Casa Branca dá às agências 6 meses para iniciar o trabalho de migração para criptografia ‘pós-quântica’

De acordo com o memorando , de autoria do Office of Management and Budget, as agências serão obrigadas a enviar uma lista de sistemas vulneráveis ​​a um computador quântico criptograficamente relevante – ou um computador capaz de quebrar certas formas de criptografia clássica – ao Cybersecurity and Infrastructure Security Agência e o Gabinete do Diretor Cibernético Nacional a partir de 4 de maio de 2023. Essa lista deve ser atualizada anualmente até 2035 e excluirá os sistemas de segurança nacional, que estão sendo protegidos por meio de um processo paralelo executado pela Agência de Segurança Nacional.

“Inicialmente, as agências devem focar seu inventário em seus sistemas mais sensíveis. A OMB espera direcionar o inventário por agências de sistemas ou ativos que não estejam no escopo acima por meio de orientações futuras sobre os requisitos da Lei Federal de Modernização do Sistema de Informação de 2014”, escreveu a diretora da OMB, Shalanda Young. “Neste momento, esses sistemas não precisam ser incluídos no inventário submetido ao ONCD e à CISA.”

Embora a invenção de um computador quântico capaz de quebrar algumas formas de criptografia clássica ainda esteja a anos de distância, a Casa Branca ordenou uma ampla migração para algoritmos mais recentes em maio, e órgãos federais como o Instituto Nacional de Padrões e Tecnologia têm pressionado para agências e organizações privadas começarem a planejar suas migrações agora, já que agências de inteligência estrangeiras e outros atores mal-intencionados podem estar desviando dados criptografados agora para quebrá-los mais tarde, quando a tecnologia amadurecer.

O NIST e a NSA concluíram recentemente um esforço de vários anos para identificar e examinar um punhado de novos algoritmos que eles acreditam que protegerão as organizações contra a ameaça, e os funcionários federais de TI e segurança agora devem realizar a árdua tarefa de identificar sistemas vulneráveis ​​e priorizá-los. para novos protocolos de criptografia.

As agências têm um mês para identificar um funcionário interno para liderar seu processo de inventário e migração, e o memorando estabelece um novo grupo de trabalho composto por representantes da CISA, NIST, NSA e FedRAMP (o principal programa de certificação de segurança em nuvem do governo federal civil) e outras agências para coordenar o trabalho e estabelecer procedimentos para testar o desempenho de novos algoritmos de criptografia em ambientes de agência.

Cada agência deve incluir em seus relatórios detalhes sobre o algoritmo de criptografia atual de cada sistema, o serviço que o sistema oferece, se foi designado como “alto impacto ou “alto valor”, o comprimento de suas chaves criptográficas, se faz parte de um sistema comercial maior. pacote de software pronto para uso e o tipo de dados que contém. Eles também devem especificar se o sistema é operado pela própria agência no local, por um provedor de nuvem terceirizado ou opera em um ambiente híbrido.

Até fevereiro do próximo ano, CISA, ONCD e FedRAMP lançarão uma ferramenta para submeter sistemas vulneráveis, bem como um processo para identificar serviços compartilhados usados ​​por várias agências que dependem de criptografia desatualizada. Até junho do próximo ano, as agências devem apresentar estimativas de financiamento para cobrir os custos da migração.

Fonte: https://www.scmagazine.com/