Ban hành Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong sản phẩm mật mã dân sự
Hệ thống tiêu chuẩn quốc gia về MMDS và quy chuẩn kỹ thuật quốc gia về MMDS là hành lang kỹ thuật, đóng vai trò quan trọng định hình sự tồn tại, phát triển của sản phẩm, dịch vụ MMDS, đồng thời cũng là những công cụ pháp lý rất quan trọng được sử dụng phổ biến trong hoạt động quản lý nhằm hướng tới các tiêu chí đảm bảo chất lượng sản phẩm mật mã, đảm bảo an toàn thông tin góp phần bảo vệ an ninh quốc gia.
Theo đó, quy chuẩn này quy định mức giới hạn các đặc tính kỹ thuật mật mã của các sản phẩm bảo mật luồng IP sử dụng công nghệ Ipsec và TLS phục vụ bảo vệ thông tin không thuộc phạm vi bí mật nhà nước. Quy chuẩn này áp dụng với các tổ chức, cá nhân kinh doanh và sử dụng sản phẩm mật mã dân sự để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.
Đối với các sản phẩm mật mã sử dụng công nghệ Ipsec VPN được phép sử dụng giao thức trao đổi khóa IKEv1 và IKEv2, giao thức đóng gói ESP. Đối với các sản phẩm mật mã dân sự sử dụng công nghệ TLS VPN được phép sử dụng giao thức TLS 1.2 và TLS 1.3.
Với các sản phẩm mật mã dân sự sử dụng công nghệ Ipsec VPN, TLS VPN yêu cầu đáp ứng các quy định sau:
Thuật toán mã đối xứng
Thuật toán mã phi đối xứng
Thuật toán băm
Thuật toán xác thực thông điệp
Bộ tạo số ngẫu nhiên
Đối với quy định về an toàn thời gian sử dụng
Thuật toán mật mã đối xứng
Thuật toán mật mã phi đối xứng
Thuật toán băm
Thuật toán xác thực thông điệp
Về quy định về an toàn sử dụng trong giao thức Ipsec:
- Không được phép sử dụng chế độ Aggressive trong giao thức IKEv1, giao thức IKEv1 được phép sử dụng đến năm 2025.
- Không được phép sử dụng giao thức AH.
- Không được phép sử dụng giao thức ESP chỉ có cơ chế xác thực dữ liệu.
- Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).
Đối với quy định về an toàn sử dụng trong giao thức TLS:
- Không được phép trao đổi khóa dựa trên thuật toán Diffie-Hellman sử dụng khóa cố định (Static Diffie-Hellman).
- Không được phép cài đặt các mở rộng cho phép sử dụng những phiên bản trước TLS 1.2 trên máy chủ TLS.
- Sử dụng định dạng chứng thư số X.509 v3 cho TLS (nếu có).
- Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).
- Không được phép sử dụng phần mở rộng Heartbeat.
- Yêu cầu bổ sung đối với phiên bản TLS 1.3:
+ Không được phép sử dụng chế độ CBC trong mã hóa đối xứng
+ Không được phép sử dụng chế độ MAC-then-Encrypt (Non-AHEAD Ciphers).
+ Không được phép trao đổi khóa sử dụng thuật toán RSA.
+ Không được phép sử dụng lược đồ ký số/ xác thực RSASSA-PKCS1-v1_5.
Việc ban hành quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPSec và TLS để phục vụ quản lý nhà nước về MMDS góp phần nâng cao chất lượng sản phẩm, bảo đảm an toàn thông tin tại Việt Nam là hết sức cần thiết. Qua đó, góp phần vào mục tiêu đảm bảo an toàn, an ninh thông tin quốc gia, thúc đẩy phát triển kinh tế, xã hội của đất nước trong kỷ nguyên số.
Thu Trang