TIÊU CHUẨN QUỐC GIA

TCVN 14192-2:2024
ISO/IEC 20085-2:2020

KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ CÔNG CỤ KIỂM THỬ VÀ PHƯƠNG PHÁP HIỆU CHUẨN CÔNG CỤ KIỂM THỬ ĐỂ SỬ DỤNG TRONG KIỂM THỬ CÁC KỸ THUẬT GIẢM THIỂU TẤN CÔNG KHÔNG XÂM LẤN TRONG MÔ-ĐUN MẬT MÃ - PHẦN 2: PHƯƠNG PHÁP VÀ PHƯƠNG TIỆN HIỆU CHUẨN KIỂM THỬ

IT Security techniques - Test tool requirements and test tool calibration methods for use in testing noninvasive attack mitigation techniques in cryptographic modules - Part 2: Test calibration methods and apparatus

Lời nói đầu

TCVN 14192-2:2024 (ISO/IEC 20085-2:2020) hoàn toàn tương đương với ISO/IEC 20085-2:2020.

TCVN 14192-2:2024 (ISO/IEC 20085-2:2020) do Ban Cơ yếu Chính phủ biên soạn, Bộ Quốc phòng đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ tiêu chuẩn TCVN 14192 (ISO/IEC 20085) Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã, bao gồm 2 phần:

- TCVN 14192-1:2024 (ISO/IEC 20085-2:2020): Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã - Phần 1: Công cụ và kỹ thuật kiểm thử.

- TCVN 14192-2:2024 (ISO/IEC 20085-2:2020): Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã - Phần 2: Phương pháp và phương tiện hiệu chuẩn kiểm thử.

Giới thiệu

Các mô-đun mật mã cung cấp các dịch vụ mật mã và bảo vệ các tham số an toàn quan trọng. Các tham số an toàn quan trọng có thể được bảo vệ thông qua thiết kế logic, vật lý hoặc cả hai. Nếu mô-đun mật mã không được thiết kế để giảm thiểu sự rò rỉ thì những thông tin về các tham số an toàn quan trọng có thể bị rò rỉ ra khỏi mô-đun mật mã trong quá trình hoạt động. Nếu không có biện pháp giảm thiểu nào, kẻ tấn công có chủ đích có thể ghi lại sự rò rỉ kênh kề có sẵn. Sự rò rỉ này là một đại lượng vật lý liên quan đến các tham số an toàn quan trọng và có thể được phân tích theo cách thức trích xuất thông tin về các tham số đó. Phân tích như vậy là thụ động, trong đó nó chỉ đơn giản là thu thập các phép đo rò rỉ kênh kề có thể được thu thập tự do bằng một thiết bị. Lưu ý rằng công cụ đo cũng có thể được điều khiển một cách thích ứng. Loại phân tích và khai thác này được gọi là không xâm lấn. Các kỹ thuật cho phép trích xuất các thông số an toàn quan trọng ra khỏi sự rò rỉ không xâm lấn này được gọi là một cuộc tấn công vào mô-đun.

Kiểm thử tấn công không xâm lấn là một phương pháp để xác định xem sự rò rỉ của một mô-đun mật mã có thể được khai thác để trích xuất các tham số an toàn quan trọng hay không. Một công cụ kiểm thử tấn công không xâm lấn trả về trạng thái vượt qua nếu mô-đun mật mã bị rò rỉ được xác định là ở mức tối thiểu có thể ngăn cản việc tiết lộ các tham số an toàn quan trọng. Nếu không, nó trả về trạng thái không thành công.

Tiêu chuẩn này tập trung vào việc hiệu chuẩn công cụ đo kênh kề. Quy trình hiệu chuẩn này cho phép hai công cụ đo ghi lại các phép đo có thể sử dụng được như nhau về mặt phân tích kênh kề. Hiệu chuẩn được trình bày dưới dạng sự kết hợp của hai kỹ thuật:

a) Định nghĩa phương pháp để hiệu chuẩn;