МЕМОРАНДУМ ЗА НАЦИОНАЛНА СИГУРНОСТ/NSM-10
МЕМОРАНДУМ ЗА ВИЦЕПРЕЗИДЕНТА
ДЪРЖАВНИЯ СЕКРЕТАР
СЕКРЕТАРЯТ НА КАЗИНАТА
СЕКРЕТАРЯТ НА ОТБРАНАТА
ГЛАВНИЯТ ПРОКУРОР
СЕКРЕТАРЯТ НА ТЪРГОВИЯТА
СЕКРЕТАРЪТ ПО ЕНЕРГЕТИКАТА
СЕКРЕТАРЪТ НА ВЪТРЕШНАТА СИГУРНОСТ
ПОМОЩНИКЪТ НА ПРЕЗИДЕНТА И НАЧАЛНИК НА АПАРАТ
ДИРЕКТОРА НА СЛУЖБАТА ЗА УПРАВЛЕНИЕ БЮДЖ
ДИРЕКТОРЪТ НА НАЦИОНАЛНОТО РАЗУЗНАВАНЕ
ДИРЕКТОРА НА ЦЕНТРАЛНОТО РАЗУЗНАВАТЕЛНО УПРАВЛЕНИЕ
ПОМОЩНИКЪТ НА ПРЕЗИДЕНТА ПО НАЦИОНАЛНИТЕ
ДЕЛО ЗА СИГУРНОСТ
СЪВЕТЪТ НА ПРЕЗИДЕНТА
ПОМОЩНИКЪТ НА ПРЕЗИДЕНТА ПО ИКОНОМИЧЕСКИТЕ
ПОЛИТИКА И ДИРЕКТОР НА НАРД
СЪВЕТ
ДИРЕКТОРЪТ НА СЛУЖБАТА ПО НАУКА И
ПОЛИТИКА ЗА ТЕХНОЛОГИИТЕ
НАЦИОНАЛНИЯТ КИБЕР ДИРЕКТОР
ПРЕДСЕДАТЕЛЯТ НА ОБЩИЯ НАЧАЛНИК-ЩАБОВЕ
ДИРЕКТОРЪТ НА ФЕДЕРАЛНОТО БЮРО НА
РАЗСЛЕДВАНЕ
ДИРЕКТОРА НА НАЦИОНАЛНАТА АГЕНЦИЯ ЗА СИГУРНОСТ
ДИРЕКТОРА НА НАЦИОНАЛНИЯ ИНСТИТУТ ПО
СТАНДАРТИ И ТЕХНОЛОГИИ
ДИРЕКТОРА НА КИБЕРСИГУРНОСТТА И
АГЕНЦИЯ ЗА СИГУРНОСТ НА ИНФРАСТРУКТУРАТА
ТЕМА: Насърчаване на лидерството на Съединените щати в Quantum
Компютри, докато смекчаваме рисковете за уязвимите
Криптографски системи
Този меморандум очертава политиките и инициативите на моята администрация, свързани с квантовите компютри. Той идентифицира ключовите стъпки, необходими за поддържане на конкурентното предимство на нацията в науката за квантовата информация (QIS), като същевременно смекчава рисковете от квантовите компютри за кибер, икономическите и национална сигурност. Той насочва конкретни действия, които агенциите да предприемат, когато Съединените щати започнат многогодишния процес на мигриране на уязвими компютърни системи към квантово устойчива криптография. Класифициран анекс към този меморандум разглежда чувствителните въпроси на националната сигурност.
Раздел 1. Политика. (a) Квантовите компютри притежават потенциала да стимулират иновациите в американската икономика, от разнообразни области като науката за материалите и фармацевтиката до финансите и енергетиката. Докато пълната гама от приложения на квантовите компютри все още е неизвестна въпреки това е ясно, че продължаващото технологично и научно лидерство на Америка ще зависи, поне отчасти, от способността на нацията да поддържа конкурентно предимство в квантовите изчисления и QIS.
(b) И все пак, наред с потенциалните си ползи, квантовото изчисление също представлява значителни рискове за икономическата и националната сигурност на Съединените щати. Най-вече, квантов компютър с достатъчен размер и сложност — известен също като криптоаналитично релевантен квантов компютър ( CRQC) — ще бъде в състояние да разбие голяма част от криптографията с публичен ключ, използвана в цифрови системи в Съединените щати и по света. Когато стане достъпна, CRQC може да застраши гражданските и военни комуникации, да подкопае системите за наблюдение и контрол на критична инфраструктура и побеждават протоколите за сигурност за повечето интернет базирани финансови транзакции.
(c) За да се балансират конкурентните възможности и рисковете на квантовите компютри, политиката на моята администрация е: (1) да поддържа лидерството на Съединените щати в QIS чрез непрекъснати инвестиции, партньорства и балансиран подход към технологиите насърчаване и защита; и (2) да смекчи заплахата от CRQC чрез своевременен и справедлив преход на криптографските системи на нацията към оперативно съвместима квантово устойчива криптография.
(г) Може да са необходими допълнителни насоки и директиви в бъдеще, тъй като квантовите компютърни технологии и свързаните с тях рискове стават зрели.
Разд. 2. Насърчаване на лидерството на Съединените щати. (a) Съединените щати трябва да следват стратегия за цялото правителство и цялото общество, за да използват икономическите и научни ползи от QIS и подобренията в сигурността, осигурени от квантово устойчивата криптография. Това Стратегията ще изисква координиран, проактивен подход към изследванията и развитието на QIS (R&D), разширяване на програмите за образование и работна сила и фокус върху развитието и укрепването на партньорствата с индустрията, академичните институции, съюзниците и нациите с еднакви мисли.
(б) Съединените щати трябва да се стремят да насърчават преобразуващи и фундаментални научни открития чрез инвестиции в основни изследователски програми за QIS. Инвестициите трябва да са насочени към откриването на нови квантови приложения, нови подходи към производството на квантови компоненти и напредъка в квантовите възможности технологии, като фотоника, нанофабрикации и криогенни и полупроводникови системи.
(c) Съединените щати трябва да се стремят да насърчат следващото поколение учени и инженери с набор от умения, свързани с квантово ниво, включително тези, свързани с устойчивата на квантова криптография. Обучението по QIS и свързаните с него принципи за киберсигурност трябва да бъдат включени в академичните учебни програми на всички нива на обучение, за да подпомогнем растежа на разнообразна домашна работна сила. Освен това е жизненоважно да привличаме и задържаме таланти и да насърчаваме възможностите за кариера, които поддържат квантовите експерти наети в страната.
(d) За да насърчат развитието на квантовата технология и ефективното внедряване на квантово-устойчива криптография, Съединените щати трябва да установят партньорства с индустрията; академичните среди; и държавни, местни, племенни и териториални (SLTT) правителства. Тези партньорства трябва да насърчават съвместни инициативи за научноизследователска и развойна дейност и да рационализират механизмите за трансфер на технологии между индустрията и правителството.
(e) Съединените щати трябва да насърчават професионалното и академично сътрудничество с отвъдморски съюзници и партньори. Този международен ангажимент е от съществено значение за идентифициране и следване на глобалните тенденции на QIS и за хармонизиране на програми за квантова сигурност и защита.
(f) В подкрепа на тези цели, в рамките на 90 дни от датата на този меморандум, агенциите, които финансират изследвания в областта на, разработват или придобиват квантови компютри, се координират с директора на Службата за политика в областта на науката и технологиите, за да осигурят съгласувана национална стратегия за популяризиране на QIS и защита на технологиите, включително по въпроси, свързани с работната сила. За да улеснят тази координация, всички подобни агенции трябва да определят звено за връзка с Националния офис за квантова координация за споделяне на информация и най-добри практики, в съответствие с раздел 102(b)(3) от Закона за националната квантова инициатива (Публичен закон 115-368) и раздел 6606 от Закона за разрешение за национална отбрана за фискална 2022 г. (Публичен закон 117-81). Всички усилия за координация се предприемат с подходяща защита за чувствителна и класифицирана информация и разузнаване източници и методи.
Разд. 3. Намаляване на рисковете за криптиране. (a) Всяка цифрова система, която използва съществуващи публични стандарти за криптография с публичен ключ или която планира да премине към такава криптография, може да бъде уязвима за атака от CRQC. За да се намали този риск, Съединените щати трябва да дадат приоритет на навременния и справедлив преход на криптографските системи към квантово устойчива криптография, с цел да смекчат възможно най-голяма част от квантовия риск до 2035 г. В момента директорът на Националния институт за стандарти и технологии (NIST ) и директорът на Агенцията за национална сигурност (NSA), в качеството си на национален мениджър за системите за национална сигурност (Национален мениджър), всеки разработва технически стандарти за квантово устойчива криптография за съответните си юрисдикции. Първите комплекти от тези стандарти се очаква да бъдат пуснати публично до 2024 г.
(b)Централно в това усилие за миграция ще бъде акцентът върху криптографската гъвкавост, както за намаляване на времето, необходимо за преход, така и за позволяване на безпроблемни актуализации за бъдещи криптографски стандарти. Това усилие е наложително във всички сектори на Съединените щати икономика, от правителство до критична инфраструктура, търговски услуги до облачни доставчици и навсякъде другаде, където се използва уязвима криптография с публичен ключ.
(c) В съответствие с тези цели:
(i) В рамките на 90 дни от датата на този меморандум, министърът на търговията, чрез директора на NIST, ще инициира отворена работна група с индустрията, включително собственици и оператори на критична инфраструктура и други заинтересовани страни, както е определено от директора на NIST, за по-нататъшен напредък във възприемането на квантово-устойчива криптография. Тази работна група ще идентифицира необходимите инструменти и набори от данни и други съображения, за да информира разработването от NIST на насоки и най-добри практики за подпомагане на планирането и приоритизирането на квантово-устойчива криптография .Констатациите на тази работна група се предоставят постоянно на директора на Службата за управление и бюджет (OMB), на помощника на президента по въпросите на националната сигурност (APNSA) и на Националния кибер директор, за да бъдат включени в усилия за планиране.
(ii) В рамките на 90 дни от датата на този меморандум, министърът на търговията, чрез директора на NIST, ще създаде „Проект за миграция към пост-квантова криптография“ в Националния център за високи постижения в киберсигурността, за да работи с частния сектор за справяне с предизвикателствата пред киберсигурността, породени от прехода към квантово-устойчива криптография. Този проект ще разработи програми за откриване и възстановяване на всяка система, която не използва квантово-устойчива криптография или която остава зависима от уязвими системи.
(iii) В рамките на 180 дни от датата на този меморандум и всяка година след това министърът на вътрешната сигурност, чрез директора на Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) и в координация с агенциите за секторно управление на риска, да се ангажира с критична инфраструктура и SLTT партньори по отношение на рисковете, породени от квантовите компютри, и ще предоставя годишен доклад на директора на OMB, APNSA и Националния кибер директор, който включва препоръки за ускоряване на миграцията на тези субекти към квантово устойчива криптография.
(iv) В рамките на 180 дни от датата на този меморандум и на текуща основа, директорът на OMB, след консултация с директора на CISA, директора на NIST, Националния кибер директор и директора на NSA , установява изисквания за инвентаризиране на всички текущо внедрени криптографски системи, с изключение на системите за национална сигурност (NSS). Тези изисквания включват списък с ключови активи на информационните технологии (ИТ), които да бъдат приоритизирани, междинни показатели и общ (и за предпочитане автоматизиран) процес на оценка за оценка на напредъка в квантово-устойчивата криптографска миграция в ИТ системите.
(v) В рамките на 1 година от датата на този меморандум и на годишна основа след това ръководителите на всички агенции на федералния граждански изпълнителен клон (FCEB) ще предоставят на директора на CISA и на Националния кибердиректор опис на техните ИТ системи, които остават уязвими към CRQC, със специален фокус върху активи с висока стойност и системи с голямо въздействие. Инвентаризациите трябва да включват текущи криптографски методи, използвани в ИТ системите, включително протоколи на системния администратор, софтуер без защита и фърмуер, които изискват надградени цифрови подписи, и информация за други ключови активи.
(vi) До 18 октомври 2023 г. и на годишна база след това, Националният кибердиректор въз основа на инвентаризациите, описани в подраздел 3(c)(v) от този меморандум и в координация с директора на CISA и директора на NIST, предоставят доклад за състоянието на APNSA и директора на OMB относно напредъка, постигнат от агенциите на FCEB при миграцията на не-NSS IT системи към квантово устойчива криптография. Този доклад за състоянието включва оценка на необходимото финансиране за защита на уязвими ИТ системи от заплахата, породена от противопоставящ се достъп до квантови компютри, описание и анализ на текущите усилия за координация, както и стратегия и график за изпълнение на предложените етапи.
(vii) В рамките на 90 дни от пускането на първия набор от стандарти NIST за квантово-устойчива криптография, посочени в подраздел 3(a) от този меморандум, и на годишна база след това, ако е необходимо, министърът на търговията, чрез директора на NIST, ще публикува предложен график за отмяна на квантово-уязвимата криптография в стандартите, с цел преместване на максимален брой системи извън квантово-уязвимата криптография в рамките на едно десетилетие след публикуването на първоначалния набор от стандарти. Директорът на NIST ще работи с подходящите органи за технически стандарти, за да насърчи оперативната съвместимост на търговските криптографски подходи.
(viii) В рамките на 1 година от пускането на първия набор от стандарти NIST за квантово-устойчива криптография, посочена в подраздел 3(a) от този меморандум, директорът на OMB, в координация с директора на CISA и директора на NIST, ще издаде меморандум за политиката, изискващ от агенциите на FCEB да разработят план за надграждане на своите ИТ системи, които не са NSS, до квантово устойчива криптография. Тези планове ще бъдат разработени експедитивно и предназначени да адресират първо най-значимите рискове. Директорът на OMB работи с ръководителя на всяка агенция FCEB, за да оцени разходите за надграждане на уязвимите системи извън вече планираните разходи, гарантира, че всеки план е координиран и споделен между съответните агенции, за да оцени оперативната съвместимост между решенията, и координира с Националния кибер директор, за да гарантира, че плановете са актуализиран съответно.
(ix) До пускането на първия набор от стандарти NIST за квантово-устойчива криптография, посочена в подраздел 3(a) от този меморандум, ръководителите на агенциите на FCEB няма да доставят търговски квантово-устойчиви криптографски решения за използване в ИТ системи, поддържащи корпоративни и мисионерски операции. Въпреки това, за да помогнат при предвиждането на потенциални проблеми със съвместимостта, ръководителите на такива FCEB агенции трябва да провеждат тестове на търговски решения, които са внедрили предварително стандартизирани квантово устойчиви криптографски алгоритми. Тези тестове ще помогнат за идентифициране на оперативна съвместимост или производителност проблеми, които могат да възникнат във федерални среди на ранен етап и ще допринесат за смекчаването на тези проблеми. Ръководителите на такива FCEB агенции трябва да продължат да прилагат и, когато е необходимо, да надграждат съществуващите криптографски реализации, но трябва да преминат само към квантово-устойчива криптография след като първият набор от стандарти NIST за квантово-устойчива криптография бъде завършен и внедрен в търговски продукти. Съответствието с международните стандарти трябва да се насърчава и може да се изисква за оперативна съвместимост.
(x) В рамките на 1 година от датата на този меморандум и всяка година след това директорът на NSA, изпълняващ функциите си на национален мениджър, след консултация с министъра на отбраната и директора на националното разузнаване, предоставя насоки за миграция, внедряване и надзор на квантово-устойчива криптография за NSS. Тези насоки трябва да са в съответствие с Меморандума за национална сигурност/NSM-8 (Подобряване на киберсигурността на системите на националната сигурност, Министерството на отбраната и разузнавателната общност). Националният мениджър трябва споделяйте най-добри практики и научени уроци с директора на OMB и националния кибер директор, според случая.
(xi) В рамките на 1 година от датата на този меморандум и на постоянна основа, и в съответствие с раздел 1 от NSM-8, ръководителите на агенции, управляващи NSS, трябва да идентифицират и документират всички случаи, когато квантово уязвимата криптография е използвани от НСС и предоставят тази информация на националния мениджър.
(xii) В рамките на 180 дни от издаването от Националния мениджър на своите стандарти за квантово-устойчива криптография, посочени в раздел 3(a) от този меморандум, и всяка година след това, Националният мениджър публикува официален график за оттеглянето на уязвима криптография в NSS, докато не завърши миграцията към квантово устойчива криптография.
(xiii) В рамките на 1 година от издаването от националния мениджър на неговите стандарти за квантово-устойчива криптография, посочени в подраздел 3(a) от този меморандум, и всяка година след това, ръководителите на агенции, опериращи или поддържащи NSS, трябва да представят на националният мениджър и, според случая, главният информационен служител на Министерството на отбраната или главният информационен служител на разузнавателната общност, в зависимост от съответните им юрисдикции, първоначален план за преминаване към квантово устойчива криптография във всички NSS. Тези планове се актуализират всяка година и включва съответните етапи, графици, органи, пречки, изисквания за финансиране и изключения, разрешени от ръководителя на агенцията в съответствие с раздел 3 от NSM-8 и насоки от националния мениджър.
(xiv) До 31 декември 2023 г. агенциите, поддържащи NSS, трябва да внедрят защити със симетрични ключове (напр. ключове за изключване на Internet Protocol Encryptor (HAIPE) с висока сигурност или решения за симетрични ключове за VPN), за да осигурят допълнителна защита за обмен на уязвими от квантово ниво ключове , където е подходящо и след консултация с националния мениджър. Внедряването трябва да се стреми да избягва смущения в оперативната съвместимост или други усилия за криптографска модернизация.
(xv) До 31 декември 2023 г. министърът на отбраната ще предостави на APNSA и директора на OMB оценка на рисковете от квантовите изчисления за отбранителната индустриална база и за веригите за доставки на отбрана, заедно с план за ангажиране с ключови търговски субекти за надграждане на техните ИТ системи за постигане на квантова устойчивост.
Разд. 4. Защита на технологията на Съединените щати. (a) В допълнение към насърчаването на квантовото лидерство и смекчаването на рисковете от CRQC, правителството на Съединените щати трябва да работи за защита на съответната квантова научноизследователска и развойна дейност и интелектуална собственост (IP) и за защита на съответните базови технологии и материали Механизмите за защита ще варират, но могат да включват мерки за контраразузнаване, добре насочен контрол върху износа и кампании за обучение на индустрията и академичните среди относно заплахата от киберпрестъпления и кражба на IP.
(b)Всички агенции, отговорни или за популяризиране, или за защита на QIS и свързаните с тях технологии, трябва да разбират последиците за сигурността от конкурентна употреба и да вземат предвид тези последици за сигурността, когато прилагат нови политики, програми и проекти.
(c) Съединените щати трябва да гарантират защитата на разработените от САЩ квантови технологии от кражби от нашите противници. Това ще изисква кампании за обучение на индустрията, академичните среди и партньорите на SLTT за заплахата от кражба на IP и за важността на силните съответствие, откриване на вътрешни заплахи и програми за киберсигурност за квантовите технологии. Ако е уместно, федералните правоприлагащи агенции и други съответни агенции трябва да разследват и преследват участници, които участват в кражба на квантови търговски тайни или които нарушават законите на Съединените щати за контрол на износа. За подкрепа на усилията за да защитят чувствителната информация, федералните правоприлагащи агенции трябва да обменят подходяща информация за заплахи с агенции, отговорни за разработването и насърчаването на квантовите технологии.
(d) В съответствие с тези цели до 31 декември 2022 г. ръководителите на агенции, които финансират изследвания в областта на, разработват или придобиват квантови компютри или свързани QIS технологии, трябва да разработят цялостни планове за защита на технологиите, за да защитят QIS R&D, придобиване , и потребителски достъп. Плановете трябва да бъдат координирани между агенциите, включително с федералните правоприлагащи органи, за да се защитят научноизследователската и развойната дейност на квантовите изчисления и ИС, придобиването и потребителския достъп. Тези планове се актуализират ежегодно и се предоставят на APNSA, директора на OMB и съпредседателите на подкомитета на Националния съвет за наука и технологии относно икономическите последици и последиците за сигурността на квантовата наука.
Разд. 5. Дефиниции. За целите на този меморандум:
(a) терминът „агенция“ има значението, дадено му съгласно 44 U.S.C. 3502;
(b) терминът „критична инфраструктура“ означава системи и активи, независимо дали са физически или виртуални, толкова жизненоважни за Съединените щати, че тяхното извеждане от строя или унищожаване би имало инвалидизиращ ефект върху сигурността, икономиката, общественото здраве и безопасност на нацията, или комбинация от тях;
(c) терминът „криптографска гъвкавост“ означава функция на дизайна, която позволява бъдещи актуализации на криптографски алгоритми и стандарти, без да е необходимо да се модифицира или заменя околната инфраструктура;
(г) терминът „криптоаналитично релевантен квантов компютър“ или „CRQC“ означава квантов компютър, способен да подкопае настоящите криптографски алгоритми с публичен ключ;
(д) терминът „Федерална гражданска изпълнителна агенция“ или „Агенция FCEB“ означава всяка агенция с изключение на Министерството на отбраната или агенции в разузнавателната общност;
(f) терминът „актив с висока стойност“ означава информация или информационна система, която е толкова критична за организацията, че загубата или повредата на тази информация или загубата на достъп до системата биха имали сериозно въздействие върху организацията способност да изпълнява своята мисия или да води бизнес;
(ж) терминът „система с голямо въздействие“ означава информационна система, в която поне една цел за сигурност (т.е. поверителност, цялост или наличност) е присвоена на Федералните стандарти за обработка на информация (FIPS) 199 потенциална стойност на въздействие от „ Високо";
(h) терминът „информационни технологии“ или „ИТ“ има значението, дадено му съгласно 44 U.S.C. 3502;
(i)терминът „Национални системи за сигурност“ или „NSS“ има значението, дадено му в 44 U.S.C. 3552(b)(6) и включва също други системи на Министерството на отбраната и Разузнавателната общност, както е описано в 44 U.S.C. 3553(e)(2) и 44 U.S.C. 3553(e)(3);
(j)терминът „квантов компютър“ означава компютър, използващ колективните свойства на квантовите състояния, като суперпозиция, интерференция и заплитане, за извършване на изчисления. Основите в квантовата физика дават на квантовия компютър способността да решава подмножество на трудни математически проблеми с много по-бърза скорост от класически (т.е. неквантов) компютър;
(k) терминът „квантови информационни науки“ или „QIS“ има значението, приписано му съгласно 15 U.S.C. 8801(6) и означава изучаването и прилагането на законите на квантовата физика за съхранение, предаване, манипулиране, изчисление или измерване на информация; и
(л)терминът „квантово-устойчива криптография“ означава онези криптографски алгоритми или методи, за които е оценено, че не са конкретно уязвими за атака от CRQC или класически компютър. Това също се нарича постквантова криптография.
Разд. 6. Общи разпоредби. (a) Нищо в този меморандум не трябва да се тълкува като накърняващо или засягащо по друг начин:
(i) правомощията, предоставени от закона на изпълнителен отдел или агенция, или на техния ръководител, за да включват защитата на източниците и методите на разузнаване; или
(ii) функциите на директора на OMB, свързани с бюджетни, административни или законодателни предложения.
(б) Този меморандум ще бъде изпълнен в съответствие с приложимото законодателство и в зависимост от наличието на бюджетни кредити.
(c) Този меморандум също се прилага, без да възпрепятства провеждането или подкрепата на разузнавателни дейности, и всички мерки за прилагане трябва да бъдат проектирани така, че да са в съответствие с подходящите защити за чувствителна информация и източници и методи на разузнаване.
(d) Този меморандум няма за цел и не създава каквото и да е право или полза, материално или процесуално, приложимо по закон или по справедливост от която и да е страна срещу Съединените щати, техните отдели, агенции или образувания, служители, служители или агенти или всяко друго лице.
ДЖОЗУФ Р. БАЙДЪН МЛАДШИ