Trumpův prezidentský dekret stanovuje termíny pro přechod federálních orgánů na šifrování odolné proti kvantovým útokům

Agentury čelí termínům do roku 2030 a 2031 pro citlivé federální systémy

Prezident Donald Trump nařídil federálním agenturám, aby přešly u vysoce hodnotných aktiv a systémů s velkým dopadem na postkvantovou kryptografii, přičemž stanovil termín 31. prosince 2030 pro zavedení klíčů a 31. prosince 2031 pro digitální podpisy. Výkonný příkaz z 22. června se vztahuje na citlivé federální systémy, pravidla zadávání veřejných zakázek a plánování v odvětvích kritické infrastruktury.

Nařízení se zaměřuje na rizika, která představují kvantové počítače. Varuje, že protivníci by mohli dnes shromažďovat zašifrovaná data USA a dešifrovat je později, jakmile dojde k pokroku v kvantové technologii. Postkvantová kryptografie označuje kryptografické algoritmy nebo metody navržené tak, aby odolaly útokům jak ze strany kvantových, tak klasických počítačů.

Výkonný příkaz uvádí:

„Spojené státy musí přijmout opatření k posílení kryptografické ochrany citlivých dat, kritické infrastruktury a digitální ekonomiky národa.“

Vedoucí agentur musí do 30 dnů jmenovat vedoucího pro přechod na postkvantovou kryptografii. Tito úředníci budou podléhat vedoucím informačních oddělení agentur a budou spravovat kryptografické inventáře, vypracovávat plány přechodu a koordinovat implementaci napříč resorty.

Do 90 dnů musí Úřad pro správu a rozpočet (OMB) ve spolupráci s Agenturou pro kyberbezpečnost a bezpečnost infrastruktury (CISA) a národním ředitelem pro kyberbezpečnost vydat pokyny. Agentury budou muset provést revizi svých cenných aktiv a systémů s významným dopadem, s výjimkou systémů národní bezpečnosti, a předložit podrobné plány přechodu na nové standardy.

NIST, CISA a dodavatelé dostávají jasně definované role při implementaci

Několik federálních agentur má na základě tohoto nařízení konkrétní povinnosti. Národní institut pro standardy a technologie (NIST) musí do 180 dnů zahájit pilotní migrační projekt na vybraných systémech, které spravuje, přičemž jeho dokončení je požadováno do 31. prosince 2027. Tento pilotní projekt pomůže nasměrovat širší zavádění před termíny v letech 2030 a 2031.

Nařízení rovněž zdůrazňuje dlouhodobá rizika spojená s daty. Uvádí:

„Probíhající kybernetické aktivity namířené proti naší zemi představují také riziko, že protivníci shromažďují informace o Spojených státech již nyní a dešifrují je později, jakmile budou v provozu kvantové počítače velkého rozsahu.“

Změny v oblasti veřejných zakázek budou prosazovány prostřednictvím tvorby předpisů. Federální rada pro regulaci veřejných zakázek (Federal Acquisition Regulatory Council) má 180 dní na zveřejnění návrhu předpisu, který by vyžadoval, aby dotčení dodavatelé splnili normy NIST, včetně postkvantových algoritmů, do 31. prosince 2030. Zahrnuta je také kritická infrastruktura, přičemž agentury pro řízení sektorových rizik mají za úkol spolupracovat s CISA na pomoci provozovatelům při přípravě migračních plánů, zatímco CISA a NIST mají 270 dní na zveřejnění pokynů ohledně minimálních prvků pro kryptografický seznam komponent.

Nařízení přesahuje rámec domácích systémů tím, že ukládá ministru zahraničí, aby ve spolupráci s federálními agenturami a představiteli zpravodajských služeb podporoval přijetí postkvantových standardů NIST v zahraničí. Systémy národní bezpečnosti budou postupovat samostatně, přičemž ředitel NSA je povinen podávat prezidentovi zprávu o pokroku do 180 dnů a poté každoročně.