Tiêu chuẩn quốc gia TCVN 13721:2023 (ISO/IEC 20543:2019) về Kỹ thuật an toàn công nghệ thông tin - Phương pháp kiểm thử và phân tích cho các bộ tạo bit ngẫu nhiên trong TCVN 11295 (ISO/IEC 19790) và TCVN 8709 (ISO/IEC 15408)
TIÊU CHUẨN QUỐC GIA
TCVN 13721:2023
ISO/IEC 20543:2019
KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - PHƯƠNG
PHÁP KIỂM THỬ VÀ PHÂN TÍCH CHO CÁC
BỘ TẠO BIT NGẪU NHIÊN TRONG TCVN 11295 (ISO/IEC 19790) VÀ TCVN 8709 (ISO/IEC
15408)
Information technology - Security techniques - Test and analysis methods for random bit generators within ISO/IEC 19790 and ISO/IEC 15408
Mục lục
Lời nói đầu
Giới thiệu
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ và định nghĩa
4 Ký hiệu và thuật ngữ viết tắt
5 Cấu trúc của tiêu chuẩn
6 Tổng quan về bộ tạo bit ngẫu nhiên bất định
6.1 Nhận xét giới thiệu về tạo bit ngẫu nhiên
6.2 Mô hình hóa các nguồn ngẫu nhiên
6.2.1 Mô hình ngẫu nhiên
6.2.2 Phân tích phỏng đoán entropy của các nguồn
6.2.3 Các nguồn vật lý và phi vật lý
6.2.4 Tổng quan về đánh giá nguồn ngẫu nhiên của TNRBG
6.2.5 Tổng quan về đánh giá nguồn ngẫu nhiên của NNRBG
6.3 Mẫu thiết kế chung và phân loại đối với bộ tạo bit ngẫu nhiên bất định
6.3.1 Tổng quan
6.3.2 Mô hình chức năng của NRBG
6.3.3 Các thành phần của NRBG
7 Kiểm tra sự phù hợp của NRBG
7.1 Tổng quan
7.2 Kiểm thử
7.2.1 Tài liệu thiết kế
7.2.2 Phân tích entropy
7.2.3 Min entropy
7.2.4 Các kiểm thử thống kê
7.3 Đánh giá
7.3.1 Yêu cầu chung
7.3.2 Đầu vào của nhà cung cấp để kiểm tra sự phù hợp
8 Tổng quan về bộ tạo bit ngẫu nhiên tất định
8.1 Nhận xét chung
8.2 Tổng quan về cấu trúc của bộ tạo bit ngẫu nhiên tất định
9 Kiểm tra sự phù hợp của DRBG
9.1 Tổng quan
9.2 Kiểm thử
9.2.1 Tài liệu thiết kế
9.2.2 Phân tích entropy của mầm
10 Phương pháp kiểm thử
10.1 Yêu cầu chung
10.2 Yêu cầu của nhà cung cấp
10.3 Yêu cầu kiểm thử
Phụ lục A
Phụ lục B
Tài liệu tham khảo
Lời nói đầu
TCVN 13721:2023 hoàn toàn tương đương với ISO/IEC 20543:2019.
TCVN 13721:2023 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
Giới thiệu
Các ứng dụng mật mã đòi hỏi các số ngẫu nhiên cho nhiều tác vụ khác nhau. Một bộ tạo bit ngẫu nhiên (RBG) mật mã mạnh phù hợp với các ứng dụng mật mã nói chung, bộ tạo bit ngẫu nhiên đó được kỳ vọng sẽ cung cấp các chuỗi bit đầu ra không thể phân biệt được với các chuỗi bít có cùng độ dài được lấy ngẫu nhiên đều với bất kỳ khả năng tính toán thực tế và với bất kỳ kích cỡ mẫu thực tế. Hơn nữa, một RBG như vậy được kỳ vọng sẽ cung cấp khả năng độ an toàn phía trước nâng cao và độ an toàn phía sau nâng cao.
KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - PHƯƠNG PHÁP KIỂM THỬ VÀ PHÂN TÍCH CHO CÁC BỘ TẠO BIT NGẪU NHIÊN TRONG TCVN 11295 (ISO/IEC 19790) VÀ TCVN 8709 (ISO/IEC 15408)
Information technology - Security techniques - Test and analysis methods for random bit generators within ISO/IEC 19790 and ISO/IEC 15408
1 Phạm vi áp dụng
Tiêu chuẩn này quy định một phương pháp luận để đánh giá các bộ tạo bít ngẫu nhiên tất định hoặc bộ tạo bít ngẫu nhiên bất định được dự định sử dụng cho các ứng dụng mật mã, Các quy định được đưa ra trong tiêu chuẩn này cho phép nhà cung cấp RBG gửi các công bố về an toàn đã được xác định rõ ràng cho cơ quan đánh giá và sẽ cho phép đánh giá viên hoặc kiêm thử viên, ví dụ như: cơ quan xác nhận, đánh giá, kiểm thử, chứng nhận hoặc bác bỏ các công bố này.
Tiêu chuẩn này được triển khai độc lập, không phụ thuộc vào công nghệ và thiết kế. Do đó, nó không cung cấp hướng dẫn cụ thể về các quyết định thiết kế và triển khai cho bộ tạo bít ngẫu nhiên. Tuy nhiên, các vấn đề về thiết kế và triển khai ảnh hưởng đến việc đánh giá RBG trong tiêu chuẩn này, chẳng hạn vì nó yêu cầu sử dụng mô hình ngẫu nhiên của nguồn ngẫu nhiên và vì bất kỳ mô hình nào như vậy đều được hỗ trợ bởi các lập luận kỹ thuật liên quan đến thiết kế của thiết bị.
Bộ tạo bit ngẫu nhiên như được đánh giá trong tiêu chuẩn này nhằm mục đích đưa ra các chuỗi bít phân bố đều. Tuy nhiên, tùy thuộc vào sự phân bố các số ngẫu nhiên mà ứng dụng yêu cầu sử dụng, cần lưu ý rằng các bước bổ sung có thể cần thiết (và có thể rất quan trọng đối với an toàn) để ứng dụng sử dụng biến đổi các chuỗi bít ngẫu nhiên do RBG tạo ra thành số lượng ngẫu nhiên phân phối phù hợp với các yêu cầu ứng dụng. Các biến đổi tiếp theo như vậy nằm ngoài phạm vi đánh giá được thực hiện trong tiêu chuẩn này.
2 Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu có ghi năm công bố thì áp dụng phiên bản đã nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả sửa đổi, bổ sung).
- TCVN 8709 (ISO/IEC 15408), Công nghệ thông tin - Kỹ thuật an toàn - Tiêu chí đánh giá về an toàn công nghệ thông tin.
- TCVN 12212:2018 (ISO/IEC 17825:2016), Công nghệ thông tin - Kỹ thuật an toàn - Phương pháp kiểm thử để giảm thiểu các lớp tấn công không xâm lấn chống lại các mô-đun mật mã.
- TCVN 12853:2020 (ISO/IEC 18031:2011), Công nghệ thông tin - Kỹ thuật an toàn - Bộ tạo bít ngẫu nhiên.
- TCVN 11295:2016 (ISO 19790:2012), Công nghệ thông tin - Kỹ thuật an toàn Yêu cầu an toàn đối với mô-đun mật mã.
3 Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các định nghĩa và thuật ngữ sau đây:
Độ an toàn phía trước (backward secrecy)
Đảm bảo rằng các giá trị trước đó không thể xác định được từ các thông tin của giá trị đầu ra hiện tại hoặc các giá trị tiếp theo.
[Nguồn: 3.2, TCVN 12853:2020 (ISO/IEC 18031:2011)]
.........................
Nội dung tiêu chuẩn bằng File Word (đang tiếp tục cập nhật)
Ý kiến bạn đọc
