دونالد ترامپ با امضای یک فرمان اجرایی، سازمانهای فدرال آمریکا را ملزم به آغاز فرآیند مهاجرت به رمزنگاری پساکوانتومی (PQC) بر اساس یک جدول زمانی مشخص کرد. این فرمان با تعیین ضربالاجلهای قطعی برای مهاجرت داراییهای باارزش و سامانههای با تأثیر بالا به استانداردهای رمزنگاری پساکوانتومی، جدول زمانی دولت آمریکا را حدود چهار تا پنج سال جلو انداخته و گامی مهم در راستای مقابله با تهدیدات ناشی از پیشرفت محاسبات کوانتومی (Quantum Computing) به شمار میرود.
بر اساس این دستور، سامانههای تبادل کلید (Key Establishment) باید حداکثر تا 31 دسامبر 2030 و امضاهای دیجیتال تا 31 دسامبر 2031 به استانداردهای جدید مهاجرت کنند. با این حال، فرمان اجرایی 14409، سامانههای امنیت ملی را از این برنامه زمانی مستثنی کرده و برای آنها مسیر اجرایی و زمانبندی مستقلی در نظر گرفته است.
دلیل اهمیت این ضربالاجلها
دلیل اصلی تعیین این ضربالاجلها، مقابله با تهدیدی است که حتی بدون وجود یک کامپیوتر کوانتومی (Quantum Computer) عملیاتی نیز از همین امروز وجود دارد. از هماکنون مهاجمان میتوانند دادههای رمزگذاریشده را جمعآوری و ذخیره کرده و پس از توسعه کامپیوترهای کوانتومی در مقیاس بزرگ، آنها را رمزگشایی کنند. این سناریو در ادبیات امنیت سایبری با عنوان «اکنون جمعآوری کن، بعداً رمزگشایی کن» (Harvest Now, Decrypt Later – HNDL) شناخته میشود و یکی از مهمترین تهدیدات پیش روی زیرساختهای رمزنگاری مدرن به شمار میرود.
فرمان اجرایی جدید با هدف مقابله با این تهدید، جدول زمانی مهاجرت دولت آمریکا به رمزنگاری پساکوانتومی را حدود چهار تا پنج سال جلوتر از برنامه قبلی تعیین کرده است. بر اساس یادداشت امنیت ملی شماره 10 سال 2022 (NSM-10)، برنامه پیشین دولت تکمیل این مهاجرت را تا سال 2035 هدفگذاری کرده بود، اما فرمان جدید این بازه زمانی را بهطور قابلتوجهی کوتاهتر کرده است.
استانداردهای مورد استفاده در مهاجرت به رمزنگاری پساکوانتومی
دو ضربالاجل این فرمان با استانداردهای نهاییشده مؤسسه ملی استانداردها و فناوری آمریکا (NIST) در آگوست 2024 مطابقت دارد.
بر این اساس، تبادل کلید بر پایه استاندارد FIPS 203 و الگوریتم ML-KEM انجام میشود؛ الگوریتمی که پیشتر با نام CRYSTALS-Kyber شناخته میشد.
همچنین، برای امضاهای دیجیتال از استانداردهای FIPS 204 و FIPS 205 و الگوریتمهای ML-DSA و SLH-DSA استفاده خواهد شد.
اگرچه این استانداردها نزدیک به دو سال است در دسترس قرار دارند، اما فرمان اجرایی جدید با تعیین مهلتهای مشخص و الزامآور، آنها را از مجموعهای از استانداردهای فنی به یک برنامه اجرایی با مسئولیتپذیری و پیامدهای مشخص برای سازمانهای فدرال تبدیل کرده است.
سازمانهای فدرال در چه بازه زمانی باید اقدام کنند؟
فرمان اجرایی، جدول زمانی کوتاه و مرحلهبندیشدهای را برای آغاز فرآیند مهاجرت تعیین کرده است. بر این اساس، هر سازمان فدرال موظف است ظرف 30 روز، یک مسئول مهاجرت به رمزنگاری پساکوانتومی منصوب کند. این فرد مستقیماً به مدیر ارشد فناوری اطلاعات (CIO) سازمان گزارش میدهد و مسئولیت تهیه فهرست داراییهای رمزنگاری و تدوین برنامه مهاجرت را بر عهده خواهد داشت.
همچنین دفتر مدیریت و بودجه آمریکا (OMB) موظف است ظرف 90 روز دستورالعملی منتشر کند که بر اساس آن، سازمانها باید داراییهای باارزش و سامانههای با تأثیر بالا را ارزیابی کرده، برنامه مهاجرت خود را تدوین کنند و آن را برای بررسی ارائه دهند. در همین راستا، مؤسسه NIST نیز موظف است اجرای آزمایشی (Pilot) مهاجرت را روی بخشی از سامانههای خود آغاز کرده و آن را تا 31 دسامبر 2027 به پایان برساند.
الزامات جدید برای طرفهای قراردادی دولت و زیرساختهای حیاتی
دامنه این فرمان تنها به شبکههای فدرال محدود نمیشود و شامل طرفهای قراردادی دولت نیز میشود. بر اساس این دستور، شورای مقررات تدارکات فدرال (FAR Council) باید ظرف 180 روز پیشنویس مقرراتی را ارائه کند که طبق آن، طرفهای قراردادی مشمول تا 31 دسامبر 2030 فرصت خواهند داشت تا محصولات و سرویسهای خود را با استانداردهای FIPS مؤسسه NIST، از جمله الگوریتمهای رمزنگاری پساکوانتومی منطبق کنند.
همچنین این شورا موظف است ظرف 270 روز پیشنویس مقررات دیگری تدوین کند که در آن، ضعفهای رمزنگاری نیز در برنامههای افشای آسیبپذیری (VDP) طرفهای قراردادی لحاظ شود. این ارزیابیها شامل بررسی مواردی مانند عدم استفاده از رمزنگاری مناسب و بهکارگیری الگوریتمهایی است که با استانداردهای FIPS همخوانی ندارند. همچنین آژانسهای مدیریت ریسک حوزههای صنعتی (SRMAs) و آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) موظف شدهاند از اپراتورهای زیرساختهای حیاتی در تدوین برنامههای مهاجرت حمایت کنند. با این حال، این بخش از فرمان صرفاً جنبه حمایتی دارد و الزام قانونی برای این نهادها ایجاد نمیکند.
تهیه فهرست داراییهای رمزنگاری
یکی دیگر از الزامات این فرمان، تهیه فهرستی جامع از داراییهای رمزنگاری است. بر این اساس، CISA و NIST باید ظرف 270 روز حداقل الزامات فهرست داراییهای رمزنگاری (CBOM) را منتشر کنند. این فهرست، یک موجودی قابل پردازش توسط ماشین (Machine-Readable) از تمامی کامپوننتها و داراییهای رمزنگاری مورد استفاده در سختافزارها و نرمافزارها ارائه میدهد.
هدف از این اقدام، ایجاد زیرساخت لازم برای قابلیت مدیریت و بهروزرسانی سریع رمزنگاری (Crypto-Agility) است؛ چرا که تا زمانی که سازمانها ندانند از چه الگوریتمهای رمزنگاری در کدام سامانهها استفاده شده است، جایگزینی الگوریتمهای قدیمی و آسیبپذیر با استانداردهای جدید در بازههای زمانی تعیینشده عملاً امکانپذیر نخواهد بود.
تمرکز اصلی برای تیمهای فدرال در مسیر رمزنگاری پساکوانتومی
برای تیمهای فدرال و تأمینکنندگان آنها، مهمترین گام در این مرحله، تهیه یک فهرست جامع از داراییهای رمزنگاری است؛ اقدامی که باید از همین حالا آغاز شود.
در این مسیر، سازمانها باید تمامی نقاطی را که در آنها تبادل کلید و امضای دیجیتال انجام میشود شناسایی کنند، بخشهای غیرمنطبق با استانداردهای رمزنگاری پساکوانتومی مؤسسه NIST را مشخص کرده و برای جایگزینی آنها، بر اساس ضربالاجلهای سالهای 2030 و 2031 برنامهریزی کنند.
چارچوبهای جدید انطباق پیشروی طرفهای قراردادی
طرفهای قراردادی باید انتظار داشته باشند که پس از نهایی شدن این مقررات، بندهای جدید قانون تدارکات فدرال (FAR Clause) در قراردادهای آنها اعمال شود و الزامات انطباق تا سال 2030 بهطور رسمی در این قراردادها گنجانده شود.
در این چارچوب، استانداردهای فنی و مهلتهای اجرایی از پیش تعیین و بهطور شفاف اعلام شدهاند. با این حال، چالش اصلی برای بیشتر سازمانها همچنان این است که دقیقاً مشخص کنند چه نوع رمزنگاری پساکوانتومی در کدام بخش از زیرساختهای آنها مورد استفاده قرار گرفته است؛ مسئلهای که نقش تعیینکنندهای در موفقیت فرآیند مهاجرت دارد.
همزمانی با موج توسعه فناوریهای کوانتومی
همزمان با این فرمان، یک دستور اجرایی مکمل با عنوان آغاز فصل جدید نوآوری کوانتومی (Ushering in the Next Frontier of Quantum Innovation) نیز امضا شد؛ فرمانی که بر توسعه کامپیوترهای کوانتومی تمرکز دارد و بهطور مستقیم با تسریع مهاجرت به رمزنگاری پساکوانتومی مرتبط است.
آینده اجرای واقعی مقررات
در حال حاضر، جزئیات اجرایی این فرمان هنوز نهایی نشده و در مرحله تدوین قرار دارد. با این حال، راهنمای 90 روزه دفتر مدیریت و بودجه آمریکا (OMB) و مقررات FAR مشخص خواهند کرد که آیا ضربالاجلهای سالهای 2030 و 2031 به الزامات اجرایی واقعی و فشار مؤثر در فرآیندهای خرید و تأمین تبدیل میشوند یا صرفاً به یک هدف اداری دیگر در سطح فدرال تبدیل شده و در نهایت با تأخیر مواجه خواهند شد.