סוכנויות פדרליות חייבות להעביר מערכות בעלות ערך גבוה ובעלות השפעה גבוהה לקריפטוגרפיה פוסט-קוונטית עד 2031 בהתאם לצו הנשיאותי של טראמפ. ההנחיה מחייבת מינוי מובילי הגירה, עדכוני רכש ותיאום עם תשתיות קריטיות כדי להתמודד עם סיכוני קוונטים.
צו נשיאותי של טראמפ קובע מועדים אחרונים למעבר פדרלי להצפנה עמידה בפני קוונטים
נכתב ע"י
שתף
עיקרי הדברים
- משרדי ממשל פדרליים חייבים להעביר מערכות רגישות לתקני הצפנה עמידים לקוונטים.
- דרישות חדשות מגדירות מובילים בסוכנויות, מלאים, חובות תכנון ואחריות לפיקוח.
- יישום רחב יותר עשוי להשפיע על קבלנים, מפעילי תשתיות ותיאום סייבר בינלאומי.
סוכנויות ניצבות מול מועדי יעד ב-2030 וב-2031 עבור מערכות פדרליות רגישות
הנשיא דונלד טראמפ הורה לסוכנויות פדרליות להעביר נכסים בעלי ערך גבוה ומערכות בעלות השפעה גבוהה לקריפטוגרפיה פוסט-קוונטית, תוך קביעת מועדי יעד של 31 בדצמבר 2030 להקמת מפתחות ושל 31 בדצמבר 2031 לחתימות דיגיטליות. הצו הנשיאותי מ-22 ביוני חל על מערכות פדרליות רגישות, כללי רכש ותכנון במגזרי תשתיות קריטיות.
הצו מתמקד בסיכונים שמציבה המחשוב הקוונטי. הוא מזהיר כי יריבים עשויים לאסוף היום נתונים אמריקאיים מוצפנים ולפענחם מאוחר יותר כאשר הטכנולוגיה הקוונטית תתקדם. קריפטוגרפיה פוסט-קוונטית מתייחסת לאלגוריתמים או שיטות הצפנה שנועדו לעמוד בפני תקיפות הן ממחשבים קוונטיים והן ממחשבים קלאסיים.
הצו הנשיאותי קובע:
“ארצות הברית חייבת לנקוט צעדים לחיזוק ההגנות הקריפטוגרפיות על נתוניה הרגישים של האומה, על תשתיותיה הקריטיות ועל הכלכלה הדיגיטלית.”
ראשי הסוכנויות חייבים למנות מוביל הגירה לקריפטוגרפיה פוסט-קוונטית בתוך 30 יום. גורמים אלה ידווחו למנהלי המידע הראשיים של הסוכנויות וינהלו מלאי קריפטוגרפי, יפתחו תוכניות הגירה ויתאמו את היישום בין המחלקות.
בתוך 90 יום, משרד הניהול והתקציב חייב לפרסם הנחיות בתיאום עם הסוכנות לאבטחת סייבר ותשתיות (CISA) ועם מנהל הסייבר הלאומי. הסוכנויות יידרשו לבחון את הנכסים בעלי הערך הגבוה ואת המערכות בעלות ההשפעה הגבוהה שלהן, למעט מערכות ביטחון לאומי, ולהגיש תוכניות מפורטות למעבר לתקנים החדשים.
NIST, CISA וקבלנים מקבלים תפקידי יישום מוגדרים
לכמה סוכנויות פדרליות יש אחריות ספציפית בהתאם לצו. המכון הלאומי לתקנים ולטכנולוגיה (NIST) חייב להתחיל בתוך 180 יום פרויקט פיילוט להגירה על מערכות נבחרות שבשליטתו, כאשר השלמתו נדרשת עד 31 בדצמבר 2027. פיילוט זה יסייע להכווין אימוץ רחב יותר לפני מועדי היעד של 2030 ו-2031.
הצו מדגיש גם סיכונים ארוכי טווח לנתונים. הוא קובע:
“פעילות סייבר מתמשכת נגד האומה שלנו מציבה גם את הסיכון שיריבים יאספו כעת מידע של ארצות הברית, ויפענחו אותו מאוחר יותר כאשר מחשבים קוונטיים בקנה מידה גדול יהיו מבצעיים.”
שינויים ברכש יתקדמו דרך הליך קביעת כללים. למועצת התקינה של תקנות הרכש הפדרליות יש 180 יום לפרסם כלל מוצע שיחייב קבלנים מכוסים לעמוד בתקני NIST, כולל אלגוריתמים פוסט-קוונטיים, עד 31 בדצמבר 2030. תשתיות קריטיות נכללות גם כן, כאשר סוכנויות ניהול סיכוני מגזר נדרשות לעבוד עם CISA כדי לסייע למפעילים להכין תוכניות הגירה, בעוד של-CISA ול-NIST יש 270 יום לפרסם הנחיות לגבי רכיבי המינימום של חשבון חומרים קריפטוגרפי.
הצו חורג מעבר למערכות מקומיות בכך שהוא מורה לשר החוץ לתאם עם סוכנויות פדרליות ועם גורמי מודיעין כדי לקדם אימוץ של תקני NIST הפוסט-קוונטיים בחו״ל. מערכות ביטחון לאומי יפעלו במסלול נפרד, כאשר מנהל ה-NSA נדרש לדווח לנשיא על ההתקדמות בתוך 180 יום ולאחר מכן אחת לשנה.
מאמר זה תורגם מאנגלית באמצעות בינה מלאכותית. הגרסה המקורית באנגלית היא המקור הקובע; תרגומים אוטומטיים עשויים להכיל אי-דיוקים, במיוחד במונחים משפטיים ורגולטוריים.
