Trumpin presidentin asetuksessa asetetaan määräajat liittovaltion siirtymiselle kvanttitietokoneiden kestäviin salausmenetelmiin

Virastoilla on vuosina 2030 ja 2031 määräajat arkaluonteisten liittovaltion järjestelmien siirtämiselle

Presidentti Donald Trump määräsi liittovaltion virastot siirtämään arvokkaat resurssit ja merkittävät järjestelmät kvanttitietoturvan jälkeiseen salaukseen asettaen määräajaksi 31. joulukuuta 2030 avainten luomiselle ja 31. joulukuuta 2031 digitaalisille allekirjoituksille. 22. kesäkuuta annettu toimeenpanomääräys koskee arkaluonteisia liittovaltion järjestelmiä, hankintasääntöjä sekä suunnittelua kriittisten infrastruktuurialojen piirissä.

Määräys keskittyy kvanttilaskennan aiheuttamiin riskeihin. Siinä varoitetaan, että viholliset voisivat kerätä salattuja Yhdysvaltain tietoja jo nyt ja purkaa niiden salauksen myöhemmin, kun kvanttiteknologia kehittyy. Post-kvanttikryptografialla tarkoitetaan salausalgoritmeja tai -menetelmiä, jotka on suunniteltu kestämään sekä kvantti- että klassisten tietokoneiden hyökkäyksiä.

Toimeenpanomääräyksessä todetaan:

”Yhdysvaltojen on ryhdyttävä toimenpiteisiin vahvistaakseen salaussuojausta maan arkaluonteisten tietojen, kriittisen infrastruktuurin ja digitaalitalouden osalta.”

Virastojen johtajien on nimettävä 30 päivän kuluessa vastuuhenkilö post-kvanttikryptografiaan siirtymisestä. Nämä virkamiehet raportoivat virastojen tietohallintojohtajille ja hallinnoivat salausluetteloita, laativat siirtymissuunnitelmia sekä koordinoivat toteutusta eri osastojen välillä.

Hallinto- ja budjettiviraston on 90 päivän kuluessa annettava ohjeistusta yhteistyössä kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) sekä kansallisen kyberturvallisuusjohtajan kanssa. Virastojen on tarkasteltava arvokkaita resurssejaan ja merkittävimpiä järjestelmiään – lukuun ottamatta kansallisia turvallisuusjärjestelmiä – ja toimitettava yksityiskohtaiset suunnitelmat siirtymisestä uusiin standardeihin.

NIST:lle, CISA:lle ja alihankkijoille määritellään toteutustehtävät

Useilla liittovaltion virastoilla on määräyksen nojalla erityisiä vastuita. Kansallisen standardi- ja teknologiainstituutin (NIST) on aloitettava 180 päivän kuluessa pilottisiirtymähanke valituissa, sen hallinnoimissa järjestelmissä, ja hanke on saatava päätökseen 31. joulukuuta 2027 mennessä. Tämä pilottihanke auttaa ohjaamaan laajempaa käyttöönottoa ennen vuosien 2030 ja 2031 määräaikoja.

Määräyksessä korostetaan myös pitkän aikavälin tietoriskejä. Siinä todetaan:

”Maamme vastaista jatkuvaa kybertoimintaa harjoittavat tahot aiheuttavat myös riskin siitä, että viholliset keräävät nyt Yhdysvaltoja koskevia tietoja ja purkavat niiden salauksen myöhemmin, kun laajamittaiset kvanttitietokoneet ovat toiminnassa.”

Hankintakäytäntöjen muutokset viedään läpi sääntelyprosessin kautta. Liittovaltion hankintasääntelyneuvostolla (Federal Acquisition Regulatory Council) on 180 päivää aikaa julkaista sääntöehdotus, joka velvoittaisi sääntelyn piiriin kuuluvat urakoitsijat täyttämään NIST-standardit, mukaan lukien post-kvanttialgoritmit, 31. joulukuuta 2030 mennessä. Myös kriittinen infrastruktuuri on mukana, ja sektorikohtaisten riskienhallintavirastojen on määrä tehdä yhteistyötä CISA:n kanssa auttaakseen operaattoreita laatimaan siirtymäsuunnitelmia, kun taas CISA:lla ja NIST:llä on 270 päivää aikaa julkaista ohjeet salausmateriaaliluettelon vähimmäisvaatimuksista.

Määräys ulottuu kotimaisten järjestelmien ulkopuolelle, sillä siinä ohjeistetaan ulkoministeriä koordinoimaan toimia liittovaltion virastojen ja tiedusteluviranomaisten kanssa NIST:n post-kvanttistandardien käyttöönoton edistämiseksi ulkomailla. Kansalliset turvallisuusjärjestelmät noudattavat erillistä menettelytapaa, ja NSA:n johtajan on raportoitava edistymisestä presidentille 180 päivän kuluessa ja sen jälkeen vuosittain.