Moet post-quantum encryptie jaren eerder worden geïmplementeerd?

In dit artikel:

De Amerikaanse regering trekt de invoering van quantumveilige cryptografie fors naar voren: overheidsinstanties en hun leveranciers moeten uiterlijk in 2031 bestand zijn tegen aanvallen van toekomstige quantumcomputers. Met een executive order zet de regering vaste deadlines neer om de transitie te versnellen, omdat onderschepte versleutelde data nu al later ontcijferd kan worden via het zogenoemde “harvest now, decrypt later”-scenario.

Elke federale dienst moet binnen 30 dagen een speciale PQC-migratieverantwoordelijke aanwijzen die rechtstreeks rapporteert aan de CIO. Voor cruciale overheidsystemen geldt dat de sleuteluitwisseling vóór 31 december 2030 op post-quantum cryptografie moet zijn overgestapt, terwijl digitale handtekeningen binnen die systemen uiterlijk eind 2031 moeten volgen. NIST krijgt opdracht om binnen 180 dagen een eigen migratiepilot te starten en die vóór eind 2027 af te ronden, voortbouwend op de in 2024 vastgestelde PQC-standaarden FIPS 203, 204 en 205.

Ook leveranciers krijgen een zware rol: de Federal Acquisition Regulatory Council moet binnen een half jaar regels voorstellen om hen te verplichten uiterlijk eind 2030 aan dezelfde NIST-eisen te voldoen. Daarnaast komt er een cryptographic bill of materials om gebruikte cryptografie in hardware en software beter in kaart te brengen, en moeten bedrijven ook cryptografische kwetsbaarheden melden. De VS wil bovendien bondgenoten en grote industrieën aanmoedigen dezelfde standaarden over te nemen. De maatregel sluit aan bij vergelijkbare Europese plannen, terwijl de markt ondertussen verdeeld is over hoe volwassen en stabiel de nieuwe quantumveilige algoritmen al zijn.