Bộ lọc tìm kiếm

Tải văn bản

Lưu trữ Góp ý

  • Thuộc tính
  • Nội dung
  • Tiếng anh
  • Lược đồ

BỘ QUỐC PHÒNG
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 23/2022/TT-BQP

Hà Nội, ngày 04 tháng 4 năm 2022

 

THÔNG TƯ

BAN HÀNH “QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT LUỒNG IP SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS”

Căn cứ Luật Tiêu chuẩn và Quy chuẩn kỹ thuật ngày 29 tháng 6 năm 2006;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 127/2007/NĐ-CP ngày 01 tháng 8 năm 2007 của Chính phủ quy định chi tiết thi hành một số điều của Luật Tiêu chuẩn và Quy chuẩn kỹ thuật; được sửa đổi, bổ sung một số điều tại Nghị định số 78/2018/NĐ-CP ngày 16 tháng 5 năm 2018 của Chính phủ;

Căn cứ Nghị định số 164/2017/NĐ-CP ngày 30 tháng 12 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Quốc phòng;

Căn cứ Nghị định số 09/2014/NĐ-CP ngày 27 tháng 01 năm 2014 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ban Cơ yếu Chính phủ;

Theo đề nghị của Trưởng ban Ban Cơ yếu Chính phủ;

Bộ trưởng Bộ Quốc phòng ban hành Thông tư quy định Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS.

Điều 1. Ban hành kèm theo Thông tư này Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS.

Ký hiệu: QCVN 01:2022/BQP.

Điều 2. Thông tư này có hiệu lực thi hành kể từ ngày 20 tháng 5 năm 2022.

Điều 3. Trưởng ban Ban Cơ yếu Chính phủ, Thủ trưởng các cơ quan, đơn vị và tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Thông tư này./.

 

 

Nơi nhận:
- Thủ tướng Chính phủ, các Phó Thủ tướng Chính phủ
(để b/c);
- Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ:
- UBND các tỉnh, thành phố trực thuộc Trung ương;
- Thủ trưởng BQP, CN TCCT;
- Ban Cơ yếu Chính phủ;
- Cục Kiểm tra văn bản QPPL Bộ Tư pháp;
- Cục Tiêu chuẩn - Đo lường - Chất lượng/BTTM;
- Công báo, Cổng TTĐTCP;
- Vụ Pháp chế/BQP;
- Cổng TTĐTBQP;
- Lưu: VT, BCY. G110.

KT. BỘ TRƯỞNG
THỨ TRƯỞNG




Thượng tướng Nguyễn Tân Cương

 

QCVN 01:2022/BQP

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT LUỒNG IP SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS

National technical regulation on cryptographic technical specification used in civil cryptography products under IP security products group with IPsec and TLS

 

MỤC LỤC

Lời nói đầu

1  QUY ĐỊNH CHUNG

1.1  Phạm vi điều chỉnh

1.2  Đối tượng áp dụng

1.3  Tài liệu viện dẫn

1.4  Giải thích từ ngữ

1.5  Chữ viết tắt

1.6  Ký hiệu

2  QUY ĐỊNH KỸ THUẬT

2.1  Quy định chung

2.2  Quy định về đặc tính kỹ thuật mật mã

2.2.1  Quy định về thuật toán mật mã

2.2.2  Quy định về an toàn, thời gian sử dụng

2.3  Quy định về an toàn sử dụng trong giao thức

2.3.1  Quy định về an toàn sử dụng trong giao thức IPsec

2.3.2  Quy định về an toàn sử dụng trong giao thức TLS

3  QUY ĐỊNH VỀ QUẢN LÝ

4  TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

5  TỔ CHỨC THỰC HIỆN

PHỤ LỤC A

TÀI LIỆU THAM KHẢO

 

Lời nói đầu

QCVN 01:2022/BQP do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ biên soạn, Ban Cơ yếu Chính phủ trình duyệt, Bộ Khoa học và Công nghệ thẩm định, Bộ trưởng Bộ Quốc phòng ban hành kèm theo Thông tư số 23/2022/TT-BQP ngày 04 tháng 4 năm 2022.

 

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT LUỒNG IP SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS

National technical regulation on cryptographic technical specification used in civil cryptography products under IP security products group with IPsec and TLS

1  QUY ĐỊNH CHUNG

1.1  Phạm vi điều chỉnh

Quy chuẩn này quy định mức giới hạn các đặc tính kỹ thuật mật mã của các sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS phục vụ bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

1.2  Đối tượng áp dụng

Quy chuẩn này áp dụng đối với các tổ chức, cá nhân kinh doanh và sử dụng sản phẩm mật mã dân sự để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

1.3  Tài liệu viện dẫn

TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) "Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối".

TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit".

TCVN 12853:2020 (ISO/IEC 18031:2011 With amendment 1:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Bộ tạo bit ngẫu nhiên".

TCVN 11816 (ISO/IEC 10118) “Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm - Phần 3: Hàm băm chuyên dụng".

TCVN 11495-1:2016 (ISO/IEC 9797-1:2011) "Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác nhận thông điệp”.

National Institute of Standards and Technology, FIPS 186-4 “Digital Signature Standard (DSS)”, July 2013.

National Institute of Standards and Technology, FIPS 180-4 “Secure Hash Standard (SHS)”, August 2015.

National Institute of Standards and Technology, FIPS 198-1 “The Keyed-Hash Message Authentication Code (HMAC)”, July 2008.

National Institute of Standards and Technology, FIPS 202 “SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions", National Institute of Standards and Technology, August 2015.

[RFC 4309]: “Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)”, Internet Engineering Task Force (IETF), December 2005.

[RFC 2612]: “The CAST-256 Encryption Algorithm”, Internet Engineering Task Force (IETF), June 1999

[RFC 7801]: “GOST R 34.12-2015: Block Cipher “Kuznyechik"", Internet Engineering Task Force (IETF), March 2016.

[RFC 5832]: “GOST R 34.10-2001: Digital Signature Algorithm", Internet Engineering Task Force (IETF), March 2010.

[RFC 7091]: "GOST R 34.10-2012: Digital Signature Algorithm", Internet Engineering Task Force (IETF), December 2013.

[RFC 3566]: “The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec”, Internet Engineering Task Force (IETF), September 2003.

[RFC 4494]: "The AES-CMAC-96 Algorithm and Its use with IPsec", Internet Engineering Task Force (IETF), June 2006.

[RFC 4868]: “Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec”, Internet Engineering Task Force (IETF), May 2007.

1.4  Giải thích từ ngữ

Trong Quy chuẩn này, các từ ngữ dưới đây được hiểu như sau:

1.4.1  Thông tin không thuộc phạm vi bí mật nhà nước

Là thông tin không thuộc nội dung tin “tuyệt mật”, “tối mật” và “mật” được quy định tại Luật bảo vệ bí mật nhà nước ngày 15 tháng 11 năm 2018.

1.4.2  Mật mã

Là những quy tắc, quy ước riêng dùng để thay đổi hình thức biểu hiện thông tin nhằm bảo đảm bí mật, xác thực, toàn vẹn của nội dung thông tin.

1.4.3  Mật mã dân sự

Là kỹ thuật mật mã và sản phẩm mật mã được sử dụng để bảo mật hoặc xác thực đối với thông tin không thuộc phạm vi bí mật nhà nước.

1.4.4  Sản phẩm mật mã dân sự

Là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

1.4.5  Sản phẩm bảo mật luồng IP

Là sản phẩm mật mã sử dụng các kỹ thuật, công nghệ mật mã để đảm bảo an toàn bảo mật cho dữ liệu truyền, nhận trên môi trường mạng IP.

1.4.6  Kỹ thuật mật mã

Là phương pháp, phương tiện có ứng dụng mật mã để bảo vệ thông tin.

1.4.7  Mã hóa

Là quá trình dùng kỹ thuật mật mã để thay đổi hình thức biểu hiện thông tin.

1.4.8  Giải mã

Là phép biến đổi ngược của quá trình mã hóa tương ứng.

1.4.9  Khóa

Là dãy ký tự điều khiển hoạt động của biến đổi mật mã

1.4.10  Mật mã đối xứng

Là mật mã trong đó khóa được sử dụng cho các phép mã hóa, giải mã là trùng nhau hoặc dễ dàng tính toán được khóa mã hóa khi biết khóa giải mã và ngược lại.

1.4.11  Mật mã phi đối xứng

Là mật mã trong đó khóa được sử dụng cho phép mã hóa hoặc giải mã gồm hai thành phần là khóa công khai và khóa riêng với đặc tính có thể dễ dàng tính toán được khóa công khai nếu biết khóa riêng nhưng không khả thi về mặt tính toán để tính được khóa riêng từ khóa công khai.

1.4.12  Thuật toán băm

Là thuật toán thực hiện quá trình biến đổi chuỗi dữ liệu đầu vào có độ dài bất kỳ thành một chuỗi dữ liệu đầu ra đặc trưng có độ dài cố định.

1.4.13  Thuật toán xác thực thông điệp

Là thuật toán biến đổi các chuỗi dữ liệu đầu vào và khóa bí mật thành các chuỗi dữ liệu đầu ra có độ dài cố định thỏa mãn các tính chất sau đây:

- Dễ dàng tính toán với bất kỳ khóa và chuỗi dữ liệu đầu vào nào;

- Với khóa cố định bất kỳ và không biết trước khóa, bằng tính toán không thể tính được giá trị chuỗi dữ liệu đầu ra với bất kỳ chuỗi dữ liệu đầu vào mới nào

1.5  Chữ viết tắt

Chữ viết tắt

Tên tiếng anh

Tên tiếng Việt

AES

Advanced Encryption Standard

Tiêu chuẩn mã hóa tiên tiến

AH

Authentication Header

Xác thực thông tin điều khiển gói IP

CAST

Carlisle Adams - Stafford Tavares

Tên của hệ mã do hai nhà toán học Carlisle Adams và Stafford Tavares phát minh

CBC

Cipher Block Chaining Mode

Chế độ móc xích khối mã

CCM

Counter with cipher block chaining message authentication code

Bộ đếm với mã xác thực thông báo khối mã hóa

CFB

Cipher Feedback Mode

Chế độ phản hồi bản mã

CTR

Counter Mode

Chế độ bộ đếm

CTR_DRBG

Counter - Deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên tất định dựa trên bộ đếm

DH

Diffie-Hellman

Thuật toán trao đổi khóa Diffie-Hellman

DRBG

Deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên tất định

DSA

Digital Signature Algorithm

Thuật toán chữ ký số

EC

Elliptic Curve

Đường cong Elliptic

ECDSA

Elliptic Curve Digital Signature Algorithm

Thuật toán chữ ký số dựa trên đường cong Elliptic

ESP

Encapsulating Security Payload

Đóng gói an toàn dữ liệu

FIPS

Federal Information Processing Standards

Tiêu chuẩn xử lý thông tin liên bang (Hoa Kỳ)

GCM

Galois/Counter Mode

Chế độ Galois/Bộ đếm

GOST

gosudarstvennyy standard

Tiêu chuẩn quốc gia Liên bang Nga

Hash_DRBG

Hash Deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên tất định dựa trên hàm băm

HMAC

Hashed Message Authentication Code

Mã xác thực thông báo dựa trên hàm băm

HMAC_DRBG

HMAC - Deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên tất định dựa trên HMAC

IKE

Internet Key Exchange

Giao thức trao đổi khóa trên Internet

IP

Internet Protocol

Giao thức Internet

IPsec

Internet Protocol Security

Giao thức bảo mật mạng IP

MQ_DRBG

Multivariate Quadratic Deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên tất định bậc hai đa biến

MS_DRBG

Micali-Schnorr Deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên tất định Micali Schnorr

NIST

National Institute of Standards and Technology

Viện Tiêu chuẩn và Công nghệ quốc gia (Hoa Kỳ)

NRBG

Non-deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên bất định

OFB

Output Feedback Mode

Chế độ phản hồi đầu ra

RFC

Request for Comments

Đặc tả kỹ thuật do tổ chức IETF (Internet Engineering Task Force) công bố

RSA

Rivest - Shamir - Adleman

Tên của hệ mã do ba nhà toán học Rivest, Shamir và Adleman phát minh

SHA

Secure Hash Algorithm

Thuật toán băm an toàn

SP

Special Publication

Ấn phẩm đặc biệt (Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ)

TCVN

 

Tiêu chuẩn quốc gia Việt Nam

TDEA

Triple Data Encryption Algorithm

Thuật toán mã hóa dữ liệu Triple-DES

TLS

Transport Layer Security

Bảo mật tầng giao vận

VPN

Virtual Private Network

Mạng riêng ảo

1.6  Ký hiệu

Ký hiệu

Mô tả

nlen

Đối với thuật toán RSA: nlen là độ dài modulo theo bit;

Đối với thuật toán ECDH, ECDSA, GOST R 34.10-2012, GOST R 34.10-2001: nlen là độ dài theo bit của cấp của phần tử sinh

L

Đối với thuật toán DSA, DH; L là độ dài của tham số miền p theo bit

N

Đối với thuật toán DSA, DH: N là độ dài của tham số miền q theo bit

2  QUY ĐỊNH KỸ THUẬT

2.1  Quy định chung

- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ IPsec VPN được phép sử dụng giao thức trao đổi khóa IKEv1 và IKEv2, giao thức đóng gói ESP.

- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ TLS VPN được phép sử dụng giao thức TLS 1.2 và TLS 1.3.

2.2  Quy định về đặc tính kỹ thuật mật mã

2.2.1 Quy định về thuật toán mật mã

Các sản phẩm mật mã dân sự sử dụng công nghệ IPsec VPN, TLS VPN yêu cầu đáp ứng các quy định sau:

2.2.1.1  Thuật toán mật mã đối xứng

- Sử dụng thuật toán trong danh sách sau:

STT

Thuật toán

Tham chiếu

1

AES

[TCVN 11367-3], [TCVN 12213], [SP 800-38D], [RFC 4309]

2

TDEA

[TCVN 11367-3], [TCVN 12213]

3

Camellia

4

SEED

5

CAST

[TCVN 11367-3], [RFC 2612]

6

GOST R 34.12-2015

[TCVN 12213], [RFC 7801]

2.2.1.2  Thuật toán mật mã phi đối xứng

- Sử dụng thuật toán trong danh sách sau:

STT

Thuật toán

Tham chiếu

1

RSA

[FIPS 186-4], [SP 800-56B Rev. 2]

2

DSA

[FIPS 186-4]

3

ECDSA

4

DH

[FIPS 186-4], [SP 800-56A Rev. 3]

5

ECDH

6

GOST R 34.10-2001

[RFC 5832]

7

GOST R 34.10-2012

[RFC7091]

2.2.1.3  Thuật toán băm

- Sử dụng thuật toán trong danh sách sau:

STT

Thuật toán

Tham chiếu

1

SHA-256, SHA-384, SHA-512/256, SHA-512

[TCVN 11816-3], [FIPS 180-4],

2

SHA3-256, SHA3-384, SHA3-512

[FIPS 202]

2.2.1.4  Thuật toán xác thực thông điệp

- Sử dụng thuật toán trong danh sách sau:

STT

Thuật toán

Tham chiếu

1

AES-XCBC-96

[RFC 3566]

2

AES-CMAC-96

[RFC 4494]

3

HMAC-SHA-256-128

[RFC 4868]

4

HMAC-SHA-256

5

HMAC-SHA-384-192

6

HMAC-SHA-384

7

HMAC-SHA-512-256

8

HMAC-SHA-512

9

HMAC-SHA3-256

[FIPS 198-1]

[FIPS 202]

10

HMAC-SHA3-384

11

HMAC-SHA3-512

2.2.1.5  Bộ tạo số ngẫu nhiên

- Sử dụng bộ tạo số ngẫu nhiên trong danh sách sau:

STT

Thuật toán

Tham chiếu

1

Hash_DRBG

[TCVN 12853]

2

HMAC_DRBG

3

CTR_DRBG

4

OFB_DRBG

5

MS_DRBG

6

MQ_DRBG

7

XOR - NRBG

[SP 800-90C]

8

Oversampling-NRBG Construction

2.2.2  Quy định về an toàn, thời gian sử dụng

2.2.2.1  Thuật toán mật mã đối xứng

STT

Thuật toán

Kích thước khóa theo bit

Các chế độ cho phép sử dụng

Sử dụng đến năm

1

AES

≥ 128

CBC, CFB, OFB, GCM, CCM, CTR

2027

2

TDEA

192

CBC, CFB, OFB, CTR

2025

3

Camellia

≥ 128

CBC, CFB, OFB, GCM, CCM, CTR

2027

4

SEED

≥ 128

CBC, CFB, OFB, GCM, CCM, CTR

2027

5

CAST

≥ 128

CBC, CFB, OFB, CTR

2027

6

GOST R 34.12-2015

256

CTR, CFB

2027

2.2.2.2  Thuật toán mật mã phi đối xứng

STT

Thuật toán

Kích thước tham số theo bit

Sử dụng đến năm

1

RSA

nlen = 2048

2025

nlen ≥ 3072

2027

2

DSA, DH

L = 2048, N = 256

2025

L ≥ 3072, N ≥ 256

2027

3

ECDH

nlen ≥ 256

2027

4

ECDSA

5

GOST R 34.10-2001

nlen ≥ 256

2027

6

GOST R 34.10-2012

CHÚ THÍCH:

Các tiêu chuẩn cho tham số an toàn, các thuật toán sinh, các bộ tham số cụ thể cho các thuật toán RSA, DSA, DH, ECDH, ECDSA trong quy chuẩn này áp dụng theo tiêu chuẩn FIPS 186-4.

Các bộ tham số cụ thể cho thuật toán GOST R 34.10-2001, GOST R 34.10-2012 trong quy chuẩn này áp dụng theo RFC 5832 và RFC 7091.

2.2.2.3  Thuật toán băm

STT

Thuật toán

Sử dụng đến năm

1

SHA-256, SHA-384, SHA-512/256, SHA-512

2027

2

SHA3-256, SHA3-384, SHA3-512

2027

2.2.2.4  Thuật toán xác thực thông điệp

STT

Thuật toán

Sử dụng đến năm

1

AES-XCBC-96

2027

2

AES-CMAC-96

2027

3

HMAC-SHA-256-128

2027

4

HMAC-SHA-256

2027

5

HMAC-SHA-384-192

2027

6

HMAC-SHA-384

2027

7

HMAC-SHA-512-256

2027

8

HMAC-SHA-512

2027

9

HMAC-SHA3-256

2027

10

HMAC-SHA3-384

2027

11

HMAC-SHA3-512

2027

2.3  Quy định về an toàn sử dụng trong giao thức

2.3.1  Quy định về an toàn sử dụng trong giao thức IPsec

- Không được phép sử dụng chế độ Aggressive trong giao thức IKEv1, giao thức IKEv1 được phép sử dụng đến năm 2025.

- Không được phép sử dụng giao thức AH.

- Không được phép sử dụng giao thức ESP chỉ có cơ chế xác thực dữ liệu

- Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).

2.3.2  Quy định về an toàn sử dụng trong giao thức TLS

- Không được phép trao đổi khóa dựa trên thuật toán Diffie-Hellman sử dụng khóa cố định (Static Diffie-Hellman).

- Không được phép cài đặt các mở rộng cho phép sử dụng những phiên bản trước TLS 1.2 trên máy chủ TLS.

Sử dụng định dạng chứng thư số X.509 v3 cho TLS (nếu có).

Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).

- Không được phép sử dụng phần mở rộng Heartbeat.

- Yêu cầu bổ sung đối với phiên bản TLS 1.3:

+ Không được phép sử dụng chế độ CBC trong mã hóa đối xứng

+ Không được phép sử dụng chế độ MAC-then-Encrypt (Non-AHEAD Ciphers).

+ Không được phép trao đổi khóa sử dụng thuật toán RSA.

+ Không được phép sử dụng lược đồ ký số/ xác thực RSASSA-PKCS1-v1_5.

3  QUY ĐỊNH VỀ QUẢN LÝ

3.1  Các mức giới hạn của đặc tính kỹ thuật mật mã nêu tại Quy chuẩn này là các chỉ tiêu chất lượng phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm mật mã dân sự được quy định tại Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015.

3.2  Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm, khắc phục hậu quả khi bị xử phạt vi phạm hành chính theo Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012, Thông tư số 02/2017/TT-BKHCN ngày 31/3/2017 sửa đổi, bổ sung một số điều của Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 Thông tư số 06/2020/TT-BKHCN ngày 10/12/2020. Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật

3.3  Hoạt động kiểm tra, đánh giá chất lượng sản phẩm mật mã dân sự được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất.

4  TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

Các tổ chức, cá nhân có hoạt động kinh doanh sản phẩm mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định hiện hành.

5  TỔ CHỨC THỰC HIỆN

Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ có trách nhiệm hướng dẫn, tổ chức triển khai quản lý kỹ thuật mật mã theo Quy chuẩn này.

Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng rà soát, sửa đổi, bổ sung Quy chuẩn này để đảm bảo phù hợp với thực tiễn và đáp ứng yêu cầu quản lý./.

 

PHỤ LỤC A

(Quy định)

Quy định về mã HS của sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS

 

STT

Tên sản phẩm, hàng hóa theo QCVN

Mã HS

Mô tả sản phẩm hàng hóa

01

Sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP và bảo mật kênh.

8471.30.90

Sản phẩm sử dụng công nghệ IPsec VPN hoặc TLS VPN để đảm bảo an toàn, bảo mật cho dữ liệu truyền nhận trên môi trường mạng IP.

02

8471.41.90

03

8471.49.90

04

8471.80.90

05

8517.62.10

06

8517.62.21

07

8517.62.29

08

8517.62.30

09

8517.62.41

10

8517.62.42

11

8517.62.49

12

8517.62.51

13

8517.62.52

14

8517.62.53

15

8517.62.59

16

8517.62.61

17

8517.62.69

18

8517.62.91

19

8517.62.92

20

8517.62.99

21

8525.50.00

22

8525.60.00

23

8528.71.11

24

8528.71.19

25

8528.71.91

26

8528.71.99

 

TÀI LIỆU THAM KHẢO

1. National Institute of Standards and Technology, “Guide to IPsec VPNs”, June 2020.

2. National Institute of Standards and Technology, “Guide to SSL VPNs” July 2008.

3. National Institute of Standards and Technology, “Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations", August 2019.

4. Federal Office for Information Security, Technical Guideline TR-02102-2 "Cryptographic Mechanisms: Recommendations and Key Lengths”. 2021.

5. Federal Office for Information Security, Technical Guideline TR-02102-3 “Cryptographic Mechanisms: Recommendations and Key Lengths”, 2021.

6. National Institute of Standards and Technology, Special Publication 800-131A "Transitioning the Use of Cryptographic Algorithms and Key Lengths”, March 2019.

7. National Institute of Standards and Technology, Special Publication 800-90A “Recommendation for Random Number Generation Using Deterministic Random Bit Generators”, June 2015.

8. National Institute of Standards and Technology, Special Publication 800-90C (Second Draft) "Recommendation for Random Bit Generator (RBG) Constructions”, April 2016.

9. National Institute of Standards and Technology, Special Publication 800-57 Part 1 Rev. 5 “Recommendation for Key Management: Part 1 - General”, May 2020.

10. National Institute of Standards and Technology, Special Publication 800-203 “2017 NIST/ITL Cybersecurity Program Annual Report”, July 2018.

11. National Institute of Standards and Technology, Special Publication 800-56A “Recommendation for Pair-Wise Key Establishment Schemes UsingDiscrete Logarithm Cryptography”, May 2013.

12. National Institute of Standards and Technology, Special Publication 800-56B Revision 2 “Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography”, March 2019.

13. National Institute of Standards and Technology, Special Publication 800-38D “Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC” November 2007.

14. RSA Laboratories, “PKCS#1 v2.1: RSA Cryptography Standard”, June 2002.

15. [RFC 8247]: “Algorithm Implementation Requirements and Usage Guidance for the Internet Key Exchange Protocol Version 2 (IKEv2)”, Internet Engineering Task Force (IETF), September 2017.

16. [RFC 7427]: “Signature Authentication in the Internet Key Exchange Version 2 (IKEv2)”, Internet Engineering Task Force (IETF), January 2015.

17. [RFC 4754]: “IKE and IKEv2 Authentication Using the Elliptic Curve Digital Signature Algorithm (ECDSA)”, Internet Engineering Task Force (IETF), January 2007.

18. [RFC 8446]: “The Transport Layer Security (TLS) Protocol Version 1.3”, Internet Engineering Task Force (IETF), August 2018.

19. [RFC 8422]: “Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) Versions 1.2 and Earlier”, Internet Engineering Task Force (IETF), August 2018.

20. [RFC 8734]: “Elliptic Curve Cryptography (ECC) Brainpool Curves for Transport Layer Security (TLS) Version 1.3”, Internet Engineering Task Force (IETF), February 2020.

21. National Institute of Standards and Technology, Information Technology Laboratory “National Vulnerability Database”. https://nvd.nist.gov/vuln/search.

MINISTRY OF NATIONAL DEFENSE OF VIETNAM
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence – Freedom – Happiness
---------------

No. 23/2022/TT-BQP

Hanoi, April 4, 2022

 

CIRCULAR

PROMULGATION OF THE “NATIONAL TECHNICAL REGULATION ON CRYPTOGRAPHIC TECHNICAL SPECIFICATION USED IN CIVIL CRYPTOGRAPHY PRODUCTS UNDER IP SECURITY PRODUCTS GROUP WITH IPSEC AND TLS”

Pursuant to the Law on Standards and Technical Regulations dated June 29, 2006; 

Pursuant to the Law on Cybersecurity dated November 19, 2015;

Pursuant to Decree No. 127/2007/ND-CP dated August 1, 2007 of the Government of Vietnam elaborating on the Law on Standards and Technical Regulations amended by Decree No. 78/2018/ND-CP dated May 16, 2018 of the Government of Vietnam;

Pursuant to Decree No. 164/2017/ND-CP dated December 30, 2017 of the Government of Vietnam on functions, tasks, entitlements, and organizational structure of the Ministry of National Defense of Vietnam;

Pursuant to Decree No. 09/2014/ND-CP dated January 27, 2014 of the Government of Vietnam on functions, tasks, entitlements, and organizational structure of the Government Cipher Committee;

At the request of the Head of the Government Cipher Committee;

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Article 1. The national technical regulation on cryptographic technical specification used in civil cryptography products under IP security products group with IPsec and TLS is promulgated together with this Circular.

Symbol: QCVN 01:2022/BQP.

Article 2. This Circular comes into force as of May 20, 2022.

Article 3. Head of the Government Cipher Committee, Directors of agencies, units, and relevant organizations and individuals shall implement this Circular./.

 

 

 

PP. MINISTER
DEPUTY MINISTER




Colonel General Nguyen Tan Cuong

 

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



NATIONAL TECHNICAL REGULATION ON CRYPTOGRAPHIC TECHNICAL SPECIFICATION USED IN CIVIL CRYPTOGRAPHY PRODUCTS UNDER IP SECURITY PRODUCTS GROUP WITH IPSEC AND TLS

 

TABLE OF CONTENTS

Preface

1  GENERAL PROVISIONS

1.1  Scope

1.2  Regulated entities

1.3  References

1.4  Interpretation of terms

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



1.6  Symbols

2  TECHNICAL REGULATIONS

2.1  GENERAL PROVISIONS

2.2  Regulations on cryptographic specifications

2.2.1  Regulations on cryptographic algorithms 

2.2.2  Regulations on safety and use time

2.3  Regulations on safety of use in protocols

2.3.1  Regulations on safety of use in IPsec

2.3.2  Regulations on safety of use in TLS protocols

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



4  RESPONSIBILITIES OF ORGANIZATIONS AND INDIVIDUALS

5  IMPLEMENTATION

APPENDIX A

REFERENCES

 

Preface

QCVN 01:2022/BQP is compiled by the National Agency of Cryptography and Information Security - Government Cipher Committee, presented to the Ministry of Science and Technology of Vietnam for appraisal by the Government Cipher Committee, and promulgated by the Minister of National Defense of Vietnam together with Circular No. 23/2022/TT-BQP dated April 4, 2022.

 

NATIONAL TECHNICAL REGULATION ON CRYPTOGRAPHIC TECHNICAL SPECIFICATION USED IN CIVIL CRYPTOGRAPHY PRODUCTS UNDER IP SECURITY PRODUCTS GROUP WITH IPSEC AND TLS

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



1.1  Scope

This Regulation provides for the limit of cryptographic technical specifications of IP security products with IPsec and TLS serving the protection of information not subject to state secrets.

1.2  Regulated entities

This Regulation applies to organizations and individuals engaging in the business and the use of civil cryptography products to protect information not subject to state secrets.

1.3  References

TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) "Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối". (Information technology - Security techniques - Encryption algorithms - Part 3: Block ciphers).

TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit” (Information technology - Security techniques - Modes of operation for an n-bit block cipher).

TCVN 12853:2020 (ISO/IEC 18031:2011 With amendment 1:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Bộ tạo bit ngẫu nhiên" (Information technology - Security techniques - Random bit generation).

TCVN 11816 (ISO/IEC 10118) “Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm - Phần 3: Hàm băm chuyên dụng" (Information technology - Security techniques - Hash-functions - Part 3: Dedicated hash-functions).

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



National Institute of Standards and Technology, FIPS 186-4 “Digital Signature Standard (DSS)”, July 2013.

National Institute of Standards and Technology, FIPS 180-4 “Secure Hash Standard (SHS)”, August 2015.

National Institute of Standards and Technology, FIPS 198-1 “The Keyed-Hash Message Authentication Code (HMAC)”, July 2008.

National Institute of Standards and Technology, FIPS 202 “SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions", National Institute of Standards and Technology, August 2015.

[RFC 4309]: “Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)”, Internet Engineering Task Force (IETF), December 2005.

[RFC 2612]: “The CAST-256 Encryption Algorithm”, Internet Engineering Task Force (IETF), June 1999

[RFC 7801]: “GOST R 34.12-2015: Block Cipher “Kuznyechik"", Internet Engineering Task Force (IETF), March 2016.

[RFC 5832]: “GOST R 34.10-2001: Digital Signature Algorithm", Internet Engineering Task Force (IETF), March 2010.

[RFC 7091]: "GOST R 34.10-2012: Digital Signature Algorithm", Internet Engineering Task Force (IETF), December 2013.

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



[RFC 4494]: "The AES-CMAC-96 Algorithm and Its use with IPsec", Internet Engineering Task Force (IETF), June 2006.

[RFC 4868]: “Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec”, Internet Engineering Task Force (IETF), May 2007.

1.4.  Interpretation of terms

For the purpose of this Regulation, the following terms shall be construed as follows:

1.4.1 Information not subject to state secrets

Information not subject to state secrets is the information not included in the content of “top secret”, “secret”, and “confidential” information as prescribed in the Law on State Secret Protection dated November 15, 2018.

1.4.2  Cryptography

Cryptography means particular principles and conventions to change the display of information to ensure confidentiality, authenticity, and integrity of the content of information.

1.4.3  Civil cryptography

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



1.4.4  Civil cryptography products

Civil cryptography products are documents, technical equipment, and cryptographic operations to protect information not subject to state secrets.

1.4.5  IP security products

IP security products are cryptographic products using cryptographic techniques and technology to ensure the confidentiality of data transmitted or received on the IP network environment.

1.4.6  Cryptographic techniques

Cryptographic techniques are methods and means with the application of cryptography to protect information.

1.4.7  Encryption

Encryption is the process of using cryptographic techniques to change the display of information.

1.4.8  Decryption

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



1.4.9 Key

Key is a sequence of characters that control the encryption or decryption

1.4.10  Symmetric cryptography

Symmetric cryptography is the case where a key used for both the encryption and decryption algorithms may be identical, or there may be a simple transformation to calculate the encryption key when the decryption key is identified and vice versa.

1.4.11  Asymmetric cryptography  

Asymmetric cryptography is the case where the key used for encryption and decryption contains two components known as the public and private keys. In asymmetric cryptography, it is easy to calculate the public key if the private key is identified, but it is impossible to calculate the private key from the public key.

1.4.12  Cryptographic hash function

Cryptographic hash function is the algorithm that performs the process of transforming an input data sequence of any length into a typical output data sequence of a fixed length. 

1.4.13  Message authentication algorithm

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



- It is easy to calculate regarding any key and input data sequence;

- With any static key and no known key in advance, it is impossible to calculate the value of the output data sequence with any new input data sequence

1.5.  Abbreviations

Abbreviation

English name

Vietnamese name

AES

Advanced Encryption Standard

Tiêu chuẩn mã hóa tiên tiến

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Authentication Header

Xác thực thông tin điều khiển gói IP

CAST

Carlisle Adams - Stafford Tavares

Tên của hệ mã do hai nhà toán học Carlisle Adams và Stafford Tavares phát minh

CBC

Cipher Block Chaining Mode

Chế độ móc xích khối mã

CCM

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Bộ đếm với mã xác thực thông báo khối mã hóa

CFB

Cipher Feedback Mode

Chế độ phản hồi bản mã

CTR

Counter Mode

Chế độ bộ đếm

CTR_DRBG

Counter - Deterministic Random Bit Generator

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



DH

Diffie-Hellman

Thuật toán trao đổi khóa Diffie-Hellman

DRBG

Deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên tất định

DSA

Digital Signature Algorithm

Thuật toán chữ ký số

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Elliptic Curve

Đường cong Elliptic

ECDSA

Elliptic Curve Digital Signature Algorithm

Thuật toán chữ ký số dựa trên đường cong Elliptic

ESP

Encapsulating Security Payload

Đóng gói an toàn dữ liệu

FIPS

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Tiêu chuẩn xử lý thông tin liên bang (Hoa Kỳ)

GCM

Galois/Counter Mode

Chế độ Galois/Bộ đếm

GOST

gosudarstvennyy standard

Tiêu chuẩn quốc gia Liên bang Nga

Hash_DRBG

Hash Deterministic Random Bit Generator

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



HMAC

Hashed Message Authentication Code

Mã xác thực thông báo dựa trên hàm băm

HMAC_DRBG

HMAC - Deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên tất định dựa trên HMAC

IKE

Internet Key Exchange

Giao thức trao đổi khóa trên Internet

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Internet Protocol

Giao thức Internet

IPsec

Internet Protocol Security

Giao thức bảo mật mạng IP

MQ_DRBG

Multivariate Quadratic Deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên tất định bậc hai đa biến

MS_DRBG

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Bộ tạo bit ngẫu nhiên tất định Micali Schnorr

NIST

National Institute of Standards and Technology

Viện Tiêu chuẩn và Công nghệ quốc gia (Hoa Kỳ)

NRBG

Non-deterministic Random Bit Generator

Bộ tạo bit ngẫu nhiên bất định

OFB

Output Feedback Mode

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



RFC

Request for Comments

Đặc tả kỹ thuật do tổ chức IETF (Internet Engineering Task Force) công bố

RSA

Rivest - Shamir - Adleman

Tên của hệ mã do ba nhà toán học Rivest, Shamir và Adleman phát minh

SHA

Secure Hash Algorithm

Thuật toán băm an toàn

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Special Publication

Ấn phẩm đặc biệt (Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ)

TCVN

 

Tiêu chuẩn quốc gia Việt Nam

TDEA

Triple Data Encryption Algorithm

Thuật toán mã hóa dữ liệu Triple-DES

TLS

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Bảo mật tầng giao vận

VPN

Virtual Private Network

Mạng riêng ảo

1.6  Symbols

Symbol

Description

nlen

Regarding the RSA algorithm: nlen is the length of the modulo in bits;

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



L

Regarding DSA and DH algorithms: L is the bit length of prime parameter p

N

Regarding DSA and DH algorithms: N is the bit length of prime parameter q

2  TECHNICAL REGULATIONS

2.1  GENERAL PROVISIONS

- Regarding civil cryptography products with IPsec VPN, it is allowed to use IKEv1 and IKEv2 key exchange protocols and ESP encapsulation protocol.

- Regarding civil cryptography products with TLS VPN, it is allowed to use TLS 1.2 and TLS 1.3 protocols.

2.2  Regulations on cryptographic specifications

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Civil cryptography products with IPsec VPN and TLS VPN shall satisfy the following regulations:

2.2.1.1  Symmetric cryptography

- Use the following algorithms prescribed in the list below:

NO.

Algorithm

Reference

1

AES

[TCVN 11367-3], [TCVN 12213], [SP 800-38D], [RFC 4309]

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



TDEA

[TCVN 11367-3], [TCVN 12213]

3

Camellia

4

SEED

5

CAST

[TCVN 11367-3], [RFC 2612]

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



GOST R 34.12-2015

[TCVN 12213], [RFC 7801]

2.2.1.2  Asymmetric cryptography

- Use following algorithms prescribed in the list below:

NO.

Algorithm

Reference

1

RSA

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



2

DSA

[FIPS 186-4]

3

ECDSA

4

DH

[FIPS 186-4], [SP 800-56A Rev. 3]

5

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



6

GOST R 34.10-2001

[RFC 5832]

7

GOST R 34.10-2012

[RFC7091]

2.2.1.3  Cryptographic hash function

- Use following algorithms prescribed in the list below:

NO.

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Reference

1

SHA-256, SHA-384, SHA-512/256, SHA-512

[TCVN 11816-3], [FIPS 180-4],

2

SHA3-256, SHA3-384, SHA3-512

[FIPS 202]

2.2.1.4  Message authentication algorithm

- Use following algorithms prescribed in the list below:

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Algorithm

Reference

1

AES-XCBC-96

[RFC 3566]

2

AES-CMAC-96

[RFC 4494]

3

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



[RFC 4868]

4

HMAC-SHA-256

5

HMAC-SHA-384-192

6

HMAC-SHA-384

7

HMAC-SHA-512-256

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



HMAC-SHA-512

9

HMAC-SHA3-256

[FIPS 198-1]

[FIPS 202]

10

HMAC-SHA3-384

11

HMAC-SHA3-512

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



- Use the following random number generators prescribed in the list below:

NO.

Algorithm

Reference

1

Hash_DRBG

[TCVN 12853]

2

HMAC_DRBG

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



CTR_DRBG

4

OFB_DRBG

5

MS_DRBG

6

MQ_DRBG

7

XOR - NRBG

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



8

Oversampling-NRBG Construction

2.2.2  Regulations on safety and use time  

2.2.2.1  Symmetric cryptography

NO.

Algorithm

Key size in bits

Allowed modes

Use until

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



AES

≥ 128

CBC, CFB, OFB, GCM, CCM, CTR

2027

2

TDEA

192

CBC, CFB, OFB, CTR

2025

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Camellia

≥ 128

CBC, CFB, OFB, GCM, CCM, CTR

2027

4

SEED

≥ 128

CBC, CFB, OFB, GCM, CCM, CTR

2027

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



CAST

≥ 128

CBC, CFB, OFB, CTR

2027

6

GOST R 34.12-2015

256

CTR, CFB

2027

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



NO.

Algorithm

Parameter size in bits

Use until

1

RSA

nlen = 2048

2025

nlen ≥ 3072

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



2

DSA, DH

L = 2048, N = 256

2025

L ≥ 3072, N ≥ 256

2027

3

ECDH

nlen ≥ 256

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



4

ECDSA

5

GOST R 34.10-2001

nlen ≥ 256

2027

6

GOST R 34.10-2012

NOTES:

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Sets of specific parameters for GOST R 34.10-2001 and GOST R 34.10-2012 algorithms in this regulation are applicable according to RFC 5832 and RFC 7091.

2.2.2.3  Cryptographic hash function

NO.

Algorithm

Use until

1

SHA-256, SHA-384, SHA-512/256, SHA-512

2027

2

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



2027

2.2.2.4  Message authentication algorithm

NO.

Algorithm

Use until

1

AES-XCBC-96

2027

2

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



2027

3

HMAC-SHA-256-128

2027

4

HMAC-SHA-256

2027

5

HMAC-SHA-384-192

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



6

HMAC-SHA-384

2027

7

HMAC-SHA-512-256

2027

8

HMAC-SHA-512

2027

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



HMAC-SHA3-256

2027

10

HMAC-SHA3-384

2027

11

HMAC-SHA3-512

2027

2.3  Regulations on safety of use in protocols

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



- It is not allowed to use Aggressive Mode in IKEv1 protocol, and IKEv1 protocol is allowed to be used until 2025.

- It is not allowed to use the AH protocol.

- It is not allowed to use ESP protocol with only data authentication mechanisms

- Methods of protecting keys stored as files on equipment (if any) may be used.

2.3.2  Regulations on safety of use in TLS protocols

- It is not allowed to share keys based on the Diffie-Hellman algorithm using static keys (Static Diffie-Hellman).

- It is not allowed to install extensions that permit the use of versions before TLS 1.2 on the TLS server.

- The X.509 v3 digital certificate format may be used for TLS (if any).

- Methods of protecting keys stored as files on equipment (if any) may be used.

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



- Additional requirements for TLS version 1.3:

+ It is not allowed to use the CBC mode in symmetric cryptography

+ It is not allowed to use the MAC-then-Encrypt mode (Non-AHEAD Ciphers).

+ It is not allowed to trade keys using the RSA algorithm.

+ It is not allowed to use the digital signature/authentication scheme RSASSA-PKCS1-v1_5.

3  REGULATIONS ON MANAGEMENT

3.1. The limits of cryptographic technical specifications mentioned in this Regulation are quality criteria for management according to regulations on quality management of civil cryptography products prescribed in the Law on Cybersecurity dated November 19, 2015.

3.2 Disclosure of conformity, certificates of conformity, product quality inspection, and remedies for consequences of penalties due to administrative violations according to Circular No. 28/2012/TT-BKHCN dated December 12, 2012, Circular No. 02/2017/TT-BKHCN dated March 31, 2017 on amendments to Circular No. 28/2012/TT-BKHCN dated December 12, 2012, and Circular No. 06/2020/TT-BKHCN dated December 10, 2020. Management of the disclosure of conformity based on the certification results of certificating organizations designated by law.

3.3 State management agencies are competent to decide on the annual or irregular implementation of activities of inspection and quality assessment of civil cryptography products.

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Organizations and individuals engaging in the business of civil cryptography products subject to the scope of this Regulation shall implement regulations on certification and disclosure of conformity and be subject to the inspection of state management agencies according to current regulations.

5  IMPLEMENTATION

The National Agency of Cryptography and Information Security - Government Cipher Committee shall provide guidelines and implement the technical management of cryptography according to this Regulation.

The Government Cipher Committee shall assist the Minister of National Defense of Vietnam in reviewing, amending, and supplementing this Regulation to ensure practical suitability and satisfy management requirements./.

 

APPENDIX A

(Regulation)

Regulations on the HS code of IP security products with IPsec and TLS

 

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Name of the product or goods according to the National Regulation

HS code

Description of the product/goods

01

Civil cryptography products  under IP security and channel security product group

8471.30.90

Products using IPsec VPN or TLS VPN to ensure the safety and confidentiality of data transmitted or received on the IP network environment.

02

8471.41.90

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



8471.49.90

04

8471.80.90

05

8517.62.10

06

8517.62.21

07

8517.62.29

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



8517.62.30

09

8517.62.41

10

8517.62.42

11

8517.62.49

12

8517.62.51

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



8517.62.52

14

8517.62.53

15

8517.62.59

16

8517.62.61

17

8517.62.69

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



8517.62.91

19

8517.62.92

20

8517.62.99

21

8525.50.00

22

8525.60.00

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



8528.71.11

24

8528.71.19

25

8528.71.91

26

8528.71.99

 

REFERENCES

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



2. National Institute of Standards and Technology, “Guide to SSL VPNs” July 2008.

3. National Institute of Standards and Technology, “Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations", August 2019.

4. Federal Office for Information Security, Technical Guideline TR-02102-2 "Cryptographic Mechanisms: Recommendations and Key Lengths”. 2021.

5. Federal Office for Information Security, Technical Guideline TR-02102-3 “Cryptographic Mechanisms: Recommendations and Key Lengths, 2021.

6. National Institute of Standards and Technology, Special Publication 800-131A "Transitioning the Use of Cryptographic Algorithms and Key Lengths”, March 2019.

7. National Institute of Standards and Technology, Special Publication 800-90A “Recommendation for Random Number Generation Using Deterministic Random Bit Generators, June 2015.

8. National Institute of Standards and Technology, Special Publication 800-90C (Second Draft) "Recommendation for Random Bit Generator (RBG) Constructions”, April 2016.

9. National Institute of Standards and Technology, Special Publication 800-57 Part 1 Rev. 5 “Recommendation for Key Management: Part 1 - General, May 2020.

10. National Institute of Standards and Technology, Special Publication 800-203 “2017 NIST/ITL Cybersecurity Program Annual Report”, July 2018.

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



12. National Institute of Standards and Technology, Special Publication 800-56B Revision 2 “Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography, March 2019.

13. National Institute of Standards and Technology, Special Publication 800-38D “Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC” November 2007.

14. RSA Laboratories, “PKCS#1 v2.1: RSA Cryptography Standard, June 2002.

15. [RFC 8247]: “Algorithm Implementation Requirements and Usage Guidance for the Internet Key Exchange Protocol Version 2 (IKEv2), Internet Engineering Task Force (IETF), September 2017.

16. [RFC 7427]: “Signature Authentication in the Internet Key Exchange Version 2 (IKEv2)”, Internet Engineering Task Force (IETF), January 2015.

17. [RFC 4754]: “IKE and IKEv2 Authentication Using the Elliptic Curve Digital Signature Algorithm (ECDSA), Internet Engineering Task Force (IETF), January 2007.

18. [RFC 8446]: The Transport Layer Security (TLS) Protocol Version 1.3, Internet Engineering Task Force (IETF), August 2018.

19. [RFC 8422]: “Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) Versions 1.2 and Earlier”, Internet Engineering Task Force (IETF), August 2018.

20. [RFC 8734]: “Elliptic Curve Cryptography (ECC) Brainpool Curves for Transport Layer Security (TLS) Version 1.3, Internet Engineering Task Force (IETF), February 2020.

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



;

Thông tư 23/2022/TT-BQP về "Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS" do Bộ trưởng Bộ Quốc phòng ban hành

Số hiệu: 23/2022/TT-BQP
Loại văn bản: Thông tư
Nơi ban hành: Bộ Quốc phòng
Người ký: Nguyễn Tân Cương
Ngày ban hành: 04/04/2022
Ngày hiệu lực: Đã biết
Tình trạng: Đã biết
Văn bản được hướng dẫn - [0]
Văn bản được hợp nhất - [0]
Văn bản bị sửa đổi bổ sung - [0]
Văn bản bị đính chính - [0]
Văn bản bị thay thế - [0]
Văn bản được dẫn chiếu - [4]
Văn bản được căn cứ - [4]
Văn bản liên quan ngôn ngữ - [1]

Văn bản đang xem

Thông tư 23/2022/TT-BQP về "Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS" do Bộ trưởng Bộ Quốc phòng ban hành

Văn bản liên quan cùng nội dung - [5]
Văn bản hướng dẫn - [0]
Văn bản hợp nhất - [0]
Văn bản sửa đổi bổ sung - [0]
Văn bản đính chính - [1]
Văn bản thay thế - [0]
Hãy đăng nhập hoặc đăng ký Tài khoản để biết được tình trạng hiệu lực, tình trạng đã bị sửa đổi, bổ sung, thay thế, đính chính hay đã được hướng dẫn chưa của văn bản và thêm nhiều tiện ích khác
Loading…