Tính năng bảo mật thẻ thông minh

Một phần của tài liệu Nghiên cứu thẻ thông minh và ứng dụng vào an toàn trong thông tin di động (Trang 36)

Tiêu chuẩn chung về đánh giá bảo mật của các công nghệ thông tin (Common Criteria for Information Technology Security Evaluation) thường được gọi tắt là Common Criteria hay CC là một chuẩn quốc tế (ISO/IEC 15408) về chứng nhận bảo mật máy tính. CC bảo đảm rằng quá trình xây dựng đặc điểm kỹ thuật, thực hiện và đánh giá của một sản phẩm bảo mật

máy tính được tiến hành một cách nghiêm ngặt và đúng tiêu chuẩn. CC có nguồn gốc từ 3 chuẩn là ITSEC (chuẩn của châu Âu được xây dựng vào đầu những năm 90 bởi Pháp, Đức, Hà Lan và Anh), CTCPEC (chuẩn của Canada) và TCSEC (chuẩn của Mỹ). CC đề ra 7 mức độ đánh giá (Evaluation Assurance Level hay EAL) từ EAL1 (mức cơ bản nhất) đến EAL 7 (mức nghiêm ngặt nhất). Thỏa thuận công nhận tiêu chuẩn chung (Common Criteria Recognition Arrangement hay CCRA) cho phép mỗi bên thành viên công nhận các đánh giá theo chuẩn CC của các bên còn lại. Vào thời điểm hiện tại, các thành viên của CCRA bao gồm 26 nước : Úc, New Zealand, Áo, Canada, CH Séc, Đan Mạch, Phần Lan, Pháp, Đức, Hy Lạp, Hungary, Ấn Độ, Isreal, Ý, Nhật Bản, Hàn Quốc, Malaysia, Hà Lan, Nauy, Pakistan, Singapo, Tây Ban Nha, Thụy Điển, Thổ Nhĩ Kỳ, Anh, Mỹ. Kể từ cuối năm 2008, phiên bản CC 3.1 đã thay thế phiên bản cũ CC 2.3. Tại mỗi nước thành viên, việc thực hiện, kiểm tra và cấp giấy chứng nhận CC được quản lý bởi một tổ chức, ví dụ như tại Pháp là Cơ quan Quốc gia về An ninh Hệ thống Thông tin (ANSSI), tại Đức là Văn phòng Liên bang An ninh Thông tin (BSI), tại Mỹ là Viện Tiêu chuẩn và Công nghệ (NIST) và Cơ quan An ninh Quốc gia (NSA) … Danh sách các phòng thí nghiệm được cấp giấy phép thực hiện các đánh giá CC có thể tìm thấy trên trang web của tổ chức Tiêu chuẩn chung [CC].

Tiêu chuẩn FIPS-140 (Federal Information Processing Standardization 140) được ban hành bởi Viện Tiêu chuẩn và Công nghệ Mỹ (NIST) với mục đích phối hợp các yêu cầu và tiêu chuẩn cho mô-đun mật mã, bao gồm cả phần cứng và phần mềm. Phiên bản đầu tiên FIPS-140-1, ban hành vào năm 1994, đã được phát triển bởi chính phủ và một nhóm công nghiệp bao gồm các nhà cung cấp và người sử dụng các thiết bị mã hóa. Phiên bản tiếp theo FIPS-140-2 được ban hành vào 2001 dựa trên những thay đổi về mặt công nghệ cũng như những góp ý từ các nhà cung ứng, trung tâm đánh giá và cộng đồng. Phiên bản này đề ra 4 mức độ bảo mật. FIPS-140-3 là phiên bản mới của chuẩn và đang trong quá trình xây dựng. Trong phiên bản nháp đầu tiên của FIPS-140-3, ban hành vào tháng 12/2009, NIST đã giới thiệu một phần mới về bảo mật phần mềm, bổ sung một mức độ an toàn mới (mức độ 5) cũng như những yêu cầu mới liên quan đến tấn công không xâm nhập (Simple Power Analysis và Differential Power Analysis).

Các tiêu chuẩn của MasterCard, VISA, EMVCo: Các hiệp hội thẻ như MasterCard, EMVCo, VISA cũng đề ra các quy định và quá trình đánh giá nhằm đảm bảo rằng sản phẩm thẻ thông minh của một nhà cung cấp thẻ tuân thủ các nguyên tắc và hướng dẫn về bảo mật của họ.

Các nguyên tắc bảo mật được cập nhật khi các mối đe dọa về bảo mật và các tiềm năng tấn công mới được ghi nhận. Do đó, các chứng nhận cũng sẽ được cập nhật tương ứng với các nguyên tắc mới này. Quá trình đánh giá được thực hiện trong các phòng thí nghiệm được hiệp hội thẻ công nhận, trong đó có nhiều phòng thí nghiệm nằm trong danh sách được cấp phép để thực hiện đánh giá CC.

Thẻ thông minh đã, đang và sẽ phát triển với tốc độ nhanh chóng cả về số lượng và các ứng dụng ở mọi nơi, mọi lúc trong cuộc sống. Vì vậy, bảo mật thẻ thông minh đang là một vấn đề thu hút sự quan tâm không chỉ của người sử dụng mà còn của toàn bộ các mắt xích trong ngành công nghiệp thẻ thông minh, từ nhà sản xuất chip, đến nhà sản xuất thẻ và nhà cung cấp dịch vụ thẻ. Một sản phẩm thẻ thông minh nếu không qua được quá trình đánh giá theo một tiêu chuẩn nhất định và có được giấy xác nhận về mức độ bảo mật mong muốn sẽ gây ra nhiều hậu quả nghiêm trọng về thời gian và tài chính cho các nhà sản xuất và cung cấp.

Một phần của tài liệu Nghiên cứu thẻ thông minh và ứng dụng vào an toàn trong thông tin di động (Trang 36)