12月21日,美国总统拜登正式签署《量子计算网络安全防范法》(Quantum Computing Cybersecurity Preparedness Act),旨在应对信息技术系统向后量子密码(PQC)迁移的风险。该法最初由加州民主党众议员Ro Khanna4月18日发起,7月12日在众议院通过,12月8日在参议院通过,12月16日提交给总统。

该法强调“PQC迁移和评估”,规定在国家标准与技术研究院(NIST)院长发布PQC标准后1年内,管理和预算办公室(OMB)主任应当发布指导意见,要求各机构优先考虑OMB提出的重点信息技术,并根据此优先顺序制定本机构信息技术向PQC迁移的计划。

该法要求OMB主任提交两份PQC报告:一是PQC专题报告,涵盖解决量子计算机带来的加密风险的策略、机构保护信息技术安全性所需的资金预估以及NIST领导的PQC标准制定时间表、联邦信息处理标准等部门协作工作;二是信息技术向PQC迁移专题报告,主要关于各机构采用PQC标准的进展情况。

值得注意的是,与7月份众议院通过版本相比,正式签署版更新PQC概念,将其定义为“经评估不易受到量子计算机或经典计算机攻击的密码算法或方法”,更聚焦密码安全性评估,删除之前关于PQC与现有通信协议和网络互操作性的要求。同时,新增“密码系统清单”要求,规定在本法颁布之日起180日内,OMB主任应当与白宫国家网络主管协作、与网络安全和基础设施安全局(CISA)局长协商,发布信息技术向PQC迁移的指南,要求各机构建立、维护一份当前机构使用的易受量子计算机攻击而会导致解密的信息技术清单,并按照标准进行优先排序。

全文翻译如下:

第1条 标题

本法名为《量子计算网络安全防范法》。

第2条 调查结果、国会意见

(a)调查结果。国会发现以下情况:

(1)密码学对于美国的国家安全和经济运作至关重要;

(2)今天最普遍的加密协议是依靠经典计算机的计算极限来提供网络安全;

(3)量子计算机有朝一日可能有能力突破计算的界限,使我们能够解决迄今为止难以解决的问题,例如对加密非常重要的整数分解;

(4)量子计算的快速发展表明,美国的对手有可能在今天使用经典计算机窃取敏感的加密数据,并等到足够强大的量子系统可用后再将数据解密。

(b)国会意见。国会的意见是:

(1)应当为联邦政府信息技术向后量子密码迁移制定战略;

(2)政府和行业围绕后量子密码应优先考虑开发易于更新、支持加密灵活性的应用、硬件知识产权和软件。

第3条 定义

在本法中:

(1)机构

(A)是指任何行政部门、军事部门、国营公司、政府控股公司,政府行政部门(包括总统办公厅)的其他机构,或任何独立的监管机构;

(B)不包括:(i)政府问责局;(ii)哥伦比亚特区政府、美国领土和属地政府及其各分支。

(2)经典计算机,指接受数字数据并根据程序或指令序列对数据进行处理的设备,并将信息编码为二进制比特,可以是0或1。

(3)CISA局长,指网络安全和基础设施安全局的局长。

(4)NIST院长,指美国国家标准与技术研究院的院长。

(5)OMB主任,指管理和预算办公室的主任。

(6)信息技术,具有《美国法典》第40卷第11101条中赋予该术语的含义。

(7)国家安全系统,具有美国法典第44卷第3552条中赋予该术语的含义。

(8)后量子密码,指经评估不易受到量子计算机或经典计算机攻击的密码算法或方法。

(9)量子计算机,指利用量子态的特性(如叠加、干涉和纠缠)进行计算的计算机。

第4条 密码系统清单;向后量子密码迁移

(a)清单

(1)建立清单。在本法颁布之日起180日内,OMB主任应当与白宫国家网络主管协作、与CISA局长协商,发布信息技术向后量子密码迁移的指南,至少包括以下几点:

(A)关于各机构建立、维护一份当前机构使用的易受量子计算机攻击而会导致解密的信息技术清单,并按照(B)项所述的标准进行优先排序的要求;

(B)允许机构对清单进行优先排序的标准;

(C)根据(b)条要报告的信息的概述。

(2)指南包含的其他内容。在第(1)款规定的指南中,除该款所述要求外,OMB主任应当提供:

(A)关于要优先考虑迁移到后量子密码的信息技术的概述;

(B)用于评估信息技术向后量子密码迁移进展的程序,程序应最大程度实现自动化。

(3)定期更新。OMB主任应与白宫国家网络主管协作、与CISA局长协商,在OMB主任认为必要时对第(1)款规定的指南进行更新。

(b)各机构报告

在本法颁布之日起1年内,各机构负责人应持续向OMB主任、CISA局长和白宫国家网络主管提供:

(1)第(a)条(1)款所述的清单;

(2)根据第(a)条(1)款(C)项要求报告的其他信息。

(c)迁移和评估

在NIST院长发布后量子密码标准后1年内,OMB主任应当发布指导意见,要求各机构:

(1)为后量子密码迁移,优先考虑第(a)条(2)款(A)项规定的信息技术;

(2)根据第(1)款的优先顺序,制定一项计划,将机构的信息技术迁移到后量子密码。

(d)互操作性

OMB主任应当确保对第(c)条(1)款中的优先顺序进行评估、协调,确保互操作性。

(e)OMB报告

(1)后量子密码专题报告。在本法案颁布之日起15个月内,OMB主任应当与白宫国家网络主管协作、与CISA局长协商,向参议院国土安全和政府事务委员会以及众议院监督和改革委员会提交一份报告,内容包括:

(A)用于解决由于量子计算机具有破坏加密的潜在能力而导致机构信息技术漏洞、加密力度减弱的安全风险的策略;

(B)机构为保护第(a)条(1)款(A)项所述信息技术免受美国对手使用量子计算机破坏信息技术加密所带来的安全风险而需要的资金数额预估;

(C)关于NIST领导的联邦民事行政部门的协作工作的描述。包括制定后量子密码标准的时间表、根据《美国法典》第44卷第35章制定的联邦信息处理标准以及通过国际标准化组织等自愿性、协商性的标准机构制定的标准。

(2)信息技术向后量子密码迁移专题报告。在OMB主任根据第(c)条(2)款规定发布指导意见后1年内,以及在发布后量子密码标准后5年内,OMB主任应当与白宫国家网络主管协作、与CISA局长协商,向参议院国土安全和政府事务委员会和众议院监督与改革委员会提交一份关于各机构采用后量子密码标准进展情况的报告,以及根据《美国法典》第44编第3553(c)条提交的报告。

第5条 国家安全系统的豁免

本法不适用于任何国家安全系统。

第6条 明确预算影响

为遵守《2010年法定现收现付法》,本法预算影响应参考众议院预算委员会主席提交的一份题为“现收现付立法的预算影响”的最新声明来确定,前提是该声明已在表决通过前提交。(何治乐 王彩玉

(《量子计算网络安全防范法》原文链接:https://www.congress.gov/bill/117th-congress/house-bill/7535/text)

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。