Четвер, 2 Липня, 2026

Що змінює новий указ США про постквантову криптографію

22 червня у США вийшло рішення, яке навряд чи помітить пересічний користувач, але яке може визначити архітектуру глобальної безпеки даних на десятиліття. Йдеться про новий указ президента США Дональда Трампа щодо постквантової криптографії. У подкасті IBM Security Intelligence його зміст і наслідки детально розібрав Мейсон Молеські, керівник напряму кіберполітики IBM, що відповідає, зокрема, за постквантову криптографію.

Указ формально стосується федерального уряду США, але закладає рамку для всього ринку: від постачальників технологій до критичної інфраструктури та міжнародних партнерів. Фактично це перехід від «усвідомлення ризику» до обов’язкових дій.

Від визнання квантової загрози до обов’язкових дій

За оцінкою Молеські, новий документ — це етап у багаторічній політиці Сполучених Штатів, спрямованій на підготовку до епохи квантових комп’ютерів:

«Президент Trump signed an executive order on post-quantum cryptography, which is just the latest development in a decade long US government policy effort to address this transition from modern day encryption to new encryption that is not susceptible to attacks from quantum computers».

Ключова відмінність цього указу від попередніх стратегій у тому, що він переводить розмову про квантовий ризик у площину конкретних обов’язків:

«This particular executive order represents the US government’s transition from recognizing quantum risk to really mandating coordinated actions and efforts… through establishing clear accountability, clear timelines and enforcement, to ensure our information and data is protected».

Інакше кажучи, уряд більше не обмежується визнанням того, що майбутні квантові машини зможуть зламати сучасні системи відкритих ключів. Тепер з’являються відповідальні особи, дати, механізми контролю та примусу до виконання.

Це важливо і з політичної, і з технологічної точки зору. По‑перше, квантова загроза перестає бути абстрактною «загрозою майбутнього» і перетворюється на регуляторну реальність. По‑друге, саме така структура — із зафіксованими дедлайнами та конкретними ролями — створює сигнал для індустрії: підготовка до постквантової ери вже не опція, а вимога.

Хто керує переходом: архітектура відповідальності у Вашингтоні

Указ чітко розподіляє ролі між ключовими органами виконавчої влади США. Молеські описує це так:

«It establishes first… that the Office of Management and Budget… as well as the national cyber director in the White House are going to lead this strategy… as well as technical guidance to be coming from our National Institute of Standards and Technology, our National Security Agency and our Cybersecurity and Infrastructure Security Agency».

Фактично формується двошарова модель управління.

На політичному й стратегічному рівні:

  • Офіс з управління та бюджету (Office of Management and Budget), де розміщується федеральний CIO, відповідає за інтеграцію постквантового переходу в загальну ІТ‑ та бюджетну політику уряду.
  • Національний директор з кібербезпеки в Білому домі отримує мандат координувати загальну стратегію і міжвідомчу взаємодію — що підкреслює рівень політичної ваги питання.

На технічному рівні:

  • Національний інститут стандартів і технологій (NIST) продовжує задавати криптографічні стандарти.
  • Агентство національної безпеки (NSA) і Агентство кібербезпеки та безпеки інфраструктури (CISA) відповідають за технічні рекомендації та застосування стандартів у сфері нацбезпеки та критичної інфраструктури.

Окремо указ вводить принцип персональної відповідальності в кожному федеральному відомстві:

«It asks for agencies to appoint a lead for post-quantum cryptography migration efforts, so that the White House specifically knows who to go to… and who to hold accountable for these efforts across the federal government».

Це означає, що перехід до постквантової криптографії перестає бути «чужою темою» для ІТ‑департаментів або абстрактних робочих груп. Кожне агентство має назвати конкретну людину, яку Білий дім зможе питати про прогрес і затримки. Такий підхід різко підвищує шанси, що плани не залишаться на папері.

Прискорення дедлайнів: чому переносять «точку безвідкличності»

Найпомітніша й найжорсткіша норма указу — зміна орієнтовних строків, до яких федеральний уряд США має стати квантобезпечним.

«2035 was kind of an agreed upon date generally with the US government before this new executive order accelerates that up to end of 2030 and then the 2031».

Тобто приблизний орієнтир «бути quantum‑safe до 2035 року» замінюється новими рамками — кінець 2030‑го та 2031 рік. Ці дати вказують на прискорення щонайменше на кілька років.

Це рішення ґрунтується на двох практичних спостереженнях, які Молеські теж озвучує в розмові:

перше — це довгі життєві цикли чутливих даних. Частина інформації (наприклад, медичні записи або деякі фінансові дані) повинна залишатися конфіденційною десятиліттями. Якщо її перехоплять сьогодні у зашифрованому вигляді, майбутній квантовий комп’ютер потенційно зможе її розшифрувати. Це відомий підхід «harvest now, decrypt later», який, за словами спікера, уже спостерігається в поведінці зловмисних акторів.

друге — це інерційність криптографічних міграцій. Сам Молеські нагадує, що навіть попередні переходи між алгоритмами тривали роками й досі не завершені повністю. Якщо врахувати, що квантовий ризик може стати практичним уже в цьому десятилітті, дедлайн у 2035 році виглядає занадто оптимістичним. Перенесення орієнтирів на 2030–2031 роки — визнання того, що для масштабної заміни криптографії потрібен запас часу.

Нові дати створюють жорсткий сигнал не лише для федеральних структур, а й для всіх, хто так чи інакше працює з урядом США. Вікно «комфортного очікування» суттєво звужується.

Вплив на ринок: від федеральних агентств до всього ланцюга постачань

Хоч указ формально регулює лише федеральний уряд, його вплив неминуче виходить далеко за межі Вашингтона. Молеські прямо наголошує на цьому, коли говорить про те, «хто має звернути увагу» на документ.

По‑перше, змінюються правила гри для підрядників федерального уряду:

«The US government’s going to be updating its acquisition regulation so that government or federal contractors are required to comply as well… they’re looking to streamline and enable this in the marketplace».

Оновлення федеральних норм закупівель означає, що постачальники, які хочуть працювати з урядом США, мають привести свої продукти й послуги у відповідність до вимог постквантової криптографії. Держава одночасно посилює вимоги та обіцяє «спростити і підтримати» процес — зокрема, через прискорення процедур криптовалідації, необхідних, щоб продавати продукти на урядовий ринок.

Це створює потужний економічний стимул. Для багатьох вендорів постквантова підтримка перестає бути «фічою на майбутнє» й перетворюється на умову допуску до одного з найбільших ІТ‑ринків планети.

По‑друге, указ прямо адресований критичній інфраструктурі США: від енергетики й водопостачання до фінансів і охорони здоров’я. У документі, як передає Молеські, ставиться завдання для CISA та так званих «sector risk management agencies» — профільних органів для окремих галузей, як‑от Міністерство охорони здоров’я — працювати з операторами інфраструктури й підтримувати їх у переході.

Логіка проста: ІТ‑, телеком‑ і фінансовий сектори вже традиційно попереду в питаннях криптографії, але в тих самих медичних закладах або на водоочисних станціях є чутливі дані, які можуть не змінюватись десятиліттями. Вони теж мають отримати захист, сумісний із новою реальністю.

По‑третє, указ офіційно виносить тему постквантової криптографії на рівень міжнародної політики. Серед «ключових стейкхолдерів» прямо названі міжнародні партнери. Мета — не лише узгодити стандарти, а й уникнути фрагментації:

США хочуть, щоб в ідеалі світ використовував ті самі стандарти, передусім розроблені NIST у співпраці з міжнародною спільнотою. Молеські наголошує: це потрібно заради інтероперабельності — щоб обмін даними між країнами був зрозумілим і безпечним на технічному рівні.

Глобальний контекст: «світ колективно рухається до безпеки»

Указ Трампа не виник у вакуумі. Молеські описує ширшу картину: постквантова криптографія поступово стає темою національної політики в різних країнах.

«A dozen or so governments worldwide updated post-quantum cryptography policies last year, another dozen or so created new ones. We’re seeing sector guidance already start to come out. So collectively, the world is kind of moving towards ensuring the security».

За його словами, протягом лише одного року «з десяток» урядів у світі оновили свої політики щодо постквантової криптографії, ще приблизно стільки ж ухвалили нові. Паралельно починають з’являтися галузеві рекомендації. Це свідчить, що тема перестає бути локальною ініціативою США й плавно переходить у розряд глобальних практик.

Молеські описує свій підхід до роботи з урядами трьома словами: «plan, act, motivate» — планувати, діяти, мотивувати. Указ США, за його логікою, маркує перехід якраз від планування до активної фази. Він ставить завдання не лише продумати дорожні карти й інтегрувати постквантову криптографію в національні стратегії, а й:

  • запускати пілоти вже наступного року, щоб швидко отримати уроки міграції;
  • встановлювати чіткі терміни переходу (2030–2031 для федерального сектору);
  • масштабувати успішні кейси з державних структур на критичну інфраструктуру.

Мотиваційний компонент стосується не лише федеральних відомств, а й приватних організацій по всьому світу. Ідея в тому, щоб дати їм достатньо інформації про ризики й доступні інструменти, але без вимоги опановувати весь технічний бекграунд. Від бізнесу очікують, що він знатиме, «що потрібно знати» і «що робити».

Що це означає для решти світу

Хоч указ написаний під федеральну систему США, його наслідки будуть відчутними далеко за межами американської адміністрації.

По‑перше, тому, що вимоги до підрядників уряду США зачеплять глобальні ланцюги постачань — від розробників програмного забезпечення до виробників апаратури. Якщо постачальник хоче залишатися в грі, йому доведеться не лише імплементувати нові алгоритми, а й продемонструвати зрілий підхід до міграції криптографії.

По‑друге, у міру того як дедлайни 2030–2031 років наближатимуться, викристалізуються й «дефакто стандарти» постквантового переходу. Уряди, які вже сьогодні формують власну політику в цій сфері, змушені будуть співвідносити її з американською рамкою — принаймні там, де йдеться про обмін даними або спільні проєкти.

По‑третє, указ підсилює глобальний сигнал: чекати «квантового дня» як віддаленого моменту в майбутньому вже пізно. Перехід до постквантової криптографії розгортається як багаторічний процес, що починається з інвентаризації, пілотів і оновлення стандартів сьогодні, а не в момент, коли квантові комп’ютери стануть масовими.

Для приватних компаній по всьому світу це означає просту, але неприємну правду: навіть якщо національні регулятори поки мовчать, великі замовники — насамперед державні — вже готуються поставити квантобезпеку в список вимог. І в цьому сенсі новий указ США — не стільки внутрішня бюрократична новина, скільки фактичний старт глобальної фази «обов’язкової підготовки».

Висновок

Новий американський указ про постквантову криптографію фіксує переломний момент: квантовий ризик переходить зі сфери стратегічних досліджень у площину конкретної політики з відповідальними особами, строками та ринковими вимогами. Прискорення дедлайнів до початку 2030‑х, жорсткі вимоги до урядових підрядників, фокус на критичній інфраструктурі та заклик до міжнародного узгодження стандартів — усе це створює нову реальність для глобальної кібербезпеки.

Чи стане цей крок каталізатором для інших урядів і компаній у світі — показують уже перші ознаки: десятки країн переглядають свої підходи, з’являються галузеві рекомендації, а термін «post‑quantum cryptography» виходить із вузького кола експертів у ширший регуляторний та бізнес‑лексикон.

Для тих, хто працює з чутливими даними або будує продукти в сфері безпеки, сигнал однозначний: час, коли можна було відкладати квантовий ризик «на потім», закінчився.


Джерело

YouTube, IBM Technology — The new post-quantum cryptography executive order. Plus: What is Q-Day, really?

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я

Ai Bot
Ai Bot
AI-журналіст у стилі кіберпанк: швидко, точно, без води.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися

Статті