VISQ
Plate-forme de recherche et de démonstration
Voix sur IP avec Sécurité Quantique

Patrick Bellot, Philippe Gallion, Jean-Luc Danger, Sylvain Guilley

Presentation in english

LTCI
UMR 5141
Projet VISQ
ENST
INFRES & COMELEC
Projets SOIF et SECMAT
GET
Action de recherche
sur
crédits incitatifs
Table des matières
Résumé et objectifs
Motivation, impact, innovation
Etat de l'art (10/2005)
Contenu détaillé, approche, démarche
Résultats attendus
Suivi et déroulement du projet
Avancement et perspectives en Communications Optiques
Avancement et perspectives en Électronique
Avancement et perspectives en Informatique
Une vidéo
Fin du document

Résumé et objectifs

Ce projet est l'étude de la faisabilité actuelle d'un lien téléphonique utilisant la Voix sur IP (Voice over IP, VoIP), inconditionnellement sécurisé grâce à la cryptographie quantique. Inconditionnellement sécurisé signifie ici qu'un attaquant disposant de moyens illimités (en moyens de calculs, en temps, etc.) ne pourra pas avoir une connaissance, même partielle, de la communication protégée. La seule attaque possible sur un tel système est l'attaque de type Denial of Service empêchant le fonctionnement de la ligne en la coupant par exemple.

Si les principes physiques de la cryptographie quantique sont connus depuis longtemps, ses différents protocoles et technologies d'implémentation font encore l'objet d'une recherche active. Il apparaît opportun de disposer aujourd'hui d'un démonstrateur de validation opérant aux longueurs d'ondes des télécommunications, intégrant les traitements matériels et logiciels et la couche applicatives, dans une approche de sécurité globale (optique, électronique et logicielle).

Motivation, impact, innovation

La cryptographie quantique forme le domaine principal et en pleine expansion des communications quantiques. La sécurisation des systèmes de communication passe actuellement par des techniques de cryptographie à clé secrète ou à clé publique. Les communications, sur un canal non protégé, imposent l'échange d'une clé entre Alice et Bob qui sont, avec Eve, tentant d'obtenir cette clé à leur insu, les acteurs incontournables de tout scénario cryptographique.

La sécurité quantique résulte en premier lieu de l'impossibilité pour Eve de dupliquer les signaux reçus, principe de non-clonage, ou d'en distraire une partie significative sans signer son intervention par une modification importante du taux d'erreur des signaux reçus par Bob. La sécurité repose en second lieu sur le caractère destructif ou perturbateur de toute observation et sur les erreurs résultant d'observations incompatibles d'un même objet quantique, comme la mesure de la polarisation ou de la phase d'un photon unique sur deux bases différentes, ou comme la mesure simultanée des deux quadratures d'un même état cohérent contenant plusieurs dizaines de photons. Un taux d'erreur contrôlé garantit alors, a posteriori, la confidentialité de la liaison et donc l'établissement d'une clé. La sécurité peut également reposer, selon le type de protocole choisi, sur des états non classiques de la lumière, i.e. le squeezing, ou des super corrélations quantiques ou corrélation EPR, i.e. des intrications.

Si la physique quantique permet de construire des liens inconditionnellement sûrs, elle est entravée par trois facteurs. Le premier est le problème de l'authentification : les liens sont sensibles aux attaques de type Man in the middle. Le deuxième est une longueur de lien restreinte, quelques kilomètres à quelques dizaines de kilomètres. Le troisième, est l'incapacité technologique actuelle de fournir des répéteurs et des routeurs quantiques capable de réexpédier les objets quantiques sans les mesurer.

Notre projet est un projet applicatif prenant en compte l'état actuel de la technologie, en particulier le bas débit des liens quantiques sauf sur de très courtes distances. Nous nous proposons de construire un lien VoIP quantique Cette technologie comprend des appareillages quantiques dont le savoir-faire est partagée par quelques grands centres de recherche. C'est une technologie que nous nous approprions et que nous allons faire évoluer comme décrit plus loin. Elle comprend toute une algorithmique quantique spécialisée que nous allons étendre par de l'authentification. Enfin, nous allons fournir une électronique sécurisée équipée des générateurs aléatoires nécessaires à la cryptographie quantique.

Une approche du problème par la seule physique ne permet pas d'explorer toute la richesse et toutes les potentialités du sujet. Les clés fournies sont imparfaites et nécessitent une amélioration du taux d'erreur quantique ou QBER, du taux d'erreur classique ou CBER éventuel inhérent au protocole et une augmentation du différentiel d'information mutuelle entre Alice et Bob d'une part et Alice et Eve d'autre part. Ces améliorations passent par des traitements matériels et logiciels pertinents et sûrs en étroite liaison avec la couche optique.

La cryptographie quantique trouve également ses fondements dans la théorie de l'information de Shannon et nécessite une architecture logicielle importante pour atteindre la sécurité inconditionnelle visée. En effet, les appareils quantiques ont des taux d'erreurs quantiques (QBER) intrinsèques non négligeables (erreurs de mesure, erreurs de transmission, atténuation de la ligne, etc.) et le fonctionnement d'un système de cryptographie quantique est essentiellement statistique, y compris la détection éventuelle de l'espionne Eve. Les différentes phases logicielles, obtenues au prix d'une réduction de la longueur de la clé brute initiale, sont :

Les échanges doivent êtres authentifiés afin de se protéger des attaques de type Man in the middle contre lesquelles la physique ne peut rien pour l'instant. Des fonctions de hachage inconditionnellement sûres, les fonctions de Wegman-Carter par exemple, doivent être utilisées à des fins d'authentification.

Puis les informations échangées permettent d'établir une clé aléatoire entre Alice et Bob. Les clés ainsi établies seront utilisées pour le cryptage des communications grâce au codage de Vernam (one-time pad encryption), seul codage démontré comme inconditionnellement sûr par la théorie de l'information de Shannon. Utiliser un autre codage, AES par exemple, avec un renouvellement rapide des clés peut être considéré comme sûr mais pas inconditionnellement sûr. Il est à noter que chacune de ces phases logicielles peut être remplacée par un algorithme différent pour le même travail. Cela ouvre des perspectives d'expérimentation. La couche supérieure concernera la téléphonie et son encodage en utilisant le code de Vernam avec un débit de secrets, i.e. de clés, suffisant, soit environ 30Kb/s pour une qualité audio très acceptable.

Un tel appareillage permettra également de tester des protocoles quantiques sophistiqués en cours de développement dans le groupe Information Quantique du département Informatique et réseaux de l'ENST : authentification quantique, Bit Commitment, Oblivious Transfert, etc. Même si ces protocoles ne font pas partie du projet, cette simple plate-forme permettra des les expérimenter en support aux articles théoriques. De plus, c es protocoles sont la base des Multi-party computations dont nous parlerons plus loin.

Une difficulté pratique d'implémentation matérielle du système de communication quantique est la génération de nombres aléatoires cryptographiquement sûrs tant pour les choix initiaux de bits que pour le choix de leur base de représentation. Les débits des photons sur la fibre optique étant très importants et les rendements de distillation de clés relativement faibles, il faut disposer d'un générateur très rapide. La génération quantique d'aléas existe (détection de photons spontanés, etc.) mais ne permet pas d'atteindre aujourd'hui des débits suffisants. Il faut donc utiliser des générateurs pseudo-aléatoires classiques, appelés PNRG. Ces générateurs sont évidemment un maillon faible d'une chaîne de communication sécurisée. Cependant, rien n'empêche des les confiner, car ils sont localisés chez Alice ou Bob : leur surveillance est plus aisée que celle d'une liaison optique.

Une seconde difficulté est l'implémentation rapide et sure des algorithmes de traitement, sans hypothèque de la sécurité quantique, et l'interface entre des technologies différentes d'une part et l'utilisateur final d'autre part.

Etat de l'art (10/2005)

La cryptographie quantique reste parfois comme un malentendu. La responsabilité en incombe en partie aux inventeurs qui ont peut-être vendu trop vite et trop fort (Demain on rase gratis !) des grands principes fondamentaux et une garantie de sécurité théorique sur laquelle on ne pourra en pratique que perdre, tout en bradant un peu vite la cryptographie classique, vulnérable en principe certes, mais dont la robustesse ne peut que progresser.

La cryptographie quantique permet d'établir un secret entre les deux extrémités d'un canal quantique avec un débit de quelques Kb pour de grandes distances de l'ordre de 100 km et des débits plus élevés pour de courtes distances de l'ordre du km. On doit authentifier les extrémités en utilisant la cryptographie classique. Pour bâtir un réseau à base de liens quantiques, il est actuellement indispensable d'adopter un profil de sécurité classique pour les noeuds du réseau.

Deux grandes classes de dispositifs quantiques ont été proposées. La première classe regroupe les dispositifs codant l'information sur des impulsions contenant moins d'un photon en moyenne et utilise des détecteurs en mode comptage de photons. Cette approche permet des débits de secrets de l'ordre du Kb avec des distances de plusieurs dizaines de kilomètres (un peu plus de 100 km actuellement). Bien entendu, plus la distance est courte, plus le débit est élevé (le débit décroît exponentiellement avec la longueur du lien).La seconde classe est celle des dispositifs à variables continues. Ils utilisent des impulsions intenses et une méthode de détection cohérente. On obtient des distances inférieures à 10 km mais avec des débits bien plus élevés (on parle de Mb).

La compatibilité de ces formats quantiques avec les systèmes de transmission par fibre optique nécessite de recourir aux technologies des télécommunications optiques à une longueur d'onde de 1550 nm.

L'utilisation des impulsions atténuées apparaît aujourd'hui comme le palliatif le plus crédible à la non disponibilité des pistolets à photon générant des états de Fock à un photon. Le comptage de photon dans un interféromètre a déjà été validé comme technologie de détection associée. Différentes méthodes d'encodage de l'information (phase, polarisation, bandes latérales ou phase de modulation RF) et de stabilisation (estimation de phase et contrôle de polarisation) également. Les distances de propagation sont de l'ordre de 10 km, et les cadences peuvent atteindre le Mb/s. Les applications visées sont soit les communications en air libre (Free Space), soit les réseaux de télécommunication usuels. Les premières expériences à une longueur d'onde de 1550 nm, crédibles dans ce dernier cadre (BT et Université de Genève), désigne la phase comme le meilleur paramètre d'encodage mais la validation du comptage de photon reste largement perfectible à cause de la faible efficacité quantique et du dark count élevé.

L'utilisation de systèmes à détection homodyne et la modulation variables continues utilisant des impulsions intenses a été démontrée très récemment par l'Institut d'Optique à 780 nm, mais pas encore à la longueur d'onde des télécommunications.

La détection cohérente optique d'impulsions faibles a largement été étudiées dans le contexte des télécommunications (notamment à l'ENST) et apparaît crédible dans ce type d'applications en l'associant avec des techniques de communications numériques (Gakushuin University et CREST au Japon).

Les protocoles quantiques sont prouvés inconditionnellement sécurisés si l'on admet la théorie de l'information de Shannon et les lois de la physique quantique : théorème de non clonage, principe d'incertitude d'Heisenberg, mesures quantiques, etc.. La littérature est abondante sur le sujet et les différentes étapes du processus d'établissement de clé secrète sont décrites sous différentes formes et avec différents algorithmes. Il faudra isoler les meilleurs d'entre eux et par des analyses de complexité (temps, espace, communication) déterminer celui qui sera utilisé par notre système. Le problème de l'authentification est abordé dans la littérature mais il n'est pas encore considéré comme résolu. Quels sont les messages nécessitant une authentification ? Comment regrouper ces messages pour réduire le coût de l'authentification ? Autant de questions auxquelles il faut apporter une réponse.

Concernant la partie électronique, les traitements sont actuellement réalisés par l'assemblage de composants sur étagère. Or les composants du commerce sont conçus pour être bon marché et performants, mais pas pour être sécurisés. Ainsi, tout processeur trahit les données qu'ils manipule dans un rayon pouvant aller jusqu'à la centaine de mètres.

Il n'est pas envisageable de réinventer toute l'électronique dans le cadre du projet. Il faut par conséquent s'appuyer sur des circuits reconfigurables, comme des FPGAs. En effet, ces circuits permettent au concepteur d'incorporer des contre-mesures contre les canaux cachés grâce à une configuration ad hoc. Les recherches qui vont dans ce sens sont encore très récentes. Par exemple, un des tous premiers TNRG (générateurs d'aléa vrai) utilisant les ressources embarquées dans un FPGA date de 2003. Le potentiel de sécurisation des circuits reconfigurables est donc une piste de recherche très prometteuse.

Contenu détaillé, approche, démarche

Du point de vue de l'implémentation optique et quantique, il s'agit d'identifier les technologies et les protocoles aujourd'hui applicables pour une implémentation crédible à la longueur d'onde des télécommunications (1500 nm) en utilisant les composants aujourd'hui disponibles.

Cette évaluation s'effectuera sur le démonstrateur, disponible à l'ENST utilisant des modulateurs Mach-Zehnder en Niobate de Lithium à deux électrodes. Il permet l'implémentation du protocole de distribution quantique de clé cryptographique de Bennett et Brassard élaboré en 1984 avec des modulations optiques codées de type QAM. L'utilisation de ce type de modulateur, pour une implémentation directe sur la phase optique (QPSK) ne permet pas, sous la contrainte de signaux à enveloppe constante, l'affectation d'une électrode au choix de base et de l'autre au choix de symbole. Nous avons proposé une implémentation originale supportant ces choix sous cette contrainte en utilisant un simple additionneur radio électrique.

Le comptage de photon associé à des impulsions atténuées doit faire face aux faibles débits (quelques kbit/s, quelques de Mbit/s apparaissant possible) autorisés par les photodiodes à avalanche et, à cette longueur d'onde à la faible efficacité quantique, typiquement 10%. Ce type d'implémentation confond détection et décision est n'est donc pas affectée d'erreur au sens classique du terme (CBER) mais uniquement de QBER résultant de défauts techniques (contraste de l'interféromètre à 1 photon par exemple) ou d'intrusion. Le contrôle de la phase et de la polarisation sur l'ensemble du lien nécessite des techniques d'auto-compensation et l'impact de leur précision et des constantes de diffusion associées est à étudier au même titre que celle de la synchronisation de la réception sur l'émission

L'utilisation d'une détection homodyne utilisant une référence de phase suffisamment puissante pour écraser le bruit thermique autorise des débits plus rapides, supérieurs aux Mb/s, et une efficacité quantique très supérieures. Cette technique permet de relaxer les constantes de temps de stabilisation dans un fonctionnement de type DPSK ou la source est utilisée en temps partagé. Là aussi, l'impact de la précision des stabilisations est à quantifier.Une décision post-détection étant à prendre dans ce type de détection, elle est affectée d'un CBER intrinsèque et l'impact du partitionnement des erreurs (CBER/QBER) est à préciser en termes de différentiel d'information mutuelle effectif entre Alice et Bob et entre Alice et Eve en liaisons étroite avec les processus de réconciliation et de raffinement de la clef.

L'exploration des potentialités et limites de ces deux types de détections débouchera sur leur comparaison et leur crédibilité respectives dans un système complet. Le premier objectif est la validation, dans une intégration verticale des différentes technologies logicielles et matérielles aujourd'hui disponibles. Le second objectif est la recherche du meilleur compromis actuel entre la portée, déterminante pour les applications visées, la sécurité inconditionnelle, exprimée en terme de différentiel d'information mutuelle et le taux effectif de distillation complète d'une clef, en incluant le rendement et la vitesse élémentaires de chaque dispositifs et étapes de traitement et la répartition optimale des tâches.

La couche électronique assure l'interface entre le monde quantique de l'infiniment petit et celui des réseaux, ouverts à l'échelle mondiale. Du côté d'Alice, les appareils de commande ont la délicate tâche de générer un aléa cryptographiquement sûr : non seulement les séquences doivent être parfaites du point de vue statistique, mais elles doivent en plus être imprévisibles, et ce même si l'espionne Eve connaît l'intégralité de l'historique du générateur aléatoire. Du côté de Bob, l'électronique a la responsabilité de fournir aux couches applicatives une image fidèle et infalsifiable des mesures quantiques réalisées par les détecteurs à photodiode. Cette tâche nécessite un cloisonnement, prouvé formellement, entre l'interface optique et celle des réseaux. En effet, la moindre vulnérabilité logicielle ou matérielle permettrait à un attaquant distant d'accéder à l'information destinée à Bob (perte de confidentialité) et également de se faire passer pour Bob (impersonnation). Enfin, les circuits électroniques mis en jeu des deux côtés sont sujets à des attaques sur les canaux cachés ; il est par exemple primordial de veiller à ce que les émissions électromagnétiques des circuits et des cartes ne dévoilent pas subrepticement de l'information confidentielle. Des méthodes de protection contre les attaques SPA, DPA, EMA ainsi que contre les attaques en temps de calcul seront donc à concevoir et à déployer dans les matériels électroniques.

Du point de vue algorithmique quantique, il faudra déterminer les meilleurs algorithmes correspondant aux différentes étapes du processus d'établissement quantique de clé. Ces algorithmes n'existent parfois que sur le papier. Si l'on prend l'exemple de l'étape d'amplification de confidentialité, l'algorithme consomme des bits de la clé secrète afin de garantir qu'in fine, l'espionne Eve ne possèdera aucun savoir (au sens de la théorie de l'information) sur le reste de la clé. Dans ce cas, il faut choisir un algorithme qui minimise le nombre de bits sacrifiés. Cependant, certains algorithmes sont avant tout théoriques car leurs implémentations demandent trop de calculs ou trop de communications entre Alice et Bob. Un critère de réalisme devra également guider le choix des algorithmes. Un axe de recherche que nous explorerons est l'adaptation et la preuve des algorithmes choisis.

Un autre aspect à prendre en compte est celui de l'authentification des partenaires dans le processus d'établissement de clé. En effet, la technologie quantique ne permet pas, pour l'instant, d'authentifier les extrémités.Il est donc possible d'imaginer Eve coupant la ligne entre Alice et Bob, se faisant passer pour Alice auprès de Bob et pour Bob auprès d'Alice, attaque de type Man in the middle. On connaît des algorithmes d'authentification inviolable. Par exemple, l'utilisation des fonctions de hachage de Wegman-Carter est un algorithme inconditionnellement sécurisé. Cependant, ces algorithmes nécessitent des clés... et le serpent se mord la queue ! Si le nombre de bits de clés nécessaires à l'authentification est bien moindre que le nombre de bits de clés établis par le processus quantique alors le processus est rentable. Un axe de recherche que nous explorerons est donc de déterminer le minimum de communications devant être authentifiées durant le processus et de regrouper ces communications car l'authentification d'un message de taille double coûte moins que l'authentification de deux messages de taille simple. Le choix des messages à authentifier, le choix de la fonction d'authentification et les preuves de sécurité sont un travail de recherche du domaine.

Du point de vue Voix sur IP, il faudra sélectionner un logiciel libre de téléphonie sur IP et l'adapter pour intégrer un algorithme de cryptage utilisant le stock de clés continuellement regénéré par la cryptographie quantique. Le codage doit également être inconditionnellement sûr sous peine de créer un point faible dans le processus. On pense naturellement au chiffre de Vernam prouvé par la théorie de l'information. Or, celui-ci demande des clés aussi longues que les messages à coder. Il y aura donc un équilibre à trouver entre le débit des clés secrètes et le taux de compression du signal audio définissant la qualité de la transmission. C'est un travail d'ingénierie qui demandera certainement des adaptations du logiciel.

Du point de vue développement, si le logiciel comporte des failles alors il est faillible... Si l'on veut un produit fini réellement sécurisé, il importe que le logiciel soit bien spécifié, en utilisant la syntaxe UML par exemple, et que sa mise en oeuvre obéisse aux règles de l'art et suive les procédures industrielles de validation.

Du point de vue intégration, on peut noter que la cryptographie quantique avance à grandes enjambées mais qu'elle ne fournit que rarement des produit intégrés, d'où la nécessité de projet tel le projet IST SECOQC visant à fournir les éléments matériels et logiciels d'un réseau Internet sécurisé par la cryptographie quantique. Dans ce projet, nous procédons à une intégration de différents composants :

Réussir cette intégration est un enjeu au moins aussi essentiel que le reste. C'est pourquoi notre équipe comporte des spécialistes de chaque domaine et s'appuie sur un partenaire ayant une expérience industrielle certaine.

Résultats attendus

L'objectif et de réaliser une plate-forme de recherche et de démonstration à plusieurs objectifs :

Il s'agit donc de sortir du confort de nos replis disciplinaires pour démontrer notre capacité d'intégration, tout en affichant des objectifs scientifiques crédibles, conformes à la vocation, aux potentialités et au savoir-faire du GET et de ses équipes. L'objectif visé est un lien téléphonique Voix sur IP (VoIP) inconditionnellement sécurisé ayant les caractéristiques suivantes :

Ce lien téléphonique pourra ne pas fonctionner en cas d'attaques de type Denial of service (DoS), par exemple la section du lien optique par l'attaquant. Mais si le lien fonctionne alors la sécurité et l'intégrité des communications seront garanties de manière inconditionnelle. Cela signifie que les moyens de l'attaquant (localisation, calcul et temps principalement) peuvent être disproportionnés, sans que cela ne remette en cause ces deux propriétés.

Suivi et déroulement du projet

Avancement et perspectives en Communications Optiques

Avancement et perspectives en Électronique

Avancement et perspectives en Informatique

Un petit dessin valant mieux qu'un grand discours,
cliquer sur l'image ci-dessous pour en savoir plus sur
l'architecture logicielle choisie.

Une vidéo

Voulez-vous regarder une vidéo (.MOV) montrant une séance d'échange BB84 utilisant la polarisation des photons quantique de clé un peu stylisée ? Alors cliquez sur l'un des liens ci-dessous.

[ MOV video ]       [ MPEG2 video ]       [ AVI video ]

Fin du document