Quy chuẩn QCVN 137:2025/BKHCN Yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng

QUY CHUẨN KỸ THUẬT QUỐC GIA

VỀ YÊU CẦU ĐỐI VỚI DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG

NATIONAL TECHNICAL REGULATION ON REQUIREMENTS FOR PUBLIC
DIGITAL SIGNATURE AUTHENTICATION SERVICES

1. QUY ĐỊNH CHUNG

1.1. Phạm vi điều chỉnh

Quy chuẩn này quy định các yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng, yêu cầu về quy trình vận hành và kiểm soát đối với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng bao gồm:

- Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng;

- Dịch vụ chứng thực chữ ký số công cộng theo mô hình từ xa;

- Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên thiết bị di động.

1.2. Đối tượng áp dụng

Quy chuẩn này được áp dụng cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng; Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài đề nghị công nhận tại Việt Nam và các tổ chức, cá nhân có liên quan đến hoạt động cung cấp dịch vụ chứng thực chữ ký số công cộng tại Việt Nam.

Quy chuẩn này không áp dụng cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ.

1.3. Tài liệu viện dẫn

[1] IETF RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

[2] IETF RFC 6960: X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP

[3] ISO/IEC 15408: Information security, cybersecurity and privacy protection - Evaluation criteria for IT security (parts 1 to 3)

[4] ISO/IEC 9594-8 /Recommendation ITU-T X.509 : Information technology - Open systems interconnection - Part 8: The Directory: Public-key and attribute certificate frameworks".

[5] FIPS PUB 140-2: Security Requirements for Cryptographic Modules

[6] FIPS PUB 140-3: Security Requirements for Cryptographic Modules

[7] FIPS PUB 202: SHA-3 standard - Permutation-Based Hash and Extendable - Output Functions

[8] FIPS PUB 180-4: Secure Hash Standard

[9] FIPS PUB 197: Advanced Encryption standard

[10] EN 419 221-5:2018: Protection Profiles for TSP Cryptographic modules - Part 5: Cryptographic Module for Trust Services requirements

[11] EN 419 221-1:2018: Trustworthy Systems Supporting Server Signing - Part 1: General system security requirements

[12] EN 419 221-2:2019: Trustworthy Systems Supporting Server Signing - Part 2: Protection Profile for QSCD for Server Signing

[13] ETSI EN 319 401: Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers

[14] ETSI EN 319 411-1: Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements

[15] ETSI TS 119 431-1: Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP services operating a remote QSCD / SCDev

[16] ETSI TS 119 432: Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation

[17] ETSI TR 102 203: Mobile Commerce (M-COMM); Mobile Signatures; Business and Functional Requirements

[18] ETSI TS 102 204: Mobile Commerce (M-COMM); Mobile Signature Service; Web Service Interface

[19] ETSI TR 102 206: Mobile Commerce (M-COMM); Mobile Signature Service; Security Framework

[20] ETSI TR 102 207: Mobile Commerce (M-COMM); Mobile Signature Service; Specifications for Roaming in Mobile Signature Services

[21] TCVN 8709 (ISO/IEC 15408): Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn công nghệ thông tin (Common Criteria for Information Technology Security Evaluation)

[22] TCVN 7816:2007: Công nghệ thông tin - Kỹ thuật mật mã - thuật toán mã dữ liệu AES

1.4. Giải thích từ ngữ

1.4.1. Mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng: Mô hình mã khóa bí mật của thuê bao được tạo và lưu trữ hoàn toàn trong thiết bị phần cứng (USB token, thẻ thông minh hoặc thiết bị tương đương) do thuê bao trực tiếp sở hữu và kiểm soát vật lý

1.4.2. Mô hình ký số từ xa: Mô hình mà khóa bí mật của thuê bao được tạo và lưu trữ tại hệ thống của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, việc tạo chữ ký số được thực hiện từ xa theo lệnh của thuê bao thông qua cơ chế xác thực và ủy quyền nghiêm ngặt.
 

1.4.3. Mô hình ký số trên thiết bị di động: Mô hình mà khóa bí mật của thuê bao được lưu trữ và sử dụng để tạo chữ ký số trực tiếp trên thiết bị di động của thuê bao (thường thông qua thẻ SIM có tích hợp chức năng mật mã hoặc thành phần bảo mật tương đương).

1.4.4. Thiết bị bảo mật phần cứng: Thiết bị phần cứng chuyên dụng (Hardware Security Module) dùng để tạo, lưu trữ, quản lý và bảo vệ khóa mật mã, đáp ứng các yêu cầu bảo mật cao.

1.4.5. Thiết bị mật mã, lưu khóa: Thiết bị phần cứng được sử dụng để lưu trữ và thực hiện các thao tác mật mã liên quan đến khóa bí mật của thuê bao.

1.4.6. Hệ thống quản lý khóa bí mật, chứng thư chữ ký số và tạo chữ ký số của khách hàng: Hệ thống của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa, thực hiện việc tạo, lưu trữ khóa bí mật và tạo chữ ký số thay mặt thuê bao theo lệnh của thuê bao.

1.4.7. Thẻ SIM: Thẻ nhận dạng thuê bao di động có tích hợp applet mật mã hoặc thành phần bảo mật, được sử dụng làm phương tiện lưu trữ khóa bí mật và tạo chữ ký số trong mô hình ký số trên thiết bị di động.

1.4.8. Thuê bao: Cá nhân hoặc tổ chức được tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp chứng thư số và sử dụng dịch vụ chữ ký số.

1.4.9. Kiểm toán kỹ thuật: Hoạt động đánh giá độc lập, khách quan đối với hệ thống thông tin, quy trình cung cấp dịch vụ nhằm xác định việc đáp ứng tiêu chuẩn kỹ thuật bắt buộc áp dụng, quy chuẩn kỹ thuật, yêu cầu kỹ thuật của chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy. Trong đó, tiêu chuẩn kỹ thuật bắt buộc áp dụng khi được viện dẫn trong quy chuẩn kỹ thuật hoặc văn bản quy phạm pháp luật.

1.4.10. Tổ chức kiểm toán kỹ thuật: Tổ chức chứng nhận được chỉ định theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, chất lượng sản phẩm, hàng hóa.

1.5. Chữ viết tắt

2. QUY ĐỊNH KỸ THUẬT

2.1. Yêu cầu kỹ thuật

2.1.1. Yêu cầu đối với mật mã và chữ ký số

Sử dụng các kỹ thuật mật mã theo quy định tại Bảng 1:

Bảng 1 - Yêu cầu về kỹ thuật mật mã

2.1.2. Yêu cầu đối với thông tin, dữ liệu

Định dạng thông tin, dữ liệu đáp ứng các quy định tại Bảng 2

Bảng 2 - Yêu cầu về thông tin dữ liệu

2.1.3. Yêu cầu đối với chứng thư chữ ký số

Chứng thư chữ ký số đáp ứng các quy định tại Bảng 3:

Bảng 3 - Yêu cầu đối với chứng thư chữ ký số

2.1.4. Yêu cầu đối với HSM và thiết bị mật mã, lưu khóa

Thiết bị HSM và thiết bị mật mã, lưu khóa phải đáp ứng các quy định tại Bảng 4:

Bảng 4 - Yêu cầu đối với thiết bị HSM và thẻ mật mã

2.2. Yêu cầu đối với mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng

2.2.1. Yêu cầu về quy trình vận hành và kiểm soát

Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng phải triển khai các biện pháp bảo đảm quy trình vận hành và kiểm soát cung cấp dịch vụ đáp ứng các quy định của tiêu chuẩn ETSI EN 319 411-1 (phiên bản V1.4.1).

2.3. Yêu cầu đối với mô hình ký số từ xa

2.3.1. Yêu cầu đối với hệ thống quản lý khóa bí mật, chứng thư chữ ký số và tạo chữ ký số của khách hàng

Hệ thống quản lý khóa bí mật, chứng thư chữ ký số và tạo chữ ký số của khách hàng đáp ứng các quy định tại Bảng 5:

Bảng 5 - Yêu cầu đối với chứng thư chữ ký số

2.3.2. Yêu cầu về quy trình vận hành và kiểm soát

Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa phải triển khai các biện pháp bảo đảm quy trình vận hành và kiểm soát cung cấp dịch vụ đáp ứng các quy định của tiêu chuẩn ETSI TS 119 431-1 (áp dụng phiên bản V1.1.1) và ETSI TS 119 431-2 (áp dụng phiên bản V1.1.1).

2.4. Yêu cầu đối với mô hình ký số trên thiết bị di động

2.4.1. Yêu cầu đối với chức năng và giao diện

Chức năng và giao diện của Hệ thống ký số trên thiết bị di động đáp ứng các yêu cầu quy định tại Bảng 6:

Bảng 6 - Yêu cầu đối với chức năng và giao diện

2.4.2. Yêu cầu đối với thẻ SIM

Thẻ SIM phải đáp ứng các yêu cầu tại Bảng 7:

Bảng 7 - Yêu cầu đối với thẻ SIM

2.4.3. Yêu cầu về quy trình vận hành và kiểm soát

Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên thiết bị di động phải triển khai các biện pháp bảo đảm quy trình vận hành và kiểm soát cung cấp dịch vụ đáp ứng các quy định của tiêu chuẩn ETSI EN 319 411-1 (áp dụng phiên bản V1.4.1).

3. QUY ĐỊNH VỀ QUẢN LÝ

3.1. Phương thức đánh giá sự phù hợp đối với các yêu cầu tại mục 2.2.1, mục 2.3.2, mục 2.4.3 của Quy chuẩn thực hiện theo phương thức 6 (đánh giá hệ thống quản lý) theo quy định tại Thông tư 28/2012/TT-BKHCN ngày 12 tháng 12 năm 2012 quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật và Thông tư 19/2025/TT-BKHCN ngày 06 tháng 10 năm 2025 quy định kiểm toán kỹ thuật với chữ ký điện tử dịch vụ tin cậy.

3.2. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thuộc phạm vi điều chỉnh tại mục 1.1 thực hiện công bố hợp quy theo quy định và chịu sự kiểm tra của các cơ quan quản lý nhà nước theo các quy định tại Thông tư 28/2012/TT-BKHCN ngày 12 tháng 12 năm 2012 quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật; Thông tư 19/2025/TT-BKHCN ngày 06/10/2025 quy định kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy và các quy định hiện hành.

3.3. Phương tiện, thiết bị đo: tuân thủ các quy định hiện hành của pháp luật về đo lường.

4. TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

4.1. Trách nhiệm của Tổ chức đánh giá sự phù hợp

4.1.1. Thực hiện đánh giá sự phù hợp theo đúng quy định của Quy chuẩn này và thực hiện các nghĩa vụ báo cáo kết quả hoạt động đánh giá chứng nhận hợp quy đến ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia theo các quy định hiện hành.

4.1.2. Lưu trữ hồ sơ chứng nhận theo quy định tại Thông tư số 03/2025/TT-BKHCN ngày 15/5/2025 của Bộ trưởng Bộ Khoa học và Công nghệ quy định thời hạn lưu trữ hồ sơ, tài liệu ngành Khoa học và Công nghệ.

4.2. Trách nhiệm của Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng

4.2.1. Tuân thủ các quy định trong quy chuẩn kỹ thuật này.

4.2.2. Lưu trữ hồ sơ chứng nhận theo quy định tại Thông tư số 03/2025/TT-BKHCN ngày 15/5/2025 của Bộ trưởng Bộ Khoa học và Công nghệ quy định thời hạn lưu trữ hồ sơ, tài liệu ngành Khoa học và Công nghệ.

5. TỔ CHỨC THỰC HIỆN

5.1. Trung tâm Chứng thực điện tử Quốc gia tổ chức triển khai hướng dẫn và quản lý theo quy định của Quy chuẩn kỹ thuật này.

Căn cứ vào quy định quản lý, Trung tâm Chứng thực điện tử Quốc gia có trách nhiệm đề xuất, kiến nghị Bộ Khoa học và Công nghệ sửa đổi, bổ sung nội dung Quy chuẩn kỹ thuật này.

5.2. Trong trường hợp các quy định pháp luật, văn bản quy phạm pháp luật viện dẫn tại Quy chuẩn kỹ thuật này có sửa đổi, bổ sung hoặc được thay thế thì thực hiện theo quy định tại văn bản mới. Trong trường hợp các tiêu chuẩn được viện dẫn trong Quy chuẩn này có sự thay đổi, bổ sung, thay thế thì thực hiện theo hướng dẫn của Bộ Khoa học và Công nghệ.