Vita huset har tillkännagivit en uppsättning förslag för att hålla USA före i kvantdatorkapplöpningen globalt, samtidigt som risken för kvantdatorer som kan bryta kryptografi med offentliga nyckel minskar.
Kvantdatorer som är tillräckligt kraftfulla för att bryta kryptering med offentlig nyckel är fortfarande år borta, men när det händer kan de vara ett stort hot mot nationell säkerhet och finansiella och privata data.
Vissa projekt som OpenSSH har implementerat begränsningar för händelsen att en angripare stjäl krypterad data idag, med hopp om att dekryptera den när en sådan dator finns. Men än så länge finns det inga officiella amerikanska standarder för kvantresistent kryptografi. Biden-administrationens memorandum beskriver dess önskan att USA ska behålla sitt ledarskap inom kvantinformationsvetenskap (QIS), samt en grov tidslinje och ansvar för federala myndigheter att migrera de flesta av USA:s kryptografiska system till kvantresistent kryptografi.
SER: Statusrapport: Är kvantberäkning värt trons språng?
Det finns ingen hård deadline för post-kvantkryptografisk migration, men Vita huset vill att USA ska migrera kryptografiska system till sådana som är resistenta mot en “kryptanalytiskt”-relevant kvantdator (CRQC), i syfte att “mildra så mycket av kvantrisken som är möjlig” senast 2035.
“Varje digitalt system som använder befintliga offentliga standarder för kryptografi med offentlig nyckel, eller som planerar att övergå till sådan kryptografi, kan vara sårbart för en attack av en QRQC”, säger Vita huset.
Migrationen kommer att påverka alla sektorer av den amerikanska ekonomin, inklusive myndigheter, kritisk infrastruktur, företag, molnleverantörer och i princip överallt där dagens kryptografi med offentliga nyckel används. Mekanismerna för skydd av memorandumet kan omfatta kontraspionage och “välriktade exportkontroller”.
Kvantkryptografimemorandumet följer NATOs cybersäkerhetscenters senaste testkörning av säkra kommunikationsflöden som skulle kunna motstå angripare som använder kvantdatorer.
Den förnyade angelägenheten kommer när Kina gör framsteg inom kvantberäkning. Forskare i Kina testade förra året två kvantdatorer på uppgifter som de hävdade var mer utmanande än de som Google satte sin 54-qubit Sycamore kvantdator igenom 2019 när den påstod sig ha uppnått “kvantöverhöghet”. IBM-forskare bestred Googles påstående.
I oktober pekade amerikanska underrättelsetjänstemän ut kvantdatorer som ett av fem viktiga utländska hot. De övriga var artificiell intelligens, bioteknik, halvledare och autonoma system.
“Den som vinner kapplöpningen om överhöghet över kvantdatorer kan potentiellt äventyra andras kommunikation”, varnade US National Counterintligence and Security Center i en vitbok och noterade att Kina vill uppnå ledarskap inom dessa områden till 2030.
“Utan effektiv begränsning kan effekterna av motståndskraftig användning av en kvantdator vara förödande för nationella säkerhetssystem och nationen, särskilt i fall där sådan information behöver skyddas i många decennier.”
Trots att det saknas en hård deadline för migreringen, beskriver memorandumet roller, rapporteringskrav och nyckeldatum för relevanta federala myndigheter.
SER: Vad är kvantberäkning? Allt du behöver veta om kvantdatorernas konstiga värld
Direktörerna för National Institute of Standards and Technology (NIST) och National Security Agency (NSA) utvecklar standarder för kvantresistent kryptografi. Den första uppsättningen av dessa standarder är planerad att offentliggöras senast 2024.
Inom de kommande 90 dagarna kommer handelssekreteraren att arbeta med NIST för att upprätta en arbetsgrupp som involverar industrin, kritisk infrastruktur och andra om hur man ska gå vidare med antagandet av kvantresistent kryptografi.
Och inom ett år kommer cheferna för alla Federal Civilian Executive Branch (FCEB)-byråer – alla myndigheter utom försvar och underrättelsetjänst – att leverera en lista över CRQC-sårbara IT-system till CISA och den nationella cyberdirektören. Inventeringen kommer att inkludera kryptografiska metoder som används på IT-system, inklusive sysadmin-protokoll, såväl som icke-säkerhetsprogramvara och firmware som kräver uppgraderade digitala signaturer.
FCEB-byråer har instruerats att inte köpa några kvantresistenta kryptografisystem förrän NIST släpper sin första uppsättning standarder för tekniken och dessa standarder har implementerats i kommersiella produkter. Dessa byråer uppmuntras dock att testa kommersiella produkter i denna kategori.
