特朗普签署行政命令 加速后量子密码迁移

新闻
2小时前


核心看点

  1. 特朗普签署第14412号行政命令,要求OMB、国家网络主任与商务部(通过NIST)、国家安全局(NSA)、国土安全部(DHS)及网络安全与基础设施安全局(CISA)协作,制定并监督后量子密码(PQC)迁移政策实施。

  2. 联邦各机构须在30天内指定PQC迁移负责人,并在2030年12月31日前将高价值资产(HVAs)和高影响力系统迁移至后量子加密,数字签名系统迁移截止日期为2031年12月31日——较拜登政府设定的2035年目标大幅提前。

  3. 联邦采购监管委员会(FAR Council)须在180天内发布拟议规则,要求承包商在2030年底前遵守NIST后量子FIPS标准;同时,270天内须完成密码材料清单(CBOM)的最低要素制定。

  4. 五角大楼同日发布《后量子密码战略》,明确"几乎所有现役军事资产都将受到影响",涵盖网络、武器系统、卫星通信、安全战术无线电及边缘设备等。

  5. 白宫明确指出:"Q-Day"——量子计算机足以攻破当前公钥密码体系的日子——已经加速来临;当前加密的敏感数据即便被敌方截获存储,一旦量子计算成熟即可被解密。

全文内容:

2026年6月22日,美国总统特朗普签署第14412号行政命令——《保护国家免受高级密码攻击》。该命令要求联邦机构在2030年12月31日前将最敏感系统迁移至后量子加密,在2031年12月31日前完成后量子认证。行政令还要求联邦承包商在2030年底前遵守后量子联邦信息处理标准(FIPS)。

白宫在情况说明书中表示:"通过加速美国政府的PQC迁移时间表,本命令确保美国网络安全跟上新兴技术的步伐,并认识到量子产业加速发展的现实。"

"Q-Day"加速来临

该行政令之所以尤为重要,是因为量子计算机攻破互联网公钥密码体系那一天——"Q-Day"——的时间表已被大幅提前。2026年4月,Cloudflare在谷歌和Oratomic取得研究突破后,将其实现完全后量子安全的目标提前至2029年。该命令更新了NIST 2024年的指导——当时NIST表示,互联网当前使用的经典公钥密码(RSA和椭圆曲线密码学,一旦强大量子计算机可用即可被破解)应在2030年前弃用,并在2035年前被禁止使用。

该行政令将先前的2035年PQC迁移截止日期加速至2030年完成关键合规要求。

主要要求

行政令的约束性要求主要针对两类联邦系统:高价值资产(HVAs)和高影响力系统。HVAs是 OMB 指定为政府"皇冠上的明珠"的信息或系统:其泄露将显著影响国家安全、外交关系或公众信心的系统。包括保存数百万联邦员工记录的数据库、处理机密情报的系统或管理联邦金融交易的平台。高影响力系统则是指在FIPS 199下保密性、完整性或可用性被评为"高"的系统,这意味着泄露可能导致严重伤害,包括生命损失、重大财务损失或机构执行任务能力的严重下降。

行政令只能约束联邦机构,无法约束其他组织(关键基础设施、州、地方、部落和领土政府、学术界、民间社会)。因此,行政令只向联邦机构给出这些截止日期:

日期

要求

2026年7月

每个联邦机构负责人指定一名PQC迁移负责人,并向OMB和国家网络主任提交其姓名和联系方式

2026年9月

OMB发布指南,要求各机构审查其HVAs和高影响力系统清单,并向CISA提交过渡计划

2026年12月31日

各机构完成HVAs和高影响力系统向PQC迁移计划

2030年12月31日

HVAs和高影响力系统完成后量子加密密钥建立

2031年12月31日

HVAs和高影响力系统完成后量子数字签名

密码材料清单

行政令的另一个关键要素是要求在270天内,CISA和NIST发布密码材料清单(CBOM)的最低要素——这是硬件或软件中密码资产的机器可读清单。对于联邦团队和向他们销售产品的供应商来说,工作就是清点资产,而且工作从现在开始。要找到每个密钥交换和签名发生的位置,标记不属于NIST PQC的内容,并根据2030年和2031年的日期排序交换工作。

承包商要求

该行政令还指示联邦采购监管委员会(FAR Council)在180天内发布拟议规则,要求"涵盖的承包商"在2030年底前遵守NIST的FIPS标准,包括所有包含PQC合规算法的标准。此外,FAR Council须在270天内发布单独的拟议规则,要求承包商实施漏洞披露政策(VDP),其中纳入密码漏洞报告,包括测试是否缺少加密以及是否使用非FIPS批准的算法。

鉴于联邦采购要求在整个私营部门的分量,预计这一要求将渗透到政府供应商生态系统,并在2030年前推动更广泛的美国经济领域的PQC采用。

五角大楼同日发布PQC战略

就在该行政令签署的次日——2026年6月23日——五角大楼发布了《后量子密码战略》(PQC战略),明确了PQC迁移可能如何重塑美国联邦承包商生态系统。该战略采用了与行政令一致的截止日期:要求所有五角大楼系统"支持"PQC或在2030年12月31日前逐步淘汰,所有五角大楼系统"使用"PQC不晚于2031年12月31日。

该战略范围广泛,指出"几乎所有现役军事资产都将以某种方式受到影响"。它要求跨越五角大楼网络、武器系统、卫星和太空系统、安全战术无线电和电话、边缘设备及相关IT基础设施进行快速、企业级过渡。

关键基础设施与国际合作

该行政令还要求所有指定的行业风险管理机构与国土安全部通过CISA主任"协助关键基础设施所有者和运营商制定其PQC迁移计划"。该命令还要求多个行政部门官员协调与外国政府和行业团体的接触,鼓励其过渡到NIST标准化的PQC算法。

背景

该行政令建立在先前的行政和立法行动之上:2018年12月通过的《国家量子倡议法案》增加了联邦对量子技术研发的资金;2022年5月,拜登总统发布国家安全备忘录10,要求敏感联邦政府系统在2035年前迁移至PQC;2022年12月,拜登总统签署《量子计算网络安全 Preparedness Act》,进一步支持了整个联邦政府的PQC过渡。