Chữ viết tắt |
Tên tiếng anh |
Tên tiếng Việt |
AES |
Advanced Encryption Standard |
Tiêu chuẩn mã hóa tiên tiến |
AH |
Authentication Header |
Xác thực thông tin điều khiển gói IP |
CAST |
Carlisle Adams - Stafford Tavares |
Tên của hệ mã do hai nhà toán học Carlisle Adams và Stafford Tavares phát minh |
CBC |
Cipher Block Chaining Mode |
Chế độ móc xích khối mã |
CCM |
Counter with cipher block chaining message authentication code |
Bộ đếm với mã xác thực thông báo khối mã hóa |
CFB |
Cipher Feedback Mode |
Chế độ phản hồi bản mã |
CTR |
Counter Mode |
Chế độ bộ đếm |
CTR_DRBG |
Counter - Deterministic Random Bit Generator |
Bộ tạo bit ngẫu nhiên tất định dựa trên bộ đếm |
DH |
Diffie-Hellman |
Thuật toán trao đổi khóa Diffie-Hellman |
DRBG |
Deterministic Random Bit Generator |
Bộ tạo bit ngẫu nhiên tất định |
DSA |
Digital Signature Algorithm |
Thuật toán chữ ký số |
EC |
Elliptic Curve |
Đường cong Elliptic |
ECDSA |
Elliptic Curve Digital Signature Algorithm |
Thuật toán chữ ký số dựa trên đường cong Elliptic |
ESP |
Encapsulating Security Payload |
Đóng gói an toàn dữ liệu |
FIPS |
Federal Information Processing Standards |
Tiêu chuẩn xử lý thông tin liên bang (Hoa Kỳ) |
GCM |
Galois/Counter Mode |
Chế độ Galois/Bộ đếm |
GOST |
gosudarstvennyy standard |
Tiêu chuẩn quốc gia Liên bang Nga |
Hash_DRBG |
Hash Deterministic Random Bit Generator |
Bộ tạo bit ngẫu nhiên tất định dựa trên hàm băm |
HMAC |
Hashed Message Authentication Code |
Mã xác thực thông báo dựa trên hàm băm |
HMAC_DRBG |
HMAC - Deterministic Random Bit Generator |
Bộ tạo bit ngẫu nhiên tất định dựa trên HMAC |
IKE |
Internet Key Exchange |
Giao thức trao đổi khóa trên Internet |
IP |
Internet Protocol |
Giao thức Internet |
IPsec |
Internet Protocol Security |
Giao thức bảo mật mạng IP |
MQ_DRBG |
Multivariate Quadratic Deterministic Random Bit Generator |
Bộ tạo bit ngẫu nhiên tất định bậc hai đa biến |
MS_DRBG |
Micali-Schnorr Deterministic Random Bit Generator |
Bộ tạo bit ngẫu nhiên tất định Micali Schnorr |
NIST |
National Institute of Standards and Technology |
Viện Tiêu chuẩn và Công nghệ quốc gia (Hoa Kỳ) |
NRBG |
Non-deterministic Random Bit Generator |
Bộ tạo bit ngẫu nhiên bất định |
OFB |
Output Feedback Mode |
Chế độ phản hồi đầu ra |
RFC |
Request for Comments |
Đặc tả kỹ thuật do tổ chức IETF (Internet Engineering Task Force) công bố |
RSA |
Rivest - Shamir - Adleman |
Tên của hệ mã do ba nhà toán học Rivest, Shamir và Adleman phát minh |
SHA |
Secure Hash Algorithm |
Thuật toán băm an toàn |
SP |
Special Publication |
Ấn phẩm đặc biệt (Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ) |
TCVN |
|
Tiêu chuẩn quốc gia Việt Nam |
TDEA |
Triple Data Encryption Algorithm |
Thuật toán mã hóa dữ liệu Triple-DES |
TLS |
Transport Layer Security |
Bảo mật tầng giao vận |
VPN |
Virtual Private Network |
Mạng riêng ảo |
1.6 Ký hiệu
Ký hiệu
Mô tả
nlen
Đối với thuật toán RSA: nlen là độ dài modulo theo bit;
Đối với thuật toán ECDH, ECDSA, GOST R 34.10-2012, GOST R 34.10-2001: nlen là độ dài theo bit của cấp của phần tử sinh
L
Đối với thuật toán DSA, DH; L là độ dài của tham số miền p theo bit
N
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ IPsec VPN được phép sử dụng giao thức trao đổi khóa IKEv1 và IKEv2, giao thức đóng gói ESP.
- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ TLS VPN được phép sử dụng giao thức TLS 1.2 và TLS 1.3.
2.2 Quy định về đặc tính kỹ thuật mật mã
2.2.1 Quy định về thuật toán mật mã
Các sản phẩm mật mã dân sự sử dụng công nghệ IPsec VPN, TLS VPN yêu cầu đáp ứng các quy định sau:
2.2.1.1 Thuật toán mật mã đối xứng
- Sử dụng thuật toán trong danh sách sau:
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Thuật toán
Tham chiếu
1
AES
[TCVN 11367-3], [TCVN 12213], [SP 800-38D], [RFC 4309]
2
TDEA
[TCVN 11367-3], [TCVN 12213]
3
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
4
SEED
5
CAST
[TCVN 11367-3], [RFC 2612]
6
GOST R 34.12-2015
[TCVN 12213], [RFC 7801]
2.2.1.2 Thuật toán mật mã phi đối xứng
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
STT
Thuật toán
Tham chiếu
1
RSA
[FIPS 186-4], [SP 800-56B Rev. 2]
2
DSA
[FIPS 186-4]
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
ECDSA
4
DH
[FIPS 186-4], [SP 800-56A Rev. 3]
5
ECDH
6
GOST R 34.10-2001
[RFC 5832]
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
GOST R 34.10-2012
[RFC7091]
2.2.1.3 Thuật toán băm
- Sử dụng thuật toán trong danh sách sau:
STT
Thuật toán
Tham chiếu
1
SHA-256, SHA-384, SHA-512/256, SHA-512
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
2
SHA3-256, SHA3-384, SHA3-512
[FIPS 202]
2.2.1.4 Thuật toán xác thực thông điệp
- Sử dụng thuật toán trong danh sách sau:
STT
Thuật toán
Tham chiếu
1
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
[RFC 3566]
2
AES-CMAC-96
[RFC 4494]
3
HMAC-SHA-256-128
[RFC 4868]
4
HMAC-SHA-256
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
HMAC-SHA-384-192
6
HMAC-SHA-384
7
HMAC-SHA-512-256
8
HMAC-SHA-512
9
HMAC-SHA3-256
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
[FIPS 202]
10
HMAC-SHA3-384
11
HMAC-SHA3-512
2.2.1.5 Bộ tạo số ngẫu nhiên
- Sử dụng bộ tạo số ngẫu nhiên trong danh sách sau:
STT
Thuật toán
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
1
Hash_DRBG
[TCVN 12853]
2
HMAC_DRBG
3
CTR_DRBG
4
OFB_DRBG
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
MS_DRBG
6
MQ_DRBG
7
XOR - NRBG
[SP 800-90C]
8
Oversampling-NRBG Construction
2.2.2 Quy định về an toàn, thời gian sử dụng
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
STT
Thuật toán
Kích thước khóa theo bit
Các chế độ cho phép sử dụng
Sử dụng đến năm
1
AES
≥ 128
CBC, CFB, OFB, GCM, CCM, CTR
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
2
TDEA
192
CBC, CFB, OFB, CTR
2025
3
Camellia
≥ 128
CBC, CFB, OFB, GCM, CCM, CTR
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
4
SEED
≥ 128
CBC, CFB, OFB, GCM, CCM, CTR
2027
5
CAST
≥ 128
CBC, CFB, OFB, CTR
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
6
GOST R 34.12-2015
256
CTR, CFB
2027
2.2.2.2 Thuật toán mật mã phi đối xứng
STT
Thuật toán
Kích thước tham số theo bit
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
1
RSA
nlen = 2048
2025
nlen ≥ 3072
2027
2
DSA, DH
L = 2048, N = 256
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
L ≥ 3072, N ≥ 256
2027
3
ECDH
nlen ≥ 256
2027
4
ECDSA
5
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
nlen ≥ 256
2027
6
GOST R 34.10-2012
CHÚ THÍCH:
Các tiêu chuẩn cho tham số an toàn, các thuật toán sinh, các bộ tham số cụ thể cho các thuật toán RSA, DSA, DH, ECDH, ECDSA trong quy chuẩn này áp dụng theo tiêu chuẩn FIPS 186-4.
Các bộ tham số cụ thể cho thuật toán GOST R 34.10-2001, GOST R 34.10-2012 trong quy chuẩn này áp dụng theo RFC 5832 và RFC 7091.
2.2.2.3 Thuật toán băm
STT
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Sử dụng đến năm
1
SHA-256, SHA-384, SHA-512/256, SHA-512
2027
2
SHA3-256, SHA3-384, SHA3-512
2027
2.2.2.4 Thuật toán xác thực thông điệp
STT
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Sử dụng đến năm
1
AES-XCBC-96
2027
2
AES-CMAC-96
2027
3
HMAC-SHA-256-128
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
4
HMAC-SHA-256
2027
5
HMAC-SHA-384-192
2027
6
HMAC-SHA-384
2027
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
HMAC-SHA-512-256
2027
8
HMAC-SHA-512
2027
9
HMAC-SHA3-256
2027
10
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
2027
11
HMAC-SHA3-512
2027
2.3 Quy định về an toàn sử dụng trong giao thức
2.3.1 Quy định về an toàn sử dụng trong giao thức IPsec
- Không được phép sử dụng chế độ Aggressive trong giao thức IKEv1, giao thức IKEv1 được phép sử dụng đến năm 2025.
- Không được phép sử dụng giao thức AH.
- Không được phép sử dụng giao thức ESP chỉ có cơ chế xác thực dữ liệu
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
2.3.2 Quy định về an toàn sử dụng trong giao thức TLS
- Không được phép trao đổi khóa dựa trên thuật toán Diffie-Hellman sử dụng khóa cố định (Static Diffie-Hellman).
- Không được phép cài đặt các mở rộng cho phép sử dụng những phiên bản trước TLS 1.2 trên máy chủ TLS.
Sử dụng định dạng chứng thư số X.509 v3 cho TLS (nếu có).
Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).
- Không được phép sử dụng phần mở rộng Heartbeat.
- Yêu cầu bổ sung đối với phiên bản TLS 1.3:
+ Không được phép sử dụng chế độ CBC trong mã hóa đối xứng
+ Không được phép sử dụng chế độ MAC-then-Encrypt (Non-AHEAD Ciphers).
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
+ Không được phép sử dụng lược đồ ký số/ xác thực RSASSA-PKCS1-v1_5.
3.1 Các mức giới hạn của đặc tính kỹ thuật mật mã nêu tại Quy chuẩn này là các chỉ tiêu chất lượng phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm mật mã dân sự được quy định tại Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015.
3.2 Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm, khắc phục hậu quả khi bị xử phạt vi phạm hành chính theo Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012, Thông tư số 02/2017/TT-BKHCN ngày 31/3/2017 sửa đổi, bổ sung một số điều của Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 Thông tư số 06/2020/TT-BKHCN ngày 10/12/2020. Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật
3.3 Hoạt động kiểm tra, đánh giá chất lượng sản phẩm mật mã dân sự được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất.
4 TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN
Các tổ chức, cá nhân có hoạt động kinh doanh sản phẩm mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định hiện hành.
Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ có trách nhiệm hướng dẫn, tổ chức triển khai quản lý kỹ thuật mật mã theo Quy chuẩn này.
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Quy định về mã HS của sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS
STT
Tên sản phẩm, hàng hóa theo QCVN
Mã HS
Mô tả sản phẩm hàng hóa
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP và bảo mật kênh.
8471.30.90
Sản phẩm sử dụng công nghệ IPsec VPN hoặc TLS VPN để đảm bảo an toàn, bảo mật cho dữ liệu truyền nhận trên môi trường mạng IP.
02
8471.41.90
03
8471.49.90
04
8471.80.90
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8517.62.10
06
8517.62.21
07
8517.62.29
08
8517.62.30
09
8517.62.41
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8517.62.42
11
8517.62.49
12
8517.62.51
13
8517.62.52
14
8517.62.53
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8517.62.59
16
8517.62.61
17
8517.62.69
18
8517.62.91
19
8517.62.92
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8517.62.99
21
8525.50.00
22
8525.60.00
23
8528.71.11
24
8528.71.19
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8528.71.91
26
8528.71.99
TÀI LIỆU THAM KHẢO
1. National Institute of Standards and Technology, “Guide to IPsec VPNs”, June 2020.
2. National Institute of Standards and Technology, “Guide to SSL VPNs” July 2008.
3. National Institute of Standards and Technology, “Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations", August 2019.
4. Federal Office for Information Security, Technical Guideline TR-02102-2 "Cryptographic Mechanisms: Recommendations and Key Lengths”. 2021.
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
6. National Institute of Standards and Technology, Special Publication 800-131A "Transitioning the Use of Cryptographic Algorithms and Key Lengths”, March 2019.
7. National Institute of Standards and Technology, Special Publication 800-90A “Recommendation for Random Number Generation Using Deterministic Random Bit Generators”, June 2015.
8. National Institute of Standards and Technology, Special Publication 800-90C (Second Draft) "Recommendation for Random Bit Generator (RBG) Constructions”, April 2016.
9. National Institute of Standards and Technology, Special Publication 800-57 Part 1 Rev. 5 “Recommendation for Key Management: Part 1 - General”, May 2020.
10. National Institute of Standards and Technology, Special Publication 800-203 “2017 NIST/ITL Cybersecurity Program Annual Report”, July 2018.
11. National Institute of Standards and Technology, Special Publication 800-56A “Recommendation for Pair-Wise Key Establishment Schemes UsingDiscrete Logarithm Cryptography”, May 2013.
12. National Institute of Standards and Technology, Special Publication 800-56B Revision 2 “Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography”, March 2019.
13. National Institute of Standards and Technology, Special Publication 800-38D “Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC” November 2007.
14. RSA Laboratories, “PKCS#1 v2.1: RSA Cryptography Standard”, June 2002.
...
...
...
Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
16. [RFC 7427]: “Signature Authentication in the Internet Key Exchange Version 2 (IKEv2)”, Internet Engineering Task Force (IETF), January 2015.
17. [RFC 4754]: “IKE and IKEv2 Authentication Using the Elliptic Curve Digital Signature Algorithm (ECDSA)”, Internet Engineering Task Force (IETF), January 2007.
18. [RFC 8446]: “The Transport Layer Security (TLS) Protocol Version 1.3”, Internet Engineering Task Force (IETF), August 2018.
19. [RFC 8422]: “Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) Versions 1.2 and Earlier”, Internet Engineering Task Force (IETF), August 2018.
20. [RFC 8734]: “Elliptic Curve Cryptography (ECC) Brainpool Curves for Transport Layer Security (TLS) Version 1.3”, Internet Engineering Task Force (IETF), February 2020.
21. National Institute of Standards and Technology, Information Technology Laboratory “National Vulnerability Database”. https://nvd.nist.gov/vuln/search.
Quy chuẩn kỹ thuật quốc gia QCVN 12:2022/BQP về Đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS
Số hiệu: | QCVN12:2022/BQP |
---|---|
Loại văn bản: | Quy chuẩn |
Nơi ban hành: | Bộ Quốc phòng |
Người ký: | *** |
Ngày ban hành: | 04/04/2022 |
Ngày hiệu lực: | Đã biết |
Tình trạng: | Đã biết |
Văn bản đang xem
Quy chuẩn kỹ thuật quốc gia QCVN 12:2022/BQP về Đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS
Chưa có Video