Distribution de clés quantiques dans le cloud

Language 2023-10-01 23:24:28 views: null

Auteur : Zen et l'art de la programmation informatique

1. Introduction

Quantum Key Distribution (QKD) est un protocole de communication crypté qui permet à deux parties d'établir un processus d'appariement de clés sécurisé. Il utilise la technologie quantique et les principes de cryptographie pour une transmission de données sécurisée et fiable tout en réduisant le coût des liaisons de communication. Les protocoles d'échange de clés traditionnels RSA, ECC ou Diffie-Hellman reposent tous sur des fonctions de génération de clés, tandis que QKD utilise la technologie informatique quantique pour générer des clés partagées. Ses avantages résident principalement dans une faible latence, une haute efficacité, la sécurité, etc. Actuellement, les principaux fournisseurs de services cloud tels qu'AWS, Azure et Google Cloud Platform proposent des solutions de gestion de clés basées sur QKD, telles qu'AWS Key Management Service (KMS), Google Cloud HSM et Microsoft Azure Key Vault.

Cet article présentera en détail la technologie QKD et sa mise en œuvre. Tout d'abord, les bases des réseaux de communication quantiques et de la technologie QKD sont introduites, y compris des concepts et des termes tels que le codage de correction d'erreurs, les états de Bell, les qubits, les portes quantiques, l'intrication quantique, les circuits quantiques et les ressources quantiques. Ensuite, il présente la prise en charge de QKD par AWS KMS et se concentre sur son mécanisme et ses principes de fonctionnement. Enfin, Open Quantum Safe, une solution de chiffrement de bout en bout fournie par la communauté open source, est présentée pour discuter de l'application de QKD dans les environnements cloud.

2. Explication des concepts et termes de base

2.1. Réseau de communication quantique

Le réseau de communication quantique fait référence à un système de communication construit à l'aide de la technologie quantique. Les systèmes de communication traditionnels s'appuient sur des ondes électromagnétiques pour transmettre des informations, tandis que la communication quantique repose sur des canaux quantiques. Les réseaux de communication quantique sont généralement constitués de nœuds quantiques, ou nœuds quantiques, dont chacun peut envoyer ou recevoir des informations à partir d'un ou plusieurs qubits.

Les deux éléments les plus importants d’un réseau de communication quantique sont les nœuds quantiques et les canaux quantiques. Les nœuds quantiques sont généralement des équipements expérimentaux physiques avec des positions et des directions fixes qui peuvent être utilisés pour stocker et traiter des informations quantiques. Il peut s'agir de tubes quantiques supraconducteurs, de coupleurs de photons ou de noyaux atomiques.

Un canal quantique est un milieu non structuré construit à l’aide de la technologie des radiofréquences ou des radiofréquences, et sa longueur peut atteindre des milliers de kilomètres, voire des dizaines de milliers de kilomètres. Il peut accueillir un nombre extrêmement important de qubits et peut donc être utilisé pour transmettre de grandes quantités d’informations quantiques. Les canaux quantiques peuvent être construits à l’aide de fibres optiques, de nanotubes, de lidar et d’autres méthodes. Les réseaux de communication quantique doivent également envisager des mesures de protection pour empêcher que les nœuds quantiques ne soient altérés, endommagés ou perdus.

2.2. États de Bell et qubits

L’état de Bell est un état quantique spécial composé de deux états de superposition, appelés Psi+ et Psi-. Leur superposition produit un nouvel état quantique. Dans les réseaux de communication quantique, l’état Bell est également appelé état EPR (Entangled Pair of Photons). Les états EPR peuvent être utilisés dans les protocoles d'appariement de clés quantiques, dans lesquels Alice et Bob interagissent pour générer des états EPR, puis envoient leurs clés respectives via le réseau de communication quantique. L’état EPR est la superposition de deux états Bell indépendants.

Les qubits sont des unités de communication importantes dans les réseaux de communication quantique et peuvent être utilisés pour stocker et transmettre des informations. Chaque qubit est un état de superposition et possède deux états quantiques, à savoir |0〉 et |1〉. Ces deux états sont obtenus par superposition. Nous appelons cet état un qubit.

Un qubit peut être considéré comme une combinaison logique de deux registres, où le premier registre est l'état |0> ou |1>, et le deuxième registre est le résultat de l'opération sous l'action de la porte quantique contrôlée. Ensemble, ces deux registres déterminent l'état du qubit. Les messages dans un réseau de communication quantique sont les interactions entre ces qubits.

2.3. Porte quantique

Les portes quantiques sont les composants les plus fondamentaux des réseaux de communication quantique. Toute porte quantique peut être considérée comme une opération matricielle en deux parties. La première partie est un boîtier de contrôle qui active ou désactive sélectivement les qubits. La deuxième partie est une boîte arithmétique permettant de transformer l'état du qubit.

Diverses portes quantiques ont été proposées, telles que les portes CX, CZ, Hadamard, Pauli, etc. Ces portes sont conçues pour remplir un objectif précis. Par exemple, la porte CX peut mettre en œuvre la fonction de la porte logique CNOT, et la porte CZ peut mettre en œuvre la fonction de la porte logique CZ. Bien entendu, il existe de nombreux autres types de portes quantiques, et elles répondent à des objectifs différents.

2.4. Intrication quantique

L'intrication quantique fait référence à une certaine corrélation entre deux qubits dans un réseau de communication quantique, de telle sorte que les informations transmises entre eux s'influencent mutuellement. Lorsqu’il y a intrication entre deux qubits, la communication entre eux n’est plus unidirectionnelle et fermée, mais peut se transférer des informations.

L'intrication quantique est obtenue en agissant sur des portes quantiques spécifiques. Actuellement, les protocoles d'intrication quantique existants incluent le protocole Z-guessing, le protocole BBPSSW, le protocole CPHG, etc. Ces protocoles sont basés sur des modèles d'intrication quantique spécifiques. Selon les règles du protocole, la porte quantique correspondante est sélectionnée comme support pour la connexion par intrication.

2.5.Circuits quantiques

Un circuit quantique est le chemin entre les bits classiques et les qubits dans un réseau de communication quantique. Un circuit quantique peut être composé d'une série de portes quantiques et de qubits correspondant à l'entrée et à la sortie. Un circuit quantique peut être considéré comme un lien dans la transmission, la collecte et le traitement des informations quantiques.

2.6. Ressources quantiques

Les ressources quantiques font référence aux ressources physiques et informatiques qui peuvent être utilisées dans la production ou la simulation réelle. Pour les réseaux de communication quantique, les ressources quantiques comprennent principalement les aspects suivants :

  1. Nombre de qubits disponibles : le nombre de qubits pouvant être intégrés dans un nœud quantique est limité. Actuellement, les réseaux de communication quantiques traditionnels utilisent des noyaux atomiques ou des circuits intégrés comme nœuds quantiques. Chaque circuit quantique peut générer des centaines, voire des milliers de qubits, les ressources quantiques sont donc précieuses.

  2. Nombre de canaux quantiques disponibles : le nombre de canaux quantiques auxquels un nœud quantique peut être lié est également limité. Actuellement, les réseaux de communication quantique basés sur les photons peuvent accueillir des dizaines de milliers de canaux quantiques, mais leur obtention nécessite encore des investissements importants.

  3. Ordinateurs quantiques programmables : On estime qu'au cours des trois à cinq prochaines années, le nombre d'ordinateurs quantiques dans le domaine des communications quantiques pourrait dépasser celui des ordinateurs classiques. Un nombre croissant de chercheurs travaillent au développement de puces dotées de capacités informatiques quantiques.

3. Le fournisseur de services cloud KMS prend en charge QKD

Le service KMS fourni par Amazon Web Services (AWS) implémente la solution de gestion de clés basée sur QKD de la plateforme cloud AWS. KMS peut aider les utilisateurs à créer et à gérer des clés dans le cloud et fournit une API et un ensemble d'outils complets pour le confort de l'utilisateur.

3.1. Architecture des services KMS

Le schéma d'architecture du service KMS est le suivant :

Le service KMS se compose de quatre parties principales :

  1. Interface utilisateur : fournit une interface utilisateur pour les services KMS, y compris la fonction de gestion des clés.

  2. Processeur de requêtes : reçoit les requêtes des clients et les convertit en traitement back-end.

  3. Générateur de clés : utilisé pour générer des paires de clés ECDSA, RSA ou Diffie-Hellman.

  4. Stockage des clés : où les clés sont stockées. Les clés peuvent être enregistrées dans un module de sécurité matériel (HSM), un référentiel de clés logicielles ou dans le cloud.

3.2. Processus de génération de clé KMS

Le processus de génération de clé de KMS est le suivant :

  1. Créer des éléments de clé : les clients peuvent utiliser le SDK KMS, la CLI ou la console pour créer des éléments de clé, tels qu'une paire de clés publique/privée ECC ou RSA, ou une clé publique à courbe elliptique X25519. Ces documents contiennent des données brutes, ainsi que des hachages signés et cryptés.

  2. Soumettre les éléments de clé à KMS : le client envoie une requête HTTP contenant les éléments de clé, demandant la création d'une nouvelle clé.

  3. Générer une paire de clés : KMS générera un nombre aléatoire et utilisera les données d'origine et le nombre aléatoire fournis par le client pour générer la clé.

  4. Clé de retour : KMS renverra une clé contenant la clé publique, la clé privée, l'ID CMK, l'heure d'expiration et l'ARN (Amazon Resource Name) de la clé.

3.3. Stockage des clés KMS

KMS prend en charge trois types de stockage de clés :

  1. Clés gérées AWS KMS : il s'agit du type de stockage de clés par défaut. Il est stocké dans un HSM au sein d'AWS pour le plus haut niveau de sécurité.

  2. Clés principales client (CMK) : il s'agit d'un autre type de stockage de clés facultatif. Une CMK n'est qu'un ensemble de clés de chiffrement, quelles que soient les autorisations d'accès aux données. Les clients sont libres de placer des CMK dans différentes régions et comptes.

  3. Clés externes stockées dans des compartiments Amazon S3 : ce type de stockage de clés permet aux clients d'héberger leurs propres clés. Les clients peuvent stocker leurs propres clés dans un compartiment Amazon S3, et KMS lira les clés et les gérera.

3.4. Stratégie de services KMS

Le service KMS prend en charge deux stratégies :

  1. Stratégies IAM : les stratégies IAM contrôlent l'accès aux services KMS. Ces stratégies peuvent être spécifiées pour un utilisateur ou un rôle IAM spécifique, ou pour l'ensemble du compte AWS.

  2. Stratégie de clé : la stratégie de clé spécifie les autorisations d'accès et les restrictions d'utilisation de la clé. Lorsqu'un consommateur tente d'effectuer une opération sur une clé, KMS vérifie si sa stratégie lui permet d'effectuer l'opération.

3.5. Rotation des clés

KMS prend en charge la rotation automatique des clés et informe les utilisateurs à l'avance avant l'expiration des clés. Le processus de rotation des clés est le suivant :

  1. KMS a détecté que la clé est sur le point d'expirer.

  2. KMS marque la clé suivante comme active et désactive la clé actuelle.

  3. Si un utilisateur tente d'utiliser une clé expirée, KMS refusera sa demande.

  4. Les clés expirées sont automatiquement supprimées après une période spécifiée.

4. Ouvrez la solution de chiffrement de bout en bout Quantum Safe

Open Quantum Safe est un projet open source visant à développer des solutions de communication quantique sécurisées, open source et disponibles dans le commerce. Il fournit un SDK gratuit et une implémentation de référence, prenant en charge divers protocoles de communication quantique, notamment BB84, E91, MWPM, etc.

4.1. Protocole d'appariement de clés quantiques BB84

Le protocole d'appariement de clés quantiques BB84 (Bell – Bennett – Booker, BB84) est le premier protocole d'appariement de clés quantiques. Il utilise deux parties pour échanger des clés de cryptage à l'aide des portes Bell. Le BB84 se caractérise par sa facilité de compréhension et de mise en œuvre et par ses fortes capacités anti-interférences.

4.2. Sécurité du BB84

Le protocole d'appariement de clés quantiques BB84 est le premier protocole d'appariement de clés quantiques éprouvé avec une bonne sécurité. Le protocole utilise un réseau de communication quantique pour effectuer l'appariement des clés sans la participation de parties physiques. De plus, le protocole présente également une capacité anti-interférence et une fiabilité élevées. Cependant, BB84 ne peut garantir que les tiers soient dignes de confiance. Par conséquent, ce protocole ne convient généralement qu’aux scénarios de communication secrète.

4.3. Mise en œuvre du BB84 par OQS

Le projet OQS fournit une implémentation de référence du protocole d'appariement de clés quantiques BB84. Son implémentation utilise les bibliothèques d'algorithmes OpenSSL, LibSodium et SWIFFT. LibSodium est utilisé pour générer des nombres aléatoires à haute entropie et la bibliothèque d'algorithmes SWIFFT est utilisée pour l'informatique quantique rapide.

L'API fournie par LibSodium peut être appelée par la couche application pour générer des clés de chiffrement, chiffrer et déchiffrer les données. De plus, il fournit des API de signature et de vérification pour authentifier les données.

4.4. Projets futurs pour l'OQS

Les projets futurs pour OQS sont les suivants :

  1. Ajoutez davantage de protocoles de communication quantique, notamment ADIAKON, le protocole Möttönen-Wilson, le code Steane, etc.

  2. Améliorez les performances de mise en œuvre, la correction des erreurs et la dissimulation.

  3. Améliorez la qualité du code et la couverture des tests pour garantir la fiabilité et la sécurité du protocole.

Résumer

Cet article présente la technologie QKD, les termes clés, les fournisseurs de services cloud associés et les solutions open source. Le protocole KMS fournit des fonctions telles que la génération de clés quantiques, le stockage, la gestion et la rotation dans le cloud. Le projet OQS fournit des solutions de chiffrement de bout en bout pour les communications quantiques et secrètes.

Je suppose que tu aimes

Origine blog.csdn.net/universsky2015/article/details/133446704
conseillé
Classement
du quotidien
Plus
2024-05-18(31)
2024-05-17(4)
2024-05-16(25)
2024-05-15(5)
2024-05-14(11)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(33)
2024-05-09(31)

Code World

© 2018 codetd.com