Projets étudiants cryptographie et sécurité/Leclaire DeRoland Crypto Quantique

Auteurs : Juliana Leclaire, Céline de Roland

La cryptographie et la cryptanalyse dans le contexte de l'informatique quantique

Introduction

L'informatique quantique se base sur la superposition de plusieurs états quantiques pour améliorer les capacités de calculs. Ce domaine pose un vrai problème dans la sécurité de l'internet qui utilise des algorithmes de chiffrement asymétriques pour les connexions SSL/TLS, paiements en ligne. Les nouveaux ordinateurs avec leur rapidité de calcul va pouvoir casser ces différents algorithmes de chiffrement asymétriques présents dans le Web.

Il existe différents acteurs qui se penchent sur ce domaine. Notamment, la NSA, Google qui tentent de construire leur propre ordinateur quantique, des scientifiques qui se réunissent pour trouver des solutions. Dans cette page, nous allons nous demander en quoi l'informatique quantique peut changer le Web d'aujourd'hui et comment faire face à cette arrivée ?

Fonctionnement de l'informatique quantique

Qubit

C'est la plus petite unité de stockage de l'information. Etant donné deux états de base ${\displaystyle \left|0\right\rangle }$ et ${\displaystyle \left|1\right\rangle }$, un qubit non mesuré se trouve dans l'état ${\displaystyle \alpha \left|0\right\rangle +\beta \left|1\right\rangle }$, avec ${\displaystyle \left|\alpha \right|^{2}+\left|\beta \right|^{2}=1}$.

Lorsqu'on mesure la valeur du qubit, on obtient soit ${\displaystyle \left|0\right\rangle }$ soit ${\displaystyle \left|1\right\rangle }$.

${\displaystyle \left|\alpha \right|^{2}}$ est la probabilité que la mesure de la valeur du qubit donne ${\displaystyle \left|0\right\rangle }$ et ${\displaystyle \left|\beta \right|^{2}}$ est la probabilité que la mesure de la valeur du qubit donne ${\displaystyle \left|1\right\rangle }$.

Théorème de non clonage

Ce théorème, découvert en 1982 par Wootters, Zurek, et Dieks, consiste à dire qu'il est impossible de recopier un qubit à l'identique. La démonstration (par l'absurde) repose sur le fait que pouvoir mettre le qubit B dans le même état que le qubit A implique que le qubit B soit déjà dans le même état que le qubit A. On en déduit qu'il est impossible de faire une opération de type copier/coller en informatique quantique.

Téléportation quantique

La téléportation quantique consiste à transférer l'état du qubit A dans le qubit B. Il s'agit donc cette fois d'une opération de couper/coller. L'intrication quantique se produit lorsque deux qubits sont dépendants l'un de l'autre même s'ils sont éloignés l'un de l'autre. Dans cet état, si on mesure l'un des deux, alors la mesure du deuxième est déterminée. Sans entrer dans la théorie physique sous jacente, nous pouvons dire qu'un canal EPR permet de réaliser cette opération de couper/coller en transmettant une information entre deux ordinateurs quantiques.

Chiffrement asymétrique face à l'informatique quantique

Mise en danger de la sécurité du Web

Les ordinateurs quantiques présentent une rapidité de calculs extrêmement plus rapide que les ordinateurs classiques. Ces ordinateurs n'auraient aucune difficulté pour casser les codes de sécurité actuels reposant principalement sur des chiffrements à clé publique. Un chiffrement asymétrique chiffre avec sa clé publique et déchiffre avec sa clé privée. Si nous prenons l'exemple de RSA, un chiffrement asymétrique, qui a la particularité d'être couramment utilisé dans la sécurité du Web. RSA repose sur la génération de grands nombres premiers.

• Initialisation :
  • module ${\displaystyle N}$ (grand nombre entier codé sur 2048 bits)
  • ${\displaystyle p,q}$ : nombres premiers de même taille (codés sur 1024 bits)
  • ${\displaystyle N=p*q}$
  • ${\displaystyle \phi \left(N\right)=\left(p-1\right)*\left(q-1\right)}$
  • ${\displaystyle e}$ tel que ${\displaystyle pgcd\left(e,\phi \left(N\right)\right)=1}$
  • Choisir ${\displaystyle d}$ tel que ${\displaystyle ed\equiv 1[\phi (N)]}$ et donc ${\displaystyle d}$ est l'inverse modulaire de ${\displaystyle e}$ avec ${\displaystyle d=e^{-1}\left[\phi \left(N\right)\right]}$
  • Clé publique : ${\displaystyle pk\left(n,e\right)}$, Clé privée : ${\displaystyle sk\left(d,p,q\right)}$
• Chiffrement : ${\displaystyle c=m^{e}\left[N\right]}$
• Déchiffrement : ${\displaystyle m=c^{d}\left[N\right]}$

La sécurité de RSA repose sur la difficulté à factoriser des grands nombres en nombres premiers. En effet avec ${\displaystyle \left(N,e\right)}$ il faudrait pouvoir retrouver ${\displaystyle \left(d,p,q\right)}$ où ${\displaystyle N=p*q}$ correspondant à un cassage total. D'après le théorème de factorisation unique tout entier ${\displaystyle n\geq 2}$ admet une factorisation unique en produit de puissances de nombres entiers. Des algorithmes de factorisation ont été trouvés pour différentes tailles de module ${\displaystyle N}$ mais pour pallier à ces attaques on augmente la longueur du module. De nos jours pour sécuriser le chiffrement il faut utiliser des modules strictement supérieur à 2048 bits. Cependant avec l'informatique quantique il ne suffira plus d'augmenter la taille du module car la puissance de calcul permettra de casser le chiffrement, peu importe la taille du module.

Exemple : ${\displaystyle N=15}$

• Je choisis ${\displaystyle x=7}$
• En calculant successivement les valeurs de ${\displaystyle f}$ on trouve ${\displaystyle 7^{4}\equiv 1[15]}$.
• ${\displaystyle r=4}$ est pair
• ${\displaystyle pgcd(x^{\frac {r}{2}}+1,15)=5}$. Donc ${\displaystyle P=5}$
• ${\displaystyle Q=pgcd(x^{\frac {r}{2}}-1,15)=3}$

Chiffrement symétrique face à l'informatique quantique

Mise en danger de la sécurité

Si les ordinateurs quantiques présentent une rapidité de calcul permettant d'effectuer des factorisations impossibles pour un ordinateur classique, il nous semble logique qu'ils soient également performants pour effectuer des attaques de type force brute sur des messages chiffrés par une clé privée qui aurait été transmise par un moyen plus sûr que RSA.

Un ordinateur quantique pourrait réaliser le déchiffrement avec toutes les clés possibles en parallèle. Ce qui permettrait de cryptanalyser le message en une seule opération. Le principe se base sur la superposition quantique. On superposerait toutes les clés possibles et on déchiffrerait. On obtiendrait alors une superposition de résultats. Le point le plus difficile est de trouver le résultat correct à partir de la superposition obtenue. En effet, le principe selon lequel mesurer une valeur modifie cette valeur fait qu'en observant une superposition, on obtient un seul état aléatoire. Une solution à ce problème a été trouvé par Lov Grover en ${\displaystyle O\left({\sqrt {n}}\right)}$ étapes.

Résistances aux attaques quantiques

Chiffrement asyémétrique

Depuis 2006, une conférence internationnale se produit chaque année nommée "Post Quantum Cryptography" dans l'intention de trouver des algorithmes résistants aux ordinateurs quantiques. Nathan Hamlin et William Webb, des mathématiciens, ont présenté récemment un algorithme de chiffrement asymétrique possiblement capable de faire face aux attaques quantiques. Cet algorithme part de l'ancien chiffrement de Merkle-Hellman qui se base sur le problème du sac à dos nommé "Knapsack code".

Problème du sac-à-dos

Etant donné un sac avec une capacité ${\displaystyle S}$ et plusieurs objets de poids différents. Le problème du sac-à-dos consiste à trouver la suite d'objets qui entre dans le sac et qui maximise sa capacité. En partant d'un n-uplet ${\displaystyle \left(a_{1},a_{2},...,a_{n}\right)\in N^{n}}$ et ${\displaystyle S\in N}$, il faut trouver un n-uplet binaire ${\displaystyle \left(x_{1},x_{2},...,x_{n}\right)\in \left\{0,1\right\}^{n}}$ tel que ${\displaystyle S=\sum _{i=1}^{n}\left(a_{i}*x_{i}\right)}$. La somme ${\displaystyle S}$ des poids des objets choisi ne doit pas dépasser la capacité du sac à dos. Pour résoudre ce problème il n'existe pas d'algorithme avec une compléxité polynomial.

Chiffrement de Merkle-Hellman

Cet algorithme de chiffrement à clé publique repose sur la complexité algorithmique du problème du sac-à-dos et utilise une suite de poids super-croissante pour le secret et une suite non super-croissante pour la clé publique. Si les ${\displaystyle \left(a_{i}\right)_{i}}$ n'ont pas de propriétés particulières, la recherche du message codé en binaire ${\displaystyle \left(x_{i}\right)_{i}}$ est un problème difficile. Il n'existe pas d'algorithme polynomial pour le résoudre. Pour pouvoir retrouver facilement ce n-uplet une propriété super-croissante est utilisé sur les ${\displaystyle \left(a_{i}\right)_{i}}$. Un n-uplet b est super-croissant si
${\displaystyle \forall i\in [2,n]b_{i}>\sum _{j=1}^{i-1}{b_{j}}}$.

Ainsi en utilisant un algorithme glouton nous pouvons retrouver le n-uplet binaire ${\displaystyle \left(x_{i}\right)_{i}}$. L'objet le plus lourd est dans le sac si le poids du sac est supérieur au poids de celui-ci. La propriété super-croissante assure que la somme des poids des autres objets sera toujours inférieur au poids de l'objet le plus lourd. L'algorithme est le suivant :

 Pour i de n à 1 faire
   Si ${\displaystyle b_{i}\leq S}$ alors
     ${\displaystyle x_{i}=1}$
   Sinon
     ${\displaystyle x_{i}=0}$
   ${\displaystyle S=S-x_{i}*b_{i}}$

Par exemple en prenant la suite des puissances de 2 comme suite super-croissante avec :
${\displaystyle a=\left\{1,4,8\right\},b=\left\{1,2,4,8\right\},S=13\left(1+4+8\right),n=4}$

 Pour ${\displaystyle i=4:8\leq 13?}$
   oui donc ${\displaystyle x_{4}=1}$
 Pour ${\displaystyle i=3:4\leq 5?}$
   oui donc ${\displaystyle x_{3}=1}$
 Pour ${\displaystyle i=2:2\leq 1?}$
   non donc ${\displaystyle x_{2}=0}$
 Pour ${\displaystyle i=1:1\leq 1?}$
   oui donc ${\displaystyle x_{1}=1}$

 => ${\displaystyle m=\left\{1,0,1,1\right\}}$

Pour chiffrer un n-uplet binaire ${\displaystyle m}$, l'idée de Merkle et Hellman est de "tordre" les ${\displaystyle b_{i}}$ pour obtenir un n-uplet qui n'est plus super-croissant. On choisit un nombre ${\displaystyle u>\sum _{i=1}^{n}{b_{i}}}$, un entier ${\displaystyle v\in N}$ tel que ${\displaystyle pgcd\left(u,v\right)=1}$. Ce qui donne ${\displaystyle v}$ inversible dans ${\displaystyle Z/uZ}$. On prend ${\displaystyle w=v^{-1}\in Z/uZ}$. On calcule ensuite le n-uplet ${\displaystyle a=\left(a_{1},...,a_{n}\right)}$ tel que pour tout ${\displaystyle i\in [1,n]}$ on a :
${\displaystyle a=a*b_{i}(modu)}$.
Le n-uplet ${\displaystyle a}$ détermine la clé public tandis que ${\displaystyle u}$, ${\displaystyle v}$ et ${\displaystyle w}$ sont gardés secrets.
Pour envoyer le message m à Bob, Alice va, à partir de l'écriture de m en binaire, calculer la somme :
${\displaystyle c=\sum _{i=1}^{n}{m_{i}*a_{i}}}$
qu'elle va envoyer à Bob. Bob pour déchiffrer va devoir procéder à plusieurs étapes :

• ${\displaystyle c=\sum _{i=1}^{n}{m_{i}*a_{i}}}$
• ${\displaystyle w*c[u]=\sum _{i=1}^{n}{m_{i}*a_{i}*w}[u]}$
• ${\displaystyle w*c[u]=\sum _{i=1}^{n}{m_{i}*a_{i}*v^{-1}}[u]}$
• ${\displaystyle w*c[u]=\sum _{i=1}^{n}{m_{i}*v*b_{i}*v^{-1}}[u]}$
• ${\displaystyle w*c[u]=\sum _{i=1}^{n}{m_{i}*b_{i}}[u]}$ => Comme ${\displaystyle \sum _{i=1}^{n}{m_{i}*b_{i}}<\sum _{i=1}^{n}{b_{i}}}$ et ${\displaystyle u>\sum _{i=1}^{n}{b_{i}}}$ le modulo ${\displaystyle u}$ peut s'enlever
• ${\displaystyle =\sum _{i=1}^{n}{m_{i}*b_{i}}}$ => Comme ${\displaystyle b_{i}}$ est super-croissant Bob peut facilement retrouver ${\displaystyle m}$

Nouveau chiffrement de Hamlin-Webb

Le chiffrement de Merkle et Hellman a été abandonné à la suite des découvertes de Shamir qui a découvert une attaque permettant de retrouver le message secret en utilisant un algorithme de la réduction des réseaux. Nathan Hamlin et William Webb reprennent cet algorithme en le renforçant par un changement de représentation des entiers. Ils ont prouvé q'un entier pouvait être représenté de manière unique avec des suites récurrentes. Le secret ${\displaystyle m}$ n'est alors plus modélisé en binaire mais en une suite récurrente plus complexe à craquer.

Représentation du message

La représentation d'un nombre ${\displaystyle m}$ en une suite récurrente ${\displaystyle u_{i}}$ se fait en utilisant une suite augmentée ${\displaystyle v_{j,i}}$ de ${\displaystyle 1\leq j\leq 10}$, ${\displaystyle 0\leq i\leq n}$ donné par :

 ${\displaystyle v_{1,i}=u_{i}}$
 ${\displaystyle v_{2,i}=u_{i}+u_{i-2}}$
 ${\displaystyle v_{3,i}=u_{i}+u_{i-2}+u_{i-3}}$
 ${\displaystyle v_{4,i}=u_{i}+u_{i-2}+2u_{i-3}}$
 ${\displaystyle v_{5,i}=u_{i}+u_{i-2}+2u_{i-3}+u_{i-4}}$
 ...
 ${\displaystyle v_{10,i}=u_{i}+u_{i-2}+2u_{i-3}+6u_{i-4}}$

Le suite ${\displaystyle v_{j,i}}$ correspond au blocs de chiffre autorisés. Dans l'exemple ${\displaystyle v_{j,i}}$ se calcule dans des groupes de taille 10 mais ce nombre peut varier. La suite ${\displaystyle m}$ se calcule en utilisant un algorithme glouton sur ${\displaystyle v_{j,i}}$ où l'on remplace la somme en une expression dans la suite ${\displaystyle u_{i}}$.
Le message secret ${\displaystyle m}$ est représenté par :
${\displaystyle M=\sum _{i=0}^{n-1}{d_{i}*u_{i}}}$
avec ${\displaystyle u_{i}}$ calculé grâce à ${\displaystyle v_{j,i}}$
où les ${\displaystyle d_{i}}$ sont des blocs de chiffre lexicographiquement inférieur à ${\displaystyle S}$.

Chiffrement symétrique quantique

Photons polarisés

Les photons sont des particules qui composent la lumière. Ils sont composés d'un champ électrique et d'un champ magnétique. Une lumière non-polarisée se caractérise par une différence d'orientation du champ électrique suivant les photons. Ainsi la polarisation consiste, grâce à un polarisateur, d'obtenir des photons avec un champ électrique orienté de manière identique. Les filtres polarisants permettent d'appliquer un angle d'orientation sur les photons afin :

• de récupérer les photons polarisés parallèlement par rapport à cet angle
• d'éliminer les photons polarisés perpendiculairement
• de récupérer les photons polarisés intermédiaires avec une probabilité de ${\displaystyle \cos \left(\alpha \right)}$ en les réinitialisant avec une polarisation égale à l'angle d'orientation du filtre.

Du fait de la transformation de polarisation il est impossible de connaître l'information sur les polarisations précédentes du photons.

Distribution des clés

Le chiffrement quantique offre un moyen sécurisé d’échanger des clés privées pour réaliser des chiffrements symétriques. Cette distribution s’appuie sur l’envoi de photons polarisés par fibre optique. Les personnes s'échangeant les clés doivent avoir accès à un canal quantique et un canal classique. Le principe est le suivant :

• Alice envoie par le canal quantique une suite de photons polarisés aléatoirement.
• Bob applique un filtre de polarisation qui lui donne 1 chance sur 2 (et 1 chance sur 4 s'il y a eu un espion) d'appliquer le bon filtre et les renvoit à Alice.
• Alice et Bob s'échangent par le canal classique leur choix des axes de polarisation éliminant ainsi les erreurs.
• Alice communique une partie de ses résultats.
• Maintenant que Bob connait les axes qu'Alice a appliqué et les résultats il peut savoir si la communication a été écoutée ou non. Ceci étant grâce au théorème de non clonage où il est impossible de cloner des états quantiques inconnus.

Ce principe permet de détecter facilement s'il y a eu des intrusions durant la communication de la clé privée. En effet si un attaquant écoute il lui faut récupérer les photons envoyés par Alice mesurer la polarisation et renvoyer le photon à Bob. Pour mesurer la polarisation l'attaquant doit appliquer, comme Bob, un filtre pour deviner la base qu'Alice a envoyé. Ainsi cette intrusion a 1 chance sur 2 d'introduire des incohérences dans les données d'Alice et Bob en envoyant 1 fois sur 2 un mauvais photon. Par la suite Bob obtient donc 1 chance sur 4 d'appliquer le bon filtre. Par analyses statistiques, Alice et Bob peuvent détecter de manière sure s'il y a eu espionnage sur le canal quantique.

Attaque de l'homme du milieu

Comme toute méthode d'échange de clé privée, cette méthode reste vulnérable à une attaque de type "homme du milieu". Il faut donc la combiner avec un mécanisme de certification afin de s'assurer de l'identité des protagonistes.

Ressources

• Hamlin, N., & Webb, W. A. (2012). Representing Positive Integers as a Sum of Linear Recurrence Sequences, Fibonacci Quart. 50 (2012), no. 2, 99–105. Fibonacci Quart, 50(2), 99-105.

• Moyer, N. T. (2010). A knapsack-type cryptographic system using algebraic number rings (Doctoral dissertation, Washington State University).