Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong nhóm sản phẩm bảo mật luồng IP dân sự

08:00 | 18/11/2021 | CHÍNH SÁCH - CHIẾN LƯỢC
Hệ thống quy chuẩn kỹ thuật quốc gia về mật mã dân sự (MMDS) là hành lang kỹ thuật, đóng vai trò quan trọng định hình sự tồn tại, phát triển của sản phẩm, dịch vụ MMDS. Đồng thời, cũng là những công cụ pháp lý rất quan trọng được sử dụng phổ biến trong hoạt động quản lý nhằm hướng tới các tiêu chí đảm bảo chất lượng sản phẩm mật mã, đảm bảo an toàn thông tin góp phần bảo vệ an ninh quốc gia. Quy chuẩn này quy định mức giới hạn các đặc tính kỹ thuật mật mã của các sản phẩm bảo mật luồng IP sử dụng công nghệ TLS VPN, IPSec VPN áp dụng đối với các tổ chức, cá nhân kinh doanh và sử dụng sản phẩm MMDS phục vụ bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

NHU CẦU VỀ SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM BẢO MẬT LUỒNG IP

Đảm bảo an toàn thông tin (ATTT) là một nhu cầu thiết yếu để thúc đẩy và phát triển công nghệ thông tin nói riêng và nền kinh tế nói chung. Các nguy cơ về mất an toàn, an ninh thông tin cũng luôn xảy ra trên mọi lĩnh vực và thực tế đã xảy ra rất nhiều các cuộc tấn công, đe dọa, lấy cắp thông tin và lộ, lọt thông tin đặc biệt gây hại trong các lĩnh vực quan trọng như tài chính - ngân hàng, bảo hiểm, giao thông, chứng khoán…

Trước tình hình phức tạp về mất ATTT hiện nay, nhu cầu về bảo mật an toàn thông tin trong hệ thống các cơ quan nhà nước, các tổ chức, doanh nghiệp và cá nhân ngày càng gia tăng, hoạt động kinh doanh sản phẩm, dịch vụ MMDS và xuất khẩu, nhập khẩu sản phẩm MMDS tăng lên nhanh chóng với quy mô rộng trên phạm vi cả nước. Sản phẩm MMDS không ngừng cải tiến công nghệ và các tính năng mật mã, ngày càng phong phú về chủng loại thiết bị, đáp ứng yêu cầu đa dạng của thị trường trong nước; yêu cầu triển khai các giải pháp và sản phẩm MMDS trong hệ thống các cơ quan nhà nước, các tổ chức và doanh nghiệp cũng tăng lên nhanh chóng...

Theo khảo sát, thống kê tại Danh mục sản phẩm MMDS được Ban Cơ yếu Chính phủ (CYCP) cấp phép, có trên 75% sản phẩm thuộc nhóm sản phẩm bảo mật luồng IP. Đa số các sản phẩm bảo mật luồng IP đều sử dụng một trong hai công nghệ là IPSec VPN và TLS VPN.

TÍNH CẤP THIẾT CỦA VIỆC BAN HÀNH QUY CHUẨN

Triển khai thực hiện nhiệm vụ được giao tại Luật An toàn thông tin mạng ngày 19/11/2015, trong đó giao cho “Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng thực hiện quản lý nhà nước về mật mã dân sự” (khoản 4 Điều 52). “Ban Cơ yếu Chính phủ có trách nhiệm giúp Bộ trưởng Bộ Quốc phòng xây dựng, trình Bộ trưởng Bộ Quốc phòng ban hành quy chuẩn kỹ thuật quốc gia đối với sản phẩm, dịch vụ mật mã dân sự, chỉ định và quản lý hoạt động của tổ chức chứng nhận sự phù hợp đối với sản phẩm, dịch vụ mật mã dân sự; quản lý chất lượng sản phẩm, dịch vụ mật mã dân sự” (khoản 7 Điều 38). Theo quy định tại Điều 39 Luật An toàn thông tin mạng “trước khi tổ chức, cá nhân đưa sản phẩm an toàn thông tin mạng vào lưu thông trên thị trường phải thực hiện chứng nhận hợp quy hoặc công bố hợp quy và sử dụng dấu hợp quy”.

Bên cạnh đó, yêu cầu thực tiễn tổ chức công tác quản lý chất lượng cần phải có công cụ, tiêu chí kỹ thuật để đánh giá, quản lý chất lượng dẫn đến cần phải có hệ thống quy chuẩn kỹ thuật quốc gia đối với sản phẩm MMDS để làm căn cứ tổ chức thực hiện. Do vậy, việc ban hành "Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm  sản phẩm bảo mật luồng IP" sử dụng công nghệ IPSec và TLS để phục vụ quản lý nhà nước về MMDS góp phần nâng cao chất lượng sản phẩm, bảo đảm an toàn thông tin tại Việt Nam là hết sức cần thiết.

Một số sản phẩm bảo mật luồng IP tiêu biểu như: Cisco ASA 5500 series của hãng Cisco, FortiGate 3000 series của hãng Fortinet, VIPNet của hãng InfoTecs, ... Các sản phẩm bảo mật luồng IP đã được cấp phép trong các năm gần đây sử dụng các thuật toán mã hóa phổ biến như Bảng 1 và Bảng 2 sau đây:

Bảng 1. Thuật toán mã hóa đối xứng

Bảng 2. Thuật toán mã hóa phi đối xứng

Trên cơ sở các tiêu chuẩn quốc tế và tiêu chuẩn Việt Nam đã ban hành trong lĩnh vực MMDS, các khuyến cáo của các tổ chức uy tín trên thế giới (Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ - NIST, Cơ quan an toàn thông tin liên bang Đức - BSI), các sản phẩm đã được Ban CYCP cấp phép và tình hình khảo sát thực tiễn khi áp dụng quy chuẩn, cơ quan soạn thảo đề xuất các yêu cầu về đặc tính kỹ thuật mật mã quy định trong quy chuẩn như sau:

Thuật toán mã hóa đối xứng

Trong hầu hết các hàm mật mã, độ dài khóa là một tham số bảo mật quan trọng trong việc chọn kích thước khóa thích hợp để bảo vệ hệ thống của bạn khỏi các cuộc tấn công toán học. Theo khuyến nghị về kích cỡ khóa an toàn tối thiểu của ECRYPT-CSA (Cộng đồng chung Châu Âu tháng 5/2020) thì đối với mật mã khóa đối xứng cần kích cỡ khóa 128 bit trở lên để đảm bảo an toàn cho 5-10 năm tới. Cùng với đó đã có nhiều đánh giá về độ an toàn của các thuật toán mã hóa đối xứng được sử dụng phổ biến trên thế giới (Bảng 3).

Bảng 3. Đánh giá độ an toàn của một số thuật toán mã hoá đối xứng

Trên cơ sở các khuyến nghị về an toàn đối với thuật toán mã hóa đối xứng và thực tế sản phẩm MMDS hiện đang quản lý cùng định hướng quản lý trong thời gian tới, cơ quan soạn thảo đề xuất sử dụng các thuật toán mã hóa đối xứng sau được phép sử dụng (Bảng 4).

Bảng 4. Các thuật toán mã hóa đối xứng được phép sử dụng

Thuật toán chữ ký số

Căn cứ vào độ an toàn được chỉ ra trong các tài liệu của TCVN-12214-3:2018 (ISO/IEC 148883:2016) về Công nghệ thông tin - Các kỹ thuật an toàn - Chữ ký số kèm phụ lục - Phần 3: Các cơ chế dựa trên logarit rời rạc thì độ an toàn được đề xuất cho chữ ký dựa trên logarit rời rạc DSA và ECDSA là 2112 tương đương với các tham số |p| = 2048, |q| = 224 của DSA và |p| = 224 - 255 đối với ECDSA; TCVN-7635:2007 (FIPS 180-2) về Kỹ thuật mật mã - Chữ ký số thì độ an toàn tương đương với 2112 của chữ ký số dựa trên thuật toán RSA sẽ là 2048.

Trên cơ sở các khuyến nghị về an toàn đối với thuật toán chữ ký số và thực tế sản phẩm MMDS hiện đang quản lý cùng định hướng quản lý trong thời gian tới, cơ quan soạn thảo đề xuất sử dụng các thuật toán ký số được phép sử dụng như trong Bảng 5.

Bảng 5. Các thuật toán chữ ký số được phép sử dụng

Ngoài ra trong quy chuẩn còn quy định về việc sử dụng hàm băm mật mã, mã xác thực thông báo, thuật toán trao đổi khóa, bộ tạo số ngẫu nhiên,....

KẾT LUẬN

Việc ban hành "Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP" sử dụng công nghệ IPSec và TLS để phục vụ quản lý nhà nước về MMDS góp phần nâng cao chất lượng sản phẩm, bảo đảm an toàn thông tin tại Việt Nam là hết sức cần thiết. Quy chuẩn kỹ thuật đã quy định mức giới hạn các đặc tính kỹ thuật mật mã của các sản phẩm bảo mật luồng IP sử dụng công nghệ TLS VPN, IPSec VPN như thuật toán mã hóa đối xứng, thuật toán ký số, thuật toán trao đổi khóa, thuật toán băm, thuật toán mã xác thực thông báo... và quy định thời hạn sử dụng cụ thể đối với từng thuật toán.

Trong thời gian tới, thực hiện nhiệm vụ quản lý nhà nước về MMDS, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã tiếp tục tham mưu, xây dựng trình các cơ quan chức năng, ban hành tiêu chuẩn quốc gia, quy chuẩn kỹ thuật quốc gia về lĩnh vực MMDS, phục vụ chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021-2025, định hướng 2030 theo Quyết định 942/QĐ-TTg của Thủ tướng Chính phủ, đóng góp vào mục tiêu đảm bảo an toàn, an ninh thông tin quốc gia, thúc đẩy phát triển kinh tế - xã hội của đất nước trong kỷ nguyên số.

Đại tá, TS. Hồ Văn Hương

Tin cùng chuyên mục

Tin mới