Thông tư 07/2026/TT-BQP ban hành, sửa đổi Quy chuẩn kỹ thuật quốc gia và Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc trong lĩnh vực mật mã dân sự do Bộ trưởng Bộ Quốc phòng ban hành

THÔNG TƯ

BAN HÀNH, SỬA ĐỔI QUY CHUẨN KỸ THUẬT QUỐC GIA VÀ DANH MỤC TIÊU CHUẨN KỸ THUẬT MẬT MÃ ÁP DỤNG BẮT BUỘC TRONG LĨNH VỰC MẬT MÃ DÂN SỰ

Căn cứ Luật Tiêu chuẩn và quy chuẩn kỹ thuật số 68/2006/QH11 được sửa đổi, bổ sung bởi Luật số 35/2018/QH14 và Luật số 70/2025/QH15;

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;

Căn cứ Nghị định số 01/2022/NĐ-CP được sửa đổi, bổ sung bởi Nghị định số 03/2025/NĐ-CP của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Quốc phòng;

Căn cứ Nghị định số 09/2014/NĐ-CP của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ban Cơ yếu Chính phủ;

Căn cứ Nghị định số 22/2026/NĐ-CP của Chính phủ quy định chi tiết một số điều và biện pháp để tổ chức, hướng dẫn thi hành Luật Tiêu chuẩn và quy chuẩn kỹ thuật;

Theo đề nghị của Trưởng ban Ban Cơ yếu Chính phủ;

Bộ trưởng Bộ Quốc phòng ban hành Thông tư ban hành, sửa đổi Quy chuẩn kỹ thuật quốc gia và Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc trong lĩnh vực mật mã dân sự.

Điều 1. Ban hành kèm theo Thông tư này gồm:

1. Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng (QCVN 4:2026/BQP) kèm theo Thông tư này thay thế Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng (QCVN 4:2016/BQP) ban hành kèm theo Thông tư số 161/2016/TT-BQP ngày 21 tháng 10 năm 2016 của Bộ trưởng Bộ Quốc phòng;

2. Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử tại Phụ lục ban hành kèm theo Thông tư này thay thế Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử tại Phụ lục ban hành kèm theo Thông tư số 87/2024/TT-BQP ngày 26 tháng 10 năm 2024 của Bộ trưởng Bộ Quốc phòng;

Điều 2. Sửa đổi kèm theo Thông tư này gồm:

1. Sửa đổi, bổ sung một số nội dung của Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ ban hành kèm theo Thông tư số 96/2023/TT-BQP ngày 29 tháng 11 năm 2023 của Bộ trưởng Bộ Quốc phòng (Sửa đổi 1:2026 QCVN 15:2023/BQP kèm theo Thông tư này);

2. Sửa đổi, bổ sung một số nội dung của Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS ban hành kèm theo Thông tư số 23/2022/TT-BQP ngày 04 tháng 4 năm 2022 của Bộ trưởng Bộ Quốc phòng (Sửa đổi 1:2026 QCVN 12:2022/BQP kèm theo Thông tư này).

Điều 3. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 06 tháng 3 năm 2026.

2. Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng (QCVN 4:2016/BQP) ban hành kèm theo Thông tư số 161/2016/TT-BQP ngày 21 tháng 10 năm 2016 của Bộ trưởng Bộ Quốc phòng và Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử ban hành kèm theo Thông tư số 87/2024/TT-BQP ngày 26 tháng 10 năm 2024 của Bộ trưởng Bộ Quốc phòng hết hiệu lực kể từ ngày Thông tư này có hiệu lực.

Điều 4. Tổ chức thực hiện

1. Trưởng ban Ban Cơ yếu Chính phủ có trách nhiệm theo dõi, hướng dẫn, kiểm tra, đôn đốc việc thực hiện Thông tư này.

2. Thủ trưởng các cơ quan, đơn vị, cá nhân có liên quan chịu trách nhiệm thi hành Thông tư này./.

QCVN 4:2026/BQP

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ MÃ HÓA DỮ LIỆU SỬ DỤNG TRONG LĨNH VỰC NGÂN HÀNG

National technical regulation on data encryption used in banking

THÔNG TƯ

BAN HÀNH, SỬA ĐỔI QUY CHUẨN KỸ THUẬT QUỐC GIA VÀ DANH MỤC TIÊU CHUẨN KỸ THUẬT MẬT MÃ ÁP DỤNG BẮT BUỘC TRONG LĨNH VỰC MẬT MÃ DÂN SỰ

Căn cứ Luật Tiêu chuẩn và quy chuẩn kỹ thuật số 68/2006/QH11 được sửa đổi, bổ sung bởi Luật số 35/2018/QH14 và Luật số 70/2025/QH15;

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;

Căn cứ Nghị định số 01/2022/NĐ-CP được sửa đổi, bổ sung bởi Nghị định số 03/2025/NĐ-CP của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Quốc phòng;

Căn cứ Nghị định số 09/2014/NĐ-CP của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ban Cơ yếu Chính phủ;

Căn cứ Nghị định số 22/2026/NĐ-CP của Chính phủ quy định chi tiết một số điều và biện pháp để tổ chức, hướng dẫn thi hành Luật Tiêu chuẩn và quy chuẩn kỹ thuật;

Theo đề nghị của Trưởng ban Ban Cơ yếu Chính phủ;

Bộ trưởng Bộ Quốc phòng ban hành Thông tư ban hành, sửa đổi Quy chuẩn kỹ thuật quốc gia và Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc trong lĩnh vực mật mã dân sự.

Điều 1. Ban hành kèm theo Thông tư này gồm:

1. Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng (QCVN 4:2026/BQP) kèm theo Thông tư này thay thế Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng (QCVN 4:2016/BQP) ban hành kèm theo Thông tư số 161/2016/TT-BQP ngày 21 tháng 10 năm 2016 của Bộ trưởng Bộ Quốc phòng;

2. Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử tại Phụ lục ban hành kèm theo Thông tư này thay thế Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử tại Phụ lục ban hành kèm theo Thông tư số 87/2024/TT-BQP ngày 26 tháng 10 năm 2024 của Bộ trưởng Bộ Quốc phòng;

Điều 2. Sửa đổi kèm theo Thông tư này gồm:

1. Sửa đổi, bổ sung một số nội dung của Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ ban hành kèm theo Thông tư số 96/2023/TT-BQP ngày 29 tháng 11 năm 2023 của Bộ trưởng Bộ Quốc phòng (Sửa đổi 1:2026 QCVN 15:2023/BQP kèm theo Thông tư này);

2. Sửa đổi, bổ sung một số nội dung của Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS ban hành kèm theo Thông tư số 23/2022/TT-BQP ngày 04 tháng 4 năm 2022 của Bộ trưởng Bộ Quốc phòng (Sửa đổi 1:2026 QCVN 12:2022/BQP kèm theo Thông tư này).

Điều 3. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 06 tháng 3 năm 2026.

2. Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng (QCVN 4:2016/BQP) ban hành kèm theo Thông tư số 161/2016/TT-BQP ngày 21 tháng 10 năm 2016 của Bộ trưởng Bộ Quốc phòng và Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử ban hành kèm theo Thông tư số 87/2024/TT-BQP ngày 26 tháng 10 năm 2024 của Bộ trưởng Bộ Quốc phòng hết hiệu lực kể từ ngày Thông tư này có hiệu lực.

Điều 4. Tổ chức thực hiện

1. Trưởng ban Ban Cơ yếu Chính phủ có trách nhiệm theo dõi, hướng dẫn, kiểm tra, đôn đốc việc thực hiện Thông tư này.

2. Thủ trưởng các cơ quan, đơn vị, cá nhân có liên quan chịu trách nhiệm thi hành Thông tư này./.

QCVN 4:2026/BQP

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ MÃ HÓA DỮ LIỆU SỬ DỤNG TRONG LĨNH VỰC NGÂN HÀNG

National technical regulation on data encryption used in banking

MỤC LỤC

Lời nói đầu

1. QUY ĐỊNH CHUNG

1.1  Phạm vi điều chỉnh

1.2  Đối tượng áp dụng

1.3  Tài liệu viện dẫn

1.4  Giải thích từ ngữ

1.5  Chữ viết tắt

2. QUY ĐỊNH KỸ THUẬT

2.1  Quy định về thuật toán mật mã

2.2  Quy định về đặc tính kỹ thuật và thời gian sử dụng

2.3  Quy định về an toàn trong sử dụng

3. QUY ĐỊNH VỀ QUẢN LÝ

4. TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

5. TỔ CHỨC THỰC HIỆN

TÀI LIỆU THAM KHẢO

Lời nói đầu

QCVN 4:2026/BQP do Ban Cơ yếu Chính phủ biên soạn, Ban Cơ yếu Chính phủ trình duyệt, Bộ Khoa học và Công nghệ thẩm định, Bộ trưởng Bộ Quốc phòng ban hành theo kèm Thông tư số 07/2026/TT-BQP ngày 20 tháng 01 năm 2026.

QCVN 4:2026/BQP thay thế QCVN 4:2016/BQP Quy chuẩn kỹ thuật quốc gia mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng ban hành kèm theo Thông tư số 161/2016/TT-BQP ngày 21/10/2016 của Bộ trưởng Bộ Quốc phòng ban hành Quy chuẩn kỹ thuật quốc gia về mật mã dân sự sử dụng trong lĩnh vực ngân hàng.

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ MÃ HÓA DỮ LIỆU SỬ DỤNG TRONG LĨNH VỰC NGÂN HÀNG

National technical regulation on data encryption used in banking

1 QUY ĐỊNH CHUNG

1.1 Phạm vi điều chỉnh

Quy chuẩn kỹ thuật quốc gia này quy định mức giới hạn các đặc tính kỹ thuật mật mã của các thuật toán mã hóa dữ liệu dùng trong các sản phẩm, dịch vụ mật mã dân sự sử dụng trong lĩnh vực ngân hàng.

1.2 Đối tượng áp dụng

Quy chuẩn này áp dụng đối với các tổ chức kinh doanh, sử dụng sản phẩm, dịch vụ mật mã dân sự trong lĩnh vực ngân hàng.

1.3 Tài liệu viện dẫn

Các tài liệu viện dẫn sau là cần thiết cho việc áp dụng quy chuẩn này. Trường hợp các tài liệu viện dẫn được sửa đổi, bổ sung hoặc thay thế thì áp dụng phiên bản mới nhất.

TCVN 14263:2024 “Công nghệ thông tin - Kỹ thuật an toàn - Thuật toán mã khối MKV”.

TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) “Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối.”

TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit”.

[RFC 7801]: “GOST R 34.12-2015: Block Cipher “Kuznyechik””, Internet Engineering Task Force (IETF), March 2016.

1.4 Giải thích từ ngữ

Trong quy chuẩn này, các từ ngữ dưới đây được hiểu như sau:

1.4.1. Thông tin không thuộc phạm vi bí mật nhà nước

Là thông tin không thuộc nội dung tin “tuyệt mật”, “tối mật” và “mật” được quy định tại Luật Bảo vệ bí mật nhà nước ngày 15 tháng 11 năm 2018.

1.4.2. Mật mã

Là những quy tắc, quy ước riêng dùng để thay đổi hình thức biểu hiện thông tin nhằm bảo đảm bí mật, xác thực, toàn vẹn của nội dung thông tin.

1.4.3. Mật mã dân sự

Là kỹ thuật mật mã và sản phẩm mật mã được sử dụng để bảo mật hoặc xác thực đối với thông tin không thuộc phạm vi bí mật nhà nước.

1.4.4. Sản phẩm mật mã dân sự

Là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

1.4.5. Kỹ thuật mật mã

Là phương pháp, phương tiện có ứng dụng mật mã để bảo vệ thông tin.

1.4.6. Mã hóa

Là quá trình dùng kỹ thuật mật mã để thay đổi hình thức biểu hiện thông tin.

1.4.7. Giải mã

Là phép biến đổi ngược của quá trình mã hóa tương ứng.

1.4.8. Mã khối

Hệ mật đối xứng với tính chất là thuật toán mã hóa thao tác trên một khối của bản rõ, nghĩa là trên một xâu bit có độ dài xác định, kết quả cho ra một khối của bản mã.

1.4.9. Mã dòng

Hệ mật đối xứng với tính chất là thuật toán mã hóa bao gồm tổ hợp một dãy các ký tự của bản rõ với dãy các ký tự của khóa dòng, mỗi lần một ký tự, sử dụng một hàm khả nghịch.

1.4.10. Khóa

Là dãy ký tự điều khiển hoạt động của biến đổi mật mã.

1.4.11. Khóa dòng

Là dãy các ký tự giả ngẫu nhiên bí mật, được sử dụng bởi các thuật toán mã hóa và giải mã của mã dòng.

1.4.12. Mật mã đối xứng

Là mật mã trong đó khóa được sử dụng cho các phép mã hóa, giải mã là trùng nhau hoặc dễ dàng tính toán được khóa mã hóa khi biết khóa giải mã và ngược lại.

1.5 Chữ viết tắt

2 QUY ĐỊNH KỸ THUẬT

Các sản phẩm mật mã dân sự sử dụng trong lĩnh vực ngân hàng tuân thủ các quy định về thuật toán mã hóa đối xứng sau:

2.1 Quy định về thuật toán mật mã

Sử dụng thuật toán trong danh sách sau:

Bảng 1 - Danh mục thuật toán mã hóa đối xứng được phép sử dụng

2.2 Quy định về đặc tính kỹ thuật và thời gian sử dụng

Việc sử dụng thuật toán mã hóa đối xứng phải tuân thủ các quy định sau:

Bảng 2 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với thuật toán mã hóa đối xứng

2.3 Quy định về an toàn trong sử dụng

- Trong bọc khóa bằng thuật toán mã hóa đối xứng phải sử dụng một trong các chế độ sau: KW, KWP, CCM, GCM.

- Các khóa mật mã chỉ được sử dụng cho một mục đích, không được phép sử dụng chung khóa để mã hóa khóa và mã hóa dữ liệu.

- Đối với chế độ CBC, chỉ được phép sử dụng để giải mã dữ liệu cũ, không dùng để mã hóa dữ liệu mới.

3 QUY ĐỊNH VỀ QUẢN LÝ

3.1 Các mức giới hạn của đặc tính kỹ thuật mật mã quy định tại quy chuẩn này là các chỉ tiêu an toàn phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm, dịch vụ mật mã dân sự.

3.2 Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm theo Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 của Bộ khoa học và Công nghệ quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp và Thông tư số 02/2017/TT-BKHCN ngày 31/3/2017 của Bộ khoa học và Công nghệ sửa đổi, bổ sung một số điều của Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 với tiêu chuẩn, quy chuẩn kỹ thuật, trong quy chuẩn này được thực hiện theo phương thức 1; Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật.

3.3 Dấu hợp quy được sử dụng trực tiếp trên sản phẩm hoặc trên bao gói hoặc trên nhãn gắn trên sản phẩm hoặc trong chứng chỉ chất lượng, tài liệu kỹ thuật của sản phẩm.

3.4 Ban Cơ yếu Chính phủ xem xét thừa nhận kết quả đánh giá sự phù hợp do tổ chức đánh giá sự phù hợp nước ngoài thực hiện đối với các sản phẩm mật mã dân sự thuộc trách nhiệm quản lý theo quy định.

4 TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

4.1 Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ là cơ quan tiếp nhận công bố hợp quy, kiểm tra nhà nước về chất lượng sản phẩm mật mã dân sự.

4.2 Các tổ chức sử dụng sản phẩm, dịch vụ mật mã dân sự có trách nhiệm đảm bảo tuân thủ quy chuẩn này và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định của pháp luật hiện hành.

4.3 Các tổ chức có hoạt động sản xuất, kinh doanh sản phẩm, dịch vụ mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định của pháp luật hiện hành.

5 TỔ CHỨC THỰC HIỆN

5.1 Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng rà soát, sửa đổi, bổ sung hoặc ban hành thay thế quy chuẩn này để đảm bảo phù hợp với thực tiễn và đáp ứng yêu cầu quản lý.

5.2 Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ có trách nhiệm hướng dẫn, tổ chức triển khai quản lý kỹ thuật mật mã theo quy chuẩn này.

5.3 Thanh tra, kiểm tra sản phẩm, dịch vụ mật mã dân sự được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất.

5.4 Trong trường hợp các văn bản quy phạm pháp luật quy định tại quy chuẩn kỹ thuật này có sự thay đổi, bổ sung hoặc được thay thế thì thực hiện theo các văn bản mới. Trong trường hợp các tiêu chuẩn được viện dẫn trong quy chuẩn này có sự thay đổi, bổ sung, thay thế thì thực hiện theo hướng dẫn của Bộ Quốc phòng./.

TÀI LIỆU THAM KHẢO

[1]. QCVN 4:2016/BQP “Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng”.

[2]. TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) “Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối”.

[3]. TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit”.

[4]. TCVN 12853:2020 (ISO/IEC 18031:2011 With amendment 1:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Bộ tạo bit ngẫu nhiên”.

[5]. TCVN 11816 (ISO/IEC 10118) “Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm - Phần 3: Hàm băm chuyên dụng”.

[6]. TCVN 11495-1:2016 (ISO/IEC 9797-1:2011) “Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác nhận thông điệp”.

[7]. ISO/IEC 27040:2015 “Information technology - Security techniques - Storage security”.

[8]. Federal Office for Information Security, BSI TR-02102-1 “Cryptographic Mechanisms: Recommendations and Key Lengths”, January 2022.

[9]. National Information Assurance Partnership, “PP-Module for File Encryption Enterprise Management v1.0”, 2019.

[10]. Common Criteria, “collaborative Protection Profile for USB Portable Storage Devices Version: 1.0”, January 2015.

[11]. Common Criteria, “collaborative Protection Profile for Full Drive Encryption – Encryption Engine Version 2.0”, September 2016.

[12]. National Institute of Standards and Technology, Special Publication 800-131A “Transitioning the use of Cryptographic Algorithms and Key Lengths”, March 2019.

[13]. National Institute of Standards and Technology, Special Publication 800-132 “Recommendation for Password-Based Key Derivation: Part 1: Storage Applications”, December 2010.

[14]. National Institute of Standards and Technology, Special Publication 800-38E “Recommendation for Block Cipher Modes of Operation: the XTS-AES Mode for Confidentiality on Storage Devices”, January 2010.

[15]. National Institute of Standards and Technology, Special Publication 800-57 Part 1 Rev. 5 “Recommendation for Key Management: Part 1 - General”, May 2020.

[16]. National Institute of Standards and Technology, Special Publication 800-56B Revision 2 “Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography”, March 2019.

[17]. National Institute of Standards and Technology, Special Publication 800-38F, “Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping”, December 2012.

[18]. National Institute of Standards and Technology, Special Publication 800-38D, “Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC”, November 2007.

[19]. National Institute of Standards and Technology, Special Publication 800-38C “Recommendation for Block Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality”, July 2007.

[20]. Internet Engineering Task Force, “IEEE Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices”, October 2018.

PHỤ LỤC

DANH MỤC TIÊU CHUẨN KỸ THUẬT MẬT MÃ ÁP DỤNG BẮT BUỘC CHO MÔ-ĐUN AN TOÀN PHẦN CỨNG TRONG HOẠT ĐỘNG ĐỊNH DANH VÀ XÁC THỰC ĐIỆN TỬ
(Kèm theo Thông tư số 07/2026/TT-BQP ngày 20 tháng 01 năm 2026 của Bộ trưởng Bộ Quốc phòng)

I. Quy định Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử

II. Quy định về mã HS của mô-đun an toàn phần cứng

Giải thích chữ viết tắt và ký hiệu:

SỬA ĐỔI 1:2026 QCVN 12:2022/BQP

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT LUỒNG IP SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS

Amendment 1:2026 QCVN 12:2022/BQP

National technical regulation on cryptographic technical specification used in civil cryptography products under IP security products group with IPsec and TLS

Lời nói đầu

SỬA ĐỔI 1:2026 QCVN 12:2022/BQP do Ban Cơ yếu Chính phủ biên soạn, Ban Cơ yếu Chính phủ trình duyệt, Bộ Khoa học và Công nghệ thẩm định, Bộ trưởng Bộ Quốc phòng ban hành theo kèm Thông tư số 07/2026/TT-BQP ngày 20 tháng 01 năm 2026.

Sửa đổi 1:2026 QCVN 12:2022/BQP chỉ bao gồm nội dung sửa đổi, bổ sung một số quy định của QCVN 12:2022/BQP. Các nội dung không được nêu tại Sửa đổi 1:2026 này thì tiếp tục áp dụng QCVN 12:2022/BQP ban hành kèm theo Thông tư số 23/2022/TT-BQP ngày 04/4/2022 của Bộ trưởng Bộ Quốc phòng.

SỬA ĐỔI 1:2026 QCVN 12:2022/BQP

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT LUỒNG IP SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS

Amendment 1:2026 QCVN 12:2022/BQP

National technical regulation on cryptographic technical specification used in civil cryptography products under IP security products group with IPsec and TLS

1 QUY ĐỊNH CHUNG

Thay thế mục 1.3 Tài liệu viện dẫn như sau:

“1.3 Tài liệu viện dẫn

Các tài liệu viện dẫn sau là cần thiết cho việc áp dụng quy chuẩn này. Trường hợp các tài liệu viện dẫn được sửa đổi, bổ sung hoặc thay thế thì áp dụng phiên bản mới nhất.

TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) “Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối”.

TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit”.

TCVN 12853:2020 (ISO/IEC 18031:2011 With amendment 1:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Bộ tạo bit ngẫu nhiên”.

TCVN 11816 (ISO/IEC 10118) “Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm - Phần 3: Hàm băm chuyên dụng”.

TCVN 11495-1:2016 (ISO/IEC 9797-1:2011) “Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác nhận thông điệp”.

QCVN 12:2022/BQP “Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPSec và TLS.”

TCVN 14263:2024 “Công nghệ thông tin - Kỹ thuật an toàn - Thuật toán mã khối MKV.

National Institute of Standards and Technology, FIPS 186-5 “Digital Signature Standard (DSS)”, February 2023.

National Institute of Standards and Technology, FIPS 186-4 “Digital Signature Standard (DSS)”, July 2013.

National Institute of Standards and Technology, FIPS 180-4 “Secure Hash Standard (SHS)”, August 2015.

National Institute of Standards and Technology, FIPS 198-1 “The Keyed-Hash Message Authentication Code (HMAC)”, July 2008.

National Institute of Standards and Technology, FIPS 202 “SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions”, National Institute of Standards and Technology, August 2015.

[RFC 4309]: “Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)”, Internet Engineering Task Force (IETF), December 2005.

[RFC 7091]: “GOST R 34.10-2012: Digital Signature Algorithm”, Internet Engineering Task Force (IETF), December 2013.

[RFC 6986]: “GOST R 34.11-2012: Hash Function”, Internet Engineering Task Force (IETF), December 2013.

[RFC 7801]: “GOST R 34.12-2015: Block Cipher “Kuznyechik””, Internet Engineering Task Force (IETF), March 2016.

[RFC 9058]: “Multilinear Galois Mode (MGM)”, Internet Engineering Task Force (IETF), June 2021.

[RFC 3566]: “The AES-XCBC-MAC-96 Algorithm and its Use With IPsec”, Internet Engineering Task Force (IETF), September 2003.

[RFC 4494]: “The AES-CMAC-96 Algorithm and its use with IPsec”, Internet Engineering Task Force (IETF), June 2006.

[RFC 4868]: “Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec”, Internet Engineering Task Force (IETF), May 2007.”

Thay thế mục 1.5 Chữ viết tắt như sau:

“1.5 Chữ viết tắt

”

Thay thế mục 1.6 Ký hiệu như sau:

“1.6 Ký hiệu

”

2 QUY ĐỊNH KỸ THUẬT

Thay thế mục 2.1 như sau:

“2.1 Quy định chung

- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ IPsec VPN chỉ được phép sử dụng giao thức trao đổi khóa IKE phiên bản 2 (IKEv2) trở lên, giao thức đóng gói ESP.

- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ TLS VPN chỉ được phép sử dụng giao thức phiên bản TLS 1.2 trở lên.”

Thay thế mục 2.2.1.1 như sau:

“2.2.1.1 Thuật toán mật mã đối xứng

- Sử dụng thuật toán trong danh sách sau:

”

Thay thế mục 2.2.1.2 như sau:

“2.2.1.2 Thuật toán mật mã phi đối xứng

- Sử dụng thuật toán trong danh sách sau:

”

Thay thế mục 2.2.1.3 như sau:

“2.2.1.3 Thuật toán băm

- Sử dụng thuật toán trong danh sách sau:

”

Thay thế mục 2.2.2.1 như sau:

“2.2.2.1 Thuật toán mật mã đối xứng

”

Thay thế mục 2.2.2.2 như sau:

“2.2.2.2 Thuật toán mật mã phi đối xứng

”

Thay thế mục 2.2.2.3 như sau:

“2.2.2.3 Thuật toán băm

”

Sửa đổi mục 2.2.2.4 như sau:

Điều chỉnh thời hạn sử dụng từ năm “2027” thành năm “2030”.

Thay thế mục 2.3.1 như sau:

“2.3.1 Quy định về an toàn sử dụng trong giao thức IPSec

“- Không được phép sử dụng giao thức AH.

- Không được phép sử dụng giao thức ESP chỉ có cơ chế xác thực dữ liệu.

- Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).”

Thay thế mục 2.3.2 như sau:

“- Không được phép trao đổi khóa dựa trên thuật toán Diffie-Hellman trên trường hữu hạn sử dụng khóa cố định (Static Diffie-Hellman).

- Sử dụng định dạng chứng thư số X.509 v3 cho TLS (nếu có).

- Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).

- Không được phép sử dụng phần mở rộng Heartbeat.

- Yêu cầu bổ sung đối với phiên bản TLS 1.3:

+ Không được phép sử dụng chế độ MAC-then-Encrypt (Non-AHEAD Ciphers).

+ Không được phép trao đổi khóa sử dụng thuật toán RSA.

+ Không được phép sử dụng lược đồ ký số/ xác thực RSASSA-PKCS1-v1_5.”

3 QUY ĐỊNH VỀ QUẢN LÝ

Thay thế mục 3 như sau:

“3.1 Các mức giới hạn của đặc tính kỹ thuật mật mã quy định tại quy chuẩn này là các chỉ tiêu an toàn phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm mật mã dân sự được quy định của pháp luật.

3.2 Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm theo Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 của Bộ khoa học và Công nghệ quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp và Thông tư số 02/2017/TT-BKHCN ngày 31/3/2017 của Bộ khoa học và Công nghệ sửa đổi, bổ sung một số điều của Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 với tiêu chuẩn, quy chuẩn kỹ thuật, trong quy chuẩn này được thực hiện theo phương thức 1; Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật.

3.3 Dấu hợp quy được sử dụng trực tiếp trên sản phẩm hoặc trên bao gói hoặc trên nhãn gắn trên sản phẩm hoặc trong chứng chỉ chất lượng, tài liệu kỹ thuật của sản phẩm.

3.4 Ban Cơ yếu Chính phủ xem xét thừa nhận kết quả đánh giá sự phù hợp do tổ chức đánh giá sự phù hợp nước ngoài thực hiện đối với các sản phẩm mật mã dân sự thuộc trách nhiệm quản lý theo quy định.”

4 TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

Thay thế Điều 4 như sau:

“4 TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

4.1 Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ là cơ quan tiếp nhận công bố hợp quy, kiểm tra nhà nước về chất lượng sản phẩm mật mã dân sự.

4.2 Các tổ chức, cá nhân có hoạt động sản xuất, kinh doanh sản phẩm mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định hiện hành.”

5 TỔ CHỨC THỰC HIỆN

Thay thế Điều 5 như sau:

“5.1 Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng rà soát, sửa đổi, bổ sung hoặc ban hành thay thế quy chuẩn này để đảm bảo phù hợp với thực tiễn và đáp ứng yêu cầu quản lý.

5.2 Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ có trách nhiệm hướng dẫn, tổ chức triển khai quản lý kỹ thuật mật mã theo quy chuẩn này.

5.3 Thanh tra, kiểm tra sản phẩm mật mã dân sự được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất.

5.4 Trong trường hợp các văn bản quy phạm pháp luật quy định tại quy chuẩn kỹ thuật này có sự thay đổi, bổ sung hoặc được thay thế thì thực hiện theo các văn bản mới. Trong trường hợp các tiêu chuẩn được viện dẫn trong quy chuẩn này có sự thay đổi, bổ sung, thay thế thì thực hiện theo hướng dẫn của Bộ Quốc phòng./.”

PHỤ LỤC A

Thay thế Phụ lục A như sau:

“PHỤ LỤC

(Quy định)

QUY ĐỊNH VỀ MÃ HS CỦA SẢN PHẨM BẢO MẬT LUỒNG IP SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS

”

TÀI LIỆU THAM KHẢO

Bổ sung tài liệu sau vào mục Tài liệu tham khảo:

“[22] National Institute of Standards and Technology, Special Publication 800-56A Revision 3 “Recommendation for Pair-Wise Key Establishment Using Schemes Using Discrete Logarithm Cryptography”, April 2018.

[23] National Institute of Standards and Technology, Special Publication 800-56C Revision 2 “Recommendation for Key-Derivation Methods in Key-Establishment Schemes”, August 2020.

[24] National Institute of Standards and Technology, Special Publication 800-186 “Recommendations for Discrete Logarithm-based Cryptography: Elliptic Curve Domain Parameters”, February 2023.

[25] Federal Office for Information Security, Technical Guideline TR-02102-1 “Cryptographic Mechanisms: Recommendations and Key Lengths”. 2025.

[26] Federal Office for Information Security, Technical Guideline TR-02102-2 “Cryptographic Mechanisms: Recommendations and Key Lengths”. 2025.

[27] Federal Office for Information Security, Technical Guideline TR-02102-3 “Cryptographic Mechanisms: Recommendations and Key Lengths”, 2025.”

SỬA ĐỔI 1:2026 QCVN 15:2023/BQP

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT DỮ LIỆU LƯU GIỮ

Amendment 1:2026 QCVN 15:2023/BQP

National technical regulation on security of cryptographic used in civil cryptography products belong to data storage security product group

Lời nói đầu

SỬA ĐỔI 1:2026 QCVN 15:2023/BQP do Ban Cơ yếu Chính phủ biên soạn, Ban Cơ yếu Chính phủ trình duyệt, Bộ Khoa học và Công nghệ thẩm định, Bộ trưởng Bộ Quốc phòng ban hành theo kèm Thông tư số 07/2026/TT-BQP ngày 20 tháng 01 năm 2026.

Sửa đổi 1:2026 QCVN 15:2023/BQP chỉ bao gồm nội dung sửa đổi, bổ sung một số quy định của QCVN 15:2023/BQP. Các nội dung không được nêu tại Sửa đổi 1:2026 này thì tiếp tục áp dụng QCVN 15:2023/BQP ban hành kèm theo Thông tư số 96/2023/TT-BQP ngày 29/11/2023 của Bộ trưởng Bộ Quốc phòng.

SỬA ĐỔI 1:2026 QCVN 15:2023/BQP

QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT DỮ LIỆU LƯU GIỮ

Amendment 1:2026 QCVN 15:2023/BQP

National technical regulation on security of cryptographic used in civil cryptography products belong to data storage security product group

1 QUY ĐỊNH CHUNG

Thay thế mục 1.3 Tài liệu viện dẫn như sau:

“1.3 Tài liệu viện dẫn

Các tài liệu viện dẫn sau là cần thiết cho việc áp dụng Quy chuẩn này. Trường hợp các tài liệu viện dẫn được sửa đổi, bổ sung hoặc thay thế thì áp dụng phiên bản mới nhất.

QCVN 12:2022/BQP “Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS”.

QCVN 15:2023/BQP “Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ”.

TCVN 14263:2024 “Công nghệ thông tin - Kỹ thuật an toàn - Thuật toán mã khối MKV”.

TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) “Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối”.

TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit”.

TCVN 12853:2020 (ISO/IEC 18031:2011 With amendment 1:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Bộ tạo bit ngẫu nhiên”.

TCVN 11816-3:2017 (ISO/IEC 10118-3 With Amendment 1:2006) “Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm - Phần 3: Hàm băm chuyên dụng”.

TCVN 11495-1:2016 (ISO/IEC 9797-1:2011) “Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác nhận thông điệp - Phần 1: Cơ chế sử dụng mã khối”.

ISO/IEC 27040:2015 “Information technology - Security techniques - Storage security”.

National Institute of Standards and Technology, FIPS 186-5 “Digital Signature standard (DSS)”, February 2023.

National Institute of Standards and Technology, FIPS 180-4 “Secure Hash Standard (SHS)”, August 2015.

National Institute of Standards and Technology, FIPS 202 “SHA-3 standard: Permutation-Based Hash and Extendable-Output Functions”, August 2015.

National Institute of Standards and Technology, Special Publication 800-38E “Recommendation for Block Cipher Modes of Operation: the XTS-AES Mode for Confidentiality on storage Devices”, January 2010.

Internet Engineering Task Force, “IEEE standard for Cryptographic Protection of Data on Block-Oriented Storage Devices”, October 2018.

[RFC 7801]: “GOST R 34.12-2015: Block Cipher “Kuznyechik””, Internet Engineering Task Force (IETF), March 2016.

[RFC 9058]: “Multilinear Galois Mode (MGM)”, Internet Engineering Task Force (IETF), June 2021.

[RFC 7091]: “GOST R 34.10-2012: Digital Signature Algorithm”, Internet Engineering Task Force (IETF), December 2013.

[RFC 4868]: “Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec”, Internet Engineering Task Force (IETF), May 2007.

[RFC 9106]: “Argon2 Memory-Hard Function for Password Hashing and Proof-of-Work Applications”, Internet Engineering Task Force (IETF), September 2021.

[RFC 2631]: “Diffie-Hellman Key Agreement Method”, Internet Engineering Task Force (IETF), June 1999.

[RFC 3526]: “More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)”, Internet Engineering Task Force (IETF), May 2003.

[RFC 7919]: “Negotiated Finite Field Diffie-Hellman Ephemeral Parameters for Transport Layer Security (TLS)”, Internet Engineering Task Force (IETF), August 2016.

[RFC 6090]: “Fundamental Elliptic Curve Cryptography Algorithms”, Internet Engineering Task Force (IETF), February 2011.

[RFC 6986]: “GOST R 34.11-2012: Hash Function”, Internet Engineering Task Force (IETF), August 2013.”

Thay thế mục 1.5 Chữ viết tắt như sau:

“1.5 Chữ viết tắt

”

Thay thế mục 1.6 Ký hiệu như sau:

“1.6 Ký hiệu

”

2 QUY ĐỊNH KỸ THUẬT

Thay thế Bảng 1 mục 2.1.1 bằng:

“Bảng 1 - Danh mục thuật toán mã hóa đối xứng được phép sử dụng

”

Thay thế Bảng 2 mục 2.1.2 bằng:

“Bảng 2 - Danh mục thuật toán mật mã phi đối xứng được phép sử dụng

”

Thay thế Bảng 3 mục 2.1.3 bằng:

“Bảng 3 - Danh mục thuật toán băm được phép sử dụng

”

Thay thế Bảng 7 mục 2.2.1 bằng:

“Bảng 7 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với thuật toán mật mã đối xứng

”

Thay thế Bảng 8 mục 2.2.2 bằng:

“Bảng 8 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với thuật toán mật mã phi đối xứng

”

Thay thế Bảng 9 mục 2.2.3 bằng:

“Bảng 9 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với thuật toán băm

“

Thay thế thời gian được phép sử dụng tại cột “Sử dụng đến năm” trong các bảng 10 mục 2.2.4, bảng 11 mục 2.2.5 và bảng 12 mục 2.2.6 như sau:

Sửa năm “2027” thành năm “2030”.

Thay thế các quy định tại mục 2.3 Quy định về an toàn trong sử dụng như sau:

“- Trong mã hóa/giải mã dữ liệu bằng thuật toán mã hóa đối xứng phải sử dụng một trong các chế độ sau: XTS, CCM, GCM, MGM.

- Trong bọc khóa bằng thuật toán mã hóa đối xứng phải sử dụng một trong các chế độ sau: KW, KWP, CCM, GCM.

- Đối với chế độ CBC, chỉ được phép sử dụng để giải mã dữ liệu cũ, không dùng để mã hóa dữ liệu mới.

- Các khóa mật mã chỉ được sử dụng cho một mục đích, không được phép sử dụng chung khóa để mã hóa khóa và mã hóa dữ liệu

- Đối với thuật toán RSA, chỉ được phép sử dụng lược đồ KTS-OAEP và KTS-KEM-KWS cho vận chuyển khóa.

- Trong mã hóa dữ liệu được truyền tải, áp dụng hai giao thức IPSec và TLS (phiên bản TLS 1.2 và TLS 1.3) để cung cấp khả năng bảo vệ bổ sung (nếu có).”

3 QUY ĐỊNH VỀ QUẢN LÝ

Thay thế Điều 3 như sau:

“3 QUY ĐỊNH VỀ QUẢN LÝ

3.1 Các mức giới hạn của đặc tính kỹ thuật mật mã quy định tại quy chuẩn này là các chỉ tiêu an toàn phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm mật mã dân sự được quy định của pháp luật.

3.2 Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm theo Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 của Bộ Khoa học và Công nghệ quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp và Thông tư số 02/2017/TT-BKHCN ngày 31/3/2017 của Bộ Khoa học và Công nghệ sửa đổi, bổ sung một số điều của Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 với tiêu chuẩn, quy chuẩn kỹ thuật, trong quy chuẩn này được thực hiện theo phương thức 1; Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật.

3.3 Dấu hợp quy được sử dụng trực tiếp trên sản phẩm hoặc trên bao gói hoặc trên nhãn gắn trên sản phẩm hoặc trong chứng chỉ chất lượng, tài liệu kỹ thuật của sản phẩm.

3.4 Ban Cơ yếu Chính phủ xem xét thừa nhận kết quả đánh giá sự phù hợp do tổ chức đánh giá sự phù hợp nước ngoài thực hiện đối với các sản phẩm mật mã dân sự thuộc trách nhiệm quản lý theo quy định.”

4 TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

Thay thế Điều 4 như sau:

“4 TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

4.1 Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ là cơ quan tiếp nhận công bố hợp quy, kiểm tra nhà nước về chất lượng sản phẩm mật mã dân sự.

4.2 Các tổ chức, cá nhân có hoạt động sản xuất, kinh doanh sản phẩm mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định hiện hành.”

5 TỔ CHỨC THỰC HIỆN

Bổ sung mục 5.4 vào Điều 5 như sau:

“5.4 Trong trường hợp các văn bản quy phạm pháp luật quy định tại quy chuẩn kỹ thuật này có sự thay đổi, bổ sung hoặc được thay thế thì thực hiện theo các văn bản mới. Trong trường hợp các tiêu chuẩn được viện dẫn trong quy chuẩn này có sự thay đổi, bổ sung, thay thế thì thực hiện theo hướng dẫn của Bộ Quốc phòng.”

PHỤ LỤC

Thay thế bảng Phụ lục Quy định về mã HS của sản phẩm bảo mật dữ liệu lưu giữ bằng:

“PHỤ LỤC

(Quy định)

Quy định về mã HS của sản phẩm bảo mật dữ liệu lưu giữ

TÀI LIỆU THAM KHẢO

Bổ sung tài liệu sau vào mục Tài liệu tham khảo:

“[11] National Institute of Standards and Technology, Special Publication 800-56A Revision 3 “Recommendation for Pair-Wise Key Establishment Using Schemes Using Discrete Logarithm Cryptography”, April 2018.

[12] National Institute of Standards and Technology, Special Publication 800-56C Revision 2 “Recommendation for Key-Derivation Methods in Key-Establishment Schemes”, August 2020.

[13] National Institute of Standards and Technology, Special Publication 800-186 “Recommendations for Discrete Logarithm-based Cryptography: Elliptic Curve Domain Parameters”, February 2023.”

MỤC LỤC

1 Tên gọi và ký hiệu của QCVN

2 Đặt vấn đề

2.1 Tình hình thực tiễn

2.2 Tình hình tiêu chuẩn hóa tại Việt Nam

2.3 Sự cần thiết xây dựng thay thế Quy chuẩn

3 Cơ sở xây dựng các yêu cầu kỹ thuật

3.1 Cơ sở văn bản kỹ thuật trong nước

3.2 Cơ sở kinh nghiệm quốc tế

3.2.1. Cơ sở cho việc quy định ngưỡng kỹ thuật an toàn đối với sản phẩm mật mã dân sự

3.2.2. Rà soát, cập nhật thuật toán mật mã theo các tiêu chuẩn quốc tế mới nhất.

3.3 Cơ sở thực tiễn và căn cứ thừa nhận kết quả đánh giá sự phù hợp

4 Nội dung Quy chuẩn kỹ thuật quốc gia QCVN 4:2026/BQP

4.1 Nguyên tắc xây dựng nội dung

4.2 Nội dung Quy chuẩn kỹ thuật

5 Bảng đối chiếu nội dung QCVN với các tài liệu tham khảo

6 Đánh giá tác động áp dụng Sửa đổi QCVN

7 Tài liệu tham khảo

1 Tên gọi và ký hiệu của QCVN

Tên gọi: Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng thay thế QCVN 4:2016/BQP.

Ký hiệu: QCVN 4:2026/BQP.

2 Đặt vấn đề

Tình hình thực tiễn

Quy chuẩn kỹ thuật quốc gia QCVN 4:2016/BQP ban hành và có hiệu lực từ ngày 09/12/2016. Tuy nhiên trong quá trình triển khai, Cơ quan quản lý chuyên ngành nhận thấy một số hạn chế như sau:

- Ngày 31/12/2024, Bộ trưởng Bộ Khoa học và Công nghệ ban hành Quyết định số 3480/QĐ-BKHCN về việc công bố tiêu chuẩn quốc gia TCVN 14263:2024 Công nghệ thông tin - Kỹ thuật an toàn - Thuật toán mã khối MKV. Đây là thuật toán mã khối riêng của Việt Nam, do Ban Cơ yếu Chính phủ nghiên cứu, xây dựng, đề xuất ban hành. Thuật toán này hiện đang được cộng đồng doanh nghiệp quan tâm, nghiên cứu và tích hợp vào sản phẩm. Tuy nhiên trong quy chuẩn kỹ thuật quốc gia ban hành kèm theo Thông tư 161/2016/TT-BQP chưa cập nhật yêu cầu sử dụng với thuật toán mã khối MKV, cần thiết phải bổ sung đáp ứng yêu cầu thực tiễn sử dụng của xã hội;

- Một số nội dung kỹ thuật (chế độ sử dụng, thời hạn sử dụng, kích thước khối) trong quy chuẩn hiện hành đã không còn đáp ứng được các yêu cầu an toàn theo khuyến nghị từ các tổ chức quốc tế uy tín như NIST hay BSI, đặc biệt liên quan đến chế độ sử dụng và thời hạn sử dụng của sản phẩm hoặc hệ thống. Các quy định cũ có thể dẫn đến rủi ro cao hơn trong điều kiện vận hành thực tế, không đảm bảo an toàn thông tin.

- Bên cạnh đó, tại kỳ họp thứ 9 Quốc hội Khóa XIII thông qua Luật Sửa đổi, bổ sung một số điều của Luật Tiêu chuẩn và quy chuẩn kỹ thuật, ban hành ngày 14/6/2025, có hiệu lực từ ngày 01/01/2026, trong đó sửa đổi khoản 2 Điều 57 Luật Tiêu chuẩn và quy chuẩn kỹ thuật năm 2006 với quy định về thoả thuận thừa nhận lẫn nhau, thừa nhận đơn phương kết quả đánh giá sự phù hợp như sau:

“2. Thừa nhận đơn phương kết quả đánh giá sự phù hợp được quy định như sau:

a) Bộ, cơ quan ngang Bộ, Bộ trưởng Bộ Quốc phòng xem xét, quyết định việc thừa nhận đơn phương kết quả đánh giá sự phù hợp của tổ chức đánh giá sự phù hợp quốc tế, tổ chức đánh giá sự phù hợp nước ngoài để phục vụ hoạt động quản lý nhà nước;

b) Kết quả đánh giá sự phù hợp quy định tại điểm a khoản này phải được thực hiện bởi tổ chức đánh giá sự phù hợp quốc tế, tổ chức đánh giá sự phù hợp nước ngoài được một trong các tổ chức công nhận là thành viên ký thỏa thuận thừa nhận lẫn nhau của Tổ chức Công nhận các phòng thử nghiệm Quốc tế (ILAC), Diễn đàn Công nhận Quốc tế (IAF), Tổ chức hợp tác Công nhận khu vực Châu Á Thái Bình Dương (APAC) đánh giá và công nhận về năng lực đáp ứng tiêu chuẩn quốc tế, tiêu chuẩn quốc gia tương ứng;

Theo yêu cầu thực tiễn của quản lý chuyên ngành, Bộ, cơ quan ngang Bộ, Bộ trưởng Bộ Quốc phòng được xem xét, quyết định thừa nhận đơn phương kết quả đánh giá sự phù hợp của các tổ chức đánh giá sự phù hợp ngoài các kết quả đánh giá sự phù hợp quy định tại khoản này.”

Căn cứ quy định trên, để phù hợp với yêu cầu thực tiễn của quản lý chất lượng sản phẩm mật mã dân sự tại Việt Nam, dự thảo Thông tư bổ sung quy định về thừa nhận đơn phương kết quả đánh giá sự phù hợp của tổ chức thử nghiệm nước ngoài đối với sản phẩm mật mã dân sự.

Do đó, việc thay thế và ban hành quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng là cần thiết để khắc phục các hạn chế, nâng cao chất lượng sản phẩm MMDS, đảm bảo an toàn và đồng bộ với các văn bản pháp luật liên quan. Quy chuẩn sửa đổi đáp ứng yêu cầu thực tiễn, phù hợp với tiến bộ khoa học kỹ thuật, thúc đẩy hội nhập quốc tế, nâng cao năng lực cạnh tranh của doanh nghiệp Việt Nam và bảo vệ lợi ích người tiêu dùng, góp phần xây dựng hệ thống tiêu chuẩn hóa bền vững theo Luật Tiêu chuẩn và Quy chuẩn kỹ thuật.

Tình hình tiêu chuẩn hóa tại Việt Nam

Quy chuẩn kỹ thuật quốc gia trong lĩnh vực mật mã dân sự

Tiêu chuẩn kỹ thuật quốc gia trong lĩnh vực mật mã dân sự

Sự cần thiết xây dựng thay thế Quy chuẩn

a) Về căn cứ

- Luật An toàn thông tin mạng năm 2015, tại khoản 7 Điều 38 giao “Ban Cơ yếu Chính phủ có trách nhiệm giúp Bộ trưởng Bộ Quốc phòng xây dựng dự thảo tiêu chuẩn quốc gia đối với sản phẩm, dịch vụ mật mã dân sự trình cơ quan nhà nước có thẩm quyền công bố và hướng dẫn thực hiện; xây dựng, trình Bộ trưởng Bộ Quốc phòng ban hành quy chuẩn kỹ thuật quốc gia đối với sản phẩm, dịch vụ mật mã dân sự, chỉ định và quản lý hoạt động của tổ chức chứng nhận sự phù hợp đối với sản phẩm, dịch vụ mật mã dân sự; quản lý chất lượng sản phẩm, dịch vụ mật mã dân sự”; khoản 4 Điều 52 quy định về trách nhiệm của Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng “xây dựng, trình cấp có thẩm quyền ban hành văn bản quy phạm pháp luật về quản lý mật mã dân sự”, “quản lý chất lượng sản phẩm, dịch vụ mật mã dân sự, quản lý công tác đánh giá, công bố hợp chuẩn, hợp quy đối với sản phẩm, dịch vụ mật mã dân sự”.

- Luật Sửa đổi, bổ sung một số điều của Luật Tiêu chuẩn và quy chuẩn kỹ thuật, ban hành ngày 14/6/2025, có hiệu lực từ ngày 01/01/2026, trong đó một số quy định về thỏa thuận thừa nhận lẫn nhau, thừa nhận đơn phương kết quả đánh giá sự phù hợp tại khoản 2 Điều 57 Luật Tiêu chuẩn và quy chuẩn kỹ thuật năm 2006 được sửa đổi, bổ sung, tạo điều kiện cho việc thực hiện các quy định về đánh giá sự phù hợp trong lĩnh vực mật mã dân sự. Theo đó, Bộ, cơ quan ngang Bộ, Bộ trưởng Bộ Quốc phòng xem xét, quyết định việc thừa nhận đơn phương kết quả đánh giá sự phù hợp của tổ chức đánh giá sự phù hợp quốc tế, tổ chức đánh giá sự phù hợp nước ngoài để phục vụ hoạt động quản lý nhà nước và “theo yêu cầu thực tiễn của quản lý chuyên ngành, Bộ, cơ quan ngang Bộ, Bộ trưởng Bộ Quốc phòng được xem xét, quyết định thừa nhận đơn phương kết quả đánh giá sự phù hợp của các tổ chức đánh giá sự phù hợp ngoài các kết quả đánh giá sự phù hợp...”.

- Nghị định số 211/2025/NĐ-CP ngày 25/7/2025 của Chính phủ quy định về hoạt động mật mã dân sự và sửa đổi, bổ sung một số điều của Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử được sửa đổi, bổ sung một số điều tại Nghị định số 14/2022/NĐ-CP ngày 27/01/2022 của Chính phủ, tại Điều 10 quy định về thừa nhận kết quả đánh giá sự phù hợp sản phẩm mật mã dân sự “Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng xem xét, quyết định thừa nhận đơn phương kết quả đánh giá sự phù hợp sản phẩm mật mã dân sự của tổ chức đánh giá sự phù hợp quốc tế, tổ chức đánh giá sự phù hợp nước ngoài để phục vụ hoạt động quản lý nhà nước về mật mã dân sự”.

b) Về mục đích

Việc xây dựng, thay thế “Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng” là rất cần thiết nhằm:

- Đảm bảo chất lượng cho các sản phẩm mật mã dân sự sử dụng trong lĩnh vực ngân hàng.

- Thống nhất về đặc tính kỹ thuật mật mã sử dụng sử dụng trong lĩnh vực ngân hàng.

- Là cơ sở kỹ thuật để các cơ quan quản lý tham chiếu, phục vụ công tác quản lý nhà nước về chất lượng sản phẩm mật mã sử dụng trong lĩnh vực ngân hàng.

c) Về phạm vi áp dụng

Trên cơ sở phân tích lý do và mục đích xây dựng quy chuẩn, cơ quan soạn thảo quy chuẩn nhận thấy việc xây dựng bộ chỉ tiêu kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng là rất cần thiết và phù hợp trong điều kiện hiện nay.

Quy chuẩn kỹ thuật quốc gia này thay thế QCVN 4:2016/BQP quy định mức giới hạn các đặc tính kỹ thuật mật mã của các thuật toán mã hóa dữ liệu dùng trong các sản phẩm, dịch vụ mật mã dân sự sử dụng trong lĩnh vực ngân hàng.

3 Cơ sở xây dựng các yêu cầu kỹ thuật

Cơ sở văn bản kỹ thuật trong nước

Khi xây dựng dự thảo quy chuẩn, cơ quan soạn thảo đã tham khảo các tài liệu sau:

- Quyết định số 3480/QĐ-BKHCN ngày 31/12/2024 của Bộ trưởng Bộ Khoa học và Công nghệ công bố tiêu chuẩn quốc gia TCVN 14263:2024 Công nghệ thông tin - Kỹ thuật an toàn - Thuật toán mã khối MKV.

- Thông tư số 161/2016/TT-BQP ngày 21/10/2016 của Bộ trưởng Bộ Quốc phòng ban hành Quy chuẩn kỹ thuật quốc gia về mật mã dân sự sử dụng trong lĩnh vực ngân hàng.

Trên cơ sở các tài liệu kỹ thuật tham khảo, cơ quan soạn thảo đã bổ sung, sửa đổi Quy chuẩn đáp ứng yêu cầu sử dụng thuật toán MKV, đáp ứng điều kiện thực tế đối với các sản phẩm đang được lưu thông, sử dụng tại Việt Nam và các sản phẩm thương mại phổ biến của quốc tế.

Cơ sở kinh nghiệm quốc tế

3.2.1. Cơ sở cho việc quy định ngưỡng kỹ thuật an toàn đối với sản phẩm mật mã dân sự.

Thực tiễn quốc tế cho thấy mức độ an toàn của các thuật toán mật mã và các tham số kỹ thuật liên quan có xu hướng thay đổi theo thời gian, phụ thuộc vào sự phát triển của khoa học công nghệ và năng lực tính toán. Các thuật toán và độ dài khóa hiện đang được sử dụng có thể không còn đáp ứng yêu cầu bảo đảm an toàn thông tin trong trung và dài hạn, đặc biệt đối với các thông tin có yêu cầu bảo mật cao hoặc thời gian bảo vệ kéo dài.

Trong bối cảnh đó, nhiều quốc gia và tổ chức tiêu chuẩn hóa đã ban hành các quy định và khuyến nghị nhằm quản lý việc lựa chọn, sử dụng và thay thế các thuật toán mật mã, trên cơ sở đánh giá định kỳ mức độ an toàn và phù hợp của các giải pháp kỹ thuật. Việc quy định ngưỡng kỹ thuật an toàn đối với sản phẩm mật mã dân sự được xem là một biện pháp cần thiết nhằm hạn chế rủi ro phát sinh từ việc tiếp tục sử dụng các thuật toán hoặc tham số kỹ thuật không còn đáp ứng yêu cầu bảo mật.

Các biện pháp quản lý được áp dụng phổ biến trong thực tiễn quốc tế bao gồm:

- Quy định thời hạn sử dụng hoặc chu kỳ rà soát đối với thuật toán và độ dài khóa, làm cơ sở để các tổ chức, cá nhân chủ động cập nhật, nâng cấp hoặc thay thế các giải pháp mật mã phù hợp với mức độ nhạy cảm của thông tin được bảo vệ;

- Tham chiếu và áp dụng các tiêu chuẩn, khuyến nghị mật mã do các tổ chức tiêu chuẩn hóa uy tín ban hành (như NIST, BSI), nhằm bảo đảm sự phù hợp với thông lệ quốc tế và hạn chế nguy cơ triển khai các thuật toán hoặc tham số kỹ thuật đã được đánh giá là không còn an toàn;

- Đối với dữ liệu có mức độ nhạy cảm cao hoặc có yêu cầu bảo vệ trong thời gian dài, định hướng sử dụng các thuật toán và độ dài khóa có mức an toàn cao hơn, đáp ứng yêu cầu bảo mật trong dài hạn và có khả năng thích ứng với sự phát triển của công nghệ;

- Xây dựng lộ trình chuyển đổi phù hợp từ các thuật toán mật mã khóa công khai truyền thống sang các thuật toán mới có mức độ an toàn cao hơn, bao gồm các thuật toán có khả năng chống chịu trước các tiến bộ về năng lực tính toán, trên cơ sở đánh giá rủi ro, mức độ nhạy cảm của dữ liệu và yêu cầu quản lý nhà nước trong từng giai đoạn.

3.2.2. Rà soát, cập nhật thuật toán mật mã theo các tiêu chuẩn quốc tế mới nhất.

Bảng tổng hợp dưới đây một vài thuật toán mật mã đối xứng và các tấn công đã biết đối với từng thuật toán đó.

Dựa vào bảng trên, có thể thấy hầu hết các thuật toán có kích thước khối 128 bit giúp hạn chế các rủi ro liên quan đến tấn công ngày sinh, phù hợp với khuyến nghị của các tổ chức quốc tế, trong đó AES là thuật toán được nhắc đến nhiều nhất trong các tài liệu của tổ chức quốc tế uy tín (NIST, BSI, ANSI), được coi là chuẩn mặc định để đánh giá độ an toàn của các thuật toán khác. Hầu hết các tài liệu kỹ thuật (Whitepaper) và cấu hình mặc định đều chỉ liệt kê AES (Advanced Encryption Standard) với các độ dài khóa 128-bit hoặc 256-bit là lựa chọn duy nhất cho mã hóa đối xứng.

Qua rà soát danh mục sản phẩm mật mã dân sự và khảo sát thị trường tại Việt Nam, cơ quan soạn thảo nhận thấy đa số sản phẩm được khảo sát có tích hợp thuật toán mã hóa AES, hiếm thấy sản phẩm tích hợp tùy chọn các thuật toán quốc tế hoặc nội địa khác (như Camellia, CAST, SEED, SM4), các thư viện mã nguồn mở mặc định sử dụng thuật toán AES hoặc không có các tùy chọn thuật toán khác, nếu có nhu cầu sử dụng, phải tùy biến, tích hợp vào mã nguồn.

Về mặt hỗ trợ phần cứng, hầu hết các CPU hiện đại (Intel, AMD, ARM) đều có tập lệnh hỗ trợ AES-NI, giúp việc mã hóa/giải mã bằng AES có tốc độ cực nhanh mà không tốn nhiều tài nguyên. Do vậy, việc sử dụng AES là đảm bảo tính tương thích cao, tiết kiệm chi phí khi sản phẩm cần giao tiếp, phổ biến rộng rãi với hệ thống quốc tế.

Để đảm bảo tính an toàn và hội nhập cùng thế giới, các sản phẩm, dịch vụ mật mã dân sự được kinh doanh, sử dụng tại thị trường Việt Nam cần có tính an toàn, ổn định, tương thích cao, đồng thời định hướng phát triển mật mã Việt Nam đảm bảo tự chủ bền vững. Do đó, cần xây dựng quy định chặt chẽ cho việc sử dụng các thuật toán mật mã phổ biến và thuật toán mật mã của Việt Nam. Cơ quan soạn thảo đã tham khảo các khuyến nghị quốc tế về an toàn mật mã để đưa ra các sửa đổi, bổ sung phù hợp với điều kiện sử dụng sản phẩm mật mã dân sự tại Việt Nam, đảm bảo cân bằng giữa bảo mật, hiệu suất, và khả năng triển khai thực tế.

Các giải pháp này đảm bảo rằng mật mã dân sự đáp ứng được yêu cầu bảo mật ngắn hạn, đồng thời phù hợp với lộ trình cập nhật công nghệ để bảo vệ dữ liệu trong dài hạn, như đã đề cập trong các quy định của Việt Nam (QCVN 4:2016/BQP) và khuyến nghị quốc tế.

a) Đối với thuật toán TDEA

Tài liệu NIST SP 800-131A Rev 2 "Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths", của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) cung cấp các quy định về khuyến nghị sử dụng và lộ trình chuyển đổi đối với các thuật toán mật mã và độ dài khóa như sau:

Tại đây NIST đặt ra giới hạn và lộ trình sử dụng thuật toán TDEA:

- Việc sử dụng đối với các biện pháp bảo vệ mật mã mới (như mã hóa, đóng gói khóa, tạo MAC) được khuyến nghị chuyển đổi trước ngày 31 tháng 12 năm 2023 và sẽ bị ngừng phê duyệt từ ngày 1 tháng 1 năm 2024.

- Tuy nhiên, TDEA vẫn được phép dùng cho chức năng giải mã, mở gói khóa và xác minh MAC đối với dữ liệu đã được bảo vệ trước đó, nhằm hỗ trợ các hệ thống kế thừa trong quá trình chuyển đổi.

Thực hiện theo lộ trình này, NIST đã công bố thông báo ngày 29 tháng 6 năm 2023 về việc rút lại NIST SP 800-67 Rev.2 - Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher, có hiệu lực từ ngày 01 tháng 01 năm 2024.

b) Đối với chế độ XTS

Chế độ XTS (XEX-based Tweaked CodeBook mode with ciphertext stealing) được thiết kế chuyên biệt cho mã hóa dữ liệu lưu giữ theo khối, đặc biệt là mã hóa ổ đĩa và vùng lưu giữ dung lượng lớn.

XTS cho phép mã hóa độc lập từng đơn vị dữ liệu (sector hoặc block), hỗ trợ hiệu quả truy cập ngẫu nhiên mà không cần duy trì trạng thái giữa các khối. Việc sử dụng tham số tweak được dẫn xuất từ chỉ số vị trí lưu giữ giúp ngăn chặn các tấn công hoán đổi khối và sao chép dữ liệu giữa các vị trí khác nhau trong không gian lưu giữ. Ngoài ra, XTS không làm thay đổi kích thước dữ liệu và không phát sinh dữ liệu phụ cho mục đích xác thực, phù hợp với các hệ thống lưu giữ hiệu năng cao.

Với các đặc tính trên, XTS hiện là chế độ được khuyến nghị rộng rãi cho mã hóa dữ liệu lưu giữ và đã được triển khai trong nhiều hệ thống thực tế.

c) Đối với chế độ KW, KWP

Trong các hệ thống bảo mật dữ liệu lưu giữ, khóa mã hóa dữ liệu không được lưu giữ ở dạng rõ ràng mà phải được bảo vệ bằng các cơ chế bọc khóa chuyên dụng. Các chế độ KW (Key Wrap) và KWP (Key Wrap with Padding) được lựa chọn nhằm bảo đảm an toàn cho quá trình lưu giữ và vận chuyển khóa mã hóa dữ liệu.

KW và KWP cung cấp cơ chế bảo vệ khóa có kiểm soát, cho phép phát hiện thay đổi trái phép và bảo đảm tính toàn vẹn của khóa được bọc. Việc sử dụng các chế độ này phù hợp với các khuyến nghị quốc tế về quản lý khóa và đáp ứng yêu cầu phân tách mục đích sử dụng khóa, theo đó khóa dùng để bọc khóa không được sử dụng cho mã hóa dữ liệu và ngược lại.

Do đó, KW và KWP giữ vai trò thiết yếu trong kiến trúc bảo mật tổng thể của các sản phẩm bảo mật dữ liệu lưu giữ, mặc dù không trực tiếp tham gia vào quá trình mã hóa dữ liệu người dùng.

d) Đối với thuật toán Kuznyechik

Đối với thuật toán Kuznyechik, chế độ XTS được cho phép sử dụng do phù hợp với mục tiêu mã hóa dữ liệu lưu giữ theo khối, đáp ứng yêu cầu bảo mật dữ liệu lưu giữ và có phạm vi áp dụng rõ ràng.

Ngoài ra, chế độ MGM là chế độ mã hóa xác thực được quy định trong hệ tiêu chuẩn GOST, được thiết kế đồng bộ với thuật toán Kuznyechik, cho phép bảo đảm đồng thời tính bí mật và toàn vẹn dữ liệu. Việc lựa chọn MGM thay cho các chế độ AEAD khác nhằm bảo đảm tính nhất quán về hệ tiêu chuẩn và thuận lợi trong triển khai, đánh giá hợp chuẩn đối với các sản phẩm sử dụng thuật toán Kuznyechik.

Các chế độ CCM và GCM không được áp dụng cho thuật toán Kuznyechik trong Bảng 7 do không thuộc hệ chế độ được chuẩn hóa đồng bộ với thuật toán này. Việc không lựa chọn CCM và GCM đối với Kuznyechik không làm giảm mức độ an toàn của quy chuẩn, đồng thời bảo đảm tính rõ ràng, nhất quán và khả thi trong áp dụng.

e) Đối với chế độ CFB, OFB

Các chế độ CFB và OFB biến thuật toán mã hóa khối thành dạng mã hóa dòng, phụ thuộc vào trạng thái trước đó. Trong môi trường lưu giữ, các chế độ này không hỗ trợ tốt truy cập ngẫu nhiên theo khối và dễ bị ảnh hưởng bởi lỗi lan truyền hoặc các tấn công thao túng dữ liệu (bit-flipping attack) ở mức bit.

Ngoài ra, CFB và OFB không cung cấp cơ chế xác thực dữ liệu và yêu cầu quản lý chặt chẽ vector khởi tạo (IV), làm gia tăng rủi ro triển khai sai trong các hệ thống lưu giữ dung lượng lớn. Vì các lý do này, các chế độ CFB và OFB không đáp ứng được yêu cầu an toàn trong triển khai đối với một số dòng sản phẩm mật mã dân sự cụ thể (ví dụ như sản phẩm bảo mật dữ liệu lưu giữ).

f) Đối với chế độ CBC

Chế độ Cipher Block Chaining (CBC) là chế độ hoạt động truyền thống của các thuật toán mã hóa khối đối xứng như AES và Kuznyechik (GOST R 34.12-2015). Tuy nhiên, trong bối cảnh bảo mật dữ liệu lưu giữ dài hạn, chế độ CBC không còn đáp ứng đầy đủ các yêu cầu về an toàn và khả năng triển khai, do đó không được khuyến nghị sử dụng cho các hệ thống mã hóa dữ liệu lưu giữ mới.

CBC chỉ cung cấp tính bí mật mà không tích hợp cơ chế bảo đảm toàn vẹn và xác thực dữ liệu. Trong môi trường lưu giữ, điều này dẫn đến nguy cơ bị thao túng dữ liệu, bao gồm thay đổi nội dung hoặc hoán đổi các khối dữ liệu đã mã hóa mà hệ thống không thể phát hiện nếu không triển khai thêm các cơ chế bảo vệ bổ sung. Việc kết hợp CBC với các cơ chế xác thực bên ngoài làm tăng độ phức tạp triển khai và không phù hợp với yêu cầu đơn giản, tin cậy của các hệ thống lưu giữ dung lượng lớn.

Bên cạnh đó, CBC không hỗ trợ hiệu quả truy cập ngẫu nhiên theo khối và không có cơ chế ràng buộc dữ liệu với vị trí lưu giữ. Do mỗi khối dữ liệu phụ thuộc vào khối liền trước, việc giải mã hoặc cập nhật dữ liệu tại một vị trí bất kỳ trở nên kém hiệu quả. Đồng thời, chế độ này không chống được các tấn công sao chép, hoán đổi hoặc phục hồi dữ liệu ban đầu, vốn là các mối đe dọa phổ biến trong môi trường lưu giữ.

Ngoài ra, việc quản lý vector khởi tạo (IV) trong CBC gặp nhiều khó khăn trong môi trường lưu giữ dữ liệu dài hạn. Yêu cầu IV không lặp lại và được quản lý chặt chẽ khó bảo đảm trong các hệ thống có hoạt động ghi đè, sao lưu và phục hồi dữ liệu, làm gia tăng nguy cơ suy giảm mức độ an toàn.

Trên cơ sở các phân tích nêu trên và theo các khuyến nghị hiện hành, chế độ CBC không được lựa chọn cho mã hóa dữ liệu mới. Chế độ này chỉ được dùng để giải mã dữ liệu đã được mã hóa trước đó trên hệ thống nhằm bảo đảm khả năng tương thích ngược, không khuyến nghị triển khai trong các hệ thống mới.

g) Đối với thuật toán CAMELLIA

Mặc dù được coi là một thuật toán mã hóa hiện đại và bảo mật, thuật toán Camellia dễ bị tổn thương trước các tấn công kênh kề (side-channel attacks), chẳng hạn như tấn công cache timing, và các lỗi cụ thể trong triển khai (implementation-specific flaws), tấn công phân tích lỗi (fault analysis attack). Những cuộc tấn công này khai thác sự khác biệt về thời gian hoặc đưa lỗi vào trong quá trình mã hóa để suy luận ra khóa bí mật, nhưng chúng không phải là phá vỡ thiết kế toán học cơ bản của thuật toán.

Các điểm yếu theo loại tấn công:

- Tấn công lỗi vi sai (Differential Fault Attack):

• Kẻ tấn công có thể đưa lỗi vào bản mã trong quá trình mã hóa.

• Bằng cách phân tích các bản mã bị lỗi, chúng có thể khôi phục khóa bí mật, theo ScienceDirect.com.

https://www.sciencedirect.com/science/article/abs/pii/S0164121209003331#:~:text=rights%20and%20content,Abstract,of%20software%20(cryptographic%20algorithms).

- Tấn công Cache Timing:

• Các nhà nghiên cứu đã chứng minh rằng các triển khai của Camellia dễ bị tấn công hẹn giờ bộ nhớ đệm.

• Những cuộc tấn công này khai thác thời gian cần thiết để hoàn thành các thao tác mật mã, thời gian này có thể thay đổi tùy thuộc vào phần nào của bộ nhớ đệm được sử dụng.

• Sự thành công của cuộc tấn công này phụ thuộc nhiều vào việc triển khai cụ thể, chứ không phải bản thân thuật toán, theo Cryptology ePrint Archive.

M. Joye et al. (Eds.): InfoSecHiComNet 2011, LNCS 7011, pp. 144-156, 2011.

- Phân tích vi sai (Differential Analysis) và bộ phân biệt (Distinguishers):

• Phân tích vi sai là một phương pháp tấn công phổ biến đối với các thuật toán mã hóa đối xứng.

• Mặc dù Camellia được thiết kế để chống lại các cuộc tấn công này, các nhà nghiên cứu đã phát hiện ra rằng các triển khai cụ thể có thể dễ bị tổn thương trước một số loại phân tích vi sai, chẳng hạn như những loại khai thác các đặc tính của hộp S-box.

- Các cân nhắc về bảo mật

• Tính bảo mật của Camellia phụ thuộc vào một triển khai chính xác và an toàn, giống như bất kỳ thuật toán mật mã nào khác.

• Những sai sót phổ biến như xử lý không đúng cách Vector khởi tạo (IV) trong một số chế độ hoạt động có thể làm tổn hại nghiêm trọng đến bảo mật, ngay cả với một thuật toán mạnh, theo ghi nhận của MojoAuth.

https://mojoauth.com/compare-encryption-algorithms/chacha20-256-vs-camellia-256/

• Một số nhà nghiên cứu đã chỉ ra rằng một số lượng vòng nhất định có thể bị làm yếu trước các cuộc tấn công cụ thể, nhưng điều này thường không làm tổn hại đến bảo mật tổng thể.

Mặc dù thuật toán Camellia sở hữu thiết kế mật mã mạnh mẽ và đã được chứng minh chống lại các tấn công vét cạn và phân tích vi sai, nhưng việc đánh giá tính an toàn thực tế của nó cần xem xét hai yếu tố quan trọng: tính dễ bị tổn thương trong triển khai và tính phổ biến trên thị trường.

1. Tính dễ bị tổn thương trong triển khai: Camellia đã được chứng minh là dễ bị tổn thương trước các tấn công kênh kề (side-channel attacks), đặc biệt là tấn công cache timing. Những lỗ hổng này không phải là lỗi toán học, nhưng chúng đòi hỏi các biện pháp phòng vệ và triển khai cực kỳ cẩn thận. Việc này làm tăng độ phức tạp và nguy cơ lỗi trong quá trình tích hợp vào ứng dụng.

2. Tính phổ biến thấp: So với các tiêu chuẩn đã được chấp nhận rộng rãi và được hỗ trợ mạnh mẽ như AES (Advanced Encryption Standard), Camellia có mức độ phổ biến và sự hỗ trợ công cụ (tooling support) thấp hơn nhiều.

Do sự kết hợp của rủi ro bảo mật liên quan đến triển khai (đòi hỏi kỹ thuật chuyên sâu để vá lỗi kênh kề) và tính thiếu phổ biến (dẫn đến ít sự giám sát của cộng đồng và ít công cụ tối ưu), việc ưu tiên sử dụng Camellia so với các thuật toán đã được thiết lập tốt như AES là không thực tế.

3.3 Cơ sở thực tiễn và căn cứ thừa nhận kết quả đánh giá sự phù hợp

Công tác quản lý chất lượng sản phẩm mật mã dân sự, đánh giá chứng nhận hợp chuẩn, hợp quy sản phẩm mật mã dân sự trong nước gặp nhiều khó khăn trong quá trình triển khai do thực trạng hiện nay ở Việt Nam chưa có tổ chức thử nghiệm đạt các chứng chỉ về thử nghiệm sản phẩm mật mã dân sự và được chỉ định (ISO/IEC 17025). Các quy chuẩn kỹ thuật trong lĩnh vực mật mã dân sự tại Việt Nam được xây dựng được xây dựng trên cơ sở hài hòa với tiêu chuẩn quốc tế. Cùng với đó, đa số các sản phẩm mật mã dân sự hiện nay được nhập khẩu từ nước ngoài và đã được đánh giá bởi các tổ chức uy tín, có năng lực. Về cơ bản, đối với sản phẩm có chung tiêu chuẩn kỹ thuật, kết quả đánh giá từ các tổ chức quốc tế có năng lực được công nhận không có sai lệch, khác biệt và đảm bảo rằng việc đánh giá tuân thủ quy chuẩn là nhất quán và công bằng. Do vậy, việc chấp nhận kết quả thử nghiệm từ tổ chức được chỉ định và tổ chức nước ngoài được công nhận theo ISO/IEC 17025 trong khi điều kiện trong nước chưa thực hiện được là phù hợp để triển khai công tác quản lý nhà nước, quản lý chất lượng sản phẩm mật mã dân sự, đồng thời tạo thuận lợi cho thương mại quốc tế, tránh kiểm tra chồng chéo, giảm chi phí cho doanh nghiệp mà vẫn đảm bảo rằng các sản phẩm, hàng hóa trên thị trường đáp ứng đầy đủ yêu cầu về an toàn, chất lượng và bảo vệ người tiêu dùng.

4 Nội dung Quy chuẩn kỹ thuật quốc gia QCVN 4:2025/BQP

Căn cứ vào quá trình rà soát các sản phẩm mật mã dân sự sử dụng trong lĩnh vực ngân hàng đã được Ban Cơ yếu Chính phủ cấp phép; Căn cứ vào tính cấp thiết phải cập nhật yêu cầu sử dụng với thuật toán mã khối MKV; Xem xét từ những yêu cầu, khuyến nghị được nêu ra trong các tài liệu tham khảo từ các tổ chức NIST, CC, BSI, Cơ quan soạn thảo đề xuất xây dựng quy chuẩn như sau:

Nguyên tắc xây dựng nội dung

- Các tham số an toàn được lựa chọn theo các khuyến nghị của ISO/IEC, NIST, CC, BSI và các tổ chức quốc tế khác để đảm bảo an toàn và phù hợp nhất;

- Phù hợp với điều kiện thực tế đối với các sản phẩm mật mã dân sự sử dụng trong lĩnh vực ngân hàng đang được lưu thông, sử dụng tại Việt Nam và các sản phẩm thương mại phổ biến của quốc tế;

- Đáp ứng được sự phát triển của công nghệ trong vòng 5 năm tới.

Nội dung Quy chuẩn kỹ thuật

Chuẩn hóa từ ngữ, thuật ngữ, bổ sung các nội dung về thuật toán MKV, lược bỏ các nội dung chi tiết của các thuật toán tại mục 1 “Quy định chung”, cụ thể như sau:

1 QUY ĐỊNH CHUNG

1.1 Phạm vi điều chỉnh

Quy chuẩn kỹ thuật quốc gia này quy định mức giới hạn các đặc tính kỹ thuật mật mã của các thuật toán mã hóa dữ liệu dùng trong các sản phẩm mật mã dân sự sử dụng trong lĩnh vực ngân hàng.

1.2 Đối tượng áp dụng

Quy chuẩn này áp dụng đối với các tổ chức kinh doanh, sử dụng sản phẩm, dịch vụ mật mã dân sự trong lĩnh vực ngân hàng.

1.3 Tài liệu viện dẫn

Các Tài liệu viện dẫn sau là cần thiết cho việc áp dụng quy chuẩn này. Trường hợp các tài liệu viện dẫn được sửa đổi, bổ sung hoặc thay thế thì áp dụng phiên bản mới nhất.

TCVN 14263:2024 “Công nghệ thông tin - Kỹ thuật an toàn - Thuật toán mã khối MKV”.

TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) “Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối”.

TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit”.

[RFC7801]: “GOST R 34.12-2015: Block Cipher “Kuznyechik””, Internet Engineering Task Force (IETF), March 2016.

1.4 Giải thích từ ngữ

Trong quy chuẩn này, các từ ngữ dưới đây được hiểu như sau:

1.4.1. Thông tin không thuộc phạm vi bí mật nhà nước

Là thông tin không thuộc nội dung tin “tuyệt mật”, “tối mật” và “mật” được quy định tại Luật Bảo vệ bí mật nhà nước ngày 15 tháng 11 năm 2018.

1.4.2. Mật mã

Là những quy tắc, quy ước riêng dùng để thay đổi hình thức biểu hiện thông tin nhằm bảo đảm bí mật, xác thực, toàn vẹn của nội dung thông tin.

1.4.3. Mật mã dân sự

Là kỹ thuật mật mã và sản phẩm mật mã được sử dụng để bảo mật hoặc xác thực đối với thông tin không thuộc phạm vi bí mật nhà nước.

1.4.4. Sản phẩm mật mã dân sự

Là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

1.4.5. Kỹ thuật mật mã

Là phương pháp, phương tiện có ứng dụng mật mã để bảo vệ thông tin.

1.4.6. Mã hóa

Là quá trình dùng kỹ thuật mật mã để thay đổi hình thức biểu hiện thông tin.

1.4.7. Giải mã

Là phép biến đổi ngược của quá trình mã hóa tương ứng.

1.4.8. Mã khối

Hệ mật đối xứng với tính chất là thuật toán mã hóa thao tác trên một khối của bản rõ, nghĩa là trên một xâu bit có độ dài xác định, kết quả cho ra một khối của bản mã.

1.4.9. Mã dòng

Hệ mật đối xứng với tính chất là thuật toán mã hóa bao gồm tổ hợp một dãy các ký tự của bản rõ với dãy các ký tự của khóa dòng, mỗi lần một ký tự, sử dụng một hàm khả nghịch.

1.4.10. Khóa

Là dãy ký tự điều khiển hoạt động của biến đổi mật mã.

1.4.11. Khóa dòng

Là dãy các ký tự giả ngẫu nhiên bí mật, được sử dụng bởi các thuật toán mã hóa và giải mã của mã dòng.

1.4.12. Mật mã đối xứng

Là mật mã trong đó khóa được sử dụng cho các phép mã hóa, giải mã là trùng nhau hoặc dễ dàng tính toán được khóa mã hóa khi biết khóa giải mã và ngược lại.

1.5 Chữ viết tắt

2 QUY ĐỊNH KỸ THUẬT

Các sản phẩm mật mã dân sự sử dụng trong lĩnh vực ngân hàng tuân thủ các quy định về thuật toán mã hóa đối xứng sau:

2.1 Quy định về thuật toán mật mã

Sử dụng thuật toán trong danh sách sau:

Bảng 1 - Danh mục thuật toán mã hóa đối xứng được phép sử dụng

2.2 Quy định về đặc tính kỹ thuật và thời gian sử dụng

Việc sử dụng thuật toán mã hóa đối xứng phải tuân thủ các quy định sau:

Bảng 2 - Quy định về đặc tính kỹ thuật và thời gian áp dụng đối với thuật toán mã hóa đối xứng

2.3 Quy định về an toàn trong sử dụng

- Trong bọc khóa bằng thuật toán mã hóa đối xứng phải sử dụng một trong các chế độ sau: KW, KWP, CCM, GCM.

- Các khóa mật mã chỉ được sử dụng cho một mục đích, không được phép sử dụng chung khóa để mã hóa khóa và mã hóa dữ liệu.

- Đối với chế độ CBC, chỉ được phép sử dụng để giải mã dữ liệu cũ, không dùng để mã hóa dữ liệu mới.

3 QUY ĐỊNH VỀ QUẢN LÝ

3.1 Các mức giới hạn của đặc tính kỹ thuật mật mã nêu tại quy chuẩn này là các chỉ tiêu an toàn phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm, dịch vụ mật mã dân sự.

3.2 Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm theo Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 của Bộ Khoa học và Công nghệ quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật, trong quy chuẩn này được thực hiện theo phương thức 1; Thông tư số 02/2017/TT-BKHCN ngày 31/3/2017 của Bộ Khoa học và Công nghệ sửa đổi, bổ sung một số điều của Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012. Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật.

3.3 Dấu hợp quy được sử dụng trực tiếp trên sản phẩm hoặc trên bao gói hoặc trên nhãn gắn trên sản phẩm hoặc trong chứng chỉ chất lượng, tài liệu kỹ thuật của sản phẩm.

3.4 Ban Cơ yếu Chính phủ xem xét thừa nhận kết quả đánh giá sự phù hợp do tổ chức đánh giá sự phù hợp nước ngoài thực hiện đối với các sản phẩm mật mã dân sự thuộc trách nhiệm quản lý.

4 TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN

4.1 Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ là cơ quan tiếp nhận công bố hợp quy, kiểm tra nhà nước về chất lượng sản phẩm mật mã dân sự.

4.2 Các tổ chức sử dụng sản phẩm, dịch vụ mật mã dân sự có trách nhiệm đảm bảo tuân thủ quy chuẩn này và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định của pháp luật hiện hành.

4.3 Các tổ chức có hoạt động sản xuất, kinh doanh sản phẩm, dịch vụ mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định của pháp luật hiện hành.

5 TỔ CHỨC THỰC HIỆN

5.1 Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng rà soát, sửa đổi, bổ sung hoặc ban hành thay thế quy chuẩn này để đảm bảo phù hợp với thực tiễn và đáp ứng yêu cầu quản lý.

5.2 Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ có trách nhiệm hướng dẫn, tổ chức triển khai quản lý kỹ thuật mật mã theo quy chuẩn này.

5.3 Thanh tra, kiểm tra sản phẩm, dịch vụ mật mã dân sự được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất.

5.4 Trong trường hợp các văn bản quy phạm pháp luật quy định tại quy chuẩn kỹ thuật này có sự thay đổi, bổ sung hoặc được thay thế thì thực hiện theo các văn bản mới. Trong trường hợp các tiêu chuẩn được viện dẫn trong quy chuẩn này có sự thay đổi, bổ sung, thay thế thì thực hiện theo hướng dẫn của Bộ Quốc phòng./.

6 Bảng đối chiếu nội dung QCVN với các tài liệu tham khảo

7 Đánh giá tác động áp dụng Sửa đổi QCVN

Việc triển khai thay thế Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng tại thời điểm này là vấn đề cấp thiết, liên quan trực tiếp đến công tác bảo đảm an toàn thông tin mạng, bảo vệ quyền riêng tư và lợi ích của người sử dụng. Quy chuẩn này áp dụng đối với các tổ chức, cá nhân sản xuất, kinh doanh và sử dụng sản phẩm mật mã dân sự trong lĩnh vực ngân hàng; các tổ chức tín dụng (trừ quỹ tín dụng nhân dân cơ sở có tài sản dưới 10 tỷ đồng, tổ chức tài chính vi mô) sử dụng sản phẩm, dịch vụ mật mã dân sự.

Các đối tượng chịu tác động khi QCVN được ban hành:

- Doanh nghiệp sản xuất/kinh doanh/nhập khẩu: phải đảm bảo đáp ứng QCVN và phải chứng nhận, công bố hợp quy khi kinh doanh sản phẩm trong lĩnh vực ngân hàng tại Việt Nam.

- Người sử dụng (cơ quan, tổ chức): Mức độ ảnh hưởng thấp do là đối tượng thụ hưởng cuối cùng. Các yếu tố an toàn được đảm bảo, bảo vệ lợi ích của người dùng cuối.

7.1. Tác động đến thị trường sản phẩm

* Tác động tích cực:

- Người sử dụng cuối (đối tượng áp dụng): Tăng cảm giác an tâm và tin tưởng khi sử dụng các sản phẩm mật mã dân sự đã được công bố hợp quy. Bảo vệ quyền riêng tư và dữ liệu cá nhân của họ trước các rủi ro mất an toàn thông tin. Giảm thiểu rủi ro mất dữ liệu quan trọng và thông tin nhạy cảm. Tăng khả năng đáp ứng các yêu cầu về bảo vệ dữ liệu và quyền riêng tư từ phía khách hàng và cơ quan quản lý. Tăng cảm giác an toàn và hỗ trợ cho việc xây dựng một môi trường sống và làm việc an toàn hơn.

- Nhà sản xuất: Nâng cao uy tín và niềm tin của khách hàng thông qua việc cung cấp các sản phẩm được chứng nhận hợp quy. Các sản phẩm nội địa chất lượng cao có cơ hội tiếp cận thị trường nước ngoài có yêu cầu cao.

- Nhà phân phối và bán lẻ: Có thể sử dụng chứng nhận hợp quy của sản phẩm làm lợi thế bán hàng để thu hút khách hàng và tăng doanh số bán hàng.

- Tổ chức đánh giá sự phù hợp và cấp chứng nhận: thuận lợi trong việc triển khai công tác đánh giá chất lượng sản phẩm mật mã dân sự, giảm thời gian kiểm định, đánh giá, tránh kiểm tra chồng chéo mà vẫn đảm bảo rằng các sản phẩm, hàng hóa trên thị trường đáp ứng đầy đủ yêu cầu về an toàn, chất lượng và bảo vệ người tiêu dùng.

* Tác động không tích cực:

- Tăng chi phí: Quá trình cấp chứng nhận hợp quy và công bố hợp quy có thể đòi hỏi đầu tư lớn vào việc nâng cấp và thay đổi công nghệ, làm tăng chi phí sản xuất và phân phối các sản phẩm mật mã dân sự sử dụng trong lĩnh vực ngân hàng.

- Phức tạp hóa quy trình sản xuất: Việc tuân thủ các yêu cầu tại Sửa đổi Quy chuẩn có thể đòi hỏi các quy trình và thủ tục phức tạp hơn trong quá trình sản xuất, làm tăng chi phí và thời gian sản xuất.

- Giảm hiệu suất sản xuất: Tích hợp các biện pháp đảm bảo yêu cầu kỹ thuật có thể làm giảm hiệu suất sản xuất do tăng thời gian kiểm tra và thử nghiệm, cũng như việc áp dụng các quy trình kiểm soát chất lượng nghiêm ngặt hơn.

- Tăng thời gian tiến hành kiểm định và cấp chứng nhận: Quá trình đạt được chứng nhận hợp quy có thể đòi hỏi thời gian dài và tốn kém để thực hiện kiểm định, đánh giá sự phù hợp, làm trì hoãn việc tung ra thị trường và làm chậm quá trình phát triển sản phẩm mới.

7.2. Tác động đến cơ quan quản lý nhà nước chuyên ngành

* Tác động tích cực:

- Góp phần vào việc nâng cao an toàn và quản lý rủi ro trong quản lý nhà nước đối với lĩnh vực mật mã dân sự.

- Thuận lợi triển khai công tác quản lý nhà nước, quản lý chất lượng sản phẩm mật mã dân sự, đồng thời tạo thuận lợi cho thương mại quốc tế, tránh kiểm tra chồng chéo, giảm chi phí cho doanh nghiệp mà vẫn đảm bảo rằng các sản phẩm, hàng hóa trên thị trường đáp ứng đầy đủ yêu cầu về an toàn, chất lượng và bảo vệ người tiêu dùng.

* Tác động không tích cực:

- Cần hoàn thiện, nâng cao năng lực đo kiểm, đánh giá để thực hiện công tác đánh giá, cấp chứng nhận hợp quy cho sản phẩm.

- Cần hoàn thiện cơ chế hợp tác quốc tế, danh sách tổ chức được chỉ định, tổ chức quốc tế có năng lực được công nhận.

7.3. Tác động đến người sử dụng đầu cuối

- Người sử dụng đầu cuối là đối tượng được thụ hưởng tích cực khi sản phẩm được quản lý, bảo mật, đáp ứng các quy định của QCVN./.

Tài liệu tham khảo

[1]. QCVN 04:2016/BQP “Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng”.

[2]. TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) “Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối”.

[3]. TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động của mã khối n-bit”.

[4]. TCVN 12853:2020 (ISO/IEC 18031:2011 With amendment 1:2017) “Công nghệ thông tin - Các kỹ thuật an toàn - Bộ tạo bit ngẫu nhiên”.

[5]. TCVN 11816 (ISO/IEC 10118) “Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm - Phần 3: Hàm băm chuyên dụng”.

[6]. TCVN 11495-1:2016 (ISO/IEC 9797-1:2011) “Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác nhận thông điệp”.

[7]. ISO/IEC 27040:2015 “Information technology - Security techniques – Storage security”.

[8]. Federal Office for Information Security, BSI TR-02102-1 “Cryptographic Mechanisms: Recommendations and Key Lengths”, January 2022.

[9]. National Information Assurance Partnership, “PP-Module for File Encryption Enterprise Management v1.0”, 2019.

[10]. Common Criteria, “collaborative Protection Profile for USB Portable Storage Devices Version: 1.0”, January 2015.

[11]. Common Criteria, “collaborative Protection Profile for Full Drive Encryption - Encryption Engine Version 2.0”, September 2016.

[12]. National Institute of Standards and Technology, Special Publication 800-131A “Transitioning the Use of Cryptographic Algorithms and Key Lengths”, March 2019.

[13]. National Institute of Standards and Technology, Special Publication 800-132 “Recommendation for Password-Based Key Derivation: Part 1: Storage Applications”, December 2010.

[14]. National Institute of Standards and Technology, FIPS 180-4 “Secure Hash Standard (SHS)”, August 2015.

[15]. National Institute of Standards and Technology, FIPS 202 “SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions”, August 2015.

[16]. National Institute of Standards and Technology, Special Publication 800-38E “Recommendation for Block Cipher Modes of Operation: the XTS-AES Mode for Confidentiality on Storage Devices”, January 2010.

[17]. National Institute of Standards and Technology, Special Publication 800-57 Part 1 Rev. 5 “Recommendation for Key Management: Part 1 - General”, May 2020.

[18]. National Institute of Standards and Technology, Special Publication 800-56B Revision 2 “Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography”, March 2019.

[19]. National Institute of Standards and Technology, Special Publication 800-38F, “Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping”, December 2012.

[20]. National Institute of Standards and Technology, Special Publication 800-38D, “Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC”, November 2007.

[21]. National Institute of Standards and Technology, Special Publication 800-38C “Recommendation for Block Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality”, July 2007.

[22]. Internet Engineering Task Force, “IEEE Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices”, October 2018.

[23]. [RFC 9106]: “Argon2 Memory-Hard Function for Password Hashing and Proof-of-Work Applications”, Internet Engineering Task Force (IETF), September 2021.

[24]. Bài báo “Argon2: the memory-hard function for password hashing and other applications”, March 2017. https://www.password-hashing.net/argon2-specs.pdf

[25]. Bài báo “Password-Hashing Status”, George Hatzivasilis, June 2017.
https://www.researchgate.net/publication/317936505_Password-Hashing_Status

[26]. Bài báo “Towards Practical Attacks on Argon2i and Balloon Hashing”, Joel Alwen và Jeremiah Blocki, 2017. https://ieeexplore.ieee.org/document/7961977

MỤC LỤC

1 Tên gọi

2 Đặt vấn đề

2.1 Tình hình thực tiễn

2.2 Tình hình tiêu chuẩn hóa tại Việt Nam

2.3 Sự cần thiết về việc thay thế danh mục

3 Cơ sở xây dựng các yêu cầu kỹ thuật

3.1 Cơ sở văn bản kỹ thuật trong nước

3.2 Cơ sở kinh nghiệm quốc tế

3.2.1 Cơ sở cho việc quy định ngưỡng kỹ thuật an toàn đối với sản phẩm mật mã dân sự

3.2.2 Rà soát, cập nhật thuật toán mật mã

3.3 Cơ sở thực tiễn và căn cứ thừa nhận kết quả đánh giá sự phù hợp

4 Nội dung Sửa đổi Danh mục tiêu chuẩn kỹ thuật mật mã áp dụng bắt buộc cho mô đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử

4.1 Nguyên tắc xây dựng nội dung

4.2 Bổ sung quy định đối với thuật toán MKV

4.3 Sửa đổi quy định áp dụng đối với Mật mã đối xứng và chế độ hoạt động

4.4 Sửa đổi quy định áp dụng đối với Mật mã phi đối xứng và chữ ký số

4.5 Bổ sung Quy định áp dụng đối với thuật toán băm

4.6 Bổ sung, thay thế Giải thích chữ viết tắt và ký hiệu