Trumps præsidentdekret fastsætter frister for overgangen til kvantebestandig kryptering på føderalt niveau

Myndighederne står over for frister i 2030 og 2031 for følsomme føderale systemer

Præsident Donald Trump har pålagt de føderale myndigheder at overføre værdifulde aktiver og systemer med stor indflydelse til post-kvantekryptografi og har fastsat fristen til den 31. december 2030 for nøgleoprettelse og den 31. december 2031 for digitale signaturer. Præsidentdekretet af 22. juni gælder følsomme føderale systemer, udbudsregler og planlægning på tværs af sektorer med kritisk infrastruktur.

Bekendtgørelsen fokuserer på de risici, som kvantecomputere udgør. Den advarer om, at fjender i dag kan indsamle krypterede amerikanske data og dekryptere dem senere, når kvanteteknologien er kommet længere. Post-kvantekryptografi henviser til kryptografiske algoritmer eller metoder, der er designet til at modstå angreb fra både kvante- og klassiske computere.

I bekendtgørelsen hedder det:

»USA skal træffe foranstaltninger til at styrke den kryptografiske beskyttelse af landets følsomme data, kritiske infrastruktur og digitale økonomi.«

Agenturcheferne skal inden for 30 dage udpege en ansvarlig for overgangen til post-kvantekryptografi. Disse embedsmænd skal rapportere til agenturernes CIO’er og forvalte kryptografiske oversigter, udarbejde migrationsplaner og koordinere implementeringen på tværs af afdelingerne.

Inden for 90 dage skal Office of Management and Budget udstede retningslinjer i samarbejde med Cybersecurity and Infrastructure Security Agency (CISA) og den nationale cyberdirektør. Myndighederne skal gennemgå deres værdifulde aktiver og systemer med stor indflydelse – med undtagelse af nationale sikkerhedssystemer – og indsende detaljerede planer for overgangen til de nye standarder.

NIST, CISA og entreprenører tildeles definerede implementeringsroller

Flere føderale myndigheder har specifikke ansvarsområder i henhold til bekendtgørelsen. National Institute of Standards and Technology (NIST) skal inden for 180 dage påbegynde et pilotprojekt for overgang på udvalgte systemer, som instituttet kontrollerer, og projektet skal være afsluttet senest den 31. december 2027. Dette pilotprojekt vil bidrage til at bane vejen for en bredere indførelse inden fristerne i 2030 og 2031.

Bekendtgørelsen fremhæver også langsigtede datarisici. Her hedder det:

»Den igangværende cyberaktivitet mod vores nation udgør også en risiko for, at fjender indsamler oplysninger om USA nu og dekrypterer dem senere, når kvantecomputere i stor skala er taget i brug.«

Ændringerne i indkøbspolitikken vil ske gennem regeludarbejdelse. Federal Acquisition Regulatory Council har 180 dage til at offentliggøre et forslag til en regel, der vil kræve, at de omfattede entreprenører opfylder NIST-standarder, herunder post-kvantealgoritmer, senest den 31. december 2030. Kritisk infrastruktur er også omfattet, idet sektorielle risikostyringsagenturer pålægges at samarbejde med CISA om at hjælpe operatører med at udarbejde migrationsplaner, mens CISA og NIST har 270 dage til at offentliggøre vejledning om minimumskrav til en kryptografisk stykliste.

Bekendtgørelsen rækker ud over indenlandske systemer, idet udenrigsministeren pålægges at koordinere med føderale agenturer og efterretningsembedsmænd for at fremme indførelsen af NIST’s post-kvante-standarder i udlandet. Nationale sikkerhedssystemer vil følge en separat proces, hvor direktøren for NSA skal aflægge rapport om fremskridt til præsidenten inden for 180 dage og derefter årligt.