Nâng cấp mật mã trong hệ thống chứng thực số công vụ
NÂNG CẤP MẬT MÃ TRONG HỆ THỐNG CHỨNG THỰC SỐ CÔNG VỤ LÀ NHIỆM VỤ CẤP THIẾT HIỆN NAY
Mật mã khóa công khai được sử dụng rộng rãi trên thế giới để đảm bảo an toàn cho các giao dịch điện tử. Là hệ mật mã khóa công khai được phát minh đầu tiên và có một số ưu điểm nổi bật, hệ mật khóa công khai RSA đang được sử dụng phổ biến. Tại Việt Nam, từ năm 2010, hệ mật RSA với độ dài khóa 2048 bit đã sẵn sàng trong các thư viện mật mã và dần được sử dụng trong hệ thống CTSCV và trong hệ thống chứng thực số công cộng.
Cùng với sự phát triển của khoa học - công nghệ, trong những năm qua, năng lực tính toán của các máy tính, siêu máy tính ngày càng mạnh, đặc biệt là sự phát triển của máy tính lượng tử đã trở thành nguy cơ lớn đối với sự an toàn của các hệ mật đang được sử dụng. Một số tổ chức về mật mã uy tín trên thế giới đã định kỳ tiến hành đánh giá và ban hành các khuyến nghị về độ an toàn của các thuật toán mật mã [1, 2]. Năm 2020, NIST đưa ra các khuyến cáo về độ dài khóa tối thiểu từ năm 2021 đối với 2 hệ mật RSA là 3072 bit và ECC là 256 bit. Cuối năm 2022, một nhóm các nhà khoa học Trung Quốc công bố kết quả nghiên cứu với kết luận có thể bẻ khóa hệ mật RSA với độ dài 2048 bit trong tương lai gần [3].
Từ những công bố trên có thể thấy rằng việc nâng cấp mật mã trong các hệ thống thông tin theo các khuyến nghị nêu trên là cần thiết, phù hợp với lộ trình nâng cấp mật mã của Ban Cơ yếu Chính phủ (CYCP). Do vậy việc nâng cấp mật mã trong hệ thống CTSCV để nâng cao độ an toàn cho các giao dịch điện tử của các cơ quan Đảng, Nhà nước trong năm 2023 đã trở nên rất cấp thiết.
NÂNG CẤP MẬT MÃ TRONG HỆ THỐNG CHỨNG THỰC SỐ CÔNG VỤ
Tổng quan về nâng cấp mật mã
Nâng cấp mật mã là thay thế hệ mật, tham số mật mã hiện tại bằng hệ mật, tham số mật mã mới có độ an toàn tốt hơn trong tất cả các hệ thống có sử dụng mật mã. Việc nâng cấp mật mã bao gồm:
- Nâng cấp thuật toán: Nâng cấp độ dài khóa của thuật toán RSA từ 3072 bit, hoặc sử dụng các Hệ mật dựa trên đường cong Elliptic (ECDSA/ECC) với độ dài khóa từ 256 bit sử dụng tiêu chuẩn mới (hệ mật, tham số mật mã,...).
- Nâng cấp cài đặt: Thay thế các cài đặt mật mã trong các thiết bị phần cứng (HSM, PKI Token, PKI SIM, VPN, Firewall,...) và thay thế các cài đặt mật mã trong các module phần mềm (thư viện mật mã, giao thức mật mã,...).
- Nâng cấp chính sách: Thay thế, cập nhật các quy định, tiêu chuẩn, quy chuẩn kỹ thuật về mật mã áp dụng cho tất cả các hệ thống thông tin và các quy định về quản lý, cung cấp, sử dụng sản phẩm mật mã. Thông tin rộng rãi về việc nâng cấp mật mã tới cộng đồng.
Do mật mã được ứng dụng rộng rãi trong các hệ thống thông tin nên việc nâng cấp mật mã sẽ có những tác động, ảnh hưởng tới toàn xã hội. Việc nâng cấp mật mã cần được chuẩn bị kỹ, thực hiện theo kế hoạch, có lộ trình, thời hạn xác định, để đạt được mục tiêu, yêu cầu đồng thời hạn chế tối thiểu các tác động tiêu cực hay gián đoạn hoạt động của toàn bộ hệ thống.
Nâng cấp mật mã trong hệ thống chứng thực số công vụ
Trên cơ sở chức năng và nhiệm vụ được giao, Cục Chứng thực số và Bảo mật thông tin (CTS&BMTT) đã tham mưu Lãnh đạo Ban CYCP ban hành kế hoạch nâng cấp mật mã trong hệ thống CTSCV với nội dung:
a) Về thuật toán:
Nâng cấp độ dài khóa hệ mật RSA lên 3072 bit đối với các ứng dụng ký số, xác thực cục bộ sử dụng trong các thiết bị PKI Token, PKI SIM, VPN, SSL/TLS.
Sử dụng hệ mật mã mới ECDSA độ dài khóa từ 256 bit đối với các thuê bao trong hệ thống ký số tập trung.
b) Về cài đặt:
Nâng cấp các bộ thư viện mật mã sử dụng trên các hệ điều hành Windows, MacOS, Android, iOS sử dụng được với các thuật toán ở mục a, ứng dụng trong các phần mềm phía hạ tầng CA, RA, VA,... và các phần mềm ứng dụng chuyên môn, nghiệp vụ của các cơ quan Đảng, Nhà nước.
Nâng cấp các applet/firmware trong các thiết bị phần cứng PKI SIM, PKI Token, HSM,... hỗ trợ các thuật toán mật mã ở mục a.
c) Về chính sách:
Bổ sung các quy định về nâng cấp mật mã trong các văn bản quy phạm pháp luật do Ban CYCP tham mưu như: Nghị định về chữ ký số công vụ, Thông tư tiêu chuẩn quy chuẩn kỹ thuật mật mã trong hệ thống CTSCV và trong các văn bản quy phạm pháp luật do các cơ quan Nhà nước khác tham mưu, ban hành.
Việc nâng cấp mật mã trong hệ thống CTSCV ngoài nhận được ủng hộ của các cơ quan hữu quan, cũng gặp một số vướng mắc nhất định. Với hạ tầng, việc nâng cấp mật mã tốn rất nhiều công sức, chi phí trong việc nâng cấp đồng bộ cả phần cứng và phần mềm hệ thống. Với các ứng dụng chuyên môn, nghiệp vụ tại các cơ quan Đảng, Nhà nước hiện đang sử dụng với thuật toán RSA 2048 bit, việc nâng cấp mật mã lên thuật toán RSA 3072 bit và ECDSA 256 bit đòi hỏi nhiều công sức, chi phí và thời gian thực hiện.
Để hạn chế, giảm thiểu các tác động tiêu cực của việc nâng cấp mật mã, từ năm 2021, Cục CTS&BMTT đã tham mưu Lãnh đạo Ban CYCP thông báo về việc nâng cấp mật mã tới tất cả các cơ quan Đảng, Nhà nước [4]. Bên cạnh đó, từ năm 2022, Cục CTS&BMTT đã tiến hành thử nghiệm việc nâng cấp mật mã trong một số hệ thống thông tin nghiệp vụ điển hình như các hệ thống của Bộ Tài chính (thuế, hải quan, kho bạc), Bộ Công an, Bộ Quốc phòng, TP. Hà Nội..., và đã đạt được nhiều kết quả khả quan. Thực hiện theo kế hoạch, đầu năm 2024, Cục CTS&BMTT đã tiến hành cấp phát chứng thư số sử dụng hệ mật RSA 3072 bit và ECDSA 256 bit cho thuê bao trong các cơ quan Đảng, Nhà nước.
KẾT LUẬN
Mật mã sử dụng trong các hệ thống thông tin cần được định kỳ nâng cấp để đảm bảo an toàn. Hệ thống CTSCV cần được định kỳ nâng cấp mật mã để đảm bảo an toàn cho các giao dịch điện tử của các cơ quan Đảng, Nhà nước. Năm 2024, hệ thống CTSCV đã thực hiện nâng cấp mật mã toàn diện sử dụng thuật toán RSA với độ dài khóa từ 3072 bit và ECDSA với độ dài khóa từ 256 bit, cùng với cập nhật quy định trong các văn bản quy phạm pháp luật. Với nhiều nỗ lực, việc nâng cấp mật mã trong hệ thống CTSCV sẽ đảm bảo an toàn cho các giao dịch điện tử, mang lại hiệu quả thiết thực cho các cơ quan Đảng, Nhà nước trong giai đoạn tới, góp phần tích cực vào công cuộc chuyển đổi số, xây dựng Chính phủ số, Nhà nước số.
TÀI LIỆU THAM KHẢO [1]. Federal Office for Information Security (BSI), Technical Guideline TR-02102-1 "Cryptographic Mechanisms: Recommendations and Key Lengths", February 2024. [2]. National Institute of Standards and Technology (NIST), Special Publication 800-57 Part 1 Rev. 5, “Recommendation for Key Management: Part 1 - General”, May 2020. [3]. Bao Yan et al, “Factoring integers with sublinear resources on a superconducting quantum processor”, 12/2022. [4]. Ban Cơ yếu Chính phủ, 379/BCY-CTSBMTT, “V/v Cung cấp chứng thư số sử dụng thuật toán ký số RSA có độ dài khóa đến 3072 bit”, 19/10/2023. |
ThS. Lê Quang Tùng, Ban Cơ yếu Chính phủ