Tiêu chuẩn quốc gia TCVN 14192-2:2024 Kỹ thuật an toàn CNTT - Hiệu chuẩn công cụ kiểm thử mô-đun mật mã

TCVN 14192-2:2024: Phương pháp và phương tiện hiệu chuẩn kiểm thử công cụ kiểm thử tấn công không xâm lấn trong mô-đun mật mã

Tiêu chuẩn quốc gia TCVN 14192-2:2024 (ISO/IEC 20085-2:2020) được ban hành bởi Bộ Khoa học và Công nghệ vào ngày 22/11/2024, có hiệu lực từ cùng ngày. Tiêu chuẩn này quy định các yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử nhằm kiểm tra các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã. TCVN 14192-2:2024 là phần thứ hai trong chuỗi tiêu chuẩn TCVN 14192, tiếp theo TCVN 14192-1:2024.

Văn bản đưa ra các phương pháp kiểm thử và hiệu chuẩn thiết bị để bảo vệ các tham số an toàn quan trọng trong mô-đun mật mã. Đặc biệt, nếu mô-đun mật mã không được thiết kế đúng cách để giảm thiểu các sự rò rỉ thông tin, kẻ tấn công có thể dễ dàng thu thập dữ liệu nhạy cảm từ các phép đo không xâm lấn. Do đó, tiêu chuẩn này nhấn mạnh tầm quan trọng trong việc xác định và hiệu chuẩn các công cụ đo kênh kề nhằm đảm bảo hoạt động của mô-đun mật mã ở mức an toàn tối ưu.

Tiêu chuẩn TCVN 14192-2:2024 còn quy định cụ thể về quy trình hiệu chuẩn công cụ kiểm thử nhằm tạo ra được các kết quả kiểm thử đồng nhất, đáng tin cậy. Việc hiệu chuẩn sẽ được thực hiện dựa trên hai yếu tố chính: công cụ kiểm thử mục tiêu và mô-đun mật mã tham chiếu được gọi là tạo tác. Mỗi công cụ và phương pháp kiểm thử đều phải phù hợp với các yêu cầu được thiết lập trong các tiêu chuẩn liên quan, bao gồm TCVN 12212:2018 và TCVN 14192-1:2024.

Một điểm đáng chú ý là trong tiêu chuẩn này, ngưỡng M cho sự thành công trong kiểm thử không xâm lấn được xác định rõ ràng, với mức an toàn 3 yêu cầu từ 10.000 phép đo và mức an toàn 4 yêu cầu 100.000 phép đo. Điều này có nghĩa là để đạt được những tiêu chí đánh giá an toàn nhất định, số lượng phép đo tối thiểu cần thiết phải được xác định và tuân thủ trong quá trình kiểm thử.

Các thuật ngữ và định nghĩa như "tạo tác" (mô-đun mật mã có chức năng nhất định trong kiểm thử), "hiệu chuẩn" và "biện pháp đối phó" được sử dụng trong tiêu chuẩn đều được làm rõ nhằm đảm bảo người sử dụng tiêu chuẩn có thể áp dụng hiệu quả trong thực tiễn. Điều này không chỉ tạo điều kiện thuận lợi cho việc kiểm thử mà còn thúc đẩy công tác nghiên cứu, phát triển vào lĩnh vực an toàn công nghệ thông tin, đặc biệt là trong lĩnh vực mật mã, nơi mà bảo mật thông tin là cực kỳ quan trọng.

TCVN 14192-2:2024 đóng vai trò quan trọng trong việc xác định và chuẩn hóa quy trình kiểm thử không xâm lấn, qua đó góp phần bảo vệ các thông tin nhạy cảm trong các hệ thống mã hóa, đảm bảo an toàn thông tin cho tổ chức và người dân. Việc áp dụng tiêu chuẩn này sẽ giúp nâng cao hiệu quả quản lý và kiểm soát trong lĩnh vực an toàn công nghệ thông tin tại Việt Nam.