trogiupluat.vn

QCVN 12:2022/BQP

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT LUỒNG IP SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS

National technical regulation on cryptographic technical specification used in civil cryptography products under IP security products group with IPsec and TLS

MỤC LỤC

Lời nói đầu

1  QUY ĐỊNH CHUNG

1.1  Phạm vi điều chỉnh

1.2  Đối tượng áp dụng

1.3  Tài liệu viện dẫn

1.4  Giải thích từ ngữ

1.5  Chữ viết tắt

1.6  Ký hiệu

2  QUY ĐỊNH KỸ THUẬT

2.1  Quy định chung

2.2  Quy định về đặc tính kỹ thuật mật mã

2.2.1  Quy định về thuật toán mật mã

2.2.2  Quy định về an toàn, thời gian sử dụng

2.3  Quy định về an toàn sử dụng trong giao thức

2.3.1  Quy định về an toàn sử dụng trong giao thức IPsec

2.3.2  Quy định về an toàn sử dụng trong giao thức TLS

3  QUY ĐỊNH VỀ QUẢN LÝ

4  TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

5  TỔ CHỨC THỰC HIỆN

PHỤ LỤC A

TÀI LIỆU THAM KHẢO

Lời nói đầu

QCVN 12:2022/BQP do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ biên soạn, Ban Cơ yếu Chính phủ trình duyệt, Bộ Khoa học và Công nghệ thẩm định, Bộ trưởng Bộ Quốc phòng ban hành kèm theo Thông tư số 23/2022/TT-BQP ngày 04 tháng 4 năm 2022.

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT LUỒNG IP SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS

National technical regulation on cryptographic technical specification used in civil cryptography products under IP security products group with IPsec and TLS

1  QUY ĐỊNH CHUNG

1.1  Phạm vi điều chỉnh

Quy chuẩn này quy định mức giới hạn các đặc tính kỹ thuật mật mã của các sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS phục vụ bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

1.2  Đối tượng áp dụng

Quy chuẩn này áp dụng đối với các tổ chức, cá nhân kinh doanh và sử dụng sản phẩm mật mã dân sự để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

1.3  Tài liệu viện dẫn

TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) “Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối”.

TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit”.

TCVN 12853:2020 (ISO/IEC 18031:2011 With amendment 1:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Bộ tạo bit ngẫu nhiên”.

TCVN 11816 (ISO/IEC 10118) “Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm - Phần 3: Hàm băm chuyên dụng”.

TCVN 11495-1:2016 (ISO/IEC 9797-1:2011) “Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác nhận thông điệp”.

National Institute of Standards and Technology, FIPS 186-4 “Digital Signature Standard (DSS)”, July 2013.

National Institute of Standards and Technology, FIPS 180-4 “Secure Hash Standard (SHS)”, August 2015.

National Institute of Standards and Technology, FIPS 198-1 “The Keyed-Hash Message Authentication Code (HMAC)”, July 2008.

National Institute of Standards and Technology, FIPS 202 “SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions”, National Institute of Standards and Technology, August 2015.

[RFC 4309]: “Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)”, Internet Engineering Task Force (IETF), December 2005.

[RFC 2612]: “The CAST-256 Encryption Algorithm”, Internet Engineering Task Force (IETF), June 1999

[RFC 7801]: “GOST R 34.12-2015: Block Cipher “Kuznyechik”, Internet Engineering Task Force (IETF), March 2016.

[RFC 5832]: “GOST R 34.10-2001: Digital Signature Algorithm”, Internet Engineering Task Force (IETF), March 2010.

[RFC 7091]: “GOST R 34.10-2012: Digital Signature Algorithm”, Internet Engineering Task Force (IETF), December 2013.

[RFC 3566]: “The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec”, Internet Engineering Task Force (IETF), September 2003.

[RFC 4494]: “The AES-CMAC-96 Algorithm and Its use with IPsec”, Internet Engineering Task Force (IETF), June 2006.

[RFC 4868]: “Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec”, Internet Engineering Task Force (IETF), May 2007.

1.4  Giải thích từ ngữ

Trong Quy chuẩn này, các từ ngữ dưới đây được hiểu như sau:

1.4.1  Thông tin không thuộc phạm vi bí mật nhà nước

Là thông tin không thuộc nội dung tin “tuyệt mật”, “tối mật” và “mật” được quy định tại Luật bảo vệ bí mật nhà nước ngày 15 tháng 11 năm 2018.

1.4.2  Mật mã

Là những quy tắc, quy ước riêng dùng để thay đổi hình thức biểu hiện thông tin nhằm bảo đảm bí mật, xác thực, toàn vẹn của nội dung thông tin.

1.4.3  Mật mã dân sự

Là kỹ thuật mật mã và sản phẩm mật mã được sử dụng để bảo mật hoặc xác thực đối với thông tin không thuộc phạm vi bí mật nhà nước.

1.4.4  Sản phẩm mật mã dân sự

Là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

1.4.5  Sản phẩm bảo mật luồng IP

Là sản phẩm mật mã sử dụng các kỹ thuật, công nghệ mật mã để đảm bảo an toàn bảo mật cho dữ liệu truyền, nhận trên môi trường mạng IP.

1.4.6  Kỹ thuật mật mã

Là phương pháp, phương tiện có ứng dụng mật mã để bảo vệ thông tin.

1.4.7  Mã hóa

Là quá trình dùng kỹ thuật mật mã để thay đổi hình thức biểu hiện thông tin.

1.4.8 Giải mã

Là phép biến đổi ngược của quá trình mã hóa tương ứng.

1.4.9  Khóa

Là dãy ký tự điều khiển hoạt động của biến đổi mật mã

1.4.10  Mật mã đối xứng

Là mật mã trong đó khóa được sử dụng cho các phép mã hóa, giải mã là trùng nhau hoặc dễ dàng tính toán được khóa mã hóa khi biết khóa giải mã và ngược lại.

1.4.11  Mật mã phi đối xứng

Là mật mã trong đó khóa được sử dụng cho phép mã hóa hoặc giải mã gồm hai thành phần là khóa công khai và khóa riêng với đặc tính có thể dễ dàng tính toán được khóa công khai nếu biết khóa riêng nhưng không khả thi về mặt tính toán để tính được khóa riêng từ khóa công khai.

1.4.12  Thuật toán băm

Là thuật toán thực hiện quá trình biến đổi chuỗi dữ liệu đầu vào có độ dài bất kỳ thành một chuỗi dữ liệu đầu ra đặc trưng có độ dài cố định.

1.4.13  Thuật toán xác thực thông điệp

Là thuật toán biến đổi các chuỗi dữ liệu đầu vào và khóa bí mật thành các chuỗi dữ liệu đầu ra có độ dài cố định thỏa mãn các tính chất sau đây:

- Dễ dàng tính toán với bất kỳ khóa và chuỗi dữ liệu đầu vào nào;

- Với khóa cố định bất kỳ và không biết trước khóa, bằng tính toán không thể tính được giá trị chuỗi dữ liệu đầu ra với bất kỳ chuỗi dữ liệu đầu vào mới nào.

1.5 Chữ viết tắt

1.6 Ký hiệu

2  QUY ĐỊNH KỸ THUẬT

2.1  Quy định chung

- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ IPsec VPN được phép sử dụng giao thức trao đổi khóa IKEv1 và IKEv2, giao thức đóng gói ESP.

- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ TLS VPN được phép sử dụng giao thức TLS 1.2 và TLS 1.3.

2.2  Quy định về đặc tính kỹ thuật mật mã

2.2.1  Quy định về thuật toán mật mã

Các sản phẩm mật mã dân sự sử dụng công nghệ IPsec VPN, TLS VPN yêu cầu đáp ứng các quy định sau:

2.2.1.1 Thuật toán mật mã đối xứng

- Sử dụng thuật toán trong danh sách sau:

2.2.1.2  Thuật toán mật mã phi đối xứng

- Sử dụng thuật toán trong danh sách sau:

2.2.1.3  Thuật toán băm

- Sử dụng thuật toán trong danh sách sau:

2.2.1.4  Thuật toán xác thực thông điệp

- Sử dụng thuật toán trong danh sách sau:

2.2.1.5  Bộ tạo số ngẫu nhiên

- Sử dụng bộ tạo số ngẫu nhiên trong danh sách sau:

2.2.2  Quy định về an toàn, thời gian sử dụng

2.2.2.1  Thuật toán mật mã đối xứng

2.2.2.2  Thuật toán mật mã phi đối xứng

CHÚ THÍCH:

Các tiêu chuẩn cho tham số an toàn, các thuật toán sinh, các bộ tham số cụ thể cho các thuật toán RSA, DSA, DH, ECDH, ECDSA trong quy chuẩn này áp dụng theo tiêu chuẩn FIPS 186-4.

Các bộ tham số cụ thể cho thuật toán GOST R 34.10-2001, GOST R 34.10-2012 trong quy chuẩn này áp dụng theo RFC 5832 và RFC 7091.

2.2.2.3  Thuật toán băm

2.2.2.4 Thuật toán xác thực thông điệp

2.3  Quy định về an toàn sử dụng trong giao thức

2.3.1  Quy định về an toàn sử dụng trong giao thức IPsec

- Không được phép sử dụng chế độ Aggressive trong giao thức IKEv1, giao thức IKEv1 được phép sử dụng đến năm 2025.

- Không được phép sử dụng giao thức AH.

- Không được phép sử dụng giao thức ESP chỉ có cơ chế xác thực dữ liệu.

- Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).

2.3.2  Quy định về an toàn sử dụng trong giao thức TLS

- Không được phép trao đổi khóa dựa trên thuật toán Diffie-Hellman sử dụng khóa cố định (Static Diffie-Hellman).

- Không được phép cài đặt các mở rộng cho phép sử dụng những phiên bản trước TLS 1.2 trên máy chủ TLS.

- Sử dụng định dạng chứng thư số X.509 v3 cho TLS (nếu có).

- Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).

- Không được phép sử dụng phần mở rộng Heartbeat.

- Yêu cầu bổ sung đối với phiên bản TLS 1.3:

+ Không được phép sử dụng chế độ CBC trong mã hóa đối xứng

+ Không được phép sử dụng chế độ MAC-then-Encrypt (Non-AHEAD Ciphers).

+ Không được phép trao đổi khóa sử dụng thuật toán RSA.

+ Không được phép sử dụng lược đồ ký số/ xác thực RSASSA-PKCS1-v1_5.

3  QUY ĐỊNH VỀ QUẢN LÝ

3.1  Các mức giới hạn của đặc tính kỹ thuật mật mã nêu tại Quy chuẩn này là các chỉ tiêu chất lượng phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm mật mã dân sự được quy định tại Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015.

3.2  Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm, khắc phục hậu quả khi bị xử phạt vi phạm hành chính theo Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012, Thông tư số 02/2017/TT-BKHCN ngày 31/3/2017 sửa đổi, bổ sung một số điều của Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012, Thông tư số 06/2020/TT-BKHCN ngày 10/12/2020. Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật

3.3  Hoạt động kiểm tra, đánh giá chất lượng sản phẩm mật mã dân sự được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất.

4  TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

Các tổ chức, cá nhân có hoạt động kinh doanh sản phẩm mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định hiện hành.

5  TỔ CHỨC THỰC HIỆN

Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ có trách nhiệm hướng dẫn, tổ chức triển khai quản lý kỹ thuật mật mã theo Quy chuẩn này.

Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng rà soát, sửa đổi, bổ sung Quy chuẩn này để đảm bảo phù hợp với thực tiễn và đáp ứng yêu cầu quản lý./.

PHỤ LỤC A

(Quy định)

Quy định về mã HS của sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS

TÀI LIỆU THAM KHẢO

1. National Institute of Standards and Technology, “Guide to IPsec VPNs”, June 2020.

2. National Institute of Standards and Technology, “Guide to SSL VPNs” July 2008.

3. National Institute of Standards and Technology, “Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations”, August 2019.

4. Federal Office for Information Security, Technical Guideline TR-02102-2 “Cryptographic Mechanisms: Recommendations and Key Lengths”. 2021.

5. Federal Office for Information Security, Technical Guideline TR-02102-3 “Cryptographic Mechanisms: Recommendations and Key Lengths”, 2021.

6. National Institute of Standards and Technology, Special Publication 800-131A “Transitioning the Use of Cryptographic Algorithms and Key Lengths”, March 2019.

7. National Institute of Standards and Technology, Special Publication 800-90A “Recommendation for Random Number Generation Using Deterministic Random Bit Generators”, June 2015.

8. National Institute of Standards and Technology, Special Publication 800-90C (Second Draft) “Recommendation for Random Bit Generator (RBG) Constructions”, April 2016.

9. National Institute of Standards and Technology, Special Publication 800-57 Part 1 Rev. 5 “Recommendation for Key Management: Part 1 - General”, May 2020.

10. National Institute of Standards and Technology, Special Publication 800-203 “2017 NIST/ITL Cybersecurity Program Annual Report”, July 2018.

11. National Institute of Standards and Technology, Special Publication 800-56A “Recommendation for Pair-Wise Key Establishment Schemes UsingDiscrete Logarithm Cryptography”, May 2013.

12. National Institute of Standards and Technology, Special Publication 800-56B Revision 2 “Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography”, March 2019.

13. National Institute of Standards and Technology, Special Publication 800-38D “Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC” November 2007.

14. RSA Laboratories, “PKCS#1 v2.1: RSA Cryptography Standard”, June 2002.

15. [RFC 8247]: “Algorithm Implementation Requirements and Usage Guidance for the Internet Key Exchange Protocol Version 2 (IKEv2)”, Internet Engineering Task Force (IETF), September 2017.

16. [RFC 7427]: “Signature Authentication in the Internet Key Exchange Version 2 (IKEv2)”, Internet Engineering Task Force (IETF), January 2015.

17. [RFC 4754]: “IKE and IKEv2 Authentication Using the Elliptic Curve Digital Signature Algorithm (ECDSA)”, Internet Engineering Task Force (IETF), January 2007.

18. [RFC 8446]: “The Transport Layer Security (TLS) Protocol Version 1.3”, Internet Engineering Task Force (IETF), August 2018.

19. [RFC 8422]: “Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) Versions 1.2 and Earlier”, Internet Engineering Task Force (IETF), August 2018.

20. [RFC 8734]: “Elliptic Curve Cryptography (ECC) Brainpool Curves for Transport Layer Security (TLS) Version 1.3”, Internet Engineering Task Force (IETF), February 2020.

21. National Institute of Standards and Technology, Information Technology Laboratory “National Vulnerability Database”. https://nvd.nist.gov/vuln/search.