一份新的白宮備忘錄表示,聯邦民間機構有六個月的時間開始提交清單並優先考慮將高價值的密碼系統和資產遷移到「後量子」加密演算法。
此份備忘錄由美國行政管理和預算局(Office of Management and Budget,OMB)撰寫,從2023年5月4日起,各聯邦機構將被要求向美國網路安全和基礎設施安全局(CISA)提交一份容易受與加密演算法相關的量子電腦破解的系統清單。這份名單必須在2035年之前每年更新一次, 但不包括國家安全系統。國家安全系統由國家安全局(National Security Agency,NSA)進行保護。
儘管人們認為,還需要數年時間才會出現能夠破解某些傳統加密演算法的量子電腦,但白宮在今年5月開始下令大規模更新演算法,而美國國家標準暨技術研究院(National Institute for Standards and Technology,NIST)等聯邦機構一直鼓勵各機構和私人組織從現在開始計畫遷移到新演算法,以防國外情報機構和其他不良行為者蒐集加密資料,並在技術成熟後進行破解。
NIST和NSA最近完成耗時多年的新演算法,作為「後量子」加密演算法基礎。聯邦政府資訊安全官員現在必須完成一項艱鉅的任務,辨識易受攻擊的系統,並將其優先用於新的加密協議。
各機構有一個月的時間來確定一名內部官員來領導,工作包含列出清單和計畫遷移加密演算法的過程,備忘錄建立了一個新的工作組,成員由CISA、NIST、NSA和聯邦雲端運算安全標準計畫(FedRAMP)和其他機構的代表組成,以協調工作並建立程序以利在機構環境中測試新加密演算法性能。
各機構都必須在報告中詳細說明每個系統當前的加密演算法、該系統提供的服務、加密密鑰的長度、是否是大型商業現成軟體的一部分,以及它所儲存的資料類型,還必須明確說明該系統是由機構自身營運,由第三方雲供應商運營還是在混合環境中運行。
明年2月,CISA、ONCD和FedRAMP將發布一個用於回報易受攻擊系統的工具,以及一套識別機構是否使用過時加密演算法的共享服務流程。明年6月,各機構必須提交資金估計,以支付遷移費用。
相關連結:Derek B. Johnson(2022). White House gives agencies 6 months to kick off ‘post-quantum’ encryption migration work. SC Media. 檢自:https://www.scmagazine.com/analysis/data-security/white-house-sets-six-month-timeline-for-agencies-to-kick-off-post-quantum-encryption-migration-work (Nov. 28, 2022)
