Comme d\u2019habitude, ce genre de post est le r\u00e9sultat d\u2019une intense recherche bibliographique. Je n\u2019invente rien ! Tout est l\u00e0, pr\u00eat \u00e0 \u00eatre synth\u00e9tis\u00e9. Je cite \u00e0 chaque fois que possible les sources d\u2019informations que j\u2019utilise dans ce travail de vulgarisation. Ce sujet de la cryptographie avait la particularit\u00e9 de ne pas m\u2019int\u00e9resser \u00e9norm\u00e9ment. Mais pour que cette s\u00e9rie soit bien compl\u00e8te et du fait des liens \u00e9vidents avec le calcul quantique, j\u2019ai d\u00e9cid\u00e9 de le couvrir convenablement. A force de le creuser, j\u2019ai trouv\u00e9 le sujet int\u00e9ressant !<\/p>\n Mais je me suis heurt\u00e9 \u00e0 un domaine que les sp\u00e9cialistes ne vulgarisent vraiment pas bien du tout. C\u2019est d\u2019un cryptique, c\u2019est le cas de le dire ! J\u2019ai donc eu ici l\u2019impression d\u2019\u00eatre encore plus largu\u00e9 que lorsque je m\u2019attaquais au mod\u00e8le de repr\u00e9sentation math\u00e9matique des qubits<\/a>, aux\u00a0registres quantiques<\/a> ou aux algorithmes quantiques<\/a>. Je pr\u00e9f\u00e8re le dire et l\u2019assumer ! Sans vous d\u00e9courager pour autant car ce que j\u2019ai compris permet d\u00e9j\u00e0 se d\u00e9grossir le sujet \u00e0 grosses mailles avant d\u2019essayer de creuser les math\u00e9matiques associ\u00e9es si cela vous chante, ou si vous l\u2019avez d\u00e9j\u00e0 fait.<\/p>\n Le principe de la cryptographie par cl\u00e9 publique<\/strong><\/p>\n C\u00f4t\u00e9 vocabulaire, pr\u00e9cisons que la cryptologie est la science des secrets. Elle permet la transmission d\u2019informations sensibles entre un \u00e9metteur et un r\u00e9cepteur et de mani\u00e8re sure. La cryptologie comprend la cryptographie, qui s\u00e9curise l\u2019information \u00e9mise et la cryptanalyse qui cherche \u00e0 la d\u00e9crypter par attaque. Les puristes francophones parlent de chiffrement et de d\u00e9chiffrement, lorsque l\u2019on encode et d\u00e9code l\u2019information puis de d\u00e9cryptage, lorsqu\u2019un attaquant d\u00e9code les messages. Dans le cas de la cryptographie asym\u00e9trique \u00e0 cl\u00e9 publique, le chiffrement n\u2019exploite que les cl\u00e9s publiques et le d\u00e9chiffrement s\u2019appuie sur les cl\u00e9s publiques et priv\u00e9es. Le d\u00e9cryptage exploite uniquement les cl\u00e9s publiques en cherchant \u00e0 en d\u00e9duire les cl\u00e9s priv\u00e9es par du calcul, souvent intensif.<\/p>\n La cryptographie s\u00e9curise l\u2019information transmise de plusieurs mani\u00e8res : par la confidentialit\u00e9 <\/strong>(seul le destinataire peut r\u00e9cup\u00e9rer la version non crypt\u00e9e de l\u2019information transmise), par l\u2019int\u00e9grit\u00e9 <\/strong>(l\u2019information n\u2019a pas \u00e9t\u00e9 modifi\u00e9e pendant sa transmission), par l\u2019authentification <\/strong>(chacun est bien celui qu\u2019il pr\u00e9tend \u00eatre), la non-r\u00e9pudiation <\/strong>(l\u2019\u00e9metteur ne peut pas nier avoir transmis l\u2019information crypt\u00e9e) et le contr\u00f4le d\u2019acc\u00e8s <\/strong>(seuls les personnes autoris\u00e9es par l\u2019\u00e9metteur et le r\u00e9cipiendaire peuvent acc\u00e9der \u00e0 l\u2019information non crypt\u00e9e).<\/p>\n Avant les t\u00e9l\u00e9communications informatiques, la confidentialit\u00e9 \u00e9tait assur\u00e9e par la connaissance d\u2019un secret commun entre \u00e9metteurs et r\u00e9cepteurs, les fameux codes de chiffrement et de d\u00e9chiffrement, pouvant \u00eatre la position des roues d\u2019une machine Enigma <\/strong>allemande pendant la seconde guerre mondiale. Cela fonctionnait dans des environnements ferm\u00e9s comme pour les communications militaires ou entre ambassades et pays d\u2019origine.<\/p>\n Avec les communications sur Internet, ce mode op\u00e9ratoire est inapplicable pour des applications grand public et pour les relations entre les entreprises en g\u00e9n\u00e9ral. D\u2019o\u00f9 les syst\u00e8mes de cryptographie \u00e0 cl\u00e9s publiques, notamment RSA, qui servent \u00e0 un grand nombre d\u2019\u00e9changes d\u2019informations. Il subsiste des syst\u00e8mes tr\u00e8s prot\u00e9g\u00e9s \u00e0 base de cl\u00e9s priv\u00e9es et sym\u00e9triques et qui sont principalement utilis\u00e9s dans le cadre des applications r\u00e9galiennes (arm\u00e9e, s\u00e9curit\u00e9, renseignement) ainsi que dans divers autres cas (transferts de fichiers, chiffrage de mails, \u00e9changes serveur\/client, dans les cartes \u00e0 puces et terminaux de paiement associ\u00e9s).<\/p>\n La cryptographie asym\u00e9trique (\u00e0 cl\u00e9s publique) est aussi exploit\u00e9e pour l\u2019\u00e9tablissement pr\u00e9alable de cl\u00e9s de chiffrement communes entre les utilisateurs de syst\u00e8mes \u00e0 cl\u00e9s priv\u00e9es, pour g\u00e9rer l\u2019int\u00e9grit\u00e9 des communications et pour l\u2019authentification comme dans le protocole TLS sur Internet. Les informations sensibles sont alors crypt\u00e9es avec ces cl\u00e9s et un algorithme sym\u00e9trique type AES. AES est ainsi utilis\u00e9 pour chiffrer les communications dans Whatsapp, Messenger et Telegram. Ces applications utilisent souvent \u00e9galement de la cryptographie asym\u00e9trique pour l\u2019authentification, les \u00e9changes de cl\u00e9s et la gestion de l\u2019int\u00e9grit\u00e9 des communications. Bref, dans de tr\u00e8s nombreux cas, les syst\u00e8mes de cryptographie sym\u00e9triques cohabitent avec des syst\u00e8mes de cryptographie asym\u00e9triques (\u00e0 cl\u00e9s publiques). Bref, lorsque vous communiquez sur Internet de mani\u00e8re s\u00e9curis\u00e9e, ce sont plusieurs protocoles de s\u00e9curit\u00e9 compl\u00e9mentaires qui sont activ\u00e9s.<\/p>\n Dans les syst\u00e8mes \u00e0 cl\u00e9 publique, des cl\u00e9s diff\u00e9rentes sont utilis\u00e9es pour le chiffrement et le d\u00e9chiffrement des informations transmises, de telle mani\u00e8re qu\u2019il est tr\u00e8s difficile (si ce n\u2019est parfois impossible) de d\u00e9duire la cl\u00e9 priv\u00e9e de d\u00e9chiffrement \u00e0 partir de la cl\u00e9 publique de chiffrement. C\u2019est le r\u00e9cepteur du message qui envoie sa cl\u00e9 publique \u00e0 l\u2019\u00e9metteur, qui l\u2019utilise \u00e0 son tour pour chiffrer le message. Le r\u00e9cepteur utilise la cl\u00e9 priv\u00e9e qu\u2019il a conserv\u00e9e pour d\u00e9chiffrer le message re\u00e7u. Comme l\u2019explique le sch\u00e9ma ci-dessus<\/em>, la cl\u00e9 priv\u00e9e n\u2019est jamais transmise. C\u2019est ce que l\u2019on appelle aussi une PKI, pour \u201cPublic Key Infrastructure\u201d.<\/p>\n L\u2019algorithme RSA<\/strong> est le plus connu et le plus utilis\u00e9 des syst\u00e8mes de protection des transmissions d\u2019information par cl\u00e9 publique sur Internet. Il a \u00e9t\u00e9 cr\u00e9\u00e9 en 1978 par Ron R<\/u>ivest <\/strong>(1947, Am\u00e9ricain), Adi S<\/u>hamir <\/strong>(1952, Isra\u00e9lien) et Leonard A<\/u>dleman<\/strong> (1945, Am\u00e9ricain).<\/p>\n Vous n\u2019avez pas forc\u00e9ment besoin de comprendre la tambouille interne que voici et qui explique comment les cl\u00e9s sont construites. Cela commence par la d\u00e9termination de p et q, deux grands nombres premiers al\u00e9atoires, avec un \u201cbon\u201d g\u00e9n\u00e9rateur de nombres al\u00e9atoires. Nous verrons plus loin que la physique quantique permet de cr\u00e9er des g\u00e9n\u00e9rateurs de nombres vraiment al\u00e9atoires. On calcule N = pq qui est un tr\u00e8s grand nombre entier. Une bonne cl\u00e9 RSA requiert d\u2019avoir N stock\u00e9 sur au moins 2048 bits sachant que la NSA recommande des cl\u00e9s de 3072 bits pour les applications critiques.<\/p>\n On \u00e9value ensuite e<\/strong>, un nombre premier en exploitant O(N) qui \u00e9gale le nombre d\u2019entiers premiers compris entre 1 et N relativement \u00e0 N, et qui, comme p et q sont premiers, \u00e9gale (p-1)(q-1). d est un grand nombre entier qui est copremier de O(N) et est choisi en fonction de : e^d = 1 mod (O(N)). A la fin, on obtient une cl\u00e9 publique qui comprend les entiers N et e, et une cl\u00e9 priv\u00e9e qui comprend d. L\u2019ensemble s\u2019appuie sur la th\u00e9orie des nombres et utilise notamment le petit th\u00e9or\u00e8me de Fermat et le th\u00e9or\u00e8me d\u2019Euler qui permettent de cr\u00e9er deux cl\u00e9s distinctes et inverses l\u2019une de l\u2019autre.<\/p>\n La beaut\u00e9 du syst\u00e8me permet \u00e0 n\u2019importe qui d\u2019encrypter un message \u00e0 partir de la cl\u00e9 publique, ce message n\u2019\u00e9tant d\u00e9chiffrable que par celui qui dispose de la cl\u00e9 priv\u00e9e qui d\u00e9compose la cl\u00e9 publique en primitives.<\/p>\n Un pirate pourrait d\u00e9crypter l\u2019information envoy\u00e9e en exploitant e (le bout de la cl\u00e9 publique) et en factorisant N, l\u2019autre bout de la cl\u00e9 publique, en entiers p et q, puis en d\u00e9duire la cl\u00e9 priv\u00e9e d. A ce jour, la factorisation de nombres premier demande une puissance machine traditionnelle qui croit \u00e0 la vitesse de la racine carr\u00e9e du nombre \u00e0 factoriser. A ce jour, le record de factorisation officiel de cl\u00e9 RSA est de 768 bits, r\u00e9alis\u00e9 en 2010. Cela n\u2019inventorie visiblement pas les records non communiqu\u00e9s de la NSA. Et il est recommand\u00e9 d\u2019utiliser des cl\u00e9s situ\u00e9es entre 1024 et 2048 bits !<\/p>\n La menace fant\u00f4me de Shor<\/strong><\/p>\n Dans la partie de cette s\u00e9rie d\u00e9di\u00e9e aux algorithmes quantiques<\/a>, nous avons d\u00e9crit celui de Peter Shor <\/strong>invent\u00e9 en 1994. C\u2019est l\u2019un des premiers algorithmes quantiques apr\u00e8s celui de Deutsch-Jozsa <\/strong>dont nous avions vu qu\u2019il ne servait quasiment \u00e0 rien. L\u2019algorithme de Shor a provoqu\u00e9 un int\u00e9r\u00eat pour le calcul quantique alors que les chercheurs n\u2019avaient pas encore r\u00e9ussi \u00e0 cr\u00e9er un seul qubit contr\u00f4lable par une porte quantique unitaire !<\/p>\n L\u2019algorithme de Shor permet dans un temps raisonnable de factoriser des nombres entiers, proportionnel \u00e0 leur logarithme. C\u2019est donc une factorisation de temps lin\u00e9aire en fonction du nombre de bits de la cl\u00e9. Il se trouve que cela met \u00e0 mal les syst\u00e8mes de cryptographiques courants qui reposent sur la notion de cl\u00e9 publique.<\/p>\n Mais uniquement dans un futur relativement lointain ! En effet, pour factoriser un entier sur 1024 bits, il faudrait environ 166 millions de qubits universels avec un taux d’erreur de 0,1% ou 5,5 millions de qubits avec 0,01% d’erreur et 6,6 semaines de calcul \u00e0 1 MHz. Ce qui sera hors de port\u00e9e des ordinateurs quantiques universels pour encore quelques ann\u00e9es, au moins une dizaine.<\/p>\n Selon le NIST<\/strong> (National Institute of Standards and Technology US), il faudrait de 3000 \u00e0 5000 qubits logiques pour casser une cl\u00e9 RSA de 2048 bits. Selon les technologies utilis\u00e9es, il faut multiplier ce chiffre par 200 \u00e0 20 000 pour le nombre de qubits physiques par qubits logiques, donc entre 1 million et 1 milliard de qubits physiques \u201cuniversels\u201d. Cela donne un peu de marge !<\/p>\n Une cl\u00e9 RSA de 762 bits proche du record de 2010 demanderait un ordinateur \u00e0 recuit quantique du Canadien D-Wave <\/strong>avec 5,5 milliards de qubits, loin des 2048 existants selon High-fidelity adiabatic quantum computation using the intrinsic Hamiltonian of a spin system: Application to the experimental factorization of 291311<\/a>, de Nike Dattani, Xinhua Peng et Jiangfeng Du, juin 2017 (6 pages). Ils \u00e9valuaient qu\u2019un D-Wave de 5893 qubits pourrait faire l\u2019affaire si tous les qubits \u00e9taient couplables de mani\u00e8re arbitraire, ce qui n\u2019est pas possible du fait de la conception en matrice 2D des chipsets de D-Wave.<\/p>\n La menace de Shor est visualis\u00e9e dans le temps dans ce sch\u00e9ma originaire de l\u2019organisme de standardisation europ\u00e9en ETSI dont le si\u00e8ge est \u00e0 Sophia-Antipolis, dans Quantum Safe Cryptography and Security<\/a>, 2015 (64 pages). Elle s\u2019appuie sur des pr\u00e9visions tr\u00e8s optimistes concernant les capacit\u00e9s des ordinateurs quantiques \u00e0 exploiter l\u2019algorithme de Shor. Il faudrait d\u00e9caler vers le futur d’au moins 5 \u00e0 10 ans la partie orange du graphe.<\/p>\n La raison pour laquelle l\u2019impact potentiel du quantique sur la cryptographie RSA est son large usage sur Internet. Il couvre les protocoles TLS <\/strong>et SSL <\/strong>qui prot\u00e8gent les sites web et les transferts de fichiers via FTP<\/strong>, le protocole IPSEC <\/strong>qui prot\u00e8ge IP V4 dans le sous-protocole IKE, le protocole SSH <\/strong>d\u2019acc\u00e8s \u00e0 distance \u00e0 une machine et PGP <\/strong>qui est parfois utilis\u00e9 pour chiffrer les emails. La menace est encore plus large, au-del\u00e0 de RSA. Elle couvrirait aussi la signature \u00e9lectronique <\/strong>de logiciels et donc leurs mises \u00e0 jour automatiques, les VPN <\/strong>pour l\u2019acc\u00e8s \u00e0 distance aux r\u00e9seaux d\u2019entreprises prot\u00e9g\u00e9s, la s\u00e9curisation des emails avec S\/MIME<\/strong>, les syst\u00e8mes de paiement<\/strong>, DSA<\/strong> (Digital Signature Algorithm, un protocole de signature \u00e9lectronique), Diffie-Hellman <\/strong>(pour l\u2019envoi de cl\u00e9s sym\u00e9triques) et la cryptographie \u00e0 cl\u00e9s elliptiques ECDH, ECDSA <\/strong>et 3-DES<\/strong>. Le protocole Signal <\/strong>utilis\u00e9 dans Whatsapp serait aussi en ligne de mire. Bref, une bonne part de la s\u00e9curit\u00e9 d\u2019Internet est plus ou moins en ligne de mire.<\/p>\n ECC<\/strong> (Elliptic Curve Cryptography) est le premier algorithme \u00e0 courbes elliptiques, cr\u00e9\u00e9 en 1985 par Neal Koblitz et Victor Miller. Les variantes les plus courantes d\u2019aujourd\u2019hui sont ECDH <\/strong>(Elliptic-curve Diffie\u2013Hellman) et ECDSA <\/strong>(Elliptic Curve Digital Signature Algorithm, lanc\u00e9 en 2005). Ces variantes ont \u00e9t\u00e9 d\u00e9ploy\u00e9es \u00e0 partir de 2005 et plus largement seulement \u00e0 partir de 2015, donc 30 ans apr\u00e8s la cr\u00e9ation du premier ECC ! Au passage, les courbes elliptiques ont permis \u00e0 Andrew Wiles de d\u00e9montrer le dernier th\u00e9or\u00e8me de Fermat en 1992, qui n\u2019a pas de rapports avec la cryptographie.<\/p>\n Je vous en passe les d\u00e9tails car je n\u2019ai pas compris grand chose aux explications que j\u2019ai pu trouver comme dans Elliptic curves cryptography and factorization<\/a> (86 slides). Mas peu importe. L\u2019un des int\u00e9r\u00eats des codes \u00e0 base de courbes elliptiques est d\u2019utiliser des cl\u00e9s publiques plus courtes qu\u2019avec RSA. Mais voil\u00e0, ces courbes elliptiques sont aussi cassables en quantique avec un temps raisonnable \u00e0 cause de notre ami Peter Shor, comme document\u00e9 dans Shor’s discrete logarithm quantum algorithm for elliptic curves<\/a>, de John Proos and Christof Zalka, 2003 (34 pages). Qui plus est, une porte d\u00e9rob\u00e9e de l\u2019ECDSA a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e par Edward Snowden en 2013, log\u00e9e par la NSA dans son g\u00e9n\u00e9rateur de nombre al\u00e9atoire Dual EC DRBG. L\u2019abandon de son usage \u00e9tait ensuite recommand\u00e9 par le NIST en 2014 et la NSA en 2015 pour la transmission d\u2019informations sensibles. Voir \u00e0 ce sujet Elliptic Curve Cryptography and Government Backdoors<\/a> de Ben Schwennesen, 2016 (20 pages).<\/p>\n La seconde raison est que des communications sensibles d\u2019aujourd\u2019hui peuvent \u00eatre stock\u00e9es par des pirates priv\u00e9s ou d\u2019Etats, conserv\u00e9es et exploit\u00e9es bien plus tard, le jour o\u00f9 les ordinateurs quantiques seront \u00e0 la hauteur. Nombre d\u2019informations d\u2019aujourd\u2019hui auront de la valeur plus tard, qu\u2019ils s\u2018agisse de transactions financi\u00e8res, de communications priv\u00e9es diverses, de secrets industriels ou autres secrets d\u2019Etats. Le calcul quantique est une v\u00e9ritable \u00e9p\u00e9e de Damocl\u00e8s dont la chute est difficile \u00e0 pr\u00e9voir et plut\u00f4t \u00e9loign\u00e9e dans le temps d\u2019au moins une bonne d\u00e9cennie. Au-del\u00e0 d\u2019un tel d\u00e9lai, il est quasiment impossible de faire des pr\u00e9visions.<\/p>\n Les syst\u00e8mes de cryptographie sym\u00e9triques ne sont pas concern\u00e9s par l\u2019algorithme de Shor. Il s\u2019agit notamment du Data Encryption Standard <\/strong>(DES) qui utilise des cl\u00e9s de 64 bits ou plus et qui est d\u00e9pass\u00e9, remplac\u00e9 par l\u2019Advanced Encryption Standard <\/strong>(AES) qui est un standard du gouvernement US depuis 2002, avec des cl\u00e9s priv\u00e9es allant de 128 \u00e0 256 bits. Les cl\u00e9s sont \u00e9chang\u00e9es en amont des \u00e9changes et g\u00e9n\u00e9ralement elles-m\u00eames chiffr\u00e9es avec l\u2019algorithme Diffie-Hellman <\/strong>(source<\/a> du sch\u00e9ma ci-dessus<\/em>). Les cl\u00e9s Diffie-Hellman sont cassables en quantique avec l\u2019algorithme de Shor ! A ce jour, les meilleurs algorithmes de cassage quantique des cl\u00e9s AES mettraient plus que l\u2019anciennet\u00e9 de l\u2019Univers (13,8 milliards d\u2019ann\u00e9es) pour s\u2019ex\u00e9cuter sur des cl\u00e9s de 128 bits. Avec l\u2019AES-256 bits, on est donc des plus tranquille !<\/p>\n L\u2019algorithme SHA-1 <\/strong>utilise aussi des cl\u00e9s sym\u00e9triques r\u00e9sistantes \u00e0 l\u2019algorithme de Shor, mais il a \u00e9t\u00e9 cass\u00e9 par d\u2019autres mani\u00e8res et est donc jug\u00e9 d\u00e9pass\u00e9. C\u2019est le SHA-3 <\/strong>qui est le plus \u00e0 jour et depuis 2015. D\u2019apr\u00e8s Estimating the cost of generic quantum pre-image attacks on SHA-2 and SHA-3<\/a>, 2016 (21 pages), l\u2019algorithme SHA peut \u00eatre cass\u00e9 par l\u2019algorithme de recherche de Grover, mais avec une grande quantit\u00e9 de qubits, au minimum 6000 qubits logiques pour les cl\u00e9s courantes. Cela repr\u00e9sente un ordre de grandeur voisin des besoins en qubits pour casser les cl\u00e9s RSA. Les algorithmes SHA (Secure Hash Algorithms) sont des standards de fonctions de hachage qui consistent \u00e0 remplacer une donn\u00e9e de taille arbitraire par une cl\u00e9 de taille unique. Une cl\u00e9 de hachage permet par exemple de v\u00e9rifier l\u2019int\u00e9grit\u00e9 d\u2019un contenu comme un logiciel ou plus simplement, un mot de passe.<\/p>\n Le nombre de qubits n\u00e9cessaires au cassage des cl\u00e9s d\u00e9pend de la taille de la cl\u00e9. SHA-1 et SHA-2 ont des tailles de cl\u00e9s faibles qui peuvent \u00eatre r\u00e9cup\u00e9r\u00e9es en un temps consid\u00e9r\u00e9 raisonnable avec l\u2019algorithme quantique de recherche de Grover<\/strong> mais ce n\u2019est pas le cas de SHA-3 qui exploite des cl\u00e9s plus grandes. C\u2019est la m\u00eame logique que pour AES.<\/p>\n Le sch\u00e9ma ci-dessous<\/em> pointe du doigt les algorithmes de cryptographie vuln\u00e9rables au quantique, vu dans IDQ : Quantum-Safe Security elevance for Central Banks<\/a>, 2018 (27 slides).<\/p>\n Qu\u2019en est-il du Bitcoin<\/strong>, des crypto-monnaies et de la BlockChain <\/strong>? J\u2019ai trouv\u00e9 une r\u00e9ponse fort bien document\u00e9e dans The Quantum Countdown Quantum Computing and The Future of Smart Ledger Encryption<\/a>, de Long Finance, 2018 (60 pages) que je vous r\u00e9sume ci-dessous<\/em>. Ils font pour commencer un bon inventaire des syst\u00e8mes de cryptographie utilis\u00e9s par usage.<\/p>\n En gros, la Blockchain s\u2019appuie sur un patchwork d\u2019algorithmes de cryptographie comprenant l\u2019AES, RSA et SHA-3. Elle exploite un algorithme de hash pour s\u2019assurer de l\u2019int\u00e9grit\u00e9 de la chaine de confiance, et une signature num\u00e9rique pour authentifier les nouvelles transactions qui s\u2019ajoutent \u00e0 la Blockchain de mani\u00e8re incr\u00e9mentale. Dans le cas du Bitcoin, celui-ci utilise la crypto hash SHA-256 qui est r\u00e9sistante au quantique et une signature qui exploite des courbes elliptiques ECDSA qui elle ne l\u2019est pas. Ethereum <\/strong>utilise un hash SHA-3 qui r\u00e9siste au quantique et une signature ECDSA qui est vuln\u00e9rable.<\/p>\n Au passage, rappelons qu\u2019une fonction de hash converti une donn\u00e9e de taille arbitraire comme un fichier en un nombre de taille fixe. Cela permet de faire des recherches rapides pour comparer des fichiers. Elle peut par exemple servir \u00e0 v\u00e9rifier qu\u2019un fichier n\u2019a pas \u00e9t\u00e9 alt\u00e9r\u00e9 pendant sa transmission.<\/p>\n Bref, le quantique ne permettra pas d\u2019alt\u00e9rer la Blockchain ni la preuve de travail utilis\u00e9e par le Bitcoin qui s\u2019appuie sur l\u2019usage r\u00e9p\u00e9t\u00e9 de hash r\u00e9sistant au quantique. La vuln\u00e9rabilit\u00e9 de la Blockchain se situe dans la signature qui s\u2019appuie sur l\u2019algorithme \u00e0 courbes elliptiques ECDSA qui peut \u00eatre cass\u00e9e avec l\u2019algorithme de Shor. Cela permettrait de se faire passer pour quelqu\u2019un d\u2019autre dans une transaction impliquant une Blockchain ou des Bitcoins.<\/p>\n Si une transaction Bitcoin \u00e9tait intercept\u00e9e pour r\u00e9cup\u00e9rer la signature ECDSA de l\u2019\u00e9metteur, celle-ci pourrait \u00eatre exploit\u00e9e pour transf\u00e9rer des Bitcoins \u00e0 partir du porte-monnaie de cet \u00e9metteur. Des solutions de contournement pourront \u00e9videmment \u00eatre cr\u00e9\u00e9es d\u2019ici la confirmation d\u2019une menace quantique sur l\u2019int\u00e9grit\u00e9 des transactions. Il faudrait d\u2019embl\u00e9e encrypter les donn\u00e9es d\u2019une Blockchain avec un algorithme r\u00e9sistant au quantique comme AES-256, avec l\u2019inconv\u00e9nient qu\u2019il est sym\u00e9trique et n\u00e9cessite donc que des cl\u00e9s soient \u00e9chang\u00e9es au pr\u00e9alable.<\/p>\n Il existe cependant d\u00e9j\u00e0 des parades. Un protocole utilisant un temps de validation plus long des transactions en Bitcoin permettrait de contourner l\u2019usage de la factorisation d\u2019entiers pour casser l\u2019algorithme de signature \u00e9lectronique du Bitcoin, ECDSA. C\u2019est document\u00e9 dans Committing to Quantum Resistance A Slow Defence for Bitcoin against a Fast Quantum Computing Attack<\/a>, 2018 (18 pages). Mais cela ne ferait qu\u2019amplifier un d\u00e9faut cl\u00e9 du Bitcoin en tant que monnaie : un rallongement des temps de transaction qui est d\u00e9j\u00e0 loin d\u2019\u00eatre temps r\u00e9el !<\/p>\n On peut aussi citer le projet open source de Blockchain r\u00e9sistante aux sournoises attaques du quantique : Quantum Resistant Ledger<\/a>. Il s\u2019appuie sur le protocole de signature \u00e9lectronique XMSS (Extended Merkle Signature Scheme).<\/p>\n Le document<\/a> de Long Finance <\/strong>r\u00e9sume tous ces risques sur les Smart Ledgers en s\u00e9parant les transactions qui sont relativement prot\u00e9g\u00e9es et celles qui s\u2019appuient sur des signatures \u00e9lectroniques vuln\u00e9rables qui ne le sont pas. Il rappelle aussi que les \u00e9changes Internet sur lesquels s\u2019appuient la Blockchain sont aussi vuln\u00e9rables au hacking des protocoles SSL et TLS qui les prot\u00e8gent.<\/p>\n Pour en savoir plus, voir aussi The quantum threat to payment systems<\/a> de Michele Mosca de l\u2019Universit\u00e9 de Waterloo, 2017 (52 minutes). Mosca est une des r\u00e9f\u00e9rences mondiales du domaine.<\/p>\n Cette partie sur les menaces ne serait pas compl\u00e8te sans \u00e9voquer les d\u00e9saccords qui r\u00e8gnent dans l’industrie et la recherche. Certains sp\u00e9cialistes de la cryptographie sont plut\u00f4t conservateurs et consid\u00e8rent qu’il ne faut pas trop toucher \u00e0 ce qui fonctionne bien. Ils pensent que l’on en fait trop avec la menace de Shor. D’autres, comme le NIST aux USA, sont plus alarmistes et sont d’avis qu’il ne faut pas tarder \u00e0 mettre \u00e0 jour les syst\u00e8mes de cryptographie les plus critiques.<\/p>\n G\u00e9n\u00e9ration de cl\u00e9s al\u00e9atoires quantiques<\/strong><\/p>\n Nous allons maintenant passer \u00e0 la description des trois briques de la cryptographie quantique avec pour commencer, la g\u00e9n\u00e9ration de cl\u00e9s al\u00e9atoires.<\/p>\n Les syst\u00e8mes de cryptographie quantique et traditionnels sont tous aliment\u00e9s par des g\u00e9n\u00e9rateurs de nombres al\u00e9atoires. Il en existe depuis des lustres. N\u2019importe quel microprocesseur peut g\u00e9n\u00e9rer des nombres plus ou moins al\u00e9atoires. Le soucis des cryptographes est de disposer de nombres v\u00e9ritablement al\u00e9atoires. A savoir des suite de 0 et de 1 sans r\u00e9p\u00e9titions avec une proportion de 0 et de 1 \u00e9quilibr\u00e9e. Comme le sont les d\u00e9cimales du nombre pi ! Il faut de plus que la g\u00e9n\u00e9ration soit non d\u00e9terministe et que l\u2019on ne puisse pas la reproduire.<\/p>\n Une bonne part des g\u00e9n\u00e9rateurs de nombres al\u00e9atoires utilis\u00e9s couramment sont pseudo-al\u00e9atoires et d\u00e9terministes. Ce sont des PRNG<\/strong>, pour Pseudorandom Number Generators. On introduit de l\u2019al\u00e9atoire en utilisant comme param\u00e8tres de l\u2019algorithme de g\u00e9n\u00e9ration des \u00e9l\u00e9ments variables comme l\u2019heure \u00e0 la milliseconde pr\u00e8s, les coordonn\u00e9es GPS ou d\u2019autres informations de contexte. Malheureusement, malgr\u00e9 ces variables d\u2019initialisation, les algorithmes courants g\u00e9n\u00e8rent des p\u00e9riodes dans les nombres g\u00e9n\u00e9r\u00e9s.<\/p>\n La solution consiste \u00e0 utiliser un processus physique r\u00e9ellement al\u00e9atoire dans la g\u00e9n\u00e9ration de nombres. L\u2019un des processus connus consiste \u00e0 mesurer le bruit d\u2019origine thermique d\u2019un composant \u00e9lectronique comme dans un amplificateur. La m\u00e9thode la plus al\u00e9atoire repose sur la physique quantique et en particulier sur un syst\u00e8me conceptuellement assez simple reposant sur la mesure de la phase de photons \u00e9mis individuellement en s\u00e9rie. Voir Quantum Random Number Generators<\/a> de Miguel Herrero-Collantes, 2016 (54 pages).<\/p>\n Elle permet de cr\u00e9er des nombres v\u00e9ritablement al\u00e9atoires de toute taille et assez rapidement, \u00e0 raison d\u2019un d\u00e9bit pouvant atteindre 1,5 Mbits al\u00e9atoires par seconde, voir m\u00eame plusieurs dizaines de Gbits\/s. Ils varient selon les processus utilis\u00e9s. La technique est notamment maitris\u00e9e par la startup suisse IDQ ou ID Quantique, cr\u00e9\u00e9e par le chercheur Nicolas Gisin, ainsi que par MagiQ, cryptomathic, Crypta Labs et PicoQuant.<\/p>\n Prot\u00e9ger les communications crypt\u00e9es avec des cl\u00e9s quantiques<\/strong><\/p>\n Nous l\u2019avions d\u00e9j\u00e0 \u00e9voqu\u00e9 dans l\u2019inventaire des scientifiques de la physique et de l\u2019informatique quantique<\/a> : en 1992, un certain Artur Ekert <\/strong>n\u00e9 en 1961, Polonais et Anglais, rencontre le physicien fran\u00e7ais Alain Aspect en 1992 pour lui soumettre l\u2019id\u00e9e d\u2019utiliser l\u2019intrication quantique de photons qu\u2019il a v\u00e9rifi\u00e9 dans son exp\u00e9rience en 1982 pour l\u2019envoi de cl\u00e9s quantiques inviolables. Alain Aspect trouve l\u2019id\u00e9e int\u00e9ressante. Artur Ekert venait de publier en 1991 l\u2019article Quantum Cryptography Based on Bell’s Theorem<\/a> (3 pages). ll est \u00e0 l\u2019origine du protocole E91<\/a> utilisant l\u2019intrication quantique.<\/p>\n Elle a depuis fait son chemin. Elle est m\u00eame \u00e0 l\u2019origine de la cr\u00e9ation du champ entier de la cryptographie quantique ! Artur Ekert fait partie depuis 2016 du conseil scientifique d\u2019Atos en compagnie d\u2019Alain Aspect, Daniel Est\u00e8ve, Serge Haroche, C\u00e9dric Villani et David DiVicenzo.<\/p>\n Le principe de base de la cryptographie quantique est celui de la QKD ou \u201cquantum key distribution\u201d. Il consiste \u00e0 permettre l\u2019\u00e9change de cl\u00e9s sym\u00e9triques par voie optique (fibre optique, liaison a\u00e9rienne ou satellite) en s\u2019appuyant sur un syst\u00e8me de protection de sa transmission contre les intrusions. Sa premi\u00e8re mouture fut le protocole BB84 invent\u00e9 par l\u2019Am\u00e9ricain Charles Bennett et le Canadien Gilles Brassard en 1984 dans Quantum cryptography : public key distribution and coin tossing<\/a>, 5 pages. Ils sont les cr\u00e9ateurs en 1982 de l\u2019appellation de \u201ccryptographie quantique\u201d.<\/p>\n Artur Ekert a donc perfectionn\u00e9 BB84 en utilisant l\u2019intrication quantique, \u00e9vitant la transmission explicite d\u2019information (de phase de photon) pouvant \u00eatre intercept\u00e9e par un intrus. La QKD a ensuite \u00e9volu\u00e9, notamment avec le protocole BBM92<\/strong> qui ajoute l\u2019intrication au protocole BB84 et de mani\u00e8re plus s\u00e9curis\u00e9e que le E91 de Artur Ekert. Il y a aussi le protocole CV-QKD pour \u201ccontinuous variable\u201d-QKD, qui module \u00e0 la fois la phase et l\u2019amplitude du signal optique transmis et permet notamment le multiplexage de plusieurs communications sur une m\u00eame fibre optique.<\/p>\n Les protocoles de QKD ont la particularit\u00e9 de permettre la d\u00e9tection de toute intrusion dans la chaine de transmission et d\u2019indiquer que quelqu\u2019un a tent\u00e9 d\u2019en lire le contenu ou si des perturbations sont intervenues \u201csur la ligne\u201d. Dans le protocole BB84, cela repose sur l\u2019envoi de l\u2019information sur des photons avec quatre types de phases : 0\u00b0, 45\u00b0, 90\u00b0, 135\u00b0 et 180\u00b0. Histoire de faire simple car c\u2019est en fait plus compliqu\u00e9, leur lecture par un intrus va modifier leur phase, en rabattant leur polarisation \u00e0 0\u00b0 ou 90\u00b0. Toute intrusion en lecture sera d\u00e9tect\u00e9e \u00e0 l\u2019arriv\u00e9e. Si le protocole d\u00e9tecte un intrus, il peut en tenir compte et bloquer la communication de l\u2019information sensible parce que la cl\u00e9 d\u2019encodage a \u00e9t\u00e9 capt\u00e9e.<\/p>\n De son c\u00f4t\u00e9, l\u2019information chiffr\u00e9e avec la cl\u00e9 transmise est envoy\u00e9e sur un canal traditionnel et en clair, m\u00eame si elle est elle-m\u00eame chiffr\u00e9e g\u00e9n\u00e9ralement par des protocoles comme SSL qui prot\u00e8ge les relations entre votre navigateur et les sites web que vous visitez et qui supportent Https. C\u2019est d\u2019ailleurs une modification que j\u2019ai mise en place dans ce blog fin juillet 2018. Cela ne change pas grand chose dans la mesure o\u00f9 les lecteurs que vous \u00eates ne se connectent pas de mani\u00e8re s\u00e9curis\u00e9e sur le site. Cela s\u00e9curise un peu mieux la connexion administrateur.<\/p>\n En pratique, la transmission de cl\u00e9 par QKD s\u2019accompagne d\u2019un syst\u00e8me complexe de \u201cdistillation de cl\u00e9\u201d qui g\u00e8re les imperfections de la communication avec des codes de correction d\u2019erreurs, une amplification de la confidentialit\u00e9 et un syst\u00e8me d\u2019authentification par cl\u00e9s priv\u00e9es d\u00e9j\u00e0 partag\u00e9es par les correspondants, permettant d\u2019\u00e9viter les attaques \u201cman in the middle\u201d de pirates qui se feraient passer par l\u2019un des interlocuteurs. Les codes de correction d\u2019erreurs et le reste du protocole g\u00e9n\u00e8rent des pertes en ligne d\u2019environ 80% de la communication des cl\u00e9s quantiques, selon l\u2019excellent panorama de Sheila Cobourne de l\u2019Universit\u00e9 de Londres Quantum Key Distribution Protocols and Applications<\/a>, 2011 (95 pages).<\/p>\n La mise en \u0153uvre d\u2019une QKD est encore complexe. On combine en g\u00e9n\u00e9ral un g\u00e9n\u00e9rateur de cl\u00e9s al\u00e9atoire quantique comme ceux de Suisse IDQ, puis un syst\u00e8me de g\u00e9n\u00e9ration de cl\u00e9 QKD logique, puis un encodage optique de cette cl\u00e9 qui va circuler g\u00e9n\u00e9ralement sur fibre optique. S\u00e9par\u00e9ment, le signal encrypt\u00e9 avec la cl\u00e9 (qui a \u00e9t\u00e9 pr\u00e9alablement envoy\u00e9e par la r\u00e9cipiendaire de l\u2018information s\u2019il s\u2019agit d\u2019une cl\u00e9 publique) est envoy\u00e9 sur un canal traditionnel, pouvant passer aussi par fibre optique ou un autre support de communication physique. C\u2019est bien document\u00e9 dans Quantum Key Distribution (QKD) Components and Internal Interfaces<\/a> de l\u2019ETSI, 2018 (47 pages) qui d\u00e9crit les diff\u00e9rentes techniques de QKD disponibles \u00e0 ce jour et d\u2019o\u00f9 le sch\u00e9ma ci-dessus <\/em>est issu.<\/p>\n A l\u2019arriv\u00e9e, il faut le lecteur de cl\u00e9 quantique puis le syst\u00e8me de d\u00e9chiffrage du signal arriv\u00e9 par voie normale. Cela donne pour l\u2019instant de syst\u00e8mes avec deux racks d\u2019\u00e9quipements comme en t\u00e9moigne cette illustration ci-dessous <\/em>issue de A tale of quantum computers<\/a> de Alexandru Gheorghiu (131 slides).<\/p>\n Le canal prot\u00e9g\u00e9 transportant la cl\u00e9 QKD peut cohabiter sur une m\u00eame fibre optique avec le signal utile qui est transmis normalement et pour servir plusieurs utilisateurs simultan\u00e9ment, comme d\u00e9crit dans Quantum Encrypted Signals on Multiuser Optical Fiber Networks Simulation Analysis of Next Generation Services and Technologies<\/a> de l\u2019Anglais Rameez Asif, 2017 (6 pages).<\/p>\n Les exp\u00e9riences symboliques de mise en \u0153uvre de QKD se sont succ\u00e9d\u00e9es ces derni\u00e8res ann\u00e9es. Les premi\u00e8res datent de 2005, men\u00e9es par la DARPA <\/strong>\u00e0 Boston. Une exp\u00e9rimentation a eu lieu \u00e0 Vienne <\/strong>en 2008 dans le cadre du projet europ\u00e9en SECOQC<\/strong> (SE<\/i>cure CO<\/i>mmunication based on Q<\/i>uantum C<\/i>ryptography) lanc\u00e9 en 2004 et associant une quarantaine de laboratoires de recherche et d\u2019entreprises priv\u00e9es, en exploitant une architecture \u201cmesh\u201d. Un test de liaison sur 144 km a \u00e9t\u00e9 men\u00e9 par des Autrichiens en 2010 pour relier les iles de La Palma et Tenerife aux Canaries<\/strong>, en utilisant le protocole BBM92<\/strong>, et document\u00e9 dans Feasibility of 300 km Quantum Key Distribution with Entangled States<\/a>, 2010 (14 pages). Cela a continu\u00e9 en Suisse avec IDQ <\/strong>pour relier entre elles des banques locales.<\/p>\n Les USA s\u2019y sont \u00e9galement mis pour d\u00e9ployer un r\u00e9seau inter-\u00e9tats de communication par QKD, pilot\u00e9 par Batelle<\/strong> (source<\/a>). Des tests avaient d\u00e9j\u00e0 \u00e9t\u00e9 r\u00e9alis\u00e9s en 2015 au MIT <\/strong>pour relier entre eux deux sites distants de 43 km (sch\u00e9ma ci-dessous<\/em> issu de From MIT : Semiconductor Quantum Technologies for Communications and Computing<\/a>, 2017, 32 slides), un type d\u2019exp\u00e9rience aussi r\u00e9alis\u00e9e au Royaume Uni, vue dans IDQ : Quantum-Safe Security elevance for Central Banks<\/a>, 2018 (27 slides) et leur UK Quantum Communications hub entre Bristol et Londres\/Cambridge.<\/p>\n Cette m\u00eame pr\u00e9sentation \u00e9voque un syst\u00e8me de d\u00e9compte de votes d\u2019\u00e9lections s\u2019appuyant sur une QKD (ci-dessous<\/em>). Si les machines \u00e0 voter sont elles-m\u00eames s\u00e9curis\u00e9es, cela peut avoir un int\u00e9r\u00eat. Sinon, bien non ! La s\u00e9curit\u00e9 doit \u00eatre de bout en bout !<\/p>\n Ce sont les Chinois qui se font le plus remarquer avec des d\u00e9monstrations et projets destin\u00e9s \u00e0 marquer les esprits. Comme nombre de pays, la Chine investit dans les QKD pour des raisons de souverainet\u00e9 et pour prot\u00e9ger ses communications sensibles. Un premier d\u00e9ploiement avait \u00e9t\u00e9 r\u00e9alis\u00e9 en 2012 dans la zone d\u2019Hefei pour relier diverses entit\u00e9s du gouvernement chinois (source<\/a>). Il a eu ensuite la mise en place d\u2019une liaison par fibre optique s\u00e9curis\u00e9e par QKD entre Shangha\u00ef et Beiking, faisant 2000 km. Le projet lanc\u00e9 en 2016 et d\u00e9ploy\u00e9 par la startup chinoise QuantumCTek <\/strong>serait termin\u00e9. Sachant que sur 2000 km, il faut installer environ environ 25 r\u00e9p\u00e9teurs et en s\u00e9curiser l\u2019acc\u00e8s physique ! En effet, l\u2019att\u00e9nuation du signal est trop forte au-del\u00e0 d\u2019environ 80 km sur une fibre optique.<\/p>\n La seconde performance chinoise concerne l\u2019usage du satellite Micius <\/strong>pour t\u00e9l\u00e9porter des \u00e9tats quantiques de photons par voie optique en 2017, \u00e0 1400 km de distance entre la Terre (en altitude dans le Tibet) et le satellite. Les d\u00e9tails sont dans Ground-to-satellite quantum teleportation<\/a>, 2017 (16 pages). Le principe a \u00e9t\u00e9 d\u00e9crit pour la premi\u00e8re fois en 1993 dans Teleporting an Unknown Quantum State via Dual Classical and EPR Channels<\/a> de Charles Bennett, Gilles Brassard (de Montr\u00e9al), Claude Cr\u00e9peau (un fran\u00e7ais de Normale Sup), Richard Jozsa, Asher Peres et William Wootters. Une communication de cl\u00e9 quantique QKD ensuite \u00e9t\u00e9 r\u00e9alis\u00e9e, en utilisant un proc\u00e9d\u00e9 diff\u00e9rent, en 2018, entre la Chine et l\u2019Autriche pour mener une vid\u00e9o-conf\u00e9rence s\u00e9curis\u00e9e par cette cl\u00e9 (ci-dessous<\/em>).<\/p>\n Qu\u2019en est-il donc des r\u00e9p\u00e9teurs, indispensables pour distribuer des cl\u00e9s quantiques sur de grandes distances, au-del\u00e0 de 80 km ? Des chercheurs chinois ont cr\u00e9\u00e9 une connexion en fibre en QKD de 404 km sans r\u00e9p\u00e9teur, document\u00e9e dans Measurement device independent quantum key distribution over 404 km optical fibre<\/a>, 2016 (15 pages), mais \u00e0 cette distance les taux d\u2019erreurs sont tellement \u00e9lev\u00e9s que cela ne sert par \u00e0 grand chose. Il existe des technologies de r\u00e9p\u00e9teurs quantiques pour fibres optiques mais avec quelques limitations. On en serait d\u00e9j\u00e0 \u00e0 la troisi\u00e8me g\u00e9n\u00e9ration de ces r\u00e9p\u00e9teurs mais ils seraient d\u00e9j\u00e0 hackables, selon The network impact of hijacking a quantum repeater<\/a> 2018 (23 pages). Bref, ce n\u2019est pas encore au point !<\/p>\n Une technique plus s\u00fbre consisterait \u00e0 utiliser une m\u00e9moire quantique dans les r\u00e9p\u00e9teurs pour r\u00e9pliquer l\u2019\u00e9tat des photons \u00e0 transmettre. C\u2019est l\u2019objet de travaux de l\u2019\u00e9quipe de Nicolas Gisin <\/strong>de l\u2019Universit\u00e9 de Gen\u00e8ve (et ID Quantique) accompagn\u00e9 d\u2019une \u00e9quipe du CNRS en France. Ils s\u2019appuient sur une terre rare, l\u2019ytterbium, selon Ytterbium: The quantum memory of tomorrow<\/a>, juillet 2018. Ce n\u2019est pas encore commercialis\u00e9. Dans la m\u00eame veine, des chercheurs du Key Lab of Quantum Information <\/strong>de l\u2019Acad\u00e9mie des Sciences chinoise (lien<\/a>) publiaient en ao\u00fbt 2018 une \u00e9tude sur la cr\u00e9ation de m\u00e9moires quantiques \u00e0 base d\u2019ions de terre rare (non pr\u00e9cis\u00e9) dop\u00e9s \u00e0 trois degr\u00e9s de libert\u00e9, pilotable par envoi de photons (sch\u00e9ma de l\u2019exp\u00e9rience ci-dessous <\/em>qui illustre le fait que l\u2019on est encore loin de la miniaturisation). Cette technique pourrait servir \u00e0 la fois \u00e0 la cr\u00e9ation de r\u00e9p\u00e9teurs pour des r\u00e9seaux de QKD et pour cr\u00e9er des m\u00e9moires quantiques pour ordinateurs quantiques \u00e0 base d\u2019optique lin\u00e9aire.<\/p>\n La s\u00e9curisation d\u2019une chaine d\u00e9pend de ses maillons les plus faibles et ici, ce sont les \u00e9metteurs et les r\u00e9cepteurs avant m\u00eame qu\u2019ils n\u2019\u00e9changent via une QKD. Par ailleurs, les QKD ne sont pas la panac\u00e9e car elles d\u00e9pendent d\u2019une liaison point \u00e0 point et pas d\u2019une technique de routage permettant d\u2019emprunter plusieurs chemins. Cela pourrait aboutir \u00e0 une forme de d\u00e9ni de service par blocage de la communication physique employ\u00e9e.<\/p>\n Autre exemple, ce projet d\u2019utiliser les QKD pour s\u00e9curiser une Blockchain. C\u2019est \u00e9videmment d\u00e9licat \u00e0 d\u00e9ployer de bout en bout \u00e0 grande \u00e9chelle. En effet, les utilisateurs de Blockchain n\u2019ont pas une liaison satellite en montagne ou une fibre s\u00e9curis\u00e9e sous la main, ne serait-ce que lorsqu\u2019ils sont mobiles. Mais soit. C\u2019est la proposition de Evgeny Kiktenko du \u201cRussian Quantum Center\u201d de Moscou, document\u00e9 dans First Quantum-Secured Blockchain Technology Tested in Moscow<\/a>, juin 2017 ainsi que de Del Rajan et Matt Visser de l\u2019Universit\u00e9 Victoria de Wellington en Nouvelle Z\u00e9lande dans Quantum Blockchain using entanglement in time<\/a>, 2018 (5 pages). Au juste, pourquoi ne prot\u00e8ge-t-on pas l\u2019ensemble des donn\u00e9es transmises avec le m\u00eame principe que la QKD ? Ce qui s\u2019y oppose semble \u00eatre la limitation en d\u00e9bit du proc\u00e9d\u00e9.<\/p>\n La cryptographie est fascinante pour la vitesse \u00e0 laquelle des dispositifs de s\u00e9curit\u00e9 peuvent \u00eatre cass\u00e9s par des chercheurs avant m\u00eame d\u2019avoir \u00e9t\u00e9 d\u00e9ploy\u00e9s en masse. Ainsi les QKD seraient vuln\u00e9rables du fait d\u2019une faille du th\u00e9or\u00e8me de Bell, comme le documente Jonathan Jogenfors dans Breaking the Unbreakable Exploiting Loopholes in Bell\u2019s Theorem to Hack Quantum Cryptography<\/a>\u00a0 2017, (254 pages). C\u2019est une course sans fin !<\/p>\n La cryptographie post-quantique<\/strong><\/p>\n La protection physique de l\u2019envoi de cl\u00e9s sym\u00e9triques n\u2019est pas facilement applicable de mani\u00e8re g\u00e9n\u00e9ralis\u00e9e, ne serait-ce parce qu\u2019elle impose une liaison optique (directe ou par fibre optique) entre \u00e9metteurs et r\u00e9cepteurs. Ce qui, par exemple, ne fonctionne pas avec les liaisons radio comme avec les smartphones. Too bad !<\/p>\n L\u2019objectif que se sont donn\u00e9s les sp\u00e9cialistes est donc de cr\u00e9er et exploiter des syst\u00e8mes capables de r\u00e9sister aux assauts des ordinateurs quantiques et en particulier \u00e0 l\u2019algorithme de Shor (factorisation d\u2019entiers mais aussi logarithme discret) comme de Grover (recherche brute) sans protection quantique de la liaison physique. Le d\u00e9cryptage de messages chiffr\u00e9s – sans les cl\u00e9s priv\u00e9es – doit \u00eatre un probl\u00e8me NP-Complet ou NP-Difficile<\/a> pour r\u00e9sister aux assauts futurs du quantique.<\/p>\n Bref, la Post-Quantum Cryptography (PQC) est en quelque sorte concurrente de la Quantum Key Distribution (QKD) ! Et elle est certainement plus facile \u00e0 d\u00e9ployer \u00e0 grande \u00e9chelle car elle est ind\u00e9pendante des infrastructures physiques utilis\u00e9es pour les t\u00e9l\u00e9communications.<\/p>\n La chronologie m\u00e9rite le d\u00e9tour pour sa dimension \u201clong terme\u201d sachant que j\u2019en ai extrait un bout dans\u00a0 Quantum cryptanalysis \u2013 the catastrophe we know and don\u2019t know<\/a> de Tanja Lange, une des sp\u00e9cialistes du sujet et chercheuse aux Pays Bas, 2017 (33 slides) :<\/p>\n![\"Crypto](\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/Crypto-quantique-et-post-quantique.jpg\" "\\"Crypto")
<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n\n
<\/a><\/p>\n\n
<\/a><\/p>\n\n
![](\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/NIST-timeline.jpg\"){kind=link}