La QKD "device independent",
une panacée quantique
pour le chiffrement ?

Rappelons en préambule le contexte et quelques éléments importants qui vont réduire la portée des recherches que laisse sous-entendre la dénomination "cryptographie quantique".

• Si la finalité est de mettre en place du chiffrement, l'objectif de la QKD n'est pas de fournir un algorithme de chiffrement. D'ailleurs, il n'y a aucun chiffrement dans les protocoles proposés c'est du codage car ce qu'on demande à la QKD, c'est d'obtenir une séquence de bit aléatoires, que personne d'autre au monde ne connait, identiques entre Alice et Bob.
  Et rien de plus.
  Ensuite, c'est le problème des gens du chiffrement de s'en servir correctement. Et il n'y a plus rien de quantique arrivé là.

Dans la catégorie du détail important, les communications entre Alice et Bob sont publiques, tout le monde peut les voir. En effet, théoriquement on part de rien, car il faut bien une première fois. Si on suppose qu'Alice et Bob ont déjà une communication privée, secrète, l'apport de la cryptographie quantique sera bien moins intéressant, cela parait évident. Pour simplifier, on pourra supposer qu'Alice et Bob sont sûrs de discuter ensemble, on met de côté le problème du "man in the middle". Mais bon, idéalement, il ne faudrait pas, mais c'est déjà assez compliqué comme ça.

Accessoirement, je tente d'expliquer tout ça sur mon site, en particulier : Cryptographie quantique : Taxonomie : HD, CV, DI, MDI... Mais je vous encourage à commencer au début car c'est assez hard.

Après, on peut s'interroger sur la pertinence des termes "cryptographie quantique", mais bon, le mal est fait, c'est le terme employé par tout le monde.

Au lieu de dire un "oui" péremptoire à la question qu'il se pose lui-même :

Une personne en sécurité aurait plus humblement écrit qu'une solution quantique pourrait augmenter considérablement la sécurité de la distribution de clés de chiffrement. Mais c'est vrai que cela frappe moins les esprits pour un article grand public.

Et après on va dire que j'ai la gâchette facile... mais là, ça m'énerve vraiment.

Il s'agit d'un article qui vient de paraître dans Pour la Science (que je lis depuis presque quarante ans) et dans Interstices, un canard de l'INRIA, mais qui date de 2021 (désolé, je ne l'avais pas vu avant).

En voici les références et liens, et je vous invite à lire attentivement l'article avant de continuer à lire ma prose. L'auteur est le directeur de recherche Inria au sein du Laboratoire de l’informatique du parallélisme, à l’École normale supérieure de Lyon.

• La mécanique quantique, clé de la sécurité des échanges
  (28 décembre 2022| POUR LA SCIENCE N° 543| Temps de lecture : 11 mn)
• La mécanique quantique comme garant de sécurité pour l’échange de clé secrète (Interstices) Publié le : 28/01/2021 niveau : 3 (avancé)

Waouh, niveau 3 : voilà qui flatte mon ego.

Voici une copie de l'introduction :

Alors autant vous le dire tout de suite : la réponse n'est pas oui.

Et quand je lis des choses aussi péremptoires en sécurité, toutes mes alarmes de paranoïaque s'allument. Surtout quand l'auteur écrit "même s'il n'est pas implémenté parfaitement".

L'introduction de l'article a le mérite d'être claire : il faut respecter les exigences du modèle mathématique pour implémenter le système.

Donc je m'attends à lire quelque part la liste de ces exigences pour comprendre si ça pourra marcher, et là, je suis resté le bec dans l'eau.

Voici un résumé des grandes lignes de l'article (que vous venez de lire, j'espère) :

Comme l'objectif est d'obtenir la même suite de bits aléatoires entre Alice et Bob, on se rend vite compte que c'est ce que réalise le phénomène d'intrication quantique. Important : notez qu'il faut en plus que ce soit secret (aléatoire ne veut pas dire secret).

Les problèmes de fond qui doivent être résolus sont :

1. Être certain que les qubits obtenus chez Alice et Bob sont intriqués.
2. Que personne d'autre dans l'univers n'en aient connaissance.

Avec comme exigence supplémentaire que le modèle ne soit pas forcément implémenté parfaitement, et là, ça laisse rêveur.

Et avec un appareil dont je ne connais pas l'origine :

Plaisamment, le jeu de Bell permet de vérifier la première condition. C'est d'ailleurs ce que l'article explique presque correctement, et quand ce test est vérifié, alors on dit que c'est du "device independent " termes galvaudés car on verra que la sécurité matérielle vient s'en mêler.

Là où ça se gâte sévèrement, c'est la seconde condition. Comment être certain que personne d'autre n'a accès aux bits en question ?

Mais commençons par le début, le test de Bell, l'objet principal de l'article, vu que le reste est gentiment éludé.

L'auteur en vient au fait :

Oui, certes, isolés, mais comment? Le suspens est à son comble.

Alice qui révèle à Bob une partie des résultats. Pour ceux qui ne percutent pas, Alice hurle à tout l'univers une partie des résultats.
Bob peut alors calculer la probabilité obtenue.

À la décharge de l'auteur, j'espère que ce qu'il voulait dire par
"non parfaitement implémenté"
était
"même si l'implémentation physique des bases orthonormées n'est pas tip-top, eh bien ça devrait encore marcher correctement".

Mais bon, l'auteur pourrait le dire explicitement, plutôt que de laisser une ambiguïté de ce genre.

Ce qui va se passer, c'est que si l'alignement n'est pas pile-poil π/8 entre Alice et Bob, ils auront un peu moins de 85%, ce qui n'est pas dramatique.

C'est à ce moment-là qu'il traine une ambiguïté que les chercheurs éludent, et ce n'est pas particulier au "device independent", c'est fréquent dans toute la QKD.

1. Primo, pas question de pouvoir utiliser les bits révélés pour faire une clé, qui ne sont plus secrets pour le coup.
2. Secondo, Bob est certain que les qubits correspondant aux valeurs transmises par Alice sont intriqués. Mais cela ne prouve pas que les autres, ceux censés rester secrets, soient intriqués, puisqu'ils ne sont pas testés... eh oui, je suis pénible, parano un jour, parano toujours.

Mais bon, rien n'est précisé, on reste dans un flou abominable.

L'auteur indique alors que la séquence résultante est aléatoire et privée :

Et c'est là que ça m'énerve, car la sécurité matérielle est tout aussi capitale que la sécurité mathématique dont se prévaut l'auteur.

La réponse semble être contenue ici :

Malheureusement, l'auteur ne détaille pas les "dispositifs bien isolés".

Je pense qu'il veut dire : "rien ne sort ou n'entre dans le dispositif pendant la partie du jeu". Autrement dit, tout se passe dans un coffre-fort, ce qui parait un peu évident, je le détaille dans ma page relative aux secrets en cryptographie, section quantique où je montre que le secret n'est pas forcément uniquement quantique, le secret de la base de lecture est également important.

Je donne quelques exemples d'attaques sournoises de mon cru dans une section spéciale si vous voulez avoir une idée de ce qu'il faut contrer.

Dans son numéro 555 de Janvier 2024, on peut découvrir deux articles correspondants à la couverture à propos de la cryptographie :

• Le premier indique qu'un (futur) algorithme dit post-quantique a été cassé, et que la recherche se poursuit pour trouver un remplaçant à RSA qui soit résistant aux ordinateurs quantiques.
• Le second est un article de Nicolas Sangouard qui reprend le thème de l'article de décembre 2022, mais en montrant une implémentation réelle. C'est celui-ci qui nous intéresse.

L'article de "Pour la science" est un article de vulgarisation destiné à un large public, et on verra qu'il n'est pas suffisamment détaillé pour comprendre le fond des problèmes, aussi on se reportera ensuite à l'article scientifique original.

• Cryptographie quantique : le protocole qui échappe aux espions
  (25 décembre 2023| POUR LA SCIENCE N° 555| Temps de lecture : 24 mn ) C'est Noël !
• Experimental quantum key distribution certified by Bell’s theorem (arxiv, première proposition sept 2021, publié dans Nature, juillet 2022)
• Fully device independent quantum key distribution (arxiv, 2012)

Je recommande de les lire avant de consulter mes commentaires, mais bon, il faut payer pour le premier, par contre j'ai trouvé le second sur Arxiv en accès libre, en anglais non vulgarisé... 51 pages, mais le détail de ce qui est fait est indiqué. Le troisième est la preuve mathématique de 2012, imbuvable.

Voici le sous-titre :

C'est désolant de lire ce genre d'affirmation péremptoire. Surtout que c'est faux. Si le dispositif est controlé par un espion, alors bien sûr que tout est compromis. En fait, il faut ajouter la précision sine qua non de l'isolation des "boites noires", autrement dit l'espion ne peut pas modifier le contenu à supposer que l'on soit certain du contenu, que ce soit la bonne boite noire.

Ainsi que d'autres suppositions qui n'apparaissent que dans l'article scientifique, moins péremptoire mais que je trouve quand même un poil trop optimiste, et ça finit par faire beaucoup de contraintes.

Si l'article est plutôt pédagogique (sauf à la fin où il manque quelques explications cruciales), on trouve ici et là quelques expressions malheureuses.

🤨 C'est nous prendre pour des lapereaux de l'année... Je donnerai un exemple de personne mal intentionnée plus loin.

• Après les explications sur le RSA et les masques jetables, et les choix qui doivent être aléatoires, l'exemple du protocole BB84 et l'alignement des filtres est décrit. Cela permet d'introduire les séries aléatoires créées chez Alice et Bob, et les vérifications en comparant leurs résultats.
• Ensuite le jeu de Bell est proposé comme garant de l'intrication. Je veux bien, encore faut-il se servir du résultat correctement, mais nous n'avons pas de détails là-dessus.
• L'exemple de cryptographie quantique, qui est le BB84, se trouve être un mauvais exemple par rapport à ce qui est proposé car le photon transmis contient une information qui sera lue en combinaison avec le bon filtre, qui est une information cruciale et secrète. La méthode proposée avec le transfert d'intrication permet d'éviter totalement cela, ce qui est un énorme avantage, malheureusement cela n'est pas expliqué. Je le détaille dans ma page à propos des secrets.

Puis l'auteur dit que ça a marché avec une photo de John Bell mais n'explique pas le détail du protocole ! On reste sur sa faim, avec des affirmations péremptoires sur la sécurité de la clé.

A la fin de l'article, le moins qu'on puisse dire, c'est que je ne suis pas convaincu de la sécurité du système, vu que le système est à peine décrit... Je me suis donc rabattu sur l'article scientifique, nettement plus prolixe et surprenant.

Ce schéma a le mérite d'être clair sur les échanges et les liaisons à mettre en place (mais difficile à lire). En pratique, on devra coller la mesure de Bell (heralding station) dans le coffre-fort d'Alice ou de Bob, sinon Eve va s'en donner à cœur-joie, surtout que l'on constate quelques lignes de communication classique, en plus des fibres optiques, faudra protéger tout ça.

Le protocole proposé est nettement plus complexe que les explications données dans les articles de vulgarisation, et les conditions paraissent plus explicitement décrites :

Cette liste est déjà insuffisante au premier regard. En réalité, le papier ajoute un paquet d'autres conditions pour que ça marche, aussi il ne faut pas la prendre au premier degré...

Un élément important, découvert dans cet article, est le convoyage de l'ion qui sert de qubit. Une fois que le photon intriqué est généré, alors l'ion est décalé de 3 microns, ce qui ferme la porte à une attaque extérieure, et c'est une très bonne chose ! Cela limitera de "l'injection d'information" (ou de fautes), l'inverse de la fuite d'information qui est sous-entendue quand on parle d'isolation.

C'est en fait un protocole, un poil plus complexe que le simple jeu de Bell décrit en vulgarisation, qui permet de sécuriser l'ensemble, voici la reproduction du début :

Regardez bien la seconde ligne :

Inutile d'éplucher le protocole, il est certainement bien construit, quand on a à sa disposition une clé partagée notoirement secrète (forcément, sinon ça s'attaque direct). Mais l'objectif de tout ce système, n'est-il pas de partager un secret entre deux parties ?

Si le jeu de Bell permet de vérifier l'intrication de deux qubits, et augmente considérablement la sécurité ─comme je le montre dans ma page sur l'attaque Canada Dry─ ce n'est pas la panacée annoncée, il reste encore beaucoup de chemin pour rendre le système vraiment utilisable, surtout du point de vue sécurité matérielle.

En espérant qu'à l'avenir les auteurs d'articles de vulgarisation soient plus modestes en s'adressant au grand public, qui pourrait croire, en lisant ce genre d'articles, que le problème de construction/distribution de clés de chiffrement est résolu.