Trump elnöki rendelete értelmében a szövetségi ügynökségeknek 2031-ig át kell állítaniuk a nagy értékű és jelentős hatással bíró rendszereiket a posztkvantum kriptográfiára. Az irányelv előírja az átállásért felelős vezetők kijelölését, a beszerzési folyamatok frissítését, valamint a kritikus infrastruktúrával való együttműködést a kvantumkockázatok kezelése érdekében.
Trump elnöki rendelete határidőket szab a szövetségi szintű átállásra a kvantumellenálló titkosításra
ÍRTA
MEGOSZTÁS
Főbb tanulságok
- A szövetségi minisztériumoknak át kell állítaniuk az érzékeny rendszereket kvantumálló kriptográfiai szabványokra.
- Az új követelmények kijelölik a hatóságok vezetőit, a leltárkészítést, a tervezési feladatokat és a felügyeleti felelősségeket.
- A szélesebb körű végrehajtás hatással lehet a vállalkozókra, az infrastruktúra-üzemeltetőkre és a nemzetközi kiberbiztonsági koordinációra.
A hatóságoknak 2030-ra és 2031-re kell teljesíteniük az érzékeny szövetségi rendszerekre vonatkozó határidőket
Donald Trump elnök elrendelte a szövetségi ügynökségeknek, hogy a nagy értékű eszközöket és a jelentős hatással bíró rendszereket állítsák át a posztkvantum kriptográfiára, 2030. december 31-ét határidőként meghatározva a kulcsok létrehozására, 2031. december 31-ét pedig a digitális aláírásokra. A június 22-i elnöki rendelet az érzékeny szövetségi rendszerekre, a beszerzési szabályokra és a kritikus infrastruktúra-szektorok tervezésére vonatkozik.
A rendelet a kvantumszámítástechnika által jelentett kockázatokra összpontosít. Arra figyelmeztet, hogy az ellenséges erők ma már összegyűjthetik a titkosított amerikai adatokat, majd később, a kvantumtechnológia fejlődésével, visszafejthetik azokat. A posztkvantum kriptográfia olyan kriptográfiai algoritmusokat vagy módszereket jelent, amelyeket úgy terveztek, hogy ellenálljanak mind a kvantum-, mind a klasszikus számítógépek támadásainak.
A végrehajtási rendelet kimondja:
„Az Egyesült Államoknak lépéseket kell tennie a nemzet érzékeny adatainak, kritikus infrastruktúrájának és digitális gazdaságának kriptográfiai védelmének megerősítése érdekében.”
Az ügynökségek vezetőinek 30 napon belül ki kell nevezniük egy, a posztkvantum-kriptográfiára való áttérésért felelős vezetőt. Ezek a tisztviselők az ügynökségek informatikai vezetőinek tartoznak beszámolással, és feladataik közé tartozik a kriptográfiai eszközállományok kezelése, az áttérési tervek kidolgozása, valamint a végrehajtás koordinálása a különböző részlegek között.
90 napon belül az Irányítási és Költségvetési Hivatalnak (OMB) iránymutatást kell kiadnia a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökséggel (CISA) és a Nemzeti Kiberbiztonsági Igazgatóval együttműködésben. A hatóságoknak felül kell vizsgálniuk nagy értékű eszközeiket és nagy hatással bíró rendszereiket – a nemzetbiztonsági rendszerek kivételével –, és részletes terveket kell benyújtaniuk az új szabványokra való áttérésről.
A NIST, a CISA és a szerződéses partnerek meghatározott végrehajtási szerepköröket kapnak
Számos szövetségi ügynökségnek konkrét felelősségei vannak a rendelet értelmében. A Nemzeti Szabványügyi és Technológiai Intézetnek (NIST) 180 napon belül el kell indítania egy kísérleti áttérési projektet az általa ellenőrzött, kiválasztott rendszereken, amelyet 2027. december 31-ig kell befejeznie. Ez a kísérleti projekt iránymutatásul szolgál majd a szélesebb körű bevezetéshez a 2030-as és 2031-es határidők előtt.
A rendelet kiemeli a hosszú távú adatkockázatokat is. A következőket állapítja meg:
„Az országunk ellen folyó folyamatos kibertevékenységek azt a kockázatot is hordozzák, hogy az ellenségek most gyűjtenek információkat az Egyesült Államokról, majd később, amikor a nagyméretű kvantumszámítógépek működőképessé válnak, azokat visszafejtik.”
A beszerzési szabályok módosításai szabályalkotási eljárás keretében valósulnak meg. A Szövetségi Beszerzési Szabályozó Tanácsnak 180 napja van arra, hogy közzétegye azt a szabálytervezetet, amely előírná a hatály alá tartozó vállalkozók számára, hogy 2030. december 31-ig megfeleljenek a NIST-szabványoknak, beleértve a posztkvantum algoritmusokat is. A kritikus infrastruktúra is szerepel a rendelkezésben: az ágazati kockázatkezelő ügynökségeknek együtt kell működniük a CISA-val, hogy segítsék az üzemeltetőket az áttérési tervek elkészítésében, míg a CISA-nak és a NIST-nek 270 nap áll rendelkezésére arra, hogy iránymutatást tegyen közzé a kriptográfiai alkatrészlisták minimális elemeiről.
A rendelet hatálya túlmutat a belföldi rendszereken, mivel utasítja a külügyminisztert, hogy koordinálja a szövetségi ügynökségekkel és a hírszerzési tisztviselőkkel való együttműködést a NIST posztkvantum szabványainak külföldi bevezetésének előmozdítása érdekében. A nemzetbiztonsági rendszerek külön pályát követnek: az NSA igazgatójának 180 napon belül, majd azt követően évente jelentést kell benyújtania az elnöknek az elért eredményekről.
Ezt a cikket mesterséges intelligencia segítségével fordították le angolról. Az eredeti angol nyelvű változat a hiteles forrás; az automatikus fordítások pontatlanságokat tartalmazhatnak, különösen a jogi és szabályozási terminológiában.
