EP4635126A1 - Procedes de distribution quantique et dispositifs de telecommunication associes - Google Patents

Procedes de distribution quantique et dispositifs de telecommunication associes

Info

Publication number
EP4635126A1
EP4635126A1 EP23806308.5A EP23806308A EP4635126A1 EP 4635126 A1 EP4635126 A1 EP 4635126A1 EP 23806308 A EP23806308 A EP 23806308A EP 4635126 A1 EP4635126 A1 EP 4635126A1
Authority
EP
European Patent Office
Prior art keywords
key
bits
alice
bob
quantum
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP23806308.5A
Other languages
German (de)
English (en)
Inventor
Yann Oster
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Publication of EP4635126A1 publication Critical patent/EP4635126A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0858Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding

Definitions

  • the invention lies in the field of generating and sharing a symmetrical secret key between two remote telecommunications devices associated with their respective users called Alice and Bob below: Alice and Bob's devices must use a strictly identical key to be able to encrypt/decrypt their messages.
  • the invention relates more particularly to quantum key distribution (QKD: Quantum Key Distribution) and the underlying communication of information such as parity bits or choice of bases used or selection of the measures retained.
  • QKD Quantum Key Distribution
  • Quantum cryptography is based on the transmission of qubits (quantum bits) or coherent states generated randomly, to develop and distribute secret keys usable by classic encryption protocols such as one-time mask encryption (One Time Pad). . Since the first protocol proposed in 1984 (BB84), multiple QKD protocols have been defined. We distinguish between protocols with discrete variables (qubits, DV-QKD) and those with continuous variables (CV-QKD). Some protocols (BB84, DV-QKD) are based on the random choices of a generation and measurement base (or quadrature), and involve the communication of these base choices. Other protocols (CV-QKD with heterodyne receiver) do not involve communications on the choice of a measurement base.
  • Some protocols based on photon entanglement involve a source of photons external to Alice and Bob's devices. But all QKD protocols integrate a residual error correction step to develop a shared key between Alice and Bob, implementing the communication of parity bits, for various error detection or correction techniques (FEC (Forward Error) codes Correction code) such as LDPC (Low Density Parity Code), interactive and iterative protocols such as Cascade or Winnow, etc.).
  • FEC Forward Error codes Correction code
  • LDPC Low Density Parity Code
  • iterative protocols such as Cascade or Winnow, etc.
  • quantum objects that is to say physical objects that behave according to the laws of quantum physics; in practice, these objects are light pulses in the quantum regime (photons), which can take several forms: single photons, coherent states, pairs of entangled photons, etc. ; the photon allows the encoding of information on observable variables such as the polarization of light, its frequency, its phase, etc. ; a quantum channel, which allows the transit of light pulses; a classic communication channel (also known as a public channel) (typically Internet, wireless, optical transmission over fiber or in free space).
  • Quantum key distribution is a technique exploiting quantum properties to guarantee randomness making it possible to detect interception and re-emission by a malicious third party, let's call it Eve (Eavesdropper ), of an initial message generated by Alice to Bob.
  • Eve Eve
  • reading qubits during their transmission between two interlocutors wishing to encrypt their communications with a secret key issued from these qubits by an intruder can be immediately detected: an interception will be immediately detected by the devices of Alice and Bob, who will give up this key.
  • a reference QKD technique is the BB84 protocol published by C. Bennett and G. Brassard in 1984 and using discrete variables: qubits.
  • a qubit takes a value 0 or 1, and is represented by the polarization of a single photon, on two possible quadratures (bases): HA/ or D/A (the capital letter H, V, D, A indicates the type of polarization : H for horizontal, V for vertical, D for diagonal and A for Antidiagonal).
  • Alice's device generates a sequence of random bits and encodes each bit on each light pulse, then transmits it to Bob's device through the quantum channel.
  • the devices of Alice and Bob evaluate a level of interception of the information exchanged on the quantum channel according to the differences between the data transmitted and those measured and if the level is greater than a fixed threshold, the operation is terminated quantum distribution. If not, the extraction of the secret key from the correlated data is carried out via a so-called data reconciliation step: in this reconciliation step, a bit string shared by the Alice and Bob devices is determined from the data. correlated data and an error correction algorithm using parity bits.
  • a secrecy amplification step is generally implemented to neutralize the information leak during reconciliation.
  • Bob's device After transmission, Bob's device therefore has a set of measurements which are correlated with the data sent by Alice's device, but whose information could have been spied on by Eve.
  • a so-called sifting step selects the transmitted qubits for which the Alice and Bob devices use the same generation and detection quadrature : to do this, the devices of Alice and Bob communicate in clear on the classic channel to broadcast the quadratures used, either symmetrically and explicitly, or asymmetrically with one part broadcasting its used quadratures then the other part determining and broadcasting the selection of the retained qubits (identical Tx/Rx quadratures); this makes it possible to develop two versions of a so-called “sifted key” respectively on the side of Alice and Bob, by separating on average 50% of the qubits (different Tx/Rx quadratures); an estimate of the error rate is carried out, to determine the possible presence of Eve (case of rejection of the key), and to select an error correcting code (choice code and performance) or to configure an interactive and iterative error correction protocol by request/response for further processing; a step of detection and
  • the present invention describes a method for quantum distribution of a key, named K QK D_N, to a first and a second telecommunications device to implement between them a telecommunications encrypted by said key K QK D_N, said first and a second telecommunications devices each being connected to a first respective telecommunications link and interconnected by a second telecommunications link, said first link being an optical transmission link and being hereinafter called quantum channel, said second link telecommunications being hereinafter called classic channel; said method comprising the following steps of determining K QK D_N, implemented by at least one device considered among the first and second devices: implementation, on the quantum channel, of communication of a random sequence of bits under the shape of a sequence of light pulses in the quantum regime such that for each light pulse of the sequence of pulses, a physical parameter of each light pulse encodes the value of at least one of said bits of the random sequence of bits; said sequence of bits being memorized by each of the first and second
  • the proposed solution greatly reduces information leakage and improves the level of secrecy. There is no clear transmission (or with public key encryption) of choice of bases used, and/or information relating to parities on the public channel. This sensitive information is previously encrypted from at least one secret key previously generated by QKD via the quantum channel and the classical channel in a previous step. [0017] The use of a key obtained by QKD guarantees unconditional security relative to the computing power of a third party (Eve).
  • Eve has a sequence of qubits without being able to identify which ones are correct (on average 75% of the sequence) and which ones are retained to form the key.
  • the present invention describes a method for quantum distribution of a key, named K QK D_N, to a first and a second telecommunications device to implement between them a telecommunications encrypted by said key K QK D_N, said first and a second telecommunications devices each being connected to a first respective telecommunications link and interconnected by a second telecommunications link, said first link being an optical transmission link and being hereinafter called quantum channel, said second link telecommunications being hereinafter called classic channel; said method comprising the following steps of determining K QK D_N, implemented by at least one device considered among the first and second devices: implementation, on the quantum channel, of communication of a random sequence of bits under the shape of a sequence of light pulses in the quantum regime such that for each light pulse of the sequence of pulses, a physical parameter of each light pulse encodes the value of at least one of said bits of the random sequence of bits; said sequence of bits being memorized by each of the first and second devices;
  • said communication of information indicating parity bit values between the first and the second device is further encrypted or decrypted by said device considered as a function of at least one key KQ K D_N-K previously determined by implementing a previous iteration of a QKD quantum key distribution method to said first and second devices.
  • the encryption or decryption of the information is carried out according to a symmetric encryption or decryption key determined by concatenation and permutation type operations and/or logical combination at the bit level of at least one key previously determined by quantum distribution of QKD key to said first and second devices; - said information used for QKD reconciliation encrypted or decrypted according to at least the key K Q KD_N-K previously determined is random and independent information.
  • the invention describes a computer program intended to be stored in the memory of a telecommunications device and further comprising a microcomputer, said computer program comprising instructions which, when are executed on the microcomputer, orchestrate the steps of a process according to the first or second aspect of the invention.
  • the invention describes a telecommunications device adapted to be connected to a first telecommunications link, adapted to be connected to another telecommunications device by a second telecommunications link, and to implement with said other device a telecommunications encrypted by a key KQKD_N, said first link being an optical transmission link and being hereinafter called a quantum channel, said second telecommunications link being hereinafter called a classical channel; said device being adapted to determine K QK D_N, by: implementing, on the quantum channel, communication of a random sequence of bits in the form of a sequence of light pulses in quantum regime such that for each pulse light of the sequence of pulses, a physical parameter of each light pulse encodes the value of at least one of said bits of the random sequence of bits; said sequence of bits being memorized by the device; by putting, on the conventional channel, communication with the other device, of information indicating parity bit values, said parity bit values having been calculated by at least one first device among
  • the invention describes a telecommunications device adapted to be connected to a first telecommunications link, adapted to be connected to another telecommunications device by a second telecommunications link, and to implement with said other device a telecommunications encrypted by a key KQKD_N, said first link being an optical transmission link and being hereinafter called a quantum channel, said second telecommunications link being hereinafter called a classical channel; said device being adapted to determine K QK D_N, by: implementing, on the quantum channel, communication of a random sequence of bits in the form of a sequence of light pulses in quantum regime such that for each light pulse of the sequence of pulses, a physical parameter of each light pulse encodes the value of at least one of said bits of the random sequence of bits; said sequence of bits being memorized by the device; by putting, on the conventional channel, communication with the other device, of information indicating, for each bit of the stored sequence, the base, among at least two distinct coding bases
  • a telecommunications device is adapted to encrypt or decrypt said communication of information indicating parity bit values between said and said other device as a function of at least one key KQ K D_N-K previously determined by prior implementation of a quantum distribution of QKD key to said device and said other device.
  • a telecommunications device is adapted to perform encryption or decryption of information according to a symmetric encryption or decryption key determined by encryption operations.
  • type concatenation and permutation and/or logical combination at the bit level of at least one key previously determined by quantum distribution of QKD key to said first and second devices (D_ALICE, D_BOB).
  • Figure 1 schematically represents a QKD key generation system in one embodiment of the invention
  • Figure 2 represents the steps of a quantum key distribution method in one embodiment of the invention
  • FIG. 3 Figure 3 illustrates the transmission and detection of a sequence of qubits in one embodiment of the invention
  • Figure 4 is a table illustrating the implementation of a method in one embodiment of the invention, at start-up;
  • Figure 5 is a table illustrating the implementation of a process in one embodiment of the invention, in steady state
  • Figure 1 represents a symmetric key generation system by QKD in one embodiment of the invention, comprising two telecommunications devices 10, 20 linked together by a quantum channel 30 and a classical channel 40.
  • Each or one of the telecommunications devices 10, 20 is for example on the ground, or embedded in a satellite, an aircraft, etc.
  • the quantum channel 30 is a telecommunications channel which allows the transit of information (binary in DV-QKD or continuous in CV-QKD) carried by a physical property of a quantum object (e.g. polarization of a photon) transmitted on this channel; here the quantum channel 30 is adapted to transmit light pulses (generated by a source of photons, the transmission being carried out on an optical link of the optical fiber type or simply by free propagation in the free air, the atmosphere, Space ).
  • information binary in DV-QKD or continuous in CV-QKD
  • a physical property of a quantum object e.g. polarization of a photon
  • the classic channel 40 is a standard communication channel, for example (e.g.: radio frequency link, internet network, optical fiber, etc.), assumed to be accessible in plain text by everyone (including a malicious third party Eve), to allow devices to telecommunications 10 and 20 to converge towards the definition of a secret key on the basis of transmitted qubits, as described below for the BB84 protocol.
  • a standard communication channel for example (e.g.: radio frequency link, internet network, optical fiber, etc.), assumed to be accessible in plain text by everyone (including a malicious third party Eve), to allow devices to telecommunications 10 and 20 to converge towards the definition of a secret key on the basis of transmitted qubits, as described below for the BB84 protocol.
  • the telecommunications device 10 hereinafter named D_ALICE, for user Alice, comprises a control block 11, a quantum transmission block 12, a radio frequency (RF) transmission/reception block 13 and a memory 14.
  • the control block 11 comprises a cryptography block 110 and a memory 111 associated with the cryptography block 110 and storing secret keys previously generated by the QKD process between D_ALICE 10 and D_BOB 20.
  • the telecommunications device 20 hereinafter named D_BOB, for user Bob, comprises a control block 21, a quantum reception block 22, a radio frequency (RF) transmission/reception block 23 and a memory 24
  • the control block 21 comprises a cryptography block 210 and a memory 211 associated with the block. cryptography 210 and storing secret keys previously generated by QKD between D_ALICE 10 and D_BOB 20.
  • the radio frequency (RF) transmission/reception blocks 13 and 23 are adapted to communicate together via the conventional channel 40.
  • the control block 11, respectively 21, comprises for example a memory and a microprocessor (not shown).
  • the memory of the control block 11, respectively 21, comprises software instructions, which when executed on the microprocessor of the control block 11, respectively 21, implement the steps incumbent on the control block 11, respectively 21, and described further, in particular with reference to Figure 2.
  • the radio frequency (RF) transmission/reception block 13, respectively 23, typically comprises a modem and a radio frequency transmission and reception antenna (not shown).
  • the quantum emission block 12 includes a generation block, named GEN 121, and a polarization block, named Pol 122.
  • the GEN 121 block is adapted to randomly generate a sequence of bits to be transmitted.
  • the Pol 122 block is adapted to randomly choose, for each bit to be transmitted, a base from a set of bases comprising several reference polarization bases (these bases are also called modes or quadratures) and to transmit a light pulse with a polarization corresponding to the value of the bit to be transmitted in the base chosen randomly for this bit.
  • the Pol 122 block includes for example a polarization rotator, capable of rotating the polarization of the emitted light signal, selectively by 0° (if H/V base is chosen by the Pol 132 block) or by 45° (if basic choice D/A), the selection between angles 0° and 45° being made randomly.
  • the polarization rotator is made with a half-wave delay blade whose rotation is ensured by an actuator.
  • Another embodiment uses an electro-optical polarization modulator, adapted for high rates of polarization change.
  • All of the bases comprise two bases for example: a first Horizontal/Vertical (H/V) base in which "1" is coded by a photon with a polarization axis 0° and "0" by a photon of 90° polarization; a second Diagonal/Antidiagonal base (D/A) in which “0” is coded by a photon with a polarization axis of 45° and “1” by a photon with a polarization of 135°.
  • the quantum reception block 22 includes a polarization block, called Pol 132, and a measurement block 131.
  • the Pol 132 block Before the expected arrival of a photon, the Pol 132 block is adapted to carry out a polarization rotation in order to randomly choose a base from the two bases H/V and D/A.
  • the Pol 132 block includes a polarization rotator, capable of rotating the polarization of the emitted light signal, selectively by 0° (if choice of H/V base by the Pol 132 block) or by 45° (if choice of D/ base). HAS).
  • the polarization rotator is made with a half-wave delay blade whose rotation is ensured by an actuator.
  • the measuring block 131 is adapted to measure two light polarization components in quadrature at the output of the polarization rotator Pol 132, either on the H/V basis if the polarization rotation is 0°, or on the basis D/A if the polarization rotation is 45°.
  • the measurement block is made with a polarizing beam splitter (PBS) generating a quadrature, and two photon detectors (SPD) for the two components of the quadrature.
  • PBS polarizing beam splitter
  • SPD photon detectors
  • a photon polarized along an axis of angle 'a' passing through a polarizing filter along an axis of angle 'b' has a probability equal to cos 2 (ba) of passing the polarizing filter, according to Malus' law.
  • the starting context is as follows: Alice wishes to exchange an Nth message, named M_N, with Bob.
  • a secret key, K QK D_N must be generated by QKD, shared between D_ALICE 10 and D_BOB 20, to allow one to encrypt, and the other to decrypt this Nth message which can be transmitted with maximum security.
  • Eve tries to intercept communications to determine the key.
  • Kerckhoff principles we assume for example that Eve has access to the communication channels used by D_ALICE 10 and D_BOB 20, that she knows the protocol used perfectly and has unlimited calculation resources.
  • the security of encrypted communications between D_ALICE 10 and D_BOB 20 is then ensured solely by the secret key that the method described below results in generating and distributing.
  • the GEN block 121 in response to a corresponding command from the control block 11 to the GEN block 121, the GEN block 121 randomly generates a sequence of 2T bits therefore taking the value 0 or 1; T is an integer typically greater than 10,000;
  • the Pol block 122 randomly chooses, for each bit generated, a polarization base among the two polarization bases and transmits on the quantum channel 30, photon per photon, a photon whose polarization is a function of the value of the generated bit and the polarization base chosen for this qubit; each photon is emitted at regular intervals.
  • the qubits are thus transmitted.
  • sequence of choices of bases and bits corresponding to the sequence of qubits generated is then stored by the control block 11 in the memory 14 and the value of each bit is stored there, associated with the polarization base chosen for the bit by the Pol 122 block and at the rank of the bit in the sequence and.
  • the Pol block 132 randomly chooses a base (by modifying the orientation of a rotator or by modifying the control of a polarization modulator ).
  • the measuring block 131 performs a measurement of what comes out of the polarizing filter on the selected components.
  • the control block 21 determines the value of the bit corresponding to the photon detected as a function of the measurement carried out and the base chosen for the measurement (corresponding to the polarization rotation carried out by the Pol block 132) and stores in the memory 24, for each photon detected, the value of the bit determined, in association with the chosen base and the reception rank of the photon (and therefore of the qubit).
  • Figure 3 represents in a table, the rank number of the first 8 bits of a sequence generated in step 101 (first line of the table) and the randomly generated value for these bits (second line). These bits thus take the following values: 0 for the bit of rank 1, 4, 6 and 7 and 1 for the bit of rank 2, 3, 5 and 8.
  • the third line indicates the base chosen for the transmission of each bit by the D_ALICE 10 device: the “+” sign indicates that the H/V base has been chosen while the “x” sign indicates that the D base /A was chosen.
  • the base HA/ was chosen, and the base D/A was chosen for bits of rank 3, 5 to 7.
  • the fourth line indicates the polarization of the emitted photon: vertical for the bit of rank 1, 4, horizontal for the bit of rank 2 and 8, diagonal for the bit of rank 6 and 7, antidiagonal for the bits of rank 3 and 5.
  • the fifth line of the table indicates the base chosen by the device D_BOB 20, in reception: H/V for the photon received at rank 1, 5, 7 and 8 and D/A for the photon of rank 2, 3, 4 and 6.
  • the sixth line illustrates the result of the measurement by the D_BOB 20 device: for photons of rank 1, 3, 6, 8 the measurement base corresponds to the emission base and the polarization of the detected photon corresponds in general to the polarization at the emission of the photon; for photons of rank 2, 4, 5, 7 the measurement base is different from the emission base and the polarization of the detected photon is completely random.
  • the value of the determined qubit stored in memory 24 is 0 for the photon of rank 1 and 6 and is 1 for the photon of rank 3 and 8.
  • the binary sequence ⁇ bases ⁇ BO b which is stored in the memory 24, successively defining the polarization base chosen to detect each photon of the sequence received in step 102 is provided in entry of cryptography block 210; for example, if the set of bases only includes the two bases H/V and D/A, in the binary sequence indicating the choice of bases, a “0” (respectively a “1”) at rank n of this sequence ⁇ bases ⁇ BO b will indicate that the base H/V (respectively D/A) was used to detect the qubit of rank n at the step considered (step 102) ;
  • the cryptography block 210 encrypts using at least one of the secret keys stored in the memory 211 and previously generated by QKD by D_ALICE 10 and D_BOB 20, this binary sequence indicating the chosen bases;
  • the controller 21 of the D_BOB device 20 then transmits to the D_ALICE device 10, via the RF transmission/reception block 23, on the conventional channel 40, the binary sequence thus encrypted indicating the polarization base chosen to detect each photon of the sequence received in step 102;
  • the controller 11 of the D_ALICE device 10 receives, via the RF transmission/reception block 13, the encrypted binary sequence ⁇ bases ⁇ BO b, which is then processed by the cryptography block 110; the latter decrypts it using the secret key(s) stored in memory 111 which was(were) used for the encryption of this sequence.
  • Step 104 (sifting)
  • the controller 11 compares for each rank in the sequence of qubits, the chosen polarization base received on the conventional channel 40 and the polarization base associated with this rank which is stored in the memory 14 of the device 10; it selectively retains (Sifting step) only the qubits which have been generated (D_ALICE 10) and measured (D_BOB 20) on the same basis. Statistically only 50% of the bits are retained.
  • the list of indexes of the only qubits retained is then provided as input to the cryptography block 110 which encrypts it, using at least one of the secret keys stored in the memory 111 and previously generated by QKD by D_ALICE 10 and D_BOB 20.
  • the controller 11 of the D_ALICE 10 device then transmits to the D_BOB 20 device, via the RF transmission/reception block 13, on the classic channel 40, the list of qubits retained thus encrypted.
  • the controller 21 of the D_BOB device 20 receives, via the RF transmission/reception block 23, the encrypted list of retained indexes and provides it to the cryptography block 210; the latter decrypts it using the secret key(s) stored in memory 211 which was(were) used for the encryption of this sequence.
  • the controller 21 of the D_BOB device 20 in turn selectively retains, among all the qubits received in step 102, only the qubits whose index (ie the rank in the sequence transmitted by D_ALICE/received by D_BOB ) is indicated in the received list, which are the qubits generated (D_ALICE 10) and measured (D_BOB 20) on the same basis. [0076] The qubits thus retained by D_ALICE 10, D_BOB 20, form their respective “sifted key”.
  • bits of rank 1, 3, 6 and 8 are thus the only ones retained by D_ALICE 10 and D_BOB 20, among the first eight bits of the sequence, for the rest of the steps (see . “sifted key” line)
  • the control blocks 11 and 21 then evaluate the transmission error rate of the qubits (QBER for 'Quantum Bit Error Rate) affecting their respective sets of bits retained in the sifting step 104, in order to detect the possible interception by Eve, to evaluate the quantity of information intercepted by Eve on the quantum channel during transmission in step 101 and to possibly select, depending on the evaluated error rate, an error correcting code ( choice of code and performance) or to configure an iterative error correction protocol per request/response for further processing.
  • an error correcting code choice of code and performance
  • an iterative error correction protocol per request/response for further processing.
  • a certain number of qubits are "sacrificed" since they are communicated on the classic channel 40: they are also removed from the bits retained by the control blocks 11 and 21 for the rest of the post-processing.
  • the Sifted Key consists of t qubits.
  • step 106 is implemented.
  • D_ALICE and D_BOB Due to the limitations of photon sources and photon detectors, imperfections in production, adjustments or synchronization, the bits of the Sifted Key retained at this stage by D_ALICE and D_BOB are not generally perfectly identical.
  • the set of steps 106-108 below of the reconciliation phase aims to detect/correct the residual errors of the qubits of the “Sifted Key” determined respectively by D_ALICE and D_BOB, using an error correcting code of type FEC (Forward Error Correction code), or an interactive and iterative request/response protocol between Alice and Bob, to determine and transmit parity bits associated with subgroups (ie packets) of the qubits of the key.
  • FEC Forward Error Correction code
  • Sifted Key in order to detect/correct residual errors between Alice's key and Bob's key and so that they then have a strictly identical key.
  • Redundant parity type information is then generated either by D_ALICE 10, or by D_BOB 20, or by both, then transmitted by one or the other.
  • these parities are transmitted via the public channel to the other party, so that the latter can identify the residual errors on a key sifted relative to the other (D_ALICE/D_BOB), in accordance with the protocol of error detection and correction retained, according to the parities received and its own sifted key.
  • each control block 11, 21, in parallel with each other calculates parity bits from subgroups of t bits of the Sifted Key after estimation of the QBER error rate in step 105, depending on the error detection and correction protocol selected (here Cascade or Winnow type iterative protocol).
  • the values of the parity bits calculated by each control block 11, respectively 21 are stored in memory 14, 24.
  • One of the cryptography blocks 110, respectively 210 encrypts these parity values, using at least one of the secret keys stored in the memory 111, respectively 211 and previously generated by QKD by D_ALICE 10 and D_BOB 20.
  • one of the control blocks 21, respectively 11 transmits the values of these parity bits thus encrypted on the classic channel 40 via the Em/Rec RF blocks 23, respectively 13.
  • One of the control blocks 11, respectively 21, receives on the classic channel the values of these parity bits thus encrypted and supplies them to the cryptography block 110 , respectively 210, which decrypts them using that(s) of the secret keys stored in the memory 111 respectively 211 which was(were) used for the encryption of these values.
  • One of the control blocks 11, respectively 21, compares the received value of each parity bit, which has been calculated for a given subgroup of bits, with the value that it itself has calculated for this same subgroup. -group of bits of its own key sifted.
  • the parity comparison allows either to detect/correct an erroneous bit, or to direct the error search process via a new parity calculation request on another subgroup of bits.
  • the residual errors between the Sifted Key held by D_ALICE 10 and D_BOB 20 can thus be detected and corrected according to this comparison carried out for each parity bit. Bits detected in error can either be corrected or discarded. This process makes it possible to obtain, in D_ALICE 10 and D_BOB 20, a secret key ideally strictly identical, shared between them, of size v.
  • An iterative Cascade or Winnow type protocol involves a variable number of requests/responses between D_ALICE 10 and D_BOB 20, depending on the number of residual errors;
  • an FEC (Forward Error Correction code) type error correcting code involves a single message sent by only one of the devices 10, 20 to the other of the devices 20, 10 to detect/correct residual errors. Exchanges take place on public channel 40.
  • Steps 106, 107, 108 above describe by way of example the case of an iterative request/response protocol of the Cascade or Winnow type (calculation of the parity bits in the devices 10, 20 transmission by a device to another, comparison within a device).
  • the D_ALICE 11 control block calculates for example the parity bits from the bits of Alice's sifted key (after sifting, step 104, and after estimation of the QBER error rate, step 105); these parities are transmitted encrypted to the control block 21 of D_BOB 20, which decrypts them, then decodes them with its version of the sifted key, to identify errors on its key (Bob); then D_BOB 20 corrects its errors; and or - the control block of D_BOB 21 calculates for example the parity bits from the bits of Bob's sifted key; these parities are transmitted encrypted to the control block 11 of D_ALICE 10, which decrypts them, then decodes them with its version of the sifted key, to identify errors on its key (Alice); then D_ALICE corrects its errors.
  • a secret amplification step optional and which can in any case be reduced compared to the prior art, implements hashing functions to combine the bits of the key obtained at the end of the step 108 and thus reduce Eve's information on the final key, at the cost of reducing the size of the key.
  • Hash functions are very difficult to invert, and can be used to generate pseudo-random numbers. They often use modular arithmetic.
  • D_ALICE 10 and D_BOB 20 have a shared secret key, K QK D_N, which they will then each use as a symmetric encryption key for one encode and the other decode the M_N message exchanged between them on the public channel or another channel.
  • Each control block 11, respectively 21, stores the QKD key thus newly generated, K QK D_N, in the memory 111, 211, for a limited duration.
  • K QK D_N The size of K QK D_N is equal to v (ie it has v bits, with v ⁇ t, v ⁇ T).
  • QKD is therefore used according to the invention.
  • D_ALICE 10 and D_BOB 20 can therefore safely encrypt this information from at least one previous secret key obtained by QKD without compromising the security of previous transmissions with this same key. It is the same when one party (D_BOB) broadcasts its choice of bases then the other party (D_ALICE) broadcasts the selection of the qubits retained: these sequences are random and independent, D_ALICE 10 and D_BOB 20 can therefore safely encrypt this information from at least one previous secret key obtained by QKD.
  • the secret key K QK D_ NI used to encrypt the (N-1)th message, named M_N-1, exchanged between D_ALICE 10 and D_BOB 20, can be reused to encrypt the information on the choice of Alice's bases, as well as the parity bits, during the construction of the key K QK D_N-
  • the key K QK D_ N-2 used to encrypt the (N-2)th message, M_N-2 can be reused to encrypt the information on Bob's choice of bases to construct the key KQKD_ N- - - -
  • the secret key K QK D_ NI used to encrypt the (N-1)th message, named, M_N-1, exchanged between D_ALICE 10 and D_BOB 20 can be reused to encrypt the information on the choice of bases by D_BOB, then to encrypt the parity bits, during the construction of the key K QK D_N-
  • the key K QK D_ N-2 used to encrypt the (N -2)th message, M_N-2 can be reused by D_ALICE to encrypt the information on the selection of the qubits retained to construct the key KQ K D_ N- - - -
  • the 2 sequences of qubits respectively generated (step 101, that of D_ALICE) and received (step 102, that of D_BOB), ie considered before sifting, have a size 2T.
  • Each of the two binary sequences defining the choices of bases used, ⁇ bases ⁇ A ii Ce and ⁇ bases ⁇ BO b have the same size. This size is equal to 2T when only two bases appear in the set of bases. The size is greater than 2T when more than one bit is necessary to identify the chosen base (ie in the cases where D_ALICE 10 and D_BOB 20 choose their base from a set of bases comprising a number of bases strictly greater than two).
  • the 2 sequences after sifting have a variable size t close to T, the sifting removing on average 50% of the qubits emitted by D_ALICE.
  • the 2 sequences after estimation of the QBER error rate (step 105) have a size u less than t.
  • sequence of parities has a possibly variable size, which for example can be considered less than 2T, the invention also being suitable for sequences to be encrypted of size greater than 2T.
  • each secret key has a size v strictly less than u, t and T.
  • Symmetric key encryption of these different sequences therefore requires keys of size 2T. We can nevertheless use secret keys of size less than T.
  • a classic approach consists of using an encryption algorithm using a key of size independent of that of the message, which is conditional on the availability/distribution of keys for D_ALICE and D_BOB.
  • Another solution consists of using the One Time Pad cipher of Vernam, to reuse secret keys obtained by QKD in particular by combining them by operations of concatenation, permutation and/or logical combination ( XOR or exclusive operator) at the bit level, to form keys of larger sizes to encrypt information on the choices of the bases of Alice and/or Bob, on the selection of the qubits retained as well as on the parities.
  • the same secret encryption key can be used to encrypt this information (basic choice of a single party, ie either D_ALICE or D_BOB, selection of the qubits retained and parity information), without compromising the security of this key.
  • Option A (we wait until we have the required number of previous keys to encrypt on the classic channel)
  • each key K QK D_I, respectively K QK D_2, K QK D_3 makes it possible to encrypt a useful message M_1, respectively M_2, M_3 (a priori carrying meaning, ie no random sequence).
  • Option B (we produce the required number of previous keys before starting to encrypt useful messages and on the classic channel)
  • Option AB intermediate (we reuse at least one previous key to form keys of size 2T to encrypt the classic channel)
  • D_ALICE 10 and D_BOB 20 keep a register, in the memories 111, 211, of the last secret keys used during the session. This allows them to secretly generate (by encrypting sensitive information) new secret keys.
  • the table in Figure 4 illustrates the transient regime at start-up, in one embodiment of the invention, with the use of previous QKD secret key(s) to encrypt the choice information bases used by D_ALICE 10 and D_BOB 20 and parity information.
  • the table in Figure 5 illustrates, in one embodiment of the invention, in steady state, this time the use of previous secret keys to form secret keys of size 2T to encrypt the information on the choice of bases used by D_ALICE 10 and D_BOB 20, as well as to encrypt parity information.
  • Each line in these tables corresponds to the step of constructing a QKD key, of size u less than T and indicated in the left column.
  • the box in the second column indicates how, during this construction, the sequence ⁇ bases ⁇ A
  • the box in the fourth column indicates how, during this construction, the sequence of parity bits of size less than 2T is encrypted (or not) (in the error detection protocol considered here, only D_ALICE 10 transmits the parity bits to D_BOB 20, the latter not sending them).
  • the size of the MJ message is less than or equal to the size of KQKD_ r
  • K QK D_ I During the development by QKD protocol of the first session key, K QK D_ I, the sequences of chosen bases and parity values are transmitted in clear text. At the end of this construction, the key K QK D_ I is used to encrypt a first useful message, M_1, exchanged between D_ALICE 10 and D_BOB 20.
  • the second key K QK D_2 is generated by encrypting transmissions on the classic channel, using sequences derived from the first secret key (concatenation, logical combination, bit permutations). For example, during the development by QKD protocol of the second session key, K QK D_2:
  • ⁇ bases ⁇ BO b is encrypted according to the key K QK D_ I, but distinctly and independently (at the level of each bit) with respect to ⁇ bases ⁇ A
  • the sequence of parities is for example encrypted with the same encryption key as for the sequence ⁇ bases ⁇ A
  • K QK D_2 the key K QK D_2 is used to encrypt a second useful message, M_2, exchanged between D_ALICE 10 and D_BOB 20.
  • a set of the last secret keys shared by D_ALICE 10 and D_BOB 20 (here the last 3 K QK D_ N- 3, K QK D_ N-2, and K QK D_ NI) is for example used to construct, by concatenation, encryption keys of sufficient size to (decrypt the sequences of binary information relating to the bases used by D_ALICE, by D_BOB , and to encrypt the parities;
  • a permutation on the keys concatenated by D_BOB with respect to D_ALICE is carried out in order to hide from Eve which qubits are retained/discarded during sifting: thus for example in the present case, the symmetric encryption key used to decrypt ⁇ bases ⁇ Alice (and the parity bits) is K QK D_N-I IK QK D_N-2
  • an example of encryption by the cryptography block 110, 210 of the sequence with the encryption key is to perform an OR operation EXCLUSIVE between the bit of the sequence of rank n and the bit of rank n of the encryption key, for all n ranging from 1 to the size of the sequence.
  • the invention has been described above with reference to the implementation of the transmission of random binary information by the polarization of photons, for example within the framework of the BB84 protocol; the invention is however applicable to any protocol (e.g. E91, B92, etc.) and symmetric key generation system of the QKD type, among others QKD protocols with discrete variables, with other physical parameters used for encode the bits on qubits, for example the frequency or phase of a photon, optionally in a differential manner (frequency-coded QKD or phase-coded QKD or Differential Phase-coded QKD; in the case of using the phase , the coding is based on a phase modulator instead of a rotator/polarization modulator) instead of or in addition to the polarization of the photons, protocols using continuous variables (GG02), and/or using the transmission of several photons per light pulse...
  • any protocol e.g. E91, B92, etc.
  • QKD protocols with discrete variables
  • the invention also applies in the case where a parameter of the photon transmitted on the quantum channel codes several bits , based for example on protocols allowing several bits to be encoded per light pulse such as the GG02, GMCS Gaussian Modulated Coherent-States protocols.
  • the encryption is implemented on the sequences of choice of bases, on the sequences of selection of the qubits retained and the sequences of parity values; in embodiments, only the sequences of choice of bases or selection of the retained qubits or only the sequences of parity values are encrypted.
  • the invention can also be implemented in embodiments without random choice of base used in reception and/or transmission such as for example in a Differential Phase-coded QKD protocol; the step of correcting residual errors is nevertheless still necessary.
  • the invention can also be implemented in embodiments where the QKD protocol used uses the polarization of photons to encode the bits, but with a number of states considered different from the four states considered in BB84: for example BB92 uses 2 polarizations, SSP uses 6.
  • control block 11, 21 can be implemented by the execution of software instructions on a processor. Alternatively, they can be implemented by dedicated hardware, typically a digital integrated circuit, either specific (ASIC) or based on programmable logic (for example FPGA/Field Programmable Gate Array).
  • ASIC application specific
  • FPGA Field Programmable Gate Array
  • bit designates the binary information itself (“0” or “1”)
  • qubit designates more specifically this binary information when it is carried by a quantum state of an elementary particle , in particular of a photon (ie generation and polarization in the device 10, propagation in the quantum channel and measurement in the device 20); however, in the preceding description, one or the other of the two terms may have been used indiscriminately to designate the corresponding binary information.
  • the random choice of the polarization base is achievable in different ways: as described below, with a polarization modulator or by mechanical switching of a controlled polarization rotator by a quantum random generator, a beam splitter such as a semi-reflecting plate, a fixed polarization rotator such as a half-wave plate, etc. according to known techniques.
  • the QKD protocol implemented is based on entanglement (for example protocol E91) for which the photons are generated by a source which can be external to D_ALICE and D_BOB.
  • D_ALICE does not generate the binary sequence: D_ALICE and D_BOB receive this sequence and are like 2 receivers which agree between them on the decoding of the sequence of qubits received, with random base choices (A and B) (or not), in accordance with steps 102 and following described above.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Optical Communication System (AREA)

Abstract

L'invention concerne un procédé de distribution quantique de clé, nommée KQKD_N, à deux dispositifs de télécommunication (D_ALICE, D_BOB), reliés chacun à un canal quantique (30) et reliés entre eux par un canal classique (40), comprenant : - communication sur le canal quantique d'une séquence aléatoire de bits sous la forme d'une séquence d'impulsions lumineuses; - communication sur le canal classique de bits de parités; et correction d'erreurs dans la séquence aléatoire de bits en fonction des bits de parité communiqués; - détermination de ladite clé KQKD_N, en fonction de ladite séquence aléatoire de bits, ladite clé étant partagée entre lesdits dispositifs; ledit procédé étant caractérisé en ce que ladite communication des bits de parité est chiffrée ou déchiffrée en fonction d'au moins une clef KQKD_N-k antérieurement déterminée par mise en œuvre antérieure d'un mécanisme de distribution quantique de clé QKD auxdits dispositifs.

Description

DESCRIPTION
Titre : Procédés de distribution quantique et dispositifs de télécommunication associés
Domaine technique :
[0001] L’invention se situe dans le domaine de la génération et du partage de clé secrète symétrique entre deux dispositifs de télécommunication distants associés à leurs utilisateurs respectifs appelés ci-dessous Alice et Bob : les dispositifs d’Alice et Bob doivent utiliser une clé rigoureusement identique pour pouvoir chiffrer/déchiffrer leurs messages. L’invention concerne plus particulièrement la distribution de clé quantique (QKD : Quantum Key Distribution) et la communication sous-jacente d’informations de type bits de parités ou choix de bases utilisées ou sélection des mesures retenues.
Technique antérieure :
[0002] La cryptographie quantique repose sur la transmission de qubits (quantum bits) ou d’états cohérents générés aléatoirement, pour élaborer et distribuer des clés secrètes utilisables par des protocoles de chiffrement classiques tels que le chiffrement à masque jetable (One Time Pad). Depuis le premier protocole proposé en 1984 (BB84), de multiples protocoles de QKD ont été définis. On distingue les protocoles à variables discrètes (qubits, DV-QKD) et ceux à variables continues (CV-QKD). Certains protocoles (BB84, DV-QKD) reposent sur les choix aléatoires d’une base (ou quadrature) de génération et de mesure, et impliquent la communication de ces choix de bases. D’autres protocoles (CV-QKD avec récepteur hétérodyne) n’impliquent pas de communications sur le choix d’une base de mesure. Certains protocoles basés sur l’intrication de photons impliquent une source de photons externe aux dispositifs d’Alice et Bob. Mais tous les protocoles QKD intègrent une étape de correction des erreurs résiduelles pour élaborer une clé partagée entre Alice et Bob, mettant en œuvre la communication de bits de parités, pour diverses techniques de détection ou de correction d’erreurs (codes FEC (Forward Error Correction code) tels que LDPC (Low Density Parity Code), protocoles interactifs et itératifs tels que Cascade ou Winnow, etc). A des fins d’illustration, par la suite nous ferons référence au protocole BB84.
[0003] Lors d'un protocole de cryptographie quantique, les deux interlocuteurs distants Alice et Bob disposent : d'objets quantiques, c'est-à-dire d'objets physiques qui se comportent selon les lois de la physique quantique ; en pratique, ces objets sont des impulsions lumineuses en régime quantique (des photons), qui peuvent prendre plusieurs formes : photons uniques, états cohérents, paires de photons intriqués, etc. ; le photon, autorise l’encodage de l’information sur des variables observables telles que la polarisation de la lumière, sa fréquence, sa phase etc. ; d'un canal quantique, qui permet le transit des impulsions lumineuses ; d'un canal classique (dit aussi canal public) de communication (typiquement Internet, hertzien, transmission optique sur fibre ou en espace libre).
[0004] La distribution de clé quantique, Quantum Key Distribution (QKD), est une technique exploitant des propriétés quantiques pour garantir un caractère aléatoire permettant de détecter l’interception et la ré-émission par un tiers malveillant, appelons-le Eve (Eavesdropper), d’un message initial généré par Alice à destination de Bob. Dans la mesure où il est impossible de cloner une information quantique inconnue sans qu’elle soit détruite, ou de mesurer un état quantique inconnu sans le modifier, la lecture des qubits lors de leur transmission entre deux interlocuteurs souhaitant chiffrer leurs communications avec une clé secrète issue de ces qubits par un intrus peut être immédiatement détectée : une interception sera immédiatement détectée par les dispositifs d’Alice et Bob, qui renonceront à cette clé.
[0005] Une technique QKD de référence est le protocole BB84 publié par C. Bennett et G. Brassard en 1984 et utilisant des variables discrètes : des qubits. Un qubit prend une valeur 0 ou 1, et est représenté par la polarisation d’un unique photon, sur deux quadratures (bases) possibles : HA/ ou D/A (la majuscule H, V, D, A indique le type de polarisation : H pour horizontale, V pour verticale, D pour diagonale et A pour Antidiagonale).
[0006] Les grandes étapes de la distribution de clé quantique sont les suivantes :
Le dispositif d’Alice génère une séquence de bits aléatoires et code chaque bit sur chaque impulsion lumineuse, puis l'émet vers le dispositif de Bob par le canal quantique.
Celui-ci mesure alors l'information que porte l'impulsion qu'il a reçue. les dispositifs d’Alice et Bob évaluent un niveau d’interception des informations échangées sur le canal quantique en fonction des différences entre les données émises et celles mesurées et si le niveau est supérieur à un seuil fixé, il est mis fin à l’opération de distribution quantique. Si non, l’extraction de la clé secrète à partir des données corrélées est réalisée via une étape dite de réconciliation des données : dans cette étape de réconciliation, une chaîne de bits partagée par les dispositifs d’Alice et Bob est déterminée à partir des données corrélées et d’un algorithme de correction d’erreurs mettant en œuvre des bits de parité.
Une étape d’amplification du secret est généralement mise en œuvre pour neutraliser la fuite d’information lors de la réconciliation.
[0007] Pour chaque qubit (0/1) d’une série de qubits générés aléatoirement par le dispositif d’Alice, ce dernier génère sur le canal quantique un photon dont la polarisation dépend du choix, aléatoire, d’une quadrature (H/V ou D/A) et de la valeur binaire considérée (0/1).
[0008] A l’autre bout du canal quantique, côté réception, le dispositif de Bob sélectionne aléatoirement, pour chaque qubit, une quadrature pour réaliser la détection (soit sur H/V, soit sur D/A). Tout qubit mesuré sur une même quadrature que la quadrature utilisée à l’émission est normalement correctement transmis : 100% à E près, (typiquement la valeur de E est dans la plage [0 ; 10%]. Lorsque les quadratures Tx/Rx ne sont pas identiques, la transmission est fausse avec une probabilité de 50% à E près.
[0009] Après la transmission, le dispositif de Bob possède donc un ensemble de mesures qui sont corrélées aux données envoyées par le dispositif d’Alice, mais dont les informations ont pu être espionnées par Eve.
[0010] Puis a lieu la phase dite de réconciliation n’utilisant que le canal de communication classique, où : une étape dite de sifting sélectionne les qubits transmis pour lesquels les dispositifs d’Alice et Bob utilisent une même quadrature de génération et de détection : pour ce faire, les dispositifs d’Alice et Bob communiquent en clair sur le canal classique pour diffuser les quadratures utilisées, soit de manière symétrique et explicite, soit de manière asymétrique avec une partie diffusant ses quadratures utilisées puis l’autre partie déterminant et diffusant la sélection des qubits retenus (quadratures Tx/Rx identiques) ; ceci permet d’élaborer deux versions d’une clé dite « sifted key» respectivement du côté d’Alice et de Bob, en écartant en moyenne 50% des qubits (quadratures Tx/Rx différentes) ; il est réalisé une estimation du taux d’erreur, pour déterminer la présence éventuelle d’Eve (cas de rejet de la clé), et pour sélectionner un code correcteur d’erreur (choix du code et du rendement) ou pour paramétrer un protocole interactif et itératif de correction d’erreur par requête/réponse pour la suite du traitement ; une étape de détection et correction des erreurs résiduelles comprenant des échanges sur le canal classique de bits de parité calculés par les dispositifs d’Alice et/ou Bob sur leur clé « sifted key» respective a ensuite lieu (protocole Cascade ou Winnow, code correcteur d’erreur FEC LDPC...), à la suite de laquelle les dispositifs d’Alice et Bob partagent une clé rigoureusement identique, pour laquelle Eve dispose d’une certaine information.
[0011] Les dispositifs d’Alice et Bob partagent alors une clé secrète (après une étape additionnelle d’amplification du secret). On entend par la notion de « clé partagée » que la clé est commune à Alice et Bob.
[0012] La diffusion sur le canal public des informations partagées entre les dispositifs d’Alice et Bob (« side information ») concernant les valeurs des bits de parités et les choix des bases utilisées (ou éventuellement relatives à la sélection des qubits qui sont conservés), lors de la phase de réconciliation, constitue une fuite d’information préjudiciable susceptible de favoriser Eve dans sa recherche de la clé. Cette divulgation va à l’encontre du secret de la clé, et nécessite un traitement d’amplification du secret, au prix d’une réduction de la taille de la clé.
[0013] En effet, sachant le choix des bases utilisées pour chaque qubit, Eve sait quels qubits sont fiables (à 1-E près) parmi ceux qu’elle a mesurés. A partir des qubits fiables, et sachant les valeurs (fiables) de parité et la méthode de correction des erreurs résiduelles, Eve peut déduire des valeurs d’autres qubits, soit en terme de valeur soit en terme de probabilité. Dans tous les cas, cette information diffusée sur le canal public permet de réduire la combinatoire d’exploration de la clé pour Eve. La seule parade connue est le traitement d’amplification du secret, mettant en œuvre des fonctions de hachage pour combiner les éléments de la clé, au prix d’une réduction de la taille de clé.
[0014] Il est donc besoin d’une solution de distribution de clé quantique permettant de mieux préserver le secret et de diminuer le risque de fuite d’information sur le canal public.
Résumé de l’invention :
[0015] Ainsi, suivant un premier aspect, la présente invention décrit un procédé de distribution quantique de clé, nommée KQKD_N, à un premier et un deuxième dispositifs de télécommunication pour mettre en œuvre entre eux une télécommunication chiffrée par ladite clé KQKD_N, lesdits premier et un deuxième dispositifs de télécommunication étant reliés chacun à une première liaison de télécommunication respective et reliés entre eux par une deuxième liaison de télécommunication, ladite première liaison étant une liaison de transmission optique et étant nommée ci-après canal quantique, ladite deuxième liaison de télécommunication étant nommée ci-après canal classique ; ledit procédé comprenant les étapes suivantes de détermination de KQKD_N, mises en œuvre par au moins un dispositif considéré parmi les premier et deuxième dispositifs : mise en œuvre, sur le canal quantique, d’une communication d’une séquence aléatoire de bits sous la forme d’une séquence d’impulsions lumineuses en régime quantique telle que pour chaque impulsion lumineuse de la séquence d’impulsions, un paramètre physique de chaque impulsion lumineuse code la valeur d’au moins un desdits bits de la séquence aléatoire de bits ; ladite séquence de bits étant mémorisée par chacun des premier et deuxième dispositifs ; mise en œuvre, sur le canal classique, d’une communication, entre les premier et deuxième dispositifs, d’informations indiquant des valeurs de bits de parités, lesdites valeurs de bits de parité ayant été calculées par au moins l’un desdits premier et deuxième dispositifs en fonction de la séquence aléatoire de bits qu’il a mémorisée, puis étant transmises, lors de ladite communication, à l’autre desdits premier et deuxième dispositifs qui met alors en œuvre, dans la séquence de bits mémorisée par l’autre desdits premier et deuxième dispositifs, une correction d’erreurs, en fonction desdits bits de parité transmis ; détermination de ladite clé KQKD_N, en fonction de ladite séquence aléatoire de bits, et mémorisation de ladite clé KQKD_N, ladite clé étant partagée entre lesdits premier et un deuxième dispositifs ; ledit procédé étant caractérisé en ce que ladite communication d’information indiquant des valeurs de bits de parité entre le premier et le deuxième dispositif est chiffrée ou déchiffrée par ledit dispositif considéré en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’un mécanisme de distribution quantique de clé QKD auxdits premier et deuxième dispositifs.
[0016] La solution proposée réduit fortement la fuite d’information et améliore le niveau de secret. Il n’y a pas de transmission en clair (ou avec un cryptage à clé publique) de choix des bases utilisées, et/ou d’information relative aux parités sur le canal public. Ces informations sensibles sont préalablement cryptées à partir d’au moins une clé secrète préalablement générée par QKD via le canal quantique et le canal classique dans une étape antérieure. [0017] L’utilisation d’une clé obtenue par QKD garantit une sécurité inconditionnelle relativement à la puissance de calcul d’un tiers (Eve).
[0018] Eve ne peut accéder à l’information sur le choix des bases utilisées (conjointement par les dispositifs d’Alice et Bob) et sur la sélection des qubits retenus, ni à l’information relative aux bits de parité. Car si les dispositifs d’Alice et Bob partagent ces clés secrètes générées antérieurement et peuvent donc crypter/décrypter les messages portant l’information sur le choix des bases, la sélection des qubits et sur les parités, ce n’est pas le cas d’Eve.
[0019] Ceci permet de réduire fortement la fuite d’information sur la clé.
[0020] Eve dispose d’une séquence de qubits sans pouvoir identifier lesquels sont corrects (en moyenne 75% de la séquence) et lesquels sont retenus pour former la clé.
[0021] Suivant un deuxième aspect, la présente invention décrit un procédé de distribution quantique de clé, nommée KQKD_N, à un premier et un deuxième dispositifs de télécommunication pour mettre en œuvre entre eux une télécommunication chiffrée par ladite clé KQKD_N, lesdits premier et un deuxième dispositifs de télécommunication étant reliés chacun à une première liaison de télécommunication respective et reliés entre eux par une deuxième liaison de télécommunication, ladite première liaison étant une liaison de transmission optique et étant nommée ci-après canal quantique, ladite deuxième liaison de télécommunication étant nommée ci-après canal classique ; ledit procédé comprenant les étapes suivantes de détermination de KQKD_N, mises en œuvre par au moins un dispositif considéré parmi les premier et deuxième dispositifs : mise en œuvre, sur le canal quantique, d’une communication d’une séquence aléatoire de bits sous la forme d’une séquence d’impulsions lumineuses en régime quantique telle que pour chaque impulsion lumineuse de la séquence d’impulsions, un paramètre physique de chaque impulsion lumineuse code la valeur d’au moins un desdits bits de la séquence aléatoire de bits ; ladite séquence de bits étant mémorisée par chacun des premier et deuxième dispositifs ; mise en œuvre, sur le canal classique, d’une communication, entre les premier et deuxième dispositifs, d’informations relatives à des bases, indiquant, pour chaque bit de la séquence mémorisée, la base, parmi au moins deux bases distinctes de codage entre des valeurs dudit paramètre et les valeurs 0 ou 1 d’un bit de la séquence aléatoire de bits, que l’un au moins des premier et deuxième dispositifs a sélectionnée aléatoirement pour effectuer le codage entre le bit et la valeur dudit paramètre d’impulsion lumineuse ; sélection, par ledit dispositif, de ceux des bits de la séquence aléatoire de bits pour lesquels le premier et le deuxième dispositifs ont sélectionné les mêmes bases ; mise en œuvre, sur le canal classique, d’une communication, entre les premier et deuxième dispositifs, d’informations indiquant des valeurs de bits de parités, lesdites valeurs de bits de parité ayant été calculées par au moins l’un desdits premier et deuxième dispositifs en fonction desdits bits sélectionnés, puis étant transmises, lors de ladite communication, à l’autre desdits premier et deuxième dispositifs qui met alors en œuvre une correction d’erreurs, en fonction desdits bits de parité transmis, sur les bits sélectionnés par l’autre desdits premier et deuxième dispositifs ; détermination de ladite clé KQKD_N, en fonction des bits sélectionnés et de la correction d’erreurs, et mémorisation de ladite clé KQKD_N, ladite clé étant partagée entre lesdits premier et un deuxième dispositifs ; ledit procédé étant caractérisé en ce que ladite communication d’informations relatives auxdites bases entre le premier et le deuxième dispositif est chiffrée ou déchiffrée par ledit dispositif considéré en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’un mécanisme de distribution quantique de clé QKD auxdits premier et deuxième dispositifs.
[0022] Dans des modes de réalisation d’un tel procédé, ladite communication d’informations indiquant des valeurs de bits de parité entre le premier et le deuxième dispositif est en outre chiffrée ou déchiffrée par ledit dispositif considéré en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre d’une itération antérieure d’un procédé de distribution quantique de clé QKD auxdits premier et deuxième dispositifs.
[0023] Dans des modes de réalisation d’un procédé suivant le premier aspect ou le deuxième aspect de l’invention, l’une au moins des dispositions suivantes est mise en œuvre :
- le chiffrement ou le déchiffrement des informations est effectué en fonction d’une clé de chiffrement ou déchiffrement symétrique déterminée par des opérations de type concaténation et permutation et/ou combinaison logique au niveau bits d’au moins une clé antérieurement déterminée par distribution quantique de clé QKD auxdits premier et deuxième dispositifs ; - lesdites informations servant à la réconciliation QKD chiffrées ou déchiffrées en fonction d’au moins la clef KQKD_N-K antérieurement déterminée sont des informations aléatoires et indépendantes.
[0024] Suivant un troisième aspect, l’invention décrit un programme d’ordinateur destiné à être stocké dans la mémoire d’un dispositif de télécommunication et comprenant en outre un microcalculateur, ledit programme d’ordinateur comprenant des instructions qui, lorsqu’elles sont exécutées sur le microcalculateur, orchestrent les étapes d’un procédé selon le premier ou le deuxième aspect de l’invention.
[0025] Suivant un quatrième aspect, l’invention décrit un dispositif de télécommunication adapté pour être relié à une première liaison de télécommunication, adapté pour être relié à un autre dispositif de télécommunication par une deuxième liaison de télécommunication, et pour mettre en œuvre avec ledit autre dispositif une télécommunication chiffrée par une clé KQKD_N, ladite première liaison étant une liaison de transmission optique et étant nommée ci-après canal quantique, ladite deuxième liaison de télécommunication étant nommée ci-après canal classique ; ledit dispositif étant adapté pour déterminer KQKD_N, en : en mettant en œuvre, sur le canal quantique, une communication d’une séquence aléatoire de bits sous la forme d’une séquence d’impulsions lumineuses en régime quantique telle que pour chaque impulsion lumineuse de la séquence d’impulsions, un paramètre physique de chaque impulsion lumineuse code la valeur d’au moins un desdits bits de la séquence aléatoire de bits ; ladite séquence de bits étant mémorisée par le dispositif ; en mettant, sur le canal classique, une communication avec l’autre dispositif, d’informations indiquant des valeurs de bits de parités, lesdites valeurs de bits de parité ayant été calculées par au moins un premier dispositif parmi ledit dispositif et ledit autre dispositif en fonction de la séquence aléatoire de bits qu’il a mémorisée, puis étant transmises, lors de ladite communication, au deuxième parmi ledit dispositif et ledit autre dispositif qui met alors en œuvre, dans la séquence de bits mémorisée par l’autre desdits premier et deuxième dispositifs, une correction d’erreurs, en fonction desdits bits de parité transmis ; en déterminant ladite clé KQKD_N, en fonction de ladite séquence aléatoire de bits, et mémorisation de ladite clé KQKD_N, ladite clé étant partagée entre ledit dispositif et ledit autre dispositif ; ledit dispositif étant caractérisé en ce que ladite communication d’information indiquant des valeurs de bits de parité entre ledit dispositif et ledit autre dispositif est chiffrée ou déchiffrée par ledit dispositif en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’un mécanisme de distribution quantique de clé QKD audit dispositif et audit autre dispositif.
[0026] Suivant un cinquième aspect, l’invention décrit un dispositif de télécommunication adapté pour être relié à une première liaison de télécommunication, adapté pour être relié à un autre dispositif de télécommunication par une deuxième liaison de télécommunication, et pour mettre en œuvre avec ledit autre dispositif une télécommunication chiffrée par une clé KQKD_N, ladite première liaison étant une liaison de transmission optique et étant nommée ci-après canal quantique, ladite deuxième liaison de télécommunication étant nommée ci-après canal classique ; ledit dispositif étant adapté pour déterminer KQKD_N, en : mettant en œuvre, sur le canal quantique, une communication d’une séquence aléatoire de bits sous la forme d’une séquence d’impulsions lumineuses en régime quantique telle que pour chaque impulsion lumineuse de la séquence d’impulsions, un paramètre physique de chaque impulsion lumineuse code la valeur d’au moins un desdits bits de la séquence aléatoire de bits ; ladite séquence de bits étant mémorisée par le dispositif ; en mettant, sur le canal classique, une communication avec l’autre dispositif, d’informations indiquant, pour chaque bit de la séquence mémorisée, la base, parmi au moins deux bases distinctes de codage entre des valeurs dudit paramètre et les valeurs 0 ou 1 d’un bit de la séquence aléatoire de bits, qu’un premier dispositif parmi ledit dispositif et ledit autre dispositif a sélectionnée aléatoirement pour effectuer le codage entre le bit et la valeur dudit paramètre d’impulsion lumineuse ; en sélectionnant ceux des bits de la séquence aléatoire de bits pour lesquels ledit dispositif et ledit autre dispositif ont sélectionné les mêmes bases ; en mettant en œuvre, sur le canal classique, une communication, entre ledit dispositif et ledit autre dispositif, d’informations indiquant des valeurs de bits de parités, lesdites valeurs de bits de parité ayant été calculées par un premier dispositif parmi ledit dispositif ou ledit autre dispositif en fonction desdits bits sélectionnés, puis étant transmises, lors de ladite communication, au deuxième dispositif parmi ledit dispositif et ledit autre dispositif qui met alors en œuvre une correction d’erreurs, en fonction desdits bits de parité transmis, sur les bits sélectionnés par le deuxième dispositif parmi ledit dispositif et ledit autre dispositif ; détermination de ladite clé KQKD_N, en fonction des bits sélectionnés, et mémorisation de ladite clé KQKD_N, ladite clé étant partagée entre ledit dispositif et ledit autre dispositif ; ledit dispositif étant caractérisé en ce que ladite communication d’informations relatives auxdites bases entre le ledit dispositif et ledit autre dispositif est chiffrée ou déchiffrée par ledit dispositif en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’un mécanisme de distribution quantique de clé QKD audit dispositif et audit autre dispositif.
[0027] Dans des modes de réalisation, un dispositif de télécommunication suivant le cinquième aspect de l’invention est adapté pour chiffre ou déchiffrer ladite communication d’informations indiquant des valeurs de bits de parité entre ledit et ledit autre dispositif en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’une distribution quantique de clé QKD audit dispositif et audit autre dispositif.
[0028] Dans des modes de réalisation, un dispositif de télécommunication suivant le quatrième ou cinquième aspect de l’invention est adapté pour effectuer le chiffrement ou le déchiffrement des informations en fonction d’une clé de chiffrement ou déchiffrement symétrique déterminée par des opérations de type concaténation et permutation et/ou combinaison logique au niveau bits d’au moins une clé antérieurement déterminée par distribution quantique de clé QKD auxdits premier et deuxième dispositifs (D_ALICE, D_BOB).
Brève description des figures :
[0029] L’invention sera mieux comprise et d’autres caractéristiques, détails et avantages apparaîtront mieux à la lecture de la description qui suit, donnée à titre non limitatif, et grâce aux figures annexées, données à titre d’exemple.
[0030] [Fig. 1] La figure 1 représente schématiquement un système de génération de clé QKD dans un mode de réalisation de l’invention ;
[0031] [Fig.2] La figure 2 représente les étapes d’un procédé de distribution de clé quantique dans un mode de réalisation de l’invention ;
[0032] [Fig. 3] La figure 3 illustre la transmission et détection d’une séquence de qubits dans un mode de réalisation de l’invention ; [0033] [Fig. 4] La figure 4 est un tableau illustrant la mise en œuvre d’un procédé dans un mode de réalisation de l’invention, au démarrage ;
[0034] [Fig. 5] La figure 5 est un tableau illustrant la mise en œuvre d’un procédé dans un mode de réalisation de l’invention, en régime établi ;
[0035] Des références identiques peuvent être utilisées dans des figures différentes lorsqu’elles désignent des éléments identiques ou comparables.
Description détaillée :
[0036] La figure 1 représente un système de génération de clé symétrique par QKD dans un mode de réalisation de l’invention, comprenant deux dispositifs de télécommunication 10, 20 reliés entre eux par un canal quantique 30 et un canal classique 40. Chaque ou l’un des dispositifs de télécommunication 10, 20 est par exemple au sol, ou embarqué dans un satellite, un aéronef etc.
[0037] Le canal quantique 30 est un canal de télécommunication qui permet le transit d’une information (binaire en DV-QKD ou continue en CV-QKD) portée par une propriété physique d’un objet quantique (ex : polarisation d’un photon) transmis sur ce canal ; ici le canal quantique 30 est adapté pour transmettre des impulsions lumineuses (générées par une source de photons, la transmission étant réalisée sur une liaison optique de type fibre optique ou simplement par libre propagation dans l'air libre, l’atmosphère, l’Espace...).
[0038] Le canal classique 40 est un canal de communication par exemple standard (ex : liaison radiofréquence, réseau internet, fibre optique...), supposé accessible en clair par tous (dont un tiers malveillant Eve), pour permettre aux dispositifs de télécommunication 10 et 20 de converger vers la définition d’une clé secrète sur la base de qubits transmis, comme décrit ci-après pour le protocole BB84.
[0039] Le dispositif de télécommunication 10, nommé ci-après D_ALICE, d’utilisateur Alice, comporte un bloc de contrôle 11 , un bloc d’émission quantique 12, un bloc d’émission/réception radiofréquence (RF) 13 et une mémoire 14. Le bloc de contrôle 11 comporte un bloc de cryptographie 110 et une mémoire 111 associée au bloc de cryptographie 110 et stockant des clés secrètes précédemment générées par procédé QKD entre D_ALICE 10 et D_BOB 20.
[0040] Le dispositif de télécommunication 20, nommé ci-après D_BOB, d’utilisateur Bob, comporte un bloc de contrôle 21, un bloc de réception quantique 22, un bloc d’émission/réception radiofréquence (RF) 23 et une mémoire 24. Le bloc de contrôle 21 comporte un bloc de cryptographie 210 et une mémoire 211 associée au bloc de cryptographie 210 et stockant des clés secrètes précédemment générées par QKD entre D_ALICE 10 et D_BOB 20.
[0041] Les blocs d’émission/réception radiofréquence (RF) 13 et 23 sont adaptés pour communiquer ensemble via le canal classique 40.
[0042] Le bloc de contrôle 11, respectivement 21 , comporte par exemple une mémoire et un microprocesseur (non représentés). Dans un mode de réalisation, la mémoire du bloc de contrôle 11 , respectivement 21, comporte des instructions logicielles, qui lorsqu’elles sont exécutées sur le microprocesseur du bloc de contrôle 11 , respectivement 21 , mettent en œuvre les étapes incombant au bloc de contrôle 11 , respectivement 21, et décrites plus loin, notamment en référence à la figure 2.
[0043] Le bloc d’émission/réception radiofréquence (RF) 13, respectivement 23, comporte typiquement un modem et une antenne d’émission et réception radiofréquence (non représentés).
[0044] Le bloc d’émission quantique 12 comporte un bloc de génération, nommé GEN 121, et un bloc de polarisation, nommé Pol 122.
[0045] Le bloc GEN 121 est adapté pour générer aléatoirement une séquence de bits à transmettre.
[0046] Le bloc Pol 122 est adapté pour choisir aléatoirement, pour chaque bit à transmettre, une base parmi un ensemble de bases comportant plusieurs bases de polarisation de références (ces bases sont encore appelés modes ou quadratures) et pour transmettre une impulsion lumineuse avec une polarisation correspondant, à la valeur du bit à transmettre dans la base choisie aléatoirement pour ce bit.
[0047] Le bloc Pol 122 comporte par exemple un rotateur de polarisation, apte à faire pivoter la polarisation du signal lumineux émis, sélectivement de 0° (si choix de base H/V par le bloc Pol 132) ou de 45° (si choix de base D/A), la sélection entre les angles 0° et 45° étant réalisée de manière aléatoire. Par exemple, le rotateur de polarisation est réalisé avec une lame à retardement demi-onde dont la rotation est assurée par un actionneur. Un autre mode de réalisation utilise un modulateur électro-optique de polarisation, adapté pour des rythmes élevés de changement de polarisation.
[0048] L’ensemble des bases, dans le cas présent, comportent deux bases par exemple : une première base Horizontale/Verticale (H/V) dans laquelle "1" est codé par un photon d'axe de polarisation 0° et "0" par un photon de polarisation 90° ; une deuxième base Diagonale/Antidiagonale (D/A) dans laquelle "0" est codé par un photon d'axe de polarisation 45° et "1" par un photon de polarisation 135°. [0049] Le bloc de réception quantique 22 comporte un bloc de polarisation, nommé Pol 132, et un bloc de mesure 131.
[0050] Avant l'arrivée prévue d'un photon, le bloc Pol 132 est adapté pour réaliser une rotation de polarisation afin de choisir aléatoirement une base parmi les deux bases H/V et D/A. Le bloc Pol 132 comporte un rotateur de polarisation, apte à faire pivoter la polarisation du signal lumineux émis, sélectivement de 0° (si choix de base H/V par le bloc Pol 132) ou de 45° (si choix de base D/A). Par exemple, le rotateur de polarisation est réalisé avec une lame à retardement demi-onde dont la rotation est assurée par un actionneur.
[0051] Le bloc de mesure 131 est adapté pour mesurer deux composantes de polarisation lumineuses en quadrature à la sortie du rotateur de polarisation Pol 132, soit sur la base H/V si la rotation de polarisation est de 0°, ou sur la base D/A si la rotation de polarisation est de 45°. Par exemple, le bloc de mesure est réalisé avec un séparateur de faisceau polarisant (PBS) générant une quadrature, et deux détecteurs de photons (SPD) pour les deux composantes de la quadrature.
[0052] On rappelle ici qu’un photon peut être polarisé selon un axe quelconque. Un photon polarisé selon un axe d'angle 'a' passant dans un filtre polarisant selon un axe d’angle 'b' possède une probabilité égale à cos2(b-a) de passer le filtre polarisant, selon la loi de Malus.
[0053] D’après les propriétés quantiques utilisées par la cryptographie quantique : quand la probabilité de passer le filtre n'est ni 0 ni 1 , le passage d'un photon individuel à travers le filtre est fondamentalement imprévisible et indéterministe ; on ne peut connaître l'axe de polarisation qu'en employant un filtre polarisant (ou plus généralement, en faisant une mesure dont le résultat est OUI ou NON) et avec un grand nombre de mesure pour estimer la probabilité de passage; il n'existe pas de mesure directe sur un photon individuel, donnant un angle par exemple, de l'axe de polarisation du photon.
[0054] Les étapes d’un procédé QKD selon l’invention sont maintenant décrites en référence à la figure 2.
[0055] Le contexte de départ est le suivant : Alice souhaite échanger un Nième message, nommé M_N, avec Bob. Pour cela, une clé secrète, KQKD_N, doit être générée par QKD, de manière partagée entre D_ALICE 10 et D_BOB 20, pour permettre à l’un de chiffrer, et à l’autre de déchiffrer ce Nième message qui pourra être transmis avec une sécurité maximale. De son côté, Eve tente d’intercepter les communications pour déterminer la clé. Conformément aux principes de Kerckhoff (hypothèse du pire cas), on suppose par exemple qu’Eve a accès aux canaux de communication utilisés par D_ALICE 10 et D_BOB 20, qu’elle connaît parfaitement le protocole utilisé et dispose de moyens de calculs illimités. La sécurité des communications cryptées entre D_ALICE 10 et D_BOB 20est alors assurée uniquement par la clé secrète que le procédé décrit ci-après a pour résultat de générer et de distribuer.
[0056] PHASE QUANTIQUE
[0057] Généralement, seule cette phase utilise le canal quantique, la phase de posttraitement ne l’utilisant pas.
[0058] Etape 101
[0059] Dans cette étape 101 :
- en réponse à une commande correspondante du bloc de contrôle 11 au bloc GEN 121 , le bloc GEN 121 génère aléatoirement une séquence de 2T bits prenant donc comme valeur 0 ou 1 ; T est un nombre entier typiquement supérieur à 10000;
- suite à la réception d’une commande respective du bloc de contrôle 11 au bloc Pol 122 , le bloc Pol 122 choisit aléatoirement, pour chaque bit généré, une base de polarisation parmi les deux bases de polarisation et émet sur le canal quantique 30, photon par photon, un photon dont la polarisation est fonction de la valeur du bit généré et de la base de polarisation choisie pour ce qubit ; chaque photon est émis à intervalle régulier. Les qubits sont ainsi transmis.
[0060] La séquence de choix de bases et de bits correspondant à la séquence de qubits générée est alors stockée par le bloc de contrôle 11 dans la mémoire 14 et la valeur de chaque bit y est stockée, associée à la base de polarisation choisie pour le bit par le bloc Pol 122 et au rang du bit dans la séquence et.
[0061] Etape 102
[0062] Sous la commande du bloc de contrôle 21 , avant l'arrivée prévue de chaque photon, le bloc Pol 132 choisit aléatoirement une base (en modifiant l’orientation d’un rotateur ou en modifiant la commande d’un modulateur de polarisation). Au moment prévu de l'arrivée d’un photon, sous la commande du bloc de contrôle 21 , le bloc de mesure 131 effectue une mesure de ce qui sort du filtre polarisant sur les composantes sélectionnées. Le bloc de contrôle 21 détermine la valeur du bit correspondant au photon détecté en fonction de la mesure effectuée et de la base choisie pour la mesure (correspondant à la rotation de polarisation réalisée par le bloc Pol 132) et stocke dans la mémoire 24, pour chaque photon détecté, la valeur du bit déterminée, en association avec la base choisie et le rang de réception du photon (et donc du qubit).
[0063] La figure 3 représente dans un tableau, le numéro de rang des 8 premiers bits d’une séquence générée à l’étape 101 (première ligne du tableau) et la valeur générée aléatoirement pour ces bits (deuxième ligne). Ces bits prennent ainsi les valeurs suivantes : 0 pour le bit de rang 1 , 4, 6 et 7 et 1 pour le bit de rang 2, 3, 5 et 8.
[0064] La troisième ligne indique la base choisie pour l’émission de chaque bit par le dispositif D_ALICE 10 : le signe « + » indique que la base H/V a été choisie tandis que le signe « x » indique que la base D/A a été choisie. Ainsi pour les bits de rang 1, 2, 4 et 8, la base HA/ a été choisie, et la base D/A a été choisie pour les bits de rang 3, 5 à 7.
[0065] La quatrième ligne indique la polarisation du photon émis : verticale pour le bit de rang 1 , 4, horizontale pour le bit de rang 2 et 8, diagonale pour le bit de rang 6 et 7, antidiagonale pour les bits de rang 3 et 5.
[0066] La cinquième ligne du tableau indique la base choisie par le dispositif D_BOB 20, en réception : H/V pour le photon reçu au rang 1, 5, 7 et 8 et D/A pour le photon de rang 2, 3, 4 et 6.
[0067] Enfin la sixième ligne illustre le résultat de la mesure par le dispositif D_BOB 20 : pour les photons de rang 1, 3, 6, 8 la base de mesure correspond à la base d’émission et la polarisation du photon détecté correspond en général à la polarisation à l’émission du photon ; pour les photons de rang 2, 4, 5, 7 la base de mesure est différente de la base d’émission et la polarisation du photon détecté est totalement aléatoire. La valeur du qubit déterminée stockée dans la mémoire 24 est 0 pour le photon de rang 1 et 6 et est 1 pour le photon de rang 3 et 8.
[0068] PHASE DE POST-TRAITEMENT
[0069] Etape 103
[0070] Dans une étape 103 :
- dans le contrôleur 21 du dispositif D_BOB 20, la séquence binaire {bases}BOb, qui est stockée dans la mémoire 24, définissant successivement la base de polarisation choisie pour détecter chaque photon de la séquence reçue à l’étape 102 est fournie en entrée du bloc de cryptographie 210 ; par exemple, si l’ensemble de bases comporte seulement les deux bases H/V et D/A, dans la séquence binaire indiquant le choix des bases, un « 0 » (respectivement un « 1 ») au rang n de cette séquence {bases}BOb indiquera que la base H/V (respectivement D/A) a été utilisée pour détecter le qubit de rang n à l’étape considérée (étape 102) ;
- le bloc de cryptographie 210 crypte à l’aide d’au moins une des clés secrètes stockées dans la mémoire 211 et précédemment générées par QKD par D_ALICE 10 et D_BOB 20, cette séquence binaire indiquant les bases choisies ;
- le contrôleur 21 du dispositif D_BOB 20 transmet alors au dispositif D_ALICE 10, via le bloc d’émission/réception RF 23, sur le canal classique 40, la séquence binaire ainsi cryptée indiquant la base de polarisation choisie pour détecter chaque photon de la séquence reçue à l’étape 102 ;
- le contrôleur 11 du dispositif D_ALICE 10 reçoit, via le bloc d’émission/réception RF 13, la séquence binaire {bases}BOb cryptée, qui est alors traitée par le bloc de cryptographie 110 ; ce dernier la décrypte à l’aide de celle(s) des clés secrètes stockées dans la mémoire 111 qui a (ont) été uti lisée(s) pour le cryptage de cette séquence.
[0071] Etape 104 (sifting)
[0072] Le contrôleur 11 compare ensuite pour chaque rang dans la séquence de qubits, la base de polarisation choisie reçue sur le canal classique 40 et la base de polarisation associée à ce rang qui est stockée, dans la mémoire 14 du dispositif 10 ; il ne retient sélectivement (étape de Sifting) que les qubits qui ont été générés (D_ALICE 10) et mesurés (D_BOB 20) sur une même base. Statistiquement seuls 50% des bits sont retenus.
[0073] La liste des index des seuls qubits retenus est alors fournie en entrée du bloc de cryptographie 110 qui la crypte, à l’aide d’au moins une des clés secrètes stockées dans la mémoire 111 et précédemment générées par QKD par D_ALICE 10 et D_BOB 20. Le contrôleur 11 du dispositif D_ALICE 10 transmet alors au dispositif D_BOB 20, via le bloc d’émission/réception RF 13, sur le canal classique 40, la liste des qubits retenus ainsi cryptée.
[0074] le contrôleur 21 du dispositif D_BOB 20 reçoit, via le bloc d’émission/réception RF 23, la liste cryptée d’index retenus et la fournit au bloc de cryptographie 210 ; ce dernier la décrypte à l’aide de celle(s) des clés secrètes stockées dans la mémoire 211 qui a (ont) été utilisée(s) pour le cryptage de cette séquence.
[0075] Le contrôleur 21 du dispositif D_BOB 20 ne retient sélectivement à son tour, parmi l’ensemble des qubits reçus à l’étape 102, que les qubits dont l’index (i.e. le rang dans la séquence émise par D_ALICE/reçue par D_BOB ) est indiqué dans la liste reçue, qui sont les qubits générés (D_ALICE 10) et mesurés (D_BOB 20) sur une même base. [0076] Les qubits ainsi retenus par D_ALICE 10, D_BOB 20, forment leur « clé siftée » respective, en anglais « sifted key ».
[0077] Tous ces qubits retenus ont été transmis à D_BOB 20, avec une probabilité de 1-E, c’est-à-dire aux erreurs près induites par les bruits, les défauts de réglage / synchronisation et les imperfections de réalisation. Le sifting a permis d’écarter les qubits dont la détection a été réalisée sur une autre base que la base de génération, la transmission de ces qubits étant non fiables (à 50% : donc aléatoires).
[0078] Dans l’exemple en figure 3, les bits de rang 1, 3, 6 et 8 sont ainsi les seuls retenus par D_ALICE 10 et D_BOB 20, parmi les huit premiers bits de la séquence, pour la suite des étapes (cf. ligne « clé siftée »)
[0079] (On notera que dans des modes de réalisation alternatifs des étapes 103 et 104, les rôles de D_ALICE 10 et D_BOB 11 sont intervertis ou encore que chacun de D_ALICE 10 et D_BOB 11 transmet à l’autre ses choix de base et compare ensuite pour chaque rang dans la séquence de qubits, la base de polarisation choisie reçue sur le canal classique 40 et la base de polarisation associée à ce rang qui est stockée, dans la mémoire du dispositif 10, respectivement 20 ; il ne retient sélectivement (étape de Sifting) que les qubits qui ont été générés (D_ALICE 10) et mesurés (D_BOB 20) sur une même base.)
[0080] Etape 105
[0081] Les blocs de contrôle 11 et 21 évaluent ensuite le taux d'erreurs de transmission des qubits (QBER pour ‘Quantum Bit Error Rate) affectant leurs ensembles respectifs de bits retenus à l’étape 104 de sifting, afin de détecter l’interception éventuelle par Eve, d’évaluer la quantité d’information interceptée par Eve sur le canal quantique lors de la transmission à l’étape 101 et pour sélectionner éventuellement, en fonction du taux d’erreur évalué, un code correcteur d’erreur (choix du code et du rendement) ou pour paramétrer un protocole itératif de correction d’erreur par requête/réponse pour la suite du traitement. Pour ce faire, un certain nombre de qubits sont "sacrifiés" puisqu'ils sont communiqués sur le canal classique 40 : ils sont eux aussi écartés des bits retenus par les blocs de contrôle 11 et 21 pour la suite du post-traitement. Après élimination des qubits utilisés pour estimer le QBER, la Sifted Key est constituée de t qubits.
[0082] En fonction de la comparaison entre cette évaluation du taux d’erreurs et un seuil donné (déterminant si un tiers a écouté le canal quantique pendant la transmission des qubits ou si une quantité inacceptable d’information a été interceptée), il est mis fin à la présente opération de distribution (qui pourra alors être ré-initiée à partir de l’étape 101) ; dans le cas contraire, l’étape 106 est mise en œuvre. [0083] Du fait des limitations des sources de photons et des détecteurs de photons, des imperfections de réalisation, de réglages ou de synchronisation, les bits de la Sifted Key retenus à ce stade par D_ALICE et D_BOB ne sont pas généralement parfaitement identiques. L’ensemble d’étapes 106-108 ci-dessous de la phase de réconciliation vise à détecter/corriger les erreurs résiduelles des qubits de la clé « Sifted Key » déterminée respectivement par D_ALICE et D_BOB, en utilisant un code correcteur d’erreur de type FEC (Forward Error Correction code), ou bien un protocole interactif et itératif de requête/réponse entre Alice et Bob, pour déterminer et transmettre des bits de parité associés à des sous-groupes (i.e des paquets) des qubits de la clé« Sifted Key », afin de détecter/corriger les erreurs résiduelles entre la clé d’Alice et celle de Bob et afin qu’ils disposent ensuite d’une clé rigoureusement identique.
[0084] Des informations redondantes de type parité sont ensuite générées soit par D_ALICE 10, soit par D_BOB 20, soit par les deux, puis émises par l’un ou l’autre.
[0085] Comme décrit ci-après, ces parités sont transmises via le canal public à l’autre partie, afin que cette dernière puisse identifier les erreurs résiduelles sur une clé siftée relativement à l’autre (D_ALICE/D_BOB), conformément au protocole de détection et correction d’erreur retenu, en fonction des parités reçues et de sa propre clé siftée.
[0086] Etape 106
[0087] Dans un mode de réalisation, dans une étape 106, chaque bloc de contrôle 11, 21, en parallèle l’un de l’autre, calcule des bits de parité à partir de sous-groupes des t bits de la Sifted Key après estimation du taux d’erreur QBER à l’étape 105, en fonction du protocole de détection et correction d’erreur retenu (ici protocole itératif de type Cascade ou Winnow).
[0088] Les valeurs des bits de parité calculées par chaque bloc de contrôle 11, respectivement 21 sont stockées en mémoire 14, 24.
[0089] Etape 107
[0090] Un des blocs de cryptographie 110, respectivement 210 crypte ces valeurs de parité, à l’aide d’au moins une des clés secrètes stockées dans la mémoire 111, respectivement 211 et précédemment générées par QKD par D_ALICE 10 et D_BOB 20.
[0091] Pour faire connaître à l’autre dispositif les valeurs des bits de parité calculés, un des blocs de contrôle 21 , respectivement 11 , transmet les valeurs de ces bits de parité ainsi cryptées sur le canal classique 40 via les blocs Em/Rec RF 23, respectivement 13. Un des blocs de contrôle 11 , respectivement 21 , reçoit sur le canal classique les valeurs de ces bits de parité ainsi cryptées et les fournit au bloc de cryptographie 110, respectivement 210, qui les décrypte à l’aide de celle(s) des clés secrètes stockées dans la mémoire 111 respectivement 211 qui a (ont) été utilisée(s) pour le cryptage de ces valeurs.
[0092] Etape 108
[0093] Un des blocs de contrôle 11, respectivement 21, compare alors la valeur reçue de chaque bit de parité, qui a été calculée pour un sous-groupe de bits donné, avec la valeur que lui-même a calculée pour ce même sous-groupe de bits de sa propre clé siftée. Avec un protocole itératif de type Cascade ou Winnow, la comparaison de parité permet soit de détecter/corriger un bit erroné, soit d’orienter le processus de recherche d’erreur via une nouvelle requête de calcul de parité sur un autre sous-groupe de bits. Les erreurs résiduelles entre la Sifted Key détenue par D_ALICE 10 et D_BOB 20 peuvent ainsi être détectées et corrigées en fonction de cette comparaison effectuée pour chaque bit de parité. Les bits détectés erronés peuvent être soit corrigés, soit rejetés. Ce processus permet d’obtenir, dans D_ALICE 10 et D_BOB 20, une clé secrète idéalement rigoureusement identique, partagée entre eux, de taille v.
[0094] Un protocole itératif de type Cascade ou Winnow, implique un nombre variable de requêtes/réponses entre D_ALICE 10 et D_BOB 20, selon le nombre d’erreurs résiduelles ; un code correcteur d’erreurs de type FEC (Forward Error Correction code) implique un seul message envoyé par un seul des dispositifs 10, 20 à l’autre des dispositifs 20, 10 pour détecter/corriger les erreurs résiduelles. Les échanges ont lieu sur le canal public 40.
[0095] Les étapes 106, 107, 108 ci-dessus décrivent à titre d’exemple le cas d’un protocole itératif de requête/réponse de type Cascade ou Winnow (calcul des bits de parité dans les dispositifs 10, 20 transmission par un dispositif à l’autre, comparaison dans un dispositif).
[0096] Dans le cas de l’utilisation d’un protocole de type code FEC, par exemple LDPC, suivant les modes de réalisation :
- le bloc de contrôle D_ALICE 11 calcule par exemple les bits de parités à partir des bits de la sifted clé d’Alice (après sifting, étape 104, et après estimation du taux d’erreur QBER, étape 105) ; ces parités sont transmises chiffrées au bloc de contrôle 21 de D_BOB 20, qui les déchiffre, puis les décode avec sa version de sifted clé, pour identifier les erreurs sur sa clé (Bob) ; puis D_BOB 20 corrige ses erreurs; et/ou - le bloc de contrôle de D_BOB 21 calcule par exemple les bits de parités à partir des bits de la sifted clé de Bob ; ces parités sont transmises chiffrée au bloc de contrôle 11 de D_ALICE 10, qui les déchiffre, puis les décode avec sa version de sifted clé, pour identifier les erreurs sur sa clé (Alice) ; puis D_ALICE corrige ses erreurs.
[0097] Quel que soit le protocole de détection et correction d’erreur retenu, le principe reste le même : transmettre à l’autre dispositif sur le canal public une information chiffrée pour accéder aux valeurs de parité.
[0098] Etape 109
[0099] Une étape d’amplification du secret, optionnelle et qui peut en tout cas être allégée par rapport à l’art antérieur, met en œuvre des fonctions de hachage pour combiner les bits de la clé obtenue à l’issue de l’étape 108 et ainsi réduire l’information d’Eve sur la clé finale, au prix d’une réduction de la taille de la clé. Les fonctions de hachage sont très difficilement inversibles, et peuvent servir pour générer des nombre pseudo-aléatoires. Elles font souvent appel à l’arithmétique modulaire.
[0100] Exemple de fonction de hachage :
[0101] A l’issue de la mise en œuvre du procédé selon l’invention, D_ALICE 10 et D_BOB 20disposent d’une clé secrète partagée, KQKD_N, qu’ils utiliseront ensuite chacun comme clé de chiffrement symétrique pour l’un coder et l’autre décoder le message M_N échangé entre eux sur le canal public ou un autre canal. Chaque bloc de contrôle 11, respectivement 21, stocke la clé QKD ainsi nouvellement générée, KQKD_N, dans la mémoire 111 , 211, pour une durée limitée.
[0102] La taille de KQKD_N est égale à v (i.e. elle comporte v bits, avec v < t, v <T).
[0103] Pour améliorer la confidentialité de la QKD relativement à la transmission des parités, des bases utilisées et éventuellement de la sélection des qubits retenus, on utilise donc de la QKD selon l’invention.
[0104] La sécurité du chiffrement par clé secrète (Vernam) repose sur l’utilisation d’une clé aléatoire secrète de même taille au moins que le message à chiffrer, et l’obligation de ne pas ré-utiliser la clé. [0105] Mais une clé peut être ré-utilisée pour chiffrer tout nouveau message aléatoire, sans compromettre la sécurité des transmissions précédentes avec la même clé. Il n’est pas commun de crypter des informations parfaitement aléatoires (car dénuées de sens).
[0106] Ceci est mis à profit selon l’invention pour le traitement de réconciliation en QKD, pour crypter les informations sur le choix des bases, sur les qubits sélectionnés et sur les parités.
[0107] La nature aléatoire d’une séquence est associée à des caractéristiques statistiques et peut être estimée avec un ensemble de tests statistiques (AIS 31, NIST SP 800-22...). En pratique, la moyenne d’une séquence binaire doit être proche de 0.5, la fonction d’autocorrélation doit être exempte de pics, l’entropie doit être suffisante, etc...
[0108] Le choix des bases utilisées à l’émission et à la réception sont définis par deux séquences binaires {bases}A|ice et {bases}BOb indépendantes (non corrélées) et de nature aléatoire : D_ALICE 10 et D_BOB 20 peuvent donc en toute sécurité crypter cette information à partir d’au moins une clé secrète antérieure obtenue par QKD sans compromettre la sécurité des transmissions antérieures avec cette même clé. Il en est de même lorsqu’une partie (D_BOB) diffuse ses choix de bases puis l’autre partie (D_ALICE) diffuse la sélection des qubits retenus : ces séquences sont aléatoires et indépendantes, D_ALICE 10 et D_BOB 20 peuvent donc en toute sécurité crypter ces informations à partir d’au moins une clé secrète antérieure obtenue par QKD.
[0109] L’information sur le choix des bases de D_ALICE (ou de D_BOB) ou sur la sélection des qubits retenus d’une part, et l’information sur les parités d’autre part sont aléatoires et indépendantes. Leur chiffrement à partir d’au moins une même clé secrète ne compromet donc pas la sécurité des transmissions antérieures avec cette même clé.
[0110] Par exemple, la clé secrète KQKD_ N-I servant à crypter le (N-1)ième message, nommé , M_N-1, échangé entre D_ALICE 10 et D_BOB 20, peut être réutilisée pour crypter l’information sur le choix des bases d’Alice, ainsi que les bits de parité, lors de la construction de la clé KQKD_N- La clé KQKD_ N-2 servant à crypter le (N-2)ième message, M_N-2, peut être réutilisée pour crypter l’information sur le choix des bases de Bob pour construire la clé KQKD_ N- - -
[0111] La séquence des bases utilisées par D_ALICE, {bases}A|ice est cryptée par D_ALICE 10 de manière différente et indépendante, pour chaque bit, du cryptage de la séquence {bases}BOb par D_BOB 20 : ainsi Eve ne peut savoir quels qubits seront écartés ou retenus lors du sifting.
[0112] En procédant ainsi, Eve ne peut savoir : quels (index) qubits seront écartés/re tenus lors du sifting le choix des bases pour les qubits retenus les valeurs des parités.
[0113] Eve dispose uniquement de la séquence brute des qubits qu’elle a observés aléatoirement (selon le choix des bases), dont 75% du contenu est statistiquement correct, et 50% sera écarté lors du sifting. Elle ne peut réaliser le sifting, ne sachant quels qubits sont retenus. Aucune information sur les parités ne lui permet de restreindre l’espace de recherche des clés candidates. Autre exemple dans le cas de diffusion asymétrique de l’information sur les choix de bases : la clé secrète KQKD_ N-I servant à crypter le (N-1)ième message, nommé , M_N-1, échangé entre D_ALICE 10 et D_BOB 20, peut être réutilisée pour crypter l’information sur le choix des bases par D_BOB, puis pour crypter les bits de parité, lors de la construction de la clé KQKD_N- La clé KQKD_ N-2 servant à crypter le (N-2)ième message, M_N-2, peut être réutilisée par D_ALICE pour crypter l’information sur la sélection des qubits retenus pour construire la clé KQKD_ N- - -
[0114] Taille des informations (bases choisies, bits de parité) à crypter, utilisation des clés secrètes
[0115] Les 2 séquences de qubits, respectivement générée (étape 101, celle de D_ALICE) et reçue (étape 102, celle de D_BOB), i.e considérées avant sifting, ont une taille 2T. Chacune des deux séquences binaires définissant les choix des bases utilisées, {bases}AiiCe et {bases}BOb ont la même taille. Cette taille est égale à 2T quand seulement deux bases figurent dans l’ensemble des bases. La taille est supérieure à 2T quand plus d’un bit est nécessaire pour identifier la base choisie (i.e. dans les cas où D_ALICE 10 et D_BOB 20 choisissent leur base dans un ensemble de bases comportant un nombre de bases strictement supérieur à deux).
[0116] Les 2 séquences après sifting ont une taille t variable proche de T, le sifting écartant en moyenne 50% des qubits émis par D_ALICE. Les 2 séquences après estimation du taux d’erreur QBER (étape 105) ont une taille u inférieure à t.
[0117] La séquence des parités a une taille éventuellement variable, qui par exemple peut être considérée inférieure à 2T, l’invention convenant aussi pour des séquences à crypter de taille supérieure à 2T.
[0118] Finalement, après amplification du secret (étape 109), chaque clé secrète à une taille v strictement inférieure à u, à t et à T. [0119] Le cryptage par clé symétrique de ces différentes séquences (choix de bases, sélection des qubits retenus, bits de parités) nécessite donc des clés de tailles 2T. On peut néanmoins utiliser des clés secrètes de taille inférieure à T.
[0120] Une approche classique consiste à utiliser un algorithme de cryptage utilisant une clé de taille indépendante de celle du message, qui est conditionnée à la disponibilité/distribution de clés pour D_ALICE et D_BOB.
[0121] Mais pour une meilleure protection, une autre solution consiste à utiliser le chiffre One Time Pad de Vernam, à réutiliser des clés secrètes obtenues par QKD notamment en les combinant par des opérations de concaténation, de permutation et/ou de combinaison logique (opérateur XOR ou exclusif) au niveau des bits, pour former des clés de plus grandes tailles pour crypter les informations sur les choix des bases d’Alice et/ou de Bob, sur la sélection des qubits retenus ainsi que sur les parités.
[0122] Chiffrer différemment et indépendamment le choix des bases de D_BOB et D_ALICE pour chaque qubit, a pour effet que Eve ne peut déterminer quels qubits sont retenus/rejetés lors du sifting. Des permutations entre ou au sein des clés secrètes utilisées permettent de répondre à ce besoin. Les 2 bits de clés de chiffrement symétriques utilisés pour crypter le choix de base relatif à chaque qubit par D_ALICE et par D_BOB doivent ainsi être indépendants (non corrélés).
[0123] L’information de parité étant indépendante du choix des bases (aléatoire) et de la sélection des qubits retenus et étant relative à une information aléatoire (séquence aléatoire pour former une clé), une même clé secrète de chiffrement peut être utilisée pour crypter ces informations (choix de base d’une seule partie, ie soit D_ALICE ou soit D_BOB, sélection des qubits retenus et informations de parités), sans compromettre la sécurité de cette clé.
[0124] Ceci vaut pour le régime transitoire, après avoir généré au moins une clé secrète par QKD, et pour le régime établi, qui correspond à la génération d’au moins k clés secrètes (i.e k=3 pour chiffrer des séquences binaires de taille 2T) par QKD.
[0125] Initialisation du procédé
[0126] Lors du démarrage d’une session QKD entre D_ALICE 10 et D_BOB 20, ils ne stockent alors pas toujours de clés secrètes partagées antérieurement générées par QKD dans leur mémoire respective 111 , 211.
[0127] Pour amorcer le mécanisme selon l’invention, plusieurs options sont utilisables, par exemples celles décrites ci-après. [0128] Option A (on attend d’avoir le nombre requis de clés antérieures pour crypter sur le canal classique)
[0129] Il suffit de générer par QKD, selon les méthodes classiques, le nombre requis de clés, par exemple trois (ou davantage) clés, par exemple KQKD_I, KQKD_2, KQKD_3, sans chiffrer les informations de choix des bases, de sélection des qubits retenus, et de parités transmises sur le canal classique. Chaque clé KQKD_I, respectivement KQKD_2, KQKD_3 permet de chiffrer un message utile M_1 , respectivement M_2, M_3 (a priori porteur de sens, i.e. pas de séquence aléatoire). Ensuite pendant la phase d’élaboration de la clé QKD KQKD_n, par exemple pour n>3 quand, conformément au procédé de l’invention, au moins trois clefs générées antérieurement, par exemple KQKD_n-i, KQKD_n-2, KQKD_n-3 sont utilisées pour générer, par combinaison (permutation/concaténation/combinaison logique au niveau des bits) les clefs de chiffrement des séquences de choix de bases, de sélection des qubits retenus, et de parité des étapes 103, 104, 107.
[0130] Option B (on produit le nombre requis de clés antérieures avant de commencer à chiffrer des messages utiles et sur le canal classique)
[0131] Idem option A, mais sans utiliser les clés pour chiffrer de messages utile (porteurs de sens), pour une plus forte sécurité, tant que les transmissions des séquences de bases et de parité ne sont pas chiffrées conformément à l’invention.
[0132] Option AB, intermédiaire (on réutilise au moins une clé antérieure pour former les clés de taille 2T pour crypter le canal classique)
[0133] Selon cette option intermédiaire, en utilisant une des options précédentes pour générer une première clé secrète, on peut la réutiliser (clé secrète) plusieurs fois pour crypter l’information sur le choix des bases, la sélection des qubits retenus et les parités, jusqu’à la génération d’un nombre suffisant de clés secrètes pour mettre en œuvre la méthode générale décrite en référence à la figure 2 (la méthode peut toutefois être mise en œuvre à partir d’une clé secrète obtenue par QKD ; le nb requis/optimal de clés pour chiffrer la side information correspond à un niveau de confidentialité supplémentaire). Lorsque la sélection des qubits retenus n’est pas communiquée, il est alors souhaitable d’effectuer au moins une permutation de la clé secrète pour crypter de manière différente et indépendante chaque bit du choix des bases pour D_ALICE 10 et D_BOB 20, afin qu’Eve ne puisse déterminer quels qubits sont retenus / rejetés. Dans une dernière étape intermédiaire, différentes clés secrètes peuvent être utilisées pour crypter les informations sur le choix des bases, la sélection des qubits retenus et les parités, dont une qui est réutilisée lors de ce cryptage. [0134] Ainsi, l’accessibilité aux informations sur le choix des bases, la sélection des qubits retenus et les parités évolue rapidement avec la production de nouvelles clés, jusqu’à devenir inaccessible pour Eve.
[0135] Comme décrit, D_ALICE 10 et D_BOB 20 tiennent un registre, dans les mémoires 111 , 211 , des dernières clés secrètes utilisées lors de la session. Cela leur permet de générer de manière secrète (en cryptant des informations sensibles) de nouvelles clés secrètes.
[0136] Le tableau de la figure 4 illustre le régime transitoire au démarrage, dans un mode de réalisation de l’invention, avec l’utilisation de clé(s) secrète(s) QKD antérieure(s) pour crypter les informations de choix des bases utilisées par D_ALICE 10 et D_BOB 20 et les informations de parité.
[0137] Le tableau de la figure 5 illustre, dans un mode de réalisation de l’invention, en régime établi, cette fois l’utilisation de clés secrètes antérieures pour former des clés secrètes de taille 2T pour crypter les informations sur le choix des bases utilisées par D_ALICE 10 et D_BOB 20, ainsi que pour crypter les informations de parité.
[0138] Chaque ligne dans ces tableaux correspond à l’étape de construction d’une clé QKD, de taille u inférieure à T et indiquée dans la colonne de gauche. La case en deuxième colonne indique comment, pendant cette construction, la séquence {bases}A|ice de taille 2T est cryptée (ou non) et la case en troisième colonne indique comment, pendant cette construction, la séquence {bases}BOb de taille 2T est cryptée (ou non). La case en quatrième colonne indique comment, pendant cette construction, est cryptée (ou non) la séquence des bits de parités de taille inférieure à 2T (dans le protocole de détection d’erreur considéré ici, seule D_ALICE 10 transmet les bits de parité à D_BOB 20, ce dernier ne les envoyant pas). Enfin, dans la colonne la plus à droite du tableau, il est indiqué le message utile qui sera transmis cryptée par la clé une fois construite: le message MJ est ainsi crypté par la clé KQKD_ i, i = 1 , 2, 3, ... N-1 , N ... La taille du message MJ est inférieure ou égale à la taille de KQKD_ r
[0139] En référence à la figure 4 :
[0140] Pendant l’élaboration par protocole QKD de la première clé de session, KQKD_ I, les séquences de bases choisies et de valeurs de parité sont transmises en clair. A l’issue de cette construction, la clé KQKD_ I est utilisée pour chiffrer un premier message utile, M_1 , échangé entre D_ALICE 10 et D_BOB 20. [0141] La seconde clé KQKD_2 est générée en cryptant les transmissions sur le canal classique, en utilisant des séquences dérivées de la première clé secrète (concaténation, combinaison logique, permutations des bits). Par exemple, pendant l’élaboration par protocole QKD de la deuxième clé de session, KQKD_2 :
- la séquence de bases, {bases}AiiCe est cryptée en fonction de la clé KQKD_ I ; par exemple, une fonction <p’ de concaténation est appliquée à la clé KQKD_i Pour générer une clé de chiffrement de la séquence de choix des bases de taille supérieure ou égale à 2T ; par exemple elle effectue la concaténation de 3 fois la clé KQKD_ I : KQKD_ I I KQKD_ I I KQKD_ I ;
- la séquence de bases, {bases}BOb est cryptée en fonction de la clé KQKD_ I, mais de façon distincte et indépendante (au niveau de chaque bit) par rapport à {bases}A|ice ; par exemple, une fonction i ’ combinant permutation et concaténation est appliquée à la clé KQKD_ I pour générer une clé de chiffrement de taille supérieure ou égale à 2T ; par exemple elle effectue une permutation (P) des bits dans KQKD_ I puis une concaténation de 3 fois la clé permutée : P(KQKD_ I) I P(KQKD_ I) I P(KQKD_ I) ;
- la séquence des parités est par exemple cryptée avec la même clé de chiffrement que pour la séquence {bases}A|ice.
[0142] A l’issue de la construction de KQKD_ 2, la clé KQKD_2 est utilisée pour chiffrer un deuxième message utile, M_2, échangé entre D_ALICE 10 et D_BOB 20.
[0143] On procède similairement pour générer la troisième clé secrète KQKD_ 3, en utilisant cette fois des concaténations des premières clés QKD secrètes KQKD_ I et KQKD_2 pour effectuer le chiffrement des choix de bases et des valeurs de parités.
[0144] Après la génération de KQKD_3, on passe en régime établi.
[0145] En référence maintenant à la figure 5, on s’intéresse à la génération de la clé KQKD_ N dans un mode de réalisation de l’invention, avec N supérieur ou égal à 4, les clés QKD générées antérieurement étant stockées par D_ALICE 10 et D_BOB 20.
[0146] Pendant le procédé de génération de KQKD_ N dans un mode de mise en œuvre de l’invention, séquentiellement : un ensemble des dernières clés secrètes partagées par D_ALICE 10 et D_BOB 20 (ici les 3 dernières KQKD_ N-3, KQKD_ N-2, et KQKD_ N-I) est par exemple utilisé pour construire, par concaténation, des clefs de chiffrement de taille suffisante pour (décrypter les séquences d’information binaire relatives aux bases utilisées par D_ALICE, par D_BOB, et pour crypter les parités ; une permutation sur les clés concaténées par D_BOB par rapport à D_ALICE est effectuée afin de cacher à Eve quels qubits sont retenus/écartés lors du sifting : ainsi par exemple dans le cas présent, la clef de chiffrement symétrique utilisée pour (déchiffrer {bases} Alice (et les bits de parité) est KQKD_N-I I KQKD_N-2 | KQKD_ N-3 tandis que la clef de chiffrement symétrique utilisée pour (dé-)chiffrer {bases}BOb est KQKD_N-2 | KQKD_N-3 | KQKD_N-1
[0147] Ensuite la clé KQKD_N est utilisée pour chiffrer un Nième message utile, M_N, échangé entre D_ALICE 10 et D_BOB 20.
[0148] On itère pour générer les clés secrètes successives.
[0149] Seul le message utile est porteur de sens. Les autres séquences sont indépendantes et aléatoires au niveau de chaque bit.
[0150] La protection des informations échangées lors de la réconciliation (choix des bases utilisées, sélection des qubits retenus, parités) est améliorée en utilisant un plus grand nombre de clés secrètes antérieures. Les figures 4 et 5 présentent l’utilisation de jusqu’à 3 clés antérieures pour élaborer toute nouvelle clé QKD. Le principe est naturellement transposable à l’utilisation d’un nombre quelconque de clés antérieures afin de crypter les différentes séquences lors de la réconciliation.
[0151] En considérant, dans un exemple de mise en œuvre de l’invention, d’une part une séquence aléatoire de bits à chiffrer indiquant les informations de choix de base ou la sélection des qubits retenus, ou encore les bits de parité et d’autre part une clé de chiffrement de taille (en nombre de bits) supérieure à la séquence à chiffrer, un exemple de chiffrement par le bloc de cryptographie 110, 210 de la séquence avec la clé de chiffrement est de faire une opération de OU EXCLUSIF entre le bit de la séquence de rang n et le bit de rang n de la clé de chiffrement, pour tout n allant de 1 à la taille de la séquence.
[0152] De façon générale, tous les protocoles QKD ont en commun le fait de mettre en œuvre des traitements de réconciliation et de correction d’erreurs pour générer deux clés identiques à partir de clés brutes (qubits transmis sur le canal quantique). L’invention proposée ici est applicable à tous les protocoles QKD, et ce indépendamment du mode de codage (ex : par polarisation / phase / ... ) et des variantes de ces protocoles.
[0153] Notamment, l’invention a été décrite ci-dessus en référence à la mise en œuvre de la transmission de l’information binaire aléatoire par la polarisation des photons, par exemple dans le cadre du protocole BB84 ; l’invention est cependant applicable à tout protocole (ex : E91 , B92...) et système de génération de clé symétrique de type QKD, entre autres des protocoles QKD à variables discrètes, avec d’autres paramètres physiques utilisés pour coder les bits sur des qubits, par exemple la fréquence ou la phase d’un photon, optionnellement de manière différentielle (frequency-coded QKD ou phase-coded QKD ou Differential Phase-coded QKD ; dans le cas de l’utilisation de la phase, le codage repose sur un modulateur de phase à la place d’un rotateur/modulateur de polarisation) à la place ou en plus de la polarisation des photons, des protocoles utilisant des variables continues (GG02), et/ou utilisant la transmission de plusieurs photons par impulsion lumineuse...
[0154] Similairement, même s’il a été considéré ci-dessus un exemple de codage d’un seul bit par photon, l’invention s’applique également dans le cas où un paramètre du photon transmis sur le canal quantique code plusieurs bits, sur la base par exemple des protocoles permettant de coder plusieurs bits par impulsion lumineuse tels que les protocoles GG02, GMCS Gaussian Modulated Coherent-States.
[0155] Dans l’exemple de réalisation décrit ci-dessus, le chiffrement est mis en œuvre sur les séquences de choix des bases, sur les séquences de sélection des qubits retenus et les séquences de valeurs de parité ; dans des modes de réalisation, seules les séquences de choix des bases ou de sélection des qubits retenus ou seules les séquences de valeurs de parités sont chiffrées.
[0156] Par ailleurs, l’invention peut être mise en œuvre également dans des modes de réalisation sans choix aléatoire de base utilisée en réception et/ou en émission comme par exemple dans un protocole Differential Phase-coded QKD ; l’étape de correction des erreurs résiduelles est alors néanmoins toujours nécessaire.
[0157] L’invention peut être mise en œuvre également dans des modes de réalisation où le protocole QKD employé utilise la polarisation des photons pour coder les bits, mais avec un nombre d’états considérés différents des quatre états considérés dans BB84 : par exemple BB92 utilise 2 polarisations, SSP en utilise 6.
[0158] Les étapes incombant au bloc de contrôle 11, 21 décrites ci-dessus peuvent être mises en œuvre par l’exécution d’instructions logicielles sur un processeur. Alternativement, elles peuvent être mises en œuvre par un hardware dédié, typiquement un circuit intégré numérique, soit spécifique (ASIC) ou basé sur une logique programmable (par exemple FPGA/Field Programmable Gate Array).
[0159] Le terme « bit » désigne l’information binaire elle-même («0 » ou « 1 »), le terme « qubit » désigne plus spécifiquement cette information binaire quand elle est portée par un état quantique d’une particule élémentaire, en particulier d’un photon (i.e. génération et polarisation dans le dispositif 10, propagation dans le canal quantique et mesure dans le dispositif 20) ; toutefois, dans la description qui précède, l’un ou l’autre des deux termes pourront avoir été indistinctement utilisé pour désigner l’information binaire correspondante.
[0160] On notera que le choix aléatoire de la base de polarisation, tant en émission qu’en réception est réalisable de différentes manières : comme décrit ci-dessous, avec un modulateur de polarisation ou par commutation mécanique d’un rotateur de polarisation commandé par un générateur quantique d’aléas, un séparateur de faisceaux tel qu’un lame semi-réfléchissante, un rotateur fixe de polarisation tel qu’une lame demi-onde, etc. selon des techniques connues.
[0161] Par ailleurs, dans des modes de réalisation, le protocole QKD mis en œuvre est basé sur l’intrication (par exemple protocole E91) pour lesquels les photons sont générés par une source qui peut être externe à D_ALICE et D_BOB. Dans ce cas, D_ALICE ne génère pas la séquence binaire : D_ALICE et D_BOB reçoivent cette séquence et sont comme 2 récepteurs qui s’accordent entre eux sur le décodage de la séquence de qubits reçus, avec des choix de base aléatoires (A et B) (ou non), conformément aux étapes 102 et suivantes décrites ci-dessus.

Claims

REVENDICATIONS Procédé de distribution quantique de clé, nommée KQKD_N, à un premier et un deuxième dispositifs de télécommunication (D_ALICE, D_BOB) pour mettre en œuvre entre eux une télécommunication chiffrée par ladite clé KQKD_N, lesdits premier et un deuxième dispositifs de télécommunication (D_ALICE, D_BOB) étant reliés chacun à une première liaison de télécommunication respective (30) et reliés entre eux par une deuxième liaison de télécommunication (40), ladite première liaison (30) étant une liaison de transmission optique et étant nommée ci- après canal quantique, ladite deuxième liaison de télécommunication (40) étant nommée ci-après canal classique ; ledit procédé comprenant les étapes suivantes de détermination de KQKD_N, mises en œuvre par au moins un dispositif considéré parmi les premier et deuxième dispositifs : mise en œuvre, sur le canal quantique (30), d’une communication d’une séquence aléatoire de bits sous la forme d’une séquence d’impulsions lumineuses en régime quantique telle que pour chaque impulsion lumineuse de la séquence d’impulsions, un paramètre physique de chaque impulsion lumineuse code la valeur d’au moins un desdits bits de la séquence aléatoire de bits ; ladite séquence de bits étant mémorisée par chacun des premier et deuxième dispositifs ; mise en œuvre, sur le canal classique (40), d’une communication, entre les premier et deuxième dispositifs, d’informations indiquant des valeurs de bits de parités, lesdites valeurs de bits de parité ayant été calculées par au moins l’un desdits premier et deuxième dispositifs en fonction de la séquence aléatoire de bits qu’il a mémorisée, puis étant transmises, lors de ladite communication, à l’autre desdits premier et deuxième dispositifs qui met alors en œuvre, dans la séquence de bits mémorisée par l’autre desdits premier et deuxième dispositifs, une correction d’erreurs, en fonction desdits bits de parité transmis ; détermination de ladite clé KQKD_N, en fonction de ladite séquence aléatoire de bits, et mémorisation de ladite clé KQKD_N, ladite clé étant partagée entre lesdits premier et un deuxième dispositifs ; ledit procédé étant caractérisé en ce que ladite communication d’information indiquant des valeurs de bits de parité entre le premier et le deuxième dispositif est chiffrée ou déchiffrée par ledit dispositif considéré en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’un mécanisme de distribution quantique de clé QKD auxdits premier et deuxième dispositifs. Procédé de distribution quantique de clé, nommée KQKD_N, à un premier et un deuxième dispositifs de télécommunication (D_ALICE, D_BOB) pour mettre en œuvre entre eux une télécommunication chiffrée par ladite clé KQKD_N, lesdits premier et un deuxième dispositifs de télécommunication (D_ALICE, D_BOB) étant reliés chacun à une première liaison de télécommunication (30) respective et reliés entre eux par une deuxième liaison (40) de télécommunication, ladite première liaison (30) étant une liaison de transmission optique et étant nommée ci- après canal quantique, ladite deuxième liaison de télécommunication (40) étant nommée ci-après canal classique ; ledit procédé comprenant les étapes suivantes de détermination de KQKD_N, mises en œuvre par au moins un dispositif considéré parmi les premier et deuxième dispositifs : mise en œuvre, sur le canal quantique (30), d’une communication d’une séquence aléatoire de bits sous la forme d’une séquence d’impulsions lumineuses en régime quantique telle que pour chaque impulsion lumineuse de la séquence d’impulsions, un paramètre physique de chaque impulsion lumineuse code la valeur d’au moins un desdits bits de la séquence aléatoire de bits ; ladite séquence de bits étant mémorisée par chacun des premier et deuxième dispositifs ; mise en œuvre, sur le canal classique (40), d’une communication, entre les premier et deuxième dispositifs, d’informations relatives à des bases, indiquant, pour chaque bit de la séquence mémorisée, la base, parmi au moins deux bases distinctes de codage entre des valeurs dudit paramètre et les valeurs 0 ou 1 d’un bit de la séquence aléatoire de bits, que l’un au moins des premier et deuxième dispositifs a sélectionnée aléatoirement pour effectuer le codage entre le bit et la valeur dudit paramètre d’impulsion lumineuse ; sélection, par ledit dispositif, de ceux des bits de la séquence aléatoire de bits pour lesquels le premier et le deuxième dispositifs ont sélectionné les mêmes bases ; mise en œuvre, sur le canal classique (40), d’une communication, entre les premier et deuxième dispositifs, d’informations indiquant des valeurs de bits de parités, lesdites valeurs de bits de parité ayant été calculées par au moins l’un desdits premier et deuxième dispositifs en fonction desdits bits sélectionnés, puis étant transmises, lors de ladite communication, à l’autre desdits premier et deuxième dispositifs qui met alors en œuvre une correction d’erreurs, en fonction desdits bits de parité transmis, sur les bits sélectionnés par l’autre desdits premier et deuxième dispositifs ; détermination de ladite clé KQKD_N, en fonction des bits sélectionnés et de la correction d’erreurs, et mémorisation de ladite clé KQKD_N, ladite clé étant partagée entre lesdits premier et un deuxième dispositifs ; ledit procédé étant caractérisé en ce que ladite communication d’informations relatives auxdites bases entre le premier et le deuxième dispositif (D_ALICE, D_BOB) est chiffrée ou déchiffrée par ledit dispositif considéré en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’un mécanisme de distribution quantique de clé QKD auxdits premier et deuxième dispositifs. Procédé de distribution quantique de clé, selon la revendication 2 selon lequel ladite communication d’informations indiquant des valeurs de bits de parité entre le premier et le deuxième dispositif (D_ALICE, D_BOB) est en outre chiffrée ou déchiffrée par ledit dispositif considéré en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre d’une itération antérieure d’un procédé de distribution quantique de clé QKD auxdits premier et deuxième dispositifs. Procédé de distribution quantique de clé, selon l’une des revendications précédentes selon lequel le chiffrement ou le déchiffrement des informations est effectué en fonction d’une clé de chiffrement ou déchiffrement symétrique déterminée par des opérations de type concaténation et permutation et/ou combinaison logique au niveau bits d’au moins une clé antérieurement déterminée par distribution quantique de clé QKD auxdits premier et deuxième dispositifs (D_ALICE, D_BOB). Procédé de distribution quantique de clé, selon l’une des revendications précédentes selon lequel lesdites informations servant à la réconciliation QKD chiffrées ou déchiffrées en fonction d’au moins la clef KQKD_N-K antérieurement déterminée sont des informations aléatoires et indépendantes. Programme d’ordinateur, destiné à être stocké dans la mémoire d’un dispositif de télécommunication (D_ALICE, D_BOB) comprenant en outre un microcalculateur, ledit programme d’ordinateur comprenant des instructions qui, lorsqu’elles sont exécutées sur le microcalculateur, orchestrent les étapes d’un procédé selon l’une des revendications précédentes. Dispositif de télécommunication (D_ALICE, D_BOB), adapté pour être relié à une première liaison de télécommunication (30), adapté pour être relié à un autre dispositif de télécommunication ((D_ALICE, D_BOB) par une deuxième liaison de télécommunication (40), et pour mettre en œuvre avec ledit autre dispositif une télécommunication chiffrée par une Clé KQKD_N, ladite première liaison (30) étant une liaison de transmission optique et étant nommée ci- après canal quantique, ladite deuxième liaison de télécommunication (40) étant nommée ci- après canal classique ; ledit dispositif étant adapté pour déterminer KQKD_N, en : mettant en œuvre, sur le canal quantique (30), une communication d’une séquence aléatoire de bits sous la forme d’une séquence d’impulsions lumineuses en régime quantique telle que pour chaque impulsion lumineuse de la séquence d’impulsions, un paramètre physique de chaque impulsion lumineuse code la valeur d’au moins un desdits bits de la séquence aléatoire de bits ; ladite séquence de bits étant mémorisée par le dispositif ; en mettant, sur le canal classique (40), une communication avec l’autre dispositif, d’informations indiquant des valeurs de bits de parités, lesdites valeurs de bits de parité ayant été calculées par au moins un premier dispositif parmi ledit dispositif et ledit autre dispositif en fonction de la séquence aléatoire de bits qu’il a mémorisée, puis étant transmises, lors de ladite communication, au deuxième parmi ledit dispositif et ledit autre dispositif qui met alors en œuvre, dans la séquence de bits mémorisée par l’autre desdits premier et deuxième dispositifs, une correction d’erreurs, en fonction desdits bits de parité transmis ; en déterminant ladite clé KQKD_N, en fonction de ladite séquence aléatoire de bits, et mémorisation de ladite clé KQKD_N, ladite clé étant partagée entre ledit dispositif et ledit autre dispositif ; ledit dispositif (D_ALICE, D_BOB) étant caractérisé en ce que ladite communication d’information indiquant des valeurs de bits de parité entre ledit dispositif et ledit autre dispositif est chiffrée ou déchiffrée par ledit dispositif en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’un mécanisme de distribution quantique de clé QKD audit dispositif et audit autre dispositif (D_ALICE, D_BOB). Dispositif de télécommunication (D_ALICE, D_BOB) adapté pour être relié à une première liaison de télécommunication (30), adapté pour être relié à un autre dispositif de télécommunication (D_ALICE, D_BOB) par une deuxième liaison de télécommunication (40), et pour mettre en œuvre avec ledit autre dispositif une télécommunication chiffrée par une Clé KQKD_N, ladite première liaison (30) étant une liaison de transmission optique et étant nommée ci- après canal quantique, ladite deuxième liaison de télécommunication (40) étant nommée ci- après canal classique ; ledit dispositif étant adapté pour déterminer KQKD_N, en : mettant en œuvre, sur le canal quantique (30), une communication d’une séquence aléatoire de bits sous la forme d’une séquence d’impulsions lumineuses en régime quantique telle que pour chaque impulsion lumineuse de la séquence d’impulsions, un paramètre physique de chaque impulsion lumineuse code la valeur d’au moins un desdits bits de la séquence aléatoire de bits ; ladite séquence de bits étant mémorisée par le dispositif ; en mettant, sur le canal classique (40), une communication avec l’autre dispositif, d’informations indiquant, pour chaque bit de la séquence mémorisée, la base, parmi au moins deux bases distinctes de codage entre des valeurs dudit paramètre et les valeurs 0 ou 1 d’un bit de la séquence aléatoire de bits, qu’un premier dispositif parmi ledit dispositif et ledit autre dispositif a sélectionnée aléatoirement pour effectuer le codage entre le bit et la valeur dudit paramètre d’impulsion lumineuse ; en sélectionnant ceux des bits de la séquence aléatoire de bits pour lesquels ledit dispositif et ledit autre dispositif ont sélectionné les mêmes bases ; en mettant en œuvre, sur le canal classique (40), une communication, entre ledit dispositif et ledit autre dispositif, d’informations indiquant des valeurs de bits de parités, lesdites valeurs de bits de parité ayant été calculées par un premier dispositif parmi ledit dispositif ou ledit autre dispositif en fonction desdits bits sélectionnés, puis étant transmises, lors de ladite communication, au deuxième dispositif parmi ledit dispositif et ledit autre dispositif qui met alors en œuvre une correction d’erreurs, en fonction desdits bits de parité transmis, sur les bits sélectionnés par le deuxième dispositif parmi ledit dispositif et ledit autre dispositif ; détermination de ladite clé KQKD_N, en fonction des bits sélectionnés, et mémorisation de ladite clé KQKD_N, ladite clé étant partagée entre ledit dispositif et ledit autre dispositif ; ledit dispositif étant caractérisé en ce que ladite communication d’informations relatives auxdites bases entre le ledit dispositif et ledit autre dispositif (D_ALICE, D_BOB) est chiffrée ou déchiffrée par ledit dispositif en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’un mécanisme de distribution quantique de clé QKD audit dispositif et audit autre dispositif. Dispositif de télécommunication (D_ALICE, D_BOB) selon la revendication 8 dans lequel ladite communication d’informations indiquant des valeurs de bits de parité entre ledit et ledit autre dispositif (D_ALICE, D_BOB) est en outre chiffrée ou déchiffrée par ledit dispositif en fonction d’au moins une clef KQKD_N-K antérieurement déterminée par mise en œuvre antérieure d’une distribution quantique de clé QKD audit dispositif et audit autre dispositif (D_ALICE, D_BOB). Dispositif de télécommunication (D_ALICE, D_BOB) selon l’une des revendications 7 à 9, dans lequel le chiffrement ou le déchiffrement des informations est effectué en fonction d’une clé de chiffrement ou déchiffrement symétrique déterminée par des opérations de type concaténation et permutation et/ou combinaison logique au niveau bits d’au moins une clé antérieurement déterminée par distribution quantique de clé QKD audit dispositif et audit autre dispositif (D_ALICE, D_BOB).
EP23806308.5A 2022-12-15 2023-11-16 Procedes de distribution quantique et dispositifs de telecommunication associes Pending EP4635126A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2213411A FR3143923B1 (fr) 2022-12-15 2022-12-15 Procédé de distribution quantique et dispositifs de télécommunication associés
PCT/EP2023/082133 WO2024125942A1 (fr) 2022-12-15 2023-11-16 Procedes de distribution quantique et dispositifs de telecommunication associes

Publications (1)

Publication Number Publication Date
EP4635126A1 true EP4635126A1 (fr) 2025-10-22

Family

ID=86099738

Family Applications (1)

Application Number Title Priority Date Filing Date
EP23806308.5A Pending EP4635126A1 (fr) 2022-12-15 2023-11-16 Procedes de distribution quantique et dispositifs de telecommunication associes

Country Status (3)

Country Link
EP (1) EP4635126A1 (fr)
FR (1) FR3143923B1 (fr)
WO (1) WO2024125942A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN119892361B (zh) * 2025-03-28 2025-08-01 安徽国科量子网络有限公司 采用量子随机数进行实体鉴别的设备及其实体鉴别方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12010223B2 (en) * 2020-07-13 2024-06-11 Arizona Board Of Regents On Behalf Of The University Of Arizona Joint twin-field quantum key distribution cryptosystem

Also Published As

Publication number Publication date
WO2024125942A1 (fr) 2024-06-20
FR3143923A1 (fr) 2024-06-21
FR3143923B1 (fr) 2025-10-24

Similar Documents

Publication Publication Date Title
US7983422B2 (en) Quantum cryptography
Dušek et al. Quantum cryptography
US8995650B2 (en) Two non-orthogonal states quantum cryptography method and apparatus with intra- and inter-qubit interference for eavesdropper detection
EP2951944A1 (fr) Procede de chiffrement homomorphe pour le ou exclusif et calcul securise d&#39;une distance de hamming
WO2009095574A2 (fr) Procede et entite de chiffrement symetrique probabiliste
EP2887574A1 (fr) Procédé de conversion d&#39;un contenu à acces conditionnel
US20250023720A1 (en) Quantum key generation method and system
WO2023046557A1 (fr) Système et méthode de génération de clé secrète sûre
Lo et al. Quantum cryptography: from theory to practice
WO2011083232A1 (fr) Procede de chiffrement et de dechiffrement
EP4635126A1 (fr) Procedes de distribution quantique et dispositifs de telecommunication associes
FR2948518A1 (fr) Procede de conversion d&#39;un premier chiffre en un deuxieme chiffre
EP4026272A1 (fr) Procede de transmission securisee de sequences d&#39;etats quantiques entre plusieurs participants en ligne sur un canal de communication quantique
WO2024023234A1 (fr) Procédés de distribution quantique et dispositifs de télécommunication associés
FR3152937A1 (fr) Procédé et dispositif de partage de clés secrètes dans un réseau comprenant un satellite
FR3079989A1 (fr) Procédés, dispositifs et programmes d&#39;ordinateur pour le chiffrement et le déchiffrement de données pour la transmission ou le stockage de données
WO2012089632A1 (fr) Procede et systeme permettant de tester une integrite cryptographique d&#39;une donnee tolerante aux erreurs
US7606367B2 (en) Quantum cryptography with fewer random numbers
Gehring et al. Implementation of quantum key distribution with composable security against coherent attacks using Einstein-Podolsky-Rosen entanglement
Sujatha et al. Proficient capability of QKD in Wi-Fi network system implementation
Bruß et al. Quantum cryptography
Gupta et al. Quantum cryptographic protocols for secure comunication
FR3158003A1 (fr) Procédé amélioré d&#39;échange de clés s&#39;appuyant sur un réseau quantique ; infrastructure de communication associée.
FR3158002A1 (fr) Procédé amélioré d’échange de clés s’appuyant sur un réseau quantique et un service de sécurité ; infrastructure de communication associée.
Ajish Efficient High Capacity Quantum Cryptography Based Key Distribution in WI-FI Network

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20250528

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC ME MK MT NL NO PL PT RO RS SE SI SK SM TR