Thông tư 87/2024/TT-BQP tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô-đun an toàn phần cứng trong định danh, xác thực điện tử

Phụ lục

DANH MỤC TIÊU CHUẨN KỸ THUẬT MẬT MÃ ÁP DỤNG BẮT BUỘC CHO MÔ-ĐUN AN TOÀN

PHẦN CỨNG TRONG HOẠT ĐỘNG ĐỊNH DANH VÀ XÁC THỰC ĐIỆN TỬ

(Kèm theo Thông tư số 87/2024/TT-BQP ngày 26 tháng 10 năm 2024 của Bộ trưởng Bộ Quốc phòng)

_________________

I. Quy định Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử

STT

Loại tiêu chuẩn

Ký hiệu tiêu chuẩn

Tên đầy đủ của tiêu chuẩn

Quy định áp dụng

I. Tiêu chuẩn về đặc tính kỹ thuật mật mã

1

Mật mã đối xứng và chế độ hoạt động

TCVN 11367-3:2016 (ISO/IEC 18033- 3:2010)

Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối.

- Áp dụng TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) và ít nhất một trong ba tiêu chuẩn về chế độ hoạt động của mã khối.

- Sử dụng một trong hai thuật toán AES hoặc TDEA.

- Đối với thuật toán AES:

+ Sử dụng khóa có kích thước tối thiểu là 128 bit;

+ Sử dụng một trong các chế độ: CBC, CFB, OFB, GCM, CCM, CTR, XTS.

- Đối với thuật toán TDEA:

+ Sử dụng khóa có kích thước là 192 bit;

+ Sử dụng một trong các chế độ: CBC, CFB, OFB, CTR.

TCVN 12213:2018 (ISO/IEC 10116:2017).

Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit trong CNTT.

ISO/IEC 19772:2020

An toàn thông tin - Mã hóa có sử dụng xác thực (Information security Authenticated encryption)

NIST Special

Publication 800-38E

Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices

2

Mật mã phi đối xứng và chữ ký số

TCVN 11367-2:2016

Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 2: Mật mã phi đối xứng

Áp dụng một trong các thuật toán mật mã sau:

- Đối với thuật toán RSA:

+ nlen ≥ 2048

+ Áp dụng lược đồ RSAES-OAEP để mã hóa và RSASSA-PSS để ký.

- Đối với thuật toán ECDSA, ECDH:

+ nlen ≥ 256

+ Áp dụng ECDH để phân phối khóa và ECDSAđểký.

- Đối với thuật toán DSA, DH:

+ L ≥ 3072, N ≥ 256.

+ Áp dụng DH để phân phối khóa và DSA để ký.

PKCS#1

RSA Cryptography Standard

ANSI X9.62-2005

Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA)

3

Thuật toán băm

TCVN 11816-3:2017

Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm -Phần 3: Hàm băm chuyên dụng

Sử dụng một trong các thuật toán sau: SHA-256,SHA-384, SHA-512-256,SHA-512, SHA3-256, SHA3-384, SHA3- 512.

FIPS PUB 202

SHA-3 Standard:

Permutation-Based Hash and

Extendable-Output

Functions

4

Thuật toán xác thực thông điệp

TCVN 11495-1:2016

Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác thực thông điệp (MAC) - Phần 2: Cơ chế sử dụng hàm băm chuyên dụng.

Sử dụng một trong các thuật toán sau: HMAC-SHA-256-128, HMAC-SHA-256, HMAC-SHA-384-192, HMAC-SHA-384, HMAC-SHA-512-256, HMAC-SHA-512, HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512.

FIPS PUB 202

SHA-3 Standard:

Permutation-Based Hash and

Extendable-Output Functions

5

Hàm dẫn xuấtkhóa

NIST SP 800-132

Recommendation for Password-Based Key Derivation Part 1: Storage Applications

Áp dụng PBKDF2, phiên bản 2.0 trở lên (nếu có).

6

Bộ tạo bit ngẫu

nhiên

TCVN 12853:2020

Các kỹ thuật an toàn - Bộ tạo bit ngẫu nhiên

Áp dụng một trong bốn tiêu chuẩn và sử dụng một trong các bộ tạo bit ngẫu nhiên sau:

Hash_DRBG, HMAC_DRBG, CTR_DRBG(AES), MS_DRBG,MQ_DRBG, XOR-NRBG, Oversampling-NRBG.

NIST SP 800-90A

RecommendationforRandom Number Generation Using Deterministic Random Bit Generators

NIST SP 800-90C

RecommendationforRandom Bit Generator (RBG) Constructions

AIS-31

A proposal for:

Functionality classes for random number generators

7

Lưu trữ các tham số an toàn

SP800-38F

Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping

Các tham số an toàn phải áp dụng AES chế độ KW hoặc KWP để mã hóa được lưu trữ trên thiết bị.

8

Giao diện lập trình ứng dụng

PKCS#11

CryptographicTokenInterface Base Specification

Phiên bản 2.2 trở lên

II. Quy định về mã HS của mô-đun an toàn phần cứng

STT

Tên sản phẩm, hàng hóa theo quy định của Thông tư

Mã HS

Mô tả sản phẩm hàng hóa

01

Sản phẩm mật mã dân sự thuộc nhóm sản phẩm sinh khóa mật mã, quản lý hoặc lưu trữ khóa mật mã.

8471.30.90

Sản phẩm sinh khóa mật mã, quản lý hoặc lưu trữ khóa mật mã.

02

8471.41.90

03

8471.49.90

04

8471.80.90