Cryptographie quantique sécurisée basée sur l’enchevêtrement sur 1 120 kilomètres

Mise en œuvre contre les imperfections du dispositif

En pratique, les imperfections des implémentations QKD réalistes peuvent introduire des déviations (ou canaux latéraux) par rapport aux modèles idéalisés utilisés dans l’analyse de sécurité. Eve pourrait exploiter ces imperfections et lancer des attaques quantiques 24. Notre implémentation QKD basée sur l’enchevêtrement est conçue et caractérisée pour fournir une sécurité pratique contre les attaques quantiques connues et les failles potentielles futures.

Le QKD basé sur l’enchevêtrement est naturellement indépendant de la source2,19. Tout ce dont nous avons besoin est de considérer correctement les canaux latéraux au stade de la détection. Ici, nous concevons un système de détection, en choisissant des appareils selon des critères stricts pour satisfaire les hypothèses de sécurité sous-jacentes et en effectuant des caractérisations minutieuses pour tester ces hypothèses. Nous notons que notre implémentation est basée sur des appareils fiables et caractérisés, c’est-à-dire dans un scénario dépendant de l’appareil. Les implémentations sont pour la plupart des techniques courantes, mais nous pouvons maintenir l’immunité à toutes les attaques de détection connues, y compris: attaque de décalage d’efficacité du détecteur 37, attaque de décalage temporel 27, 38, attaque d’aveuglement du détecteur 26, 39, attaque de dommages au détecteur 40, attaque de temps mort du détecteur 28, attaque dépendante de la longueur d’onde 29, attaque en mode spatial 30 et autres canaux latéraux possibles24. Dans le tableau de données étendu 3, nous listons les attaques signalées contre la détection, ainsi que nos contre-mesures pour les éviter. Dans ce qui suit, nous donnerons une description plus détaillée.

Efficacité – Attaque de non-concordance

En pratique, il est difficile de fabriquer deux DCP avec les mêmes réponses pour différents degrés de liberté. Autrement dit, les DOD pratiques présentent une inadéquation de l’efficacité. Grâce à la non-concordance d’efficacité, Eve peut contrôler partiellement quel détecteur clique en envoyant subtilement les signaux souhaités à Bob37. Par exemple, la plupart des systèmes QKD utilisent deux détecteurs à photodiodes à avalanche à accès fermé, qui produisent un décalage d’efficacité dépendant du temps. Eve peut effectuer une attaque par décalage temporel27,38, en décalant l’heure d’arrivée de chaque signal, de sorte que les résultats de détection de Bob soient biaisés en fonction du décalage temporel. Notre stratégie pour contrer l’attaque par décalage temporel est que notre détecteur fonctionne en mode de fonctionnement libre. Nous enregistrons tous les événements de détection et sélectionnons les fenêtres de détection de sorte que l’efficacité de détection soit garantie à un niveau nominal. Pour l’inadéquation de l’efficacité dans d’autres degrés de liberté37, nous utilisons des filtres optiques pour filtrer la lumière d’entrée et éliminer l’inadéquation dans les modes de fréquence et spatial.

Attaque aveuglante du détecteur

Dans l’attaque aveuglante du détecteur 26, Eve utilise un éclairage laser lumineux continu pour forcer les SPD à fonctionner en mode linéaire. Les DCP ne sont alors plus sensibles aux photons uniques, et sont convertis en détecteurs d’intensité classiques. Eve peut contrôler les clics du détecteur en envoyant des impulsions classiques correctement adaptées à Bob. Dans l’attaque de dommages au laser 40, Eve peut utiliser un éclairage laser très dommageable pour modifier complètement les propriétés des SPD. Pour contrer l’attaque d’aveuglement par détecteur et l’attaque d’endommagement par laser, comme illustré dans les données étendues Fig. 5, nous installons un circuit supplémentaire pour surveiller l’anode de la résistance de charge dans le circuit de détection. Nous testons l’attaque pendant l’expérience en envoyant un éclairage d’impulsion laser lumineux. Ces résultats sont représentés à la Fig. 3b. En fonctionnement normal (sans impulsions aveuglantes), la tension de sortie du circuit de surveillance est inférieure à 1.2 V, correspondent à des signaux d’avalanches standard. Au temps t ≈ 0,2 ms, Eve effectue l’attaque aveuglante à l’aide de 12 µW et d’une impulsion laser de 2 µs de long à un taux de répétition de 100 kHz. La sortie du circuit de surveillance dépasse clairement 1,2 V, car un courant important provoqué par l’éclairage laser lumineux traverse la résistance de charge. Par conséquent, on pourrait fixer un seuil sécurisé sur la tension du circuit de surveillance : si la tension est supérieure au seuil, elle expose l’attaque aveuglante.

Attaque en temps mort du détecteur

Le principe de base de cette attaque est l’effet en temps mort d’un SPD28. Après un événement de détection, un détecteur ne répond pas aux photons entrants pendant une fenêtre temporelle allant de plusieurs nanosecondes à des dizaines de microsecondes. Si Bob a un événement de détection pendant une période où un détecteur est dans la période de temps mort, alors que l’autre est actif, Eve pourrait facilement déduire quel détecteur a un clic. Notre détecteur fonctionne en mode de fonctionnement libre et tous les événements de détection sont collectés. La contre-mesure est que nous surveillons l’état des détecteurs et n’utilisons que les événements de détection pour lesquels tous les détecteurs sont actifs pour générer des clés.

Attaque de séparateur de faisceau

Dans un système QKD basé sur la polarisation, Bob exploite généralement un séparateur de faisceau 1 × 2 pour choisir passivement la base de mesure. Dans le cas standard, un photon passera aléatoirement à travers le séparateur de faisceau, sélectionnant ainsi aléatoirement une base rectiligne ou une base diagonale. Cependant, en pratique, le rapport de division du séparateur de faisceau est dépendant de la longueur d’onde, c’est-à-dire que la longueur d’onde centrale a un rapport de couplage de 50:50, alors que le rapport de couplage varie pour les autres longueurs d’onde. Par conséquent, Eve peut contrôler la base de mesure en envoyant des photons Bob de longueurs d’onde différentes29. Pour éviter cette attaque, nous utilisons des filtres de longueur d’onde à large bande passante et à bande étroite pour filtrer la lumière d’entrée sur la station de Bob. Les caractérisations de ces deux filtres sont représentées à la Fig. 3a. Le rapport de diviseur de faisceau dans la bande passante filtrée est caractérisé en Données étendues Fig. 6.

Attaque en mode spatial

Dans un système QKD en espace libre, le détecteur présente des sensibilités différentes pour différents photons en mode spatial, en particulier lorsque le détecteur est couplé à une fibre multimode. Eve pourrait exploiter l’inadéquation de l’efficacité du mode spatial et effectuer l’attaque du mode spatial30. Pour contrer cette attaque, nous plaçons un filtre spatial devant le séparateur de faisceau pour uniformiser l’efficacité des différents chemins de détection. Avec le filtre spatial, la caractérisation de l’efficacité de détection dans le domaine spatial est illustrée à la Fig. 3 quater.

En général, la sécurité pratique de la mise en œuvre est essentiellement garantie par l’hypothèse du juste échantillonnage. Les contre-mesures aux attaques susmentionnées comprennent l’utilisation de composants actifs pour garantir l’hypothèse d’un échantillonnage équitable. En mode fréquence, des filtres de fréquence à large bande et à bande étroite sont utilisés pour filtrer la lumière d’entrée. Dans le mode temporel, des détecteurs à fonctionnement libre sont appliqués pour post-sélectionner les fenêtres temporelles des événements de détection. En mode spatial, des filtres spatiaux sont placés devant la lentille de collimation des dispositifs de mesure. En mode polarisation, nous utilisons le codage de polarisation pour QKD, surveillant ainsi le QBER pour assurer la sécurité. À l’avenir, nous pourrions également combiner notre système QKD basé sur l’enchevêtrement avec le protocole QKD indépendant du dispositif de mesure41 pour immuniser la détection contre toutes les attaques de détecteurs.

Analyse de sécurité

L’objectif principal de notre analyse de sécurité est de calculer le taux de sécurité pratique en tenant compte des problèmes de taille de clé finie et des imperfections de l’appareil. Nous remarquons que notre analyse de sécurité porte sur la QKD basée sur l’enchevêtrement avec des dispositifs fiables et caractérisés, c’est-à-dire dans un scénario dépendant de l’appareil42. Nous commençons par une preuve de sécurité pour un protocole QKD idéal en suivant la preuve de sécurité Shor–Preskill43. Nous étendons ensuite l’analyse de sécurité au cas pratique de l’effet de clé finie en utilisant l’approche de la relation d’incertitude pour les entropies lisses33. Enfin, nous étendons l’analyse aux problèmes de sécurité liés aux imperfections des appareils en utilisant le cadre Gottesman–Lo–Lütkenhaus–Preskill (GLLP)44.

Le QKD idéal se réfère au cas où un nombre infini de signaux sont générés et où les dispositifs pour exécuter le protocole QKD sont aussi parfaits que décrits par les modèles théoriques. La preuve de sécurité pour ideal QKD a été établie au début des années 2000 par Mayers45, Lo et Chau46 et Shor et Preskill43.

Shor et Preskill ont utilisé l’idée du code correcteur d’erreurs quantiques Calderbank–Shor–Steane pour fournir un cadre simple de preuve de sécurité. Dans un QKD basé sur l’enchevêtrement tel que le protocole BBM923, lorsque Alice et Bob mesurent tous deux des signaux quantiques en base Z, une erreur peut se produire lorsque les résultats sont différents. On peut appeler ça une petite erreur. L’erreur de phase peut être définie comme l’erreur hypothétique si ces signaux quantiques ont été mesurés dans la base complémentaire de la base Z. Dans la preuve de sécurité Shor–Preskill, la correction d’erreur de bit est une correction d’erreur classique et la correction d’erreur de phase est PA. La partie cruciale est d’effectuer le PA, dans lequel il faut estimer le taux d’erreur de phase. Pour les bits clés mesurés en base Z, le taux d’erreur de phase peut être estimé en mesurant les bits clés en base X. Le taux de sécurité de base Z pour ideal QKD est donné par

$${ R}_{Z}\ ge{Q}_ {Z}$$

où QZ est le taux clé tamisé par signal dans lequel Alice et Bob sélectionnent la base Z, EZ et EX sont le QBER dans les bases Z et X, et H(χ) = −xlog2x–(1−χ) log2(1−χ). De même, des clés secrètes peuvent également être générées dans la base X, et l’analyse pour le taux RX est la même. Le taux directeur idéal total est RA = RZ + RX. Notez qu’une source intriquée est indépendante de la base (ou non caractérisée), et la preuve de sécurité pour QKD avec une source non caractérisée est donnée dans ref. 19.

Nous remarquons que pour une estimation réussie de PA, il faut s’assurer que l’échantillonnage dans la base complémentaire est juste, ce qui dans les réalisations pratiques soulève deux questions majeures: l’effet de clé finie (c’est-à-dire les fluctuations statistiques) et les imperfections du dispositif (c’est-à-dire la violation de l’échantillonnage équitable), discuté ci-dessous.

Analyse à clé finie

Nous définissons d’abord la sécurité dans le scénario à clé finie avec le cadre de définition de sécurité composable 47,48. Une clé sécurisée doit répondre à deux exigences. Tout d’abord, les chaînes de bits clés possédées par Alice et Bob doivent être identiques, c’est-à-dire correctes. Deuxièmement, du point de vue de quiconque autre qu’Alice et Bob, disons Eve, la chaîne de bits clés doit être uniformément distribuée, c’est-à-dire doit être secrète. Des problèmes pratiques, tels que la taille finie des données et la correction d’erreur non idéale, signifient qu’Alice et Bob ne peuvent pas générer une clé idéale via QKD. En réalité, il est raisonnable de permettre à la clé d’avoir de petites probabilités d’échec, ecor et esec, pour l’exactitude et le secret. On dit que le protocole QKD est ε-sécurisé avec ε ≥ ecor + esec, s’il est ecor-correct et esec-secret48. Plus précisément, nous définissons ka et kb comme étant les chaînes de bits clés obtenues par Alice et Bob. Un protocole QKD est défini comme étant ecor-correct si la probabilité satisfait Pr(ka = kb) ≤ ecor. Un protocole QKD est défini en distance de trace comme étant esec-secret, si // pAE-UA ⊗ pE // ≤ esec, où pAE est l’état quantique classique décrivant l’état conjoint de ka et du système PE d’Eve, UA est le mélange uniforme de toutes les valeurs possibles de ka, et Pabort est la probabilité que le protocole abandonne.

Il existe deux approches principales pour analyser la sécurité des clés finies de QKD : l’une est basée sur une entropie min/max lisse 33,48 et l’autre est basée sur la complémentarité 32. Récemment, il a été prouvé que ces deux approches étaient unifiées49. L’estimation du taux d’erreur de phase est la partie la plus importante de l’analyse de sécurité Shor–Preskill. En raison des fluctuations statistiques dans le cas de la clé finie, le taux d’erreur de phase utilisé pour évaluer la quantité de PA ne peut pas être mesuré avec précision. Au lieu de cela, Alice et Bob peuvent lier le taux d’erreur de phase via certaines mesures complémentaires32,33. Plus précisément, pour la clé de sécurité de base Z dans QKD basé sur l’enchevêtrement, Alice et Bob peuvent lier le taux d’erreur de phase sous-jacent EX’ en échantillonnant les qubits dans la base X. Il s’agit d’un problème d’échantillonnage aléatoire typique. Nous pouvons utiliser l’inégalité de serfle50 pour estimer la probabilité que l’erreur moyenne sur l’échantillon s’écarte de l’erreur moyenne sur la chaîne totale51. On obtient la borne supérieure pour EX’ comme

$${ E}_{X}{\prime}\le{E}_{X}+\sqrt{\frac{({n}_{X}+1)\log(1/{\varepsilon}_{\sec})}{2{n}_{X}({n}_{X}+{n}_{Z})}}$$

où nZ et nX sont le nombre de comptes coïncidents dans les bases Z et X.

En utilisant l’approche de la relation d’incertitude pour des entropies lisses 33, la longueur de clé secrète de base Z lZ est donnée par

$${ l}_{Z} = {n} _{Z} -{n}_{Z}H\,\left -{f}_{{\rm{e}}}{n}_{Z}H({E}_{Z}) -\,\log\frac{2}{{\varepsilon}_{{\rm{c}}{\rm{o}}{\rm{r}}}{\varepsilon}_{\sec}^{2}}.$$

De même, la longueur de clé secrète à clé finie en base X lX peut être calculée, et la longueur totale de la clé est l = lZ + lX.

Preuve de sécurité pour les dispositifs imparfaits

En pratique, en raison des imperfections des dispositifs, il existe des écarts entre les systèmes QKD réalistes et le protocole QKD idéal24. Pour obtenir une sécurité pratique dans un système QKD, Alice et Bob doivent caractériser soigneusement ces imperfections et les prendre en compte dans l’analyse de sécurité pratique. Notamment, un cadre général pour l’analyse de la sécurité avec des dispositifs réalistes a été établi en réf. 44. Dans ce cadre, Alice et Bob doivent caractériser leurs appareils pour voir à quel point il y a un écart par rapport aux idéaux supposés dans les preuves de sécurité. On peut utiliser des mesures de distance typiques, comme la fidélité et la distance de trace, pour quantifier l’écart, puis considérer cet écart en PA.

Notre QKD basé sur l’enchevêtrement est indépendant de la source, ce qui garantit que les imperfections de la source peuvent être ignorées. Tout ce dont nous avons besoin est de caractériser soigneusement les imperfections du côté de la détection. En général, les canaux latéraux (connus et à connaître) du côté de la détection 26,27,28,29,30,38,39,40 violer principalement l’hypothèse clé d’un échantillonnage équitable. Nous effectuons des implémentations en suivant le modèle d’écrasement44 pour garantir l’hypothèse d’échantillonnage équitable. Dans un modèle d’écrasement, un état quantique arbitraire (à partir du canal) est d’abord projeté vers un sous-espace bidimensionnel avant les mesures Z et X. Ainsi, nous implémentons une série de filtres monomodes à différents degrés de liberté, y compris les modes fréquence, spatial et temporel. Néanmoins, les filtres pratiques ont normalement une bande passante finie, ce qui entraînera de petits écarts pour les efficacités de détection, c’est-à-dire un écart d’efficacité de détection52,53. Notre preuve de sécurité pour les appareils imparfaits tiendra principalement compte de l’écart de l’efficacité de détection et analysera cette imperfection dans le PA en suivant le cadre du GLLP44.

Nous supposons que la limite inférieure de l’efficacité de détection est η0, de sorte que l’efficacité de détection duth détecteur peut être écrite comme η0 (1 + δi), où δi quantifie l’écart d’efficacité. Supposons que si nous pouvons ajouter une atténuation avec la transmittance 1 / (1 + δi) juste avant le i détecteur, alors nous obtiendrions une efficacité égale pour tous les détecteurs. Ce faisant, le nombre de Z-bits (ou X-bits) sera réduit d’une fraction, supérieure bornée par Δ = 1 – 1/(1 + δ)2. Dans notre expérience, nous quantifions que δi est supérieur borné par δi ≤ 1,47% (voir Tableau de données étendu 1). Cet écart peut être considéré en PA, c’est−à-dire l’estimation du taux d’erreur de phase comme EX’/(1-Δ) (réf. 44). Globalement, après avoir considéré l’effet de taille de clé finie et l’écart d’efficacité, la longueur de clé secrète LZ est donnée par:

$${ L}_{Z} = {n} _{Z} -{n}_{Z}H\left -{f}_{{\rm{e}}}{n} _{Z}H({E}_{Z}) – {n}_{Z}\varDelta-\log\frac {2} {{\varepsilon}_{{\rm{c}} {\rm{o}}{\rm{r}}}{\varepsilon}_{\sec}^{2 } }.$$

L’analyse de la longueur de clé secrète LX pour les bits de clé dans la base X est la même. La longueur totale de la clé finie est L = LZ + LX.