Ordem Executiva de Trump Estabelece Prazos para a Transição Federal para Criptografia Resistente a Quânticos

Agências federais devem fazer a transição de sistemas de alto valor e alto impacto para criptografia pós-quântica até 2031, de acordo com a ordem executiva de Trump. A orientação exige líderes de migração, atualizações de aquisição e coordenação com infraestruturas críticas para enfrentar riscos quânticos.

Principais pontos:

• Os departamentos federais devem migrar sistemas sensíveis para padrões criptográficos resistentes a quânticos.
• Novos requisitos atribuem líderes de agência, inventários, tarefas de planejamento e responsabilidades de supervisão.
• A implementação mais ampla pode afetar contratantes, operadores de infraestrutura e coordenação internacional de cibersegurança.

Agências enfrentam prazos de 2030 e 2031 para sistemas federais sensíveis

O presidente Donald Trump ordenou que as agências federais movam ativos de alto valor e sistemas de alto impacto para criptografia pós-quântica, estabelecendo prazos até 31 de dezembro de 2030 para estabelecimento de chaves e até 31 de dezembro de 2031 para assinaturas digitais. A ordem executiva de 22 de junho aplica-se a sistemas federais sensíveis, regras de aquisição e planejamento em setores de infraestrutura crítica.

A ordem foca nos riscos apresentados pela computação quântica. Ela alerta que adversários podem coletar dados criptografados dos EUA atualmente e decifrá-los posteriormente, à medida que a tecnologia quântica avança. Criptografia pós-quântica refere-se a algoritmos ou métodos criptográficos projetados para resistir a ataques de computadores quânticos e clássicos.

A Ordem Executiva afirma:

> “Os Estados Unidos devem tomar medidas para fortalecer as proteções criptográficas dos dados sensíveis da nação, infraestrutura crítica e economia digital.” > >

Os chefes de agências devem nomear um líder de migração para criptografia pós-quântica em até 30 dias. Esses responsáveis relatarão aos diretores de tecnologia da informação das agências e gerenciarão inventários criptográficos, desenvolverão planos de migração e coordenarão a implementação entre departamentos.

Em 90 dias, o Escritório de Gestão e Orçamento deve emitir orientações em coordenação com a Agência de Segurança de Cibersegurança e Infraestrutura (CISA) e o Diretor Nacional de Cibersegurança. As agências precisarão revisar seus ativos de alto valor e sistemas de alto impacto, excluindo Sistemas de Segurança Nacional, e enviar planos detalhados para a transição para novos padrões.

NIST, CISA e contratantes recebem papéis definidos na implementação

Várias agências federais têm responsabilidades específicas sob a ordem. O Instituto Nacional de Padrões e Tecnologia (NIST) deve iniciar um projeto piloto de migração em 180 dias em sistemas selecionados sob seu controle, com conclusão prevista para 31 de dezembro de 2027. Este piloto ajudará a orientar a adoção mais ampla antes dos prazos de 2030 e 2031.

A ordem também destaca riscos de dados a longo prazo. Ela afirma:

> “A atividade cibernética contínua contra nossa nação também apresenta o risco de adversários coletarem informações dos Estados Unidos agora e decifrarem posteriormente, uma vez que computadores quânticos de grande escala estejam operacionais.” > >

Mudanças na aquisição passarão por regulamentação. O Conselho de Regulamentação de Aquisições Federais tem 180 dias para publicar uma proposta de regra que exija que contratantes cobertos atendam aos padrões do NIST, incluindo algoritmos pós-quânticos, até 31 de dezembro de 2030. Infraestruturas críticas também estão incluídas, com as Agências de Gestão de Risco Setorial orientadas a trabalhar com a CISA para ajudar operadores a prepararem planos de migração, enquanto a CISA e o NIST têm 270 dias para publicar orientações sobre elementos mínimos para uma lista de materiais criptográficos.

A ordem vai além dos sistemas domésticos, direcionando o Secretário de Estado a coordenar com agências federais e oficiais de inteligência para promover a adoção dos padrões pós-quânticos do NIST no exterior. Sistemas de Segurança Nacional seguirão uma trajetória separada, com o diretor da NSA obrigado a relatar o progresso ao presidente em 180 dias e anualmente posteriormente.