El presidente Trump firmó una orden ejecutiva el 22 de junio que establece plazos estrictos para que las agencias federales realicen la transición de sistemas de alto valor y alto impacto a la criptografía poscuántica.
Las instalaciones principales deben reubicarse antes del 31 de diciembre de 2030. La EO 14409 lleva el sistema de seguridad nacional por un camino diferente.
El plazo es importante porque se trata de una amenaza que no requiere ordenadores cuánticos actualmente en funcionamiento. Los atacantes pueden recopilar datos estadounidenses cifrados ahora y descifrarlos más tarde. En presencia de máquinas cuánticas a gran escala, ese riesgo se conoce como «recopilar ahora, descifrar después».
Esta orden aborda directamente ese riesgo y adelanta el cronograma de PQC del gobierno entre cuatro y cinco años. El objetivo anterior de todo el gobierno establecido en el Memorando de Seguridad Nacional 10 de 2022 era 2035.
Los dos plazos se alinean con el estándar que NIST finalizó en agosto de 2024. La clave se establece mediante el algoritmo ML-KEM FIPS 203, anteriormente conocido como CRYSTALS-Kyber.
Las firmas digitales utilizan FIPS 204 y 205, ML-DSA y SLH-DSA. La norma está lista desde hace casi dos años. Convierte el orden en un cronograma con consecuencias.
Qué debe hacer un agente y cuándo
El reloj frente a mí se pone en marcha rápidamente. En un plazo de 30 días, cada jefe de agencia nombrará un líder de migración de PQC que informará al CIO de la agencia y será propietario del inventario de cifrado y del plan de migración.
La OMB emitirá una guía que requerirá que las agencias realicen un inventario de activos de alto valor y sistemas de alto impacto, planifiquen la migración y presenten sus planes dentro de los 90 días.
El NIST está llevando a cabo una migración piloto en un subconjunto de sus propios sistemas, que se completará antes del 31 de diciembre de 2027.
La orden llega a la pasada red federal. El Consejo Regulador de Adquisiciones Federales tiene 180 días para proponer una norma que daría a los «contratistas cubiertos» hasta el 31 de diciembre de 2030 para cumplir con los FIPS del NIST, incluido el algoritmo PQC.
Una segunda regla propuesta, que se espera sea presentada dentro de 270 días, incorporaría fallas criptográficas en los programas de divulgación de vulnerabilidades de los contratistas, incluidas pruebas de brechas criptográficas y algoritmos no FIPS. La Autoridad de Gestión de Riesgos del Sector y CISA están dirigidas a ayudar a los operadores de infraestructura crítica a desarrollar sus propios planes de transición, pero esa parte es una asistencia, no una obligación.
Luego está el ángulo del inventario. Dentro de 270 días, CISA y NIST planean publicar una lista de materiales criptográficos, los elementos mínimos de una lista legible por máquina de activos criptográficos en hardware o software.
Ésta es la base de la agilidad criptográfica. Si no sabes dónde están los algoritmos vulnerables, no podrás reemplazarlos a tiempo.
material de lectura practica
Para los equipos federales y los proveedores que les venden, el trabajo es la gestión de inventario, y eso comienza ahora. Encuentre todas las ubicaciones donde ocurren intercambios y firmas clave, marque aquellos que no son NIST PQC y ordene los intercambios para fechas en 2030 y 2031.
Los contratistas deben esperar disposiciones FAR y una línea de cumplimiento para 2030 una vez que se apliquen las reglas. Existen estándares. Actualmente el plazo existe. El desafío para casi todos es descubrir qué criptomonedas se ejecutan y dónde.
Un pedido complementario firmado el mismo día, «Llevando la innovación cuántica a la próxima frontera», promueve el otro lado de la ecuación: la construcción de computadoras cuánticas que hagan que la transición sea urgente.
Los dientes todavía se están escribiendo. La guía de 90 días de la OMB y las reglas FAR determinarán si 2030 y 2031 se convierten en presiones reales de adquisiciones o simplemente objetivos de migración federal que se retrasan una vez que comienza el trabajo duro.
Source link
