Trump-administrasjonens presidentordre setter tidsfrister for føderal overgang til kvantemotstandsdyktig kryptering

Etater står overfor frister i 2030 og 2031 for sensitive føderale systemer

President Donald Trump beordret føderale etater til å flytte høyverdifulle ressurser og systemer med stor konsekvens til post-kvantekryptografi, med frister 31. desember 2030 for nøkkel-etablering og 31. desember 2031 for digitale signaturer. Presidentordren av 22. juni (executive order) gjelder sensitive føderale systemer, anskaffelsesregler og planlegging på tvers av sektorer for kritisk infrastruktur.

Ordren fokuserer på risikoen som kvantedatamaskiner utgjør. Den advarer om at motstandere kan samle inn krypterte amerikanske data i dag og dekryptere dem senere når kvanteteknologien blir mer avansert. Post-kvantekryptografi viser til kryptografiske algoritmer eller metoder som er utformet for å motstå angrep fra både kvante- og klassiske datamaskiner.

Presidentordren sier:

«USA må ta grep for å styrke kryptografisk beskyttelse av nasjonens sensitive data, kritiske infrastruktur og digitale økonomi.»

Etatsledere må utpeke en migreringsansvarlig for post-kvantekryptografi innen 30 dager. Disse tjenestepersonene vil rapportere til etatenes IT-direktører og håndtere kryptografiske inventarer, utvikle migreringsplaner og koordinere implementeringen på tvers av avdelinger.

Innen 90 dager må Office of Management and Budget utstede veiledning i koordinering med Cybersecurity and Infrastructure Security Agency (CISA) og National Cyber Director. Etater må gjennomgå sine høyverdifulle ressurser og systemer med stor konsekvens, unntatt National Security Systems, og sende inn detaljerte planer for overgangen til nye standarder.

NIST, CISA og leverandører får definerte roller i implementeringen

Flere føderale etater har spesifikke ansvarsområder i henhold til ordren. National Institute of Standards and Technology (NIST) må starte et pilotprosjekt for migrering innen 180 dager på utvalgte systemer de kontrollerer, med ferdigstillelse påkrevd innen 31. desember 2027. Denne piloten vil bidra til å veilede en bredere innføring før fristene i 2030 og 2031.

Ordren fremhever også langsiktige datarisikoer. Den sier:

«Pågående cyberaktivitet mot nasjonen vår innebærer også risikoen for at motstandere samler inn amerikansk informasjon nå, og dekrypterer den senere når kvantedatamaskiner i stor skala er operative.»

Endringer i anskaffelser vil skje gjennom regelverksprosess. Federal Acquisition Regulatory Council har 180 dager på å publisere et foreslått regelverk som vil kreve at omfattede leverandører oppfyller NIST-standarder, inkludert post-kvantealgoritmer, innen 31. desember 2030. Kritisk infrastruktur er også inkludert, med Sector Risk Management Agencies instruert til å samarbeide med CISA for å hjelpe operatører med å utarbeide migreringsplaner, mens CISA og NIST har 270 dager på å publisere veiledning om minimumselementer for en kryptografisk materialliste (bill of materials).

Ordren strekker seg utover innenlandske systemer ved å instruere utenriksministeren til å koordinere med føderale etater og etterretningsmyndigheter for å fremme innføring av NISTs post-kvantestandarder i utlandet. National Security Systems vil følge et separat spor, der NSA-direktøren må rapportere fremdrift til presidenten innen 180 dager og deretter årlig.