Les défis des communications et de la cryptographie quantiques
« Scalability », expérimentation à l’échelle, miniaturisation, hybridation entre cryptographie quantique et classique
Romain Alléaume, enseignant-chercheur, juin 2023.
Les recherches de Romain Alléaume sont centrées sur l’information et la cryptographie quantiques. Il collabore aujourd’hui au projet d’Infrastructure européenne de communication quantique qui a pour but de sécuriser les données et les communications les plus sensibles.
Nous abordons les défis actuels des communications quantiques, l’hybridation entre cryptographie quantique/classique et le projet Quantum Secure Networks Partnership auquel Romain participe activement.
Propos recueillis par Isabelle Mauriac
Podcast
Retrouvez cette interview en format audio dans le cadre du podcast Le ¼ d’heure du chercheur :
Podcast Michel Desnoues, Télécom Paris
Entretien
Il existe trois grandes fonctions décrites dans les programmes européens. D’abord, la fonction de calcul quantique, d’ordinateur quantique ou de simulateur, version simplifiée du calcul, où il n’y a pas de porte logique, mais juste de la simulation d’un système par un autre.
Mais les technologies quantiques permettent de bénéficier d’autres avantages par rapport au classique : dans le domaine des communications, la cryptographie quantique permet de sécuriser l’envoi d’une information quantique d’un point A à un point B. Nous travaillons beaucoup dans mon équipe sur la cryptographie quantique, à la fois d’un point de vue expérimental et théorique. Par ailleurs, les communications quantiques ne servent pas qu’à sécuriser, elles peuvent aussi connecter des calculateurs quantiques.
Les notions de communication, de calcul et d’architecture interagissent de plus en plus, car la notion de réseau quantique va, aussi bien sur le plan du matériel que des idées théoriques, emprunter au domaine des communications quantiques : comment avoir de l’intrication à distance entre les systèmes (répéteurs quantiques ou interconnexion quantique), comment faire des grands réseaux, puis connecter des ressources… Des utilisateurs veulent sécuriser leur communication, mais aussi, plus tard (cela commence déjà à émerger), disposer de calculateurs quantiques assez localisés. Ce seront des machines coûteuses, qu’ils auront besoin d’interconnecter, soit pour les rendre disponibles, mais aussi, éventuellement, pour les rendre plus puissantes.
En interconnectant des ordinateurs quantiques, il serait possible de réaliser un nouvel ordinateur quantique ou un calculateur doté d’une puissance supérieure à la somme de ses parties.
Le dernier grand domaine d’application, peut-être le plus mûr, aujourd’hui, en matière industrielle, est le quantum sensing ou métrologie quantique, qui consiste à utiliser les techniques quantiques pour réaliser des mesures de précision. C’est un domaine où la France est bien placée, avec notamment des entreprises utilisant des systèmes quantiques afin de mesurer le temps, construire des horloges atomiques, effectuer des mesures de précision du champ gravitationnel (gravitométrie) permettant, par exemple, de détecter du pétrole, de détecter des séismes, etc.
La période actuelle est marquée par la montée en puissance technologique des technologies quantiques. Nous sommes pleinement sur la frontière de l’avantage computationnel qui concerne aussi les réseaux de communication quantiques : nous y travaillons beaucoup, notamment dans le cadre européen, avec le projet QSNP, Quantum Secure Network Partnership.
Aujourd’hui, un des défis importants, que ce soit pour le calcul ou pour les communications quantiques, est de passer à l’échelle. Cela consiste à partir de systèmes fabriqués en laboratoire, éprouvés pour les communications sur quelques dizaines de kilomètres, sur des liaisons point à point sur des fibres. Pour les ordinateurs quantiques, ce sont quelques qubits. Plusieurs applications phares des technologies quantiques bénéficient du « proof of concept ».
Cela nécessite d’abord une vision des technologies quantiques orientée vers la maîtrise des coûts. Jusqu’à présent, les technologies étaient déployées, les démonstrations réalisées sans vraiment regarder le coût. Le but était d’avoir une réalisation qui fonctionnait. Désormais, si on veut passer à l’échelle, il va nécessairement falloir contrôler ou minimiser le coût d’un élément afin de pouvoir le reproduire à grande échelle en gardant ses propriétés, aussi bien pour l’ordinateur quantique que pour les systèmes de communication quantique.
L’autre contrainte du passage à l’échelle est de miniaturiser typiquement les systèmes. C’est vrai pour les composants de communication quantique. On s’oriente vers des systèmes de plus en plus intégrés, avec la photonique intégrée. Des circuits qui étaient auparavant des lasers, des détecteurs qui tenaient sur une table optique, vont pouvoir être placés sur une puce photonique de quelques millimètres, où toutes les fonctions optiques d’émission, de détection d’états quantiques de la lumière vont être réalisées. La miniaturisation permet une meilleure stabilité : les systèmes vont être ainsi moins perturbés par l’environnement. Elle permet aussi l’intégration, la possibilité de les mettre dans un système plus grand, de les dupliquer et d’en faire un grand nombre (scalabilité).
Une autre dimension de l’intégration, c’est que ces systèmes quantiques étaient essentiellement déployés en laboratoire et donc sans trop de contraintes extérieures. Maintenant, il faut pouvoir les déployer en environnement réel, où les systèmes classiques dominent : l’informatique classique, les communications classiques, les réseaux optiques aujourd’hui utilisés avec des fibres. Or c’est l’infrastructure de communication qui coûte le plus cher, on ne va pas la changer. Le défi est d’utiliser l’infrastructure actuelle , déjà utilisée par les communications classiques, afin d’y d’intégrer des communications quantiques.
Le défi consiste à réaliser l’intégration classique-quantique pour les communications quantiques, pour la cryptographie quantique, de la même façon qu’il existe une problématique d’intégration, d’hybridation entre ordinateurs classiques et ordinateurs quantiques pour faire du calcul. Un ordinateur du futur, s’il utilise l’informatique quantique, utilisera toujours de l’informatique classique : la problématique consiste à les marier intelligemment pour obtenir plus avec du classique et du quantique qu’à nouveau la somme des deux.
Effectivement, la cryptographie quantique utilise aussi la superposition. Un système quantique peut être dans des états superposés ; selon la façon dont on le mesure, les résultats seront incompatibles : on peut obtenir certains résultats si on fait une mesure, certains autres résultats si on fait une autre mesure. Donc la façon de mesurer va influer sur l’information qu’on peut obtenir. En encodant de l’information quantique ainsi, on peut l’envoyer par exemple encodée sur des photons, l’envoyer sur une fibre optique… Si une personne malintentionnée essaie d’espionner la communication, il va devoir faire des mesures, et comme il ne peut pas obtenir toute l’information par ces mesures, il va forcément introduire des perturbations. On peut ainsi faire une liaison en cryptographie quantique entre fuite d’information vers un espion qui fait des mesures et erreurs qu’il va introduire. Et donc on peut garantir que s’il n’y a pas trop d’erreurs, il n’y a pas trop de fuite d’information et au final on va pouvoir fabriquer un secret, une clé parfaite. Et à l’inverse, s’il y a trop d’erreurs, en déduire que l’information a fuité.
Cela ne peut pas être réalisé classiquement : dès lors que vous encodez de l’information sur un disque dur, vous pouvez toujours en faire une copie sans erreur sur une communication classique. Il y a une vraie différence qu’on appelle le « non-clonage » : un système quantique ne peut pas être cloné sans erreur, qui est lié à l’encodage quantique.
C’est le cœur de la cryptographie quantique d’exploiter cette propriété de « non-clonage » pour garantir des communications sécurisées, notamment échanger des clés secrètes.
Nous travaillons beaucoup sur cette question dans mon équipe, et c’est vrai que longtemps la cryptographie quantique s’est définie un peu en opposition à la cryptographie classique. La cryptographie classique est partout dans le monde numérique : paiements en carte bancaire, connexion quotidienne à WhatsApp ou autres, etc., implicitement des tâches mathématiques, des primitives cryptographiques permettanr de chiffrer, d’authentifier nos communications. La cryptographie classique est donc très utile, mais elle repose souvent sur le fait que certains problèmes mathématiques, comme la factorisation, sont très difficiles (ce qu’on appelle des conjectures). Ces conjectures peuvent éventuellement tomber. On sait aujourd’hui qu’avec un ordinateur quantique, on saurait factoriser de façon efficace… mais plus généralement on n’est pas à l’abri que les systèmes cryptographiques utilisés aujourd’hui soient éventuellement vulnérables dans le futur.
La cryptographie quantique n’a pas cette vulnérabilité-là. Elle est basée sur la théorie de l’information, sur la physique quantique et n’est a priori pas vulnérable dans le futur. Donc par opposition à la cryptographie computationnelle, les deux types de cryptographies se sont déployés, ont progressé. La cryptographie quantique avait vocation à faire mieux que la cryptographie classique, une meilleure cryptographie invulnérable dans le temps.
Mais en même temps, la cryptographie quantique a de nombreux défis à relever : elle doit utiliser des particules quantiques, des photons, pour encoder l’information, elle est limitée en distance, elle implique d’utiliser du matériel spécifique. Ces contraintes ne sont pas négligeables si on regarde le but de la cryptographie qui est de proposer des services sécurisés, donc d’améliorer la sécurité du stockage des données, des communications, pour des applications cruciales aujourd’hui dans le monde numérique.
Le but de la cryptographie est indépendant du mode, classique ou quantique ; il n’y a pas vraiment de logique à singulariser un type ou l’autre de cryptographie, mais plutôt à les combiner. C’est l’approche sur laquelle nous nous sommes engagés depuis quelques années avec des aspects très théoriques et d’autres plus pratiques.
Théoriques, car de nouveaux modèles de sécurité en cryptographie sont définis dans lesquels il faut redéfinir la cryptographie. Mais ces modèles vont associer des hypothèses computationnelles et du quantique. Cela peut permettre de définir une nouvelle cryptographie quantique qui serait beaucoup plus performante, donc qui permettrait d’être plus intégrable et moins chère à utiliser.
La cryptographie quantique, ce sont aujourd’hui des systèmes industriels. La cryptographie post-quantique, déjà très développée et en train d’être standardisée au niveau international, vise à remplacer la cryptographie à clé publique, déployée actuellement, qui serait attaquée par un ordinateur quantique ; il s’agira donc de remplacer la cryptographie sur Internet pour l’échange de clés et l’authentification. C’est un morceau colossal de l’infrastructure numérique qui évolue sous l’influence du calcul quantique.
L’idée est de regarder ces nouvelles possibilités de faire la cryptographie et d’évaluer, avec les systèmes industriels ou proches de l’industrialisation, comment dès aujourd’hui fabriquer des systèmes opérationnels plus sûrs par combinaison des cryptographies quantique et post-quantique. Ces deux dimensions sont au cœur d’une partie du projet Quantum Secure Networks Partnership financé par la Commission européenne.
Une direction majeure est la combinaison de la cryptographie classique et de la cryptographie quantique ; nous collaborons avec nos collègues des équipes de cryptographie, l’équipe C2 dirigé par le professeur Hieu Phan à Télécom Paris ainsi que des collègues de l’École polytechnique spécialistes de la cryptographie classique post quantique.
Notre équipe Quriosity, mixte entre l’INRIA et Télécom Paris, apporte l’expertise en cryptographie quantique et en sécurité matérielle afin d’avoir une vision commune sur les défis et les façons de combiner la cryptographie classique et quantique.
Par ailleurs, une autre direction plus expérimentale consiste à réaliser des communications quantiques qu’on appelle cohérentes. Ce sont des communications qui reposent sur des systèmes très proches des systèmes de télécommunications. Nous collaborons sur le sujet avec l’équipe de communications optiques GTO et le professeur Yves Jaouen.
Ces systèmes cohérents sont déjà massivement déployés dans les télécoms, sur les cœurs de réseau. Ce sont les systèmes les plus efficaces pour transporter de l’information par photon. En matière énergétique, ils permettent de transporter le plus grand débit d’informations dans les cœurs de réseau et ils reposent sur ce qu’on appelle des détections cohérentes : la façon de détecter la lumière est sensible à la phase de la lumière qu’on reçoit et pour cela on fait interférer un laser, un oscillateur local (c’est le nom qu’on donne au laser en réception) avec un signal quantique. On peut donc mesurer à la fois l’amplitude et la phase du signal quantique. Ces détections cohérentes peuvent être utilisées pour les communications classiques. Elles ont beaucoup progressé dans les dernières années, notamment parce qu’on peut faire du traitement du signal numérique, et donc mélanger des aspects numériques avec des aspects optiques pour grandement améliorer les fonctionnalités et la stabilité des systèmes, ainsi que leur vitesse. C’est un acquis sur lequel il y a beaucoup d’expertise à Télécom Paris ; nous collaborons sur des communications quantiques avec ce type de système. C’est très nouveau, car nous associons des questions de traitement numérique du signal avec des questions de communication quantique et de cryptographie. Il est donc possible d’imaginer des systèmes de communication quantique du futur qui pourraient aussi être intégrés dans les systèmes télécom actuels.
Vidéo
« Nous travaillons sur l’hybridation entre la cryptographie computationnelle (classique) et la cryptographie quantique pour faire de nouveaux protocoles. En croisant ces deux approches, il est possible de faire beaucoup plus avec la cryptographie quantique et bénéficier d’un avantage important en matière de sécurité par rapport à la cryptographie classique. »
Vidéo Michel Desnoues, Télécom Paris