Trumpova izvršna uredba postavlja rokove za savezni prijelaz na kvantno otporno šifriranje

Agencije se suočavaju s rokovima 2030. i 2031. za osjetljive savezne sustave

Predsjednik Donald Trump naložio je saveznim agencijama da visoko vrijednu imovinu i sustave visokog utjecaja prebace na postkvantnu kriptografiju, postavljajući rokove 31. prosinca 2030. za uspostavu ključeva i 31. prosinca 2031. za digitalne potpise. Izvršna uredba od 22. lipnja odnosi se na osjetljive savezne sustave, pravila nabave i planiranje u svim sektorima kritične infrastrukture.

Uredba se fokusira na rizike koje donosi kvantno računalstvo. Upozorava da bi protivnici danas mogli prikupljati šifrirane podatke SAD-a i dešifrirati ih kasnije, kada kvantna tehnologija napreduje. Postkvantna kriptografija odnosi se na kriptografske algoritme ili metode osmišljene da odole napadima i kvantnih i klasičnih računala.

Izvršna uredba navodi:

“Sjedinjene Države moraju poduzeti korake kako bi ojačale kriptografsku zaštitu osjetljivih podataka države, kritične infrastrukture i digitalnog gospodarstva.”

Čelnici agencija moraju u roku od 30 dana imenovati voditelja migracije na postkvantnu kriptografiju. Ti će dužnosnici izvještavati glavne informacijske službenike agencija te upravljati kriptografskim inventarima, razvijati planove migracije i koordinirati provedbu među odjelima.

U roku od 90 dana, Ured za upravljanje i proračun mora izdati smjernice u koordinaciji s Agencijom za kibernetičku sigurnost i sigurnost infrastrukture (CISA) i Nacionalnim direktorom za kibernetiku. Agencije će morati pregledati svoju imovinu visoke vrijednosti i sustave visokog utjecaja, izuzimajući sustave nacionalne sigurnosti, te dostaviti detaljne planove za prijelaz na nove standarde.

NIST, CISA i izvođači dobivaju definirane uloge u provedbi

Nekoliko saveznih agencija ima posebne odgovornosti prema uredbi. Nacionalni institut za standarde i tehnologiju (NIST) mora u roku od 180 dana započeti pilot-projekt migracije na odabranim sustavima koje kontrolira, uz obvezan dovršetak do 31. prosinca 2027. Ovaj pilot pomoći će usmjeriti šire usvajanje prije rokova 2030. i 2031.

Uredba također naglašava dugoročne rizike za podatke. Navodi:

“Kontinuirana kibernetička aktivnost protiv naše države također predstavlja rizik da protivnici sada prikupljaju informacije Sjedinjenih Država i dešifriraju ih kasnije, kada veliki kvantni računali postanu operativni.”

Promjene u nabavi provodit će se kroz postupak donošenja pravila. Savezno vijeće za regulativu nabave ima 180 dana da objavi prijedlog pravila kojim bi se od obuhvaćenih izvođača zahtijevalo ispunjavanje NIST standarda, uključujući postkvantne algoritme, do 31. prosinca 2030. Uključena je i kritična infrastruktura, pri čemu se agencijama za upravljanje rizicima po sektorima nalaže da surađuju s CISA-om kako bi operatorima pomogle pripremiti planove migracije, dok CISA i NIST imaju 270 dana da objave smjernice o minimalnim elementima za kriptografski popis materijala.

Uredba se proteže izvan domaćih sustava nalažući državnom tajniku da koordinira sa saveznim agencijama i obavještajnim dužnosnicima kako bi se u inozemstvu poticalo usvajanje NIST postkvantnih standarda. Sustavi nacionalne sigurnosti slijedit će zaseban put, pri čemu je direktor NSA-e dužan izvijestiti predsjednika o napretku u roku od 180 dana te potom jednom godišnje.