Tiêu chuẩn đánh giá mô-đun mật mã (phần 1)
Hiện nay, có rất nhiều mô-đun mật mã được sử dụng liên quan đến lĩnh vực bảo mật hệ thống. Vậy làm sao để chúng ta có thể tin tưởng được mức độ an toàn của những mô-đun mật mã này. Câu trả lời đó là khi chúng đáp ứng được các tiêu chuẩn bảo mật hay còn gọi là tiêu chuẩn đánh giá mô-đun mật mã. Trong bài viết này, chúng ta sẽ cùng đi tìm hiểu về FIPS - một trong những tiêu chuẩn đánh giá mô-đun mật mã phổ biến.
FIPS hay còn được gọi là tiêu chuẩn Xử lý Thông tin Liên bang (Federal Information Processing Standards) là những tiêu chuẩn của chính phủ Hoa Kỳ về công nghệ thông tin và bảo mật máy tính, do Viện Tiêu chuẩn Quốc gia (NIST) phát triển.
Mục đích chính của tiêu chuẩn này là kiểm tra và phê chuẩn đối với mô-đun mật mã. Khi đó, các nhà sản xuất cam kết rằng đã sử dụng các thuật toán mật mã được công nhận cho các mô-đun mật mã của mình, phát triển và xây dựng nó đảm bảo tuân theo nguyên lý an toàn cơ bản nhất.
Hiện nay, hai dòng tiêu chuẩn có thể sử dụng để đánh giá mô- đun mật mã là bộ tiêu chuẩn Các yêu cầu an toàn cho mô-đun mật mã là FIPS (gồm 2 phiên bản là FIPS 140- 1/FIPS 140-2) do NIST ban hành, (FIPS 140-2 ban hành ngày 25/05/2001) và bộ Tiêu chí chung để đánh giá.
Chuẩn FIPS 140-2
Các mục đích của chuẩn FIPS:
Mức an toàn 1 cho phép các thành phần phần mềm (software) hoặc phần sụn (firmware) trong mô-đun mật mã được thực thi trên các hệ thống máy tính đa mục đích sử dụng hệ điều hành chưa được kiểm định.
Tiêu chuẩn này phù hợp với một số ứng dụng hay thiết bị phần cứng có mức an toàn thấp, trong đó khả năng kiểm soát các vấn đề an ninh vật lý, an ninh mạng ở mức hạn chế hoặc không có.
Mức này thường được áp dụng với các thiết bị như: Bảng mạch mã hóa của máy tính cá nhân.
Bảng mạch mã hóa của máy tính cá nhân
Để đạt Mức an toàn 2 thì tối thiểu phải có cơ chế xác thực dựa trên vai trò thực thi bởi mô-đun mật mã nhằm cho phép từng vai trò người dùng được thực thi một tập dịch vụ xác định trên mô- đun mật mã. Ví dụ: User được phân quyền thì được làm gì? User không được phân quyền thì được làm gì?
Cơ chế xác thực dựa trên vai trò
Mức an toàn 2 cho phép các thành phần phần mềm hoặc phần sụn trong mô-đun mật mã được thực thi trên các hệ thống máy tính đa mục đích nhưng hệ điều hành phải thỏa mãn các yêu cầu chức năng đưa ra bởi tiêu chuẩn FIPS 140- 2 và được đánh giá đạt EAL2 (Cấp đảm bảo đánh giá).
Một trong những sản phẩm đáp ứng FIPS ở mức 2 là ổ cứng USB 3.0 của CIPHERSHIELD.
Ổ cứng USB 3.0 CIPHERSHIELD
Ở mức 3 yêu cầu các cơ chế xác thực dựa trên định danh, đây là sự nâng cao so với cơ chế xác thực dựa trên vai trò ở mức an toàn 2. Mô-đun mật mã sẽ xác thực định danh của một thực thể (người dùng, tiến trình máy) và xác nhận rằng thực thể này đủ thẩm quyền để được đưa vào một nhóm người dùng xác định nào đó và nó có thể thực thi một tập dịch vụ thích hợp được chỉ định cho nhóm đó.
Xác thực định danh
Mức an toàn 3 yêu cầu đầu vào và đầu ra của CPS dạng bản rõ (bao gồm cả đầu vào và đầu ra của CPS dạng bản rõ sử dụng thủ tục phân chia tri thức) phải được thực thi trên các cổng tách biệt về mặt vật lý hoặc các giao diện tách biệt về mặt lôgic, các giao diện này liên lạc với nhau bằng đường truyền tin cậy. Các CPS có thể được nhập vào hoặc xuất ra từ mô-đun mật mã ở dạng đã mã hóa (vì thế được truyền đi các hệ thống không an toàn).
Mức an toàn 3 cho phép các thành phần phần mềm hoặc phần sụn trong mô-đun mật mã được thực thi trên các hệ thống máy tính đa mục đích nhưng hệ điều hành phải thỏa mãn các yêu cầu chức năng đưa ra bởi tiêu chuẩn FIPS 140- 2 và được đánh giá đạt EAL3.Một trong những sản phẩm đáp ứng FIPS mức 3 là USB Tokens của hãng PROXKey.
USB Tokens của PROXKey
Các yêu cầu của mức an toàn 4 sẽ bảo vệ mô-đun mật mã khỏi bị tổn thương trong các điều kiện môi trường hoặc sự thay đổi bất thường như về điện thế và nhiệt độ. Một mô-đun mật mã yêu cầu phải được thiết kế các tính năng bảo vệ trong môi trường nhằm đáp ứng vấn đề thay đổi và hủy bỏ CSP hoặc phải vượt qua được quá trình kiểm tra lỗi nghiêm ngặt nhằm đảm bảo chắc chắn rằng mô-đun sẽ không bị ảnh hưởng bởi các tác động vượt quá điều kiện hoạt động thông thường, dẫn đến việc bị can thiệp về mặt an toàn.
Mức an toàn 4 cho phép phần mềm hoặc phần sụn trong mô-đun mật mã hoạt động trên các hệ thống máy tính đa mục đích nhưng hệ điều hành phải thỏa mãn các yêu cầu chức năng đưa ra bởi FIPS 140- 2 và được đánh giá đạt EAL4.
HandHeld Mini HSM của ID-3 là một trong những sản phẩm hiếm hoi có thể đạt FIPS mức 4.
HandHeld Mini HSM của ID-3
Hiện nay, bộ tiêu chuẩn mật mã FIPS đang được áp dụng trong việc đánh giá các sản phẩm hệ thống bảo mật và An toàn thông tin tại nhiều quốc gia trên thế giới. Tuy nhiên, ở Việt Nam bộ tiêu chuẩn này vẫn đang trong quá trình được Ban Cơ yếu Chính phủ đầu tư nghiên cứu. Trong tương lai có thể bộ tiêu chuẩn mật mã FIPS này sẽ trở thành một trong những tiêu chuẩn đánh giá mô-đun bảo mật phổ biến tại Việt Nam.
Trên đây là những thông tin chi tiết của bộ tiêu chuẩn mật mã FIPS. Trong bài viết trên tôi có đề cập đến EAL 2, EAL 3 và EAL 4 đó là các mức trong chuẩn EAL (Cấp đảm bảo đánh giá), tôi sẽ giới thiệu với các bạn chi tiết trong phần tiếp theo.
FIPS hay còn được gọi là tiêu chuẩn Xử lý Thông tin Liên bang (Federal Information Processing Standards) là những tiêu chuẩn của chính phủ Hoa Kỳ về công nghệ thông tin và bảo mật máy tính, do Viện Tiêu chuẩn Quốc gia (NIST) phát triển.
Mục đích chính của tiêu chuẩn này là kiểm tra và phê chuẩn đối với mô-đun mật mã. Khi đó, các nhà sản xuất cam kết rằng đã sử dụng các thuật toán mật mã được công nhận cho các mô-đun mật mã của mình, phát triển và xây dựng nó đảm bảo tuân theo nguyên lý an toàn cơ bản nhất.
Hiện nay, hai dòng tiêu chuẩn có thể sử dụng để đánh giá mô- đun mật mã là bộ tiêu chuẩn Các yêu cầu an toàn cho mô-đun mật mã là FIPS (gồm 2 phiên bản là FIPS 140- 1/FIPS 140-2) do NIST ban hành, (FIPS 140-2 ban hành ngày 25/05/2001) và bộ Tiêu chí chung để đánh giá.
Chuẩn FIPS 140-2
Các mục đích của chuẩn FIPS:
- Triển khai và thực thi các chức năng an toàn đã được phê duyệt để bảo vệ thông tin nhạy cảm.
- Bảo vệ mô-đun mật mã không bị sử dụng hoặc hoạt động trái phép.
- Ngăn ngừa sự tiết lộ nội dung của mô- đun mật mã, bao gồm khóa mã và các tham số an toàn quan trọng (CPS).
- Ngăn ngừa việc sửa đổi trái phép đối với mô-đun mật mã và các thuật toán mật mã.
- Cung cấp các biểu thị về trạng thái hoạt động của mô-đun mật mã.
- Đảm bảo rằng mô-đun mật mã hoạt động chính xác trong các hoạt động đã được phê chuẩn.
- Phát hiện ra các lỗi trong quá trình hoạt động của mô- đun mật mã và ngăn chặn sự tiết lộ dữ liệu nhạy cảm từ kết quả của các lỗi này.
Mức an toàn 1
Đây là mức an toàn thấp nhất trong bộ tiêu chuẩn FIPS. Để đạt được mức an toàn này, các thiết bị, ứng dụng này cần sử dụng ít nhất một thuật toán mật mã hoặc một chức năng an toàn đã được phê chuẩn. Đặc biệt tại mức này, các sản phẩm chỉ cần đáp ứng những yêu cầu cơ bản từ nhà sản xuất mà không cần đáp ứng thêm cơ chế an toàn vật lý.Mức an toàn 1 cho phép các thành phần phần mềm (software) hoặc phần sụn (firmware) trong mô-đun mật mã được thực thi trên các hệ thống máy tính đa mục đích sử dụng hệ điều hành chưa được kiểm định.
Tiêu chuẩn này phù hợp với một số ứng dụng hay thiết bị phần cứng có mức an toàn thấp, trong đó khả năng kiểm soát các vấn đề an ninh vật lý, an ninh mạng ở mức hạn chế hoặc không có.
Mức này thường được áp dụng với các thiết bị như: Bảng mạch mã hóa của máy tính cá nhân.
Bảng mạch mã hóa của máy tính cá nhân
Mức an toàn 2
Ở mức an toàn 2 sẽ tăng thêm các cơ chế an toàn vật lý so với Mức 1 bằng cách thêm các yêu cầu về khả năng chống can thiệp như việc đóng hộp cách ly, đóng dấu niêm phong hoặc đưa các khóa cứng an toàn vào phần vỏ hoặc nắp đóng mở của mô-đun mật mã. Việc đóng hộp cách ly hoặc dán tem niêm phong là nhằm chống lại sự can thiệp hoặc lấy cắp khóa mật mã ở dạng bản rõ hoặc các CPS thông qua cách tiếp cận trực tiếp vào mô-đun mật mã. Dấu niêm phong và khóa cứng an toàn được đưa vào phần vỏ hoặc nắp đậy nhằm chống lại việc truy cập trái phép mô- đun mật mã.Để đạt Mức an toàn 2 thì tối thiểu phải có cơ chế xác thực dựa trên vai trò thực thi bởi mô-đun mật mã nhằm cho phép từng vai trò người dùng được thực thi một tập dịch vụ xác định trên mô- đun mật mã. Ví dụ: User được phân quyền thì được làm gì? User không được phân quyền thì được làm gì?
Cơ chế xác thực dựa trên vai trò
Mức an toàn 2 cho phép các thành phần phần mềm hoặc phần sụn trong mô-đun mật mã được thực thi trên các hệ thống máy tính đa mục đích nhưng hệ điều hành phải thỏa mãn các yêu cầu chức năng đưa ra bởi tiêu chuẩn FIPS 140- 2 và được đánh giá đạt EAL2 (Cấp đảm bảo đánh giá).
Một trong những sản phẩm đáp ứng FIPS ở mức 2 là ổ cứng USB 3.0 của CIPHERSHIELD.
Ổ cứng USB 3.0 CIPHERSHIELD
Mức an toàn 3
Ngoài các yêu cầu đưa ra ở mức an toàn 2, mức 3 ngăn chặn các xâm nhập thông qua truy cập vào CSP. Các cơ chế an toàn vật lý yêu cầu ở mức này hướng đến việc phải có khả năng phát hiện và phản ứng với các cố gắng truy cập về mặt vật lý, sử dụng hoặc sửa đổi mô-đun mật mã khá cao. Các cơ chế an toàn vật lý có thể bao gồm việc sử dụng rào chắn mạnh và chu trình phát hiện/phản ứng với các can thiệp để hủy bỏ tất cả CSP dạng rõ khi có hành động mở nắp/tháo vỏ các mô- đun mật mã.Ở mức 3 yêu cầu các cơ chế xác thực dựa trên định danh, đây là sự nâng cao so với cơ chế xác thực dựa trên vai trò ở mức an toàn 2. Mô-đun mật mã sẽ xác thực định danh của một thực thể (người dùng, tiến trình máy) và xác nhận rằng thực thể này đủ thẩm quyền để được đưa vào một nhóm người dùng xác định nào đó và nó có thể thực thi một tập dịch vụ thích hợp được chỉ định cho nhóm đó.
Xác thực định danh
Mức an toàn 3 cho phép các thành phần phần mềm hoặc phần sụn trong mô-đun mật mã được thực thi trên các hệ thống máy tính đa mục đích nhưng hệ điều hành phải thỏa mãn các yêu cầu chức năng đưa ra bởi tiêu chuẩn FIPS 140- 2 và được đánh giá đạt EAL3.Một trong những sản phẩm đáp ứng FIPS mức 3 là USB Tokens của hãng PROXKey.
USB Tokens của PROXKey
Mức an toàn 4
Đây là mức an toàn cao nhất của bộ tiêu chuẩn FIPS. Ở mức 4 này, các cơ chế an toàn vật lý cung cấp một vỏ bọc hoàn chỉnh để bảo vệ mô- đun mật mã hướng đến việc phát hiện và phản ứng với tất cả các nỗ lực truy cập trái phép về vật lý. Việc thâm nhập vào mô-đun mật mã theo mọi hướng sẽ bị phát hiện với khả năng rất cao và kết quả là tất cả CSP dạng rõ sẽ được hủy bỏ ngay lập tức. Mô-đun mật mã có Mức an toàn 4 thích hợp cho việc sử dụng trong các môi trường không có sự bảo vệ về mặt vật lý.Các yêu cầu của mức an toàn 4 sẽ bảo vệ mô-đun mật mã khỏi bị tổn thương trong các điều kiện môi trường hoặc sự thay đổi bất thường như về điện thế và nhiệt độ. Một mô-đun mật mã yêu cầu phải được thiết kế các tính năng bảo vệ trong môi trường nhằm đáp ứng vấn đề thay đổi và hủy bỏ CSP hoặc phải vượt qua được quá trình kiểm tra lỗi nghiêm ngặt nhằm đảm bảo chắc chắn rằng mô-đun sẽ không bị ảnh hưởng bởi các tác động vượt quá điều kiện hoạt động thông thường, dẫn đến việc bị can thiệp về mặt an toàn.
Mức an toàn 4 cho phép phần mềm hoặc phần sụn trong mô-đun mật mã hoạt động trên các hệ thống máy tính đa mục đích nhưng hệ điều hành phải thỏa mãn các yêu cầu chức năng đưa ra bởi FIPS 140- 2 và được đánh giá đạt EAL4.
HandHeld Mini HSM của ID-3 là một trong những sản phẩm hiếm hoi có thể đạt FIPS mức 4.
HandHeld Mini HSM của ID-3
Trên đây là những thông tin chi tiết của bộ tiêu chuẩn mật mã FIPS. Trong bài viết trên tôi có đề cập đến EAL 2, EAL 3 và EAL 4 đó là các mức trong chuẩn EAL (Cấp đảm bảo đánh giá), tôi sẽ giới thiệu với các bạn chi tiết trong phần tiếp theo.
Tham khảo: Ban Cơ yếu Chính phủ
Chỉnh sửa lần cuối bởi người điều hành: