QUY ĐỊNH CHUNG
Quy chuẩn này áp dụng đối với các tổ chức, cá nhân sản xuất, kinh doanh và sử dụng sản phẩm mật mã dân sự để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước. Theo đó, trong QCVN 15:2023/BQP thì các từ ngữ dưới đây được hiểu như sau:
- Thông tin không thuộc phạm vi bí mật nhà nước là thông tin không thuộc nội dung tin “tuyệt mật”, “tối mật” và “mật” được quy định tại Luật Bảo vệ bí mật nhà nước 2018
- Mật mã là những quy tắc, quy ước riêng dùng để thay đổi hình thức biểu hiện thông tin nhằm bảo đảm bí mật, xác thực, toàn vẹn của nội dung thông tin.
- Mật mã dân sự là kỹ thuật mật mã và sản phẩm mật mã được sử dụng để bảo mật hoặc xác thực đối với thông tin không thuộc phạm vi bí mật nhà nước.
- Sản phẩm mật mã dân sự là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.
- Sản phẩm bảo mật dữ liệu lưu giữ là sản phẩm mật mã dân sự sử dụng các thuật toán mật mã, kỹ thuật mật mã để bảo vệ dữ liệu lưu giữ trên thiết bị.
- Dữ liệu lưu giữ là dữ liệu (thông tin) được lưu giữ (ghi) trong một phương tiện lưu trữ.
- Kỹ thuật mật mã là phương pháp, phương tiện có ứng dụng mật mã để bảo vệ thông tin.
- Mã hóa là quá trình dùng kỹ thuật mật mã để thay đổi hình thức biểu hiện thông tin.
- Giải mã là phép biến đổi ngược của quá trình mã hóa tương ứng.
- Khóa là dãy ký tự điều khiển hoạt động của biến đổi mật mã.
- Mật mã đối xứng là mật mã trong đó khóa được sử dụng cho các phép mã hóa, giải mã là trùng nhau hoặc dễ dàng tính toán được khóa mã hóa khi biết khóa giải mã và ngược lại.
- Mật mã phi đối xứng là mật mã trong đó khóa được sử dụng cho phép mã hóa hoặc giải mã gồm hai thành phần là khóa công khai và khóa riêng với đặc tính có thể dễ dàng tính toán được khóa công khai nếu biết khóa riêng nhưng không khả thi về mặt tính toán để tính được khóa riêng từ khóa công khai.
- Thuật toán băm là thuật toán thực hiện quá trình biến đổi chuỗi dữ liệu đầu vào có độ dài bất kỳ thành một chuỗi dữ liệu đầu ra đặc trưng có độ dài cố định.
- Thuật toán xác thực thông điệp là thuật toán biến đổi các chuỗi dữ liệu đầu vào và khóa bí mật thành các chuỗi dữ liệu đầu ra có độ dài cố định thỏa mãn các tính chất sau đây: (1) Dễ dàng tính toán với bất kỳ khóa và chuỗi dữ liệu đầu vào nào; (2) Với khóa cố định bất kỳ và không biết trước khóa, bằng tính toán không thể tính được giá trị chuỗi dữ liệu đầu ra với bất kỳ chuỗi dữ liệu đầu vào mới nào.
- Mã HS là mã phân loại của hàng hóa, dùng để xác định thuế suất xuất nhập khẩu hàng hóa và các nghĩa vụ khác.
QUY ĐỊNH KĨ THUẬT
Các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ phải tuân thủ các quy định an toàn sau:
Quy định về thuật toán mật mã
Quy chuẩn quy định danh sách các thuật toán mã hóa đối xứng; Thuật toán mật mã phi đối xứng; Thuật toán băm; Thuật toán xác thực thông điệp; Hàm dẫn xuất khóa Bộ tạo số ngẫu nhiên các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ phải sử dụng.
Quy định về đặc tính kỹ thuật và thời gian sử dụng
Quy chuẩn đưa ra các quy định về đặc tính kỹ thuật và thời gian sử dụng phải tuân thủ trong việc sử dụng các thuật toán mã.
Quy định về an toàn trong sử dụng
Trong mã hóa/giải mã dữ liệu bằng thuật toán mã hóa đối xứng phải sử dụng một trong các chế độ sau: XTS, CCM, GCM, CBC. Trong bọc khóa bằng thuật toán mã hóa đối xứng phải sử dụng một trong các chế độ sau: KW, KWP, CCM, GCM, CBC.
Các khóa mật mã chỉ được sử dụng cho một mục đích, không được phép sử dụng chung khóa để mã hóa khóa và mã hóa dữ liệu.
Đối với dữ liệu lưu giữ dài hạn phải sử dụng các chế độ sau:
- Chế độ XTS cho lưu giữ bằng ổ đĩa cứng (HDD).
- Chế độ CCM, GCM cho lưu giữ bằng băng từ hoặc bộ nhớ flash.
- Trong trường hợp các chế độ trên không khả dụng thì được phép sử dụng chế độ CBC.
Đối với thuật toán RSA, chỉ được phép sử dụng lược đồ KTS-OAEP và KTS-KEM-KWS cho vận chuyển khóa. Trong mã hóa dữ liệu được truyền tải, áp dụng hai giao thức IPSec và TLS (phiên bản TLS 1.2 và TLS 1.3) để cung cấp khả năng bảo vệ bổ sung (nếu có).
QUY ĐỊNH VỀ QUẢN LÝ
Các mức giới hạn của đặc tính kỹ thuật mật mã nêu tại Quy chuẩn này là các chỉ tiêu chất lượng phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm mật mã dân sự được quy định tại Luật an toàn thông tin mạng ngày 19/11/2015.
Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm, khắc phục hậu quả khi bị xử phạt vi phạm hành chính theo các văn bản quy phạm pháp luật có liên quan. Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật.
Dấu hợp quy được sử dụng trực tiếp trên sản phẩm hoặc trên bao gói hoặc trên nhãn gắn trên sản phẩm hoặc trong chứng chỉ chất lượng, tài liệu kỹ thuật của sản phẩm.
Chấp nhận kết quả thử nghiệm của tổ chức thử nghiệm trong nước được chỉ định và tổ chức thử nghiệm nước ngoài được công nhận phù hợp với tiêu chuẩn ISO/IEC 17025 theo các yêu cầu kỹ thuật tương ứng trong Quy chuẩn này.
Cục Quản lý Mật mã dân sự và Kiểm định sản phẩm mật mã (Ban Cơ yếu Chính phủ) là cơ quan tiếp nhận công bố hợp quy, kiểm tra nhà nước về chất lượng sản phẩm mật mã dân sự.
TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN
Các tổ chức, cá nhân có hoạt động sản xuất, kinh doanh sản phẩm mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định hiện hành.
TỔ CHỨC THỰC HIỆN
Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng rà soát, sửa đổi, bổ sung hoặc ban hành thay thế Quy chuẩn này để đảm bảo phù hợp với thực tiễn và đáp ứng yêu cầu quản lý.
Cục Quản lý Mật mã dân sự và Kiểm định sản phẩm mật mã (Ban Cơ yếu Chính phủ) có trách nhiệm hướng dẫn, tổ chức triển khai quản lý kỹ thuật mật mã theo Quy chuẩn này.
Việc thanh tra, kiểm tra sản phẩm mật mã dân sự được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất.
Nguyệt Thu
15:00 | 15/04/2022
09:00 | 08/03/2024
08:00 | 18/11/2021
16:00 | 25/06/2024
10:00 | 09/05/2024
14:00 | 22/07/2024
17:00 | 08/11/2023
08:00 | 11/05/2024
15:00 | 26/06/2024
08:00 | 23/09/2024
Ngày 19/9, cơ quan cảnh sát quốc gia Hàn Quốc cho biết sẽ đầu tư 9,1 tỷ won (6,8 triệu USD) trong 3 năm tới để phát triển công nghệ phát hiện các loại hình tội phạm Deepfake, sao chép giọng nói và các nội dung bịa đặt khác.
09:00 | 05/08/2024
Khung An ninh mạng của NIST (Cybersecurity Framework - CSF) được biết đến là một công cụ linh hoạt và toàn diện giúp các tổ chức nắm bắt, quản lý các mối đe dọa an ninh mạng một cách hiệu quả, từ việc xác định rủi ro, triển khai các biện pháp bảo vệ cho đến phản ứng khi xảy ra sự cố. CSF 2.0 được thiết kế phù hợp với nhiều mô hình, quy mô khác nhau của các tổ chức và những điều chỉnh, cập nhật bổ sung nhằm phản ánh sự phát triển nhanh chóng của công nghệ trí tuệ nhân tạo và blockchain. Bài báo sẽ thông tin tới độc giả Khung An ninh mạng phiên bản 2.0 của NIST và những cập nhật quan trọng trong phiên bản mới này.
14:00 | 25/03/2024
Bài báo giới thiệu một phương pháp dựa trên đặc tính hỗn loạn của ánh xạ 2D MCCM và 2D logistic để thiết kế hộp S (S-box) động phụ thuộc khóa. Đánh giá một số tính chất mật mã của một số hộp thế được tạo ra.
15:00 | 24/10/2023
Mục tiêu chính của các kỹ thuật mã hóa là bảo vệ tính bí mật của dữ liệu được lưu trữ hoặc truyền đi. Thuật toán mã hóa được áp dụng vào dữ liệu (bản rõ), từ đó nhận được dữ liệu được mã hóa (bản mã), quá trình này được gọi là mã hóa. Thuật toán mã hóa cần được thiết kế sao cho bản mã không cung cấp thông tin về bản rõ. Gắn liền với thuật toán mã hóa là thuật toán giải mã, biến đổi ngược bản mã thành bản rõ gốc. Bài viết sẽ giới thiệu tóm tắt nội dung tiêu chuẩn TCVN 11367-1:2016. Nội dung của tiêu chuẩn này xác định các hệ mật nhằm mục đích bảo mật dữ liệu. Việc đưa các hệ mật vào tiêu chuẩn này nhằm đẩy mạnh việc sử dụng chúng với chất lượng tốt nhất hiện nay trong các kỹ thuật mật mã.