Указ Трампа встановлює терміни переходу федеральних органів на шифрування, стійке до квантових атак

Агентствам встановлено терміни до 2030 та 2031 років для переведення конфіденційних федеральних систем

Президент Дональд Трамп наказав федеральним відомствам перевести цінні активи та системи, що мають значний вплив, на постквантову криптографію, встановивши терміни до 31 грудня 2030 року для формування ключів та до 31 грудня 2031 року для цифрових підписів. Указ від 22 червня поширюється на конфіденційні федеральні системи, правила закупівель та планування у секторах критичної інфраструктури.

Указ зосереджується на ризиках, пов’язаних із квантовими обчисленнями. У ньому міститься попередження про те, що супротивники можуть збирати зашифровані дані США сьогодні, а розшифрувати їх пізніше, коли квантові технології досягнуть певного рівня розвитку. Постквантова криптографія — це криптографічні алгоритми або методи, розроблені для захисту від атак як з боку квантових, так і класичних комп’ютерів.

У виконавчому указі зазначено:

«Сполучені Штати повинні вжити заходів для посилення криптографічного захисту конфіденційних даних країни, критичної інфраструктури та цифрової економіки».

Керівники відомств повинні протягом 30 днів призначити відповідального за перехід на постквантову криптографію. Ці посадові особи підпорядковуватимуться головним інформаційним директорам відомств і керуватимуть криптографічними ресурсами, розроблятимуть плани переходу та координуватимуть їхнє впровадження у всіх департаментах.

Протягом 90 днів Управління з питань управління та бюджету має опублікувати рекомендації у співпраці з Агентством з кібербезпеки та безпеки інфраструктури (CISA) та Національним директором з питань кібербезпеки. Агентствам потрібно буде провести огляд своїх найцінніших активів та систем, що мають значний вплив, за винятком систем національної безпеки, та подати детальні плани переходу на нові стандарти.

NIST, CISA та підрядники отримують чітко визначені ролі у впровадженні

Згідно з наказом, на кілька федеральних відомств покладено конкретні обов’язки. Національний інститут стандартів і технологій (NIST) повинен розпочати пілотний проект міграції протягом 180 днів на обраних системах, які він контролює, а завершення проекту має відбутися до 31 грудня 2027 року. Цей пілотний проект допоможе скерувати процес більш широкого впровадження до настання кінцевих термінів у 2030 та 2031 роках.

У наказі також наголошується на довгострокових ризиках, пов’язаних з даними. У ньому зазначено:

«Постійна кіберактивність, спрямована проти нашої країни, також створює ризик того, що супротивники збирають інформацію про Сполучені Штати зараз, а розшифрують її пізніше, коли почнуть працювати великомасштабні квантові комп’ютери».

Зміни у сфері державних закупівель будуть впроваджуватися через нормотворчий процес. Федеральна рада з регулювання державних закупівель має 180 днів на опублікування проєкту нормативно-правового акта, який зобов’яже підрядників, що підпадають під дію цього розпорядження, до 31 грудня 2030 року забезпечити відповідність стандартам NIST, зокрема щодо постквантових алгоритмів. До сфери дії також входить критична інфраструктура: агентствам з управління секторальними ризиками доручено співпрацювати з CISA, щоб допомогти операторам підготувати плани міграції, тоді як CISA та NIST мають 270 днів на опублікування рекомендацій щодо мінімальних елементів криптографічного переліку матеріалів.

Цей указ виходить за межі внутрішніх систем, оскільки доручає державному секретареві координувати дії з федеральними агентствами та представниками розвідки з метою сприяння впровадженню постквантових стандартів NIST за кордоном. Системи національної безпеки будуть розвиватися окремим шляхом, при цьому директор Агентства національної безпеки (NSA) зобов’язаний звітувати про прогрес президенту протягом 180 днів, а надалі — щорічно.