Decreto de Trump estabelece prazos para a transição do governo federal para a criptografia resistente à computação quântica

Agências enfrentam prazos de 2030 e 2031 para sistemas federais confidenciais

O presidente Donald Trump ordenou que as agências federais migrassem ativos de alto valor e sistemas de alto impacto para a criptografia pós-quântica, estabelecendo prazos de 31 de dezembro de 2030 para o estabelecimento de chaves e de 31 de dezembro de 2031 para assinaturas digitais. A ordem executiva de 22 de junho se aplica a sistemas federais sensíveis, regras de aquisição e planejamento em setores de infraestrutura crítica.

A ordem enfoca os riscos representados pela computação quântica. Ela alerta que adversários poderiam coletar dados criptografados dos EUA hoje e descriptografá-los posteriormente, assim que a tecnologia quântica avançar. A criptografia pós-quântica refere-se a algoritmos ou métodos criptográficos projetados para resistir a ataques tanto de computadores quânticos quanto clássicos.

A ordem executiva afirma:

“Os Estados Unidos devem tomar medidas para fortalecer as proteções criptográficas dos dados sensíveis, da infraestrutura crítica e da economia digital do país.”

Os chefes das agências devem nomear um responsável pela migração para a criptografia pós-quântica no prazo de 30 dias. Esses funcionários se reportarão aos diretores de informação das agências e gerenciarão inventários criptográficos, desenvolverão planos de migração e coordenarão a implementação entre os departamentos.

No prazo de 90 dias, o Escritório de Gestão e Orçamento deve emitir orientações em coordenação com a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Diretor Nacional de Segurança Cibernética. As agências deverão revisar seus ativos de alto valor e sistemas de alto impacto, excluindo os Sistemas de Segurança Nacional, e apresentar planos detalhados para a transição para os novos padrões.

NIST, CISA e contratados recebem funções definidas para a implementação

Várias agências federais têm responsabilidades específicas nos termos da ordem. O Instituto Nacional de Padrões e Tecnologia (NIST) deve iniciar um projeto piloto de migração no prazo de 180 dias em sistemas selecionados sob seu controle, com conclusão prevista para 31 de dezembro de 2027. Esse projeto-piloto ajudará a orientar uma adoção mais ampla antes dos prazos de 2030 e 2031.

A ordem também destaca os riscos de longo prazo relacionados aos dados. Ela afirma:

“As atividades cibernéticas em andamento contra nossa nação também apresentam o risco de que adversários coletem informações dos Estados Unidos agora e as descriptografem posteriormente, quando computadores quânticos em grande escala estiverem operacionais.”

As mudanças nas aquisições serão implementadas por meio de regulamentação. O Conselho Regulador Federal de Aquisições (FAR Council) tem 180 dias para publicar uma proposta de regulamentação que exija que os contratados abrangidos cumpram as normas do NIST, incluindo algoritmos pós-quânticos, até 31 de dezembro de 2030. As infraestruturas críticas também estão incluídas, com as Agências de Gestão de Risco Setorial orientadas a trabalhar com a CISA para ajudar os operadores a preparar planos de migração, enquanto a CISA e o NIST têm 270 dias para publicar orientações sobre os elementos mínimos para uma lista de materiais criptográficos.

A ordem vai além dos sistemas nacionais, instruindo o Secretário de Estado a coordenar-se com agências federais e autoridades de inteligência para promover a adoção dos padrões pós-quânticos do NIST no exterior. Os Sistemas de Segurança Nacional seguirão um caminho separado, com o diretor da NSA obrigado a apresentar um relatório sobre o andamento ao presidente no prazo de 180 dias e, a partir de então, anualmente.