Dekret prezydenta Trumpa wyznacza terminy przejścia instytucji federalnych na szyfrowanie odporne na ataki kwantowe

Agencje stoją przed terminami wyznaczonymi na lata 2030 i 2031 w odniesieniu do wrażliwych systemów federalnych

Prezydent Donald Trump nakazał agencjom federalnym przejście w przypadku aktywów o wysokiej wartości i systemów o dużym znaczeniu na kryptografię postkwantową, wyznaczając termin 31 grudnia 2030 r. na ustanowienie kluczy oraz 31 grudnia 2031 r. na wdrożenie podpisów cyfrowych. Rozporządzenie wykonawcze z 22 czerwca dotyczy wrażliwych systemów federalnych, zasad zamówień publicznych oraz planowania w sektorach infrastruktury krytycznej.

Dekret koncentruje się na zagrożeniach związanych z informatyką kwantową. Ostrzega, że przeciwnicy mogą już dziś gromadzić zaszyfrowane dane amerykańskie, a następnie odszyfrować je w przyszłości, gdy technologia kwantowa osiągnie odpowiedni poziom zaawansowania. Kryptografia postkwantowa odnosi się do algorytmów lub metod kryptograficznych zaprojektowanych tak, aby były odporne na ataki zarówno ze strony komputerów kwantowych, jak i klasycznych.

W dekrecie wykonawczym stwierdza się:

„Stany Zjednoczone muszą podjąć kroki w celu wzmocnienia zabezpieczeń kryptograficznych wrażliwych danych kraju, infrastruktury krytycznej oraz gospodarki cyfrowej”.

Szefowie agencji muszą w ciągu 30 dni wyznaczyć osobę odpowiedzialną za migrację do kryptografii postkwantowej. Urzędnicy ci będą podlegać dyrektorom ds. informatyki w agencjach i będą zarządzać zasobami kryptograficznymi, opracowywać plany migracji oraz koordynować wdrażanie w poszczególnych departamentach.

W ciągu 90 dni Biuro Zarządzania i Budżetu musi wydać wytyczne we współpracy z Agencją ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) oraz Krajowym Dyrektorem ds. Cyberbezpieczeństwa. Agencje będą musiały dokonać przeglądu swoich aktywów o wysokiej wartości oraz systemów o dużym znaczeniu, z wyłączeniem systemów bezpieczeństwa narodowego, a także przedłożyć szczegółowe plany przejścia na nowe standardy.

NIST, CISA i wykonawcy otrzymują określone role w procesie wdrażania

Kilka agencji federalnych ma określone obowiązki wynikające z rozporządzenia. Narodowy Instytut Standardów i Technologii (NIST) musi w ciągu 180 dni rozpocząć pilotażowy projekt migracji w wybranych systemach, nad którymi sprawuje kontrolę, a jego zakończenie jest wymagane do 31 grudnia 2027 r. Ten projekt pilotażowy pomoże ukierunkować szersze wdrożenie przed terminami wyznaczonymi na lata 2030 i 2031.

Rozporządzenie podkreśla również długoterminowe zagrożenia związane z danymi. Stwierdza ono:

„Trwające ataki cybernetyczne wymierzone w nasz kraj stwarzają również ryzyko, że przeciwnicy zbierają obecnie informacje dotyczące Stanów Zjednoczonych, a odszyfrują je później, gdy zaczną działać komputery kwantowe na dużą skalę”.

Zmiany w zakresie zamówień publicznych zostaną wprowadzone w drodze procedury regulacyjnej. Federalna Rada Regulacyjna ds. Zamówień Publicznych ma 180 dni na opublikowanie projektu rozporządzenia, które nakładałoby na objętych nim wykonawców obowiązek spełnienia norm NIST, w tym stosowania algorytmów postkwantowych, do 31 grudnia 2030 r. Ustawa obejmuje również infrastrukturę krytyczną, a agencje ds. zarządzania ryzykiem sektorowym mają współpracować z CISA, aby pomóc operatorom w przygotowaniu planów migracji, podczas gdy CISA i NIST mają 270 dni na opublikowanie wytycznych dotyczących minimalnych elementów kryptograficznej specyfikacji materiałowej.

Rozporządzenie wykracza poza systemy krajowe, nakazując sekretarzowi stanu koordynację działań z agencjami federalnymi i urzędnikami wywiadu w celu promowania wdrażania standardów postkwantowych NIST za granicą. Systemy bezpieczeństwa narodowego będą podlegały odrębnej ścieżce postępowania, a dyrektor NSA ma obowiązek przedstawiać prezydentowi sprawozdania z postępów w ciągu 180 dni, a następnie corocznie.