美国联邦机构须迁移到后量子加密

重点摘录

根据新的白宫备忘录，联邦民用机构必须在六个月内开始提交系统库存，并优先处理高价值的加密系统与资产，迁移到“后量子”加密。

根据，由预算管理办公室（OMB）编写，机构需要在2023年5月4日起向网络安全与基础设施安全局（CISA）和国家网络主任办公室（ONCD）提交受量子计算机攻击风险的系统清单。这份清单必须每年更新一次，直到2035年，但国家安全系统不在此范围内，这些系统正通过国家安全局（NSA）实施的来保护。

各机构应优先关注其最敏感的系统。OMB主任ShalandaYoung表示：“OMB希望通过未来对2014年《联邦信息系统现代化法》的指导，来指示各机构对上述范围外的系统或资产进行库存。”目前这些系统无须包含在提交给ONCD和CISA的库存中。

尽管被认为具备破解某些经典加密形式的量子计算机的发明仍需数年，但白宫于5月大规模迁移至新算法。国家标准与技术研究所（NIST）等联邦机构一直在推动机构及私营组织提前规划迁移，以防外国情报机构和其他恶意行为者可能现在正在悄悄收集加密数据，以便在技术成熟后进行破解。

NIST和NSA最近完成了，确定并审核了一些他们相信能够保护组织免受威胁的新算法。联邦IT和安全官员现在必须经过繁琐的过程，识别脆弱系统并优先考虑新的加密协议。

各机构必须在一个月内确定一名内部官员来负责其库存和迁移过程，备忘录还成立了一个由CISA、NIST、NSA及FedRAMP（联邦政府主要云安全认证程序）及其他机构代表组成的新工作组，以协调工作并建立在机构环境中测试新加密算法性能的程序。

每个机构在报告中必须提供有关每个系统当前加密算法的详细信息、系统所提供的服务、是否被标记为“高冲击”或“高价值”、加密密钥的长度、是否属于更大的商用软件包，以及它所持有的数据类型。此外，还需指定该系统是由机构在本地操作、由第三方云服务商操作，还是以混合形式运行。

到明年2月，CISA、ONCD及FedRAMP将发布一个工具，用于提交易受攻击的系统，并提供识别跨多个机构使用的过时加密的共享服务的流程。到明年6月，各机构必须提交迁移费用的资金估算。