MÉMORANDUM DE SÉCURITÉ NATIONALE/NSM-10
MÉMORANDUM POUR LE VICE-PRÉSIDENT
LE SECRÉTAIRE D'ÉTAT
LE SECRÉTAIRE AU TRÉSOR
LE SECRÉTAIRE À LA DÉFENSE
LE PROCUREUR GÉNÉRAL
LE SECRÉTAIRE DU COMMERCE
LE SECRÉTAIRE DE L'ÉNERGIE
LE SECRÉTAIRE DE LA SÉCURITÉ INTÉRIEURE
L'ADJOINTE DU PRÉSIDENT ET CHEF DE CABINET
LE DIRECTEUR DU BUREAU DE GESTION DU BUDGET
LE DIRECTEUR DU RENSEIGNEMENT NATIONAL
LE DIRECTEUR DE L'AGENCE CENTRALE DE RENSEIGNEMENT
L'ADJOINTE AU PRESIDENT POUR LA NATIONALE
AFFAIRES DE SÉCURITÉ
LE CONSEIL DU PRESIDENT
L'ADJOINT DU PRÉSIDENT POUR L'ÉCONOMIE
POLITIQUE ET DIRECTEUR DE L'ÉCONOMIE NATIONALE
CONSEIL
LE DIRECTEUR DU BUREAU DES SCIENCES ET
POLITIQUE TECHNOLOGIQUE
LE DIRECTEUR NATIONAL DU CYBER
LE PRESIDENT DE L'ETAT-MAJOR COMMUN
LE DIRECTEUR DU BUREAU FÉDÉRAL DE
ENQUÊTE
LE DIRECTEUR DE L'AGENCE NATIONALE DE SÉCURITÉ
LE DIRECTEUR DE L'INSTITUT NATIONAL DES
NORMES ET TECHNOLOGIES
LE DIRECTEUR DE LA CYBERSÉCURITÉ ET
AGENCE DE SÉCURITÉ DES INFRASTRUCTURES
OBJET : Promouvoir le leadership des États-Unis dans le secteur quantique
Calculer tout en atténuant les risques pour les personnes vulnérables
Systèmes cryptographiques
Ce mémorandum décrit les politiques et les initiatives de mon administration liées à l'informatique quantique. Il identifie les étapes clés nécessaires pour maintenir l'avantage concurrentiel de la nation dans le domaine de la science de l'information quantique (QIS), tout en atténuant les risques des ordinateurs quantiques pour la cybersécurité, l'économie et la sécurité de la nation. sécurité nationale. Il ordonne aux agences de prendre des mesures spécifiques alors que les États-Unis entament le processus pluriannuel de migration des systèmes informatiques vulnérables vers la cryptographie résistante aux quanta. Une annexe classifiée de ce mémorandum traite de questions sensibles de sécurité nationale.
Section 1.Politique.(a)Les ordinateurs quantiques ont le potentiel de stimuler l'innovation dans l'économie américaine, dans des domaines aussi divers que la science des matériaux et la pharmacie, la finance et l'énergie.Alors que la gamme complète d'applications des ordinateurs quantiques est encore inconnue , il est néanmoins clair que le leadership technologique et scientifique continu de l'Amérique dépendra, au moins en partie, de la capacité de la nation à maintenir un avantage concurrentiel dans l'informatique quantique et le QIS.
(b)Pourtant, parallèlement à ses avantages potentiels, l'informatique quantique présente également des risques importants pour la sécurité économique et nationale des États-Unis. CRQC) - sera capable de casser une grande partie de la cryptographie à clé publique utilisée sur les systèmes numériques aux États-Unis et dans le monde. Lorsqu'il sera disponible, un CRQC pourrait compromettre les communications civiles et militaires, saper les systèmes de supervision et de contrôle des infrastructures critiques , et contourner les protocoles de sécurité pour la plupart des transactions financières sur Internet.
(c)Afin d'équilibrer les opportunités et les risques concurrents des ordinateurs quantiques, la politique de mon administration :(1) maintient le leadership des États-Unis en matière de QIS, grâce à des investissements continus, des partenariats et une approche équilibrée de la technologie promotion et protection; et (2) atténuer la menace des CRQC grâce à une transition opportune et équitable des systèmes cryptographiques du pays vers une cryptographie interopérable résistante aux quanta.
(d) Des conseils et directives supplémentaires pourraient être nécessaires à l'avenir à mesure que les technologies informatiques quantiques et leurs risques associés mûriront.
Sec. 2. Promouvoir le leadership des États-Unis. (a) Les États-Unis doivent poursuivre une stratégie pangouvernementale et pansociétale pour exploiter les avantages économiques et scientifiques du QIS, ainsi que les améliorations de sécurité apportées par la cryptographie résistante aux quanta. La stratégie nécessitera une approche coordonnée et proactive de la recherche et du développement (R&D) QIS, une expansion des programmes d'éducation et de main-d'œuvre et une concentration sur le développement et le renforcement des partenariats avec l'industrie, les institutions universitaires, les alliés et les nations partageant les mêmes idées.
(b) Les États-Unis doivent chercher à encourager les découvertes scientifiques transformatrices et fondamentales par le biais d'investissements dans les principaux programmes de recherche QIS. technologies telles que la photonique, la nanofabrication et les systèmes cryogéniques et semi-conducteurs.
(c) Les États-Unis doivent chercher à former la prochaine génération de scientifiques et d'ingénieurs dotés de compétences liées au quantique, y compris celles relatives à la cryptographie résistante au quantique. tous les niveaux de scolarité pour soutenir la croissance d'une main-d'œuvre nationale diversifiée. En outre, il est essentiel que nous attirons et retenions les talents et encourageons les opportunités de carrière qui maintiennent les experts quantiques employés au pays.
(d) Pour promouvoir le développement de la technologie quantique et le déploiement efficace de la cryptographie résistante au quantum, les États-Unis doivent établir des partenariats avec l'industrie ; milieu universitaire; et les gouvernements des États, locaux, tribaux et territoriaux (SLTT). Ces partenariats devraient faire progresser les initiatives conjointes de R&D et rationaliser les mécanismes de transfert de technologie entre l'industrie et le gouvernement.
(e)Les États-Unis doivent promouvoir les collaborations professionnelles et universitaires avec leurs alliés et partenaires étrangers. Cet engagement international est essentiel pour identifier et suivre les tendances mondiales du QIS et pour harmoniser les programmes de sécurité et de protection quantiques.
(f) À l'appui de ces objectifs, dans les 90 jours suivant la date du présent mémorandum, les agences qui financent la recherche, développent ou acquièrent des ordinateurs quantiques doivent se coordonner avec le directeur du Bureau de la politique scientifique et technologique pour assurer un stratégie nationale cohérente pour la promotion du QIS et la protection de la technologie, y compris pour les questions de main-d'œuvre. de la loi sur l'initiative quantique nationale (loi publique 115-368) et de l'article 6606 de la loi d'autorisation de la défense nationale pour l'exercice 2022 (loi publique 117-81). Tous les efforts de coordination doivent être entrepris avec des protections appropriées pour les informations et les renseignements sensibles et classifiés Sources et méthodes.
Sec. 3. Atténuation des risques liés au chiffrement. (a) Tout système numérique qui utilise des normes publiques existantes pour la cryptographie à clé publique, ou qui envisage de passer à une telle cryptographie, pourrait être vulnérable à une attaque par un CRQC. Pour atténuer ce risque, les États-Unis doivent accorder la priorité à la transition rapide et équitable des systèmes cryptographiques vers la cryptographie résistante quantique, dans le but d'atténuer autant que possible le risque quantique d'ici 2035. Actuellement, le directeur du National Institute of Standards and Technology (NIST ) et le directeur de la National Security Agency (NSA), en leur qualité de gestionnaire national des systèmes de sécurité nationale (gestionnaire national), élaborent chacun des normes techniques pour la cryptographie résistante aux quanta pour leurs juridictions respectives. Les premiers ensembles de ces normes devraient être rendus publics d'ici 2024.
(b) L'accent sera mis sur l'agilité cryptographique au cœur de cet effort de migration, à la fois pour réduire le temps nécessaire à la transition et pour permettre des mises à jour transparentes des futures normes cryptographiques. Cet effort est un impératif dans tous les secteurs des États-Unis. l'économie, du gouvernement aux infrastructures critiques, des services commerciaux aux fournisseurs de cloud, et partout ailleurs où la cryptographie à clé publique vulnérable est utilisée.
(c)Conformément à ces objectifs :
(i) Dans les 90 jours suivant la date du présent mémorandum, le secrétaire au commerce, par l'intermédiaire du directeur du NIST, initiera un groupe de travail ouvert avec l'industrie, y compris les propriétaires et exploitants d'infrastructures critiques, et d'autres parties prenantes, comme déterminé par le directeur du NIST, pour faire progresser l'adoption de la cryptographie résistante quantique. Ce groupe de travail identifiera les outils et les ensembles de données nécessaires, ainsi que d'autres considérations pour informer le développement par le NIST de conseils et de meilleures pratiques pour aider à la planification et à la priorisation de la cryptographie résistante quantique .Les conclusions de ce groupe de travail doivent être fournies, sur une base continue, au directeur du Bureau de la gestion et du budget (OMB), à l'assistant du président pour les affaires de sécurité nationale (APNSA) et au directeur national de la cybersécurité à intégrer dans efforts de planification.
(ii) Dans les 90 jours suivant la date du présent mémorandum, le secrétaire au Commerce, par l'intermédiaire du directeur du NIST, établira un "projet de migration vers la cryptographie post-quantique" au National Cybersecurity Center of Excellence pour travailler avec le secteur privé pour relever les défis de cybersécurité posés par la transition vers la cryptographie résistante quantique. Ce projet développera des programmes de découverte et de remédiation de tout système qui n'utilise pas la cryptographie résistante quantique ou qui reste dépendant de systèmes vulnérables.
(iii) Dans les 180 jours suivant la date du présent mémorandum, et chaque année par la suite, le secrétaire à la Sécurité intérieure, par l'intermédiaire du directeur de l'Agence de cybersécurité et de sécurité des infrastructures (CISA), et en coordination avec les agences de gestion des risques sectoriels, doit s'engager avec les infrastructures critiques et les partenaires SLTT concernant les risques posés par les ordinateurs quantiques, et doit fournir un rapport annuel au directeur de l'OMB, à l'APNSA et au directeur national de la cybersécurité qui comprend des recommandations pour accélérer la migration de ces entités vers la cryptographie résistante au quantum.
(iv) Dans les 180 jours suivant la date du présent mémorandum, et de manière continue, le directeur de l'OMB, en consultation avec le directeur de la CISA, le directeur du NIST, le directeur national du cyberespace et le directeur de la NSA , doit établir des exigences pour l'inventaire de tous les systèmes cryptographiques actuellement déployés, à l'exclusion des systèmes de sécurité nationaux (NSS). Ces exigences doivent inclure une liste des actifs informatiques clés à prioriser, des références intermédiaires et un processus d'évaluation commun (et de préférence automatisé) pour évaluer les progrès de la migration cryptographique résistante quantique dans les systèmes informatiques.
(v) Dans un délai d'un an à compter de la date du présent mémorandum, et sur une base annuelle par la suite, les chefs de toutes les agences de la branche exécutive civile fédérale (FCEB) doivent remettre au directeur de la CISA et au directeur national de la cybersécurité un inventaire des leurs systèmes informatiques qui restent vulnérables aux CRQC, avec un accent particulier sur les actifs de grande valeur et les systèmes à fort impact. Les inventaires doivent inclure les méthodes cryptographiques actuelles utilisées sur les systèmes informatiques, y compris les protocoles d'administrateur système, les logiciels et micrologiciels non liés à la sécurité qui nécessitent des signatures numériques mises à niveau, et des informations sur d'autres actifs clés.
(vi) D'ici le 18 octobre 2023, et sur une base annuelle par la suite, le directeur national du cyberespace doit, sur la base des inventaires décrits à la sous-section 3(c)(v) du présent mémorandum et en coordination avec le directeur du CISA et le directeur du NIST, remettent un rapport d'étape à l'APNSA et au directeur de l'OMB sur les progrès réalisés par les agences FCEB dans leur migration des systèmes informatiques non NSS vers la cryptographie résistante aux quanta. Ce rapport d'étape doit inclure une évaluation du financement nécessaire pour protéger les systèmes informatiques vulnérables contre la menace posée par l'accès contradictoire aux ordinateurs quantiques, une description et une analyse des efforts de coordination en cours, ainsi qu'une stratégie et un calendrier pour atteindre les jalons proposés.
(vii) Dans les 90 jours suivant la publication du premier ensemble de normes NIST pour la cryptographie résistante aux quantums référencé dans la sous-section 3(a) du présent mémorandum, et sur une base annuelle par la suite, si nécessaire, le secrétaire au Commerce, par l'intermédiaire du directeur du NIST, publiera un calendrier proposé pour l'abandon de la cryptographie vulnérable quantique dans les normes, dans le but de déplacer le nombre maximum de systèmes hors de la cryptographie vulnérable quantique dans la décennie suivant la publication de l'ensemble initial de normes. Le directeur du NIST travaillera avec les organismes de normalisation technique appropriés pour encourager l'interopérabilité des approches cryptographiques commerciales.
(viii) Dans un délai d'un an à compter de la publication du premier ensemble de normes NIST pour la cryptographie résistante aux quantums référencé dans la sous-section 3(a) du présent mémorandum, le directeur de l'OMB, en coordination avec le directeur de la CISA et le directeur du NIST, doit publier un mémorandum de politique exigeant que les agences FCEB élaborent un plan pour mettre à niveau leurs systèmes informatiques non NSS vers la cryptographie résistante aux quanta. Ces plans doivent être élaborés rapidement et conçus pour traiter d'abord les risques les plus importants. Le directeur de l'OMB doit travailler avec le chef de chaque agence FCEB pour estimer les coûts de mise à niveau des systèmes vulnérables au-delà des dépenses déjà prévues, s'assurer que chaque plan est coordonné et partagé entre les agences concernées pour évaluer l'interopérabilité entre les solutions, et se coordonner avec le directeur national de la cybersécurité pour s'assurer que les plans sont mis à jour en conséquence.
(ix) Jusqu'à la publication du premier ensemble de normes NIST pour la cryptographie à résistance quantique mentionnée dans la sous-section 3(a) de ce mémorandum, les responsables des agences FCEB ne doivent pas acheter de solutions cryptographiques à résistance quantique commerciales à utiliser dans Systèmes informatiques prenant en charge les opérations de l'entreprise et de la mission. Cependant, pour aider à anticiper les problèmes de compatibilité potentiels, les responsables de ces agences FCEB doivent effectuer des tests de solutions commerciales qui ont mis en œuvre des algorithmes cryptographiques pré-standardisés résistants au quantum. Ces tests aideront à identifier l'interopérabilité ou les performances. problèmes pouvant survenir dans les environnements fédéraux à un stade précoce et contribueront à atténuer ces problèmes. une fois que le premier ensemble de normes NIST pour la cryptographie résistante quantique est terminé et mis en œuvre dans les produits commerciaux. La conformité aux normes internationales doit être encouragée et peut être requise pour l'interopérabilité.
(x) Dans un délai d'un an à compter de la date du présent mémorandum, et chaque année par la suite, le directeur de la NSA, agissant en sa qualité de directeur national, en consultation avec le secrétaire à la Défense et le directeur du renseignement national, fournira des conseils sur la migration, la mise en œuvre et la surveillance de la cryptographie résistante au quantum pour le NSS. partager les meilleures pratiques et les leçons apprises avec le directeur de l'OMB et le directeur national du cyber, le cas échéant.
(xi) Dans un délai d'un an à compter de la date du présent mémorandum, et de manière continue, et conformément à la section 1 du NSM-8, les responsables des agences exploitant le NSS doivent identifier et documenter tous les cas où la cryptographie vulnérable quantique est utilisé par le SNRS et fournira cette information au gestionnaire national.
(xii) Dans les 180 jours suivant la publication par le gestionnaire national de ses normes sur la cryptographie résistante aux quanta mentionnées à la section 3(a) du présent mémorandum, et chaque année par la suite, le gestionnaire national publiera un calendrier officiel pour l'abandon de cryptographie vulnérable dans NSS, jusqu'à ce que la migration vers la cryptographie résistante quantique soit terminée.
(xiii) Dans un délai d'un an à compter de la publication par le responsable national de ses normes sur la cryptographie résistante aux quantums pour les références à la sous-section 3(a) du présent mémorandum, et annuellement par la suite, les responsables des agences exploitant ou gérant le NSS doivent soumettre à le directeur national et, selon le cas, le directeur de l'information du ministère de la Défense ou le directeur de l'information de la communauté du renseignement, selon leurs compétences respectives, un plan initial de transition vers la cryptographie résistante aux quanta dans tous les SSN. Ces plans seront mis à jour annuellement et doit inclure les jalons pertinents, les calendriers, les autorisations, les obstacles, les besoins de financement et les exceptions autorisées par le chef de l'agence conformément à la section 3 de NSM-8 et aux directives du directeur national.
(xiv) D'ici le 31 décembre 2023, les agences gérant le NSS doivent mettre en œuvre des protections à clé symétrique (par exemple, des clés d'exclusion HAIPE (High Assurance Internet Protocol Encryptor) ou des solutions de clé symétrique VPN) pour fournir une protection supplémentaire aux échanges de clés vulnérables quantiques. , le cas échéant et en consultation avec le gestionnaire national. La mise en œuvre doit chercher à éviter toute interférence avec l'interopérabilité ou d'autres efforts de modernisation cryptographique.
(xv) D'ici le 31 décembre 2023, le secrétaire à la Défense doit remettre à l'APNSA et au directeur de l'OMB une évaluation des risques de l'informatique quantique pour la base industrielle de la défense et les chaînes d'approvisionnement de la défense, ainsi qu'un plan pour s'engager avec des entités commerciales clés pour mettre à niveau leurs systèmes informatiques afin d'atteindre la résistance quantique.
Sec. 4. Protéger la technologie des États-Unis. (a) En plus de promouvoir le leadership quantique et d'atténuer les risques des CRQC, le gouvernement des États-Unis doit s'efforcer de protéger la R&D et la propriété intellectuelle (PI) quantiques pertinentes et de protéger les technologies et matériaux habilitants pertinents. .Les mécanismes de protection varieront, mais peuvent inclure des mesures de contre-espionnage, des contrôles des exportations bien ciblés et des campagnes pour éduquer l'industrie et les universités sur la menace de la cybercriminalité et du vol de propriété intellectuelle.
(b) Tous les organismes responsables de la promotion ou de la protection du QIS et des technologies connexes doivent comprendre les implications en matière de sécurité d'une utilisation contradictoire et tenir compte de ces implications en matière de sécurité lors de la mise en œuvre de nouvelles politiques, programmes et projets.
(c)Les États-Unis devraient garantir la protection des technologies quantiques développées aux États-Unis contre le vol par nos adversaires. Cela nécessitera des campagnes pour sensibiliser l'industrie, les universités et les partenaires SLTT à la menace du vol de propriété intellectuelle et à l'importance d'une conformité, détection des menaces internes et programmes de cybersécurité pour les technologies quantiques.Le cas échéant, les organismes fédéraux chargés de l'application de la loi et les autres organismes compétents devraient enquêter et poursuivre les acteurs qui se livrent au vol de secrets commerciaux quantiques ou qui violent les lois américaines sur le contrôle des exportations.Pour soutenir les efforts Pour protéger les informations sensibles, les agences fédérales chargées de l'application des lois doivent échanger des informations pertinentes sur les menaces avec les agences responsables du développement et de la promotion des technologies quantiques.
(d)Conformément à ces objectifs, d'ici le 31 décembre 2022, les responsables des agences qui financent la recherche, développent ou acquièrent des ordinateurs quantiques ou des technologies QIS associées doivent élaborer des plans de protection technologique complets pour protéger la R&D, l'acquisition de QIS , et l'accès des utilisateurs. Les plans doivent être coordonnés entre les agences, y compris avec les forces de l'ordre fédérales, pour protéger la R&D informatique quantique et la propriété intellectuelle, l'acquisition et l'accès des utilisateurs. Ces plans doivent être mis à jour chaque année et fournis à l'APNSA, le directeur de l'OMB , et les coprésidents du sous-comité du Conseil national des sciences et de la technologie sur les implications économiques et sécuritaires de la science quantique.
Sec. 5.Définitions.Aux fins du présent mémorandum :
(a) le terme « agence » a le sens qui lui est attribué en vertu de 44 U.S.C. 3502 ;
(b) le terme "infrastructure critique" désigne les systèmes et les actifs, qu'ils soient physiques ou virtuels, si vitaux pour les États-Unis que leur incapacité ou leur destruction aurait un effet débilitant sur la sécurité, l'économie, la santé et la sécurité publiques de la Nation, ou toute combinaison de ceux-ci ;
(c) le terme « agilité cryptographique » désigne une fonctionnalité de conception qui permet de futures mises à jour des algorithmes et des normes cryptographiques sans qu'il soit nécessaire de modifier ou de remplacer l'infrastructure environnante ;
(d) le terme « ordinateur quantique cryptanalytiquement pertinent » ou « CRQC » désigne un ordinateur quantique capable de saper les algorithmes cryptographiques à clé publique actuels ;
(e) le terme « Agence fédérale du pouvoir exécutif civil » ou « Agence FCEB » désigne toute agence à l'exception du ministère de la Défense ou des agences de la communauté du renseignement ;
(f)le terme « actif de grande valeur » désigne des informations ou un système d'information qui sont si critiques pour une organisation que la perte ou la corruption de ces informations, ou la perte d'accès au système, aurait de graves répercussions sur les activités de l'organisation capacité à accomplir sa mission ou à mener des affaires ;
(g) le terme "système à impact élevé" désigne un système d'information dans lequel au moins un objectif de sécurité (c'est-à-dire la confidentialité, l'intégrité ou la disponibilité) se voit attribuer une valeur d'impact potentiel FIPS (Federal Information Processing Standards) 199 de " haut";
(h) le terme "technologie de l'information" ou "IT" a le sens qui lui est attribué en vertu de 44 U.S.C. 3502 ;
(i) le terme « Systèmes de sécurité nationale » ou « NSS » a le sens qui lui est attribué dans 44 U.S.C 3552(b)(6) et doit également inclure d'autres systèmes du Département de la défense et de la communauté du renseignement, comme décrit dans 44 U.S.C. 3553(e)(2) et 44 U.S.C. 3553(e)(3);
(j) le terme « ordinateur quantique » désigne un ordinateur utilisant les propriétés collectives des états quantiques, telles que la superposition, l'interférence et l'intrication, pour effectuer des calculs. Les fondements de la physique quantique donnent à un ordinateur quantique la capacité de résoudre un sous-ensemble de problèmes mathématiques difficiles à un rythme beaucoup plus rapide qu'un ordinateur classique (c'est-à-dire non quantique);
(k) le terme « sciences de l'information quantique » ou « QIS » a le sens qui lui est attribué en vertu de 15 U.S.C. 8801(6) et désigne l'étude et l'application des lois de la physique quantique pour le stockage, la transmission, la manipulation, le calcul ou la mesure d'informations ; et
(l) le terme « cryptographie résistante aux quantiques » désigne les algorithmes ou méthodes cryptographiques qui sont évalués comme n'étant pas spécifiquement vulnérables aux attaques par un CRQC ou un ordinateur classique. Ceci est également appelé cryptographie post-quantique.
Sec. 6. Dispositions générales. (a) Rien dans le présent mémorandum ne doit être interprété comme compromettant ou autrement affectant :
(i) le pouvoir accordé par la loi à un département ou à un organisme exécutif, ou à son responsable, d'inclure la protection des sources et des méthodes de renseignement ; ou
(ii)les fonctions du directeur de l'OMB relatives aux propositions budgétaires, administratives ou législatives.
(b)Le présent protocole sera mis en œuvre conformément à la loi applicable et sous réserve de la disponibilité des crédits.
(c)Ce mémorandum doit également être mis en œuvre sans entraver la conduite ou le soutien des activités de renseignement, et toutes les mesures de mise en œuvre doivent être conçues pour être compatibles avec des protections appropriées pour les informations sensibles et les sources et méthodes de renseignement.
(d) Ce mémorandum n'est pas destiné à créer et ne crée aucun droit ou avantage, substantiel ou procédural, exécutoire en droit ou en équité par toute partie contre les États-Unis, ses départements, agences ou entités, ses dirigeants, employés ou agents, ou toute autre personne.
JOSEPH R. BIDEN JR.