白宫在2022年5月4号发布的第10号《国家安全备忘录》更好的中文翻译的PDF版本
LIUJIN
2022年5月4号白宫《国家安全备忘录》NSM10
关于抗量子计算机破解算法的明确要求
《第10号国家安全备忘录》
NSM10
2022年5月4号
网址:
题目:
关于促进美国在量子计算机方面的领导地位,
及如何减少“容易受到量子攻击的密码算法系统”的风险》
批准人:Joseph R. Biden JR拜登
第十号国家安全备忘录
本安全备忘录概述了美国政府与量子计算机有关的政策和倡议。
它将确定在保持美国在量子信息科学(QIS)方面的竞争优势所需要的一些关键步骤,它将提出如何减轻未来的量子计算机对美国的网络,经济,和国家安全所带来的风险。它将指导所有情治机关在美国开始将容易被量子计算机破解的计算机系统,迁移到抗量子算法,需要历经多年过程中所需要采取的具体行动。
本备忘录的一个机密附件涉及敏感的国家安全问题。
第一节 政策
(a)
量子计算机具有推动整个美国经济创新的潜力,从材料科学,制药,金融,以及能源等不同领域。
虽然量子计算机的全部应用范围仍然未知,但很明显,美国持续的技术和科学领先地位,将至少部分取决于美国在量子计算,和量子信息系统方面保持竞争优势的能力。
(b)
然而,除了其潜在的很多好处外,量子计算机也对美国的经济,和国家安全构成了重大风险。
最值得注意的是,具有足够规模和复杂程度的量子计算机,这种量子计算机也被称为密码分析破解专用相关的量子计算机即CRQC,它将能够破解美国和世界各地的信息系统上使用的大部分公钥密码。
当CRQC出现时,它可能危及民用军用通信,破坏关键基础设施的监督和控制系统,并破坏大多数基于互联网的金融交易的安全算法协议。
(C)
为了平衡量子计算机所带来的极具竞争性的机会和风险,美国政府的政策是。
(1)通过持续的投资、伙伴关系,以及对技术推广,和技术保护的持续方法,保持美国在量子信息系统QIS方面的领导地位;
(2)通过及时的,公正合理的方式,将美国的密码算法系统,过渡到可互操作的抗量子计算机破解算法,减轻CRQC这类量子计算机的威胁。
(d)
随着量子计算机技术的成熟,以及相关风险越来越大,未来可能需要更多的指导和指南:
第二节 提高美国的量子领导力
(a)
美国必须推行一个全政府和全社会的战略,以利用QIS的经济和科学利益,以及抗量子密码学算法提供的更好的安全保护。
这一战略将需要对QIS的研究和开发采取协调、积极的方法,扩大教育和人才计划,并注重发展和加强与工业界、学术机构、盟友,和志同道合的国家的伙伴关系。
(b)
美国必须寻求通过对核心的量子信息系统QIS研究项目的投资,来鼓励变革性和基础性的科学发现。
投资的目标应该是发现新的量子应用,量子元件制造的新方法,以及量子赋能技术的进步,如光子学、纳米加工、低温,和半导体系统。
(c)
美国必须努力培养具有量子相关技能的下一代科学家和工程师,包括那些与抗量子计算机破解算法有关的技能。
量子信息系统QIS和相关网络安全原则的教育,应被纳入各级学校的学术课程,以支持多样化的国内劳动力和人才的增长。
此外,至关重要的是,我们要吸引和留住人才,鼓励就业机会,使量子专家在国内就业。
(d)
为了促进量子技术的发展和抗量子计算机破解算法的有效部署,美国必须与工业界,学术界,以及州,地方,部落,和领土(SLTT)政府建立伙伴关系。
这些伙伴关系应推进联合研发计划,并简化工业和政府之间的技术转让机制。
(e)
美国必须促进与海外盟友和伙伴的专业和学术合作。
这种国际参与对于确定和跟踪全球量子信息系统QIS的趋势,以及协调量子安全和保护计划至关重要。
(f)
为了支持以上这些目标,在本备忘录发布之日起90天内,即2022年8月4号前,资助研究、开发或获取量子计算机的机构,应该与科学和技术政策(the Office of Science and Technology Policy)的办公室主任协调,以确保有一个连贯的国家战略,来促进量子信息系统QIS和技术保护,包括人才问题。
为了促进这种协调,所有这些机构,都应该确定一名与国家量子协调办公室(the National Quantum Coordination Office)的联络人,以分享信息和最佳做法,这符合《国家量子倡议法》(公法115-368)第102(b)(3)条和《2022财政年度国防授权法》(公法117-81)第6606条。
在开展所有协调工作时,应适当保护敏感和保密信息,以及情报来源和方法。
第三节 缓冲量子破解威胁的风险
(a)
任何使用现在通行的非对称公钥密码学算法的系统,或者正计划过渡到这种密码学算法的系统,都可能受到CRQC的攻击。
为减轻这种受到CRQC量子计算机破解威胁的风险,美国必须优先考虑采取行动,去及时的,公正合理的将现有通行的非对称密码学算法系统,升级过渡到抗量子计算机破解算法,目标是在2035年前, 尽可能多地减轻量子计算机破解威胁的风险。
目前,美国国家技术标准局NIST和国家安全局NSA的局长,正以国家安全系统管理人(National Manager)的身份,正在为各自管辖的范围制定抗量子计算机破解算法的技术标准。
这些标准的第一套算法,预计将在2024年前公开发布。
(b)
这一迁移升级工作的核心,是强调密码学算法的灵活性,既要减少过渡所需的时间,又要允许对未来的密码学算法标准,进行无缝地更新。
这种迁移升级的努力,是当前美国所有部门的当务之急。
从政府,到关键基础设施提供商,从商业服务机构到云供应商,以及其他所有使用容易受到CRQC量子计算机破解威胁的机构,都是当务之急。
(c)
与这些目标相一致的是:
1,
在本备忘录发布之日起90天内,即2022年8月4号前,商务部长应通过NIST主任发起一个与业界(包括关键基础设施所有者和运营商),以及NIST主任确定的其他利益相关者的公开工作组,以进一步推动抗量子计算机破解算法的采用。
该工作组应确定所需要的工具和数据集,以及其他需要考虑到的因素,为NIST制定指南,和最佳实践提供信息,以协助抗量子计算机破解算法的规划,和优先排序。
该工作组的研究结果应持续提供给管理和预算办公室(OMB)主任、总统国家安全事务助理(APNSA),和国家网络主任,以便纳入规划工作中。
2,
在本备忘录发布之日起90天内,即2022年8月4号前,商务部长应通过NIST主任,在国家网络安全卓越中心(NCCE)建立一个 "向抗量子计算机破解算法迁移的项目组",
该项目组将与私营公司合作,解决向抗量子计算机破解算法过渡所需要带来的一些网络安全挑战。
该项目组应制定相关方案,以发现和补救任何不使用抗量子计算机破解算法的系统,以及仍然依赖一些容易被量子计算机破解威胁的系统如何去发现和补救。
3,
在本备忘录发布之日起180天内,即2022年11月4号前,以及此后每年,国土安全部DHS的部长,应通过网络安全和基础设施安全局CISA局长,并与部门风险管理机构(Sector Risk Management Agencies)协调,与关键基础设施, 和SLTT合作伙伴就量子计算机带来的风险进行接触,并向OMB主任、亚太国家安全局APNSA,和国家网络主任National Cyber Director提供一份年度报告.
该报告中必须包括如何加快以上所有这些相关机关,升级迁移到抗量子计算机破解算法的建议。
4,
在本备忘录发布之日起180天内,即2022年11月4号前,并在持续的基础上,OMB主任应与CISA主任、NIST主任、国家网络主任,和NSA主任协商,为如何清点及分门别类所有目前已经部署的密码学算法系统(不包括国家安全系统(NSS))制定要求。
这些要求应包括一份优先考虑的关键信息技术(IT)资产清单,临时基准,以及一个共同的(最好是自动的)评估过程,以评估IT系统中,如何向抗量子计算机破解算法迁移的进展。
5,
在本备忘录发布之日起1年内,即2023年5月4号前,以及此后每年,所有联邦文职行政部门(FCEB)机构的负责人,均应向CISA主任,和国家网络主任,提交一份仍容易受CRQC量子计算机破解威胁影响的IT系统清单,应该特别关注高价值资产,和高影响系统。
同时,该清单应包括目前在IT系统上使用的加密方法,包括系统管理员协议、需要升级数字签名的非安全软件和固件,以及其他关键资产的信息。
6,
在2023年10月18日之前,以及此后每年,国家网络主任应根据本备忘录第3(c)(v)小节所述的清单,并与CISA主任, 和NIST主任协调,向APNSA和OMB主任提交一份关于FCEB机构将非NSS的IT系统, 迁移到抗量子计算机破解算法的进展情况报告。
该情况报告,应包括对如何确保那些容易被量子计算机破解的IT系统,如何免受潜在敌手的访问,预防量子计算机破解的威胁,所需资金的评估,对其正在进行的协调工作的描述和分析,以及实现拟议中的里程碑的战略和时间表。
7,
在本备忘录第3(a)小节提到的第一套NIST抗量子计算机破解算法标准发布后的90天内,以及此后每年根据需要,商务部长均应通过NIST主任,发布一份关于在标准中废除那些容易受量子计算机破解威胁影响的密码学算法的拟议时间表。
该时间表的目标,是在发布第一套标准的十年内,使最大数量的系统,摆脱容易受到量子计算机破解威胁的密码学算法。
NIST主任应与适当的技术标准机构合作,鼓励商业密码学方法的互操作性。
8,
在本备忘录第3(a)小节中提到的第一套NIST抗量子密码标准发布后的一年内,OMB局长应与CISA局长和NIST局长协调,发布一份政策备忘录,要求FCEB机构制定计划,将其非NSS信息技术系统升级到抗量子计算机破解算法。
这些计划应迅速制定,并被设计为首先去解决最关键的一些风险。
OMB主任应与每个FCEB机构的负责人合作,估计在已经计划的支出之外,升级那些容易被量子计算机破解的脆弱系统的成本,确保每个计划在相关机构之间协调共享,以评估解决方案之间的互操作性,并与国家网络主任协调,确保计划得到相应更新。
9,
在本备忘录第3(a)小节中提到的第一套NIST抗量子计算机破解算法标准发布之前,FCEB机构的负责人,不应采购任何商业抗量子计算机破解算法的解决方案,以及这类用于支持企业和特定任务运作的IT系统。
然而,为了帮助预测潜在的兼容性问题,这些FCEB机构的负责人,应该对已经实施了预先标准化的抗量子计算机破解算法的商业解决方案进行测试。
这些测试将有助于在早期阶段,确定FCEB的IT环境中可能出现的互操作性,或性能问题,并有助于缓解这些问题。
这些FCEB机构的负责人,应继续实施并在必要时升级现有的密码设施,但只有在NIST的第一套抗量子计算机破解算法标准完成,并在商业产品中实施后,才应过渡到抗量子计算机破解算法。
同时应该鼓励符合国际标准,并可能要求符合互操作性的标准。
10,
在本备忘录发布之日起1年内,以及此后每年,国家安全局NSA局长,作为国家管理者,在与国防部长,和国家情报局局长协商后,应就抗量子计算机破解算法的迁移,实施,和对国家安全局的监督提供一些指导。
该指导应符合国家安全备忘录NSM8(改善国家安全、国防部和情报界系统的网络安全)的要求。
国家管理员应酌情与OMB主任,和国家网络主任分享最佳的策略和方式,以及一些经验教训。
11,
在本备忘录发布之日起1年内,并在持续的基础上,按照NSM8第1节的规定,运营NSS的机构负责人,应确定并记录下在NSS里,那些使用了容易被量子计算机破解的脆弱的密码学算法的所有情况,并向国家主管部门提供这一信息。
12,
在国家安全主任发布了本备忘录第3(a)节中提到的抗量子计算机破解算法标准后的180天内,以及此后每年,国家主管部门应发布在NSS中,确定如何废弃那些容易被量子计算机破解的脆弱的密码学算法的正式时间表,直到完成向抗量子计算机破解算法的迁移。
13,
在国家主管部门发布本备忘录第3(a)小节所提及的抗量子密码学标准的1年内,以及此后每年,运营或维护NSS的机构负责人应向国家主管部门,并酌情向国防部首席信息官或情报界首席信息官(视其各自的管辖范围而定)提交一份在所有NSS中,过渡到抗量子计算机破解算法的初步计划。
这些计划应每年更新,并应包括相关里程碑、时间表、授权、障碍、资金需求,以及机构负责人根据NSM8第3节,和国家经理的指导授权的例外情况。
14,
到2023年12月31日为止,维护NSS的情治机关,应实施对称密钥保护方法(例如,高保障互联网协议加密器(HAIPE)不包括密钥,或VPN对称密钥解决方法),以酌情并与国家主管部门协商,为那些容易受量子计算机破解威胁影响的密钥交换算法,提供更多额外保护。
这些对称密钥保护方法的实施,应力求避免干扰互操作性,或其他算法的现代化工作。
15,
在2023年12月31日之前,国防部长应向亚太国家安全局APNSA,和监察员办公室OMB主任,提交一份关于量子计算机对国防工业基地,和国防供应链的风险评估报告,以及一份与关键性的商业机构合作的计划,以帮助这些关键性商业机构升级他们的IT系统,实现抗量子计算机破解。
第四节,保持美国科技领先
(a)
除了促进量子技术方面的领导力,减少CRQC量子破解的风险外,美国政府必须努力保护相关的量子计算机技术的研发和IP知识产权,并保护相关的赋能技术和材料。
保护机制将有所不同,但可能包括反情治措施、目标明确的出口管制,以及对工业界,和学术界进行网络犯罪,和知识产权IP盗窃威胁的教育活动。
(b)
所有负责促进或保护量子信息系统QIS,和相关技术的机构,都应该了解量子计算机的对抗性使用所带来的安全影响,并在实施新政策,新计划,和新项目时,要考虑这些量子计算机带来的安全影响。
(c)
美国应确保保护美国开发的量子计算机技术不被对手盗用。
这将需要开展宣传和教育,对工业界,学术界,和SLTT合作伙伴了解知识产权IP盗窃的威胁,以及强大的合规性,内部威胁检测,和网络安全计划对量子计算机技术的重要性。
联邦执法机构和其他相关机构,应酌情调查和起诉,从事盗窃量子计算机商业秘密,或违反美国出口管制法律的行为人。
为支持保护敏感信息的努力,联邦执法机构应与负责开发和推广量子计算机技术的机构交流相关的知识产权IP的威胁信息。
(d)
根据这些目标,在2022年12月31日前,资助研究、开发或获取量子计算机或相关量子信息系统QIS技术的机构负责人,应制定全面的技术保护计划,以保障量子信息系统QIS研发、获取和用户访问。
这种技术保护计划,应该在各机构间协调,包括与联邦执法部门协调,以保障量子计算机的研发和知识产权、获取和用户访问。
这些计划应每年更新,并提供给APNSA、OMB主任和国家科技委员会量子科学的经济和安全影响小组委员会的联合主席。
第五节:对本备忘录的一些定义
(a)
本文件中的术语 "机构 "指《美国法典》第44章第3502条赋予含义的机关。
(b)
术语 "关键基础设施 "是指对美国非常重要的系统和资产,无论是有形的,还是虚拟的,其丧失能力,或被破坏都将对国家的安全、经济、公共卫生和安全,或其任何组合产生削弱作用。
(c)
术语 "算法灵活性 "是指一种算法的设计特征,它能够在未来更新加密算法和标准,而不需要修改或替换周围的基础设施。
(d)
术语 "密码分析相关量子计算机 "或 "CRQC "是指能够破解破坏当前大多数非对称公钥密码学算法的量子计算机。
(e)
术语 "联邦文职行政部门机构 "或 "FCEB机构 "是指除国防部或情治机关以外的其他任何联邦机构。
(f)
术语 "高价值资产 "是指对一个组织非常关键的信息,或信息系统,该信息的丢失或损坏,或对该系统的访问权丢失或者丧失,都将对该组织履行其使命,或开展业务的能力,产生严重影响。
(g)
术语 "高影响系统 "是指一个信息系统,其中至少有一个安全目标(即保密性、完整性或可用性)被赋予联邦信息处理标准(FIPS)199的潜在影响值为 "高"。
(h)
术语 "信息技术 "或 "IT "具有44 U.S.C. 3502所赋予的含义。
(i)
术语 "国家的安全系统 "或 "NSS "具有44 U.S.C. 3552(b)(6)中赋予它的含义,也应包括44 U.S.C. 3553(e)(2)和44 U.S.C. 3553(e)(3)中所述的其他国防和情治系统。
(j)
术语 "量子计算机 "是指利用量子状态的集体特性,如叠加、干涉,和纠缠,来进行计算的计算机。
量子物理学的基础使量子计算机有能力以比经典(即非量子)计算机快得多的速度解决一部分困难的数学问题。
(K)
术语 "量子信息科学 "或 "QIS "具有15 U.S.C.8801(6)赋予它的含义,指研究和应用量子物理学定律来存储、传输、操纵、计算或测量信息;
(l)
"抗量子计算机破解算法 "指那些被评估为不特别容易受到CRQC或经典计算机攻击的密码学算法,也被称为后量子密码学。
第六节:总则
(a)
本备忘录中的任何内容都不应被解释为损害或以其他方式影响:
1) 法律赋予行政部门或机构或其负责人的权力,包括对情报来源和方法的保护;或
2) 监察员办公室OMB主任与预算、行政或立法提案有关的职能。
(b)
本备忘录的执行应符合适用的法律,并以可获得的拨款为前提。
(c)
本备忘录的执行也应不妨碍情报活动的开展或支持,所有执行措施的设计应符合对敏感信息和情报来源及方法的适当保护。
(d)
本备忘录无意也没有产生任何的,可由任何一方在法律或衡平法上,对美国、美国各部门、各机构或实体、其官员、雇员或代理人或任何其他人,强制执行的实质性,或程序性权利或利益。
-------END—
白宫简情室情况说明书
拜登总统宣布两项促进量子计算科技的总统令
网址:
日期:2002年5月4号
今天,拜登总统将签署两项总统命令,推动美国在量子信息科学(QIS)方面保持领先的措施,表明拜登-哈里斯政府对这项关键新兴技术的承诺。
这两项总统命令共同为美国在这一极富前景的科技领域,继续保持领先地位奠定了基础,同时减轻了量子计算机对美国国家和经济安全构成的风险。
长期以来,美国一直是新技术发展的全球领导者,比如量子信息科学QIS。QIS是一个广泛的科学和工程领域。
量子计算机是QIS的许多有前途的应用之一,它不是传统计算机的替代品。相反,它是一种根本不同的计算机,有能力以传统计算机无法做到的方式来分析信息和计算数据。
虽然QIS本身并不新鲜,但最近量子信息系统QIS的突破表明,通过计算,网络,和传感方面的进步,它有可能推动整个美国经济的创新,从能源到医药。
QIS的突破有望为所有美国人带来全新的产业、高薪工作和经济机会。
拜登总统将签署一项必须执行的总统命令,通过进一步推动总统对促进尖端科学,和技术突破的承诺来促进这些进展。
它通过加强国家量子计划咨询委员会,即联邦政府在量子信息科学和技术方面的主要独立专家咨询机构来实现这一目标。
该法令将以上的国家量子计划咨询委员会,直接置于白宫的领导下,确保总统,国会,联邦部门,和机构,以及公众收到关于量子信息科学和技术的最新、最准确,和最相关的信息,以推动美国的政策制定,和推进美国在量子计算方面的技术优势。
总统还将签署一份国家安全备忘录,概述美国政府应该对量子计算机对美国网络安全造成威胁的风险的应对计划。
研究表明,在不远将来,当量子计算机达到足够规模和复杂程度时,它将有能力破解目前保障我们在互联网上的互联网数字通信的大部分密码学算法。
为了应对这一风险,美国国家技术标准局NIST将发布新的抗量子密码标准,以防止这些未来的攻击。
然而,将美国最脆弱的IT系统过渡到这些新的抗量子计算机破解算法标准的过程将需要时间,资源,和承诺。
美国必须在今天,马上就开始更新我们的IT基础设施的这样一个漫长过程,以防止明天这种量子计算机破解的威胁。
《国家安全备忘录》NSM-X提出了一个可以让我们达到以上目的的计划。它特别着重的是:
1, 使美国在技术发展,特别是量子信息科学方面保持全球领先的地位。 《国家安全备忘录》NSM指导所有联邦机构,发动整个政府,和整个社会,驱动所有美国人,去充分发掘和利用未来的量子计算科学QIS,以及新的更安全的抗量子计算机破解算法,做出更多有经济效益,和科学利益的事情。备忘录提出了一项政策,为了更好地促进和量子计算科学相关的教育计划,和人才发展倡议,备忘录强调了对基础科学研究的协调方法,并鼓励加强与工业界、学术界,以及我们的海外盟友,和相关合作伙伴的伙伴关系。
2, 发起联邦政府和私营企业之间的合作。《国家安全备忘录》指示美国国家技术标准局NIST,在国家网络安全卓越中心NCCoE,建立一个 "向抗量子计算机破解算法升级迁移的项目组",以及一个与业界合作的开放工作组,以产生关于抗量子计算机破解算法标准和技术的研究,并鼓励广泛、公平地采用这些算法。
3, 规定了相关联邦政府的机关更新密码算法的要求。鉴于全面过渡到抗量子计算机破解算法所需要的系统复杂性、成本,和时间,《国家安全备忘录》为各联邦机关提供了一个清点整理分门别类其IT系统的路线图和时间表,要求设定并达到具体的里程碑。这样将有助于确保联邦机关获得其所需支持,以充分和有效地保护他们的网络免受未来量子计算机破解的威胁。
4, 保护美国领先科技。《国家安全备忘录》充分认识到,保护关键的量子科技技术不被盗用,和不被滥用的重要性。为此,《国家安全备忘录》指示联邦机关制定全面计划,以保护美国的知识产权IP、研究和开发以及其他敏感技术不被美国的对手获得,并教育工业界和学术界了解他们所面临的威胁。它鼓励与国际伙伴合作,以确保一个有竞争力和公平的全球市场,促进该领域的创新和持续增长。
---------------END完----------
美国白宫2022年5月4号官方网站发布的第10号《国家安全备忘录》
网址:
题目:
《第10号国家安全备忘录:关于促进美国在量子计算机方面的领导地位,如何减少“容易被量子计算机破解的密码算法”的破解风险的国家安全备忘录》
批准人:Joseph R. Biden JR拜登总统
第十号国家安全备忘录
2022年5月4号,白宫发布的美国第10号《国家安全备忘录》,概括了美国政府与量子计算机相关的一些倡议政策。
本备忘录将确定:
美国如何保持量子信息科学QIS方面的竞争优势,保持这些竞争优势所需要的一些关键步骤,提出了如何减轻未来量子计算机对美国的网络,经济,和国家安全所带来的风险。
指导美国的情治机关怎样从现有算法,开始升级迁移到抗量子计算机破解算法,及升级迁移算法,所需要历经多年的过程中,如何采取必要的具体行动步骤。
本备忘录的一个机密附件涉及一些敏感的国家安全问题。
第一节 政策
(a)
量子计算机具有推动整个美国经济创新的潜力,无论是材料科学,制药,金融,还是能源等不同的科技经济创新领域。
虽然我们还不十分清楚量子计算机全部可以的科技和经济创新领域,但很明显,美国要保持持续的科学技术领先地位,至少是有一部分,就取决于美国在量子计算机,和量子信息系统QIS方面,所需要保持竞争优势的能力!
(b)
量子计算机虽然能够带来很多潜在利益和好外,但是它也对美国的经济,和美国的国家安全构成了潜在的重大威胁和风险。
最值得我们注意的是,具有足够能力,足够复杂,足够规模的大型量子计算机,尤其是一些被称为“密码分析破解专用相关的量子计算机”即CRQC,它是一些能够破解美国和世界各地的互联网信息系统上使用的绝大部分密码算法的破解专用的量子计算机。
当这类破解专用量子计算机CRQC出现时,可能会危及美国的民用通讯,军用通信,破坏一些美国的关键基础设施的中央控制系统,破坏大多数基于互联网的金融交易安全的密码学算法。
(C)
为了管理和控制这些未来的量子计算机,所带来的竞争性的机会和风险,美国政府要采取的政策是:
(1)通过美国政府引导的持续投资,持续的各种伙伴关系,持续地对量子技术的推广和保护的努力,保持美国在量子信息系统QIS方面的全球领导地位;
(2)通过提前及时的,公正合理的方式,将美国现有的密码学算法,升级到具有可互操作性的抗量子计算机破解算法,减轻未来破解专用量子计算机CRQC的威胁。
(d)
随着量子计算机技术的越来越成熟,相关风险也越来越大,未来可能还需要更多的国家层面相关机构的指导和指南出台:
第二节 提高美国的量子领导力
(a)
在提高美国的量子计算机全球领导力方面,美国必须推行并制定一个“全政府参与,全社会参与”的战略,从而可以更好地利用未来量子信息科学QIS所带来的科学效应和经济利益。
这种“全政府参与,全社会参与”的战略,也必将促使美国现有的算法,能更顺利地,更快地升级过渡到抗量子计算机破解算法,从而提供更好的算法安全保护。
这种“全政府参与,全社会参与”的战略,将需要对量子信息科学QIS的研究开发采取积极的互相协调配合的方式,扩大量子信息科学QIS的教育,和相关的人才培养计划,并着重加强发展和工业界,学术界,盟友和国家的合作伙伴关系。
(b)
在提高美国的量子计算机全球领导力方面,美国必须致力于对量子信息系统QIS最核心方面的研究和投资,来全面地鼓励这方面的革命性和基础性的科学发现。
这种对量子信息系统最核心方面进行投资的目的,应该是发现量子计算机的一些新应用,量子计算机元器件制造的新方法,以及量子计算机赋能其他技术所带来的进步,比如在光学,纳米,低温,和半导体系统等方面。
(c)
在提高美国的量子计算机全球领导力方面,美国必须努力培养具有量子计算机研究开发等相关技能方面的下一代科学家,和下一代工程师,
这里面也必须包括那些与抗量子计算机破解算法有关的下一代科学家和下一代工程师。
关于量子信息科学QIS,和相关网络安全方面的教育工作,应该要纳入各级学校的教育课程,从而为未来在量子信息科学方面相关的多样化劳动力和人才增长做准备。
此外还有一些至关重要的是,美国要特别注意吸引和留住量子信息科学QIS方面的人才,鼓励创造更多的就业机会,使量子信息科学QIS方面的专家,能够在美国国内就业。
(d)
为了促进量子信息科学技术的发展,和抗量子计算机破解算法的有效部署,美国必须与工业界,学术界,以及联邦各州,各地方,各部落,各区域即简称SLTT各级政府一起建立合作伙伴关系。
这种于联邦各州,各地方,各部落,各区域SLTT的合作伙伴关系,应该一起推进量子信息科学QIS的联合研发计划,并简化工业界,和政府间的各种技术转让机制,以更好地促进发展,和更有效的算法部署。
(e)
为了提高美国的全球量子领导力,美国必须致力于促进与海外各种盟友和伙伴国家在专业上,在学术上的各种合作。
这种国际性的合作参与,对于迅速跟踪和确定全球的量子信息科学QIS的趋势,协调量子安全保护的计划都是至关重要的。
(f)
为了支持并达到以上这些目标,自本备忘录发布之日起90天内,即2022年8月4号前,在美国国内,资助量子计算机技术相关研究开发的情咨机构,应该与总统行政办公室EOP的下属部门即美国国家科学技术政策办公室OSTP的办公室主任一起沟通商讨,以确保美国有一个连贯一致性的国家战略,来促进美国在量子信息系统QIS方面的技术保护和人才保障。
为了促进以上这些情咨机构,和美国国家科学技术政策办公室OSTP主任的沟通协调,所有这些情咨机构,都应该确定一名与国家量子协调办公室NQCO的联络人,以分享量子信息科学的信息和最好的应对处理方式方法,这种做法是符合《国家量子倡议法》(公法115-368)第102(b)(3)条和《2022财政年度国防授权法》(公法117-81)第6606条的法规规定的。
在开展以上所有协调工作时,应保护敏感保密信息,保护情报来源,保护获取情报的方法。
第三节 控制量子计算机破解的风险
(a)
首先,任何现在正在使用中的几乎所有非对称公钥密码学算法的系统,或者正计划过渡到这种算法的系统,都可能在未来受到破解专用量子计算机CRQC的攻击。
为控制这种受到破解专用量子计算机CRQC破解的风险,美国必须优先考虑如何采取行动,去提前的,及时的,公正的,合理的把现有通行的非对称密码学算法系统,升级过渡到抗量子计算机破解算法。
我们的目标是在2035年前尽可能多地降低风险。
目前,美国国家技术标准局NIST局长,和国家安全局NSA的局长,正以国家安全系统国家经理National Manager的身份,在各自管辖范围内,制定抗量子计算机破解的标准算法。
NIST和NSA一起制定的第一套标准算法,预计在2024年前公开发布。
(b)
将现有算法向抗量子计算机破解算法升级迁移的工作核心,是强调密码学算法的灵活性,既要尽量减少升级所需要的时间,又要对升级到这些密码学标准算法时可以无缝地更新。
这种升级更换算法的工作,是当前美国所有部门的当务之急。
从美国的各级政府,到关键的基础设施提供商,从美国的商业服务机构,到一些云服务的供应商,以及其他所有使用容易受到破解专用量子计算机CRQC威胁的机构,升级更换到抗量子计算机破解算法,都是当务之急。
(c)
为更好地升级更换到抗量子计算机破解算法,为达到以上这些目标,有一些如下一致性的要求:
1,
本备忘录发布之日起90天内,即2022年8月4号前,美国商务部部长应该通过美国国家技术标准局NIST的负责人,发起一个包括那些关键基础设施所有者和运营商的相关业界,和NIST负责人一起确定的,包括其他相关风险关联者的公开工作组,以进一步推动抗量子计算机破解算法的升级更换。
该工作组应该确定,需要升级更换到抗量子计算机破解算法,其所需要的软件工具,或者相关数据包,以及还有其他需要综合考虑到的一些因素。
该工作组应该为美国国家技术标准局NIST制定一些工作指南,一些最佳实践方法等等,以帮助确认如果升级更换到抗量子计算机破解算法时,如何更好地优先规划,以及更好地优先排序。
该工作组的研究报告和结果,应该持续不断地提供给总统行政办公室EOP下属的美国行政管理预算局OMB局长,总统国家安全事务助理APNSA,和国家网络主任,以便可以持续地纳入后续规划工作。
2,
本备忘录发布之日起90天内即2022年8月4号前,美国商务部部长应该通过美国国家技术标准局NIST的负责人,在NIST下属的国家网络安全卓越中心NCCoE,建立一个名字是“促进全美向抗量子计算机破解算法升级的项目组”或简称MP2PQC。
该项目组将与私营机构合作,一起解决向抗量子计算机破解算法升级所带来的一些网络安全问题。
该项目组应该制定一些相关方案,这些方案主要是如何解决,怎样去发现,怎样去补救一些没有采用抗量子计算机破解算法,容易被量子计算机破解的系统。
3,
本备忘录发布之日起180天内,即2022年11月4号前,以及之后的每一年,美国国土安全部DHS的部长,应该通过国土安全部DHS下属的网络安全和基础设施安全局CISA局长,并与该局下属的各种部门的所有风险管理机构负责人,以及美国各地的各种关键基础设施提供商, 和美国联邦各州,各地方,各部落,各区域SLTT的合作伙伴,一起就量子计算机所带来的风险管理问题,一起共同协商,协调,讨论并形成一份年度报告。
并向总统行政办公室EOP下属的美国行政管理预算局OMB局长,总统国家安全事务助理APNSA,和国家网络主任提交该份年度报告。
该年度报告中必须包括如何加快以上所有这些相关机构怎样升级到抗量子计算机破解算法的建议。
4,
本备忘录发布之日起180天内,即2022年11月4号前,并在可持续的基础上,总统行政办公室EOP下属的美国行政管理预算局OMB局长,应该与国土安全部DHS下属的网络安全和基础设施安全局CISA局长,美国国家技术标准局NIST主任,国家网络主任,和美国国家安全局NSA局长一起协商,为不包括美国国家安全系统NSS在内的其他相关部门,如何清点,及分门别类所有目前已经部署的密码学算法系统,制定向抗量子计算机破解算法升级的要求。
这些要求,应该包括一份需要优先考虑到的关键信息技术系统的资产清单,需要临时符合的标准或基准,以及一个最好是可以自动评估的,所有机构都可以共同遵守执行的评估过程,用来自动地评估这些关键信息技术系统如何向抗量子计算机破解算法升级的进展情况。
5,
本备忘录发布之日起1年内,即2023年5月4号前,以及之后的每一年,所有联邦文职行政部门FCEB机构的负责人,都应该向国土安全部DHS下属的网络安全和基础设施安全局CISA局长,和国家网络主任,提交一份在这些联邦文职行政部门FCEB里,仍然容易受到破解专用型量子计算机CRQC威胁的IT系统清单,在这些联邦文职行政部门里,应该特别关注那些容易受到量子计算机破解的,高价值的,有很大潜在影响的资产和系统。
同时,这一份清单,应该包括目前在IT系统上正在使用的密码学算法,系统管理员协议,需要升级数字签名的不安全的软硬件,及其他关键资产的所有信息。
6,
在2023年10月18日之前,以及之后的每一年,为总统提供网络安全建议的国家网络主任,应该根据本备忘录第3(c)(v)小节所述的清单,并与国土安全部DHS下属的网络安全和基础设施安全局CISA局长,和美国国家技术标准局NIST局长,向总统国家安全事务助理APNSA,和总统行政办公室EOP下属的美国行政管理预算局OMB局长,提交一份关于联邦文职行政部门FCEB机构,在将那些不符合美国国家安全系统NSS的IT系统, 升级到抗量子计算机破解算法的进展情况报告。
这份进展情况报告应该包括:如何确保那些容易被量子计算机破解的IT系统,如何免受潜在敌手的渗透访问,如何预防量子计算机破解,如何防止这些威胁的发生,评估采取这些预防措施所需要的资金,对正在进行中的这些预防工作的描述分析,以及实现升级到抗量子计算机破解算法的预备采取行动的里程碑,战略节点,和时间表。
7,
本备忘录第3(a)小节提到的,2024年美国国家技术标准局NISTPQC的第一套抗量子计算机破解标准算法发布后90天内,以及之后的每一年,根据需要,美国商务部部长都应该通过商务部下属的美国国家技术标准局NIST局长,发布一份时间表,该时间表是关于已经经过批准准备淘汰的一些密码学算法。
这份准备淘汰一些密码学算法的时间表的目的,是在2024年美国国家技术标准局NIST发布的第一套标准算法之后的十年内即2034年前,使全美国尽可能多的各种信息系统,都不再使用那些量子计算机容易破解的密码学算法。
美国国家技术标准局NIST局长应该和一些适当的技术标准机构合作,鼓励在商业上的密码学算法具有一定的互操作性。
8,
本备忘录第3(a)小节中提到的2024年美国国家技术标准局NISTPQC的第一套抗量子计算机破解标准算法发布后的一年内,总统行政办公室EOP下属的美国行政管理预算局OMB局长,应与国土安全部DHS下属的网络安全和基础设施安全局CISA局长,和美国国家技术标准局NIST局长一起协调,发布一份政策备忘录,要求美国所有的联邦文职行政机构FCEB,一起制定一份计划,将在美国所有的联邦文职行政机构FCEB内部,凡是不属于美国国家安全系统NSS的信息技术系统,如何升级到抗量子计算机破解的算法。
这份联邦文职行政机构FCEB升级到抗量子计算机破解算法的计划,应该迅速制定,并应该首先解决其中最关键的一些风险。
总统行政办公室EOP下属的美国行政管理预算局OMB局长,应该和每一个联邦文职行政机构FCEB的负责人合作,估算在已经计划好的资金支出之外,升级那些容易被量子计算机破解的系统的成本,确保每一份计划,都可以在相关机构之间一起协调共享,以评估解决方案之间的互操作性,并与为总统提供网络安全建议的国家网络主任一起协调,确保这份计划得到相应的更新。
9,
本备忘录第3(a)小节中提到的2024年美国国家技术标准局NISTPQC的第一套抗量子计算机破解标准算法发布之前,所有联邦文职行政机构FCEB的负责人,不应该去采购任何商业应用的抗量子计算机破解算法的解决方案,以及这类用于支持企业,或者特定任务运作的IT系统。
但是,为了帮助预测升级抗量子计算机破解算法的潜在兼容性问题,这些联邦文职行政机构FCEB的负责人,应该对一些已经实施了标准化的抗量子计算机破解算法的商业解决方案,提前进行一些预先测试。
这些提前预先的测试,将有助于在升级抗量子计算机破解算法的早期阶段,提前确定在联邦文职行政机构FCEB的IT环境中,可能会出现的算法互操作性问题,性能问题,场景适用问题等,并显然有助于解决这些问题。
这些联邦文职行政机构FCEB的负责人,应该继续去实施,并在必要时升级现有的密码相关的软硬件设施。但是,只有在2024年美国国家技术标准局NISTPQC的第一套抗量子计算机破解标准算法制定发布完成后,并在一些商业产品中实施标准化产品制造后,这些联邦文职行政机构FCEB,才应该开始升级到抗量子计算机破解算法。
同时应该鼓励制定一些既符合国际标准,也符合一些互操作性要求的标准。
10,
本备忘录发布之日起1年内,以及之后的每一年,作为负责美国国家安全的国家经理,美国国家安全局NSA局长应该与美国的国防部长,和国家情报局局长一起协商讨论后,在涉及美国国家安全系统的抗量子计算机破解算法的升级,迁移,实施,以及产生的一些疏忽,和过失方面,提供一些工作指南。
该工作指南应该符合白宫之前发布的第八号《国家安全备忘录》NSM8的要求。
作为负责美国国家安全的国家经理,美国国家安全局NSA局长,应该酌情和总统行政办公室EOP下属的美国行政管理预算局OMB局长,以及为总统提供网络安全建议的国家网络主任一起分享最好的应对升级抗量子计算机破解算法的策略,方式,和一些经验教训。
11,
本备忘录发布之日起1年内,并在可持续的基础上,按照白宫在2022年1月19号发布的第八号《国家安全备忘录》NSM8第1节的规定,那些运营国家安全系统NSS的相关情咨机构负责人,应该确定并记录下在国家安全系统NSS里,那些使用了容易被量子计算机破解的算法的所有情况,并向作为负责美国国家安全的国家经理即美国国家安全局NSA局长汇报这些情况。
12,
作为负责美国国家安全的国家经理即美国国家安全局NSA局长,在发布了本备忘录第3(a)节中提到的2024年NISTPQC抗量子计算机破解标准算法之后的180天内,以及之后的每一年,作为负责美国国家安全的国家经理即美国国家安全局NSA局长应该在美国国家安全系统NSS中,确定如何淘汰那些容易被量子计算机破解的密码学算法的正式时间表,直到全部完成向抗量子计算机破解算法的升级为止。
13,
作为负责美国国家安全的国家经理即美国国家安全局NSA局长,在发布了本备忘录第3(a)节中提到的2024年NISTPQC抗量子计算机破解标准算法之后的1年内,以及之后的每一年,运营维护美国国家安全系统NSS的所有情咨机构的负责人,应该向美国国家安全局NSA局长,并视其各自的管辖范围而定,酌情向美国国防部的首席信息官,或和情咨机关的首席信息官们,提交一份在所有的国家安全系统NSS中,升级到抗量子计算机破解算法的初步计划。
这些情咨机构的负责人应该根据白宫在2022年1月19号发布的第八号《国家安全备忘录》NSM8的第3节的规定,在作为负责美国国家安全的国家经理即美国国家安全局NSA局长的指导和授权下,其所制定的这些升级计划,应该每一年都更新,应该包括相关的里程碑,时间表,授权,障碍,资金需求,以及一些特殊的例外情况等等。
14,
到2023年12月31日为止,这些维护美国国家安全系统NSS的情咨机关,在一些比如是不包括密钥或者VPN的高保障互联网协议加密器HAIPE的地方等,应该采用实施对称密钥学算法的方法来抗量子计算机破解,并酌情与作为负责美国国家安全的国家经理即美国国家安全局NSA局长一起共同协商,为那些容易受量子计算机破解的算法,怎样去做才能提供更多的额外保护。
这些对称密钥保护方法的实施,应力求避免干扰互操作性,干扰其他算法。
15,
在2023年12月31日之前,美国国防部长应该向总统国家安全助理APNSA,总统行政办公室EOP下属的美国行政管理预算局OMB局长提交一份关于量子计算机对国防工业基地,和国防供应链的风险评估报告,以及一份如何和一些关键性商业机构合作的计划书,以帮助这些关键性商业机构去升级到抗量子计算机破解算法。
第四节,保持美国科技领先
(a)
除了促进美国在全球量子信息科学QIS方面的领导力,减少破解专用型量子计算机CRQC的风险外,美国政府必须努力保护相关的量子计算机技术的研发,和知识产权IP,并保护相关的量子计算机能赋能的一些技术和材料学科。
各种保护机制将显然有所不同,但可能包括反情治措施、明确目标的出口管制,以及对工业界,和学术界进行网络犯罪,和知识产权IP剽窃,盗窃的威胁相关的教育活动。
(b)
所有负责促进保护量子信息系统QIS和相关技术的机构,都应该了解未来量子计算机的对抗使用所带来的一些重大安全影响,并且在实施一些新政策,新计划,新项目时,要充分考虑量子计算机带来的这些重大安全影响。
(c)
应确保美国开发的量子计算机技术不被任何对手所盗用。
这将需要开展宣传教育,对工业界,学术界,和联邦各州,各地方,各部落,各机构SLTT的合作伙伴进行教育宣传,使得他们充分了解量子计算机技术的重要性,知识产权IP剽窃盗窃的威胁,以及应该有很强的监管合规性,内部威胁检测,和网络安全计划。
联邦执法机构以及其他相关机构应该酌情去调查起诉,从事盗窃量子计算机商业秘密,或违反美国出口管制法律的任何行为人。为支持保护这些敏感信息的工作,联邦执法机构应该与负责开发和推广量子计算机技术的机构,一起合作交流相关知识产权IP的威胁信息。
(d)
根据这些目标,在2022年12月31日前,那些资助研究开发,或研制量子计算机,或相关量子信息系统QIS技术的相关机构负责人,应该制定全面的技术保护计划,以保障量子信息系统QIS的研发,研制,和用户访问。
这种技术保护计划,应该在各机构间一起协调,包括与联邦执法部门协调,以保障量子计算机的研发和知识产权,研制,和用户访问。
这种技术保护计划,应该每一年都更新,并提供给总统国家安全事务助理APNSA,总统行政办公室EOP下属的美国行政管理预算局OMB局长,和国家科技委员会的量子科学经济安全影响小组委员会的所有联席主席们。
第五节:对本备忘录的一些定义
(a)
本文件中的术语 "机构 "指《美国法典》第44章第3502条赋予含义的机关。
(b)
术语 "关键基础设施 "是指对美国非常重要的系统和资产,无论是有形的,还是虚拟的,其丧失能力,或被破坏都将对国家的安全、经济、公共卫生和安全,或其任何组合产生削弱作用。
(c)
术语 "算法灵活性 "是指一种算法的设计特征,它能够在未来更新加密算法和标准,而不需要修改或替换周围的基础设施。
(d)
术语 "破解专用型量子计算机 "或 "CRQC "是指能够破解破坏当前大多数非对称公钥密码学算法的量子计算机。
(e)
术语 "联邦文职行政部门机构 "或 "FCEB机构 "是指除国防部或情治机关以外的其他任何联邦机构。
(f)
术语 "高价值资产 "是指对一个组织非常关键的信息,或信息系统,该信息的丢失或损坏,或对该系统的访问权丢失或者丧失,都将对该组织履行其使命,或开展业务的能力,产生严重影响。
(g)
术语 "高影响系统 "是指一个信息系统,其中至少有一个安全目标(即保密性、完整性或可用性)被赋予联邦信息处理标准(FIPS)199的潜在影响值为 "高"。
(h)
术语 "信息技术 "或 "IT "具有44 U.S.C. 3502所赋予的含义。
(i)
术语 "国家安全系统 "或 "NSS "具有44 U.S.C. 3552(b)(6)中赋予它的含义,也应包括44 U.S.C. 3553(e)(2)和44 U.S.C. 3553(e)(3)中所述的其他国防和情治系统。
(j)
术语 "量子计算机 "是指利用量子状态的集体特性,如叠加、干涉,和纠缠,来进行计算的计算机。
量子物理学的基础使量子计算机有能力以比经典(即非量子)计算机快得多的速度解决一部分困难的数学问题。
(K)
术语 "量子信息科学 "或 "QIS "具有15 U.S.C.8801(6)赋予它的含义,指研究和应用量子物理学定律来存储、传输、操纵、计算或测量信息;
(l)
"抗量子计算机破解算法 "指那些被评估为不特别容易受到CRQC或经典计算机攻击的密码学算法,也被称为后量子密码学。
第六节:总则
(a)
本备忘录中的任何内容都不应被解释为损害或以其他方式影响:
1) 法律赋予行政部门或机构或其负责人的权力,包括对情报来源和方法的保护;或
2) 监察员办公室OMB主任与预算、行政或立法提案有关的职能。
(b)
本备忘录的执行应符合适用的法律,并以可获得的拨款为前提。
(c)
本备忘录的执行也应不妨碍情报活动的开展或支持,所有执行措施的设计应符合对敏感信息和情报来源及方法的适当保护。
(d)
本备忘录无意也没有产生任何的,可由任何一方在法律或衡平法上,对美国、美国各部门、各机构或实体、其官员、雇员或代理人或任何其他人,强制执行的实质性,或程序性权利或利益。
-------END--