Ngày 15/8, tại Hà Nội, Hội thảo "Tiêu chuẩn an ninh dữ liệu trong nước và Quốc tế: Nghị định 13 và PCI DSS" do CMC Cyber Security tổ chức đã diễn ra thành công tốt đẹp và thu hút sự tham gia đông đảo của các chuyên gia, lãnh đạo doanh nghiệp, đại diện các tổ chức và cơ quan quản lý nhà nước quan tâm đến lĩnh vực an ninh dữ liệu.

FIPS-140-3 là một tiêu chuẩn của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đưa ra các yêu cầu bảo mật toàn diện cho các mô-đun mật mã, nhằm đảm bảo tính mạnh mẽ và đáng tin cậy của chúng. Tiêu chuẩn này yêu cầu cho quá trình phát triển các mô-đun mật mã từ giai đoạn thiết kế đến kiểm thử và triển khai để bảo vệ dữ liệu nhạy cảm trong nhiều ứng dụng khác nhau. Bài báo sẽ nghiên cứu, phân tích tác động của FIPS-140-3, khám phá các vấn đề bảo mật chính và cung cấp góc nhìn về cách tiêu chuẩn này định hình quá trình phát triển mô-đun mật mã trong bối cảnh công nghệ phát triển hiện nay.

Xác thực thực thể ẩn danh là một kiểu xác thực thực thể đặc biệt. Trong một cơ chế xác thực thực thể ẩn danh, với một thông báo được tạo ra trong giao thức xác thực, một thực thể trái phép không thể khám phá ra định danh của thực thể đang được xác thực (bên được xác thực). Cùng lúc đó, một bên xác thực được ủy quyền có thể không được phép biết định danh của thực thể đang được xác thực. Trong nội dung bài viết trước đã giới thiệu tổng quan về Xác thực thực thể ẩn danh tại TCVN 13178-1. Bài viết này sẽ tiếp tục giới thiệu tới độc giả các cơ chế xác thực thực thể ẩn danh dựa trên chữ ký sử dụng khóa công khai nhóm được quy định tại TCVN  13178-2.

Xác thực các đối tác truyền thông là một trong những dịch vụ mật mã quan trọng nhất. Truyền thông được xác thực ẩn danh liên quan đến việc ẩn định danh của một thực thể được xác thực với đối tác truyền thông của nó và/hoặc với bên thứ ba, trong khi vẫn có tài sản mà người xác minh có thể sử dụng để xác định một cách đáng tin cậy đối tác truyền thông của họ. Các cơ chế xác thực thực thể ẩn danh được thiết kế để hỗ trợ các truyền thông ẩn danh đó. Các cơ chế này được định nghĩa là sự trao đổi thông tin giữa các thực thể và khi cần là sự trao đổi với bên thứ ba đáng tin cậy. Nội dung bài báo sẽ giới thiệu tổng quan về kỹ thuật xác thực thực thể ẩn danh và các nội dung chính của Tiêu chuẩn TCVN 13178-1:2020 Công nghệ thông tin – Các kỹ thuật an toàn  – Xác thực thực thể ẩn danh.

Bài báo giới thiệu các quan điểm mang tính phê phán của Markku-Juhani O. Saarinen về tài liệu NIST SP 800-22, cho rằng SP 800-22 đã bị lỗi thời so với SP 800-90. Việc đánh giá các bộ tạo và các dãy giả ngẫu nhiên nên dựa trên các nguyên tắc phân tích mật mã, chứng minh độ an toàn và phân tích thiết kế, từ đó xác nhận một cài đặt của thuật toán tạo số giả ngẫu nhiên dựa trên mã khối, hàm băm cần tập trung vào tính đúng đắn so với mô tả thuật toán chứ không phải vào tính ngẫu nhiên của đầu ra. Trong phiên bản mới của SP 800-22 nên tập trung vào việc đánh giá mô hình ngẫu nhiên cho các nguồn entropy; các “bộ tạo tham khảo” trong Phụ lục D của SP 800-22 đều không phù hợp để sử dụng trong mật mã hiện đại.

Hiện nay, trên thế giới đã hình thành một hệ thống tiêu chuẩn An toàn thông tin tương đối đầy đủ, bao quát được hầu hết các khía cạnh của lĩnh vực an toàn thông tin và đáp ứng mọi đối tượng cần tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại gồm: tiêu chuẩn đánh giá, tiêu chuẩn đặc tả và tiêu chuẩn về quản lý.

Việc ứng dụng Công nghệ thông tin và truyền thông (ICT) vào hoạt động của các tổ chức, doanh nghiệp bắt đầu phổ biến từ những năm 90 của thế kỷ 20. Đến nay hoạt động của mỗi tổ chức không thể tách rời hệ thống thông tin dựa trên nền tảng ICT, do đó, bảo đảm an ninh cho hệ thống này đã trở nên tất yếu và cấp bách.

Trong nhiều trường hợp, người ta lại cần bằng chứng để chứng minh rằng một tài liệu được kiến tạo sau một thời điểm nào đó hoặc trong một khoảng thời gian xác định. Bằng chứng gắn liền với mốc thời gian đó có thể được gọi là “tem thời gian”.

Trong xu thế hội nhập vào nền kinh tế thế giới, các giao dịch điện tử giữa các cơ quan nhà nước đã từng bước được thể chế hóa, việc trao đổi buôn bán trên thị trường sẽ không còn đơn thuần chỉ là tận tay trao đổi hàng hóa, giáp mặt để thực hiện việc mua và bán, quản lý thu chi bằng sổ sách, mà hầu hết đang có xu hướng chuyển dần sang mua bán, quản lý sử dụng hệ thống máy tính cũng như hệ thống mạng toàn cầu Internet.

Tiêu chuẩn quốc gia Kỹ thuật Mật mã - Các thuật toán mã hóa - Thuật toán mã dữ liệu AES do Ban Kỹ thuật tiêu chuẩn TCVN/JTC1/SC 27 “Các kỹ thuật mật mã” biên soạn, Ban cơ yếu Chính phủ đề nghị, Bộ Khoa học và Công nghệ ban hành trong chương trình xây dựng tiêu chuẩn quốc gia năm 2007-2008.