Trumps presidentdekret fastställer tidsfrister för den federala övergången till kvantdatorresistent kryptering

Myndigheterna står inför tidsfristerna 2030 och 2031 för känsliga federala system

President Donald Trump beordrade federala myndigheter att övergå till postkvantumkryptografi för värdefulla tillgångar och system med stor inverkan, och fastställde tidsfristerna till den 31 december 2030 för nyckelgenerering och den 31 december 2031 för digitala signaturer. Det verkställande dekretet från den 22 juni gäller känsliga federala system, upphandlingsregler och planering inom kritiska infrastruktursektorer.

Beslutet fokuserar på de risker som kvantdatorer medför. Det varnar för att fiender kan samla in krypterade amerikanska data idag och dekryptera dem senare när kvanttekniken har utvecklats. Postkvantumkryptografi avser kryptografiska algoritmer eller metoder som är utformade för att motstå attacker från både kvantdatorer och klassiska datorer.

I presidentbeslutet anges:

”Förenta staterna måste vidta åtgärder för att stärka det kryptografiska skyddet för landets känsliga data, kritiska infrastruktur och digitala ekonomi.”

Myndighetscheferna måste inom 30 dagar utse en ansvarig för övergången till postkvantumkryptografi. Dessa tjänstemän ska rapportera till myndigheternas IT-chefer och hantera kryptografiska inventarier, utarbeta migreringsplaner samt samordna genomförandet mellan olika avdelningar.

Inom 90 dagar måste Office of Management and Budget utfärda riktlinjer i samordning med Cybersecurity and Infrastructure Security Agency (CISA) och den nationella cyberdirektören. Myndigheterna kommer att behöva granska sina värdefulla tillgångar och system med stor inverkan, med undantag för nationella säkerhetssystem, och lämna in detaljerade planer för övergången till nya standarder.

NIST, CISA och entreprenörer tilldelas definierade roller i genomförandet

Flera federala myndigheter har specifika ansvarsområden enligt förordningen. National Institute of Standards and Technology (NIST) måste inom 180 dagar inleda ett pilotprojekt för migrering av utvalda system som det kontrollerar, vilket ska vara slutfört senast den 31 december 2027. Detta pilotprojekt kommer att fungera som vägledning för en bredare införande före tidsfristerna 2030 och 2031.

Förordningen belyser även långsiktiga datarisk. I den anges:

”Den pågående cyberaktiviteten mot vår nation innebär också en risk för att motståndare samlar in information om USA nu och dekrypterar den senare när storskaliga kvantdatorer är i drift.”

Förändringarna inom upphandlingen kommer att genomföras genom regelverk. Federal Acquisition Regulatory Council har 180 dagar på sig att offentliggöra ett förslag till regel som kräver att berörda entreprenörer uppfyller NIST-standarder, inklusive postkvantalgoritmer, senast den 31 december 2030. Kritisk infrastruktur omfattas också, och sektorsspecifika riskhanteringsmyndigheter uppmanas att samarbeta med CISA för att hjälpa operatörer att utarbeta migreringsplaner, medan CISA och NIST har 270 dagar på sig att offentliggöra riktlinjer om minimikrav för en kryptografisk materialförteckning.

Beslutet sträcker sig bortom inhemska system genom att utrikesministern åläggs att samordna med federala myndigheter och underrättelsetjänster för att främja införandet av NIST:s postkvantstandarder utomlands. Nationella säkerhetssystem kommer att följa en separat väg, där NSA:s direktör är skyldig att rapportera framstegen till presidenten inom 180 dagar och därefter årligen.