Tư liệu nước ngoài: Chính sách kiểm soát mật mã của Liên bang Nga

09:55 | 30/05/2014

Nghị định (ngày 16/04/2012) của Liên bang Nga, chỉ quy định về các sản phẩm mật mã dùng để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

Liên bang Nga đã ban hành Nghị định mới về “Cấp phép hoạt động chế tạo, sản xuất, phân phối các thiết bị mật mã, các hệ thống thông tin và viễn thông sử dụng thiết bị mật mã, các hoạt động sản xuất, kinh doanh, dịch vụ trong lĩnh vực mã hóa thông tin, hỗ trợ kỹ thuật các hệ thống viễn thông có sử dụng thiết bị mật mã” (trừ trường hợp các hỗ trợ kỹ thuật trang thiết bị mật mã, hệ thống thông tin và viễn thông có sử dụng thiết bị mật mã để đảm bảo cho các nhu cầu riêng của các công ty, tổ chức). Nghị định này (ngày 16/04/2012),chỉ quy định về các sản phẩm mật mã dùng để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

Nghị định quy định hai nội dung quản lý là sản phẩm mật mã và các hoạt động sản xuất, kinh doanh, dịch vụ mật mã; đưa ra danh mục các sản phẩm mật mã phải chịu sự quản lý theo Nghị định và danh mục các sản phẩm mật mã không chịu sự điều chỉnh của văn bản này.

1. Trong đó, các sản phẩm mật mã (bao gồm cả các “nguyên liệu” mật mã liên quan) chịu sự quản lý, được phân loại như sau:

a. Sản phẩm mã dữ liệu: các thiết bị mật mã phần cứng, phần mềm và phần cứng-mềm thực hiện các thuật toán biến đổi mật mã để hạn chế sự truy cập tới thông tin trong quá trình lưu trữ, xử lý và truyền tải;

b. Sản phẩm chống giả mạo: các thiết bị mật mã phần cứng, phần mềm và phần cứng-mềm (không gồm các thiết bị mã dữ liệu) thực hiện các thuật toán biến đổi mật mã để bảo vệ thông tin khỏi sự giả mạo và bị sửa đổi, nhằm đảm bảo tính tin cậy, tính không thể sửa đổi cũng như đảm bảo khả năng phát hiện các thay thế, sửa đổi và giả mạo thông tin;

c. Các sản phẩm chữ ký điện tử;

d. Sản phẩm mã hóa sử dụng phương pháp chuyển mã (coding): các thiết bị mật mã mà thành phần biến đổi mật mã  để mã hóa thông tin của nó sử dụng các phép biến đổi thủ công, hoặc dùng các thiết bị tự động hóa để thực hiện các thao tác này;

e. Sản phẩm sinh khóa mật mã: các thiết bị mật mã phần cứng, phần mềm và phần cứng-mềm đảm bảo khả năng sinh hoặc dẫn xuất khóa mã cho các thiết bị mật mã mà không nằm trong thành phần của các thiết bị mật mã này;

f. Nguyên liệu khóa: dữ liệu điện tử trên bất kỳ loại thiết bị lưu trữ thông tin nào cũng như các tài liệu lưu trữ trên giấy chứa các thông tin về khóa bị hạn chế truy cập, dùng cho các biến đổi mật mã trong các thiết bị mật mã;

g. Các sản phẩm mật mã dựa trên cứng: thiết bị và các thành phần của nó (trong đó gồm cả các thông tin khóa) đảm bảo khả năng biến đổi thông tin theo các thuật toán mật mã mà không sử dụng chương trình phần mềm máy tính;

h. Các sản phẩm mật mã dựa trên phần mềm: các chương trình cho máy tính và các phần của nó (cả các phần chứa thông tin khóa) đảm bảo khả năng biến đổi thông tin theo các thuật toán mật mã trong các thiết bị phần cứng-mềm, các hệ thống thông tin và viễn thông sử dụng thiết bị mật mã;

i. Các sản phẩm mật mã cứng-mềm: thiết bị và các thành phần của nó, cả các phần chứa thông tin khóa (không kể các hệ thống thông tin và viễn thông) đảm bảo khả năng biến đổi thông tin theo các thuật toán mật mã sử dụng các chương trình cho máy tính.

2. Trong Nghị định cũng đưa ra một danh mục các thiết bị mật mã, mà việc sản xuất, kinh doanh không chịu sự điều chỉnh của văn bản này, bao gồm một số các sản phẩm chính như sau:

a. Các sản phẩm mật mã cũng như các sản phẩm có chứa thiết bị mật mã thực hiện: (1) thuật toán mật mã đối xứng với độ dài khóa không lớn hơn 56 bit, hoặc (2) thuật toán mật mã không đối xứng dựa trên bài toán phân tích số không lớn hơn 512 bit, hoặc (3) thuật toán mật mã không đối xứng dựa trên bài toán logarit rời rạc trên trường hữu hạn, kích thước không lớn hơn 512 bit, hoặc (4) thuật toán mật mã không đối xứng dựa trên bài toán logarit rời rạc của các trường khác không lớn hơn 112 bit.

b. Sản phẩm chứa thành phần mật mã có chức năng: (1) xác thực trong việc quản lý truy cập mà không thực hiện mã hóa file hay văn bản (không kể mã hóa mật khẩu, số định danh cá nhân hay các dữ liệu để bảo vệ chống truy cập trái phép), hoặc (2) chữ ký điện tử (không phải sản phẩm chữ ký điện tử riêng biệt).

c. Các sản phẩm mà mật mã là các thành phần của các hệ điều hành với khả năng mật mã của nó không thể bị thay đổi bởi người dùng, được xây dựng để người dùng tự cài đặt không cần sự hỗ trợ đặc biệt nào bởi bên cung cấp, các tài liệu kỹ thuật (mô tả thuật toán mật mã, các giao thức, mô tả giao diện,…) của chúng có thể tiếp cận được.

d. Các thẻ smart-card cá nhân (thẻ thông minh) dùng để sử dụng truy cập một cách đại chúng mà khả năng mật mã của nó không thể truy cập bởi người dùng và chúng được chế tạo đặc biệt chỉ có khả năng bảo vệ có hạn các thông tin cá nhân được lưu trữ trên đó.

e. Các thiết bị thu sóng radio, tivi thương mại hay các thiết bị thương mại tương tự để phát trong phòng mà không có mã hóa tín hiệu số (không kể trường hợp sử dụng mật mã chỉ để điều khiển các kênh video, audio và gửi kết quả hay trả lại thông tin liên quan tới chương trình cho nhà cung cấp).

f. Các sản phẩm mà khả năng mật mã của nó không thể truy cập bởi người dùng, được chế tạo và hạn chế đặc biệt để thực thi các chức năng sau: bảo vệ chống sao chép để bảo vệ quyền tác giả....

Bên cạnh đó, văn bản cũng liệt kê các hoạt động chế tạo, sản xuất, sửa chữa, chuyển giao (kinh doanh) sản phẩm và dịch vụ mật mã phải được cơ quan có thẩm quyền cấp phép, bao gồm:

- Chế tạo, sản xuất, cải biến, sửa chữa, cài đặt, thiết lập, hiệu chỉnh các sản phẩm mật mã.

- Sửa chữa, bảo dưỡng, cài đặt, thiết lập, hiệu chỉnh các hệ thống thông tin, hệ thống viễn thông được bảo vệ bằng sản phẩm mật mã.

- Chuyển giao sản phẩm mật mã, hệ thống thông tin, hệ thống viễn thông được bảo vệ bằng sản phẩm mật mã.

- Cung cấp dịch vụ mã hóa, chống giả mạo đối với thông tin không thuộc bí mật nhà nước sử dụng sản phẩm mật mã.

- Cung cấp cho các cá nhân, tổ chức pháp lý các kênh liên lạc được bảo vệ bằng sản phẩm mật mã để truyền tải thông tin.

Như vậy, tại liên bang Nga, việc chế tạo, sản xuất, phân phối các sản phẩm mật mã được quản lý khá chặt chẽ, thông qua các giấy phép kinh doanh và giấy chứng nhận chất lượng sản phẩm.

Bên cạnh đó, việc kiểm định, đánh giá chất lượng sản phẩm, dịch vụ mật mã cũng phải tuân thủ một quy trình tương đối chặt và do Cơ quan quản lý nhà nước về mật mã của Liên bang Nga (FSB) thực hiện.

Liên Bang Nga quy định phải có giấy phép nhập khẩu đối với mật mã sản xuất ở nước ngoài. Các tổ chức và doanh nghiệp nhà nước phải được cấp phép để sử dụng mật mã (cả hai loại mật mã dùng để xác thực và loại bảo mật).

Hiện nay, Nga đã ký Thỏa thuận Wassenaar, nhưng không áp dụng quy định loại trừ kiểm soát xuất khẩu đối với Phần mềm mật mã thông dụng được đề cập trong Thỏa thuận. Các quy định của Nga về kiểm soát xuất khẩu, nhập khẩu chặt chẽ và nghiêm ngặt hơn rất nhiều so với quy định về nội dung này trong thỏa thuận Wassenaar. Nơi cấp phép cho các hoạt động này là Cơ quan An ninh Liên bang Nga (FSB).

Đã từ lâu mật mã được đưa vào danh mục kiểm soát vũ khí của nhiều nước. Hiệp ước COCOM (Ủy ban điều phối kiểm soát xuất khẩu đa phương) quy định Danh mục Vũ khí quốc tế, trong đó có quy định về việc sử dụng mật mã (mã hóa, xác thực, toàn vẹn). COCOM giải thể năm 1994, đến năm 1996, 33 nước đã ký kết Thỏa thuận Wassenaar về Kiểm soát xuất khẩu Vũ khí thường, Hàng hóa công nghệ có 2 mục đích sử dụng. Hàng hóa có 2 mục đích sử dụng là những sản phẩm có thể được sử dụng cho cả mục đích thương mại và quân sự. Các sản phẩm, dịch vụ mật mã được coi là một dạng hàng hóa loại này.

Đã có 41 nước ký Thỏa thuận Wassenaar, thực hiện kiểm soát xuất khẩu mật mã bao gồm các nước: Ác-hen-ti-na, Úc, Áo, Bỉ, Bun-ga-ri, Canada, Croatia, Séc, Đan Mạch, Estonia, Phần Lan, Pháp, Đức, Hy ạp, Hungary, Ailen, Ý, Nhật Bản, Latvia, Lithuania, Hàn Quốc, Luxembourg, Malta, Mexico, Hà Lan, New Zealand, Na Uy, Ba Lan, Bồ Đào Nha, Rumani, Nga, Slovakia, Slovenia, Nam phi, Tây Ban Nha, Thụy Điển, Switzerland ,Thổ Nhĩ Kỳ, Ucraina, Anh, Mỹ.

Tuy nhiên 5 nước thành viên là Úc, Pháp, New Zealand, Nga và Mỹ áp dụng quy định về kiểm soát xuất khẩu mật mã chặt chẽ hơn quy định chung của Thỏa thuận Wassenaar.