倒计时开启：特朗普行政令启动后量子密码强制迁移

编者按

美国总统特朗普6月22日签署题为“保护国家免遭高级密码攻击”的第14409 号行政命令，从政策引导、机制建设、路径规划、责任矩阵和采购保障等五个维度做出全面战略部署，责成联邦政府及承包商加快后量子密码迁移，以提升美国的网络安全防御能力。

该命令提出，大规模量子计算机一旦被敌对势力掌握，将对现行加密体系构成严重威胁，并带来“先收集、后解密”的风险，为此美国必须强化对敏感数据、关键基础设施和数字经济的加密保护；美国政策的核心是通过将联邦信息系统迁移至国家标准与技术研究所批准的后量子密码标准，以维护国家安全和技术领先地位，同时协助关键基础设施所有者和运营者完成迁移。

该命令确定了后量子密码迁移的双线协调机制：一是战略统筹，由管理和预算办公室主任与国家网络总监牵头，联合总统国家安全事务助理及管理和预算办公室电子政务办公室主任，负责国家后量子密码迁移政策与战略的顶层协调和监督，确保其与更广泛网络安全目标保持一致；二是技术支撑，由商务部长通过国家标准与技术研究所主任，并协同国家安全局局长和国土安全部长，持续向各机构提供后量子密码技术指导，包括最佳实践和风险管理策略。

该命令从组织落实、系统迁移和试点先行三个层面，为后量子密码迁移设定了具体时间表与执行路径：一是各机构在30天内须指定并向管理和预算办公室主任及国家网络总监上报后量子密码迁移负责人；二是管理和行政办公室主任在90天内须联合国土安全部长及国家网络总监发布指南，要求各机构审查其高价值资产和高影响系统清单（国家安全系统除外），并分别在2030年底前完成密钥建立的后量子密码迁移、2031年底前完成数字签名的后量子密码迁移，同时制定并提交迁移计划；三是商务部长在180天内通过国家标准与技术研究所主任启动试点项目，在该所自有信息系统的适当子集上开展后量子密码迁移，且须于2027年底前完成。

该命令从行业协助、国际推广、专项监督和技术指导四个维度，明确了后量子密码迁移中的多方领导责任：一是各行业风险管理机构须通过网络安全和基础设施安全局与国土安全部协同，协助关键基础设施所有者和运营者制定迁移计划；二是国务卿应联合国家标准与技术研究所、国防部、国家情报总监等，推动重点国家及外国行业团体采用美国标准化的后量子密码算法；三是国家安全局局长应以国家安全系统国家管理者身份，在180天内及此后每年，通过国家安全系统委员会向总统提交国家安全系统后量子密码迁移状况报告；四是国土安全部长通过网络安全和基础设施安全局局长，并与国家标准与技术研究所主任协调，在270天内发布公开指南，明确密码资产清单的最低要素，确保硬件或软件组件所使用的密码资产能够实现自动化评估。

该命令从降本增效、验证加速和采购强制三个层面，部署了采购端的后量子密码迁移配套措施：一是由管理和预算办公室主任、国防部长、国家航空航天局局长和总务管理局局长联合协调，挖掘云迁移、后量子密码工具联合采购、联合培训及集中技术支持等方面的成本节约机会；二是商务部长通过国家标准与技术研究所主任，在180天内修订“密码模块验证计划”流程，以加快密码模块的验证速度；三是联邦采购规则委员会分别在180天和270天内发布两项拟议规则，分别要求联邦承包商在2030年底前遵守含后量子密码算法的联邦信息处理标准，以及强制承包商实施符合国家标准与技术研究所指南的漏洞披露政策，并涵盖对未加密及非联邦信息处理标准算法的检测。

奇安网情局编译有关情况，供读者参考。

保护国家免遭高级密码攻击

第14409号行政命令

根据美国宪法和法律赋予我的总统权力，特此命令：

第1条

背景与政策

大规模量子计算机的出现，尤其是在敌对势力手中，将对广泛使用的加密安全系统构成重大威胁。针对美国的持续网络活动也带来了敌对势力现在收集并存储美国信息，待大规模量子计算机投入运行后对其进行解密的风险。鉴于这些威胁，美国必须采取措施，加强对国家敏感数据、关键基础设施和数字经济的加密保护。

美国的政策是，通过负责任且有效地执行联邦信息系统向美国国家标准与技术研究所（NIST）批准的后量子密码（PQC）联邦信息处理标准（FIPS）的迁移，来维护国家安全和保持技术领先地位，并协助关键基础设施所有者和运营者进行迁移。

第2条

定义

就本命令而言：

（a）“机构”一词的含义与《美国法典》第44卷3502（1）条款中的含义相同；

（b）“关键基础设施”一词的含义与《2001年美国爱国者法案》第1016（e）条款（《美国法典》第42卷5195c（e）条款）中的含义相同；

（c）“高影响系统”一词是指至少一项安全目标（即保密性、完整性或可用性）被赋予联邦信息处理标准（FIPS）199潜在影响值为“高”的信息系统；

（d）“高价值资产”（HVA）一词是指根据管理和预算办公室（OMB）备忘录M-19-03《通过加强高价值资产计划来加强联邦机构的网络安全》或其任何后续文件，被指定为高价值资产的联邦信息或联邦信息系统；

（e）“信息系统”一词的含义与《美国法典》第6卷650（14）条款中的含义相同；

（f）“国家安全系统”一词的含义与《美国法典》第44卷3552（b）（6）条款中的含义相同；

（g）“后量子密码学”（PQC）一词是指那些旨在抵抗量子计算机和经典计算机攻击的密码算法或方法；

（h）“PQC迁移负责人”一词是指向机构首席信息官汇报的机构雇员或借调人员，其职责包括监督全机构范围内的密码资产清单管理、制定分优先级的PQC迁移计划，以及协调各机构间的PQC相关工作；

（i）“密码模块验证计划”一词的含义与联邦信息处理标准（FIPS）140-3《密码模块安全要求》或任何后续政策中的含义相同；

（j）“数字签名”一词的含义与联邦信息处理标准（FIPS）186-5《数字签名标准（DSS）》或其任何后续政策中的含义相同；

（k）“密钥建立”一词的含义与联邦信息处理标准（FIPS）203《基于模块格的密钥封装机制标准》或任何后续政策中的含义相同。

第3条

协调PQC迁移

（a）管理和预算办公室主任和国家网络总监应与总统国家安全事务助理以及管理和预算办公室电子政务办公室主任协商，领导本命令规定的国家PQC迁移政策和战略的战略协调和监督，确保其与更广泛的网络安全目标保持一致。

（b）商务部长应通过国家标准与技术研究所（NIST）主任，并与国家安全局局长和国土安全部长（通过网络安全和基础设施安全局局长）协商，持续向各机构提供关于PQC实施的全面技术指导，包括实施方面的最佳实践和风险管理策略。

第4条

加快PQC迁移

（a）在本命令发布之日起30天内，各机构负责人应确定其PQC迁移负责人，并将PQC迁移负责人的姓名和联系方式提供给管理和预算办公室主任和国家网络总监。

（b）本命令发布之日起90天内，管理和预算办公室主任应与国土安全部长（通过网络安全和基础设施安全局局长）以及国家网络总监协商，并根据《美国法典》第6卷第1526（c）条的规定，发布指南，要求各机构：

（i）审查其高价值资产和高影响系统清单，但不包括国家安全系统；

（ii）到2030年12月31日，将所有高价值资产和高影响系统迁移到使用PQC进行密钥建立；

（iii）到2031年12月31日，将所有高价值资产和高影响系统迁移到使用PQC进行数字签名；

（iv）制定并向管理和预算办公室主任和国家网络总监提交完成本指令的计划。

（c）自本命令发布之日起180天内，商务部长应通过国家标准与技术研究所（NIST）主任启动一项试点项目，在NIST拥有或运营的信息系统的适当子集上进行PQC迁移，该项目应不迟于2027年12月31日完成。

第5条

领导PQC迁移

（a）所有担任行业风险管理机构的机构，如2024年4月30日第22号国家安全备忘录（关键基础设施安全和韧性）或其后续备忘录所定义，均应通过网络安全和基础设施安全局局长与国土安全部合作，协助关键基础设施所有者和运营者制定其PQC迁移计划。

（b）国务卿应与国家标准与技术研究所主任、国土安全部长、国家网络总监、国防部长和国家情报总监合作，确定并接触重点国家的外国政府和行业团体，以鼓励他们迁移到由美国国家标准与技术研究所标准化的PQC算法。

（c）自本命令发布之日起180天内，以及此后每年直至PQC迁移完成，国家安全局局长应以国家安全系统国家管理者的身份，通过国家安全系统委员会向总统提交一份关于拥有或运营国家安全系统的机构的PQC迁移状况的报告。

（d）自本命令发布之日起270天内，国土安全部长应通过网络安全和基础设施安全局局长，并与国家标准与技术研究所主任协调，发布公开指南，阐述各机构对密码材料清单最低要素的审慎意见。这些要素应能实现对硬件或软件组件所使用的密码资产的自动评估。

第6条

采购

（a）管理和预算办公室主任、国防部长、国家航空航天局局长和总务管理局局长应与国土安全部长、国家情报总监和国家标准与技术研究所主任协商，协调各方努力，确定在实施国家PQC迁移政策和战略过程中节约成本的机会，例如云技术的迁移、PQC工具的联合采购、联合培训项目以及集中技术支持。

（b）自本命令发布之日起180天内，商务部长应通过国家标准与技术研究所主任，在适当且符合适用法律的范围内，修订密码模块验证计划所采用的流程，以加快密码模块的验证。

（c）自本命令发布之日起 180 天内，联邦采购规则委员会应与国土安全部长（通过网络安全和基础设施安全局局长）和国家标准与技术研究所主任协商，发布一项拟议规则，修订《联邦采购条例》（FAR），要求受监管的承包商在2030年12月31日之前遵守 NIST国家标准与技术研究所联邦信息处理标准（FIPS），包括所有适用的、包含符合PQC标准的算法的FIPS。

（d）在本命令发布之日起270天内，联邦采购规则委员会应与国土安全部长（通过网络安全和基础设施安全局局长）和国家标准与技术研究所主任协商，发布一项拟议规则，修订联邦采购条例中关于承包商漏洞披露计划的要求和合同条款，以确保受监管的承包商实施符合国家标准与技术研究所指南的漏洞披露政策（VDP），且该政策须包含对密码漏洞的报告机制，具体包括对未加密情形及使用非联邦信息处理标准批准算法的检测。

第7条：一般规定。（编注：略）

唐纳德·特朗普

白宫

2026年6月22日

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。