TIÊU CHUẨN QUỐC GIA

TCVN 14192-1:2024
ISO/IEC 20085-1:2019

KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ CÔNG CỤ KIỂM THỬ VÀ PHƯƠNG PHÁP HIỆU CHUẨN CÔNG CỤ KIỂM THỬ ĐỂ SỬ DỤNG TRONG KIỂM THỬ CÁC KỸ THUẬT GIẢM THIỂU TẤN CÔNG KHÔNG XÂM LẤN TRONG MÔ-ĐUN MẬT MÃ - PHẦN 1: CÔNG CỤ VÀ KỸ THUẬT KIỂM THỬ

IT Security techniques - Test tool requirements and test tool calibration methods for use in testing noninvasive attack mitigation techniques in cryptographic modules - Part 1: Test tools and techniques

MỤC LỤC

Lời nói đầu

TCVN 14192-1:2024 (ISO/IEC 20085-1:2019) hoàn toàn tương đương với ISO/IEC 20085-1:2019.

TCVN 14192-1:2024 (ISO/IEC 20085-1:2019) do Ban Cơ yếu Chính phủ biên soạn, Bộ Quốc phòng đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ tiêu chuẩn TCVN 14192 (ISO/IEC 20085) Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã, gồm 02 phần:

- TCVN 14192-1:2024 (ISO/IEC 20085-1:2019): Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã - Phần 1: Công cụ và kỹ thuật kiểm thử.

- TCVN 14192-2:2024 (ISO/IEC 20085-1:2019): Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã - Phần 2: Phương pháp và phương tiện hiệu chuẩn kiểm thử.

Giới thiệu

Các mô-đun mật mã cung cấp các dịch vụ mật mã và bảo vệ các tham số an toàn quan trọng (CSP). Bảo vệ CSP có thể thông qua bảo mật logic, bảo mật vật lý hoặc cả hai. Tuy nhiên, sự hiểu biết những thông tin liên quan đến CSP có thể bị rò rỉ khỏi mô-đun mật mã trong khi thao tác, nếu mô-đun không được thiết kế để giảm thiểu sự rò rỉ đó. Nếu không được thiết kế để giảm thiểu sự rò rỉ, kẻ tấn công có thể ghi lại sự rò rỉ kênh kề có sẵn. Sự rò rỉ này là một đại lượng vật lý liên quan đến các CSP và có thể được phân tích thông qua trích xuất thông tin về tham số đó. Phân tích như vậy là thụ động, trong khi chỉ đơn giản là thu thập rò rỉ kênh kề bằng cách sử dụng thiết bị đo có sẵn. Lưu ý rằng công cụ đo có thể được điều khiển một cách thích ứng. Dạng khai thác và phân tích này được gọi là không xâm lấn. Các kỹ thuật không xâm lấn cho phép khai thác sự rò rỉ các CSP được gọi là “cuộc tấn công’’ vào mô-đun.

Tiêu chuẩn này tập trung vào việc đo lường và phân tích thông tin kênh kề. Các công cụ kiểm thử không xâm lấn kênh kề có thể được tự động hóa để thu thập sự rò rỉ. Để mô tả chất lượng của các công cụ kiểm thử, cần có các số liệu, chẳng hạn như Tỉ số tín hiệu cực đại trên nhiễu (S/N) (được mô tả trong TCVN 14192-2:2024 (ISO/IEC 20085-2:2019). Bộ tiêu chuẩn TCVN 14192 (ISO/IEC 20085) đề cập đến các kỹ thuật đo lường và phân tích. Chúng được tự động hóa trong một công cụ kiểm thử. Chức năng và hoạt động của công cụ kiểm thử được mô tả trong TCVN 14192 (ISO/IEC 20085).

KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ CÔNG CỤ KIỂM THỬ VÀ PHƯƠNG PHÁP HIỆU CHUẨN CÔNG CỤ KIỂM THỬ ĐỂ SỬ DỤNG TRONG KIỂM THỬ CÁC KỸ THUẬT GIẢM THIỂU TẤN CÔNG KHÔNG XÂM LẤN TRONG MÔ-ĐUN MẬT MÃ - PHẦN 1: CÔNG CỤ VÀ KỸ THUẬT KIỂM THỬ

IT Security techniques - Test tool requirements and test tool calibration methods for use in testing noninvasive attack mitigation techniques in cryptographic modules - Part 1: