Trumpova výkonná vyhláška stanovuje termíny pre prechod federálnych orgánov na šifrovanie odolné voči kvantovým počítačom

Agentúry čelia termínom v rokoch 2030 a 2031 pre citlivé federálne systémy

Prezident Donald Trump nariadil federálnym agentúram prejsť s vysokohodnotnými aktívami a systémami s veľkým dosahom na postkvantovú kryptografiu, pričom stanovil termíny 31. decembra 2030 pre vytvorenie kľúčov a 31. decembra 2031 pre digitálne podpisy. Výkonná vyhláška z 22. júna sa vzťahuje na citlivé federálne systémy, pravidlá verejného obstarávania a plánovanie v sektoroch kritickej infraštruktúry.

Nariadenie sa zameriava na riziká, ktoré predstavuje kvantové počítanie. Upozorňuje, že nepriatelia by mohli dnes zhromažďovať šifrované údaje USA a neskôr ich dešifrovať, akonáhle pokročí kvantová technológia. Postkvantová kryptografia sa týka kryptografických algoritmov alebo metód navrhnutých tak, aby odolali útokom zo strany kvantových aj klasických počítačov.

V nariadení sa uvádza:

„Spojené štáty musia prijať opatrenia na posilnenie kryptografickej ochrany citlivých údajov krajiny, kritickej infraštruktúry a digitálnej ekonomiky.“

Vedúci agentúr musia do 30 dní vymenovať vedúceho pre prechod na postkvantovú kryptografiu. Títo úradníci budú podliehať hlavným informačným dôstojníkom agentúr a budú spravovať kryptografické inventáre, vypracúvať plány prechodu a koordinovať implementáciu naprieč rezortmi.

Do 90 dní musí Úrad pre riadenie a rozpočet (OMB) v koordinácii s Agentúrou pre kyberbezpečnosť a bezpečnosť infraštruktúry (CISA) a národným riaditeľom pre kyberbezpečnosť vydať usmernenia. Agentúry budú musieť preskúmať svoje cenné aktíva a systémy s veľkým dopadom, s výnimkou systémov národnej bezpečnosti, a predložiť podrobné plány prechodu na nové štandardy.

NIST, CISA a dodávatelia dostávajú jasne definované úlohy pri implementácii

Niekoľko federálnych agentúr má na základe tohto nariadenia konkrétne povinnosti. Národný inštitút pre štandardy a technológie (NIST) musí do 180 dní začať pilotný migračný projekt na vybraných systémoch, ktoré spravuje, pričom jeho dokončenie sa vyžaduje do 31. decembra 2027. Tento pilotný projekt pomôže nasmerovať širšie zavedenie pred termínmi v rokoch 2030 a 2031.

Nariadenie tiež zdôrazňuje dlhodobé riziká súvisiace s údajmi. Uvádza sa v ňom:

„Prebiehajúce kybernetické aktivity namierené proti našej krajine predstavujú aj riziko, že nepriatelia zhromažďujú informácie o Spojených štátoch už teraz a neskôr ich dešifrujú, akonáhle budú v prevádzke kvantové počítače veľkého rozsahu.“

Zmeny v oblasti verejného obstarávania prejdú procesom tvorby predpisov. Federálna rada pre reguláciu verejného obstarávania má 180 dní na zverejnenie návrhu predpisu, ktorý by vyžadoval, aby dotknutí dodávatelia splnili normy NIST, vrátane postkvantových algoritmov, do 31. decembra 2030. Zahrnutá je aj kritická infraštruktúra, pričom agentúry pre riadenie sektorových rizík majú spolupracovať s CISA, aby pomohli prevádzkovateľom pripraviť migračné plány, zatiaľ čo CISA a NIST majú 270 dní na zverejnenie usmernení týkajúcich sa minimálnych prvkov kryptografického zoznamu materiálov.

Nariadenie presahuje rámec domácich systémov tým, že nariaďuje ministrovi zahraničných vecí, aby v spolupráci s federálnymi agentúrami a predstaviteľmi spravodajských služieb podporoval prijatie postkvantových noriem NIST v zahraničí. Systémy národnej bezpečnosti budú postupovať samostatne, pričom riaditeľ NSA je povinný podávať správu o pokroku prezidentovi do 180 dní a následne každý rok.