Chữ ký số trong lĩnh vực ngân hàng phải đảm bảo quy chuẩn gì?

Chữ ký số là gì? Quy định về chữ ký số trong lĩnh vực ngân hàng như thế nào? Bài viết sẽ cung cấp một số thông tin liên quan đến vấn đề này.

Quy chuẩn kỹ thuật quốc gia QCVN 5: 2016/BQP về chữ ký số sử dụng trong lĩnh vực ngân hàng.

Theo đó, QCVN 5: 2016/BQP áp dụng đối với các doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân sự trong lĩnh vực ngân hàng; các tổ chức tín dụng (trừ quỹ tín dụng nhân dân cơ sở có tài sản dưới 10 tỷ, tổ chức tài chính vi mô) sử dụng sản phẩm, dịch vụ mật mã dân sự.

(1) Chữ ký số là gì?

Trong đó, quy định chữ ký số là một chuỗi số, kết quả của phép biến đổi mật mã trên thông điệp dữ liệu nhằm cung cấp một phương tiện để kiểm tra tính xác thực của nguồn gốc thông điệp dữ liệu, tính toàn vẹn của dữ liệu và tính không thể chối bỏ của người đã ký.

Chữ ký số là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã phi đối xứng theo đó người có được thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác định được chính xác:

- Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương ứng với khóa công khai trong cùng một cặp khóa;

- Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên.

Quá trình sinh chữ ký số trên một thông điệp dữ liệu yêu cầu sử dụng: 

i) hàm băm mật mã thực hiện tính toán trên dữ liệu sẽ được ký, 

ii) sử dụng khóa mật mã và thuật toán ký để tạo chữ ký số trên đầu ra của hàm băm. Quy chuẩn này quy định sử dụng khóa mật mã trong thuật toán ký số, hàm băm mật mã được sử dụng trong quá trình sinh chữ ký số.

(2) Quy định chung kỹ thuật của chữ ký số

3) Quy định chi tiết về nguồn ngẫu nhiên

Các số ngẫu nhiên được sử dụng cho các mục đích khác nhau như để sinh các tham số mật mã, các khóa mật mã, các giá trị ngẫu nhiên dùng một lần và các giá trị thách đố xác thực.

Một số bộ sinh bit ngẫu nhiên tất định DRBG được chấp thuận để sử dụng theo quy định chung bao gồm: HASH_DRBG, HMAC_DRBG và CTR_DRBG.

Các bộ sinh bit ngẫu nhiên RBG tuân theo SP800-90A phiên bản sửa đổi lại năm 2015 để sinh bit ngẫu nhiên cũng được chấp thuận để sử dụng tiếp.

(4) Quy định chi tiết về các chữ ký số

- Chữ ký số RSA-PSS

- Chữ ký số ECDSA 

- Chữ ký số DSA

- Chữ ký số RSASSA-PKCS1-v1_5

Xem chi tiết tại QCVN 5: 2016/BQP

(5) Quản lý chữ ký số

QCVN 5: 2016/BQP nêu rõ các mức giới hạn của đặc tính kỹ thuật mật mã và yêu cầu quản lý của chữ ký số nêu tại Quy chuẩn này là các chỉ tiêu chất lượng phục vụ được quản lý theo quy định về quản lý chất lượng sản phẩm, dịch vụ mật mã dân sự được quy định tại Luật An toàn thông tin mạng ngày 19/11/2015.

Hoạt động kiểm tra chất lượng sản phẩm, dịch vụ mật mã được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất.

Một số quy định về ngưỡng thời gian và độ an toàn khóa cụ thể:

- Quy định nghiệp vụ chung đối với độ an toàn khóa mật mã:

- Thời hạn sử dụng được quy định chi tiết đối với độ an toàn khóa mật mã khóa công khai tính theo bit:

- Các hàm băm tương ứng theo Độ an toàn bit:

- Độ an toàn theo bit quy đổi giữa RSA, DSA và ECDSA như sau:

Quy định về an toàn cài đặt và sử dụng: Các thuật toán chữ ký số khi cài đặt phần mềm và phần cứng còn cần có đủ khả năng chống lại các tấn công kênh kề nhất là chống lại việc tính ra được các bit khóa trong quá trình thực hiện thuật toán.

Xem chi tiết tại Quy chuẩn kỹ thuật quốc gia QCVN 5: 2016/BQP về chữ ký số sử dụng trong lĩnh vực ngân hàng.