sans altérer l’original . Différents protocoles cryptographiques quantiques ont été proposés pour atteindre cette inconditionnelle sécurité.

L’essentiel de ce travail est subdivisé en quatre (04) chapitres. Le premier chapitre est consacré à la présentation de la cryptographie en général. Nous abordons ensuite les généralités de la cryptographie quantique dans le deuxième chapitre.

Les principaux protocoles de distribution quantique de clé font l’objet du troi- sième chapitre . Enfin, le quatrième chapitre expose l’analyse de la sécurité de ces

(12)

1. Contexte, justification et problématique

Il y a deux mille ans, la sécurité d’un message chiffré dépendait entièrement des processus de chiffrement et de déchiffrement que l’on se devait de garder dans le plus grand des secrets. De nos jours, la sécurité d’un message chiffré réside plus particulièrement dans la clé car les processus de chiffrement et de déchiffrement connaissent en général une grande diffusion. Shannon a démontré que la sécurité d’un message chiffré ne peut être absolue que si chaque message échangé entre deux personnes est chiffré avec une clé aussi longue que celui-ci et la clé doit être jetée après avoir été utilisée pour chiffrer. Mais on a le problème de distribuer les clés dans ce cas, car le nombre de clés sera trop grand quand on l’applique à un grand public. Ensuite, Diffle et Hellman ont proposé une solution que l’on appelle la cryptographie à clé publique. Mais cette dernière a aussi des inconvénients et la sécurité de cette méthode est mise en question avec l’avènement de l’ordinateur quantique. Alors la cryptographie quantique est considérée comme une nouvelle solution pour le domaine de la cryptographie [2].

Aujourd’hui, se pose un vrai problème de société. Un besoin de liens sécurisés se fait sentir partout : internet (e-mails, navigation privée, paiement sécurisé, etc.), le téléphone (appels, sms, mms, etc.) et les GAB. Des communications sécurisées ont été observées ces dernières années.

Ainsi, en février 2002, entre Genève et Lausanne (deux villes situées sur la rive suisse du lac Léman et distantes de 67 kilomètres), un message a été échangé par un canal de communication sécurisé à 100%. Pas une bribe du message ne pouvait être lue par un indiscret, ni ce jour-là, ni les suivants. Mieux, toute tentative d’espionnage aurait été détectée aussitôt [3].

Bien évidemment, la cryptographie quantique intéresse beaucoup les militaires.

La DARPA utilise ainsi depuis 2004 un réseau de distribution quantique des clés.

L’Union Européenne n’est pas restée en marge car en réponse au programme d’espionnage Échelon, elle a été à l’origine du réseau SECOQC¹ [4].

La cryptographie quantique vient résoudre le problème essentiel de la cryptographie qu’est celui de la distribution des clés de cryptage. Ce projet est opportun

1. La vision de SECOQC est d’offrir aux citoyens, entreprises et institutions européens un outil qui permettra de faire face aux menaces des technologies futures d’interception, créant ainsi des avantages significatifs pour l’économie européenne.

Réalisé par Tanguy AKPLA 3

(13)

en ce sens qu’il permettra d’étudier les différents algorithmes implémentant les protocoles QKD.

2. Objectifs

L’objectif principal est d’étudier les solutions qu’offre la cryptographie quantique par rapport au problème de transfert de clé entre les deux parties communicantes en cryptographie.

De façon spécifique, il faut :

• Identifier les principes-clés de la mécanique quantique exploités en cryptographie quantique pour la QKD ;

• Présenter les protocoles QKD les plus répandus actuellement ;

• Comparer ces protocoles du point de vue de la sécurité en faisant ressortir leurs atouts et leurs faiblesses ;

• Énoncer les challenges liés à l’implémentation des algorithmes de cryptographique en pratique.

(14)

Chapitre 1

État de l’art de la cryptographie

1.1. Introduction

Il s’agit dans ce chapitre d’exposer, dans un premier temps, les généralités sur la cryptographie. Nous parlons ensuite de la cryptographie classique et des deux grandes familles de chiffrement, à savoir : le chiffrement symétrique et le chiffrement asymétrique. Ensuite, nous posons, en fin de chapitre, les problèmes inhérents à l’utilisation de ces différents chiffrements.

1.2. Généralités sur la cryptographie

L’histoire de la cryptographie est très ancienne. En effet, le début de la cryptographie est généralement associé à l’époque de Jules César. Cependant, durant des siècles, les méthodes utilisées sont restées souvent très primitives. Par ailleurs, la mise en œuvre de la discipline était limitée aux besoins diplomatiques et militaires.

Les méthodes de chiffrement et de cryptanalyse ont connu un développement très important au cours de la seconde guerre mondiale et ont eu une profonde influence sur le cours de celle-ci.

Mais c’est la prolifération actuelle des systèmes de communication qui a fait sortir la cryptographie du cadre militaire. De plus, elle a diversifié la demande et provoqué le développement de nouvelles techniques cryptographiques et donc cryptologiques de plus en plus sophistiquées ces dernières décennies. La cryptologie

5

(15)

Chapitre 1. État de l’art de la cryptographie

a très longtemps été considérée comme une arme de guerre, néanmoins son usage est devenu libre au fil des années.

Elle est la science qui regroupe la cryptographie et la cryptanalyse. Elle étudie les principes et techniques utilisés pour assurer (la cryptographie) ou compromettre (la cryptanalyse) les principales fonctions de sécurité.

On peut la considérer comme la science qui analyse les faiblesses des systèmes cryptographiques et propose des attaques.

La cryptographie est la science de la dissimulation de messages : c’est l’art de définir des codes. Selon le Larousse, c’est l’ensemble des principes, méthodes et techniques dont l’application assure le chiffrement et le déchiffrement des données, afin d’en préserver la confidentialité et l’authenticité.

Les buts de la cryptographie moderne sont d’assurer :

• la confidentialité : les données concernées ne pourront être dévoilées qu’aux personnes autorisées ;

• l’intégrité : il s’agit de garantir que les données transmises n’ont pas été modifiées durant la transmission ;

• l’authenticité : il est question de prouver l’origine d’une donnée ou la validité d’un objet cryptographique (clé, moyen de paiement, etc.) ;

• la non-répudiation : elle assure que l’émetteur d’un message particulier ne pourra pas nier avoir émis ledit message dans le futur.

Pour atteindre ces buts, des systèmes cryptographiques ou cryptosystèmes sont utilisés. Un système cryptographique est un quintuplet S ={P,C,K,E,D} où :

• P est l’espace des textes clairs ;

• C est l’espace des textes chiffrés ;

• K est l’espace des clés : un ensemble fini des clés possibles ;

• E =E_k, k ∈ K avec E_k :P → C (l’ensemble des fonctions de chiffrement) ;

• D = D_k, k ∈ K avec D_k : C → P (l’ensemble des fonctions de déchiffre- ment) ;

• à chaque clé de chiffremente ∈ Kest associée une clé de déchiffrementd ∈ K

(16)

Si d = e, on parle de chiffrement à clé secrète ou symétrique, tandis qu’on parle de chiffrement à clé publique ou asymétrique si d6=e.

1.3. Terminologie

La cryptographie possède son propre vocabulaire. Vu la relative jeunesse de cette science, et que la plupart des publications sont en langue anglaise, le problème de la terminologie française se pose, parfois par manque de traduction. Nous proposons dans cette section, quelques définitions des termes du domaine de la cryptographie.

Figure 1.3.1. – Protocole de chiffrement [5].

La cryptographie est donc l’étude des méthodes d’envoi de messages chiffrés de telle sorte que seul le destinataire puisse les déchiffrer. Le message qu’on veut envoyer s’appelle le texte clair et le texte chiffré, s’appelle cryptogramme.

Le processus de conversion d’un texte clair en texte chiffré s’appelle chiffrement ; et le processus inverse s’appelle déchiffrement. Pour effectuer un chiffrement, on utilise une méthode précise appelée système de chiffrement, ou système cryptographique, ou encore cryptosystème. Un chiffrement se fait donc à l’aide d’un système

(17)

cryptographique, et celui-ci nécessite très souvent l’utilisation d’une clé de chiffrement. Cette clé est nécessaire pour déchiffrer le message chiffré. En d’autres termes, la clé modifie le comportement du mécanisme de chiffrement et de déchiffrement.

Néanmoins, il arrive souvent qu’Oscar essaye de retrouver le texte clair à partir du texte chiffré qu’Alice envoie à Bob, sans tout de même disposer de la clé de déchiffrement. On dit qu’Oscar essaye de décrypter le message chiffré.

Oscar, Alice et Bob sont les figures classiques en cryptologie. Ces noms sont utilisés au lieu de « personne A », « personne B » et « personne O » ; Alice et Bob cherchent dans la plupart des cas à communiquer de manière sécurisée. Mais Oscar est un attaquant actif, un espion qui cherche à intercepter et/ou modifier les messages que Bob et Alice s’envoient. Il peut aussi remettre en jeu d’anciens messages, etc.

Figure 1.3.2. – Schéma d’un cryptosystème [5].

L’algorithme est en réalité un triplet d’opérations [5] :

• l’une générant les clés k;

(18)

• et la troisième qui déchiffre c, le texte chiffré.

La différence entre un algorithme et un protocole est une question d’interactivité : quand il s’agit d’un algorithme, une seule personne, celle qui fait les calculs, est impliquée ; un protocole implique plusieurs entités qui interviennent à la faveur d’échange d’informations.

En cryptographie, la sécurité du cryptosystème utilisé dépend de certains pa- ramètres. Le principe de Kerchoffs expose de très pertinentes considérations à prendre en compte pour qualifier un cryptosystème de « sécurisé ».

1.4. Principe de Kerckhoffs

Le principe de Kerckhoffs a été énoncé par Auguste Kerchoffs à la fin du XIXe siècle. Il s’énonce comme suit :

La sécurité du cryptosystème ne doit pas dépendre de ce qui ne peut pas être facilement changé.

En d’autres termes, aucun secret¹ ne doit résider dans l’algorithme mais plutôt dans la clé. Sans celle-ci, il doit être impossible de retrouver le texte clair à partir du texte chiffré. Par contre, si on connaît la clé K, le déchiffrement est immédiat.

On parle aussi de la Maxime de Shannon, dérivée du principe énoncé ci-dessus : L’adversaire connaît le système [5].

1.4.1. Notion d’entropie

L’entropie d’une variable aléatoire X, qui est un concept utilisé dans la théorie de Claude Shannon, est la mesure d’incertitude sur l’information et dénotéeH(X).

On la définit également comme le nombre de bits du texte clair qui doivent être considérés pour retrouver le texte en clair en entier. Du point de vue d’un récepteur, plus la source émet d’informations différentes, plus l’entropie (ou incertitude sur ce que la source émet) est grande.

1. Il faut distinguer les termes "Secret" et "Robustesse" d’un algorithme. Le secret de l’algorithme revient à cacher les concepts de celui-ci, ainsi que les méthodes utilisées (fonctions mathématiques). La robustesse quant à elle désigne la résistance de l’algorithme à diverses attaques qui seront explicitées dans la suite de ces notes.

(19)

Les propriétés les plus importantes de l’entropie sont exprimées en termes de l’information conditionnelle H(X/Y) et de l’information mutuelle H(X : Y), où X et Y sont des variables aléatoires, et feront l’objet des sous-sections suivantes [6].

1.4.1.1. Information conditionnelle

D’abord, nous commençons par poser la question suivante : comment obtenir une quantité d’information sur la variable X, sachant Y ? La question met en jeu deux concepts formels, que sont l’entropie conditionnelle et l’entropie mutuelle respectivement. Le lien entre les deux concepts est donné par l’entropie conjointe dont la mesure de la quantité d’information est contenue dans un système à deux variables aléatoires X etY [6].

SoientX etY deux messages composés des lettresai etbi, respectivement. L’information conditionnelle H(X/Y) représente le gain d’information à la réception du message X, sachant Y, telle que :

H(X/Y) = −^X

j

p(b_j)^X

i

p(a_i/b_j) logp(a_i/b_j)

=−^X

ij

p(a_i, b_j) log(p(a_i/b_j)) (1.4.1) L’entropie conditionnelle est une mesure de la moyenne du manque d’information sur la valeur X sachantY. Elle exprime aussi, la corrélation entre deux ensembles de lettresX etY. L’entropie conjointe moyenne H(X&Y) entre les deux variables X etY s’exprime par :

(20)

=H(X) +H(Y /X)

=H(X) +H(X/Y) (1.4.2)

Remarque : H(Y /X) = 0 si et seulement si la variable aléatoire Y est complè- tement déterminée par la variable aléatoire X. Inversement, H(Y /X) = H(Y) si et seulement si Y etX sont des variables aléatoires indépendantes.

Une autre grandeur très importante associée à un couple de variables aléatoires est l’information mutuelle [6].

1.4.1.2. Information mutuelle

L’information mutuelleI est la réduction de l’entropie de la variable aléatoireX, apportée par la connaissance de la variable aléatoireY. Elle quantifie la corrélation entre les deux messages A et B, on peut dire aussi qu’elle représente la quantité d’information commune entre les messagesA etB [6],

I(A :B) =H(A)−H(A/B). (1.4.3) Si l’information conditionnelle H(A/B) caractérise le bruit du canal, alors l’information mutuelle caractérise la quantité d’information possible de se transmettre à travers le canal. On peut reformuler ces équations en utilisant la probabilité conjointe de la manière suivante [6] :

H(A/B) = H(A&B)−H(B), (1.4.4)

I(A&B) =H(A) +H(B)−H(A&B). (1.4.5)

(21)

L’information mutuelle est nulle si seulement si les variables sont indépendantes, et elle croit lorsque la dépendance augmente. D’après le théorème de Bayes, on a [6] :

P(ai/bj) = P(ai&bj)/P(bj) (1.4.6) Les propriétés de l’entropie de Shannon sont donc :

• H(X, Y) =H(Y, X), d’oùH(X :Y) =H(Y :X)

• H(Y /X)≥0 implique H(X :Y) = H(Y).

• H(X) ≤ H(X, Y), l’entropie ne peut pas décroître si on ajoute un nouvel événement.

• H(Y /X) ≤ H(Y), d’où, la connaissance d’une variable supplémentaire ne peut pas augmenter l’entropie

• Sous-additivitéH(X, Y) = H(X) +H(Y), avec l’égalité si les variables aléa- toires X etY sont indépendantes.

En cryptographie, il est primordial qu’Oscar ait en sa possession la plus petite quantité d’information possible lors d’un échange entre Alice et Bob. Nous verrons, dans la suite, les caractéristiques pour avoir une confidentialité absolue.

1.4.1.3. Confidentialité parfaite

L’hypothèse est que les cryptanalystes disposent d’informations probabilistes concernant le message p (langage et redondance associée).

On définit la notion de confidentialité parfaite par le fait que le texte chiffré ne doit fournir aucune information concernant le texte clair :

• Shannon a prouvé que ce résultat est accessible uniquement si le nombre de clés possibles est aussi grand que le nombre de messages possibles [5].

• En pratique, seul le masque jetable² y correspond car la longueur de la clé est égale à la longueur du texte et que la clé n’est pas réutilisée [5].

Le but des cryptanalystes est de déterminer la clé k, le texte clair p ou les deux. Souvent, ils possèdent des indices au sujet de p (c’est-à-dire s’il s’agit d’un texte français par exemple). Ils connaissent probablement le langage du texte en clair. Ce langage a une certaine redondance (mot ou expression qui commence ou

(22)

termine d’une manière bien connue les messages à chiffrer) associée. Par exemple, si c’est un message destiné à Bob, il commence probablement par « cher Bob ».

Le but de la cryptanalyse est, par analyse, de modifier les probabilités associées avec tous les textes en clair possibles. Finalement, un texte clair considéré comme certain émergera du paquet des textes clairs possibles.

1.5. Les deux techniques de chiffrement

Nous exposons dans cette section les deux techniques de chiffrement, les mé- thodes et algorithmes de chiffrement avec des illustrations à l’appui.

1.5.1. Le chiffrement à clé secrète

1.5.1.1. Concept et caractéristiques

Le chiffrement à clé secrète est utilisé depuis bien longtemps. Il permet à deux personnes possédant un secret commun de communiquer confidentiellement. L’avan- tage principal de ce mode de chiffrement est sa rapidité et sa principale faiblesse réside dans la distribution des clés : pour une meilleure sécurité, on préférera l’échange manuel. Malheureusement, pour de grands systèmes, le nombre de clés peut devenir conséquent. C’est pourquoi on utilisera souvent des échanges sécuri- sés pour transmettre les clés. En effet, pour un système à N utilisateurs, il y aura

N∗(N−1)

2 paires de clés. Le problème est le suivant : Alice veut envoyer un message à Bob, mais ne veut pas qu’Oscar en prenne connaissance. Pour cela, elle va d’abord se mettre d’accord avec Bob sur un secret commun qui leur permettra de chiffrer et de déchiffrer les messages.

(23)

Figure 1.5.1. – Chiffrement symétrique.

La procédure de chiffrement se présente comme suit :

• Alice écrit son message en clair puis le chiffre grâce au secret commun ;

• Ensuite, Alice envoie son message à Bob et il pourra le déchiffrer facilement car il est « théoriquement » le seul à connaître le secret, hormis Alice.

Le secret commun d’Alice et Bob s’appelle la clé, et on s’aperçoit que si une troisième personne Oscar ne possède pas cette clé, alors elle ne peut pas déchiffrer le message, mais elle pourrait très bien essayer un certain nombre de possibilités de clé et par chance, tomber sur la solution. Alice et Bob ne doivent donc pas choisir n’importe comment leur clé. Ils devraient alors faire attention aux différents principes suivants pour le choix de la clé :

• La sécurité repose sur le secret de la clé et non sur le secret de l’algorithme.

• Le déchiffrement sans la clé doit être impossible dans une fenêtre de temps raisonnable.

• Trouver la clé à partir du texte clair et du texte chiffré est impossible dans une fenêtre de temps raisonnable.

Alors théoriquement, Oscar ne pourra pas casser le système. Les principes énoncés font parties des principes de Kerckhoffs. Les algorithmes les plus répandus sont le Data Encryption Standard (DES), l’Advanced Encryption Standard (AES) et le triple Data Encryption Standard (3DES).

Rappelons que le problème que nous cherchons à résoudre est d’arriver à établir des clés secrètes connues d’Alice et Bob uniquement. Ici, nous présenterons l’algo-

(24)

1.5.1.2. Le One-Time Pad 1.6.1.2.1 La méthode

Encore appelé masque jetable ou chiffre de Vernam, il est un algorithme de cryptographie inventé par Gilbert Vernam en 1917 et perfectionné par Joseph O.

Mauborgne. Ce chiffrement symétrique est simple, rapide et facile tant pour le chiffrement que pour le déchiffrement. Il assure une confidentialité parfaite (cf.

section 1.4.1.3) et est théoriquement l’un des seuls impossible à « casser » mais il présente tout de même d’importantes difficultés pratiques de mise en œuvre.

Chaque clé ou masque n’est utilisé qu’une seule fois (d’où le nom de masque jetable), ce qui offre une très grande sécurité. De plus, le nombre de caractères de la clé doit être égal à celui du message à chiffrer.

Par un exemple, le principe de ce chiffrement est illustré dans le paragraphe suivant.

1.6.1.2.2 Illustration

Pour utiliser le chiffrement de Vernam, il faut respecter plusieurs propriétés :

• choisir une clé aussi longue que le texte à chiffrer ;

• utiliser une clé formée d’une suite de caractères aléatoires ;

• protéger la clé ;

• ne jamais réutiliser une clé déjà utilisée.

Supposons que la clé aléatoire retenue (ou masque) soit : X M C K L F P

Alice et Bob choisissent à l’avance cette clé. Ils sont les seuls à la connaître.

On veut chiffrer le message « BONJOUR ». Pour cela, on attribue une valeur numérique à chaque lettre, ce qui peut être par exemple sa position dans l’alphabet en considérant que l’on commence par 0. Cette convention permet de réécrire la clé X M C K L F P comme un vecteur ligne qui s’écrit : 23 12 2 10 11 5 15.

Puis nous effectuons une addition modulo 26. Toutes ces opérations sont résu- mées ci-dessous :

(25)

Message B O N J O U R

Traduction³ du message 1 14 13 9 14 20 17

Clé X M C K L F P

Traduction de la Clé 23 12 2 10 11 5 15 (message+clé)modulo 26 24 0 15 19 25 25 6

Message chiffré Y A P S Z Z G

Le destinataire va essayer de déchiffrer le message "YAPSZZG". Il faut égale- ment ajouter 26 si nécessaire.

Message chiffré Y A P S Z Z G

Traduction du message chiffré 24 0 15 19 25 25 6

Clé X M C K L F P

Traduction de la clé 23 12 2 10 11 5 15 message chiffré-clé 1 14 13 9 14 20 17

Message déchiffré B O N J O U R

On retrouve donc le message initial "BONJOUR".

La question de la sécurité de ce chiffrement se pose. La section suivante propose une analyse de la sécurité ”parfaite” du chiffre de Vernam.

1.6.1.2.3 Analyse de la Sécurité

Le système du masque jetable, avec les précautions indiquées ci-dessus, est abso- lument inviolable si l’on ne connaît pas la clé. Il est couramment utilisé de nos jours par les États. En effet, ceux-ci peuvent communiquer les clés à leurs ambassades de manière sûre via la valise diplomatique.

Le problème de ce système est de communiquer les clés de chiffrement ou de trouver un algorithme de génération de clé commun aux deux partenaires.

De plus, la création de grandes quantités de clés aléatoires devient vite problé- matique. N’importe quel système couramment utilisé pourrait exiger des millions de caractères aléatoires de façon régulière.

La distribution des clés est également complexe. La longueur de la clé étant égale à celle du message, une bonne organisation est nécessaire.

(26)

Le problème essentiel de ce chiffrement est qu’il faut trouver un moyen de transmettre la clé unique entre les deux interlocuteurs. Ainsi le chiffrement asymétrique a vu le jour dans une perspective de solution à ce problème.

1.5.2. Le chiffrement à clé publique

1.5.2.1. Concept

Dans le cas des systèmes symétriques, on utilise une même clé pour le chiffrement et le déchiffrement. Le problème repose dans la transmission de la clé : il faut une clé par destinataire. Dans le cas des systèmes asymétriques, chaque personne possède deux clés distinctes :

• une privée secrèteS_k (symbolisée par la clé horizontale sur la figure 1.5.2) ;

• une publique P_k (symbolisée par la clé verticale sur la figure 1.5.2) ; avec impossibilité de déduire la clé privée à partir de la clé publique. De ce fait, il est possible de distribuer librement cette dernière [5].

Figure 1.5.2. – Chiffrement asymétrique.

Le concept date officiellement de 1976 de Diffie et Hellman. Officieusement, les bases existent depuis 1969 par Ellis. La première implémentation a lieu en 1978 par Rivest, Shamir et Adleman sous la forme de l’algorithme Rivest-Shamir-Adleman (RSA) bien que, là aussi, les fondements de ce système datent de 1973, par Cocks [5].

(27)

La sécurité de tels systèmes repose sur des problèmes calculatoires tels que [5] :

• la factorisation de grands entiers (RSA) ;

• le logarithme discret (ElGamal) ;

• le problème du sac à dos⁴ (knapsacks) (Merkle-Hellman).

La recherche des clés par force brute est toujours théoriquement possible mais les clés utilisées sont trop grandes (> 512 bits). La sécurité se fonde sur une assez grande différence en termes de difficulté entre les problèmes faciles (déchiffrement) et difficiles (décryptement) :

• généralement le problème difficile est connu, mais il est trop complexe à résoudre en pratique ;

• la génération des clés exige l’utilisation de très grands nombres.

En conséquence, ce type de chiffrement est lent si on le compare aux chiffrements symétriques. Cependant, à l’inverse du chiffrement symétrique où le nombre de clés est le problème majeur, ici, seules n paires sont nécessaires. En effet, chaque utilisateur possède une paire (Sk , Pk ) et tous les transferts de message ont lieu avec ces clés. La distribution des clés est grandement facilitée car l’échange de clés secrètes n’est plus nécessaire. Chaque utilisateur conserve sa clé secrète sans jamais la divulguer. Seule la clé publique devra être distribuée. Nous présentons ici l’algorithme RSA, qui est le cryptosystème asymétrique plus utilisé de nos jours.

1.5.2.2. Rivest - Shamir – Adleman

L’algorithme RSA est basé sur le calcul exponentiel. Sa sécurité repose sur la fonction unidirectionnelle suivante : le calcul du produit de 2 nombres premiers est aisé. La factorisation d’un nombre en ses deux facteurs premiers est beaucoup plus complexe.

Il s’agit du système le plus connu et le plus largement répandu, basé sur l’élé- vation à une puissance dans un champ fini sur des nombres entiers modulo un nombre premier.

4. En algorithmique, le problème du sac à dos, noté également KP (en anglais, Knapsack problem) est un problème d’optimisation combinatoire. Il modélise une situation analogue au remplissage d’un sac à dos, ne pouvant supporter plus d’un certain poids, avec tout ou partie

(28)

La sécurité repose sur le coût nécessaire pour factoriser de grands nombres. Le nombre de factorisation prend environO(e⁽^lognlog⁽^logn⁾⁾) opérations ce qui demande un temps de calcul trop important pour les machines actuelles, dans un cadre privé.

On l’utilise pour la confidentialité, l’authentification, ou encore une combinaison des deux [5].

1.8.1.2.1 Principes

On possède une paire de clés, l’une publique (e, n) et une privée (d, n).

• Bob choisit deux facteurs premiers pet q et il calcule n=p∗q;

• il choisit ensuite un très grand entier e, premier à (p-1)*(q-1) ;

• il choisit ensuited tel que e∗d= 1mod (p−1)(q−1) ;

• il détruitpetq. Oscar pouvant retrouver ces valeurs, il faut les détruire pour éviter qu’ils ne tombent en sa possession.

Pour qu’Alice puisse envoyer des messages à Bob, il lui faut la clé publique de ce dernier. Ainsi, Bob envoie à Alice par un canal public (non sécurisé) les nombres n et e. Si Alice veut envoyer à Bob un message chiffré a, elle calcule b=a^emod n et l’envoie à Bob, encore via un canal public. Bob calcule alors b^dmod n =a. Un espion qui possède n, e etb ne peut pas remonter àa, car il n’a ni pni q.

1.8.1.2.2 Exemple

Soient p = 31, q = 53 c’est-à-dire n = 1643. (p−1)(q−1) = 1560 (nombre d’éléments relativement premiers et inférieur à n). Soit e= 11 par exemple, e n’a pas de facteur commun avec 1560. On détermined= 851. La clé publique est donc (11,1643) et la clé privée est (851,1643).

Soit le codage par la position dans l’alphabet du mot «ANEMONE». Il vient : 01 14 05 13 15 14 05

On procède selon deux conditions :

1. Découpage en mots de même longueur 011 405 131 514 05 On ajoute un padding⁵ initial si nécessaire. 001 140 513 151 405 Cela provoque la perte

5. Le padding consiste à faire en sorte que la taille des données soit compatible avec les algorithmes utilisés. Un grand nombre d’algorithmes utilisent un partitionnement en blocs de taille fixe. Si la taille des données n’est pas un multiple d’un bloc alors un schéma de padding doit être envisagé.

(29)

du motif "_" en fin de bloc.

2. Découpage en morceaux de valeur inférieure à n, car opération modulo n.

Lors du chiffrement, on a C=M^emod n soit :

Tableau I.I. – Chiffrement RSA.

001¹¹mod1643 0001 140¹¹mod1643 0109 513¹¹mod1643 0890 151¹¹mod1643 1453 405¹¹mod1643 0374

et pour le déchiffrement, M =C^dmod n

Tableau I.II. – Déchiffrement RSA.

0001⁸⁵¹mod1643 001 0109⁸⁵¹mod1643 140 0890⁸⁵¹mod1643 513 1453⁸⁵¹mod1643 151 0374⁸⁵¹mod1643 405

Lors du déchiffrement, sachant qu’il faut obtenir des blocs de 2 éléments (grâce au codage particulier de l’exemple), on a bien :

01 14 05 13 15 14 05

A N E M O N E

La recherche de la sécurité étant primordiale en cryptographie, nous étudierons la sécurité du RSA en particulier et des cryptosystèmes à clé publique en général dans les lignes qui suivent.

(30)

1.8.1.2.3 Analyse de la Sécurité Les attaques

Il existe trois approches pour attaquer le RSA :

• recherche par force brute de la clé (impossible étant donné la taille des don- nées) [5] ;

• attaques mathématiques (basées sur la difficulté de calculer (p−1)(q−1), la factorisation du module n) [5] :

— factoriser n=p∗q et par conséquent trouver (p−1)(q−1) et puis d;

— déterminer (p−1)(q−1) directement et trouver d;

— trouver d directement.

• attaques de synchronisation (timing attack) [5].

En cryptanalyse, une attaque temporelle ou de synchronisation consiste à esti- mer et analyser le temps mis pour effectuer certaines opérations cryptographiques (par exemple la multiplication par un petit ou un grand nombre) dans le but de découvrir des informations secrètes. Certaines opérations peuvent prendre plus de temps que d’autres et l’étude de ces informations temporelles peut être précieuse pour le cryptanalyste. La mise en œuvre de ce genre d’attaque est intimement liée au matériel ou au logiciel attaqué.

Pour le cryptanalyste, la nécessité d’un algorithme de factorisation efficace et de ”super calculateurs’ est l’unique solution d’attaquer l’algorithme RSA.

1.6. Conclusion

Nous avons abordé les deux familles de chiffrements existant et les problèmes qui émanent de ces derniers. Il s’agit dans la suite du développement, d’exposer les solutions à ces difficultés.

(31)

Points clés

Résumé

o Les chiffrements symétrique et asymétrique.

o Le problème de distribution de clés.

o La mécanique quantique, serait-elle la solution à ce problème ? A venir

o Présentation des lois de la distribution de clés quantiques et analyse de la sécurité.

(32)

Chapitre 2

Cryptographie quantique

2.1. Introduction

Dans ce chapitre, nous présentons la cryptographie quantique. Il est question de retracer l’historique et les généralités du concept d’une part et de présenter d’autre part, le bit quantique et les théories de la mécanique quantique qui sont utilisés en cryptographie quantique.

2.2. Historique

Au début des années 1970, Stephen Wiesner, alors à l’université de Columbia, écrit un rapport présentant des idées tout à fait nouvelles. Wiesner propose d’utiliser la mécanique quantique pour coder des billets de banques dont l’infalsifiabilité serait garantie par le principe d’incertitude d’Heisenberg. De plus, il propose aussi d’utiliser la mécanique quantique pour construire un canal multiplexeur permettant d’entremêler deux messages d’une façon qu’on ne puisse en lire qu’un seul et qu’en le lisant, on rende l’autre illisible. Bien que les idées de Wiesner ne fussent finalement publiées qu’en 1983 dans la revue Sigact News, elles inspirèrent Charles H. Bennett du laboratoire de recherche IBM T.J. Watson et Gilles Brassard de l’université de Montréal, qui, au courant de ces idées bien avant 1983 à la suite de discussions avec Wiesner, proposent en 1984 un protocole de distribution de clés secrètes. Toutefois, les contributions apportées durant les années subséquentes ont

23

(33)

Chapitre 2. Cryptographie quantique

permis la construction du premier prototype complètement opérationnel. Les ex- périences conduites à partir de ce prototype fait au laboratoire de recherche IBM T.J. Watson ont permis de montrer qu’il était possible grâce au canal quantique de transmettre des clés secrètes, entre deux points distants quand bien même ce canal est espionné tout au long de la transmission [7].

Il s’agissait d’un très grand événement et les partisans de la cryptographie quantique avaient raison de se réjouir car cette réussite amena un engouement de plus en plus grand pour la cryptographie quantique. Les applications suggérées depuis les idées de Wiesner sont devenues le centre d’intérêt de beaucoup de chercheurs.

Pour illustrer cet essor, voici une ligne du temps : montrant d’une part les idées introduites en cryptographie quantique depuis le rapport de Wiesner en 1970 jusqu’au moment où, en 1989, Bennett et Brassard réalisèrent leur prototype (Figure 2.2.1), et d’autre part les apports les plus importants à la cryptographie de 1990 à 1997 (Figure 2.2.2).

(34)

Figure 2.2.1. – Ligne du temps de 1970 à 1989 [20].

(35)

Figure 2.2.2. – Ligne du temps de 1990 à 1997 [20].

On remarque à travers cette ligne du temps, que depuis que Bennett et Brassard ont permis à la cryptographie quantique de passer de la fiction à la réalité, les chercheurs ont déployé des efforts non seulement pour l’avancement des protocoles de distribution des clés secrètes, mais aussi pour donner naissance à plusieurs autres

(36)

en 1996 par K. Grover. Bien que cette application demeure encore inexploitable, elle n’en est pas moins stupéfiante. En fait, l’algorithme de Grover [6] appliqué à la recherche exhaustive d’une clé utilisée pour chiffrer un message avec un algorithme symétrique permettrait, théoriquement, d’augmenter significativement la vitesse de recherche de la clé pour une paire (message clair, message chiffré) donnée. Par exemple, pour DES et une paire (message clair, message chiffré), on obtiendrait la solution unique après en moyenne 185 millions de chiffrements au lieu des 2⁵⁵≈3,6∗ 10¹⁶ chiffrements requis pour mener une attaque exhaustive

“classique” [20].

La cryptographie quantique est appelée à ouvrir de nouvelles perspectives dans le domaine de la sécurité informatique. Voyons à présent dans les sections qui suivent les différentes théories de la mécanique quantique qui justifient ce nouveau concept.

2.3. Notions de base de l’information quantique

Dans la présente section nous nous intéressons à l’étude des notions de base de l’information quantique. Ainsi, nous passons en revue les définitions permettant de jeter les bases en vue de comprendre le codage quantique.

Par ailleurs, nous définissons les lois de la mécanique quantique permettant la description d’un système quantique à travers des axiomes et des formalismes mathématiques.

Ensuite, les outils mathématiques de la mécanique quantique et de la théorie de l’information de Claude Shannon sont nécessaires pour aborder les concepts relatifs à l’information quantique. Cette section se termine par une discussion du principe d’incertitude de Heisenberg et du théorème du non-clonage.

2.3.1. La mécanique quantique

La physique des particules est gouvernée par les lois de la mécanique quantique, qui ont été découvertes au début du 20ème siècle. L’ensemble des objets de la mécanique quantique se trouve dans un espace : l’espace d’Hilbert complexe.

(37)

2.3.1.1. Description quantique d’un système

La mécanique quantique donne la structure mathématique appropriée pour dé- crire un système physique. À un système quantique est associé un espace vectoriel complexe muni d’un produit scalaire : espace de Hilbert H. L’état d’un système est un vecteur d’état de l’espace H de norme 1. Un état de H est appelé vecteur

"Ket", est décrit par la notation de Dirac, par exemple, le qubit (Quantum Bit) [6].

2.3.1.2. Notation de Dirac

La notation de Dirac permet de montrer l’aspect vectoriel de l’objet représentant un état quantique dans l’espace des états. Elle utilise un symbole mis entre une barre verticale et un signe «plus grand que». Exemple :|xi,|0i,|+i.... Certains de ces symboles sont utilisés comme des bases orthonormales. Ces bases orthonormales peuvent être combinées pour former un ket [8] :

|Y〉 = ^X

i

C_i∗|x〉 (2.3.1)

où C_i appartient à l’ensemble des complexes

C_i est une valeur propre de |xi et |xi est un vecteur propre. La somme de toutes les valeurs absolues au carré des valeurs propres vaut 1. Cette somme est utilisée quand on travaille avec un nombre de dimensions finies, c’est-à-dire avec un nombre fini de vecteurs propres. Elle est remplacée par une intégrale quand on se trouve avec un nombre de dimensions infinies. Cette combinaison linéaire est appelée une superposition d’étatlorsqu’il existe un ensemble composé d’au moins deux valeurs propres non égales à zéro. Dans le cas contraire, on a affaire à un état propre (ou état pur) [8].

Pour entamer l’étude de la théorie de l’information quantique, nous allons in- troduire par la suite la notion de qubit.

(38)

2.3.1.3. Qubit

Le Qubit [9] est une unité élémentaire de la théorie de l’information quantique pour décrire un système physique comportant deux niveaux distincts tels que : un atome à deux niveaux : fondamental et excité et un photon dans état de polarisation horizontal ou vertical etc... [6].

L’expression du qubit est donnée par :

|ψi=α|0i+β|1i (2.3.2)

où α et β sont des coefficients complexes. Les états |0i et |1i constituent une base orthogonale de l’espace de Hilbert du système. Ces coefficients satisfont la condition de normalisation suivante :

|α|²+|β|² = 1. (2.3.3)

En général, la représentation géométrique du qubit est donnée par la sphère de Bloch (Figure 2.3.1). L’état qubit |ψi est un point de la surface de la sphère ; la superposition des états |0i et |1i permet de représenter une infinité de quan- tité d’information. Ces deux états constituent une base de l’espace d’Hilbert. Par conséquent, le qubit est beaucoup plus riche qu’un bit classique qui représente seulement deux valeurs 0 ou 1 correspondant aux états |0i et |1i. À partir de la formule (2.2.3), un qubit peut être réécrit de la façon suivante [6] :

|ψi=cos(θ/2)|0i+e^iφsin(θ/2)|1i (2.3.4) avec θ ∈ [0, π] et φ ∈ [0,2π]. En effet, la variation de ces deux variables permet à un état quantique de prendre toutes les valeurs de la sphère de Bloch.

(39)

Figure 2.3.1. – Représentation géométrique d’un qubit sur une sphère de Bloch [6].

Que trouve-t-on si on cherche à lire le contenu du qubit, si on le mesure ? On trouvera 0 s’il est dans l’état |0i et 1 s’il est dans l’état |1i . Ceci n’est pas très inattendu et ne change pas du bit classique. Et s’il est dans l’état |ψi? Et bien là aussi on trouvera 0 ou 1 mais de façon aléatoire. En fait on aura 0 avec la probabilité

|α|²ou 1 avec la probabilité|β|². On ne peut donc pas observer directement l’état de superposition|ψidu qubit ! De plus, une fois qu’il a été mesuré, l’état du qubit est projeté dans l’état correspondant au résultat de la mesure : par exemple si le qubit, originellement dans l’état|ψiest mesuré et que le résultat est 1, le qubit se trouvera alors projeté dans l’état |1i et toute nouvelle mesure donnera immanquablement le résultat 1. Ces ”règles de vie” du monde quantique concernant la description de l’état et à sa mesure constituent ce qu’on appelle les premiers postulats de la mécanique quantique que l’on développera dans la suite. Ce que permettent ces règles et qui constitue la base du calcul quantique, c’est de modifier l’état du qubit, en lui appliquant des opérations logiques ou en l’associant à un ou plusieurs autres

(40)

seulement à la fin du calcul que le qubit est lu et si l’algorithme est bien choisi le processus de projection que réalise la mesure finale du qubit permet d’extraire l’information recherchée [10].

Avant d’entrer dans le détail de ces processus de calcul, donnons une illustration de la façon de réaliser concrètement un qubit.

2.2.1.3.1 Réalisation physique d’un qubit 2.2.1.3.1.1 États internes d’un atome

Figure 2.3.2. – Atome à deux niveaux [10].

où h la constante de Planck (6.6×10⁻³⁴J s) et ν la fréquence de l’atome.

Dans le diagramme ci-contre on considère deux niveaux de l’atome :

• le niveau fondamental : c’est celui de plus basse énergie, l’état quantique de l’atome est noté |gi (ground state) et son énergieE_g;

• le premier niveau excité, l’état atomique est noté|ei et son énergie E_e. Si on envoie sur l’atome dans son état fondamental un photon d’énergie exac- tement E_e−E_g, le photon est absorbé par l’atome qui passe dans le niveau ex- cité : |gi → |ei. Les énergies mises en jeu à l’échelle atomique sont de l’ordre de l’électronvolt (1.6×10⁻¹⁹J) ; le rayonnement lumineux associé au photon a une longueur d’ondeλ= ^c_v = _E_e^hc_−E_g oùcest la vitesse de la lumière (3×10⁸ms⁻¹) et h la constante de Planck (6.6×10⁻³⁴J s) ; l’ordre de grandeur des longueurs d’onde correspondant aux énergies atomiques de l’ordre d’un eV est entre 0.4 et 1 µm; c’est le domaine de la lumière visible [10].

(41)

L’atome revient dans son état fondamental au bout d’un temps moyen appelé durée de vie du niveau excité, en émettant un photon de même énergie E_e−E_g (émission spontanée). La durée de vie d’un niveau atomique varie de quelques nanosecondes à la seconde [10].

Si on envoie un photon d’énergie Ee−Eg sur l’atome quand il est encore dans l’état excité l’atome va se désexciter en émettant un photon à la même énergie (émission induite) [13].

Supposons qu’on éclaire continûment l’atome avec cette radiation lumineuse composée de photons d’énergie E_e−E_g (radiation résonante), l’atome va osciller entre l’état|gi à l’état|ei . A l’instantt il sera dans un état de superposition [10].

|ψi=cos(ωt/2)|gi+e^iφsin(ωt/2)|ei (2.3.5) Si on associe à l’état |gi le qubit |0i et à l’état |ei le qubit |1i, on peut, en jouant sur le temps d’éclairement, mettre l’atome dans n’importe quel état de superpositionα|0i+β|1i.

Pour mesurer l’état de l’atome à un moment donné on envoie sur celui-ci une impulsion laser sur une transition|gi → |aioù|a〉 6= |ei. Si le photon est absorbé c’est que le système est dans l’état |gi, sinon il est dans l’état|ei [10].

2.2.1.3.1.2 Polarisation d’un photon

Une onde électromagnétique, la lumière par exemple, peut être représentée ma- thématiquement par un champ vectoriel transverse, c’est-à-dire orthogonal à la direction de propagation. Dans un référentiel (O,ˆex,ˆey,ezˆ ), de coordonnées (x, y, z), choisi tel que l’onde se propage selon l’axe desz, le champ électrique est décrit par [10] :

−

→E(t, z) = −→

E₀eⁱ⁽^ωt−kz⁾

où (ωt−kz) est la phase de l’onde,kzla phase de l’onde àt= 0 etωla pulsation.

Le vecteur −→

E₀ , vu comme un nombre complexe, définit la polarisation de l’onde.

(42)

l’aide de cristaux ayant une propriété optique particulière : la biréfringence. Si nous envoyons sur une lame biréfringente un faisceau d’intensitéI, polarisé linéairement suivant une direction qui fait un angleθavec l’axe ordinaire du cristal qu’on prend comme axeOx: le faisceau est séparé en un faisceau polarisé suivantOxd’intensité Icos²θ et un autre faisceau polarisé suivant Oy d’intensité Isin²θ [10].

Figure 2.3.3. – Onde polarisée.

oùα est l’angle de polarisation du photon mesuré par rapport à l’angle d’orientation de l’analyseur.

Planck et Einstein ont suggéré au début du XX^`^eme siècle que la lumière puisse aussi être décrite en termes de flot de photons. Les sources de lumière ”classiques”

émettent des grandes quantités de photons même pour des faibles intensités ; ce qui fait que l’aspect ”corpusculaire” de la lumière est difficile à mettre en évidence.

L’avènement récent de l’optique quantique et des nanotechnologies a permis de développer des sources qui émettent des photons ”un par un”, c’est à dire séparés par des intervalles de temps mesurables avec la technologie actuelle (nanoseconde) [10].

Comment interpréter l’expérience du dédoublement du faisceau lumineux dans une lame biréfringente si on considère le faisceau comme un flot discret de photons ? Quand un photon arrive à l’entrée de la lame, quel chemin va-t-il choisir ? Comment se fait-il qu’une fractioncos²θva passer d’un côté et qu’une fractionsin²θva passer de l’autre ?

(43)

La réponse est donnée par la mécanique quantique : le photon est un ”objet quantique” ; on associe un état quantique à chaque vecteur de base de polarisation de l’onde : |xi pour l’état de polarisation suivant l’axe Ox et |yi pour l’état de polarisation suivant l’axe Oy. A l’orientationθ de la polarisation on associe l’état [10].

|θ〉 =cosθ|x〉 +sinθ|y〉 (2.3.6) Quelle trajectoire va suivre le photon qui se trouve dans cet état ? La réponse de la mécanique quantique est qu’on ne peut pas le savoir. Mais ce qu’on peut connaître (postulat de la mesure) c’est la probabilité que le photon sorte polarisé suivant x et qui est donnée par cos²θ et la probabilité complémentaire qu’il sorte polarisé suivanty, donnée parsin²θ. Donc, en moyenne, siN est le nombre total de photons qui traversent la lame, on en trouveraN cos²θsortant avec la polarisation Ox et N sin²θ sortant avec la polarisation Oy. Les coefficients cosθ et sinθ sont en fait des amplitudes de probabilité de trouver le photon dans l’état |xi ou |yi respectivement .

On peut associer un qubit à chacun des deux états de polarisation du photon, par exemple

|xi → |0i

|yi → |1i

En jouant sur l’orientation du polariseur et sur le type de polarisation (linéaire, circulaire) on peut construire là aussi un état quelconque de superpositionα|0i+ β|1i[10].

2.2.1.3.1.3 Propriétés des photons polarisés

Un photon peut être considéré comme étant un minuscule champ électrique oscillatoire. La direction de l’oscillation définit alors la polarisation du photon.

Lorsque l’on fait passer la lumière à travers un filtre polarisant, les photons seront absorbés ou transmis selon de leur polarisation [2] :

• Si le photon est polarisé parallèlement à l’angle d’orientation du filtre, alors

(44)

• Si le photon est polarisé perpendiculairement à l’angle d’orientation du filtre, alors ce photon sera absorbé.

• Si le photon est polarisé selon une direction intermédiaire, alors ce photon sera transmis avec probabilitécos²α oùαest l’angle de polarisation du photon mesuré par rapport à l’angle d’orientation du filtre. C’est-à-dire que si le photon est polarisé selon un angle de γ et que le filtre est orienté selon un angle de β, alors α =γ−β. Si le photon est transmis, alors sa nouvelle polarisation correspondra à l’angle d’orientation du filtre.

La polarisation de la lumière transmise par le filtre polarisant est donc égale à l’angle d’orientation du filtre. Ainsi, les photons initialement polarisés selon un angle deγ ont maintenant tous une polarisation correspondante à l’angle du filtre, soit un angle de β, ce qui implique que leur polarisation initiale est complètement perdue. Il est ainsi impossible d’essayer d’obtenir de l’information sur la polarisation initiale d’un photon en le faisant passer par un deuxième filtre d’orientation β6¯=β. De plus, il est impossible de cloner un photon afin d’effectuer plusieurs me- sures de polarisation avec des filtres d’orientations différentes puisque ceci va à l’encontre des fondements de la mécanique quantique [7].

Les points suivants, qui se rapportent au 3^`^eme cas donné plus haut, sont à re- marquer :

1. Plus la polarisation du photon incident au filtre est près de l’angle d’orientation du filtre, c’est-à-dire plusγ−β est près de 0, plus la probabilité que le photon soit transmis est grande.

2. Si α= 0^◦, alors la probabilité que le photon soit transmis est : cos²(0^◦) = 1.

3. Siα= 90^◦, alors la probabilité que le photon soit transmis est :cos²(90^◦) = 0, où de façon complémentaire, la probabilité que le photon soit absorbé est : 1−cos²(α) =sin²(α), et sin²(90^◦) = 1.

4. Le comportement est complètement aléatoire, c’est-à-dire le photon est transmis (ou absorbé) avec probabilité ¹₂, lorsque cos²(α) = ¹₂ , soit lorsque α= 45^◦ ou α= 135^◦.

Ces propriétés permettent d’utiliser un photon polarisé pour réaliser le concept de bit quantique ou qubit. Pour un système de photons polarisés, on peut par exemple associer le symbole|0i à une polarisation horizontale et |1i à une polari-