La QKD "device independant",
une panacée quantique
pour le chiffrement ?

Au lieu de dire un "oui" péremptoire à la question qu'il se pose lui-même :

Une personne en sécurité aurait plus humblement écrit qu'une solution quantique pourrait augmenter considérablement la sécurité de la distribution de clés de chiffrement. Mais c'est vrai que cela frappe moins les esprits pour un article grand public.

Et après on va dire que j'ai la gâchette facile... mais là, ça m'énerve vraiment.

Il s'agit d'un article qui vient de paraître dans Pour la Science (que je lis depuis presque quarante ans) et dans Interstices, un canard de l'INRIA, mais qui date de 2021 (désolé, je ne l'avais pas vu avant).

En voici les références et liens, et je vous invite à lire attentivement l'article avant de continuer à lire ma prose. L'auteur est le directeur de recherche Inria au sein du Laboratoire de l’informatique du parallélisme, à l’École normale supérieure de Lyon.

• La mécanique quantique, clé de la sécurité des échanges
  (28 décembre 2022| POUR LA SCIENCE N° 543| Temps de lecture : 11 mn)
• La mécanique quantique comme garant de sécurité pour l’échange de clé secrète (Interstices) Publié le : 28/01/2021 niveau: 3 (avancé)

Waouh, niveau 3 : voilà qui flatte mon ego.

Voici une copie de l'introduction :

Alors autant vous le dire tout de suite : la réponse n'est pas oui.

Et quand je lis des choses aussi péremptoires en sécurité, toutes mes alarmes de paranoïaque s'allument. Surtout quand l'auteur écrit "même s'il n'est pas implémenté parfaitement".

Rappelons d'abord le contexte et quelques éléments importants qui vont réduire la portée des recherches que laisse sous-entendre le titre concernant la cryptographie quantique.

• Si la finalité est de mettre en place du chiffrement, l'objectif de la QKD n'est pas de fournir un algorithme de chiffrement. D'ailleurs, il n'y a aucun chiffrement dans les protocoles proposés c'est du codage car ce qu'on demande à la QKD, c'est d'obtenir une séquence de bit aléatoires, que personne d'autre au monde ne connait, identiques entre Alice et Bob.
  Et rien de plus.
  Ensuite, c'est le problème des gens du chiffrement de s'en servir correctement. Et il n'y a plus rien de quantique arrivé là.

Dans la catégorie du détail important un peu évident, les communications entre Alice et Bob sont publiques, tout le monde peut les voir. Pour simplifier, on pourra supposer qu'Alice et Bob sont sûrs de discuter ensemble, on met de coté le problème du "man in the middle". Mais bon, idéalement, il ne faudrait pas, mais c'est déjà assez compliqué comme ça.

Accessoirement, je tente d'expliquer tout ça sur mon site, en particulier : Cryptographie quantique: Taxonomie: HD, CV, DI, MDI... Mais je vous encourage à commencer au début car c'est assez hard.

Après, on peut s'interroger sur la pertinence des termes "cryptographie quantique", mais bon, le mal est fait, c'est le terme employé par tout le monde.

L'introduction de l'article a le mérite d'être claire : il faut respecter les exigences du modèle mathématique pour implémenter le système.

Donc je m'attends à lire quelque part la liste de ces exigences pour comprendre si ça pourra marcher, et là, je suis resté le bec dans l'eau.

Voici un résumé des grandes lignes de l'article (que vous venez de lire, j'espère) :

Comme l'objectif est d'obtenir la même suite de bits aléatoires entre Alice et Bob, on se rend vite compte que c'est ce que réalise le phénomène d'intrication quantique. Important : notez qu'il faut en plus que ce soit secret (aléatoire ne veut pas dire secret).

Les problèmes de fond qui doivent être résolus sont:

1. Etre certain que les qubits obtenus chez Alice et Bob sont intriqués.
2. Que personne d'autre dans l'univers n'aient connaissance de ces bits

Avec comme exigence supplémentaire que le modèle ne soit pas forcément implémenté parfaitement, et là, ça laisse rêveur.

Et avec un appareil dont je ne connais pas l'origine :

Plaisamment, le test de Bell permet de vérifier la première condition. C'est d'ailleurs ce que l'article explique presque correctement, et quand ce test est vérifié, alors on dit que c'est du "device independant " termes galvaudés car on verra que la sécurité matérielle vient s'en mêler.

Là où ça se gâte sévèrement, c'est la seconde condition. Comment être certain que personne d'autre n'a accès aux bits en question ?

Mais commençons par le début, le test de Bell, l'objet principal de l'article, vu que le reste est gentiment éludé.

La proposition consiste à réaliser une sorte de jeu où Alice et Bob choisissent une stratégie, puis ne communique plus ensuite -c'est écrit en toutes lettres, et c'est plutôt intrigant.

Un autre fait inhabituel est la présence d'un arbitre (cela ressemble au jeu de Mermin). Mais ce n'est guère étonnant pour de l'intrication: on ne peut constater l'intrication qu'en rapprochant les lectures des deux qubits intriqués -sinon on ne se rend compte de rien. Ça marche comme ça, essentiellement parce qu'on ne peut pas propager d'information plus vite que la vitesse de la lumière. Voyez ma page sur l'intrication pour réviser.

Grâce au jeu proposé, Alice et Bob peuvent améliorer un peu la probabilité de gagner.

Puis on en vient au fait :

Oui, certes, isolés, mais comment? Le suspens est à son comble.

Ce protocole ressemble beaucoup au BBM92.

En fait d'arbitre, c'est Alice qui révèle à Bob une partie des résultats. Pour ceux qui ne percutent pas, Alice hurle à tout l'univers une partie des résultats.
Bob peut alors calculer la probabilité obtenue (il joue l'arbitre).

C'est à ce moment-là qu'il traine une ambiguïté que les chercheurs éludent, et ce n'est pas particulier au "device independant", c'est fréquent dans toute la QKD.

1. Primo, pas question de pouvoir utiliser les bits révélés, qui ne sont plus secrets pour le coup.
2. Secondo, Bob est certain que les qubits correspondant aux valeurs transmises par Alice sont intriqués. Mais cela ne prouve pas que les autres, ceux censés rester secrets, soient intriqués, puisqu'ils ne sont pas testés... eh oui, je suis pénible, parano un jour, parano toujours.

Ceci dit, on peut décemment espérer que, comme on choisit au hasard avec un générateur aléatoire dans lequel on a confiance les qubits de vérification, alors les bits non vérifiés auront les mêmes propriétés. Mais il n'empêche que ces qubits qui serviront à construire la clé n'auront pas été vérifiés, et c'est embêtant du point de vue intellectuel. Reste à espérer qu'un mathématicien calculera la probabilité d'erreur ou d'attaque (c'est pareil) pour montrer que c'est largement acceptable.

L'auteur indique alors que la séquence résultante est aléatoire et privée :

Et c'est là que ça m'énerve, car la sécurité matérielle est tout aussi capitale que la sécurité mathématique dont se prévaut l'auteur.

Pour aider la compréhension, en particulier pour pointer où se situent les générateurs aléatoires, un petit schéma n'est pas inutile. Surtout quand j'expliquerai comment attaquer.

Il existe un troisième générateur aléatoire: celui qui sélectionne les valeurs qui seront révélées par Alice, une fois les échanges de qubits réalisés, ce qui permettra le calcul de la valeur qui servira de critère pour savoir si les qubits étaient intriqués.

La réponse semble être contenue ici :

Malheureusement, l'auteur ne détaille pas les "dispositifs bien isolés".

Je pense qu'il veut dire: "rien ne sort ou n'entre dans le dispositif pendant la partie du jeu". Autrement dit, tout se passe dans un coffre-fort.

Les systèmes sont forcément isolés dans un coffre-fort sinon n'importe qui pourrait lire les bits, et adieu le secret. Donc cette assertion est un poil évidente.

Donnons un exemple.

Eve, l'attaquante, a placé un émetteur WiFi dans le système qui envoie les bits secrets à l'extérieur : ah ben oui, faudra bien regarder le matériel pour voir s'il ne traine pas de cheval de Troie et autres ruses de pirates.

Ce que les auteurs oublient généralement de préciser, quand ils parlent de QKD, c'est que le secret n'est pas uniquement là où on croit qu'il est, dans le fameux qubit.

En effet, un qubit vaut que dalle si on ne connait pas la base de mesure la valeur x ou y dans l'article. Il suffit qu'Eve l'attaquante connaisse la base de mesure (l'orientation de la polarisation d'un photon, horizontal/vertical ou diagonal) pour faire tomber tout le protocole, car alors elle pourra lire la valeur du qubit, puis le renvoyer.

Ceci vous montre bien qu'une information qui n'a rien de quantique contient une bonne partie du secret ! Alors forcément, il faudra bien que l'implémentation matérielle soit parfaite.

A la décharge de l'auteur, j'espère que ce qu'il voulait dire par
"non parfaitement implémenté"
était
"même si l'implémentation physique des bases orthonormées n'est pas tip-top, eh bien ça devrait encore marcher correctement".

Mais bon, l'auteur pourrait le dire explicitement, plutôt que de laisser une ambiguïté de ce genre.

Eh oui, c'est pire que ça: il faut être CERTAIN que même après la partie, Eve ne récupère pas après coup une carte mémoire dans le système où les bits secrets auraient pu être subrepticement stockés !

La condition d'isolation est drastique, et elle est très loin d'être assurée, encore faudra-t-il bien la définir. Ce ne sera pas facile, parce que souvent, ces systèmes marchent avec de l'électricité, et pas vraiment sur batterie. Un point d'accès supplémentaire auquel on ne pense pas souvent ! Cela promet du boulot pour les laboratoires de certification.

Si le nom de l'attaque restait à la postérité, ça m'amuserait.

Je vais décrire à présent quelques attaques afin de montrer l'importance de la sécurité matérielle. Nous allons faire sournois, une attaque qui semble laisser le système fonctionner normalement, en particulier qui vérifie le test de Bell.

C'est une attaque "de l'intérieur" : il faut avoir accès au matériel avant la livraison. Voire directement chez le client sous prétexte d'entretien.

Chez Alice, on récupère le résultat de mesure a et la base sélectionnée x. Ces informations sont envoyées dans un système optique ajouté qui va modifier le photon, par exemple changer légèrement sa couleur si c'est la seconde base, et polariser le photon avec la bonne valeur, histoire de se faciliter la tâche, mais bon, l'information importante est la base.

Ce système optique est placé après un retardateur pour laisser le temps de lire les résultats, cela peut être un bout de fibre optique à parcourir.

Puis Eve pirate la fibre optique: elle lit les valeurs encodées dans le photon, puis génère un photon qui aura les caractéristiques du photon lu par Alice. Avant, cette attaque était impossible, car Eve ne pouvait pas lire le photon sans connaitre la base, elle se trompait. Cela était détectable en vérifiant sur un sous-ensemble de bits sacrifiés: s'ils étaient bons, alors Eve n'était pas là.

A l'arrivée, Bob obtiendra la même chose qu'Alice s'il a choisi la même base de lecture, et si ce n'est pas la même, eh bien on s'en fiche, le résultat n'est pas utilisable. Notez que l'on n'a rien touché chez Bob.

Bonus (je l'ai fait un peu exprès) : même si Eve n'est pas présente sur la fibre optique, le système continuera de marcher avec une fonctionnalité normale. Voire mieux que le Canada Dry, les photons seront plus propres.

Contre-mesures : soigner particulièrement les temps de propagation. Analyser avec soin les photons envoyés avec du matériel ad hoc. Évidemment, c'est mieux et plus simple de pouvoir contrôler l'intérieur du système.

L'isolation est importante et impérative, mais c'est pire avec le générateur aléatoire qui vous montrera que ce n'est pas une condition suffisante.

Déjà, on se doute qu'on a intérêt à avoir un générateur aléatoire qui le soit vraiment, sans biais particulier. En clair, pas de dés pipés.

Voici un exemple d'attaque sournoise (je viens d'inventer le nom, π-rate) :

Imaginez qu'Eve ait trafiqué le générateur aléatoire de manière à envoyer les décimales de π à la place des nombres aléatoires.

À noter : nul besoin de dézinguer le générateur aléatoire si on a accès au programme qui contrôle le système : c'est nettement plus simple de modifier quelques lignes de code, mais bon, ici je veux montrer l'importance du RNG.

Pour ceux qui ne le savent pas, les décimales de π (ou tout autre nombre transcendant du même tonneau) présentent des caractéristiques qu'on ne peut pas distinguer d'un nombre aléatoire. On peut passer tous les tests statistiques que vous voulez, si vous n'avez pas reconnu π alors vous soutiendrez mordicus que vous êtes en face de "vrai aléatoire". Alors que c'est parfaitement déterministe. Voilà qui est embêtant.

Il suffit pour Eve de remplacer le générateur aléatoire par un générateur de décimale de π. Mais comme c'est une feignasse de grande envergure, elle choisira éventuellement un simple générateur de nombres pseudo-aléatoires, ce sera pareil, mais éventuellement détectable car ces générateurs ont une période de répétition.

Ainsi modifié, le système fonctionnera comme d'habitude.

Si le générateur de π effectue une remise à zéro lorsque l'on met le système sous tension, alors on aura toujours la même séquence de nombres. Mais comme on n'a pas trafiqué le RNG de Bob, il n'y a aucune corrélation, et les bits retenus ne seront jamais les mêmes, ce n'est pas à cet endroit qu'il faut regarder pour détecter la fraude.

En fait, Eve pourrait même faire plus sournois et envoyer sur la ligne d'alimentation des systèmes des informations cachées pour piloter son RNG trafiqué, mais c'est une autre histoire.

Votre système peut être complètement isolé, Eve connaîtra l'intégralité de vos secrets. Ce bête exemple montre bien que la condition d'isolation n'est certainement pas suffisante, ou au pire, très difficile à définir et à mettre en pratique.

Contre-mesures : vérifiez que votre RNG ne donne pas toujours la même séquence au démarrage en enregistrant les valeurs. Examinez physiquement l'intérieur du système. Pouvoir insérer une ou plusieurs séquences connues, testées à l'avance et inconnues d'Eve, qui serviront de contrôle.

Ce n'est pas décrit dans l'article vu les affirmations de l'auteur concernant l'implémentation matérielle, mais ça vaut le coup d'en voir un exemple pour vous aider à fixer les idées.

Je continue à prendre l'exemple du photon polarisé suivant deux bases orthonormées, tarte à la crème de la QKD. Le système proposé par l'auteur ressemble furieusement au schéma suivant :

Comme on peut le voir au milieu en rose, vous avez la génération de photons intriqués, qui est réalisée à partir d'un seul photon ultraviolet à 403 nm passant dans un cristal de BBO où deux photons intriqués sont créés, de fréquence moitié (conservation de l'énergie). C'est très classique, et je le décris aussi dans ma page sur la génération de photon.

Les deux appareils de détection, identiques (en jaune), d'Alice et Bob, mesurent un photon chacun de leur côté.

On commence par une ruse d'opticien: pour choisir la base de mesure, horizontale/verticale ou diagonale, on utilise une lame semi-réfléchissante BS Beam Splitter : le photon ira tout droit ou sera réfléchi avec une probabilité de 50%. C'est un RNG quantique, un des plus fiables !

Ensuite nous avons une seconde ruse d'opticien qui précède la séparation dans chaque base de mesure. Il nous faut un montage optique qui fait passer le photon horizontal d'un côté, et vertical de l'autre. Ça c'est facile à faire avec le PBS Polarized Beam Splitter. Ensuite, pour la base de mesure diagonale, on pourrait utiliser le même montage en le tournant mécaniquement de 45 degrés. Mais c'est pénible à faire.
L'opticien ruse en utilisant ce qui est appelé HWP, qui tourne la polarisation du photon de 45 degrés : il suffit alors de dupliquer le montage.

Si c'est intriqué, et si Alice et Bob ont eu la chance (une fois sur deux) d'utiliser la même base de lecture, alors le résultat sera identique. C'est le principe de l'intrication.

Le cas de la lame semi-réfléchissante n'est certainement pas le plus simple. Mais souvent c'est plutôt un RNG électronique qui pilote du matériel optique, vu que les chercheurs ont des idées tarabiscotées, pas piquées des vers, il vous suffit de consulter les protocoles proposés. Et dans ce cas, trafiquer un RNG électronique, c'est nettement plus simple.

Ici, il va vous falloir un commutateur optique suffisamment rapide, piloté électriquement par le générateur pseudo-aléatoire électronique (les décimales de π).

Il se trouve qu'envoyer les photons un par un est un mécanisme plutôt lent, et donc une lame piézo-électrique comportant un miroir pourrait faire l'affaire, vous pouvez voir ça comme un aiguillage mécanique, et on n'est pas en train de faire du gigabit/s.

Adapter cet élément dans le système existant sera un peu pénible, mais loin d'être impossible.

Il existe en réalité tout un paquet d'attaques possibles, et on est loin de toutes les connaitre. C'est une situation classique en sécurité, et on construit alors des systèmes qui deviennent de plus en plus performants.

Rappelez-vous la carte à puce, qui sert au paiement, à ses débuts. Elle a sacrément évolué avec toutes les attaques qu'elle s'est mangées, et elle évolue encore. Ce sera pareil, mais là, la QKD est encore dans l'enfance, il faudra des déploiements et des attaques pour qu'elle fasse ses preuves.

Je conviens que ce ne sera probablement pas si facile à faire avec des photons, mais je ne vois aucune loi physique ou mathématique qui empêchera Eve de faire ça. Déjà qu'on a du mal à comprendre la mécanique quantique, nous ne sommes pas au bout de nos surprises. Rien que l'effet tunnel qui permet de passer à travers les murs, c'est un peu contradictoire avec la notion de secret...

Eh bien il ne faut pas se précipiter avec ces histoires de QKD où on vous dit mordicus que la sécurité est mathématiquement prouvée. Certes, prouvée, mais avec quelles conditions ?

Bon, j'espère que cet article particulier n'est qu'un problème d'expression malheureuse, que l'auteur ne s'est pas rendu compte qu'il s'adressait au grand public, qui pourrait croire, en lisant cet article, que le problème de construction/distribution de clés de chiffrement est résolu.