L'ordine esecutivo di Trump fissa le scadenze per il passaggio delle autorità federali alla crittografia resistente alla crittografia quantistica

Le agenzie devono rispettare le scadenze del 2030 e del 2031 per i sistemi federali sensibili

Il presidente Donald Trump ha ordinato alle agenzie federali di migrare le risorse di alto valore e i sistemi ad alto impatto verso la crittografia post-quantistica, fissando le scadenze al 31 dicembre 2030 per la generazione delle chiavi e al 31 dicembre 2031 per le firme digitali. L’ordine esecutivo del 22 giugno si applica ai sistemi federali sensibili, alle norme sugli appalti e alla pianificazione nei settori delle infrastrutture critiche.

L’ordine si concentra sui rischi posti dall’informatica quantistica. Esso avverte che gli avversari potrebbero raccogliere oggi dati statunitensi crittografati e decrittografarli in seguito, una volta che la tecnologia quantistica avrà fatto progressi. Per crittografia post-quantistica si intendono algoritmi o metodi crittografici progettati per resistere agli attacchi sia da parte di computer quantistici che classici. L’ordine esecutivo recita:

«Gli Stati Uniti devono adottare misure per rafforzare le protezioni crittografiche dei dati sensibili della nazione, delle infrastrutture critiche e dell’economia digitale».

I responsabili delle agenzie devono nominare, entro 30 giorni, un responsabile della migrazione alla crittografia post-quantistica. Questi funzionari riferiranno ai responsabili informatici delle agenzie e gestiranno gli inventari crittografici, svilupperanno piani di migrazione e coordineranno l’attuazione tra i vari dipartimenti.

Entro 90 giorni, l’Ufficio di gestione e bilancio (OMB) dovrà emanare linee guida in coordinamento con l’Agenzia per la sicurezza informatica e delle infrastrutture (CISA) e il Direttore nazionale per la sicurezza informatica. Le agenzie dovranno esaminare le proprie risorse di alto valore e i sistemi ad alto impatto, esclusi i sistemi di sicurezza nazionale, e presentare piani dettagliati per la transizione verso i nuovi standard.

NIST, CISA e appaltatori ricevono ruoli di implementazione definiti

Diverse agenzie federali hanno responsabilità specifiche ai sensi del decreto. L’Istituto Nazionale di Standard e Tecnologia (NIST) deve avviare entro 180 giorni un progetto pilota di migrazione su sistemi selezionati di sua competenza, il cui completamento è previsto entro il 31 dicembre 2027. Questo progetto pilota contribuirà a orientare un’adozione più ampia prima delle scadenze del 2030 e del 2031. L’ordine sottolinea inoltre i rischi a lungo termine relativi ai dati. Esso afferma:

«Le continue attività informatiche contro la nostra nazione comportano anche il rischio che gli avversari raccolgano informazioni sugli Stati Uniti ora, per poi decriptarle in un secondo momento, una volta che i computer quantistici su larga scala saranno operativi.»

Le modifiche agli appalti passeranno attraverso il processo normativo. Il Consiglio federale per la regolamentazione degli appalti (Federal Acquisition Regulatory Council) ha 180 giorni di tempo per pubblicare una proposta di regolamento che imponga agli appaltatori interessati di soddisfare gli standard del NIST, compresi gli algoritmi post-quantistici, entro il 31 dicembre 2030. Sono incluse anche le infrastrutture critiche: le agenzie di gestione dei rischi settoriali sono incaricate di collaborare con la CISA per aiutare gli operatori a preparare piani di migrazione, mentre la CISA e il NIST hanno 270 giorni di tempo per pubblicare linee guida sugli elementi minimi necessari per una distinta dei materiali crittografici.

L’ordine va oltre i sistemi nazionali, incaricando il Segretario di Stato di coordinarsi con le agenzie federali e i funzionari dei servizi di intelligence per promuovere l’adozione degli standard post-quantistici del NIST all’estero. I sistemi di sicurezza nazionale seguiranno un percorso separato, con il direttore della NSA tenuto a riferire i progressi al presidente entro 180 giorni e, successivamente, con cadenza annuale.