Danh mục tiêu chuẩn bắt buộc về kỹ thuật mật mã áp dụng cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử
ĐÁNH GIÁ HIỆU QUẢ VÀ CƠ SỞ PHÁP LÝ CỦA ĐỊNH DANH ĐIỆN TỬ TẠI VIỆT NAM
Việc sử dụng định danh và xác thực điện tử mang lại rất nhiều lợi ích cho Chính phủ, doanh nghiệp và cả người dân. Chính phủ cũng đã có những chính sách rất cụ thể và đẩy nhanh việc triển khai, áp dụng hệ thống định danh và xác thực điện tử. Ngày 25/6/2024, Chính phủ ban hành Nghị định số 69/2024/NĐ-CP quy định về định danh và xác thực điện tử có hiệu lực từ ngày 01/7/2024 thay thế cho Nghị định số 59/2022/NĐ-CP.Về căn cứ pháp lý, Luật An toàn thông tin mạng (có hiệu lực thi hành từ ngày 01/7/2016) đã quy định cụ thể về việc quản lý chất lượng sản phẩm mật mã dân sự (MMDS), trong đó tại khoản 4 Điều 52 quy định: Ban Cơ yếu Chính phủ (CYCP) giúp Bộ trưởng Bộ Quốc phòng thực hiện quản lý nhà nước về MMDS, có nhiệm vụ sau đây: (a) Xây dựng, trình cấp có thẩm quyền ban hành văn bản quy phạm pháp luật về quản lý MMDS; (b) Chủ trì, phối hợp với bộ, ngành có liên quan xây dựng, trình cơ quan nhà nước có thẩm quyền ban hành tiêu chuẩn quốc gia, quy chuẩn kỹ thuật quốc gia đối với sản phẩm, dịch vụ MMDS; tại khoản 7 Điều 38 quy định: Ban CYCP có trách nhiệm giúp Bộ trưởng Bộ Quốc phòng xây dựng dự thảo tiêu chuẩn quốc gia đối với sản phẩm, dịch vụ MMDS trình cơ quan nhà nước có thẩm quyền công bố và hướng dẫn thực hiện; xây dựng, trình Bộ trưởng Bộ Quốc phòng ban hành quy chuẩn kỹ thuật quốc gia đối với sản phẩm, dịch vụ MMDS, chỉ định và quản lý hoạt động của tổ chức chứng nhận sự phù hợp đối với sản phẩm, dịch vụ MMDS; quản lý chất lượng sản phẩm, dịch vụ MMDS; Quy định tại khoản 1 Điều 38 Nghị định số 69/2024/NĐ- CP của Chính phủ về Trách nhiệm của Ban CYCP: Hướng dẫn áp dụng tiêu chuẩn, quy chuẩn kỹ thuật MMDS và sử dụng dịch vụ chứng thực chữ ký số chuyên dùng công vụ trong hoạt động định danh và xác thực điện tử.
Việc ban hành Thông tư Danh mục quy định tiêu chuẩn bắt buộc về kỹ thuật mật mã áp dụng cho mô- đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử để thực hiện các mục tiêu:
- Thống nhất các yêu cầu kỹ thuật và quản lý các kỹ thuật mật mã trong lĩnh vực MMDS được sử dụng;
- Quy định việc áp dụng các kỹ thuật mật mã đảm bảo an toàn và hiệu quả đối với việc sử dụng mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử;
- Góp phần nâng cao tính an toàn của toàn bộ hệ thống định danh và xác thực điện tử.
Trong đó mô-đun an toàn phần cứng được xem là thành phần quan trọng nhất của hệ thống định danh và xác thực điện tử. Được xây dựng trên các quan điểm cơ bản sau đây: Bám sát quy định tại Luật An toàn thông tin mạng, trong đó giao Ban CYCP có trách nhiệm xây dựng, trình Bộ trưởng Bộ Quốc phòng ban hành quy chuẩn kỹ thuật quốc gia đối với sản phẩm, dịch vụ MMDS (khoản 7 Điều 38); Thực hiện quy định tại khoản 1 Điều 38 Nghị định số 69/2024/NĐ-CP của Chính phủ về Trách nhiệm của Ban CYCP: “Hướng dẫn áp dụng tiêu chuẩn, quy chuẩn kỹ thuật MMDS và sử dụng dịch vụ chứng thực chữ ký số chuyên dùng công vụ trong hoạt động định danh và xác thực điện tử”; Đáp ứng yêu cầu cấp thiết của thực tiễn quản lý nhà nước về MMDS; Tạo điều kiện thuận lợi cho các tổ chức, cá nhân trong việc áp dụng kỹ thuật mật mã cho cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử.
NỘI DUNG DANH MỤC TIÊU CHUẨN
Bảng 1. Thuật toán mật mã đối xứng
Bảng 2. Thuật toán mật mã phi đối xứng
Bảng 3. Mô tả các ký hiệu
Bảng 4. Thuật toán băm và mã xác thực thông báo
Bảng 5. Hàm dẫn suất khóa
Bảng 6. Bộ tạo bit ngẫu nhiên
Bảng 7. Lưu trữ các tham số an toàn
Bảng 8. Giao diện lập trình ứng dụng
Nội dung Danh mục tiêu chuẩn bao gồm quy định về mức giới hạn của đặc tính kỹ thuật mật mã được sử dụng cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử phải tuân thủ để đảm bảo an toàn; bảo vệ lợi ích và an ninh quốc gia và các yêu cầu thiết yếu khác. Căn cứ vào quá trình rà soát các đặc tính kỹ thuật mật mã được sử dụng trong các mô-đun an toàn phần cứng đã được Ban CYCP cấp phép và các phân tích đưa ra như trên cơ quan soạn thảo đề xuất các quy định trong Bảng 1 - 8 như trên.
KẾT LUẬN
Việc ban hành Thông tư “Danh mục tiêu chuẩn bắt buộc về kỹ thuật mật mã áp dụng cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử” để góp phần nâng cao chất lượng sản phẩm, bảo đảm an toàn thông tin tại Việt Nam là hết sức cần thiết để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước. Áp dụng đối với tổ chức, cá nhân được quy định tại Nghị định số 69/2024/NĐ-CP và các tổ chức khai thác cơ sở dữ liệu về định danh và xác thực điện tử.
TS. Hồ Văn Hương (Cục trưởng Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã)