Trumpov izvršilni odredba določa roke za prehod zvezne vlade na šifriranje, odporno proti kvantnim računalnikom

Agencije se soočajo z roki do leta 2030 in 2031 za občutljive zvezne sisteme

Predsednik Donald Trump je zveznim agencijam odredil, naj visokovredna sredstva in sisteme z velikim vplivom preidejo na postkvantno kriptografijo, pri čemer je za vzpostavitev ključev določil rok 31. december 2030, za digitalne podpise pa 31. december 2031. Izvršilni ukaz z dne 22. junija velja za občutljive zvezne sisteme, pravila javnega naročanja in načrtovanje v sektorjih kritične infrastrukture.

Odredba se osredotoča na tveganja, ki jih predstavlja kvantno računalništvo. Opozarja, da bi nasprotniki lahko danes zbrali šifrirane podatke ZDA in jih kasneje dešifrirali, ko bo kvantna tehnologija napredovala. Postkvantna kriptografija se nanaša na kriptografske algoritme ali metode, zasnovane tako, da so odporne proti napadom tako kvantnih kot klasičnih računalnikov.

Izvršilna odredba navaja:

»Združene države morajo sprejeti ukrepe za okrepitev kriptografske zaščite občutljivih podatkov države, kritične infrastrukture in digitalnega gospodarstva.«

Vodje agencij morajo v 30 dneh imenovati vodjo za prehod na postkvantno kriptografijo. Ti uradniki bodo poročali glavnim informacijskim direktorjem agencij ter upravljali kriptografske zaloge, razvijali načrte za prehod in usklajevali izvajanje med oddelki.

Urad za upravljanje in proračun mora v 90 dneh v sodelovanju z Agencijo za kibernetsko varnost in varnost infrastrukture (CISA) ter nacionalnim direktorjem za kibernetsko varnost izdati smernice. Agencije bodo morale pregledati svoja visokovredna sredstva in sisteme z velikim vplivom, razen sistemov nacionalne varnosti, ter predložiti podrobne načrte za prehod na nove standarde.

NIST, CISA in izvajalci prejmejo opredeljene vloge pri izvajanju

Več zveznih agencij ima v skladu z odredbo posebne odgovornosti. Nacionalni inštitut za standarde in tehnologijo (NIST) mora v 180 dneh začeti pilotni projekt migracije na izbranih sistemih, ki jih nadzira, pri čemer mora biti projekt zaključen do 31. decembra 2027. Ta pilotni projekt bo pomagal usmerjati širše uvajanje pred roki v letih 2030 in 2031.

Odredba poudarja tudi dolgoročna tveganja v zvezi s podatki. Navaja:

»Nenehne kibernetske dejavnosti proti naši državi predstavljajo tudi tveganje, da nasprotniki zdaj zbirajo podatke o Združenih državah Amerike in jih kasneje dešifrirajo, ko bodo začeli delovati kvantni računalniki velikega obsega.«

Spremembe na področju javnih naročil bodo potekale v okviru postopka sprejemanja predpisov. Zvezni svet za reguliranje javnih naročil (Federal Acquisition Regulatory Council) ima 180 dni časa, da objavi predlog predpisa, ki bi od zadevnih izvajalcev zahteval izpolnjevanje standardov NIST, vključno s postkvantnimi algoritmi, do 31. decembra 2030. Vključena je tudi kritična infrastruktura, pri čemer so agencije za upravljanje tveganj v posameznih sektorjih napotene, da sodelujejo s CISA pri pomoči upravljavcem pri pripravi načrtov migracije, medtem ko imata CISA in NIST 270 dni časa za objavo smernic o minimalnih elementih za kriptografski seznam materialov.

Odredba sega tudi preko domačih sistemov, saj nalaga državnemu sekretarju, naj se uskladi z zveznimi agencijami in obveščevalnimi uradniki, da bi spodbudil sprejetje postkvantnih standardov NIST v tujini. Sistemi nacionalne varnosti bodo sledili ločeni poti, pri čemer mora direktor NSA poročati o napredku predsedniku v roku 180 dni, nato pa vsako leto.