O presidente Donald Trump assinou em 22 de junho uma ordem executiva que estabelece prazos rígidos para que agências federais migrem ativos de alto valor e sistemas de alto impacto para criptografia pós-quântica.
A troca para o estabelecimento de chaves deve ocorrer até 31 de dezembro de 2030.
Já as assinaturas digitais têm prazo até 31 de dezembro de 2031.
A EO 14409 deixa os sistemas de segurança nacional em uma trilha separada.
Esses prazos importam por causa de uma ameaça que, hoje, não exige um computador quântico funcional.
Adversários podem coletar dados criptografados dos Estados Unidos agora e decifrá-los depois, quando existir uma máquina quântica de grande escala.
O risco é conhecido como "harvest now, decrypt later".
A ordem descreve esse risco de forma direta e antecipa em quatro a cinco anos o cronograma do governo para a adoção de criptografia pós-quântica.
A meta anterior, definida pelo Memorando de Segurança Nacional 10, de 2022, ia até 2035.
Os dois prazos acompanham os padrões que o NIST finalizou em agosto de 2024.
O estabelecimento de chaves usa o FIPS 203, com o algoritmo ML-KEM, anteriormente chamado CRYSTALS-Kyber.
As assinaturas digitais usam os FIPS 204 e 205, com ML-DSA e SLH-DSA.
Esses padrões já estavam prontos havia quase dois anos.
A ordem executiva é o que os transforma em um cronograma com consequências práticas.
O que as agências precisam fazer, e quando
O cronograma começa rápido.
Em até 30 dias, cada chefe de agência deve nomear um responsável pela migração para criptografia pós-quântica, que reportará ao CIO da agência e ficará responsável pelo inventário criptográfico e pelo plano de migração.
Em até 90 dias, o OMB deve emitir orientações exigindo que as agências revisem seus inventários de ativos de alto valor e sistemas de alto impacto, planejem a migração e enviem esse plano.
O NIST fará uma migração-piloto em uma parte de seus próprios sistemas, com conclusão prevista até 31 de dezembro de 2027.
A ordem vai além das redes federais.
O Federal Acquisition Regulatory Council tem 180 dias para propor uma regra que dê aos "contratados cobertos" prazo até 31 de dezembro de 2030 para cumprir os FIPS do NIST, incluindo os algoritmos de criptografia pós-quântica.
Uma segunda proposta, prevista para 270 dias, incluiria falhas criptográficas nos programas de divulgação de vulnerabilidades dos contratados, inclusive testes para ausência de criptografia e uso de algoritmos que não sejam FIPS.
As Sector Risk Management Agencies e a CISA foram orientadas a ajudar operadores de infraestrutura crítica a construir seus próprios planos de migração, embora, nesse caso, a medida seja de apoio, e não uma exigência.
Há ainda a questão do inventário.
Em até 270 dias, CISA e NIST devem publicar os elementos mínimos de uma lista de materiais criptográficos, um inventário legível por máquina dos ativos criptográficos existentes em hardware ou software.
Esse é o alicerce da agilidade criptográfica.
Não é possível trocar algoritmos fracos dentro do prazo se ninguém sabe onde eles estão.
A leitura prática
Para as equipes federais e para os fornecedores que prestam serviços ao governo, o trabalho começa pelo inventário, e já.
É preciso localizar todos os pontos em que há troca de chaves e assinaturas, identificar o que ainda não segue os padrões de criptografia pós-quântica do NIST e organizar a substituição conforme os prazos de 2030 e 2031.
Os contratados devem esperar a cláusula do FAR e uma linha de conformidade em 2030 quando a regra for publicada.
Os padrões já existem.
Os prazos também.
O principal desafio, para quase todo mundo, é saber qual criptografia está em uso e onde ela está.
Uma ordem complementar, assinada no mesmo dia, "Ushering in the Next Frontier of Quantum Innovation", trata do outro lado da equação: desenvolver os computadores quânticos que tornam a migração urgente desde já.
A parte mais dura ainda está sendo definida.
As orientações de 90 dias do OMB e as regras do FAR dirão se 2030 e 2031 virarão pressão real sobre compras e contratos ou apenas mais uma meta federal de migração que escorrega quando o trabalho pesado começa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...