Crypto’ Puces Porquerollesiml.univ-mrs.fr/ati/crypto_puces/2007/files/alleaume.pdf ·...
Transcript of Crypto’ Puces Porquerollesiml.univ-mrs.fr/ati/crypto_puces/2007/files/alleaume.pdf ·...
Cryptographie quantique : desconcepts aux applications
Romain AlléaumeDépartement Informatique et Réseaux
Ecole Nationale Supérieure des Télécommunications - Paris
17 Avril 2007Crypto’ Puces Porquerolles
Plan de l’exposéElements d’information quantique
Cryptographie quantique : principes,réalisations
Perspectives d’applications de la cryptoquantique
Projet SECOQC : réseaux de distributionquantique de clé
Elements d’informationquantique
• L’information est stockée sur un médiumphysique et manipulée par des opérationphysiques => les processus élémentaires misen jeu sont quantiques
• Information Quantique : spécificités
Ne peut être copiée
Superpositions d’états autorisées
La mesure affecte l’état quantique
Physique et information
Le qubit vs le bit
Classique Quantique
0 ou 1
000...0 (0)000...1 (1)M
111...1 (2n-1)
1 bitα |0〉 + β |1〉 |α|2 + |β|2=1
1 qubit
n bit
!"
=
12
0
n
i
i ic
ex. à 4 qubits: |7〉 = |0111〉
1 12
0
2
=!"
=
n
i
ic
n qubit
Mesure
b1b2b3...bn ↓b1b2b3...bn
Mesure!"
=
12
0
n
i
i ic
↓i avec probabilité |ci|2
Intrication (entanglement)Intrication : il existe des états non séparables
A B|Ψ>ΑΒ ≠ |Ψ>Α | Ψ>Β
Corrélations eventuellement non-locales
Exemple :
Entanglement : non-classical correlations
Violation of Bell inequalities => refutation of Local Realism
Entanglement => fondamental ressource for Q computationand Q communication
Circuits et portes quantiques
Ensemble complet: (Ou-exclusif, Toutes les portes à 1 qubit)
Ou-exclusif:(non-contrôlé)
|a〉
|b〉
|a〉|b〉 si a=0|b〉 si a=1
Ex. porte a 1 qubit: H|0〉 → (|0〉+|1〉)
2
1
|1〉 → (|0〉-|1〉)2
1
A quantum circuit provides an visual representationof a quantum algorithm.
0
0
0
0
time
quantum gatesinitialstate
measurement
Quantum Circuit
• Efficient simulations of quantum systems
• Phase estimation; improved time-frequencyand other measurement standards (e.g. GPS)
• Factoring and Discrete Logarithms(Shor Algorithm, 1994)
• Hidden subgroup problems
• Amplitude amplification
• and much more…
Applications
Computational Complexity Comparison
EllipticCurveDiscreteLogarithms
Factoring
QuantumClassical
( )nnOe
3/23/1 log ( ) ( )nOenO
log!
( )nOe ( ) ( )nO
enOlog
!
(in terms of number of group multiplications for n-bit inputs)
Cryptographie quantique
Une belle idée
“When elementary quantum systems … areused to transmit digital information, theuncertainty principle gives rise to novelcryptographic phenomena unachievable withtraditional transmission media.”
Charles H. Bennett et Gilles Brassard (1984)
Les 3 piliers de la cryptographie quantique
1. CryptographieConfidentialité des informations transmises (clésaléatoires)
2. Physique QuantiqueComportement des particules quantique élémentaires :1. Il est impossible de dupliquer un état quantique arbitraire2. La mesure d’un état quantique perturbe ce dernier
3. Théorie de l’InformationDistillation publique de secret, avec une sécurité diteinconditionnelle (caractère secret portant surl’information au sens de Shannon)
Scénario de la cryptographie quantique
Alice Bob
Eve
Canal quantique
Canal classique
But du jeu : IAB > IAE, IBE CLÉ
Coder l’information sur un état quantique
» ↑, →, ,» = (↑+ →) /√2
» = (↑ - →) /√2
0
1
Encodage d’informationEtats de polarisationlinéaires d’un photon
Si photon unique : Information ambigüe si l’on ne connaît pas la base de codage
Acquérir de l’information sur le bit codé se traduit pas une perturbation
Mesure d’un état de polarisation
• Un analyseur de polarisation donne 2 résultats : transmis ou dévié• Une détection conjointe sur les deux sorties permet de détermineravec certitude l’état du photon polarisé dans la même base que la based’analyse
Analyseur
Dévié : vertical
Transmis : horizontal
• Si la polarisation et la base d’analyse diffèrent, le résultat demesure devient aléatoire (50 % - 50 % pour la base à 45°)
Analyseur
?
Mise en oeuvre : le protocole BB84
Alice's Bit Sequence
0 1 0 - 0 1 1 1 1 - 1 0
- 1 - - 0 1 - - 1 - 1 0
Bob's Bases
Bob's Results
Key
Alice
Bob
Polarizers
Horizontal - Vertical
Diagonal (-45 , +45 )° °
H/V Basis
45 Basis°
BB84 protocol:Eve ⇒ 25% errors
L’espionnage peut être détecté
• A l’issue de la phase quantique, Alice et Bob disposentd’informations corrélées mais• Entachées d’erreurs (expérimentales et / ou dues à l’espion)• Partiellement connues de l’espion.
2 ETAPES DE POST-PROCESSING
1) Correction d’erreur (codes correcteurs d’erreurs classiques1) Réconciliation : se fait sur canal classique (public)2) But : travailler près de la borne de Shannon3) Augmente l’information d’un espion potentiel
2) Amplification de confidentialité => clé totalement secrète
Post-processing classique
Amplifier la confidentialité de la clé : principe
Alice Bob
EveCanal classique
XA =0100110001010 XB =0100110001010
Situation intiale : I(XA=XB ; UE) > 0
UE
I(X’A=X’B ; UE) -> 0X’A = X’B
Bilan : Générations d’une clé secrète = processus en 3 étapes
Données initiales
contiennent des erreurs
(EVE)
Amplificationde
confidentialité
Com Quantique +filtrage
AliceBob
Réconciliation
AliceBob
Eve
EveAliceBob
Eve
Informationmutuelle
Infosecrète
Il faut corriger les erreurs
Il faut annihilerl’information d’Eve
Asymétrie d’information initiale est cruciale
•Wireless Sensor Networks•Injectable Tissue Engineering•Nano Solar Cells•Mechatronics•Grid Computing•Molecular Imaging•Nanoimprint Lithography•Software Assurance•Glycomics•Quantum Cryptography
Quantum Key Distribution is now at the Telecom Age
Dmax ~ 100 kmDébit ~ 5 kbit/s @ 25 km, en progression constante
Quantum Random Number Generator Physical randomness source
Commercially available Applications
» Cryptography» Numerical simulations» Statistics
Réseaux QKD, projetSECOQC
Quantum Key Distributionnetwork
(QKD network)
Definition:Set of « QKD links » connecting distant« QKD nodes ».
Goal:Infrastructure capable of performingsymmetric key establishment, withunconditional security, between any pairof QKD nodes connected to the network.
QKD networks come in different flavorsCan be distinguished by the functionnality of the network
nodes:
Quantum Nodes : With Full Quantum Repeaters» implies Q memories + Entanglement Distillation» Essentially a distributed Q Computer …
Optical Nodes : Switching, routing at the level of the Qoptical signals» Multi-user QKD possible» But cannot extend range
Trusted Relay Nodes» Extra trust assumption but long distance possible» Achievable with today’s technologies.
Maintaining perfect secrecy over anarbitrary long distance.
« Hop-by-hop » key transport, with new key One-Time-Pad key encryption at each node.
M appears in cleartext in each nodeAll nodes have to be trusted. A path is secure, if and only if all its nodes are.
The SECOQC European Project
Development of a Global Network for SEcureCOmmunication based on Quantum Cryptography
IP, FP6 within the IST program Security & Trust Integrated Project FP6-2002- IST-1 -506813 Unit D4: ICT for Trust and Security Duration: April 2004 – April 2008 => Oct 2008 www.secoqc.net
SECOQC Developments
Fully functional Quantum Key Distribution (QKD) Devices Novel Security Architecture Quantum Information Security Proofs Novel Protocols and Design of QKD Networks Standardization of QKD devices and network interface Certification based on Common Criteria + COPRAS coop. 5 Backbone QKD technologies + 2 Access QKD techno. Full deployment of a QKD network in 2008, Vienna
SECOQC QKD Network Architecture
Secrets :Key store
global management
QAN Node
QBB Node
Application(User)
QuantumKey Distribution
QBB LINKQAN LINK
QAN USER QBB USERExternal USER
M. Dianati, R. A. Proc. IEEE QSEC 2007 quant-ph/0610202
QBB node
For w
ard
ing
modu
le
Other modules
Rou
ting m
odu
le
...
QBB Node
QBB link 1
QBB link 2
QBB link n
Key store QKD Device array
Link layer module
Key store QKD Device array
Link layer module
Q3P instance n
Q3P instance 2
Q3P instance 1
Key store QKD Device array
Link layer module
...
Analogue to a router in aconventional packet switchingnetworksIntegrated design (19’’ racks)
QBB link
QKD Device n
QKD Device 1
QKD Device 2
Classical
Network Interface
QKD Device n
QKD Device 1
QKD Device 2
Classical
Network Interface
. . .
. . .
Classical Channel
Quantum Channel 1
Quantum Channel 2
Quantum Channel n
QBB Node QBB Node
QBB Link
• Multiple QKD links can be deployed in parallel, theyoperate over the same shared classical channel, and fill thesame key store• Typically for high-rate / high-cost core network links
Protocol Stack of the QKD network
Q3P:QKD Point-to-Point Protocol
(ARCS)
QKD Transport Layer (ENST)
QKD Application Layer (NI/SYS)
QKD Network Layer (ENST)
QKD Network Demonstrator (1)
Deployment over areal metropolitanarea telecom fibrenetwork.
Cooperation:Siemens
Vienna, fall 2008
QKD Network Demonstrator (2)Meshed TopologyFully connected parallelogram +Long Distance Link
Different QBB-Link technologies:
Coherent One Way System(N. Gisin, Univ. Genève)
One Way Weak Pulse System(A. Shields, Toshiba)
Continuous Variables(P. Grangier, CNRS)
Entangled Photons(A. Zeilinger, Univ. Vienna)
Autocompensating Plug&Play(G. Ribordy, id Quantique, Genève)
Perspectives d’application dela cryptographie quantique
Comparative advantages of QKDover classical key distribution techniques
Secoqc White Paper on Quantum Key Distributionand Cryptography,quant-ph/0701168
Romain Alléaume, Jan Bouda, Cyril Branciard, Thierry Debuisschert,Mehrdad Dianati, Nicolas Gisin, Mark Godfrey, Philippe Grangier,Thomas Länger, Anthony Leverrier, Norbert Lütkenhaus, PhilippePainchault, Momtchil Peev, Andreas Poppe, Thomas Pornin, JohnRarity, Renato Renner, Grégoire Ribordy, Michel Riguidel, LouisSalvail, Andrew Shields, Harald Weinfurter, Anton Zeilinger,
Some messages
QKD main advantage : properties of the key» Unconditionnal security versus computationnal security» Composability
QKD is not adapted to open networks» Open networks : trust relations + asymetric crypto
(Internet) => no symmetrically shared secret» QKD is for closed, operated, (and medium-sized
networks). One of the main challenges for QKD will be side-
channel analysis => very intesting for the analysisof side-channles in classical cryptosystems.
Application « naturelle » : renouvellement declés pour chiffrage de liens
Chiffrage One-Time-Pad (masque jetable)⇒ Sécurité inconditionnelle⇒ En particulier forward secrecy⇒ Mais débits faibles (débit données = débit clés)
Chiffrage Symétrique (DES, AES, etc…)⇒ Gain en sécurité : sécurité de la clé + fréquence de
renouvellement⇒ Débits élevés
Pour quelles infrastructures ?
Réseaux privés de grande sécurité : bancaire,cœur de réseau opérateur, militaires,gouvernementaux
Réseaux de stockage sécurisé de données(SANs)
PKIs: distribution des clés secrètes, initialisation
Autre idée ??
=> Réseaux opérés, « consommateurs » de secrets
Side-channels et crypto quantique
Public
Privé
Public
Privé
classique classique
quantique
Interfaces classique-quantique=> critique pour les side-channels
Espace quantique présentantune garantie forte contre lesside-channels: test decorrelations quantiques
Problématiquestandard degestion desecrets =>
smartcards ?
Conclusion
Systèmes de distribution quantique de clé sontmaintenant fiables, deployables sur desréseaux fibrés télécoms
SECOQC: premiers éléments d’un standardeuropéen
Nouvel outil cryptographique => nécessitéd’identifier les avantages que l’on peut en tireret les applications adaptées => projet FP7
Merci pour votre attention !