MEMORANDO DE SEGURANÇA NACIONAL/NSM-10
MEMORANDO PARA O VICE-PRESIDENTE
O SECRETÁRIO DE ESTADO
O SECRETÁRIO DO TESOURO
O SECRETÁRIO DE DEFESA
O PROCURADOR-GERAL
O SECRETÁRIO DE COMÉRCIO
O SECRETÁRIO DE ENERGIA
O SECRETÁRIO DE SEGURANÇA INTERNA
O ASSISTENTE DO PRESIDENTE E CHEFE DE MAIOR
O DIRETOR DO ESCRITÓRIO DE ORÇAMENTO DE GESTÃO
O DIRETOR DE INTELIGÊNCIA NACIONAL
O DIRETOR DA AGÊNCIA CENTRAL DE INTELIGÊNCIA
O ASSISTENTE DO PRESIDENTE NACIONAL
ASSUNTOS DE SEGURANÇA
O CONSELHO DO PRESIDENTE
O ASSISTENTE DO PRESIDENTE PARA A ECONOMIA
DIRETOR DE POLÍTICA E ECONÔMICA NACIONAL
CONSELHO
O DIRETOR DO ESCRITÓRIO DE CIÊNCIAS E
POLÍTICA DE TECNOLOGIA
O DIRETOR NACIONAL DE CYBER
O PRESIDENTE DO JUNTO DE CHEFES DE MAIOR
O DIRETOR DO BUREAU FEDERAL DE
INVESTIGAÇÃO
DIRETOR DA AGÊNCIA NACIONAL DE SEGURANÇA
DIRETOR DO INSTITUTO NACIONAL DE
NORMAS E TECNOLOGIA
DIRETOR DA CIBERSEGURANÇA E
AGÊNCIA DE SEGURANÇA DE INFRAESTRUTURA
ASSUNTO: Promovendo a liderança dos Estados Unidos em Quantum
Computação ao mesmo tempo em que reduz os riscos para os vulneráveis
Sistemas Criptográficos
Este memorando descreve as políticas e iniciativas de minha administração relacionadas à computação quântica. segurança nacional. Ele direciona ações específicas para as agências tomarem quando os Estados Unidos iniciam o processo plurianual de migração de sistemas de computador vulneráveis para criptografia resistente a quantum. Um anexo confidencial deste memorando trata de questões delicadas de segurança nacional.
Seção 1.Política.(a)Os computadores quânticos têm o potencial de impulsionar inovações em toda a economia americana, desde campos tão diversos como ciência de materiais e produtos farmacêuticos até finanças e energia.Embora a gama completa de aplicações dos computadores quânticos ainda seja desconhecida , é claro, no entanto, que a liderança tecnológica e científica contínua da América dependerá, pelo menos em parte, da capacidade da nação de manter uma vantagem competitiva em computação quântica e QIS.
(b)No entanto, juntamente com seus benefícios potenciais, a computação quântica também apresenta riscos significativos para a segurança econômica e nacional dos Estados Unidos. Mais notavelmente, um computador quântico de tamanho e sofisticação suficientes - também conhecido como um computador quântico criptoanaliticamente relevante ( CRQC) — será capaz de quebrar grande parte da criptografia de chave pública usada em sistemas digitais nos Estados Unidos e em todo o mundo. Quando estiver disponível, um CRQC poderá comprometer as comunicações civis e militares, minar os sistemas de supervisão e controle de infraestrutura crítica , e derrotar os protocolos de segurança para a maioria das transações financeiras baseadas na Internet.
(c) Para equilibrar as oportunidades e os riscos concorrentes dos computadores quânticos, é política da minha administração: (1) manter a liderança dos Estados Unidos em QIS, por meio de investimentos contínuos, parcerias e uma abordagem equilibrada à tecnologia promoção e proteção; e (2) mitigar a ameaça de CRQCs por meio de uma transição oportuna e equitativa dos sistemas criptográficos da nação para criptografia resistente a quantum interoperável.
(d)Diretrizes e orientações adicionais podem ser necessárias no futuro, à medida que as tecnologias de computação quântica e seus riscos associados amadurecem.
Seg. 2.Promovendo a liderança dos Estados Unidos.(a)Os Estados Unidos devem seguir uma estratégia de todo o governo e toda a sociedade para aproveitar os benefícios econômicos e científicos do QIS e os aprimoramentos de segurança fornecidos pela criptografia resistente a quantum. A estratégia exigirá uma abordagem coordenada e proativa para pesquisa e desenvolvimento (P&D) de QIS, uma expansão dos programas de educação e força de trabalho e um foco no desenvolvimento e fortalecimento de parcerias com a indústria, instituições acadêmicas, aliados e nações afins.
(b)Os Estados Unidos devem procurar encorajar descobertas científicas transformadoras e fundamentais por meio de investimentos em programas de pesquisa QIS centrais. tecnologias, como fotônica, nanofabricação e sistemas criogênicos e semicondutores.
(c)Os Estados Unidos devem procurar promover a próxima geração de cientistas e engenheiros com conjuntos de habilidades relevantes para o quantum, incluindo aqueles relevantes para criptografia resistente ao quantum. A educação em QIS e os princípios relacionados à segurança cibernética devem ser incorporados aos currículos acadêmicos em todos os níveis de escolaridade para apoiar o crescimento de uma força de trabalho doméstica diversificada. Além disso, é vital que atraiamos e retenhamos talentos e incentivemos oportunidades de carreira que mantenham os especialistas quantum empregados domesticamente.
(d) Para promover o desenvolvimento da tecnologia quântica e a implantação efetiva da criptografia resistente a quantum, os Estados Unidos devem estabelecer parcerias com a indústria; academia; e governos estaduais, locais, tribais e territoriais (SLTT). Essas parcerias devem promover iniciativas conjuntas de P&D e simplificar os mecanismos de transferência de tecnologia entre a indústria e o governo.
(e)Os Estados Unidos devem promover colaborações profissionais e acadêmicas com aliados e parceiros estrangeiros. Esse engajamento internacional é essencial para identificar e seguir as tendências globais de QIS e para harmonizar os programas de proteção e segurança quântica.
(f) Em apoio a esses objetivos, no prazo de 90 dias a partir da data deste memorando, as agências que financiam pesquisas, desenvolvem ou adquirem computadores quânticos devem coordenar com o Diretor do Escritório de Política de Ciência e Tecnologia para garantir um estratégia nacional coerente para promoção de QIS e proteção de tecnologia, inclusive para questões de força de trabalho. Para facilitar essa coordenação, todas essas agências devem identificar um contato com o Escritório Nacional de Coordenação Quantum para compartilhar informações e melhores práticas, de acordo com a seção 102(b)(3) da Lei de Iniciativa Quantum Nacional (Lei Pública 115-368) e seção 6606 da Lei de Autorização de Defesa Nacional para o Ano Fiscal de 2022 (Lei Pública 117-81). Todos os esforços de coordenação devem ser realizados com proteções adequadas para informações e inteligência confidenciais e classificadas fontes e métodos.
Seg. 3. Mitigando os riscos de criptografia. (a) Qualquer sistema digital que use padrões públicos existentes para criptografia de chave pública, ou que esteja planejando fazer a transição para tal criptografia, pode ser vulnerável a um ataque de um CRQC. Para mitigar esse risco, os Estados Unidos devem priorizar a transição oportuna e equitativa de sistemas criptográficos para criptografia quântica resistente, com o objetivo de mitigar o máximo possível do risco quântico até 2035. Atualmente, o Diretor do Instituto Nacional de Padrões e Tecnologia (NIST ) e o Diretor da Agência de Segurança Nacional (NSA), na qualidade de Gerente Nacional de Sistemas de Segurança Nacional (Gerente Nacional), estão desenvolvendo padrões técnicos para criptografia resistente a quantum para suas respectivas jurisdições. Os primeiros conjuntos desses padrões devem ser lançados publicamente até 2024.
(b) O foco desse esforço de migração será a ênfase na agilidade criptográfica, tanto para reduzir o tempo necessário para a transição quanto para permitir atualizações contínuas para futuros padrões criptográficos. Esse esforço é imperativo em todos os setores dos Estados Unidos economia, do governo à infraestrutura crítica, serviços comerciais a provedores de nuvem e em todos os outros lugares em que a criptografia de chave pública vulnerável é usada.
(c)Consistente com estes objetivos:
(i) No prazo de 90 dias a partir da data deste memorando, o Secretário de Comércio, por meio do Diretor do NIST, iniciará um grupo de trabalho aberto com a indústria, incluindo proprietários e operadores de infraestrutura crítica e outras partes interessadas, conforme determinado por o diretor do NIST, para promover a adoção de criptografia resistente a quantum. Este grupo de trabalho deve identificar ferramentas e conjuntos de dados necessários e outras considerações para informar o desenvolvimento pelo NIST de orientação e melhores práticas para auxiliar no planejamento e priorização de criptografia resistente a quantum As conclusões deste grupo de trabalho serão fornecidas, de forma contínua, ao Diretor do Gabinete de Gestão e Orçamento (OMB), ao Assistente do Presidente para Assuntos de Segurança Nacional (APNSA) e ao Diretor Cibernético Nacional para incorporar em esforços de planejamento.
(ii)No prazo de 90 dias a partir da data deste memorando, o Secretário de Comércio, por meio do Diretor do NIST, estabelecerá um “Projeto de Migração para Criptografia Pós-Quântica” no Centro Nacional de Cibersegurança de Excelência para trabalhar com o setor privado para enfrentar os desafios de segurança cibernética impostos pela transição para criptografia quântica resistente. Este projeto deve desenvolver programas para descoberta e remediação de qualquer sistema que não use criptografia quântica resistente ou que permaneça dependente de sistemas vulneráveis.
(iii) Dentro de 180 dias a partir da data deste memorando, e anualmente a partir de então, o Secretário de Segurança Interna, por meio do Diretor da Agência de Segurança Cibernética e Infraestrutura (CISA), e em coordenação com as Agências Setoriais de Gerenciamento de Risco, deverá envolver-se com infraestrutura crítica e parceiros SLTT em relação aos riscos apresentados por computadores quânticos e fornecer um relatório anual ao Diretor do OMB, APNSA e Diretor Cibernético Nacional que inclua recomendações para acelerar a migração dessas entidades para criptografia resistente a quantum.
(iv)No prazo de 180 dias a partir da data deste memorando, e de forma contínua, o Diretor do OMB, em consulta com o Diretor da CISA, o Diretor do NIST, o Diretor Cibernético Nacional e o Diretor da NSA , deve estabelecer requisitos para inventariar todos os sistemas criptográficos atualmente implantados, excluindo os Sistemas de Segurança Nacional (NSS). Esses requisitos devem incluir uma lista dos principais ativos de tecnologia da informação (TI) para priorizar, benchmarks provisórios e um processo de avaliação comum (e preferencialmente automatizado) para avaliar o progresso na migração criptográfica resistente a quantum em sistemas de TI.
(v) No prazo de 1 ano a partir da data deste memorando, e anualmente a partir de então, os chefes de todas as Agências do Poder Executivo Federal Civil (FCEB) deverão entregar ao Diretor da CISA e ao Diretor Cibernético Nacional um inventário de seus sistemas de TI que permanecem vulneráveis a CRQCs, com foco particular em ativos de alto valor e sistemas de alto impacto. Os inventários devem incluir métodos criptográficos atuais usados em sistemas de TI, incluindo protocolos de administrador de sistema, software e firmware não relacionados à segurança que exigem assinaturas digitais atualizadas, e informações sobre outros ativos importantes.
(vi)Até 18 de outubro de 2023 e, posteriormente, anualmente, o Diretor Cibernético Nacional deverá, com base nos inventários descritos na subseção 3(c)(v) deste memorando e em coordenação com o Diretor da CISA e o Diretor do NIST, entregar um relatório de status à APNSA e ao Diretor do OMB sobre o progresso feito pelas Agências FCEB em sua migração de sistemas de TI não-NSS para criptografia resistente a quantum. Este relatório de status deve incluir uma avaliação do financiamento necessário para proteger sistemas de TI vulneráveis da ameaça representada pelo acesso adversário a computadores quânticos, uma descrição e análise dos esforços de coordenação em andamento e uma estratégia e cronograma para atender aos marcos propostos.
(vii) No prazo de 90 dias após o lançamento do primeiro conjunto de padrões NIST para criptografia resistente a quantum referenciado na subseção 3(a) deste memorando, e anualmente a partir de então, conforme necessário, o Secretário de Comércio, através do Diretor do NIST, deve lançar um cronograma proposto para a descontinuação da criptografia quântica vulnerável nos padrões, com o objetivo de remover o número máximo de sistemas da criptografia quântica vulnerável dentro de uma década após a publicação do conjunto inicial de padrões. O Diretor do NIST deve trabalhar com os órgãos de padrões técnicos apropriados para encorajar a interoperabilidade de abordagens criptográficas comerciais.
(viii) Dentro de 1 ano do lançamento do primeiro conjunto de padrões NIST para criptografia quântica resistente referenciado na subseção 3(a) deste memorando, o Diretor do OMB, em coordenação com o Diretor do CISA e o Diretor do NIST, deve emitir um memorando de política exigindo que as Agências FCEB desenvolvam um plano para atualizar seus sistemas de TI não-NSS para criptografia resistente a quantum. Esses planos devem ser desenvolvidos rapidamente e projetados para lidar primeiro com os riscos mais significativos. O Diretor do OMB deve trabalhar com o chefe de cada Agência FCEB para estimar os custos para atualizar sistemas vulneráveis além dos gastos já planejados, garantir que cada plano seja coordenado e compartilhado entre as agências relevantes para avaliar a interoperabilidade entre as soluções e coordenar com o Diretor Cibernético Nacional para garantir que os planos sejam atualizado de acordo.
(ix) Até o lançamento do primeiro conjunto de padrões NIST para criptografia resistente a quantum referenciado na subseção 3(a) deste memorando, os chefes das Agências FCEB não devem adquirir nenhuma solução criptográfica resistente a quantum comercial para uso em Sistemas de TI que suportam operações corporativas e de missão. No entanto, para ajudar a antecipar possíveis problemas de compatibilidade, os chefes de tais agências FCEB devem realizar testes de soluções comerciais que implementaram algoritmos criptográficos resistentes a quantum pré-padronizados. Esses testes ajudarão a identificar a interoperabilidade ou o desempenho problemas que podem ocorrer em ambientes federais em um estágio inicial e contribuirão para a mitigação desses problemas. Os chefes de tais agências FCEB devem continuar a implementar e, quando necessário, atualizar as implementações criptográficas existentes, mas devem fazer a transição apenas para criptografia resistente a quantum uma vez que o primeiro conjunto de padrões NIST para criptografia resistente a quantum esteja completo e implementado em produtos comerciais. A conformidade com os padrões internacionais deve ser incentivada e pode ser necessária para a interoperabilidade.
(x) No prazo de 1 ano a partir da data deste memorando, e anualmente a partir de então, o Diretor da NSA, atuando na qualidade de Gerente Nacional, em consulta com o Secretário de Defesa e o Diretor de Inteligência Nacional, fornecerá orientação sobre migração, implementação e supervisão de criptografia resistente a quantum para NSS. Esta orientação deve ser consistente com o Memorando de Segurança Nacional/NSM-8 (Melhorando a Segurança Cibernética de Segurança Nacional, Departamento de Defesa e Sistemas Comunitários de Inteligência). O Gerente Nacional deve compartilhar as melhores práticas e lições aprendidas com o Diretor do OMB e o Diretor Cibernético Nacional, conforme apropriado.
(xi) Dentro de 1 ano a partir da data deste memorando, e de forma contínua, e consistente com a seção 1 do NSM-8, os chefes das agências que operam o NSS devem identificar e documentar todas as instâncias em que a criptografia quântica vulnerável é utilizado pelo NSS e deve fornecer esta informação ao Gestor Nacional.
(xii) No prazo de 180 dias após a emissão pelo Gerente Nacional de seus padrões de criptografia resistente a quantum referenciados na seção 3(a) deste memorando, e anualmente a partir de então, o Gerente Nacional divulgará um cronograma oficial para a descontinuação de criptografia vulnerável em NSS, até que a migração para criptografia quântica resistente seja concluída.
(xiii) Dentro de 1 ano após a emissão pelo Gerente Nacional de seus padrões de criptografia resistente a quantum para referência na subseção 3(a) deste memorando, e anualmente a partir de então, os chefes das agências que operam ou mantêm o NSS devem se submeter a o Gerente Nacional e, conforme apropriado, o Diretor de Informações do Departamento de Defesa ou o Diretor de Informações da Comunidade de Inteligência, dependendo de suas respectivas jurisdições, um plano inicial para a transição para criptografia resistente a quantum em todos os NSS. Esses planos devem ser atualizados anualmente e deve incluir marcos relevantes, cronogramas, autoridades, impedimentos, requisitos de financiamento e exceções autorizadas pelo chefe da agência de acordo com a seção 3 do NSM-8 e orientações do Gerente Nacional.
(xiv) Até 31 de dezembro de 2023, as agências que mantêm o NSS devem implementar proteções de chave simétrica (por exemplo, chaves de exclusão de criptografia de protocolo de Internet de alta garantia (HAIPE) ou soluções de chave simétrica VPN) para fornecer proteção adicional para trocas de chaves quânticas vulneráveis , quando apropriado e em consulta com o Gerente Nacional. A implementação deve procurar evitar interferência com a interoperabilidade ou outros esforços de modernização criptográfica.
(xv)Até 31 de dezembro de 2023, o Secretário de Defesa entregará à APNSA e ao Diretor do OMB uma avaliação dos riscos da computação quântica para a base industrial de defesa e para as cadeias de suprimentos de defesa, juntamente com um plano para envolver-se com as principais entidades comerciais para atualizar seus sistemas de TI para obter resistência quântica.
Seg. 4.Proteção da tecnologia dos Estados Unidos. (a) Além de promover a liderança quântica e mitigar os riscos de CRQCs, o governo dos Estados Unidos deve trabalhar para salvaguardar a P&D quântica relevante e a propriedade intelectual (IP) e proteger tecnologias e materiais facilitadores relevantes .Mecanismos de proteção variam, mas podem incluir medidas de contrainteligência, controles de exportação bem direcionados e campanhas para educar a indústria e a academia sobre a ameaça do crime cibernético e roubo de propriedade intelectual.
(b)Todas as agências responsáveis por promover ou proteger QIS e tecnologias relacionadas devem entender as implicações de segurança do uso contraditório e considerar essas implicações de segurança ao implementar novas políticas, programas e projetos.
(c)Os Estados Unidos devem garantir a proteção das tecnologias quânticas desenvolvidas nos EUA contra roubo por nossos adversários. Isso exigirá campanhas para educar a indústria, a academia e os parceiros SLTT sobre a ameaça de roubo de IP e sobre a importância de conformidade, detecção de ameaças internas e programas de segurança cibernética para tecnologias quânticas. Conforme apropriado, as agências federais de aplicação da lei e outras agências relevantes devem investigar e processar os atores que se envolvem no roubo de segredos comerciais quânticos ou que violam as leis de controle de exportação dos Estados Unidos. Para apoiar os esforços para proteger informações confidenciais, as agências federais de aplicação da lei devem trocar informações relevantes sobre ameaças com agências responsáveis pelo desenvolvimento e promoção de tecnologias quânticas.
(d)Consistente com essas metas, até 31 de dezembro de 2022, os chefes das agências que financiam pesquisas, desenvolvem ou adquirem computadores quânticos ou tecnologias QIS relacionadas devem desenvolver planos abrangentes de proteção de tecnologia para proteger QIS R&D, aquisição e acesso do usuário. Os planos devem ser coordenados entre as agências, inclusive com a aplicação da lei federal, para proteger a computação quântica P&D e IP, aquisição e acesso do usuário. Esses planos devem ser atualizados anualmente e fornecidos ao APNSA, o Diretor do OMB , e os co-presidentes do Subcomitê do Conselho Nacional de Ciência e Tecnologia sobre Implicações Econômicas e de Segurança da Ciência Quântica.
Seg. 5.Definições.Para fins deste memorando:
(a) o termo “agência” tem o significado que lhe é atribuído em 44 U.S.C. 3502;
(b) o termo “infraestrutura crítica” significa sistemas e ativos, sejam físicos ou virtuais, tão vitais para os Estados Unidos que sua incapacitação ou destruição teria um efeito debilitante na segurança, economia, saúde pública e segurança da Nação, ou qualquer combinação dos mesmos;
(c) o termo “agilidade criptográfica” significa um recurso de design que permite futuras atualizações de algoritmos e padrões criptográficos sem a necessidade de modificar ou substituir a infraestrutura circundante;
(d) o termo “computador quântico criptoanaliticamente relevante” ou “CRQC” significa um computador quântico capaz de minar os algoritmos criptográficos de chave pública atuais;
(e) o termo “Agência do Poder Executivo Civil Federal” ou “Agência FCEB” significa qualquer agência, exceto o Departamento de Defesa ou agências da Comunidade de Inteligência;
(f) o termo “ativo de alto valor” significa informação ou um sistema de informação que é tão crítico para uma organização que a perda ou corrupção dessa informação, ou perda de acesso ao sistema, teria sérios impactos sobre a organização capacidade de desempenhar sua missão ou conduzir negócios;
(g) o termo "sistema de alto impacto" significa um sistema de informação no qual pelo menos um objetivo de segurança (ou seja, confidencialidade, integridade ou disponibilidade) é atribuído a um valor de impacto potencial de "Padrões Federais de Processamento de Informações (FIPS) 199" alto";
(h) o termo “tecnologia da informação” ou “TI” tem o significado atribuído a ele em 44 U.S.C. 3502;
(i) o termo “Sistemas de Segurança Nacional” ou “NSS” tem o significado atribuído a ele em 44 U.S.C 3552(b)(6) e também deve incluir outros sistemas do Departamento de Defesa e Inteligência Comunitária, conforme descrito em 44 U.S.C. 3553(e)(2) e 44 U.S.C. 3553(e)(3);
(j) o termo "computador quântico" significa um computador que utiliza as propriedades coletivas de estados quânticos, como superposição, interferência e emaranhamento, para realizar cálculos. Os fundamentos da física quântica fornecem a um computador quântico a capacidade de resolver um subconjunto de problemas matemáticos difíceis em uma taxa muito mais rápida do que um computador clássico (ou seja, não quântico);
(k) o termo “ciências da informação quântica” ou “QIS” tem o significado atribuído a ele em 15 U.S.C. 8801(6) e significa o estudo e aplicação das leis da física quântica para armazenamento, transmissão, manipulação, computação ou medição de informações; e
(l) o termo “criptografia resistente a quantum” significa aqueles algoritmos ou métodos criptográficos que são avaliados como não sendo especificamente vulneráveis a ataques por um CRQC ou computador clássico. Isso também é conhecido como criptografia pós-quântica.
Seg. 6. Disposições Gerais. (a) Nada neste memorando deve ser interpretado no sentido de prejudicar ou afetar de outra forma:
(i) a autoridade concedida por lei a um departamento ou agência executiva, ou ao seu chefe, para incluir a proteção de fontes e métodos de inteligência; ou
(ii) as funções do Diretor do OMB relativas a propostas orçamentárias, administrativas ou legislativas.
(b)Este memorando deve ser implementado de acordo com a lei aplicável e sujeito à disponibilidade de dotações.
(c) Este memorando também deve ser implementado sem impedir a condução ou apoio de atividades de inteligência, e todas as medidas de implementação devem ser projetadas para serem consistentes com proteções apropriadas para informações confidenciais e fontes e métodos de inteligência.
(d) Este memorando não se destina a, e não cria, nenhum direito ou benefício, substantivo ou processual, executável por lei ou em equidade por qualquer parte contra os Estados Unidos, seus departamentos, agências ou entidades, seus executivos, funcionários ou agentes, ou qualquer outra pessoa.
JOSEPH R. BIDEN JR.
