Ordonanța executivă a lui Trump stabilește termene limită pentru trecerea instituțiilor federale la criptarea rezistentă la atacurile cuantice

Agențiile se confruntă cu termene limită în 2030 și 2031 pentru sistemele federale sensibile

Președintele Donald Trump a ordonat agențiilor federale să treacă activele de mare valoare și sistemele cu impact ridicat la criptografia post-cuantică, stabilind termenele limită de 31 decembrie 2030 pentru stabilirea cheilor și 31 decembrie 2031 pentru semnăturile digitale. Ordinul executiv din 22 iunie se aplică sistemelor federale sensibile, normelor de achiziții publice și planificării în sectoarele de infrastructură critică.

Ordinul se concentrează asupra riscurilor reprezentate de calculul cuantic. Acesta avertizează că adversarii ar putea colecta astăzi date criptate ale SUA și le-ar putea decripta ulterior, odată cu avansarea tehnologiei cuantice. Criptografia post-cuantică se referă la algoritmi sau metode criptografice concepute pentru a rezista atacurilor atât din partea computerelor cuantice, cât și a celor clasice.

Ordinul executiv prevede:

„Statele Unite trebuie să ia măsuri pentru a consolida protecția criptografică a datelor sensibile ale națiunii, a infrastructurii critice și a economiei digitale.”

Conducătorii agențiilor trebuie să numească, în termen de 30 de zile, un responsabil cu migrarea către criptografia post-cuantică. Acești funcționari vor raporta directorilor de informații ai agențiilor și vor gestiona inventarele criptografice, vor elabora planuri de migrare și vor coordona implementarea la nivelul tuturor departamentelor.

În termen de 90 de zile, Biroul de Management și Buget trebuie să emită orientări în coordonare cu Agenția pentru Securitate Cibernetică și Infrastructură (CISA) și cu Directorul Național pentru Securitate Cibernetică. Agențiile vor trebui să își analizeze activele de mare valoare și sistemele cu impact ridicat, cu excepția sistemelor de securitate națională, și să prezinte planuri detaliate pentru tranziția către noile standarde.

NIST, CISA și contractanții primesc roluri de implementare bine definite

Mai multe agenții federale au responsabilități specifice în temeiul ordinului. Institutul Național de Standarde și Tehnologie (NIST) trebuie să demareze un proiect pilot de migrare în termen de 180 de zile pe anumite sisteme pe care le controlează, finalizarea fiind prevăzută până la 31 decembrie 2027. Acest proiect pilot va contribui la orientarea adoptării pe scară mai largă înainte de termenele limită din 2030 și 2031.

Ordinul subliniază, de asemenea, riscurile pe termen lung legate de date. Acesta precizează:

„Activitatea cibernetică continuă îndreptată împotriva națiunii noastre prezintă, de asemenea, riscul ca adversarii să colecteze informații despre Statele Unite în prezent și să le decripteze ulterior, odată ce computerele cuantice la scară largă vor fi operaționale.”

Modificările privind achizițiile publice vor fi implementate prin elaborarea de reglementări. Consiliul Federal de Reglementare a Achizițiilor are la dispoziție 180 de zile pentru a publica o propunere de regulament care să impună contractanților vizați să respecte standardele NIST, inclusiv algoritmii post-cuantici, până la 31 decembrie 2030. Sunt incluse și infrastructurile critice, agențiile sectoriale de gestionare a riscurilor fiind îndrumate să colaboreze cu CISA pentru a ajuta operatorii să pregătească planuri de migrare, în timp ce CISA și NIST au la dispoziție 270 de zile pentru a publica orientări privind elementele minime necesare pentru o listă de materiale criptografice.

Ordinul depășește sfera sistemelor naționale, solicitând secretarului de stat să coordoneze eforturile cu agențiile federale și cu oficialii din serviciile de informații pentru a promova adoptarea standardelor post-cuantice ale NIST în străinătate. Sistemele de securitate națională vor urma o traiectorie separată, directorul NSA fiind obligat să raporteze progresele înregistrate președintelui în termen de 180 de zile și, ulterior, anual.