خانه » ترامپ ضرب‌الاجل سال 2030 را برای مهاجرت سازمان‌های فدرال به رمزنگاری پساکوانتومی تعیین کرد

ترامپ ضرب‌الاجل سال 2030 را برای مهاجرت سازمان‌های فدرال به رمزنگاری پساکوانتومی تعیین کرد

توسط Vulnerbyte_News
23 بازدید

دونالد ترامپ با امضای یک فرمان اجرایی، سازمان‌های فدرال آمریکا را ملزم به آغاز فرآیند مهاجرت به رمزنگاری پساکوانتومی (PQC) بر اساس یک جدول زمانی مشخص کرد. این فرمان با تعیین ضرب‌الاجل‌های قطعی برای مهاجرت دارایی‌های باارزش و سامانه‌های با تأثیر بالا به استانداردهای رمزنگاری پساکوانتومی، جدول زمانی دولت آمریکا را حدود چهار تا پنج سال جلو انداخته و گامی مهم در راستای مقابله با تهدیدات ناشی از پیشرفت محاسبات کوانتومی (Quantum Computing) به شمار می‌رود.

بر اساس این دستور، سامانه‌های تبادل کلید (Key Establishment) باید حداکثر تا 31 دسامبر 2030 و امضاهای دیجیتال  تا 31 دسامبر 2031 به استانداردهای جدید مهاجرت کنند. با این حال، فرمان اجرایی 14409، سامانه‌های امنیت ملی را از این برنامه زمانی مستثنی کرده و برای آن‌ها مسیر اجرایی و زمان‌بندی مستقلی در نظر گرفته است.

دلیل اهمیت این ضرب‌الاجل‌ها

دلیل اصلی تعیین این ضرب‌الاجل‌ها، مقابله با تهدیدی است که حتی بدون وجود یک کامپیوتر کوانتومی (Quantum Computer) عملیاتی نیز از همین امروز وجود دارد. از هم‌اکنون مهاجمان می‌توانند داده‌های رمزگذاری‌شده را جمع‌آوری و ذخیره کرده و پس از توسعه کامپیوترهای کوانتومی در مقیاس بزرگ، آن‌ها را رمزگشایی کنند. این سناریو در ادبیات امنیت سایبری با عنوان «اکنون جمع‌آوری کن، بعداً رمزگشایی کن» (Harvest Now, Decrypt Later – HNDL) شناخته می‌شود و یکی از مهم‌ترین تهدیدات پیش روی زیرساخت‌های رمزنگاری مدرن به شمار می‌رود.

فرمان اجرایی جدید با هدف مقابله با این تهدید، جدول زمانی مهاجرت دولت آمریکا به رمزنگاری پساکوانتومی را حدود چهار تا پنج سال جلوتر از برنامه قبلی تعیین کرده است. بر اساس یادداشت امنیت ملی شماره 10 سال 2022 (NSM-10)، برنامه پیشین دولت تکمیل این مهاجرت را تا سال 2035 هدف‌گذاری کرده بود، اما فرمان جدید این بازه زمانی را به‌طور قابل‌توجهی کوتاه‌تر کرده است.

استانداردهای مورد استفاده در مهاجرت به رمزنگاری پساکوانتومی

دو ضرب‌الاجل این فرمان با استانداردهای نهایی‌شده مؤسسه ملی استانداردها و فناوری آمریکا (NIST) در آگوست 2024 مطابقت دارد.

بر این اساس، تبادل کلید بر پایه استاندارد FIPS 203 و الگوریتم ML-KEM انجام می‌شود؛ الگوریتمی که پیش‌تر با نام CRYSTALS-Kyber شناخته می‌شد.

همچنین، برای امضاهای دیجیتال از استانداردهای FIPS 204 و FIPS 205 و الگوریتم‌های ML-DSA و SLH-DSA استفاده خواهد شد.

اگرچه این استانداردها نزدیک به دو سال است در دسترس قرار دارند، اما فرمان اجرایی جدید با تعیین مهلت‌های مشخص و الزام‌آور، آن‌ها را از مجموعه‌ای از استانداردهای فنی به یک برنامه اجرایی با مسئولیت‌پذیری و پیامدهای مشخص برای سازمان‌های فدرال تبدیل کرده است.

سازمان‌های فدرال در چه بازه زمانی باید اقدام کنند؟

فرمان اجرایی، جدول زمانی کوتاه و مرحله‌بندی‌شده‌ای را برای آغاز فرآیند مهاجرت تعیین کرده است. بر این اساس، هر سازمان فدرال موظف است ظرف 30 روز، یک مسئول مهاجرت به رمزنگاری پساکوانتومی منصوب کند. این فرد مستقیماً به مدیر ارشد فناوری اطلاعات (CIO) سازمان گزارش می‌دهد و مسئولیت تهیه فهرست دارایی‌های رمزنگاری و تدوین برنامه مهاجرت را بر عهده خواهد داشت.

همچنین دفتر مدیریت و بودجه آمریکا (OMB) موظف است ظرف 90 روز دستورالعملی منتشر کند که بر اساس آن، سازمان‌ها باید دارایی‌های باارزش و سامانه‌های با تأثیر بالا را ارزیابی کرده، برنامه مهاجرت خود را تدوین کنند و آن را برای بررسی ارائه دهند. در همین راستا، مؤسسه NIST نیز موظف است اجرای آزمایشی (Pilot) مهاجرت را روی بخشی از سامانه‌های خود آغاز کرده و آن را تا 31 دسامبر 2027 به پایان برساند.

الزامات جدید برای طرف‌های قراردادی دولت و زیرساخت‌های حیاتی

دامنه این فرمان تنها به شبکه‌های فدرال محدود نمی‌شود و شامل طرف‌های قراردادی دولت نیز می‌شود. بر اساس این دستور، شورای مقررات تدارکات فدرال (FAR Council) باید ظرف 180 روز پیش‌نویس مقرراتی را ارائه کند که طبق آن، طرف‌های قراردادی مشمول تا 31 دسامبر 2030 فرصت خواهند داشت تا محصولات و سرویس‌های خود را با استانداردهای FIPS مؤسسه NIST، از جمله الگوریتم‌های رمزنگاری پساکوانتومی منطبق کنند.

همچنین این شورا موظف است ظرف 270 روز پیش‌نویس مقررات دیگری تدوین کند که در آن، ضعف‌های رمزنگاری  نیز در برنامه‌های افشای آسیب‌پذیری (VDP) طرف‌های قراردادی لحاظ شود. این ارزیابی‌ها شامل بررسی مواردی مانند عدم استفاده از رمزنگاری مناسب و به‌کارگیری الگوریتم‌هایی است که با استانداردهای FIPS هم‌خوانی ندارند. همچنین آژانس‌های مدیریت ریسک حوزه‌های صنعتی (SRMAs) و آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) موظف شده‌اند از اپراتورهای زیرساخت‌های حیاتی در تدوین برنامه‌های مهاجرت حمایت کنند. با این حال، این بخش از فرمان صرفاً جنبه حمایتی دارد و الزام قانونی برای این نهادها ایجاد نمی‌کند.

تهیه فهرست دارایی‌های رمزنگاری

یکی دیگر از الزامات این فرمان، تهیه فهرستی جامع از دارایی‌های رمزنگاری است. بر این اساس، CISA و NIST باید ظرف 270 روز حداقل الزامات فهرست دارایی‌های رمزنگاری (CBOM) را منتشر کنند. این فهرست، یک موجودی قابل پردازش توسط ماشین (Machine-Readable) از تمامی کامپوننت‌ها و دارایی‌های رمزنگاری مورد استفاده در سخت‌افزارها و نرم‌افزارها ارائه می‌دهد.

هدف از این اقدام، ایجاد زیرساخت لازم برای قابلیت مدیریت و به‌روزرسانی سریع رمزنگاری (Crypto-Agility) است؛ چرا که تا زمانی که سازمان‌ها ندانند از چه الگوریتم‌های رمزنگاری در کدام سامانه‌ها استفاده شده است، جایگزینی الگوریتم‌های قدیمی و آسیب‌پذیر با استانداردهای جدید در بازه‌های زمانی تعیین‌شده عملاً امکان‌پذیر نخواهد بود.

تمرکز اصلی برای تیم‌های فدرال در مسیر رمزنگاری پساکوانتومی

برای تیم‌های فدرال و تأمین‌کنندگان آن‌ها، مهم‌ترین گام در این مرحله، تهیه یک فهرست جامع از دارایی‌های رمزنگاری  است؛ اقدامی که باید از همین حالا آغاز شود.

در این مسیر، سازمان‌ها باید تمامی نقاطی را که در آن‌ها تبادل کلید و امضای دیجیتال انجام می‌شود شناسایی کنند، بخش‌های غیرمنطبق با استانداردهای رمزنگاری پساکوانتومی مؤسسه NIST را مشخص کرده و برای جایگزینی آن‌ها، بر اساس ضرب‌الاجل‌های سال‌های 2030 و 2031 برنامه‌ریزی کنند.

چارچوب‌های جدید انطباق پیش‌روی طرف‌های قراردادی

طرف‌های قراردادی باید انتظار داشته باشند که پس از نهایی شدن این مقررات، بندهای جدید قانون تدارکات فدرال (FAR Clause) در قراردادهای آن‌ها اعمال شود و الزامات انطباق تا سال 2030 به‌طور رسمی در این قراردادها گنجانده شود.

در این چارچوب، استانداردهای فنی و مهلت‌های اجرایی از پیش تعیین و به‌طور شفاف اعلام شده‌اند. با این حال، چالش اصلی برای بیشتر سازمان‌ها همچنان این است که دقیقاً مشخص کنند چه نوع رمزنگاری پساکوانتومی در کدام بخش از زیرساخت‌های آن‌ها مورد استفاده قرار گرفته است؛ مسئله‌ای که نقش تعیین‌کننده‌ای در موفقیت فرآیند مهاجرت دارد.

هم‌زمانی با موج توسعه فناوری‌های کوانتومی

همزمان با این فرمان، یک دستور اجرایی مکمل با عنوان آغاز فصل جدید نوآوری کوانتومی (Ushering in the Next Frontier of Quantum Innovation) نیز امضا شد؛ فرمانی که بر توسعه کامپیوترهای کوانتومی تمرکز دارد و به‌طور مستقیم با تسریع مهاجرت به رمزنگاری پساکوانتومی مرتبط است.

آینده اجرای واقعی مقررات

در حال حاضر، جزئیات اجرایی این فرمان هنوز نهایی نشده و در مرحله تدوین قرار دارد. با این حال، راهنمای 90 روزه دفتر مدیریت و بودجه آمریکا (OMB) و مقررات FAR مشخص خواهند کرد که آیا ضرب‌الاجل‌های سال‌های 2030 و 2031 به الزامات اجرایی واقعی و فشار مؤثر در فرآیندهای خرید و تأمین تبدیل می‌شوند یا صرفاً به یک هدف اداری دیگر در سطح فدرال تبدیل شده و در نهایت با تأخیر مواجه خواهند شد.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید