Постквантовый указ подписан: дедлайн 2030 года и план действий для бизнеса и государства

22 июня 2026 года президент Трамп подписал Указ 14409 «О защите страны от передовых криптографических атак». Указ устанавливает крайний срок 31 декабря 2030 года для перехода федеральных агентств наиболее чувствительных систем на постквантовое шифрование и 31 декабря 2031 года для постквантовой аутентификации. Указ также предписывает федеральным подрядчикам соблюдать постквантовые Федеральные стандарты обработки информации (FIPS) к концу 2030 года.

Мы приветствуем этот указ. Правительство США имеет долгую историю использования федерального лидерства и закупок для стимулирования внедрения новых технологий в более широкой отрасли. Мы видели, как это работало с IPv6, с безопасностью маршрутизации и инфраструктурой открытых ключей ресурсов (RPKI), а также с DNSSEC, и мы рады видеть, что эта традиция продолжается в области постквантовой криптографии.

Указ особенно важен в данный момент, поскольку сроки наступления Q-Day — дня, когда квантовые компьютеры смогут взломать криптографию с открытым ключом, используемую в Интернете, — были ускорены. В апреле 2026 года Cloudflare перенесла собственный целевой срок полной постквантовой безопасности на 2029 год после прорывных исследований Google и Oratomic. Этот указ обновляет рекомендации 2024 года, когда Национальный институт стандартов и технологий (NIST) заявил, что классическая криптография с открытым ключом, используемая в Интернете (а именно RSA и криптография на эллиптических кривых, которые могут быть взломаны при появлении мощных квантовых компьютеров), должна быть устаревшей к 2030 году и запрещена к 2035 году.

Переход Интернета на постквантовое шифрование уже идет полным ходом, в то время как переход на постквантовую аутентификацию только начинается. Сегодня более двух третей браузерного трафика к сети Cloudflare защищены постквантовым шифрованием, а большинство наших продуктов поддерживают постквантовое согласование ключей. Наша платформа SASE, Cloudflare One, обеспечивает постквантовое шифрование через все основные входные и выходные каналы, включая TLS, MASQUE и IPsec. Мы недавно начали развертывание постквантовой аутентификации и стремимся обеспечить полную постквантовую безопасность к 2029 году. Указ является отличной основой и опирается на работу двух предыдущих администраций. Мы занимаемся тем, что указ требует от федеральных агентств, с 2019 года, у нас есть некоторые соображения о том, что в указе правильно, мы видим возможности для Административно-бюджетного управления (OMB) усилить и облегчить экономически эффективный миграцию агентств, а также предлагаем дорожную карту для организаций и агентств по наиболее эффективному продвижению их перехода.

Основная масса обязательных требований указа направлена на две категории федеральных систем: Высокоценные активы (HVA) и системы высокого воздействия. HVA — это федеральная информация или системы, обозначенные OMB как жемчужины правительства: системы, компрометация которых существенно повлияет на национальную безопасность, внешние отношения или общественное доверие. К ним относятся базы данных, содержащие миллионы записей федеральных служащих, системы, обрабатывающие секретные разведданные, или платформы, управляющие федеральными финансовыми транзакциями. Между тем, системы высокого воздействия — это системы, в которых конфиденциальность, целостность или доступность оцениваются как «высокие» в соответствии с FIPS 199, то есть нарушение может причинить серьезный вред, включая потерю жизни, крупный финансовый ущерб или значительное ухудшение способности агентства выполнять свою миссию.

Указ имеет силу обязывать федеральные агентства, но не другие организации (например, критическую инфраструктуру, государственные, местные, племенные и территориальные правительства, академические круги, гражданское общество). Вот почему указ устанавливает эти сроки только для федеральных агентств:

Системы национальной безопасности явно исключены из этих сроков. Они находятся на отдельном, засекреченном треке, управляемом АНБ, с сроками между 2030 и 2033 годами, уже установленными в 2022 году.

Указ разделяет миграцию на PQC на две фазы: постквантовое установление ключей (шифрование) к 2030 году и постквантовые цифровые подписи и сертификаты (аутентификация) к 2031 году. Это точно отражает доступность постквантового шифрования в Интернете сегодня. Наш собственный срок полной постквантовой готовности (включая аутентификацию) — 2029 год, но мы одни из самых ранних последователей в отрасли.

Мы также рады видеть, что указ фокусируется на стандартизированных NIST постквантовых криптографических алгоритмах, а не на квантовом распределении ключей (QKD), поскольку QKD не работает в масштабе Интернета из-за необходимости в специализированном оборудовании и выделенных физических линиях связи между отправителем и получателем.

Теперь давайте подробнее рассмотрим две миграции, предусмотренные и требуемые указом: постквантовое шифрование и постквантовая аутентификация.

Постквантовое шифрование необходимо сегодня для предотвращения атак типа «собери сейчас, расшифруй потом», когда злоумышленник собирает зашифрованный трафик сегодня и расшифровывает его позже, когда квантовые компьютеры станут достаточно мощными. Постквантовое шифрование особенно ценно для организаций, работающих с данными, которые сохранят ценность для злоумышленников через 3–10 лет, таких как государственные учреждения, банки, медицинские организации, оборонные подрядчики и телекоммуникационные провайдеры.

Постквантовая аутентификация предотвращает возможность злоумышленника, имеющего квантовый компьютер, подделывать сертификаты для выдачи себя за серверы, создавать вредоносные подписи кода или получать несанкционированный доступ к системам. Постквантовая аутентификация потребуется только после материализации риска Q-Day, поскольку она предотвращает атаки, возможные только при существовании криптографически релевантного квантового компьютера (CRQC).

Важно рассматривать сроки миграции в контексте прогресса в области квантовых вычислений. В дополнение к вчерашнему указу о постквантовой безопасности, президент Трамп также подписал указ об ускорении развертывания и коммерциализации квантовых вычислений, сенсорики и сетей. Тот факт, что указ устанавливает крайний срок 2031 года для постквантовой аутентификации, говорит нам о важном: правительство США считает, что существует не нулевая вероятность того, что CRQC может заработать примерно в это время.

Каково состояние этих двух технологий? Миграция на постквантовую аутентификацию является более серьезной задачей, чем постквантовое шифрование, по нескольким причинам, включая:

• Постквантовые цифровые подписи ML-DSA больше, чем классические цифровые подписи, что может повлиять на производительность некоторых систем, например, в кратковременных TLS-соединениях. Вот почему мы работаем с Google Chrome над сертификатами Merkle Tree для решения проблемы производительности для TLS.

• Цепочка зависимостей для постквантовой аутентификации длиннее, требуя скоординированных обновлений на клиентах, серверах, центрах сертификации, журналах прозрачности сертификатов, корневых хранилищах и браузерах.

• На данный момент в экосистеме развернуто лишь ограниченное количество постквантовой аутентификации по сравнению с гораздо более широким развертыванием постквантового шифрования.

Интересно, что исполнительный указ устанавливает разрыв в один год между сроками шифрования и аутентификации. Один дополнительный календарный год — это сжатый срок, поэтому эту работу нельзя выполнять последовательно. Экосистеме необходимо начать работать над обеими целями одновременно, иначе мы не уложимся в этот дедлайн 2031 года.

Развертывание криптографии в Интернете невозможно без стандартов, разработанных Инженерным советом Интернета (IETF). Они работают над переводом своих протоколов на постквантовую криптографию. Сообщество TLS продвинулось вперед: рабочая группа IETF PLANTS добивается хороших успехов в создании постквантовых сертификатов для TLS. Здесь предстоит много работы, и мы с нетерпением ждем возможности поддержать IETF в его усилиях.

Исполнительный указ включает требования для федеральных подрядчиков, что может оказаться самой влиятельной его частью.

В частности, Совет FAR должен опубликовать предлагаемые правила, требующие от «охваченных подрядчиков» соблюдения стандартов NIST FIPS, включающих алгоритмы PQC, к 31 декабря 2030 года (Раздел 6(c)). Совет FAR также должен опубликовать предлагаемые правила, требующие от подрядчиков внедрения программ раскрытия уязвимостей, охватывающих криптографические уязвимости (Раздел 6(d)). Эти предлагаемые правила должны пройти процедуру уведомления и обсуждения, но цель, установленная указом на 31 декабря 2030 года, по-прежнему важна. Этот срок на один год раньше, чем федеральные агентства должны завершить миграцию на постквантовую аутентификацию, чтобы федеральные подрядчики были готовы до того, как агентства достигнут своих собственных сроков.

Федеральные агентства смогут перейти на PQC только в том случае, если закупаемые ими продукты поддерживают PQC. Чтобы реализовать это на практике, CISA выпустила свои Категории продуктов для технологий, использующих стандарты постквантовой криптографии, проведя четкую грань между технологиями, где PQC уже «широко доступна», и теми, которые все еще «переходят». Список «широко доступных» включает облачные платформы (IaaS, PaaS), веб-браузеры и серверы, программы для чатов и обмена сообщениями, а также продукты для обеспечения безопасности конечных точек, такие как полное шифрование диска. Для этих категорий рекомендации CISA ясны: организации должны закупать только продукты, способные работать с PQC. Список «переходящих», где PQC еще не широко доступна, включает сетевое оборудование (маршрутизаторы, межсетевые экраны, коммутаторы), системы управления идентификацией и доступом (HSM, центры сертификации, поставщики идентификаторов), почтовые серверы и клиенты, а также системы баз данных.

Обязав подрядчиков выпускать продукты, соответствующие PQC, к 2030 году, и поручив агентствам немедленно отдавать предпочтение поставщикам, способным работать с PQC, на зрелых рынках, федеральная структура заставляет экосистему поставщиков выпускать продукты с поддержкой PQC в установленные сроки. Продукты, которые поставщики создают в соответствии с федеральными требованиями, в конечном итоге будут использоваться больницами, банками, университетами и малыми предприятиями, что сделает поддержку PQC более широко доступной. Cloudflare входит в число многих поставщиков, на которых распространяются эти требования, и поскольку сетевое программное обеспечение и облачные услуги уже определены CISA как широко доступные категории PQC, мы уже внедрили постквантовое шифрование в большинстве наших продуктов без дополнительной платы.

Исполнительный указ также касается критической инфраструктуры: энергетики, финансовых услуг, водоснабжения, транспорта, телекоммуникаций, здравоохранения и других систем, отказ которых оказал бы серьезное или значительное влияние на страну. Хотя указ не устанавливает жестких сроков миграции для владельцев и операторов критической инфраструктуры, он поручает определенным федеральным агентствам «помогать» владельцам и операторам критической инфраструктуры с их планами миграции на PQC (Раздел 5(a)).

Хотя исполнительный указ в основном сосредоточен на федеральных агентствах и критической инфраструктуре в США, постквантовая криптография важна для каждого человека и организации, подключенных к Интернету. Атаки типа «собери сейчас, расшифруй потом» представляют риск уже сегодня. А после Q-дня риск несанкционированного доступа со стороны противника, вооруженного квантовым компьютером, затронет любую организацию, большую или малую. Когда мы запустили бесплатный универсальный SSL в 2014 году, наш генеральный директор Мэтью Принс написал:

Наличие передового шифрования может показаться неважным для маленького блога, но это критически важно для продвижения будущего Интернета, где шифрование используется по умолчанию. Каждый байт, каким бы обыденным он ни казался, передаваемый в зашифрованном виде через Интернет, затрудняет работу тех, кто хочет перехватывать, ограничивать или цензурировать веб.

Мы придерживаемся такого же мнения в отношении постквантовой криптографии. Вот почему каждое постквантовое обновление, которое мы создаем, доступно всем клиентам, на любом тарифном плане, без дополнительной платы.

Исполнительный указ задает направление, и теперь у OMB есть 90 дней, чтобы предоставить важные разъяснения и оперативные рекомендации для достижения наиболее эффективной миграции на PQC в федеральных агентствах (Раздел 4(b)). Основываясь на том, что мы узнали из собственной миграции на PQC, вот несколько элементов, которые, по нашему мнению, должны быть включены в это руководство:

Определите, что значит «перейти». Указ требует от агентств «перевести» свои системы на PQC, но никогда не определяет, что означает «переход». Означает ли это, что система поддерживает алгоритмы PQC? Что она отдает им предпочтение? Или что классическая криптография полностью отключена?

Это совершенно разные модели безопасности. Система, которая поддерживает ML-KEM, но все еще допускает классическое рукопожатие TLS, уязвима для атак понижения версии. Противник, способный перехватывать трафик, может принудительно вернуть соединение к классическому обмену ключами. Система «перешла» бы на PQC номинально, но все равно была бы уязвима для тех же квантовых атак, которые указ пытается предотвратить.

История поучительна. Когда SSLv3 был объявлен устаревшим после атаки POODLE в 2014 году, серверы продолжали поддерживать SSLv3 для обратной совместимости, позволяя злоумышленникам принудительно понижать соединения, а затем использовать уязвимости SSLv3. Потребовались годы, чтобы экосистема действительно отключила SSLv3. Чтобы избежать повторения этой схемы, нам нужно четкое определение «завершения», которое включает отключение криптографии, уязвимой для квантовых атак, для предотвращения понижения версии.

Криптографическая гибкость: Криптографическая гибкость — это способность заменять криптографические алгоритмы без перестройки ваших систем. Указ требует перехода на конкретные криптостандарты NIST, но ничего не говорит о создании систем, которые могут заменять криптографические алгоритмы, если в будущем эти алгоритмы потребуется изменить. Криптографическая гибкость не означает поддержку всех алгоритмов одновременно. Это означает создание систем таким образом, чтобы, когда сообщество придет к лучшему алгоритму в будущем, обновление было изменением конфигурации, а не перестройкой архитектуры. OMB должен включить это в свои рекомендации.

CBOM или инвентаризация квантового воздействия? Указ поручает CISA и NIST в течение 270 дней опубликовать руководство по минимальным элементам криптографической спецификации материалов (CBOM) (Раздел 5(d)). CBOM — это перечень криптографических алгоритмов, протоколов и реализаций, используемых в конкретном аппаратном или программном продукте, аналогичный спецификации материалов программного обеспечения (SBOM).

Теоретически, CBOM — это хорошая идея. На практике мы бы предостерегли от рассмотрения исчерпывающих криптографических инвентаризаций как обязательного условия для действий. Детальный CBOM каждого алгоритма в каждой библиотеке каждого продукта требует много времени для создания, может занять у федеральных агентств целый цикл закупок инструментов для обнаружения и консалтинга, и потенциально устаревает к моменту завершения инвентаризации. Кроме того, CBOM не перечисляет системы, которые должны использовать криптографию, но не используют. И CBOM перечисляет ключи без понимания их назначения, что делает их менее полезными для организаций, пытающихся понять риск, связанный с ключом, уязвимым для квантовых атак.

Мы считаем, что инвентаризация квантового воздействия — более продуктивный подход. Каким будет воздействие, если система или её данные будут скомпрометированы? Насколько это вероятно? Какие меры можно предпринять для снижения риска: замена на аналогичное решение, обновление программного обеспечения или компенсирующий контроль, например, туннелирование трафика через массовое постквантовое соединение или изоляция от Интернета? Насколько осуществим каждый вариант и какую цепочку зависимостей он создаёт? Выявление этого указывает, с чего начинать действовать в первую очередь. Вы можете со временем заполнить детали полного CBOM, если это имеет смысл для вашей организации, но начинать следует с выявления наиболее подверженных риску и значимых систем.

Сделать постквантовую криптографию доступной для всех. Национальная устойчивость не будет настоящей, если постквантовая криптография будет рассматриваться как роскошь с ограниченным доступом, а не как универсальный стандарт. Политика OMB должна противодействовать привязке к поставщикам или «платным шлагбаумам», которые оставляют недофинансированную критическую инфраструктуру позади или увеличивают технический долг федеральных агентств.

Вам не нужно ждать 2030 года или исчерпывающей криптографической инвентаризации, чтобы начать миграцию. История показала, что обновление криптографии — сложная задача, которая может занять много времени; другие организации также должны начать разбираться со своей миграцией. Поэтому, пока мы ждём указаний OMB для федеральных агентств, вот что мы рекомендуем всем организациям:

Защитите свой интернет-трафик уже сейчас. Начните с трафика, который проходит через публичный Интернет, потому что его проще всего собрать злоумышленникам сейчас, и он наиболее подвержен риску. Если ваш веб-трафик проходит через Cloudflare, ваши соединения в значительной степени защищены постквантовым шифрованием. Если ваша корпоративная сеть использует Cloudflare One, ваш частный сетевой трафик также защищён. Если ваш провайдер не поддерживает постквантовое шифрование, переключитесь на того, кто поддерживает. Даже если отдельные приложения внутри вашей сети ещё не обновлены, начните туннелировать ваш трафик через постквантовую зашифрованную инфраструктуру, чтобы защитить его массово, даже если отдельные системы ещё не инвентаризированы и не обновлены.

Обновите закупки. Сделайте «постквантовое шифрование по умолчанию, без дополнительной оплаты, с чёткой дорожной картой по постквантовой аутентификации и криптографической гибкости» требованием в каждой закупке технологий. Если ваш поставщик взимает дополнительную плату за постквантовую безопасность или не имеет дорожной карты или плана, спросите почему или найдите другого поставщика.

Инвентаризация квантового воздействия. Для трафика, который остаётся внутри периметра вашей частной сети и не подвергается воздействию публичного Интернета, риск «собрать сейчас — расшифровать позже» ниже, поскольку злоумышленнику нужно будет находиться в вашей сети, чтобы его перехватить. Но вам всё равно нужно знать, какую криптографию используют ваши внутренние системы, чтобы спланировать миграцию. Используйте инвентаризацию квантового воздействия как инструмент для расстановки приоритетов, например, фокусируясь на системах или соединениях, которые обрабатывают конфиденциальные данные или доступны через публичный Интернет.

Планируйте аутентификацию уже сейчас. Крайний срок 2031 года для постквантовой аутентификации наступит быстрее, чем вы думаете. Начните выявлять свои долгоживущие ключи, корневые сертификаты и инфраструктуру подписи кода. Это приоритетные цели для квантового злоумышленника, и они имеют самые длинные цепочки зависимостей для обновления. Сейчас отличное время, чтобы обновить ваши программные библиотеки и автоматизировать предоставление сертификатов, даже если постквантовые сертификаты ещё недоступны в вашей экосистеме. И убедитесь, что ваши поставщики планируют быть готовыми к надвигающемуся крайнему сроку постквантовой аутентификации.

В то же время работа должна начаться и сейчас по согласованию глобальной государственной политики с международными стандартами. Мы были рады увидеть, что Раздел 5(b) предписывает Госдепартаменту взаимодействовать с иностранными правительствами и отраслевыми группами для поощрения внедрения стандартизированных NIST алгоритмов PQC.

Вот почему это важно. Миграции криптографии не могут происходить в вакууме, когда каждая страна действует в пределах своих границ. TLS-соединение между гражданином США и сервером за рубежом работает только в том случае, если обе стороны договариваются об одной и той же криптографии. NIST проводит открытые международные криптографические конкурсы на протяжении десятилетий. Конкурс AES (1997-2001) создал стандарт шифрования, используемый сегодня во всём Интернете, выбрав шифр, разработанный бельгийскими криптографами. Конкурс SHA-3 (2007-2012) создал последний стандарт хеширования, выбрав алгоритм, разработанный бельгийско-итальянской командой. Конкурс PQC (2016-2024) следовал той же открытой модели: каждый мог подать заявку, каждый мог анализировать, и выигравшие алгоритмы были разработаны международными командами. ML-KEM, стандарт согласования ключей, который сейчас развёртывается по всему Интернету, был создан в основном европейскими криптографами. Это открытые, международно проверенные алгоритмы. NIST организовал конкурсы, но результаты принадлежат глобальному криптографическому сообществу.

Риск впереди — фрагментация. Если разные юрисдикции будут предписывать разные алгоритмы, результатом станет раздувание шифров и увеличение поверхности атаки: больше кода для написания, тестирования и аудита, больше поверхности для атак понижения версии и более медленное развёртывание для всех. Мы наблюдали это воочию в IPsec, где отсутствие интероперабельного стандарта привело к тому, что поставщики выпускали проприетарные алгоритмы согласования PQ-ключей, которые не могли взаимодействовать, задерживая миграцию на годы. Сообщество TLS пошло противоположным путём, сойдясь на едином гибридном согласовании ключей (X25519MLKEM768), и развёртывание последовало быстро.

Мы большие поклонники NIST и особенно его лидерства в проверке стандартов по всему миру и стандартизации криптографии в глобальном масштабе. Мы призываем администрацию Трампа работать с Конгрессом, чтобы обеспечить NIST соответствующими ресурсами, персоналом и инструментарием для выполнения текущих и возникающих задач в рамках данного исполнительного указа и других, таких как План действий США по ИИ.

Мы хотели бы, чтобы взаимодействие под руководством Госдепартамента привело к реальному согласованию: внедрению одних и тех же алгоритмов NIST среди союзных стран, согласованию сроков и взаимному признанию криптографических алгоритмов и модулей. Интернет — это одна сеть, и его криптография должна быть единым стандартом.

В качестве заключительного замечания, EO предписывает NIST пересмотреть процессы, используемые Программой валидации криптографических модулей (CMVP), чтобы ускорить валидацию криптографических модулей (Раздел 6(b)). Сталкиваясь с программой CMVP в течение многих лет, мы чрезвычайно рады видеть это в указе.

CMVP существует по уважительной причине. Федеральным агентствам и их подрядчикам нужен способ проверить, что криптография внутри продукта действительно делает то, что заявляет: что AES реализован правильно или что генераторы случайных чисел имеют достаточную энтропию. CMVP был настроен на стабильное состояние, когда криптография не сильно меняется.

В будущем CMVP необходимо адаптировать к реалиям предстоящей миграции. Мы приветствуем поток обновлений FedRAMP, который позволяет использовать обновлённые модули немедленно до окончательной валидации. Это ускоряет внедрение постквантовой криптографии и исправление ошибок реализации, пропущенных при валидации. Аналогичные допущения для CMVP необходимы.

Этот постквантовый EO — значимый шаг. Он устанавливает реальные сроки и создаёт давление на цепочку поставок, что ускорит внедрение по всей отрасли.

Для организаций, начинающих собственную миграцию, мы предлагаем начать с защиты вашего публичного интернет-трафика, а также с обновления требований к закупкам, после чего провести инвентаризацию квантового воздействия, чтобы выяснить, на чём сосредоточиться дальше. Не позволяйте криптографической инвентаризации замедлить вас в развёртывании постквантового шифрования на ваших наиболее чувствительных системах немедленно.

Внедрение криптографии в Интернете зависит от стандартов, разработанных IETF. Сообщество TLS продвинулось дальше, но предстоит ещё много работы в других протокольных сообществах, и мы с нетерпением ждём поддержки этих усилий.

Давайте вместе быстро сделаем PQ всё на свете. Бесплатный TLS помог зашифровать веб. Бесплатная постквантовая криптография поможет защитить его для будущего.