Informasjon som bør rapporteres om kryptografiske ressurser og systemer:

  • For de systemene virksomheten drifter som forventes å være sårbare overfor en kryptografisk relevante kvantedatamaskiner (KRK), for eksempel:
    • Hvilken kryptografisk algoritme som anvendes.
    • Hvilken funksjon systemet utfører.
    • Lengden til de assosierte kryptografiske nøklene.
    • Om systemet er lokalisert i virksomheten, en skytjeneste eller en hybrid løsning.
  • Dersom de kryptografiske systemene er hyllevare eller en del av en software-pakke må navn og leverandør av varen/pakken rapporteres.
  • Dersom systemet er lokalisert helt eller delvis i skyen, om skytjenesten er en intern eller kommersiell tjeneste, og eventuelt.:
    • Leverandør av tjenesten.
    • Hvilket land dataene lagres i.
  • Levetiden til dataen som behandles av systemet, det vil si hvor lenge informasjonen må beskyttes.
  • Om systemet har spesielle krav eller begrensninger, for eksempel datagjennomstrømning, latens, nøkkellengder eller regnekraft som innskrenker mulighetsrommet for utskifte av kryptografiske komponenter.
  • Verdien og den forventede levetiden til informasjonen som systemet behandler.
  • Hvordan kryptografiske nøkler lagres, hvilke programmer, systemer og brukere som har adgang til dem, og hvordan de beskyttes mot uautorisert adgang.
  • Gjeldende lengder på nøkler og signaturer, og hvilke begrensninger hardware og software setter på disse.
  • Begrensinger som systemet setter på forsinkelser som følge av mer beregningstung krypto.
  • Krav til datagjennomstrømning som en ny kryptoløsning må tilfredsstille.
  • Prosesser og protokoller som snakker med kryptomodulen.
  • Gjeldende protokoller for nøkkelutveksling og opprettelse av autentiserte kommunikasjonskanaler.
  • Hvor i stacken hver kryptografisk prosess foregår.
  • Hvordan hver kryptografisk funksjon påkalles (for eksempel et kall til et kryptobibliotek i software, en prosess i operativsystemet, et applikasjonskall, cryptography-as-a-service).
  • Om kryptoimplementasjonen er smidig (eller modulær, det vil si kan byttes ut uten at det påvirker det øvrige systemet).
  • Om kryptoløsningen kan oppdateres i software eller om det kreves oppdatering i hardware.
  • Leverandør eller eier av hver kryptografisk komponent, programvare og prosess.
  • Kilder til nøkler og sertifikater.
  • Om leverandøren stiller spesielle kontraktsmessige eller juridiske betingelser.
  • Den forventede levetiden og planlagte avviklingsdatoen til implementasjonen, dersom leverandøren oppgir dette.
  • Om migrasjon til kvantesikker krypto påvirkes av opphavsrett.