0765562555

Thông tư 22/2020/TT-BTTTT

Mời ban tìm hiểu thêm nội dung bài viết Giáo Trình Thông tư 22/2020/TT-BTTTT Mới nhất 2022 được update : 2021-09-10 09:46:41

3152

Xin chàoTừ ngày thứ nhất/11/2020, Thông tư 22/2020/TT-BTTTT do Bộ tin tức và Truyền thông phát hành ngày thứ 7/09 chính thức có hiệu lực hiện hành. Thông tư quy định về yêu cầu kỹ thuật riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số.

Theo đó, yêu cầu hiệu suất cao ký số như sau:

Trường hợp người ký số trên thông điệp tài liệu là thành viên, được cho phép người ký số sử dụng khóa bí mật thành viên để thực thi việc ký số vào thông điệp tài liệu; Trường hợp người ký số trên thông điệp là tổ chức triển khai, được cho phép người ký số sử dụng khóa bí mật tổ chức triển khai để thực thi việc ký số vào thông điệp tài liệu.

BỘ THÔNG TIN VÀ TRUYỀN THÔNG——–

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAMĐộc lập – Tự do – Hạnh phúc —————

Số: 22/2020/TT-BTTTT

Tp Hà Nội Thủ Đô, ngày thứ 7 tháng 9 năm 2020

THÔNG TƯ 22/2020/TT-BTTTT

QUY ĐỊNH VỀ YÊU CẦU KỸ THUẬT ĐỐI VỚI PHẦN MỀM KÝ SỐ, PHẦN MỀM KIỂM TRA CHỮ KÝ SỐ

Căn cứ Luật thanh toán giao dịch thanh toán điện tử ngày 29 tháng 11 năm 2005;

Căn cứ Nghị định số 130/2018/NĐ-CP ngày 27 tháng 9 năm 2018 của nhà nước quy định rõ ràng thi hành Luật thanh toán giao dịch thanh toán điện tử về chữ ký số và dịch vụ xác nhận chữ ký số;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của nhà nước quy định hiệu suất cao, trách nhiệm, quyền hạn và cơ cấu tổ chức triển khai tổ chức triển khai của Bộ tin tức và Truyền thông;

Theo đề xuất kiến nghị của Giám đốc Trung tâm Chứng thực điện tử vương quốc,

Bộ trưởng Bộ tin tức và Truyền thông phát hành Thông tư quy định về yêu cầu kỹ thuật riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi kiểm soát và điều chỉnh

1. Thông tư này quy định yêu cầu kỹ thuật riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số.

2. Yêu cầu kỹ thuật riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số cho văn bản điện tử trong cơ quan nhà nước không thuộc phạm vi kiểm soát và điều chỉnh của Thông tư này.

Điều 2. Đối tượng vận dụng

1. Thông tư này vận dụng riêng với cơ quan, tổ chức triển khai, thành viên lựa chọn sử dụng ứng dụng ký số, ứng dụng kiểm tra chữ ký số trong thanh toán giao dịch thanh toán điện tử; những tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số; những tổ chức triển khai, thành viên tăng trưởng ứng dụng, sử dụng chữ ký số.

2. Thông tư này sẽ không còn vận dụng riêng với tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số chuyên dùng nhà nước.

Điều 3. Giải thích từ ngữ

1. “Chứng thư số tổ chức triển khai” là một dạng chứng từ điện tử do tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số cấp nhằm mục đích phục vụ thông tin định danh cho khóa công khai minh bạch của một cơ quan, tổ chức triển khai từ đó xác nhận cơ quan, tổ chức triển khai là người ký chữ ký số bằng việc sử dụng khóa bí mật tương ứng.

2. “Chứng thư số thành viên” là một dạng chứng từ điện tử do tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số cấp nhằm mục đích phục vụ thông tin định danh cho khóa công khai minh bạch của một thành viên, từ đó xác nhận thành viên là người ký chữ ký số bằng việc sử dụng khóa bí mật tương ứng.

3. “Khóa bí mật tổ chức triển khai” là khóa bí mật tương ứng với chứng từ số tổ chức triển khai.

4. “Khóa bí mật thành viên” là khóa bí mật tương ứng với chứng từ số thành viên.

5. “Phần mềm ký số” là chương trình ứng dụng độc lập hoặc một thành phần (module) ứng dụng hoặc giải pháp có hiệu suất cao ký số vào thông điệp tài liệu.

6. “Phần mềm kiểm tra chữ ký số” là chương trình ứng dụng độc lập hoặc một thành phần (module) ứng dụng hoặc giải pháp có hiệu suất cao kiểm tra tính hợp lệ của chữ ký số trên thông điệp tài liệu ký số.

7. “Đường dẫn tin tưởng của chứng từ số” là thông tin đường dẫn địa chỉ internet trên giấy tờ số cho biết thêm thêm tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số đã cấp phép ra chứng từ số đó.

Chương II

YÊU CẦU KỸ THUẬT ĐỐI VỚI PHẦN MỀM KÝ SỐ, PHẦN MỀM KIỂM TRA CHỮ KÝ SỐ

Mục 1- Phần mềm ký số

Điều 4. Yêu cầu chung

Tuân thủ những tiêu chuẩn kỹ thuật về chữ ký số trên thông điệp tài liệu tại Phụ lục Danh tiềm năng chuẩn kỹ thuật về chữ ký số trên thông điệp tài liệu kèm theo Thông tư này.

Điều 5. Yêu cầu hiệu suất cao

1. Chức năng ký số:

a) Trường hợp người ký số trên thông điệp tài liệu là thành viên, được cho phép người ký số sử dụng khóa bí mật thành viên để thực thi việc ký số vào thông điệp tài liệu;

b) Trường hợp người ký số trên thông điệp tài liệu là tổ chức triển khai, được cho phép người ký số sử dụng khóa bí mật tổ chức triển khai để thực thi việc ký số vào thông điệp tài liệu.

2. Chức năng kiểm tra hiệu lực hiện hành của chứng từ số:

a) Cho phép việc kiểm tra chứng từ số của người ký số trên thông điệp tài liệu phải kiểm tra theo đường dẫn tin tưởng trên giấy tờ số và phải thực thi đến tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số vương quốc.

b) Nội dung kiểm tra hiệu lực hiện hành của chứng từ số tại thời gian ký số:

– Thời gian có hiệu lực hiện hành của chứng từ số;

– Trạng thái chứng từ số qua list chứng từ số tịch thu (CRL) được công bố tại thời gian ký số hoặc bằng phương pháp kiểm tra trạng thái chứng từ số trực tuyến (OCSP) ở chính sách trực tuyến trong trường hợp tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số có phục vụ dịch vụ OCSP;

– Thuật toán mật mã trên giấy tờ số;

– Mục đích, phạm vi sử dụng của chứng từ số.

c) Hiệu lực của chứng từ số khi phục vụ toàn bộ những tiêu chuẩn sau:

– Thời gian trên giấy tờ số còn hiệu lực hiện hành tại thời gian ký số;

– Các thuật toán mật mã trên giấy tờ số tuân thủ theo quy định về quy chuẩn, tiêu chuẩn kỹ thuật bắt buộc vận dụng về chữ ký số và dịch vụ xác nhận chữ ký số đang sẵn có hiệu lực hiện hành;

– Trạng thái của chứng từ số còn hoạt động và sinh hoạt giải trí tại thời gian ký số;

– Chứng thư số được sử dụng đúng mục tiêu, phạm vi sử dụng.

3. Chức năng tàng trữ và hủy bỏ những thông tin sau kèm theo thông điệp tài liệu ký số:

a) Chứng thư số tương ứng với khóa bí mật mà người ký số sử dụng để ký thông điệp tài liệu tại thời gian ký số;

b) Danh sách chứng từ số tịch thu tại thời gian ký của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số đã cấp giấy số để ký số tương ứng với chữ ký số trên thông điệp tài liệu đi;

c) Quy chế xác nhận của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số đã cấp giấy số tương ứng với chữ ký số trên thông điệp tài liệu đi;

d) Kết quả kiểm tra trạng thái chứng từ số tương ứng với chữ ký số trên thông điệp tài liệu được gửi đến.

4. Chức năng thay đổi (thêm, bớt) chứng từ số của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số.

5. Chức năng thông tin (bằng chữ/bằng ký hiệu) cho những người dân ký số biết việc ký số vào thông điệp tài liệu thành công xuất sắc hay là không thành công xuất sắc.

Mục 2-Phần mềm kiểm tra chữ ký số

Điều 6. Yêu cầu chung

Tuân thủ những tiêu chuẩn kỹ thuật về chữ ký số trên thông điệp tài liệu tại Phụ lục Danh tiềm năng chuẩn về chữ ký số trên thông điệp tài liệu kèm theo Thông tư này.

Điều 7. Yêu cầu hiệu suất cao

1. Chức năng kiểm tra tính hợp lệ của chữ ký số trên thông điệp tài liệu:

a) Cho phép xác minh chữ ký số trên thông điệp tài liệu theo nguyên tắc chữ ký số được tạo ra đúng với khóa bí mật tương ứng với khóa công khai minh bạch trên giấy tờ số;

b) Cho phép việc kiểm tra chứng từ số của người ký số trên thông điệp tài liệu phải kiểm tra theo đường dẫn tin tưởng trên giấy tờ số và phải thực thi đến tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số vương quốc.

c) Cho phép kiểm tra, xác thực thông tin của người ký số trên thông điệp tài liệu thực thi toàn bộ những nội dung sau này:

– Thời gian có hiệu lực hiện hành của chứng từ số;

– Trạng thái chứng từ số qua list chứng từ số tịch thu (CRL) được công bố tại thời gian ký số hoặc bằng phương pháp kiểm tra trạng thái chứng từ số trực tuyến (OCSP) ở chính sách trực tuyến trong trường hợp tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số có phục vụ dịch vụ OCSP;

– Thuật toán mật mã trên giấy tờ số;

– Mục đích, phạm vi sử dụng của chứng từ số.

d) Hiệu lực của chứng từ số khi phục vụ toàn bộ những tiêu chuẩn sau:

– Thời gian trên giấy tờ số còn hiệu lực hiện hành tại thời gian ký số;

– Các thuật toán mật mã trên giấy tờ số tuân thủ theo quy định về quy chuẩn, tiêu chuẩn kỹ thuật bắt buộc vận dụng về chữ ký số và dịch vụ xác nhận chữ ký số đang sẵn có hiệu lực hiện hành;

– Trạng thái của chứng từ số còn hoạt động và sinh hoạt giải trí tại thời gian ký số;

– Chứng thư số được sử dụng đúng mục tiêu, phạm vi sử dụng.

đ) Cho phép kiểm tra tính toàn vẹn của thông điệp tài liệu ký số:

– Giải mã chữ ký số trên thông điệp tài liệu để sở hữu thông tin về mã băm;

– Sử dụng thuật toán hàm băm bảo vệ an toàn và uy tín đã tạo ra mã băm trên chữ ký số để thực thi tạo mã băm cho thông điệp tài liệu;

– So sánh sự trùng khớp của hai mã băm để kiểm tra tính toàn vẹn của thông điệp tài liệu ký số.

e) Chữ ký số trên thông điệp tài liệu là hợp lệ khi:

– Việc kiểm tra, xác thực được đúng thông tin người ký số;

– Chứng thư số của người ký số tại thời gian ký còn hiệu lực hiện hành;

– Xác minh chữ ký số trên thông điệp tài liệu đúng với khóa bí mật tương ứng với khóa công khai minh bạch trên giấy tờ số và thông điệp tài liệu đảm bảo tính toàn vẹn.

2. Chức năng tàng trữ và hủy bỏ những thông tin sau kèm theo thông điệp tài liệu ký số:

a) Các chứng từ số tương ứng với những chữ ký số trên thông điệp tài liệu ký số được gửi đến;

b) Các list chứng từ số tịch thu tại thời gian ký của tổ chức triển khai phục vụ xác nhận chữ ký số tương ứng với chữ ký số trên thông điệp tài liệu được gửi đến;

c) Quy chế xác nhận của những tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số cấp phép chứng từ số tương ứng với những chữ ký số trên thông điệp tài liệu được gửi đến;

d) Kết quả kiểm tra trạng thái chứng từ số tương ứng với chữ ký số trên thông điệp tài liệu được gửi đến.

3. Chức năng thay đổi (thêm, bớt) chứng từ số của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số.

4. Chức năng thông tin (bằng chữ/bằng ký hiệu) việc kiểm tra tính hợp lệ của chữ ký số là hợp lệ hay là không hợp lệ.

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 8. Tổ chức thực thi

1. Trung tâm Chứng thực điện tử vương quốc có trách nhiệm hướng dẫn thực thi những nội dung của Thông tư này.

2. Tổ chức phục vụ dịch vụ xác nhận chữ ký số công cộng, tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số chuyên dùng của cơ quan, tổ chức triển khai công bố những đặc tả kỹ thuật (tài liệu và bộ công cụ), chứng từ số tương quan đến tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số và những tiêu chuẩn chữ ký số trên trang tin điện tử của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số.

3. Tổ chức, thành viên tăng trưởng ứng dụng, sử dụng chữ ký số có trách nhiệm tuân thủ những quy định về yêu cầu kỹ thuật, hướng dẫn sử dụng riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số.

Điều 9. Điều khoản chuyển tiếp

Các cơ quan, tổ chức triển khai, thành viên đang sử dụng ứng dụng ký số, ứng dụng kiểm tra chữ ký số trước thời gian Thông tư này còn có hiệu lực hiện hành tiếp tục sử dụng cho tới lúc thay đổi, tăng cấp hoặc thay thế ứng dụng mới, tuân thủ quy định Thông tư này.

Điều 10. Hiệu lực thi hành

1. Thông tư này còn có hiệu lực hiện hành thi hành Tính từ lúc ngày thứ nhất tháng 11 năm 2020.

2. Chánh Văn phòng, Giám đốc Trung tâm Chứng thực điện tử vương quốc, Thủ trưởng những cty, cty thuộc Bộ, Giám đốc Sở tin tức và Truyền thông những tỉnh, thành phố trực thuộc Trung ương, tổ chức triển khai, thành viên có tương quan phụ trách thi hành Thông tư này.

3. Trong quy trình thực thi, nếu có trở ngại vất vả, vướng mắc, cơ quan, tổ chức triển khai, thành viên phản ánh kịp thời về Bộ tin tức và Truyền thông (Trung tâm Chứng thực điện tử vương quốc) để xem xét, xử lý và xử lý./.

Nơi nhận:– Thủ tướng, những Phó Thủ tướng nhà nước; – Các Bộ, cơ quan ngang Bộ, cơ quan thuộc nhà nước;– UBND những tỉnh, thành phố trực thuộc TW;– Sở TTTT những tỉnh, thành phố trực thuộc TW;– Sở Văn hóa, tin tức, Thể thao và Du lịch Bạc Liêu;– Cục Kiểm tra văn bản QPPL (Bộ Tư pháp);– Công báo, Cổng thông tin điện tử nhà nước;– Bộ TTTT: Bộ trưởng và những Thứ trưởng, những cty, cty thuộc Bộ; – Cổng thông tin điện tử Bộ;– Lưu: VT, NEAC (250).

BỘ TRƯỞNGNguyễn Mạnh Hùng

PHỤ LỤC

DANH MỤC TIÊU CHUẨN KỸ THUẬT VỀ CHỮ KÝ SỐ TRÊN THÔNG ĐIỆP DỮ LIỆU(Ban hành kèm theo Thông tư số 22/2020/TT-BTTTT ngày thứ 7 tháng 9 năm 2020 của Bộ trưởng Bộ tin tức và Truyền thông)

Số TT

Loại tiêu chuẩn

Ký hiệu tiêu chuẩn

Tên khá đầy đủ của tiêu chuẩn

Quy định vận dụng

1

Tiêu chuẩn về định dạng thông điệp tài liệu

1.1

Bộ ký tự và mã hóa

ASCII

American Standard Code for Information Interchange

Khuyến nghị vận dụng

1.2

Bộ ký tự và mã hóa cho tiếng Việt

TCVN

6909:2001

TCVN 6909:2001 “ Công nghệ thông tin-Bộ mã ký tự tiếng Việt 16-bit”

Bắt buộc vận dụng

1.3

Trình diễn bộ ký tự

UTF-8

8-bit Universal Character Set (UCS)/ Unicode Transformation Format

Khuyến nghị vận dụng

1.4

Ngôn ngữ định dạng thông điệp tài liệu

XML v1.0

(5th Edition)

Extensible Markup

Language version 1.0 (5th Edition)

Khuyến nghị vận dụng một trong hai tiêu chuẩn

XML v1.1

(2nd Edition)

Extensible Markup

Language version 1.1

1.5

Định nghĩa những lược đồ trong tài liệu XML

XML Schema version 1.1

XML Schema version 1.1

Khuyến nghị vận dụng

1.6

Trao đổi tài liệu đặc tả tài liệu XML

XML v2.4.2

XML Metadata Interchange version 2.4.2

Khuyến nghị vận dụng

2

Tiêu chuẩn về ký số, kiểm tra chữ ký số

2.1

Tiêu chuẩn về ký số trên thiết bị quản trị và vận hành khóa bí mật, ứng dụng ký số, tạo chữ ký số, chứng từ số, ứng dụng kiểm tra chữ ký số.

2.1.1

Thuật toán mã hóa

TCVN 7816:2007

Công nghệ thông tin. Kỹ thuật mật mã – thuật toán mã tài liệu AES

Khuyến nghị vận dụng

NIST 800-67

Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher

Khuyến nghị vận dụng

PKCS#1

RSA Cryptography Standard

(Phiên bản 2.1 trở lên)

Áp dụng, sử dụng lược đồ RSAES-OAEP để mã hoá

Độ dài khóa tối thiểu là 2048 bit

Khuyến nghị vận dụng

ECC

Elliptic Curve Crytography

Khuyến nghị vận dụng

2.1.2

Thuật toán chữ ký số

TCVN 7635:2007

Các kỹ thuật mật mã – Chữ ký số

– Áp dụng một trong ba tiêu chuẩn.

– Đối với tiêu chuẩn TCVN 7635:2007 và PKCS#1:

+ Phiên bản 2.1

+ Áp dụng lược đồ RSAES-OAEP để mã hoá và RSASSA-PSS để ký.

+ Độ dài khóa tối thiểu là 2048 bit

– Đối với tiêu chuẩn ECDSA: độ dài khóa tối thiểu là 256 bit

PKCS#1

RSA Cryptography Standard

ANSI X9.62-2005

Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA)

2.1.3

Hàm băm bảo vệ an toàn và uy tín

FIPS PUB 180-4

Secure Hash Algorithms

Áp dụng một trong các hàm băm sau: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256,SHA3-224, SHA3-256, SHA3-384, SHA3-512, SHAKE128, SHAKE256

FIPS PUB 202

SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions

2.1.4

An toàn trao đổi bản tin XML

XML Encryption Syntax and Processing

XML Encryption Syntax and Processing

Bắt buộc vận dụng

XML Signature Syntax and Processing

XML Signature Syntax and Processing

Bắt buộc vận dụng

2.1.5

Quản lý khóa công khai minh bạch bản tin XML

XKMS v2.0

XML Key Management Specification version 2.0

Bắt buộc vận dụng

2.1.6

Cú pháp thông điệp mật mã cho ký, mã hóa

PKCS#7 v1.5 (RFC 2315)

Cryptographic message syntax for file-based signing and encrypting version 1.5

Bắt buộc vận dụng

2.2

Tiêu chuẩn về ký số trên khối mạng lưới hệ thống thiết bị quản trị và vận hành khóa bí mật, chứng từ số và tạo chữ ký số theo quy mô ký số từ xa (remote signing)

2.2.1

Yêu cầu chủ trương và bảo mật thông tin an ninh cho sever ký số

ETSI TS 119 431-1

Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD/SCDev

Áp dụng cả bộ tiêu chuẩn 2 phần;

Phiên bản V1.1.1 (12/2018)

ETSI TS 119 431-2

Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation

2.2.2

Giao thức tạo chữ ký số

ETSI TS 119 432

Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation

Phiên bản V1.1.1 (03/2019)

2.2.3

Ứng dụng ký trên sever ký số

EN 419241-1:2018

Trustworthy Systems Supporting Server Signing – Part 1: General system security requirements

2.2.4

Yêu cầu cho mô đun ký số

EN 419241-2:2019

Trustworthy Systems Supporting Server Signing – Part 2: Protection Profile for QSCD for Server Signing

2.2.5

Yêu cầu bảo mật thông tin an ninh riêng với khối bảo mật thông tin an ninh phần cứng HSM

EN 419221-5:2018

Protection Profiles for TSP Cryptographic modules – Part 5: Cryptographic Module for Trust Services

3

Tiêu chuẩn kiểm tra trạng thái chứng từ số

3.1

Giao thức truyền, nhận chứng từ số và list chứng từ số bị tịch thu

RFC 2585

Internet X.509 Public Key Infrastructure – Operational Protocols: FTP and HTTP

Áp dụng một hoặc cả hai giao thức FTP và HTTP

3.2

Giao thức cho kiểm tra trạng thái chứng từ số trực tuyến

RFC 2560

X.509 Internet Public Key Infrastructure – On-line Certificate status protocol

Từ ngày thứ nhất/11/2020, Thông tư 22/2020/TT-BTTTT do Bộ tin tức và Truyền thông phát hành ngày thứ 7/09 chính thức có hiệu lực hiện hành. Thông tư quy định về yêu cầu kỹ thuật riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số.

Theo đó, yêu cầu hiệu suất cao ký số như sau:

Trường hợp người ký số trên thông điệp tài liệu là thành viên, được cho phép người ký số sử dụng khóa bí mật thành viên để thực thi việc ký số vào thông điệp tài liệu; Trường hợp người ký số trên thông điệp là tổ chức triển khai, được cho phép người ký số sử dụng khóa bí mật tổ chức triển khai để thực thi việc ký số vào thông điệp tài liệu.

BỘ THÔNG TIN VÀ TRUYỀN THÔNG——–

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAMĐộc lập – Tự do – Hạnh phúc —————

Số: 22/2020/TT-BTTTT

Tp Hà Nội Thủ Đô, ngày thứ 7 tháng 9 năm 2020

THÔNG TƯ 22/2020/TT-BTTTT

QUY ĐỊNH VỀ YÊU CẦU KỸ THUẬT ĐỐI VỚI PHẦN MỀM KÝ SỐ, PHẦN MỀM KIỂM TRA CHỮ KÝ SỐ

Căn cứ Luật thanh toán giao dịch thanh toán điện tử ngày 29 tháng 11 năm 2005;

Căn cứ Nghị định số 130/2018/NĐ-CP ngày 27 tháng 9 năm 2018 của nhà nước quy định rõ ràng thi hành Luật thanh toán giao dịch thanh toán điện tử về chữ ký số và dịch vụ xác nhận chữ ký số;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của nhà nước quy định hiệu suất cao, trách nhiệm, quyền hạn và cơ cấu tổ chức triển khai tổ chức triển khai của Bộ tin tức và Truyền thông;

Theo đề xuất kiến nghị của Giám đốc Trung tâm Chứng thực điện tử vương quốc,

Bộ trưởng Bộ tin tức và Truyền thông phát hành Thông tư quy định về yêu cầu kỹ thuật riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi kiểm soát và điều chỉnh

1. Thông tư này quy định yêu cầu kỹ thuật riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số.

2. Yêu cầu kỹ thuật riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số cho văn bản điện tử trong cơ quan nhà nước không thuộc phạm vi kiểm soát và điều chỉnh của Thông tư này.

Điều 2. Đối tượng vận dụng

1. Thông tư này vận dụng riêng với cơ quan, tổ chức triển khai, thành viên lựa chọn sử dụng ứng dụng ký số, ứng dụng kiểm tra chữ ký số trong thanh toán giao dịch thanh toán điện tử; những tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số; những tổ chức triển khai, thành viên tăng trưởng ứng dụng, sử dụng chữ ký số.

2. Thông tư này sẽ không còn vận dụng riêng với tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số chuyên dùng nhà nước.

Điều 3. Giải thích từ ngữ

1. “Chứng thư số tổ chức triển khai” là một dạng chứng từ điện tử do tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số cấp nhằm mục đích phục vụ thông tin định danh cho khóa công khai minh bạch của một cơ quan, tổ chức triển khai từ đó xác nhận cơ quan, tổ chức triển khai là người ký chữ ký số bằng việc sử dụng khóa bí mật tương ứng.

2. “Chứng thư số thành viên” là một dạng chứng từ điện tử do tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số cấp nhằm mục đích phục vụ thông tin định danh cho khóa công khai minh bạch của một thành viên, từ đó xác nhận thành viên là người ký chữ ký số bằng việc sử dụng khóa bí mật tương ứng.

3. “Khóa bí mật tổ chức triển khai” là khóa bí mật tương ứng với chứng từ số tổ chức triển khai.

4. “Khóa bí mật thành viên” là khóa bí mật tương ứng với chứng từ số thành viên.

5. “Phần mềm ký số” là chương trình ứng dụng độc lập hoặc một thành phần (module) ứng dụng hoặc giải pháp có hiệu suất cao ký số vào thông điệp tài liệu.

6. “Phần mềm kiểm tra chữ ký số” là chương trình ứng dụng độc lập hoặc một thành phần (module) ứng dụng hoặc giải pháp có hiệu suất cao kiểm tra tính hợp lệ của chữ ký số trên thông điệp tài liệu ký số.

7. “Đường dẫn tin tưởng của chứng từ số” là thông tin đường dẫn địa chỉ internet trên giấy tờ số cho biết thêm thêm tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số đã cấp phép ra chứng từ số đó.

Chương II

YÊU CẦU KỸ THUẬT ĐỐI VỚI PHẦN MỀM KÝ SỐ, PHẦN MỀM KIỂM TRA CHỮ KÝ SỐ

Mục 1- Phần mềm ký số

Điều 4. Yêu cầu chung

Tuân thủ những tiêu chuẩn kỹ thuật về chữ ký số trên thông điệp tài liệu tại Phụ lục Danh tiềm năng chuẩn kỹ thuật về chữ ký số trên thông điệp tài liệu kèm theo Thông tư này.

Điều 5. Yêu cầu hiệu suất cao

1. Chức năng ký số:

a) Trường hợp người ký số trên thông điệp tài liệu là thành viên, được cho phép người ký số sử dụng khóa bí mật thành viên để thực thi việc ký số vào thông điệp tài liệu;

b) Trường hợp người ký số trên thông điệp tài liệu là tổ chức triển khai, được cho phép người ký số sử dụng khóa bí mật tổ chức triển khai để thực thi việc ký số vào thông điệp tài liệu.

2. Chức năng kiểm tra hiệu lực hiện hành của chứng từ số:

a) Cho phép việc kiểm tra chứng từ số của người ký số trên thông điệp tài liệu phải kiểm tra theo đường dẫn tin tưởng trên giấy tờ số và phải thực thi đến tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số vương quốc.

b) Nội dung kiểm tra hiệu lực hiện hành của chứng từ số tại thời gian ký số:

– Thời gian có hiệu lực hiện hành của chứng từ số;

– Trạng thái chứng từ số qua list chứng từ số tịch thu (CRL) được công bố tại thời gian ký số hoặc bằng phương pháp kiểm tra trạng thái chứng từ số trực tuyến (OCSP) ở chính sách trực tuyến trong trường hợp tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số có phục vụ dịch vụ OCSP;

– Thuật toán mật mã trên giấy tờ số;

– Mục đích, phạm vi sử dụng của chứng từ số.

c) Hiệu lực của chứng từ số khi phục vụ toàn bộ những tiêu chuẩn sau:

– Thời gian trên giấy tờ số còn hiệu lực hiện hành tại thời gian ký số;

– Các thuật toán mật mã trên giấy tờ số tuân thủ theo quy định về quy chuẩn, tiêu chuẩn kỹ thuật bắt buộc vận dụng về chữ ký số và dịch vụ xác nhận chữ ký số đang sẵn có hiệu lực hiện hành;

– Trạng thái của chứng từ số còn hoạt động và sinh hoạt giải trí tại thời gian ký số;

– Chứng thư số được sử dụng đúng mục tiêu, phạm vi sử dụng.

3. Chức năng tàng trữ và hủy bỏ những thông tin sau kèm theo thông điệp tài liệu ký số:

a) Chứng thư số tương ứng với khóa bí mật mà người ký số sử dụng để ký thông điệp tài liệu tại thời gian ký số;

b) Danh sách chứng từ số tịch thu tại thời gian ký của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số đã cấp giấy số để ký số tương ứng với chữ ký số trên thông điệp tài liệu đi;

c) Quy chế xác nhận của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số đã cấp giấy số tương ứng với chữ ký số trên thông điệp tài liệu đi;

d) Kết quả kiểm tra trạng thái chứng từ số tương ứng với chữ ký số trên thông điệp tài liệu được gửi đến.

4. Chức năng thay đổi (thêm, bớt) chứng từ số của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số.

5. Chức năng thông tin (bằng chữ/bằng ký hiệu) cho những người dân ký số biết việc ký số vào thông điệp tài liệu thành công xuất sắc hay là không thành công xuất sắc.

Mục 2-Phần mềm kiểm tra chữ ký số

Điều 6. Yêu cầu chung

Tuân thủ những tiêu chuẩn kỹ thuật về chữ ký số trên thông điệp tài liệu tại Phụ lục Danh tiềm năng chuẩn về chữ ký số trên thông điệp tài liệu kèm theo Thông tư này.

Điều 7. Yêu cầu hiệu suất cao

1. Chức năng kiểm tra tính hợp lệ của chữ ký số trên thông điệp tài liệu:

a) Cho phép xác minh chữ ký số trên thông điệp tài liệu theo nguyên tắc chữ ký số được tạo ra đúng với khóa bí mật tương ứng với khóa công khai minh bạch trên giấy tờ số;

b) Cho phép việc kiểm tra chứng từ số của người ký số trên thông điệp tài liệu phải kiểm tra theo đường dẫn tin tưởng trên giấy tờ số và phải thực thi đến tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số vương quốc.

c) Cho phép kiểm tra, xác thực thông tin của người ký số trên thông điệp tài liệu thực thi toàn bộ những nội dung sau này:

– Thời gian có hiệu lực hiện hành của chứng từ số;

– Trạng thái chứng từ số qua list chứng từ số tịch thu (CRL) được công bố tại thời gian ký số hoặc bằng phương pháp kiểm tra trạng thái chứng từ số trực tuyến (OCSP) ở chính sách trực tuyến trong trường hợp tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số có phục vụ dịch vụ OCSP;

– Thuật toán mật mã trên giấy tờ số;

– Mục đích, phạm vi sử dụng của chứng từ số.

d) Hiệu lực của chứng từ số khi phục vụ toàn bộ những tiêu chuẩn sau:

– Thời gian trên giấy tờ số còn hiệu lực hiện hành tại thời gian ký số;

– Các thuật toán mật mã trên giấy tờ số tuân thủ theo quy định về quy chuẩn, tiêu chuẩn kỹ thuật bắt buộc vận dụng về chữ ký số và dịch vụ xác nhận chữ ký số đang sẵn có hiệu lực hiện hành;

– Trạng thái của chứng từ số còn hoạt động và sinh hoạt giải trí tại thời gian ký số;

– Chứng thư số được sử dụng đúng mục tiêu, phạm vi sử dụng.

đ) Cho phép kiểm tra tính toàn vẹn của thông điệp tài liệu ký số:

– Giải mã chữ ký số trên thông điệp tài liệu để sở hữu thông tin về mã băm;

– Sử dụng thuật toán hàm băm bảo vệ an toàn và uy tín đã tạo ra mã băm trên chữ ký số để thực thi tạo mã băm cho thông điệp tài liệu;

– So sánh sự trùng khớp của hai mã băm để kiểm tra tính toàn vẹn của thông điệp tài liệu ký số.

e) Chữ ký số trên thông điệp tài liệu là hợp lệ khi:

– Việc kiểm tra, xác thực được đúng thông tin người ký số;

– Chứng thư số của người ký số tại thời gian ký còn hiệu lực hiện hành;

– Xác minh chữ ký số trên thông điệp tài liệu đúng với khóa bí mật tương ứng với khóa công khai minh bạch trên giấy tờ số và thông điệp tài liệu đảm bảo tính toàn vẹn.

2. Chức năng tàng trữ và hủy bỏ những thông tin sau kèm theo thông điệp tài liệu ký số:

a) Các chứng từ số tương ứng với những chữ ký số trên thông điệp tài liệu ký số được gửi đến;

b) Các list chứng từ số tịch thu tại thời gian ký của tổ chức triển khai phục vụ xác nhận chữ ký số tương ứng với chữ ký số trên thông điệp tài liệu được gửi đến;

c) Quy chế xác nhận của những tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số cấp phép chứng từ số tương ứng với những chữ ký số trên thông điệp tài liệu được gửi đến;

d) Kết quả kiểm tra trạng thái chứng từ số tương ứng với chữ ký số trên thông điệp tài liệu được gửi đến.

3. Chức năng thay đổi (thêm, bớt) chứng từ số của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số.

4. Chức năng thông tin (bằng chữ/bằng ký hiệu) việc kiểm tra tính hợp lệ của chữ ký số là hợp lệ hay là không hợp lệ.

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 8. Tổ chức thực thi

1. Trung tâm Chứng thực điện tử vương quốc có trách nhiệm hướng dẫn thực thi những nội dung của Thông tư này.

2. Tổ chức phục vụ dịch vụ xác nhận chữ ký số công cộng, tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số chuyên dùng của cơ quan, tổ chức triển khai công bố những đặc tả kỹ thuật (tài liệu và bộ công cụ), chứng từ số tương quan đến tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số và những tiêu chuẩn chữ ký số trên trang tin điện tử của tổ chức triển khai phục vụ dịch vụ xác nhận chữ ký số.

3. Tổ chức, thành viên tăng trưởng ứng dụng, sử dụng chữ ký số có trách nhiệm tuân thủ những quy định về yêu cầu kỹ thuật, hướng dẫn sử dụng riêng với ứng dụng ký số, ứng dụng kiểm tra chữ ký số.

Điều 9. Điều khoản chuyển tiếp

Các cơ quan, tổ chức triển khai, thành viên đang sử dụng ứng dụng ký số, ứng dụng kiểm tra chữ ký số trước thời gian Thông tư này còn có hiệu lực hiện hành tiếp tục sử dụng cho tới lúc thay đổi, tăng cấp hoặc thay thế ứng dụng mới, tuân thủ quy định Thông tư này.

Điều 10. Hiệu lực thi hành

1. Thông tư này còn có hiệu lực hiện hành thi hành Tính từ lúc ngày thứ nhất tháng 11 năm 2020.

2. Chánh Văn phòng, Giám đốc Trung tâm Chứng thực điện tử vương quốc, Thủ trưởng những cty, cty thuộc Bộ, Giám đốc Sở tin tức và Truyền thông những tỉnh, thành phố trực thuộc Trung ương, tổ chức triển khai, thành viên có tương quan phụ trách thi hành Thông tư này.

3. Trong quy trình thực thi, nếu có trở ngại vất vả, vướng mắc, cơ quan, tổ chức triển khai, thành viên phản ánh kịp thời về Bộ tin tức và Truyền thông (Trung tâm Chứng thực điện tử vương quốc) để xem xét, xử lý và xử lý./.

Nơi nhận:– Thủ tướng, những Phó Thủ tướng nhà nước; – Các Bộ, cơ quan ngang Bộ, cơ quan thuộc nhà nước;– UBND những tỉnh, thành phố trực thuộc TW;– Sở TTTT những tỉnh, thành phố trực thuộc TW;– Sở Văn hóa, tin tức, Thể thao và Du lịch Bạc Liêu;– Cục Kiểm tra văn bản QPPL (Bộ Tư pháp);– Công báo, Cổng thông tin điện tử nhà nước;– Bộ TTTT: Bộ trưởng và những Thứ trưởng, những cty, cty thuộc Bộ; – Cổng thông tin điện tử Bộ;– Lưu: VT, NEAC (250).

BỘ TRƯỞNGNguyễn Mạnh Hùng

PHỤ LỤC

DANH MỤC TIÊU CHUẨN KỸ THUẬT VỀ CHỮ KÝ SỐ TRÊN THÔNG ĐIỆP DỮ LIỆU(Ban hành kèm theo Thông tư số 22/2020/TT-BTTTT ngày thứ 7 tháng 9 năm 2020 của Bộ trưởng Bộ tin tức và Truyền thông)

Số TT

Loại tiêu chuẩn

Ký hiệu tiêu chuẩn

Tên khá đầy đủ của tiêu chuẩn

Quy định vận dụng

1

Tiêu chuẩn về định dạng thông điệp tài liệu

1.1

Bộ ký tự và mã hóa

ASCII

American Standard Code for Information Interchange

Khuyến nghị vận dụng

1.2

Bộ ký tự và mã hóa cho tiếng Việt

TCVN

6909:2001

TCVN 6909:2001 “ Công nghệ thông tin-Bộ mã ký tự tiếng Việt 16-bit”

Bắt buộc vận dụng

1.3

Trình diễn bộ ký tự

UTF-8

8-bit Universal Character Set (UCS)/ Unicode Transformation Format

Khuyến nghị vận dụng

1.4

Ngôn ngữ định dạng thông điệp tài liệu

XML v1.0

(5th Edition)

Extensible Markup

Language version 1.0 (5th Edition)

Khuyến nghị vận dụng một trong hai tiêu chuẩn

XML v1.1

(2nd Edition)

Extensible Markup

Language version 1.1

1.5

Định nghĩa những lược đồ trong tài liệu XML

XML Schema version 1.1

XML Schema version 1.1

Khuyến nghị vận dụng

1.6

Trao đổi tài liệu đặc tả tài liệu XML

XML v2.4.2

XML Metadata Interchange version 2.4.2

Khuyến nghị vận dụng

2

Tiêu chuẩn về ký số, kiểm tra chữ ký số

2.1

Tiêu chuẩn về ký số trên thiết bị quản trị và vận hành khóa bí mật, ứng dụng ký số, tạo chữ ký số, chứng từ số, ứng dụng kiểm tra chữ ký số.

2.1.1

Thuật toán mã hóa

TCVN 7816:2007

Công nghệ thông tin. Kỹ thuật mật mã – thuật toán mã tài liệu AES

Khuyến nghị vận dụng

NIST 800-67

Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher

Khuyến nghị vận dụng

PKCS#1

RSA Cryptography Standard

(Phiên bản 2.1 trở lên)

Áp dụng, sử dụng lược đồ RSAES-OAEP để mã hoá

Độ dài khóa tối thiểu là 2048 bit

Khuyến nghị vận dụng

ECC

Elliptic Curve Crytography

Khuyến nghị vận dụng

2.1.2

Thuật toán chữ ký số

TCVN 7635:2007

Các kỹ thuật mật mã – Chữ ký số

– Áp dụng một trong ba tiêu chuẩn.

– Đối với tiêu chuẩn TCVN 7635:2007 và PKCS#1:

+ Phiên bản 2.1

+ Áp dụng lược đồ RSAES-OAEP để mã hoá và RSASSA-PSS để ký.

+ Độ dài khóa tối thiểu là 2048 bit

– Đối với tiêu chuẩn ECDSA: độ dài khóa tối thiểu là 256 bit

PKCS#1

RSA Cryptography Standard

ANSI X9.62-2005

Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA)

2.1.3

Hàm băm bảo vệ an toàn và uy tín

FIPS PUB 180-4

Secure Hash Algorithms

Áp dụng một trong các hàm băm sau: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256,SHA3-224, SHA3-256, SHA3-384, SHA3-512, SHAKE128, SHAKE256

FIPS PUB 202

SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions

2.1.4

An toàn trao đổi bản tin XML

XML Encryption Syntax and Processing

XML Encryption Syntax and Processing

Bắt buộc vận dụng

XML Signature Syntax and Processing

XML Signature Syntax and Processing

Bắt buộc vận dụng

2.1.5

Quản lý khóa công khai minh bạch bản tin XML

XKMS v2.0

XML Key Management Specification version 2.0

Bắt buộc vận dụng

2.1.6

Cú pháp thông điệp mật mã cho ký, mã hóa

PKCS#7 v1.5 (RFC 2315)

Cryptographic message syntax for file-based signing and encrypting version 1.5

Bắt buộc vận dụng

2.2

Tiêu chuẩn về ký số trên khối mạng lưới hệ thống thiết bị quản trị và vận hành khóa bí mật, chứng từ số và tạo chữ ký số theo quy mô ký số từ xa (remote signing)

2.2.1

Yêu cầu chủ trương và bảo mật thông tin an ninh cho sever ký số

ETSI TS 119 431-1

Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD/SCDev

Áp dụng cả bộ tiêu chuẩn 2 phần;

Phiên bản V1.1.1 (12/2018)

ETSI TS 119 431-2

Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation

2.2.2

Giao thức tạo chữ ký số

ETSI TS 119 432

Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation

Phiên bản V1.1.1 (03/2019)

2.2.3

Ứng dụng ký trên sever ký số

EN 419241-1:2018

Trustworthy Systems Supporting Server Signing – Part 1: General system security requirements

2.2.4

Yêu cầu cho mô đun ký số

EN 419241-2:2019

Trustworthy Systems Supporting Server Signing – Part 2: Protection Profile for QSCD for Server Signing

2.2.5

Yêu cầu bảo mật thông tin an ninh riêng với khối bảo mật thông tin an ninh phần cứng HSM

EN 419221-5:2018

Protection Profiles for TSP Cryptographic modules – Part 5: Cryptographic Module for Trust Services

3

Tiêu chuẩn kiểm tra trạng thái chứng từ số

3.1

Giao thức truyền, nhận chứng từ số và list chứng từ số bị tịch thu

RFC 2585

Internet X.509 Public Key Infrastructure – Operational Protocols: FTP and HTTP

Áp dụng một hoặc cả hai giao thức FTP và HTTP

3.2

Giao thức cho kiểm tra trạng thái chứng từ số trực tuyến

RFC 2560

X.509 Internet Public Key Infrastructure – On-line Certificate status protocol


Bạn đang mò mẩn bài Thông tư 22/2020/TT-BTTTT 2022

Với việc Bạn xem postt Thông tư 22/2020/TT-BTTTT Mới sẽ hỗ trợ ban làm rõ hơn về kiểu cách trò chơi play

Tài Game tài liệu Thông tư 22/2020/TT-BTTTT Free

Nếu Bạn đang tìm link google drive mega để Download Game tài liệu Thông tư 22/2020/TT-BTTTT Miễn phí mà chưa tồn tại link thì để lại phản hồi or tham gia Group zalo để được trợ giúp miễn phí
#Thông #tư #222020TTBTTTT