Quy chuẩn QCVN 15:2023/BQP về Đặc tính kỹ thuật sản phẩm bảo mật dữ liệu lưu giữ

1.6  Ký hiệu

Ký hiệu

Mô tả

nlen

Đối với thuật toán RSA: nlen là độ dài modulo theo bit;

Đối với thuật toán ECDSA, GOST R 34.10-2012, GOST R 34.10-2001: nlen là độ dài theo bit của cấp của phần tử sinh

L

Đối với thuật toán DSA: L là độ dài của tham số miền p theo bit

N

...

...

...

2  QUY ĐỊNH KĨ THUẬT

Các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ phải tuân thủ các quy định an toàn sau:

2.1  Quy định về thuật toán mật mã

2.1.1  Thuật toán mã hóa đối xứng

- Sử dụng thuật toán trong danh sách sau:

Bảng 1 - Danh mục thuật toán mã hóa đối xứng được phép sử dụng

STT

Thuật toán

Tham chiếu

...

...

...

TDEA

[TCVN 11367-3], [TCVN 12213], [SP 800-38E], [SP 800-38D]

2

AES

3

GOSTR 34.12-2015

[TCVN 12213], [RFC 7801]

2.1.2  Thuật toán mật mã phi đối xứng

- Sử dụng thuật toán trong danh sách sau:

...

...

...

STT

Thuật toán

Tham chiếu

1

RSA

[FIPS 186-4], [SP 800-56B Rev. 2]

2

DSA

[FIPS 186-4]

...

...

...

ECDSA

4

GOST R34.10-2001

[RFC 5832]

5

GOST R34.10-2012

[RFC7091]

2.1.3  Thuật toán băm

- Sử dụng thuật toán trong danh sách sau:

...

...

...

STT

Thuật toán

Tham chiếu

1

SHA-256, SHA-384, SHA-512/256, SHA-512

[TCVN 11816-3], [FIPS 180-4]

2

SHA3-256, SHA3-384, SHA3-512

[FIPS 202]

...

...

...

- Sử dụng thuật toán trong danh sách sau:

Bảng 4 - Danh mục thuật toán xác thực thông điệp được phép sử dụng

STT

Thuật toán

Tham chiếu

1

HMAC_SHA_256_128

[RFC 4868]

2

...

...

...

3

HMAC_SHA_384_192

4

HMAC_SHA_384

5

HMAC_SHA_512_256

6

HMAC_SHA_512

7

...

...

...

[FIPS 198-1], [FIPS 202]

8

HMAC_SHA3_384

9

HMAC_SHA3_512

2.1.5  Hàm dẫn xuất khóa

- Sử dụng hàm dẫn xuất khóa trong danh sách sau:

Bảng 5 - Danh mục hàm dẫn xuất khóa được phép sử dụng

STT

...

...

...

Tham chiếu

1

PBKDF2

[SP 800-132]

2

Argon2

RFC 9106

2.1.6  Bộ tạo số ngẫu nhiên

- Sử dụng bộ tạo số ngẫu nhiên trong danh sách sau:

...

...

...

STT

Thuật toán

Tham chiếu

1

Hash_DRBG

[TCVN 12853]

2

HMAC_DRBG

3

...

...

...

4

XOR-NRBG

[SP 800-90C]

5

Oversampling-NRBG

2.2  Quy định về đặc tính kỹ thuật và thời gian sử dụng

2.2.1  Thuật toán mã hóa đối xứng

Việc sử dụng thuật toán mã hóa đối xứng phải tuân thủ các quy định sau:

Bảng 7 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với thuật toán mã hóa đối xứng

...

...

...

Thuật toán

Kích thước khóa theo bit

Các chế độ cho phép sử dụng

Sử dụng đến năm

1

TDEA

192

CBC

2025

...

...

...

AES

≥ 128

XTS, CCM, GCM, CBC, KW, KWP

2027

3

GOST

R 34.12-2015

256

CCM, GCM, CBC

...

...

...

2.2.2  Thuật toán mật mã phi đối xứng

Việc sử dụng thuật toán mật mã phi đối xứng phải tuân thủ các quy định sau:

Bảng 8 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với thuật toán mật mã phi đối xứng

STT

Thuật toán

Kích thước tham số theo bit

Sử dụng đến năm

1

RSA

...

...

...

2025

nlen ≥ 3072

2027

2

DSA

L = 2048, N = 256

2025

L ≥ 3072, N ≥ 256

2027

...

...

...

ECDSA

nlen ≥ 256

2027

4

GOSTR 34.10-2012

nlen ≥ 256

2027

5

GOSTR 34.10-2001

...

...

...

Các tiêu chuẩn cho tham số an toàn, các thuật toán sinh, các bộ tham số cụ thể cho các thuật toán RSA, DSA, ECDSA trong quy chuẩn này áp dụng theo tiêu chuẩn FIPS 186-4.

Các bộ tham số cụ thể cho thuật toán GOST R 34.10-2001, GOST R 34.10-2012 trong quy chuẩn này áp dụng theo RFC 5832 và RFC 7091.

2.2.3  Thuật toán băm

Việc sử dụng thuật toán băm phải tuân thủ các quy định sau:

Bảng 9 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với thuật toán băm

STT

Thuật toán

Sử dụng đến năm

1

...

...

...

2027

2

SHA3-256, SHA3-384, SHA3-512

2027

2.2.4  Thuật toán xác thực thông điệp

Việc sử dụng thuật toán xác thực thông điệp phải tuân thủ các quy định sau:

Bảng 10 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với thuật toán xác thực thông điệp

STT

Thuật toán

...

...

...

1

HMAC_SHA_256_128

2027

2

HMAC_SHA_256

2027

3

HMAC_SHA_384_192

2027

...

...

...

HMAC_SHA_384

2027

5

HMAC_SHA_512_256

2027

6

HMAC_SHA_512

2027

7

...

...

...

2027

8

HMAC_SHA3_256

2027

9

HMAC_SHA3_384_192

2027

10

HMAC_SHA3_384

...

...

...

11

HMAC_SHA3_512_256

2027

12

HMAC_SHA3_512

2027

2.2.5  Hàm dẫn xuất khóa

Việc sử dụng hàm dẫn xuất khóa phải tuân thủ các quy định sau:

Bảng 11- Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với hàm dẫn xuất khóa

...

...

...

Thuật toán

Sử dụng đến năm

1

PBKDF2

2027

2

Argon2

2027

2.2.6  Bộ tạo số ngẫu nhiên

...

...

...

Bảng 12 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với bộ tạo số ngẫu nhiên

STT

Thuật toán

Sử dụng đến năm

1

Hash_DRBG

2027

2

HMAC_DRBG

...

...

...

3

CTR_DRBG(AES)

2027

4

XOR-NRBG

2027

5

Oversampling-NRBG

2027

...

...

...

- Trong mã hóa/giải mã dữ liệu bằng thuật toán mã hóa đối xứng phải sử dụng một trong các chế độ sau: XTS, CCM, GCM, CBC.

- Trong bọc khóa bằng thuật toán mã hóa đối xứng phải sử dụng một trong các chế độ sau: KW, KWP, CCM, GCM, CBC.

- Các khóa mật mã chỉ được sử dụng cho một mục đích, không được phép sử dụng chung khóa để mã hóa khóa và mã hóa dữ liệu.

- Đối với dữ liệu lưu giữ dài hạn phải sử dụng các chế độ sau:

+ Chế độ XTS cho lưu giữ bằng ổ đĩa cứng (HDD).

+ Chế độ CCM, GCM cho lưu giữ bằng băng từ hoặc bộ nhớ flash.

+ Trong trường hợp các chế độ trên không khả dụng thì được phép sử dụng chế độ CBC.

- Đối với thuật toán RSA, chỉ được phép sử dụng lược đồ KTS-OAEP và KTS-KEM-KWS cho vận chuyển khóa.

- Trong mã hóa dữ liệu được truyền tải, áp dụng hai giao thức IPSec và TLS (phiên bản TLS 1.2 và TLS 1.3) để cung cấp khả năng bảo vệ bổ sung (nếu có).

...

...

...

3.1  Các mức giới hạn của đặc tính kỹ thuật mật mã nêu tại Quy chuẩn này là các chỉ tiêu chất lượng phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm mật mã dân sự được quy định tại Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015.

3.2  Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm, khắc phục hậu quả khi bị xử phạt vi phạm hành chính theo Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 của Bộ khoa học và Công nghệ quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật, trong Quy chuẩn này được thực hiện theo phương thức 1; Thông tư số 02/2017/TT-BKHCN ngày 31/3/2017 của Bộ khoa học và Công nghệ sửa đổi, bổ sung một số điều của Thông tư số 28/2012/TT-BKHCN ngay 12/12/2012; Nghị định số 126/2021/NĐ-CP ngày ngày 30 tháng 12 năm 2021 của Chính phủ sửa đổi, bổ sung một số điều của các nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực sở hữu công nghiệp; tiêu chuẩn, đo lường và chất lượng sản phẩm, hàng hóa; hoạt động khoa học và công nghệ, chuyển giao công nghệ; năng lượng nguyên tử; Thông tư số 06/2020/TT-BKHCN ngày 10/12/2020 của Bộ Khoa học và Công nghệ quy định chi tiết và biện pháp thi hành một số điều Nghị định số 132/2008/NĐ-CP ngày 31 tháng 12 năm 2008, Nghị định số 74/2018/NĐ-CP ngày 15 tháng 5 năm 2018, Nghị định số 154/2018/NĐ-CP ngày 09 tháng 11 năm 2018 và Nghị định số 119/2017/NĐ-CP ngày 01 tháng 11 năm 2017 của Chính phủ và các văn bản quy phạm pháp luật có liên quan. Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật.

3.3  Dấu hợp quy được sử dụng trực tiếp trên sản phẩm hoặc trên bao gói hoặc trên nhãn gắn trên sản phẩm hoặc trong chứng chỉ chất lượng, tài liệu kỹ thuật của sản phẩm.

3.4  Chấp nhận kết quả thử nghiệm của tổ chức thử nghiệm trong nước được chỉ định và tổ chức thử nghiệm nước ngoài được công nhận phù hợp với tiêu chuẩn ISO/IEC 17025 theo các yêu cầu kỹ thuật tương ứng trong Quy chuẩn này.

3.5  Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ là cơ quan tiếp nhận công bố hợp quy, kiểm tra nhà nước về chất lượng sản phẩm mật mã dân sự.

4  TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

Các tổ chức, cá nhân có hoạt động sản xuất, kinh doanh sản phẩm mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định hiện hành.

5  TỔ CHỨC THỰC HIỆN

5.1  Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng rà soát, sửa đổi, bổ sung hoặc ban hành thay thế Quy chuẩn này để đảm bảo phù hợp với thực tiễn và đáp ứng yêu cầu quản lý.

...

...

...

5.3  Thanh tra, kiểm tra sản phẩm mật mã dân sự được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất./.

PHỤ LỤC

(Quy định)

Quy định về mã HS của sản phẩm bảo mật dữ liệu lưu giữ

STT

Tên sản phẩm, hàng hóa theo QCVN

Mã HS

Mô tả sản phẩm hàng hóa

...

...

...

Sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ

8471.30.90

Sản phẩm có chức năng mã hóa dữ liệu lưu giữ

02

8471.41.90

03

8471.49.90

04

...

...

...

05

8471.70.20

06

8471.70.99

07

8517.69.00

08

8517.70.29

09

...

...

...

10

8517.70.99

11

8523.51.11

12

8523.51.19

13

8523.51.21

14

...

...

...

15

8523.51.30

16

8523.51.91

17

8523.51.92

18

8523.51.99

19

...

...

...

20

8542.31.00

TÀI LIỆU THAM KHẢO

[1] . National Institute of Standards and Technology, Special Publication 800-131A “Transitioning the Use of Cryptographic Algorithms and Key Lengths”, March 2019.

[2] . National Institute of Standards and Technology, Special Publication 800-132 “Recommendation for Password-Based Key Derivation: Part 1: Storage Applications”, December 2010.

[3]. National Institute of Standards and Technology, Special Publication 800-57 Part 1 Rev. 5 “Recommendation for Key Management: Part 1 - General”, May 2020.

[4]. National Institute of Standards and Technology, Special Publication 800-56B Revision 2 “Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography”, March 2019.

[5]. National Institute of Standards and Technology, Special Publication 800-90A “Recommendation for Random Number Generation Using Deterministic Random Bit Generators”, June 2015.

...

...

...

[7]. National Institute of Standards and Technology, Special Publication 800-38D, “Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC” November 2007.

[8]. National Institute of Standards and Technology, Special Publication 800-38F, “Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping”, December 2012.

[9]. National Institute of Standards and Technology, Special Publication 800-90C (Second Draft) “Recommendation for Random Bit Generator (RBG) Constructions”, April 2016.

[10]. Storage Networking Industry Association (SNIA), “TLS Specification for Storage Systems Version 1.0”, December 2013.