President Trump ondertekende op 22 juni een uitvoerend bevel waarin harde deadlines werden vastgelegd voor federale agentschappen om hoogwaardige activa en systemen met een hoge impact over te zetten naar post-kwantumcryptografie.
De sleutelvestiging moet uiterlijk 31 december 2030 verhuizen; digitale handtekeningen tegen 31 december 2031. EO 14409 laat de nationale veiligheidssystemen op een apart spoor.
De deadlines zijn van belang vanwege een dreiging waarvoor vandaag de dag geen werkende kwantumcomputer nodig is. Tegenstanders kunnen nu gecodeerde Amerikaanse gegevens verzamelen en deze later ontsleutelen. Zodra er een grootschalige kwantummachine bestaat, staat het risico bekend als “oogst nu, ontsleutelt later”.
Het bevel beschrijft dat risico rechtstreeks en trekt de PQC-tijdlijn van de regering met vier tot vijf jaar naar voren. Het eerdere overheidsbrede doel, vastgelegd in het Nationale Veiligheidsmemorandum 10 uit 2022, liep tot 2035.
De twee deadlines komen overeen met de normen die NIST in augustus 2024 heeft afgerond. De sleutelbepaling maakt gebruik van FIPS 203, het ML-KEM-algoritme dat voorheen CRYSTALS-Kyber heette.
Digitale handtekeningen gebruiken FIPS 204 en 205, ML-DSA en SLH-DSA. De standaarden zijn al bijna twee jaar gereed. De volgorde maakt er een schema van met consequenties.
Wat instanties moeten doen, en wanneer
De kortetermijnklok begint snel. Binnen 30 dagen wijst elk hoofd van het bureau een PQC-migratieleider aan die rapporteert aan de CIO van het bureau en eigenaar is van de cryptografische inventaris en het migratieplan.
Binnen 90 dagen geeft OMB richtlijnen uit die agentschappen verplichten hun inventaris van hoogwaardige activa en systemen met grote impact te beoordelen, de migratie te plannen en dat plan in te dienen.
NIST voert een proefmigratie uit op een subset van zijn eigen systemen, die op 31 december 2027 moet zijn afgerond.
Het bevel reikt voorbij federale netwerken. De Federal Acquisition Regulatory Council heeft 180 dagen de tijd om een regel voor te stellen die “gedekte aannemers” tot 31 december 2030 de mogelijkheid geeft om te voldoen aan de FIPS van NIST, inclusief de PQC-algoritmen.
Een tweede voorgestelde regel, die over 270 dagen moet plaatsvinden, zou cryptografische fouten integreren in programma’s voor het onthullen van kwetsbaarheden van aannemers, inclusief tests voor ontbrekende versleuteling en voor niet-FIPS-algoritmen. Sector Risk Management Agencies en CISA krijgen de opdracht om exploitanten van kritieke infrastructuur te helpen bij het opstellen van hun eigen migratieplannen, hoewel dat deel hulp is en geen mandaat.
Dan is er de inventarishoek. Binnen 270 dagen moeten CISA en NIST de minimale elementen publiceren voor een cryptografische stuklijst, een machinaal leesbare lijst van de cryptografische activa in een stuk hardware of software.
Dat is de basis voor crypto-agility: je kunt zwakke algoritmen niet binnen een bepaalde deadline vervangen als je niet weet waar ze zich bevinden.
De praktische lectuur
Voor federale teams en de verkopers die aan hen verkopen, bestaat het werk uit het inventariseren, en dat begint nu. Vind elke plaats waar sleuteluitwisseling en handtekeningen plaatsvinden, markeer wat niet NIST PQC is, en zet de ruil in volgorde van de data van 2030 en 2031.
Aannemers mogen de FAR-clausule en een nalevingsregel voor 2030 verwachten zodra de regel van kracht wordt. De normen bestaan. De deadlines bestaan nu. De poorttaak voor bijna iedereen is weten welke cryptografie wordt uitgevoerd en waar.
Een begeleidende order die dezelfde dag werd ondertekend, ‘Ushering in the Next Frontier of Quantum Innovation’, duwt de andere kant van de vergelijking: het bouwen van de kwantumcomputers die de migratie in de eerste plaats urgent maken.
Er wordt nog steeds aan de tanden geschreven. De 90-dagen-richtlijnen van OMB en de FAR-regels zullen beslissen of 2030 en 2031 echte aanbestedingsdruk worden of gewoon een nieuwe federale migratiedoelstelling die wegglijdt zodra het harde werk begint.
