[ATTT số 5 (087) 2025] - Trong bối cảnh an ninh mạng ngày càng phức tạp, việc phụ thuộc vào các thuật toán mật mã quốc tế mà không có sự nghiên cứu, kiểm chứng độc lập tiềm ẩn nhiều rủi ro nghiêm trọng. Bài viết sẽ phân tích vai trò then chốt của các bộ sinh số ngẫu nhiên (RNG) trong hệ thống mật mã, chỉ ra những lỗ hổng hệ thống khi sử dụng các thuật toán “hộp đen” từ bên ngoài, đồng thời đưa ra bài học đắt giá từ tiêu chuẩn Dual_EC_DRBG của NIST. Qua đó khẳng định tầm quan trọng của việc tăng cường tính tự chủ trong nghiên cứu và triển khai mật mã, đặc biệt trong bối cảnh Việt Nam đang thúc đẩy chuyển đổi số.  

[ATTT số 2 (084) 2025] - Trong bối cảnh mối đe dọa từ máy tính lượng tử ngày càng hiện hữu, khả năng phá vỡ các thuật toán mã hóa truyền thống đang trở thành một mối quan ngại đối với an ninh quốc gia trên toàn cầu. Để đối phó với thách thức này, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã nghiên cứu và chuẩn hóa các thuật toán mã hóa hậu lượng tử (Post Quantum Cryptography - PQC) có khả năng chống lại sức mạnh tính toán vượt trội của máy tính lượng tử trong tương lai. Mới đây, một cột mốc quan trọng được đánh dấu khi NIST chính thức công bố việc lựa chọn thuật toán HQC, bổ sung vào danh mục PQC của mình. Bước tiến này không chỉ củng cố thêm tuyến phòng thủ cho việc bảo mật dữ liệu trực tuyến và thông tin lưu trữ, mà còn cho thấy sự chủ động trong việc xây dựng một tương lai số an toàn hơn trước những đột phá công nghệ tiềm ẩn.    

Trong thời gian gần đây, nhiều tiêu chuẩn mật mã hạng nhẹ đã được nghiên cứu và ban hành, đánh dấu một bước tiến quan trọng trong lĩnh vực an toàn thông tin. Sự ra đời của mật mã hạng nhẹ giúp khắc phục hạn chế về độ phức tạp tính toán cao của các thuật toán mật mã truyền thống, đặc biệt khi triển khai trên các thiết bị có tài nguyên hạn chế. Bài viết này cung cấp tổng quan về các tiêu chuẩn mật mã hạng nhẹ trên thế giới, đồng thời giới thiệu các chuẩn mật mã hạng nhẹ đã được phát triển và áp dụng tại Việt Nam.  

Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã chọn thuật toán thứ năm là HQC để bổ sung vào danh mục mật mã hậu lượng tử (Post Quantum Cryptography - PQC) của mình. Thuật toán này có thể cung cấp tuyến phòng thủ thứ hai cho nhiệm vụ mã hóa chung, bảo vệ lưu lượng truy cập Internet và dữ liệu được lưu trữ. Viện có kế hoạch ban hành dự thảo tiêu chuẩn HQC vào đầu năm 2026 và tiêu chuẩn hoàn thiện dự kiến ​​vào năm 2027.

Ngày nay, những vụ lộ, lọt thông tin cá nhân, tài chính gây chấn động toàn cầu, cho đến những cuộc bầu cử bị can thiệp, bí mật quốc gia bị rò rỉ đều nhanh chóng trở thành chủ đề thu hút trên các mặt báo lớn như The New Yorker, The Wall Street Journal… tất cả đều cho thấy an ninh mạng đang thực sự trở thành tâm điểm chú ý của toàn xã hội.

FIPS-140-3 là một tiêu chuẩn của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đưa ra các yêu cầu bảo mật toàn diện cho các mô-đun mật mã, nhằm đảm bảo tính mạnh mẽ và đáng tin cậy của chúng. Tiêu chuẩn này yêu cầu cho quá trình phát triển các mô-đun mật mã từ giai đoạn thiết kế đến kiểm thử và triển khai để bảo vệ dữ liệu nhạy cảm trong nhiều ứng dụng khác nhau. Bài báo sẽ nghiên cứu, phân tích tác động của FIPS-140-3, khám phá các vấn đề bảo mật chính và cung cấp góc nhìn về cách tiêu chuẩn này định hình quá trình phát triển mô-đun mật mã trong bối cảnh công nghệ phát triển hiện nay.

Bài báo giới thiệu các quan điểm mang tính phê phán của Markku-Juhani O. Saarinen về tài liệu NIST SP 800-22, cho rằng SP 800-22 đã bị lỗi thời so với SP 800-90. Việc đánh giá các bộ tạo và các dãy giả ngẫu nhiên nên dựa trên các nguyên tắc phân tích mật mã, chứng minh độ an toàn và phân tích thiết kế, từ đó xác nhận một cài đặt của thuật toán tạo số giả ngẫu nhiên dựa trên mã khối, hàm băm cần tập trung vào tính đúng đắn so với mô tả thuật toán chứ không phải vào tính ngẫu nhiên của đầu ra. Trong phiên bản mới của SP 800-22 nên tập trung vào việc đánh giá mô hình ngẫu nhiên cho các nguồn entropy; các “bộ tạo tham khảo” trong Phụ lục D của SP 800-22 đều không phù hợp để sử dụng trong mật mã hiện đại.

Hướng dẫn thực hiện giải pháp an ninh mạng từ Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) có thể giúp chủ khách sạn giảm thiểu rủi ro cho hệ thống quản lý tài sản khách sạn (PMS) - nơi lưu trữ thông tin cá nhân và dữ liệu thẻ tín dụng của nhiều khách hàng.

Xây dựng các nguồn entropy nhằm tạo ra các đầu ra không thể dự đoán được là rất khó, và đưa ra các chỉ dẫn cung cấp chỉ dẫn cho việc thiết kế và kiểm tra đánh giá chúng còn khó hơn nhiều. NIST đã phát hành tài liệu SP 800-90B nhằm giúp các nhà phát triển hiểu quy trình đánh giá, lập kế hoạch quy trình đánh giá và thực hiện đánh giá nguồn entropy sử dụng cho các bộ tạo số ngẫu nhiên, trong đó giả định rằng các nhà phát triển hiểu rõ cách xử lý của nguồn nhiễu trong nguồn entropy và nỗ lực để đưa ra nguồn entropy ngẫu nhiên. Bài viết dưới đây sẽ giới thiệu về mô hình và đánh giá nguồn entropy sử dụng cho các bộ tạo số ngẫu nhiên theo NIST.

Các sản phẩm bảo mật và an toàn thông tin (BM&ATTT) khi được triển khai để bảo vệ dữ liệu nhạy cảm thì người sử dụng đều muốn có được sự đảm bảo tối thiểu rằng nó có đầy đủ các tính năng an toàn như nhà sản xuất đã tuyên bố.