Gửi lúc: 28/12/2018 08:20:50
Bookmark and Share

Giới thiệu về NIST và một số tiêu chuẩn về bảo mật, an toàn thông tin

Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (National Institute of Standards and Technology - NIST) là cơ quan thuộc bộ phận Quản trị Công nghệ của Bộ Thương mại Mỹ (U.S. Department of Commerce). NIST được thành lập với nhiệm vụ chính thức là thúc đẩy sự đổi mới và cạnh tranh công nghiệp của Mỹ bằng cách cải tiến hệ thống đo lường, tiêu chuẩn và công nghệ để nâng cao nền kinh tế và cải thiện phúc lợi xã hội. Bài viết sẽ giới thiệu về NIST và một số tiêu chuẩn tiêu biểu thuộc lĩnh vực bảo mật và an toàn thông tin của NIST.

GIỚI THIỆU VỀ NIST 

Năm 1901, do một dự luật của Nghị sĩ James H. Southard (đại diện Bang Ohio) đề xuất, Cục Tiêu chuẩn Quốc gia (National Bureau of Standards) của Mỹ được thành lập với nhiệm vụ cung cấp các đo lường tiêu chuẩn và hoạt động như một phòng thí nghiệm vật lý quốc gia.

Cục Tiêu chuẩn được hình thành với vai trò là một cơ quan đo lường, được chỉ đạo thành lập các bộ phận nhằm phát triển các tiêu chuẩn thương mại về vật liệu và sản phẩm. Trong thế chiến thứ Nhất, Cục Tiêu chuẩn đã nghiên cứu nhiều vấn đề phục vụ sản xuất cho chiến tranh. Trong chiến tranh thế giới thứ Hai, các nghiên cứu và phát triển trong lĩnh vực quân sự được thực hiện.

Năm 1948, với sự tài trợ của Không quân Mỹ, Cục Tiêu chuẩn bắt đầu thiết kế và xây dựng máy tính SEAC (Máy tính tự động phía Đông tiêu chuẩn - Standards Eastern Automatic Computer). Máy tính đã đi vào hoạt động từ tháng 5/1950. Cùng thời điểm, SWAC (Máy tính tự động phía Tây tiêu chuẩn - Standards Western Automatic Computer) cũng được xây dựng tại văn phòng Los Angeles của Cục Tiêu chuẩn và được sử dụng để nghiên cứu.

Do nhiệm vụ thay đổi, vào năm 1988, Cục Tiêu chuẩn đã trở thành Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST). NIST có trụ sở chính tại thành phố Gaithersburg, bang Maryland và điều hành một cơ sở tại thành phố Boulder, bang Colorado.

Hiện nay, NIST có các phòng thí nghiệm:

- Công nghệ truyền thông (Communications Technology Laboratory);

- Kỹ nghệ (Engineering Laboratory);

- Công nghệ thông tin (Information Technology Laboratory);

- Đo lường vật liệu (Material Measurement Laboratory);

- Đo lường vật lý (Physical Measurement Laboratory).

NIST có 07 ủy ban thường trực để hỗ trợ ngành công nghiệp Mỹ, các Viện nghiên cứu và các phòng thí nghiệm khác của chính phủ Mỹ. Ngoài ra, NIST còn điều hành 02 cơ sở thí nghiệm đặc biệt: Trung tâm Nghiên cứu Neutron (NIST Center for Neutron Research) và Trung tâm Khoa học và Công nghệ Giới hạn nano (Center for Nanoscale Science and Technology).

MỘT SỐ TIÊU CHUẨN VỀ BẢO MẬT VÀ AN TOÀN THÔNG TIN CỦA NIST

NIST sử dụng một số dạng tài liệu để công bố, phổ biến các tiêu chuẩn và hướng dẫn mật mã. Cụ thể, NIST thường sử dụng ba loại ấn phẩm: các tiêu chuẩn xử lý thông tin liên bang (Federal Information Processing Standards - FIPS), các ấn phẩm đặc biệt (NIST Special Publications - NIST SP) và các báo cáo nội bộ/liên ngành (NIST Internal/Interagency Reports). Các tiêu chuẩn và hướng dẫn mật mã bản dự thảo và bản cuối được NIST công bố trên trang web của Trung tâm Tài nguyên An toàn Máy tính (Computer Security Resource Center) với địa chỉ http://www.csrc.nist.gov và cung cấp miễn phí cho công chúng. 

Các tiêu chuẩn xử lý thông tin liên bang (FIPS)
 

Theo quy chế liên bang, các ấn phẩm FIPS được phát hành bởi NIST sau khi được Bộ trưởng Bộ Thương mại phê duyệt và đây là yêu cầu bắt buộc đối với các hệ thống an ninh liên bang phi quốc gia. Chúng được sử dụng để NIST phát hành các tiêu chuẩn đối với các nguyên thủy mật mã cơ bản như các mã khối, các thuật toán chữ ký số và các hàm băm. Dưới đây là một số tiêu chuẩn tiêu biểu: 

- FIPS PUB 197 mô tả thuật toán mã khối AES;

- FIPS PUB 186-4 mô tả các tiêu chuẩn về chữ ký số (Digital Signature Standard - DSS), bao gồm lược đồ chữ ký số: DSA, RSA, ECDSA. Ngoài ra, trong FIPS 186-4 cũng đưa ra các tiêu chuẩn an toàn và thuật toán sinh các bộ tham số cho các lược đồ chữ ký số nêu trên; 

- FIPS PUB 180-4 mô tả tiêu chuẩn về hàm băm bao gồm các hàm băm: SHA-1, SHA-256, SHA-224, SHA-384 và SHA-512;

- FIP PUB 198-1 mô tả tiêu chuẩn mã xác thực thông báo hàm băm có khóa.

Các ấn phẩm đặc biệt (SP) 

NIST SP ghi lại các nghiên cứu, hướng dẫn và các nỗ lực tiếp cận về an toàn thông tin và an toàn máy tính. Các hướng dẫn mật mã trong sê-ri NIST SP 800 được xây dựng dựa trên các thành phần mật mã cốt lõi được chỉ ra trong FIPS và các ấn phẩm khác do các tổ chức phát triển tiêu chuẩn (Standards Development Organization - SDO) và NIST công bố. Ngoài ra, còn chỉ định thêm các thuật toán, lược đồ, cơ chế hoạt động của các thuật toán mật mã, cũng như các hướng dẫn sử dụng đối với chúng. Ví dụ, các ấn phẩm SP mật mã trong sê-ri NIST SP 800 xác định các bộ tạo bit ngẫu nhiên, các cơ chế hoạt động của mã khối, các lược đồ thiết lập khóa, các hàm dẫn xuất khóa. Các thuật toán và lược đồ sử dụng mã khối, hàm băm và nguyên thủy toán học trong các ấn phẩm FIPS như các khối xây dựng nền tảng. NIST cũng đưa ra các hướng dẫn về lựa chọn và sử dụng các thuật toán mật mã thông qua sê-ri NIST SP 800. Dưới đây là một số tiêu chuẩn tiêu biểu:

- NIST SP 800-185 mô tả các hàm dẫn xuất SHA-3: cSHAKE, KMAC, TupieHash, ParallelHash;

- NIST SP 800-184 hướng dẫn khôi phục sự kiện an toàn mạng;

- NIST SP 800-163 mô tả việc kiểm định, đánh giá an toàn ứng dụng di động;

- NIST SP 800-145 mô tả các khái niệm điện toán đám mây;

- NIST SP 800-133 đưa ra các khuyến cáo về sinh khóa mật mã;

- NIST SP 800-132 đưa ra các khuyến cáo về dẫn xuất khóa dựa trên mật khẩu;

- NIST SP 800-131 mô tả về các thuật toán và độ dài khóa mật mã;

- NIST SP 800-130 mô tả khung hình chung cho việc thiết kế các hệ thống quản lý khóa mật mã;

- NIST SP 800-95 hướng dẫn các dịch vụ web an toàn.

Các ấn phẩm NIST SP khác có thể tham khảo tại địa chỉ https://csrc.nist.gov/publications.

Các báo cáo nội bộ/liên ngành (NISTIR) 

NISTIR mô tả các nghiên cứu kỹ thuật tập trung vào các đối tượng đặc biệt. NIST không xác định các thuật toán mật mã trong các ấn phẩm NISTIR. Thay vào đó, NIST sử dụng các ấn phẩm NISTIR để phổ biến thông tin về các nỗ lực chuẩn hóa mật mã. Bộ phận An toàn Máy tính (Computer Security Division - CSD) đã sử dụng NISTIR để phát hành báo cáo của hội thảo, tài liệu thảo luận về các thách thức mới trong mật mã và báo cáo các cuộc thi về thuật toán mật mã. Các báo cáo NISTIR có thể xem tại địa chỉ https://csrc.nist.gov/publications/nistir.

Tất cả các ấn phẩm của NIST gồm các tiêu chuẩn hướng dẫn mật mã và ban đầu được đưa ra dưới dạng dự thảo để nhận ý kiến công chúng, mặc dù các ấn phẩm khác nhau có quy trình khác nhau. Vì FIPS đưa ra các quy định và các thuật toán mang tính bắt buộc trong nhiều công nghệ an ninh, an toàn quan trọng, nên yêu cầu có quy trình phát triển chính thức nhất. FIPS được phát triển bởi NIST và được phê chuẩn, ban hành bởi Bộ trưởng Bộ Thương mại. Các thông báo chính thức cho bản dự thảo cũng như bản cuối của FIPS được công bố trong Công báo Liên bang (Federal Register). Một phần vì quy trình chặt chẽ, nên FIPS có thời gian phát triển lâu hơn. Các ấn phẩm SP được ban hành bởi NIST, với các thông báo được đăng trên trang web của Trung tâm Tài nguyên An toàn Máy tính, nên có thời gian phát triển ngắn hơn. Điều này cũng đúng với hầu hết các ấn phẩm NISTIR có liên quan đến an toàn máy tính mà NIST xuất bản.

 
Tài liệu tham khảo 

1. NISTIR7977, NIST Cryptographic Standards and Guidelines Development Process, 2016.

2. https://www.nist.gov/itl/tig/about/overview

3. https://www.nist.gov/labs-major-programs

4. https://csrc.nist.gov/publications/sp800

5. https://www.nist.gov/itl/about-itl/itl-history-timeline

Hoàng Thị Thu Hằng