Overheidsinstanties in de VS moeten in 2031 al bestand zijn tegen de cybergevaren van quantumcomputers. Dit geldt ook voor toeleveranciers van de Amerikaanse overheid. Via een executive order stelt de regering dat het nodig is om eerder gestelde deadlines zo’n vier à vijf jaar naar voren te trekken.
De order verplicht elke federale instantie binnen 30 dagen een zogeheten ‘PQC migration lead’ aan te wijzen. Dit betekent dat er een medewerker moet zijn die rechtstreeks rapporteert aan de Chief Information Officer en verantwoordelijk is voor het hele migratietraject.
Quantumcomputers hoeven nog niet operationeel te zijn om al schade aan te richten. Tegenstanders kunnen nu versleuteld overheidsverkeer onderscheppen en dat later ontcijferen zodra de technologie ver genoeg is, de zogeheten ‘harvest now, decrypt later’-aanpak. Cloudflare waarschuwde in april al dat het moment waarop quantumcomputers bestaande encryptie kunnen kraken, dichterbij komt dan eerder gedacht. Microsoft verwacht op basis van zijn Majorana 2-chip in 2029 een schaalbare quantumcomputer te kunnen realiseren. Dat is een halvering van zijn eerdere tijdlijn.
Harde deadlines tot 2031
Inhoudelijk legt de executive order een duidelijk tijdpad vast. Alle federale high value assets en high impact systems moeten vóór 31 december 2030 gebruikmaken van PQC voor het creëren van beveiligingssleutels. Digitale handtekeningen binnen diezelfde systemen moeten uiterlijk 31 december 2031 zijn overgestapt. NIST krijgt 180 dagen om een pilotproject voor PQC-migratie op te starten binnen de eigen systemen, af te ronden voor eind 2027. De NIST-standaarden FIPS 203, 204 en 205, die in 2024 werden vastgesteld als de eerste officiële post-quantum algoritmen, vormen daarvoor de basis.
Die deadline van 2030 sluit niet geheel toevallig aan bij de EU-roadmap die vereist dat kritieke infrastructuur uiterlijk in 2030 de overgang naar quantumbestendige versleuteling voltooit. Tests zijn er al wereldwijd. In Rotterdam werkt bijvoorbeeld een consortium van Cisco, Eurofiber en anderen al aan een fieldlab om die transitie in de praktijk te testen voor havens, energienetwerken en overheidsdiensten.
Leveranciers en internationale reikwijdte
De executive order beperkt zich zoals gezegd niet tot de Amerikaanse overheid zelf. De Federal Acquisition Regulatory Council moet binnen 180 dagen een voorstel publiceren om overheidsleveranciers te verplichten uiterlijk eind 2030 te voldoen aan NIST’s FIPS-standaarden inclusief PQC. Binnen 270 dagen moet er bovendien een cryptographic bill of materials komen, waarmee automatisch de cryptografische toestand van hardware en software beoordeeld kan worden. Ook moeten leveranciers hun vulnerability disclosure-programma’s uitbreiden met het melden van cryptografische kwetsbaarheden.
Internationaal wil de VS bondgenoten en industrie in sleutellanden aanmoedigen de NIST-algoritmen over te nemen. Het State Department krijgt daarvoor een coördinerende rol.
Volwassen genoeg?
De vraag is of deze versnelling wel het gewenste effect heeft. Twee jaar geleden keurde NIST drie PQC-standaarden goedgekeurd. Twee jaar dáárvoor, in 2022, waren er nog vier kandidaten. SIKE, de afvaller, werd door twee Belgische onderzoekers aan de KU Leuven binnen 62 minuten gekraakt. Dit was vanzelfsprekend ruimschoots voordat quantumcomputers aan bod kwamen als potentiële superkrakers. Zodra die wél actief zijn, en het lijkt dus alsof de industrie de datum daarvoor naar voren schuift, kunnen de andere PQC-standaarden pas echt getest worden.