MEMORANDUM O NÁRODNÍ BEZPEČNOSTI/NSM-10
MEMORANDUM PRO VICEPREZIDENTA
STÁTNÍ TAJEMNÍK
TAJEMNÍK POKLADNY
TAJEMNÍK OBRANY
GENERÁLNÍ ZÁSTUPCE
TAJEMNÍK OBCHODU
TAJEMNÍK ENERGIE
TAJEMNÍK VNITROSTÁTNÍ BEZPEČNOSTI
ASISTENTA PREZIDENTA A NÁčelníka štábu
ŘEDITEL KANCELÁŘE PRO VEDENÍ ROZPOČTU
ŘEDITEL NÁRODNÍ ZPRAVODAJSTVÍ
ŘEDITEL CENTRÁLNÍ INFORMAČNÍ AGENTURY
ASISTENTA PREZIDENTA PRO NÁRODNÍ
BEZPEČNOSTNÍ ZÁLEŽITOSTI
RADCE PREZIDENTA
ASISTENTA PREZIDENTA PRO EKONOMICKOU
POLITIKA A ŘEDITEL NÁRODNÍHO HOSPODÁŘSTVÍ
RADA
ŘEDITEL KANCELÁŘE PRO VĚDU A
TECHNOLOGICKÁ POLITIKA
NÁRODNÍ kybernetický ředitel
PŘEDSEDA SPOLEČNÝCH NÁčelníků PERSONÁLU
ŘEDITEL FEDERÁLNÍHO PŘEDPISU
VYŠETŘOVÁNÍ
ŘEDITEL NÁRODNÍ BEZPEČNOSTNÍ AGENTURY
ŘEDITEL NÁRODNÍHO INSTITUTU
STANDARDŮ A TECHNOLOGIE
ŘEDITEL KYBERBEZPEČNOSTI A
AGENTURA PRO ZABEZPEČENÍ INFRASTRUKTURY
PŘEDMĚT: Propagace vedoucího postavení Spojených států v oblasti Quantum
Výpočetní technika při zmírňování rizik zranitelnosti
Kryptografické systémy
Toto memorandum nastiňuje zásady a iniciativy mé administrativy týkající se kvantových počítačů. Identifikuje klíčové kroky potřebné k udržení konkurenční výhody národa v kvantové informační vědě (QIS) a zároveň zmírňuje rizika kvantových počítačů pro kybernetické, ekonomické a národní bezpečnosti. Řídí konkrétní akce, které mají agentury podniknout, když Spojené státy zahajují mnohaletý proces migrace zranitelných počítačových systémů na kvantově odolnou kryptografii. Utajovaná příloha tohoto memoranda se zabývá citlivými otázkami národní bezpečnosti.
Oddíl 1.Politika.(a)Kvantové počítače mají potenciál řídit inovace v celé americké ekonomice, od oborů tak různorodých, jako je věda o materiálech a farmacie až po finance a energetiku. Zatímco celá řada aplikací kvantových počítačů je stále neznámá Je nicméně jasné, že pokračující technologické a vědecké vedení Ameriky bude záviset, alespoň částečně, na schopnosti národa udržet si konkurenční výhodu v oblasti kvantových počítačů a QIS.
(b) Kromě svých potenciálních výhod kvantové výpočty také představují značná rizika pro ekonomickou a národní bezpečnost Spojených států. Zejména jde o kvantový počítač dostatečné velikosti a propracovanosti – známý také jako kryptanalyticky relevantní kvantový počítač ( CRQC) — bude schopen prolomit velkou část kryptografie s veřejným klíčem používané na digitálních systémech ve Spojených státech a po celém světě. Až bude k dispozici, CRQC by mohla ohrozit civilní a vojenskou komunikaci, podkopat systémy dohledu a kontroly kritické infrastruktury. a porazit bezpečnostní protokoly pro většinu internetových finančních transakcí.
(c)V zájmu vyvážení konkurenčních příležitostí a rizik kvantových počítačů je zásadou mé administrativy:(1) udržet vedoucí postavení Spojených států v QIS prostřednictvím pokračujících investic, partnerství a vyváženého přístupu k technologii propagace a ochrana; a (2) zmírnit hrozbu CRQC prostřednictvím včasného a spravedlivého přechodu národních kryptografických systémů na interoperabilní kvantově odolnou kryptografii.
(d) V budoucnu mohou být vyžadovány další pokyny a směrnice, protože kvantové výpočetní technologie a související rizika dospějí.
Sek. 2.Podpora vedení Spojených států.(a)Spojené státy musí uplatňovat celovládní a celospolečenskou strategii k využití ekonomických a vědeckých výhod QIS a bezpečnostních vylepšení poskytovaných kvantově odolnou kryptografií. strategie bude vyžadovat koordinovaný, proaktivní přístup k výzkumu a vývoji QIS (R&D), rozšíření vzdělávacích a pracovních programů a zaměření na rozvoj a posílení partnerství s průmyslem, akademickými institucemi, spojenci a podobně smýšlejícími národy.
(b)Spojené státy se musí snažit podporovat transformační a základní vědecké objevy prostřednictvím investic do klíčových výzkumných programů QIS. Investice by se měly zaměřit na objevování nových kvantových aplikací, nových přístupů k výrobě kvantových komponent a pokroků v kvantových technologiích. technologie, jako je fotonika, nanofabrikace a kryogenní a polovodičové systémy.
(c)Spojené státy se musí snažit podporovat další generaci vědců a inženýrů s kvantově relevantními dovednostmi, včetně těch, které jsou relevantní pro kvantově odolnou kryptografii. Vzdělávání v oblasti QIS a související zásady kybernetické bezpečnosti by měly být začleněny do akademických osnov na všechny úrovně vzdělávání, abychom podpořili růst různorodé domácí pracovní síly. Kromě toho je životně důležité, abychom přitahovali a udrželi talenty a podporovali kariérní příležitosti, které udrží kvantové odborníky zaměstnané v tuzemsku.
(d) K podpoře rozvoje kvantové technologie a efektivního nasazení kvantově odolné kryptografie musí Spojené státy navázat partnerství s průmyslem; akademická obec; a státní, místní, kmenové a teritoriální vlády (SLTT). Tato partnerství by měla podporovat společné výzkumné a vývojové iniciativy a zefektivnit mechanismy pro přenos technologií mezi průmyslem a vládou.
(e)Spojené státy musí podporovat profesionální a akademickou spolupráci se zámořskými spojenci a partnery. Toto mezinárodní zapojení je nezbytné pro identifikaci a sledování globálních trendů QIS a pro harmonizaci programů kvantové bezpečnosti a ochrany.
(f) Na podporu těchto cílů se do 90 dnů od data tohoto memoranda agentury, které financují výzkum, vývoj nebo získávání kvantových počítačů, zkoordinují s ředitelem Úřadu pro politiku vědy a technologie, aby zajistily koherentní národní strategie pro podporu QIS a ochranu technologií, včetně otázek týkajících se pracovní síly. Aby tuto koordinaci usnadnily, všechny tyto agentury určí styčné body s Národním úřadem pro kvantovou koordinaci pro sdílení informací a osvědčených postupů v souladu s oddílem 102(b)(3) zákona o národní kvantové iniciativě (Public Law 115-368) a paragrafu 6606 zákona National Defense Authorization Act pro fiskální rok 2022 (Public Law 117-81). Veškeré koordinační úsilí musí být vynaloženo s vhodnou ochranou citlivých a utajovaných informací a zpravodajských informací. zdroje a metody.
Sek. 3.Snížení rizik pro šifrování.(a)Jakýkoli digitální systém, který používá stávající veřejné standardy pro kryptografii s veřejným klíčem, nebo který plánuje přechod na takovou kryptografii, by mohl být zranitelný vůči útoku CRQC. Chcete-li toto riziko zmírnit, Spojené státy musí upřednostnit včasný a spravedlivý přechod kryptografických systémů na kvantově odolnou kryptografii s cílem do roku 2035 co nejvíce zmírnit kvantové riziko. V současné době ředitel Národního institutu pro standardy a technologie (NIST ) a ředitel Národní bezpečnostní agentury (NSA), ve své funkci národního manažera pro národní bezpečnostní systémy (National Manager), vyvíjejí technické standardy pro kvantově odolnou kryptografii pro své příslušné jurisdikce. První sady těchto standardů se očekává, že budou zveřejněny do roku 2024.
(b) V centru tohoto úsilí o migraci bude důraz na kryptografickou agilitu, a to jak pro zkrácení doby potřebné k přechodu, tak pro umožnění bezproblémových aktualizací budoucích kryptografických standardů. Toto úsilí je nezbytností ve všech sektorech Spojených států ekonomiku, od vlády po kritickou infrastrukturu, komerční služby až po poskytovatele cloudu a všude jinde, kde se používá zranitelná kryptografie s veřejným klíčem.
(c)V souladu s těmito cíli:
(i) Do 90 dnů od data tohoto memoranda zahájí ministr obchodu prostřednictvím ředitele NIST otevřenou pracovní skupinu s průmyslem, včetně vlastníků a provozovatelů kritické infrastruktury, a dalších zúčastněných stran, jak určí ředitel NIST, aby dále urychlil přijímání kvantově odolné kryptografie. Tato pracovní skupina určí potřebné nástroje a datové soubory a další úvahy, které budou informovat NIST o vývoji pokynů a osvědčených postupů, které pomohou s plánováním kvantově odolné kryptografie a stanovením priorit. .Zjištění této pracovní skupiny budou průběžně poskytovány řediteli Úřadu pro řízení a rozpočet (OMB), asistentovi prezidenta pro záležitosti národní bezpečnosti (APNSA) a národnímu kybernetickému řediteli k začlenění do plánovací úsilí.
(ii)Do 90 dnů od data tohoto memoranda založí ministr obchodu prostřednictvím ředitele NIST „Projekt migrace na postkvantovou kryptografii“ v Národním centru excelence pro kybernetickou bezpečnost, aby spolupracoval s soukromý sektor k řešení problémů kybernetické bezpečnosti, které představuje přechod na kvantově odolnou kryptografii. Tento projekt vyvine programy pro objev a nápravu jakéhokoli systému, který nepoužívá kvantově odolnou kryptografii nebo který zůstává závislý na zranitelných systémech.
(iii) Do 180 dnů od data tohoto memoranda a poté každý rok ministr pro vnitřní bezpečnost prostřednictvím ředitele Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) a v koordinaci s agenturami pro řízení sektorových rizik spolupracovat s partnery kritické infrastruktury a SLTT ohledně rizik, která představují kvantové počítače, a poskytne výroční zprávu řediteli OMB, APNSA a National Cyber Director, která obsahuje doporučení pro urychlení migrace těchto subjektů na kvantově odolnou kryptografii.
(iv)Do 180 dnů od data tohoto memoranda a průběžně ředitel OMB po konzultaci s ředitelem CISA, ředitelem NIST, národním kybernetickým ředitelem a ředitelem NSA , stanoví požadavky na inventarizaci všech aktuálně nasazených kryptografických systémů, s výjimkou národních bezpečnostních systémů (NSS). Tyto požadavky zahrnují seznam klíčových prostředků informačních technologií (IT), kterým je třeba upřednostnit, prozatímní referenční hodnoty a společný (a pokud možno automatizovaný) proces hodnocení pro hodnocení pokroku v oblasti kvantově odolné kryptografické migrace v IT systémech.
(v) Do 1 roku od data tohoto memoranda a poté na ročním základě doručí vedoucí všech agentur Federální civilní výkonné složky (FCEB) řediteli CISA a národnímu kybernetickému řediteli soupis jejich IT systémy, které zůstávají zranitelné vůči CRQC, se zvláštním zaměřením na vysoce hodnotná aktiva a vysoce impaktní systémy. Zásoby by měly zahrnovat současné kryptografické metody používané v IT systémech, včetně protokolů správce systému, nezabezpečeného softwaru a firmwaru, které vyžadují upgradované digitální podpisy, a informace o dalších klíčových aktivech.
(vi)Do 18. října 2023 a poté každý rok národní kybernetický ředitel na základě soupisů popsaných v pododdílu 3(c)(v) tohoto memoranda a v koordinaci s ředitelem CISA a ředitel NIST předloží APNSA a řediteli OMB zprávu o stavu, kterého dosáhly agentury FCEB při migraci IT systémů, které nejsou NSS, na kvantově odolnou kryptografii. Tato zpráva o stavu bude obsahovat posouzení nezbytného financování k zabezpečení zranitelných IT systémů před hrozbou, kterou představuje nepřátelský přístup ke kvantovým počítačům, popis a analýza probíhajícího koordinačního úsilí a strategie a časový plán pro splnění navrhovaných milníků.
(vii) Do 90 dnů od vydání první sady norem NIST pro kvantově odolnou kryptografii, na kterou odkazuje pododdíl 3(a) tohoto memoranda, a poté na roční bázi, podle potřeby, ministr obchodu, prostřednictvím ředitele NIST zveřejní navrhovanou časovou osu pro ukončení podpory kvantově zranitelné kryptografie ve standardech s cílem přesunout maximální počet systémů mimo kvantově zranitelnou kryptografii do deseti let od zveřejnění původního souboru standardů. Ředitel NIST bude spolupracovat s příslušnými orgány pro technické normy, aby podpořil interoperabilitu komerčních kryptografických přístupů.
(viii)Do 1 roku od vydání první sady norem NIST pro kvantově odolnou kryptografii, na kterou odkazuje pododdíl 3(a) tohoto memoranda, ředitel OMB v koordinaci s ředitelem CISA a ředitelem of NIST, vydá politické memorandum požadující po agenturách FCEB, aby vypracovaly plán na modernizaci svých IT systémů, které nejsou NSS, na kvantově odolnou kryptografii. Tyto plány budou urychleně vyvinuty a navrženy tak, aby se nejprve zabývaly nejvýznamnějšími riziky. Ředitel OMB bude spolupracovat s vedoucím každé agentury FCEB na odhadu nákladů na modernizaci zranitelných systémů nad rámec již plánovaných výdajů, zajistí, aby byl každý plán koordinován a sdílený mezi příslušnými agenturami za účelem posouzení interoperability mezi řešeními, a koordinuje se s národním kybernetickým ředitelem, aby zajistil, že plány budou splněny. odpovídajícím způsobem aktualizovány.
(ix) Dokud nebude zveřejněna první sada norem NIST pro kvantově odolnou kryptografii, na kterou odkazuje pododdíl 3(a) tohoto memoranda, vedoucí agentur FCEB si nebudou pořizovat žádná komerční kvantově odolná kryptografická řešení pro použití v IT systémy podporující podnikové operace a operace misí. Aby však pomohli s předvídáním potenciálních problémů s kompatibilitou, měli by vedoucí takových agentur FCEB provést testy komerčních řešení, která mají implementovány předem standardizované kvantově odolné kryptografické algoritmy. Tyto testy pomohou identifikovat interoperabilitu nebo výkon. problémy, které se mohou vyskytnout ve federálním prostředí v rané fázi a přispějí ke zmírnění těchto problémů. Vedoucí takových agentur FCEB by měli pokračovat v implementaci a v případě potřeby upgradovat stávající kryptografické implementace, ale měli by přejít pouze na kvantově odolnou kryptografii. jakmile bude dokončena první sada norem NIST pro kvantově odolnou kryptografii a bude implementována do komerčních produktů. Měla by být podporována shoda s mezinárodními normami a může být vyžadována pro interoperabilitu.
(x) Do 1 roku od data tohoto memoranda a poté každý rok ředitel NBÚ, sloužící ve své funkci národního manažera, po konzultaci s ministrem obrany a ředitelem národní rozvědky poskytne pokyny k migraci, implementaci a dohledu kvantově odolné kryptografie pro NSS. Tyto pokyny budou v souladu s Memorandem o národní bezpečnosti/NSM-8 (Zlepšení kybernetické bezpečnosti národní bezpečnosti, ministerstva obrany a systémů zpravodajské komunity). sdílet osvědčené postupy a získané poznatky s ředitelem OMB a národním kybernetickým ředitelem, podle potřeby.
(xi)Do 1 roku od data tohoto memoranda a průběžně a v souladu s oddílem 1 NSM-8 vedoucí agentur provozujících NSS identifikují a zdokumentují všechny případy, kdy je kvantově zranitelná kryptografie používá NPS a poskytne tyto informace Národnímu manažerovi.
(xii) Do 180 dnů od vydání svých standardů pro kvantově odolné kryptografie, na které odkazuje oddíl 3(a) tohoto memoranda národním manažerem, a poté každý rok vydá národní manažer oficiální harmonogram ukončení podpory zranitelnou kryptografii v NSS, dokud nebude dokončena migrace na kvantově odolnou kryptografii.
(xiii) Do 1 roku od vydání svých norem pro kvantově odolné kryptografie národním manažerem podle pododdílu 3(a) tohoto memoranda a poté každý rok vedoucí agentur provozujících nebo udržujících NSS předloží národního manažera a případně hlavního informačního důstojníka ministerstva obrany nebo hlavního informačního důstojníka zpravodajské komunity, v závislosti na jejich příslušných jurisdikcích, počáteční plán přechodu na kvantově odolnou kryptografii ve všech NSS. Tyto plány budou každoročně aktualizovány a musí obsahovat příslušné milníky, harmonogramy, pravomoci, překážky, požadavky na financování a výjimky schválené vedoucím agentury v souladu s oddílem 3 NSM-8 a pokyny od národního manažera.
(xiv) Do 31. prosince 2023 zavedou agentury spravující NSS ochranu symetrických klíčů (např. vylučovací klíče HAIPE (High Assurance Internet Protocol Encryptor) nebo řešení symetrických klíčů VPN), aby poskytly dodatečnou ochranu výměnám klíčů s kvantovou zranitelností. , kde je to vhodné, a po konzultaci s národním manažerem. Implementace by se měla snažit zabránit interferenci s interoperabilitou nebo jiným úsilím o modernizaci šifrování.
(xv)Do 31. prosince 2023 předá ministr obrany APNSA a řediteli OMB hodnocení rizik kvantových počítačů pro průmyslovou základnu obrany a pro obranné dodavatelské řetězce spolu s plánem na spolupracovat s klíčovými komerčními subjekty na modernizaci jejich IT systémů, aby dosáhly kvantové odolnosti.
Sek. 4. Ochrana technologie Spojených států. (a) Kromě podpory kvantového vedení a zmírňování rizik CRQC musí vláda Spojených států pracovat na ochraně relevantního kvantového výzkumu a vývoje a duševního vlastnictví (IP) a na ochraně příslušných technologií a materiálů. .Ochranné mechanismy se budou lišit, ale mohou zahrnovat opatření kontrarozvědky, dobře cílené kontroly vývozu a kampaně na vzdělávání průmyslu a akademické obce o hrozbě kybernetické kriminality a krádeží IP.
(b)Všechny orgány odpovědné za propagaci nebo ochranu QIS a souvisejících technologií by měly rozumět bezpečnostním důsledkům kontradiktorního použití a zvážit tyto bezpečnostní důsledky při implementaci nových politik, programů a projektů.
(c)Spojené státy by měly zajistit ochranu kvantových technologií vyvinutých v USA před krádeží našimi protivníky. To bude vyžadovat kampaně, které budou vzdělávat průmysl, akademickou obec a partnery SLTT o hrozbě krádeže IP a o důležitosti silného dodržování předpisů, detekce vnitřních hrozeb a programy kybernetické bezpečnosti pro kvantové technologie. Federální orgány činné v trestním řízení a další příslušné orgány by měly podle potřeby vyšetřovat a stíhat aktéry, kteří se zabývají krádeží kvantových obchodních tajemství nebo porušují zákony Spojených států o kontrole vývozu. Na podporu úsilí k ochraně citlivých informací by si federální orgány činné v trestním řízení měly vyměňovat relevantní informace o hrozbách s orgány odpovědnými za vývoj a propagaci kvantových technologií.
(d)V souladu s těmito cíli vypracují do 31. prosince 2022 vedoucí agentur, které financují výzkum, vývoj nebo získávání kvantových počítačů nebo souvisejících technologií QIS, komplexní plány ochrany technologií k zabezpečení výzkumu a vývoje QIS, akvizice a uživatelský přístup. Plány musí být koordinovány napříč agenturami, včetně federálních orgánů činných v trestním řízení, aby bylo možné chránit výzkum a vývoj a IP, získávání a uživatelský přístup v oblasti kvantové výpočetní techniky. Tyto plány budou každoročně aktualizovány a poskytnuty APNSA, řediteli OMB a spolupředsedové podvýboru Národní rady pro vědu a technologii pro ekonomické a bezpečnostní důsledky kvantové vědy.
Sek. 5. Definice. Pro účely tohoto memoranda:
(a) Výraz „agentura“ má význam, který mu je připisován podle 44 U.S.C. 3502;
b) výraz „kritická infrastruktura“ znamená systémy a aktiva, ať už fyzické nebo virtuální, tak životně důležité pro Spojené státy, že jejich zneškodnění nebo zničení by mělo vysilující účinek na bezpečnost, ekonomiku, veřejné zdraví a bezpečnost národa, nebo jakákoli jejich kombinace;
(c) výraz „šifrovací agilita“ znamená konstrukční prvek, který umožňuje budoucí aktualizace kryptografických algoritmů a standardů bez nutnosti upravovat nebo nahrazovat okolní infrastrukturu;
(d) výraz „kryptanalyticky relevantní kvantový počítač“ nebo „CRQC“ znamená kvantový počítač schopný podkopat současné kryptografické algoritmy s veřejným klíčem;
(e) pojem „Federální civilní výkonná agentura“ nebo „Agentura FCEB“ označuje jakoukoli agenturu kromě ministerstva obrany nebo agentur ve zpravodajské komunitě;
(f) termín „aktivum s vysokou hodnotou“ znamená informace nebo informační systém, který je pro organizaci natolik zásadní, že ztráta nebo poškození těchto informací nebo ztráta přístupu do systému by měly vážné dopady na organizaci schopnost vykonávat své poslání nebo podnikat;
(g) termín „systém s velkým dopadem“ znamená informační systém, ve kterém je alespoň jednomu bezpečnostnímu cíli (tj. důvěrnost, integrita nebo dostupnost) přiřazena hodnota potenciálního dopadu podle Federal Information Processing Standards (FIPS) 199 „ vysoký";
(h) výraz „informační technologie“ nebo „IT“ má význam, který je mu připisován podle 44 U.S.C. 3502;
(i) Výraz „systémy národní bezpečnosti“ nebo „NSS“ má význam, který je mu připisován v 44 U.S.C 3552(b)(6) a zahrnuje také další systémy Ministerstva obrany a zpravodajské komunity, jak je popsáno v 44 U.S.C. 3553(e)(2) a 44 U.S.C. 3553(e)(3);
(j) termín „kvantový počítač“ znamená počítač využívající k provádění výpočtů kolektivní vlastnosti kvantových stavů, jako je superpozice, interference a zapletení. Základy kvantové fyziky dávají kvantovému počítači schopnost řešit podmnožinu obtížných matematických problémů mnohem rychleji než klasický (tj. nekvantový) počítač;
(k) Výraz „kvantové informační vědy“ nebo „QIS“ má význam, který je mu připisován podle 15 U.S.C. 8801(6) a znamená studium a aplikaci zákonů kvantové fyziky pro ukládání, přenos, manipulaci, výpočet nebo měření informací; a
(l)Pojem „kvantově odolná kryptografie“ znamená ty kryptografické algoritmy nebo metody, které nejsou specificky zranitelné vůči útoku ze strany CRQC nebo klasického počítače. To se také nazývá postkvantová kryptografie.
Sek. 6. Obecná ustanovení. (a) Nic v tomto memorandu nelze vykládat tak, aby narušovalo nebo jinak ovlivňovalo:
i) pravomoc udělená zákonem výkonnému útvaru nebo agentuře nebo jejich vedoucímu zahrnout ochranu zpravodajských zdrojů a metod; nebo
(ii)funkce ředitele OMB týkající se rozpočtových, administrativních nebo legislativních návrhů.
(b)Toto memorandum se provádí v souladu s platnými právními předpisy a v závislosti na dostupnosti prostředků.
(c) Toto memorandum bude rovněž prováděno, aniž by bránilo provádění nebo podpoře zpravodajských činností, a všechna prováděcí opatření musí být navržena tak, aby byla v souladu s vhodnou ochranou citlivých informací a zpravodajských zdrojů a metod.
(d) Toto memorandum není zamýšleno a nevytváří žádné právo nebo výhodu, hmotněprávní nebo procesní, vymahatelné zákonem nebo spravedlností jakoukoli stranou proti Spojeným státům, jejich oddělením, agenturám nebo subjektům, jejich úředníci, zaměstnanci nebo agenti nebo jakákoli jiná osoba.
JOSEPH R. BIDEN JR.