crypto’ puces porquerollesiml.univ-mrs.fr/ati/crypto_puces/2007/files/alleaume.pdf ·...

Cryptographie quantique : desconcepts aux applications

Romain AlléaumeDépartement Informatique et Réseaux

Ecole Nationale Supérieure des Télécommunications - Paris

17 Avril 2007Crypto’ Puces Porquerolles

Plan de l’exposéElements d’information quantique

Cryptographie quantique : principes,réalisations

Perspectives d’applications de la cryptoquantique

Projet SECOQC : réseaux de distributionquantique de clé

Elements d’informationquantique

• L’information est stockée sur un médiumphysique et manipulée par des opérationphysiques => les processus élémentaires misen jeu sont quantiques

• Information Quantique : spécificités

Ne peut être copiée

Superpositions d’états autorisées

La mesure affecte l’état quantique

Physique et information

Le qubit vs le bit

Classique Quantique

0 ou 1

000...0 (0)000...1 (1)M

111...1 (2n-1)

1 bitα |0〉 + β |1〉 |α|2 + |β|2=1

1 qubit

n bit

!"

=

12

0

n

i

i ic

ex. à 4 qubits: |7〉 = |0111〉

1 12

0

2

=!"

=

n

i

ic

n qubit

Mesure

b1b2b3...bn ↓b1b2b3...bn

Mesure!"

=

12

0

n

i

i ic

↓i avec probabilité |ci|2

Intrication (entanglement)Intrication : il existe des états non séparables

A B|Ψ>ΑΒ ≠ |Ψ>Α | Ψ>Β

Corrélations eventuellement non-locales

Exemple :

Entanglement : non-classical correlations

Violation of Bell inequalities => refutation of Local Realism

Entanglement => fondamental ressource for Q computationand Q communication

Circuits et portes quantiques

Ensemble complet: (Ou-exclusif, Toutes les portes à 1 qubit)

Ou-exclusif:(non-contrôlé)

|a〉

|b〉

|a〉|b〉 si a=0|b〉 si a=1

Ex. porte a 1 qubit: H|0〉 → (|0〉+|1〉)

2

1

|1〉 → (|0〉-|1〉)2

1

A quantum circuit provides an visual representationof a quantum algorithm.

0

0

0

0

time

quantum gatesinitialstate

measurement

Quantum Circuit

• Efficient simulations of quantum systems

• Phase estimation; improved time-frequencyand other measurement standards (e.g. GPS)

• Factoring and Discrete Logarithms(Shor Algorithm, 1994)

• Hidden subgroup problems

• Amplitude amplification

• and much more…

Applications

Computational Complexity Comparison

EllipticCurveDiscreteLogarithms

Factoring

QuantumClassical

( )nnOe

3/23/1 log ( ) ( )nOenO

log!

( )nOe ( ) ( )nO

enOlog

!

(in terms of number of group multiplications for n-bit inputs)

Cryptographie quantique

Une belle idée

“When elementary quantum systems … areused to transmit digital information, theuncertainty principle gives rise to novelcryptographic phenomena unachievable withtraditional transmission media.”

Charles H. Bennett et Gilles Brassard (1984)

Les 3 piliers de la cryptographie quantique

1. CryptographieConfidentialité des informations transmises (clésaléatoires)

2. Physique QuantiqueComportement des particules quantique élémentaires :1. Il est impossible de dupliquer un état quantique arbitraire2. La mesure d’un état quantique perturbe ce dernier

3. Théorie de l’InformationDistillation publique de secret, avec une sécurité diteinconditionnelle (caractère secret portant surl’information au sens de Shannon)

Scénario de la cryptographie quantique

Alice Bob

Eve

Canal quantique

Canal classique

But du jeu : IAB > IAE, IBE CLÉ

Coder l’information sur un état quantique

» ↑, →, ,» = (↑+ →) /√2

» = (↑ - →) /√2

0

1

Encodage d’informationEtats de polarisationlinéaires d’un photon

Si photon unique : Information ambigüe si l’on ne connaît pas la base de codage

Acquérir de l’information sur le bit codé se traduit pas une perturbation

Mesure d’un état de polarisation

• Un analyseur de polarisation donne 2 résultats : transmis ou dévié• Une détection conjointe sur les deux sorties permet de détermineravec certitude l’état du photon polarisé dans la même base que la based’analyse

Analyseur

Dévié : vertical

Transmis : horizontal

• Si la polarisation et la base d’analyse diffèrent, le résultat demesure devient aléatoire (50 % - 50 % pour la base à 45°)

Analyseur

?

Mise en oeuvre : le protocole BB84

Alice's Bit Sequence

0 1 0 - 0 1 1 1 1 - 1 0

- 1 - - 0 1 - - 1 - 1 0

Bob's Bases

Bob's Results

Key

Alice

Bob

Polarizers

Horizontal - Vertical

Diagonal (-45 , +45 )° °

H/V Basis

45 Basis°

BB84 protocol:Eve ⇒ 25% errors

L’espionnage peut être détecté

• A l’issue de la phase quantique, Alice et Bob disposentd’informations corrélées mais• Entachées d’erreurs (expérimentales et / ou dues à l’espion)• Partiellement connues de l’espion.

2 ETAPES DE POST-PROCESSING

1) Correction d’erreur (codes correcteurs d’erreurs classiques1) Réconciliation : se fait sur canal classique (public)2) But : travailler près de la borne de Shannon3) Augmente l’information d’un espion potentiel

2) Amplification de confidentialité => clé totalement secrète

Post-processing classique

Amplifier la confidentialité de la clé : principe

Alice Bob

EveCanal classique

XA =0100110001010 XB =0100110001010

Situation intiale : I(XA=XB ; UE) > 0

UE

I(X’A=X’B ; UE) -> 0X’A = X’B

Bilan : Générations d’une clé secrète = processus en 3 étapes

Données initiales

contiennent des erreurs

(EVE)

Amplificationde

confidentialité

Com Quantique +filtrage

AliceBob

Réconciliation

AliceBob

Eve

EveAliceBob

Eve

Informationmutuelle

Infosecrète

Il faut corriger les erreurs

Il faut annihilerl’information d’Eve

Asymétrie d’information initiale est cruciale

•Wireless Sensor Networks•Injectable Tissue Engineering•Nano Solar Cells•Mechatronics•Grid Computing•Molecular Imaging•Nanoimprint Lithography•Software Assurance•Glycomics•Quantum Cryptography

Quantum Key Distribution is now at the Telecom Age

Dmax ~ 100 kmDébit ~ 5 kbit/s @ 25 km, en progression constante

Quantum Random Number Generator Physical randomness source

Commercially available Applications

» Cryptography» Numerical simulations» Statistics

Réseaux QKD, projetSECOQC

Quantum Key Distributionnetwork

(QKD network)

Definition:Set of « QKD links » connecting distant« QKD nodes ».

Goal:Infrastructure capable of performingsymmetric key establishment, withunconditional security, between any pairof QKD nodes connected to the network.

QKD networks come in different flavorsCan be distinguished by the functionnality of the network

nodes:

Quantum Nodes : With Full Quantum Repeaters» implies Q memories + Entanglement Distillation» Essentially a distributed Q Computer …

Optical Nodes : Switching, routing at the level of the Qoptical signals» Multi-user QKD possible» But cannot extend range

Trusted Relay Nodes» Extra trust assumption but long distance possible» Achievable with today’s technologies.

Maintaining perfect secrecy over anarbitrary long distance.

« Hop-by-hop » key transport, with new key One-Time-Pad key encryption at each node.

M appears in cleartext in each nodeAll nodes have to be trusted. A path is secure, if and only if all its nodes are.

The SECOQC European Project

Development of a Global Network for SEcureCOmmunication based on Quantum Cryptography

IP, FP6 within the IST program Security & Trust Integrated Project FP6-2002- IST-1 -506813 Unit D4: ICT for Trust and Security Duration: April 2004 – April 2008 => Oct 2008 www.secoqc.net

SECOQC Developments

Fully functional Quantum Key Distribution (QKD) Devices Novel Security Architecture Quantum Information Security Proofs Novel Protocols and Design of QKD Networks Standardization of QKD devices and network interface Certification based on Common Criteria + COPRAS coop. 5 Backbone QKD technologies + 2 Access QKD techno. Full deployment of a QKD network in 2008, Vienna

SECOQC QKD Network Architecture

Secrets :Key store

global management

QAN Node

QBB Node

Application(User)

QuantumKey Distribution

QBB LINKQAN LINK

QAN USER QBB USERExternal USER

M. Dianati, R. A. Proc. IEEE QSEC 2007 quant-ph/0610202

QBB node

For w

ard

ing

modu

le

Other modules

Rou

ting m

odu

le

...

QBB Node

QBB link 1

QBB link 2

QBB link n

Key store QKD Device array

Link layer module

Key store QKD Device array

Link layer module

Q3P instance n

Q3P instance 2

Q3P instance 1

Key store QKD Device array

Link layer module

...

Analogue to a router in aconventional packet switchingnetworksIntegrated design (19’’ racks)

QBB link

QKD Device n

QKD Device 1

QKD Device 2

Classical

Network Interface

QKD Device n

QKD Device 1

QKD Device 2

Classical

Network Interface

. . .

. . .

Classical Channel

Quantum Channel 1

Quantum Channel 2

Quantum Channel n

QBB Node QBB Node

QBB Link

• Multiple QKD links can be deployed in parallel, theyoperate over the same shared classical channel, and fill thesame key store• Typically for high-rate / high-cost core network links

Protocol Stack of the QKD network

Q3P:QKD Point-to-Point Protocol

(ARCS)

QKD Transport Layer (ENST)

QKD Application Layer (NI/SYS)

QKD Network Layer (ENST)

QKD Network Demonstrator (1)

Deployment over areal metropolitanarea telecom fibrenetwork.

Cooperation:Siemens

Vienna, fall 2008

QKD Network Demonstrator (2)Meshed TopologyFully connected parallelogram +Long Distance Link

Different QBB-Link technologies:

Coherent One Way System(N. Gisin, Univ. Genève)

One Way Weak Pulse System(A. Shields, Toshiba)

Continuous Variables(P. Grangier, CNRS)

Entangled Photons(A. Zeilinger, Univ. Vienna)

Autocompensating Plug&Play(G. Ribordy, id Quantique, Genève)

Perspectives d’application dela cryptographie quantique

Comparative advantages of QKDover classical key distribution techniques

Secoqc White Paper on Quantum Key Distributionand Cryptography,quant-ph/0701168

Romain Alléaume, Jan Bouda, Cyril Branciard, Thierry Debuisschert,Mehrdad Dianati, Nicolas Gisin, Mark Godfrey, Philippe Grangier,Thomas Länger, Anthony Leverrier, Norbert Lütkenhaus, PhilippePainchault, Momtchil Peev, Andreas Poppe, Thomas Pornin, JohnRarity, Renato Renner, Grégoire Ribordy, Michel Riguidel, LouisSalvail, Andrew Shields, Harald Weinfurter, Anton Zeilinger,

Some messages

QKD main advantage : properties of the key» Unconditionnal security versus computationnal security» Composability

QKD is not adapted to open networks» Open networks : trust relations + asymetric crypto

(Internet) => no symmetrically shared secret» QKD is for closed, operated, (and medium-sized

networks). One of the main challenges for QKD will be side-

channel analysis => very intesting for the analysisof side-channles in classical cryptosystems.

Application « naturelle » : renouvellement declés pour chiffrage de liens

Chiffrage One-Time-Pad (masque jetable)⇒ Sécurité inconditionnelle⇒ En particulier forward secrecy⇒ Mais débits faibles (débit données = débit clés)

Chiffrage Symétrique (DES, AES, etc…)⇒ Gain en sécurité : sécurité de la clé + fréquence de

renouvellement⇒ Débits élevés

Pour quelles infrastructures ?

Réseaux privés de grande sécurité : bancaire,cœur de réseau opérateur, militaires,gouvernementaux

Réseaux de stockage sécurisé de données(SANs)

PKIs: distribution des clés secrètes, initialisation

Autre idée ??

=> Réseaux opérés, « consommateurs » de secrets

Side-channels et crypto quantique

Public

Privé

Public

Privé

classique classique

quantique

Interfaces classique-quantique=> critique pour les side-channels

Espace quantique présentantune garantie forte contre lesside-channels: test decorrelations quantiques

Problématiquestandard degestion desecrets =>

smartcards ?

Conclusion

Systèmes de distribution quantique de clé sontmaintenant fiables, deployables sur desréseaux fibrés télécoms

SECOQC: premiers éléments d’un standardeuropéen

Nouvel outil cryptographique => nécessitéd’identifier les avantages que l’on peut en tireret les applications adaptées => projet FP7

Merci pour votre attention !