Tiêu chuẩn TCVN 14192-1:2024 Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử

Tiêu chuẩn quốc gia TCVN 14192-1:2024 ISO/IEC 20085-1:2019: Yêu cầu kiểm thử công cụ và phương pháp hiệu chuẩn

Tiêu chuẩn quốc gia TCVN 14192-1:2024 ISO/IEC 20085-1:2019 được ban hành bởi Bộ Khoa học và Công nghệ và có hiệu lực từ ngày 01/01/2024. Tiêu chuẩn này cung cấp các yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn liên quan đến kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong các mô-đun mật mã, nhằm đảm bảo an toàn cho các tham số an toàn quan trọng (CSP).

Tiêu chuẩn TCVN 14192-1:2024 tương đương với ISO/IEC 20085-1:2019, bao gồm hai phần chính: Phần 1 đề cập đến các công cụ và kỹ thuật kiểm thử, và Phần 2 sẽ quy định phương pháp và phương tiện hiệu chuẩn kiểm thử. Việc áp dụng tiêu chuẩn này nhằm cung cấp thông số kỹ thuật cho các công cụ kiểm thử tấn công không xâm lấn và hướng dẫn về cách vận hành các công cụ này.

Để thực hiện việc kiểm thử, các công cụ được yêu cầu phải thu thập và phân tích dấu hiệu rò rỉ kênh kề—một thông số vật lý liên quan đến CSP. Công cụ kiểm thử có thể hoạt động bằng cách tự động hóa quy trình thu thập rò rỉ và phân tích chúng để xác định khả năng tồn tại của các cuộc tấn công không xâm lấn. Trong điều này, tỉ số tín hiệu cực đại trên nhiễu (S/N) là một yếu tố quan trọng để đánh giá chất lượng công cụ.

Các loại kênh kề được xác định bao gồm ba loại chính: tiêu thụ năng lượng, phát xạ điện từ, và thời gian tính toán. Mỗi loại kênh kề này sẽ được đo trong quá trình triển khai kiểm thử mà không gây nhiễu cho các phép đo. Việc phân loại công cụ kiểm thử cũng phân chia giữa các công cụ được lắp ráp trong phòng thử nghiệm và công cụ ứng dụng cụ thể, với yêu cầu về tính khả thi và độ chính xác trong việc thu thập dữ liệu.

Văn bản quy định vai trò của từng phần trong công cụ kiểm thử, bao gồm công cụ đo và công cụ phân tích. Công cụ đo cần thu thập các kênh kề phát ra trong quá trình kiểm thử, trong khi công cụ phân tích sẽ xử lý và phân tích dữ liệu thu thập được để phát hiện các cuộc tấn công hợp lệ. Việc sử dụng các công cụ phân tích trong quy trình kiểm thử được cụ thể hóa nhằm bảo đảm tính chính xác và độ tin cậy của kết quả.

Ngoài ra, tiêu chuẩn cũng khuyến nghị rằng mọi điều kiện môi trường trong quá trình đo phải được theo dõi và kiểm soát chặt chẽ, bao gồm cả nhiệt độ và điện áp, để đảm bảo sự ổn định trong các phép đo. Những quy định này nhằm hỗ trợ các doanh nghiệp, tổ chức trong việc bảo vệ an toàn thông tin và nâng cao năng lực kỹ thuật ứng dụng trong lĩnh vực an toàn công nghệ thông tin tại Việt Nam.

Việc tuân thủ tiêu chuẩn TCVN 14192-1:2024 sẽ giúp các doanh nghiệp và tổ chức nâng cao khả năng phòng chống và phản ứng nhanh chóng trước các cuộc tấn công không xâm lấn, từ đó bảo vệ an toàn thông tin cho các hệ thống mật mã và các tham số an toàn liên quan.