Prezydent USA Donald Trump podpisał rozporządzenie wykonawcze wyznaczające federalnym agencjom konkretne terminy migracji do kryptografii postkwantowej (PQC – Post-Quantum Cryptography). Kluczowe systemy muszą zostać zabezpieczone algorytmami odpornymi na ataki kwantowe do końca 2030 roku, a infrastruktura podpisów cyfrowych do końca 2031. Choć rozporządzenie dotyczy bezpośrednio sektora federalnego USA, sygnał dla globalnego rynku IT jest jednoznaczny: PQC przestaje być tematem badawczym, a staje się wymogiem compliance z konkretnymi deadline'ami.
Dlaczego migracja post-kwantowa ma znaczenie dla firm B2B
Ataki kwantowe na obecną kryptografię asymetryczną (RSA, ECC) nie są jeszcze praktyczne na skalę masową, lecz koncepcja „harvest now, decrypt later” oznacza, że adversaries mogą dziś przechwytywać zaszyfrowany ruch i odszyfrować go po pojawieniu się komputerów kwantowych. Organizacje przechowujące dane objęte długoterminową tajemnicą – umowy, IP, dane zdrowotne, dokumentacja obronna – powinny planować migrację PQC już teraz, nie w 2029 roku.
Polskie firmy będące dostawcami IT dla administracji USA, contractorami obronnymi lub partnerami GSA schedule będą musiały wykazać zgodność z wymogami PQC w łańcuchu dostaw. NIS2 i KSC2 w UE również kierują uwagę na kryptografię jako element odporności – PQC będzie kolejnym krokiem po NIST standardization.
Standardy NIST i roadmapa migracji
- ML-KEM (Kyber) – standard NIST dla key encapsulation, zastępuje ECDH w wielu scenariuszach.
- ML-DSA (Dilithium) – podpisy cyfrowe odporne na kwantowe ataki.
- SLH-DSA (SPHINCS+) – hash-based signatures dla długoterminowej archiwizacji.
- Hybrid mode – przejściowo klasyczna + PQC kryptografia (crypto agility).
Plan migracji dla organizacji
Pierwszym krokiem jest crypto inventory – gdzie w organizacji używane są RSA, ECC, TLS 1.2 z klasycznymi cipher suites, certyfikaty z kluczami <2048 bit RSA. NIST publikuje narzędzia i guidelines (NIST IR 8413) do oceny ekspozycji. Drugi krok: priorytetyzacja systemów według czasu życia danych i wymogów regulacyjnych. Trzeci: pilot hybrid TLS z PQC, testy wydajności i kompatybilności z partnerami.
Organizacje korzystające z infrastruktury IT zarządzanej powinny wymagać od dostawców roadmapy PQC dla HSM, VPN, load balancerów i certyfikatów. Vendor lock-in na niewspierającym PQC sprzęcie może kosztować miliony w 2028–2030.
Implikacje dla oprogramowania i PKI
Deweloperzy muszą aktualizować biblioteki kryptograficzne (OpenSSL 3.x z PQC support, BoringSSL), planować rotację certyfikatów root CA i wdrożyć crypto agility – możliwość wymiany algorytmów bez przepisywania aplikacji. W ramach dedykowanego oprogramowania integrujemy NIST-approved PQC w systemach wymagających długoterminowej poufności danych.
Podpisy kwalifikowane (eIDAS) w UE będą ewoluować w kierunku PQC – polskie firmy używające podpisów w obrocie prawnym powinny śledzić prace ENISA i NIST w zakresie harmonizacji.
Crypto agility w aplikacjach długowiecznych
Systemy ERP, archiwa dokumentów i bazy danych z szyfrowaniem at-rest używają kluczy i algorytmów, które dziś mogą być kwantowo podatne za 10–15 lat. Crypto agility oznacza projektowanie warstwy kryptograficznej z abstrakcją algorytmu – możliwość wymiany RSA na ML-KEM bez zmiany logiki biznesowej. Nowe projekty w dedykowanym oprogramowaniu powinny implementować ten wzorzec od początku, unikając kosztownej migracji w 2029 roku.
HSM i KMS w chmurze (AWS CloudHSM, Azure Dedicated HSM) muszą wspierać PQC w roadmapie vendora – pytanie o timeline PQC powinno być obowiązkowe w każdym renewal contract z dostawcą infrastruktury kryptograficznej.
Timeline migracji PQC dla firm spoza sektora federalnego USA
Choć deadline 2030/2031 dotyczy agencji federalnych, NIST i ENISA rekomendują rozpoczęcie migracji PQC już w 2026–2027 dla wszystkich organizacji o długim horyzoncie poufności danych. Polskie firmy mogą adoptować timeline: 2026 – crypto inventory, 2027 – pilot hybrid PQC, 2028 – production rollout krytycznych systemów, 2029 – completion i decommission legacy algorithms. Ten plan minimalizuje ryzyko „big bang” migracji w 2030.
Budżet PQC powinien obejmować nie tylko licencje HSM i certyfikatów, lecz także szkolenia developerów i adminów PKI – błędna implementacja PQC może być gorsza niż opóźniona migracja.
Polskie administracje publiczne i podwykonawcy projektów unijnych powinni monitorować, czy wymogi PQC pojawią się w specyfikacjach przetargowych w 2027–2028 – wczesne przygotowanie unika dyskwalifikacji z powodu braku roadmapy kryptograficznej. Udział w working groups NIST PQC i ENISA daje dostęp do early guidance.
Backup danych zaszyfrowanych algorytmami klasycznymi przed migracją PQC wymaga strategii re-encryption – zaplanuj okno i zasoby na przekryptowanie archiwów, które muszą pozostać czytelne przez dekady.
Podsumowanie
Rozporządzenie Trumpa o PQC do 2030/2031 to kamień milowy regulacyjny. Polskie firmy B2B powinny rozpocząć crypto inventory i plan migracji już dziś – szczególnie contractorzy USA i sektory o długiej tajemnicy danych. Zapraszamy do konsultacji rozwiązań bezpieczeństwa i usług IT dla firm.
Źródło: The Hacker News – Trump Order Sets 2030 Deadline for Federal Post-Quantum Crypto Migration