Trump’ın Yürütme Kararnamesi, Federal Kurumların Kuantum Dirençli Şifrelemeye Geçişi İçin Son Tarihleri Belirledi

Kurumlar, Hassas Federal Sistemler İçin 2030 ve 2031 Son Tarihleriyle Karşı Karşıya

Başkan Donald Trump, federal kurumlara yüksek değerli varlıkları ve yüksek etkili sistemleri kuantum sonrası şifreleme sistemlerine geçirmeleri talimatını vermiş ve anahtar oluşturma için 31 Aralık 2030, dijital imzalar için ise 31 Aralık 2031 tarihlerini son tarih olarak belirlemiştir. 22 Haziran tarihli başkanlık kararnamesi, hassas federal sistemler, ihale kuralları ve kritik altyapı sektörlerindeki planlamalar için geçerlidir.

Kararname, kuantum bilişimin oluşturduğu risklere odaklanmaktadır. Kararname, düşmanların bugün şifrelenmiş ABD verilerini toplayıp, kuantum teknolojisi ilerledikten sonra bu verilerin şifresini çözebileceği konusunda uyarıda bulunmaktadır. Kuantum sonrası kriptografi, hem kuantum hem de klasik bilgisayarların saldırılarına karşı dirençli olacak şekilde tasarlanmış kriptografik algoritmaları veya yöntemleri ifade eder.

Yürütme Kararnamesinde şu ifadeler yer almaktadır:

“Amerika Birleşik Devletleri, ülkenin hassas verileri, kritik altyapısı ve dijital ekonomisi için şifreleme korumalarını güçlendirmek üzere adımlar atmalıdır.”

Kurum başkanları, 30 gün içinde kuantum sonrası kriptografiye geçişten sorumlu bir sorumlu atamalıdır. Bu yetkililer, kurumların bilgi teknolojileri direktörlerine rapor verecek, kriptografik envanterleri yönetecek, geçiş planları geliştirecek ve departmanlar arasında uygulamanın koordinasyonunu sağlayacaktır.

90 gün içinde, Yönetim ve Bütçe Ofisi (OMB), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Ulusal Siber Direktör ile koordineli olarak bir kılavuz yayınlamalıdır. Kurumlar, Ulusal Güvenlik Sistemleri hariç olmak üzere, yüksek değerli varlıklarını ve yüksek etkili sistemlerini gözden geçirmeli ve yeni standartlara geçiş için ayrıntılı planlar sunmalıdır.

NIST, CISA ve Yüklenicilere Belirlenmiş Uygulama Rolleri Verildi

Birkaç federal kurumun bu kararname kapsamında belirli sorumlulukları bulunmaktadır. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kontrolü altındaki seçilmiş sistemlerde 180 gün içinde bir pilot geçiş projesine başlamalı ve bu projenin 31 Aralık 2027 tarihine kadar tamamlanması gerekmektedir. Bu pilot proje, 2030 ve 2031 son tarihlerinden önce daha geniş çaplı bir benimseme sürecine yol gösterecektir.

Kararname ayrıca uzun vadeli veri risklerine de dikkat çekmektedir. Kararnamede şöyle belirtilmektedir:

“Ülkemize yönelik devam eden siber faaliyetler, düşmanların şu anda ABD’ye ait bilgileri toplama ve daha sonra büyük ölçekli kuantum bilgisayarlar faaliyete geçtiğinde bu bilgileri şifresini çözme riskini de beraberinde getirmektedir.”

İhale süreçlerindeki değişiklikler, kural belirleme süreci yoluyla yürürlüğe girecektir. Federal İhale Düzenleme Konseyi’nin, kapsama dahil olan yüklenicilerin 31 Aralık 2030 tarihine kadar kuantum sonrası algoritmalar da dahil olmak üzere NIST standartlarını karşılamasını zorunlu kılacak bir kural taslağını yayınlamak için 180 günü bulunmaktadır. Kritik altyapı da kapsam dahilindedir; Sektör Risk Yönetimi Ajansları, operatörlerin geçiş planlarını hazırlamalarına yardımcı olmak üzere CISA ile işbirliği yapmaya yönlendirilmiştir; CISA ve NIST ise kriptografik malzeme listesinin asgari unsurlarına ilişkin kılavuzu yayınlamak için 270 gün süreye sahiptir.

Bu kararname, Dışişleri Bakanı’na yurtdışında NIST post-kuantum standartlarının benimsenmesini teşvik etmek üzere federal kurumlar ve istihbarat yetkilileriyle koordinasyon kurması talimatını vererek, kapsamını yurt içi sistemlerin ötesine genişletmektedir. Ulusal Güvenlik Sistemleri ise ayrı bir süreç izleyecek olup, NSA direktörünün 180 gün içinde ve sonrasında her yıl başkana ilerleme raporu sunması gerekmektedir.