Môi giới chuyên nghiệp
Đăng xuất
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
...
...
...
SỬA ĐỔI 1:2026 QCVN 12:2022/BQP
QUY CHUẨN KỸ THUẬT QUỐC GIA
VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG TRONG CÁC SẢN
PHẨM
MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT LUỒNG
IP
SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS
Amendment
1:2026 QCVN 12:2022/BQP
National technical regulation on cryptographic technical
specification used in civil
cryptography products under IP security products group with IPsec and TLS
...
...
...
...
...
...
HÀ NỘI – 2026
Lời nói đầu
SỬA ĐỔI 1:2026 QCVN 12:2022/BQP do Ban Cơ yếu Chính phủ biên soạn, Ban Cơ yếu Chính phủ trình duyệt, Bộ Khoa học và Công nghệ thẩm định, Bộ trưởng Bộ Quốc phòng ban hành theo kèm Thông tư số 07/2026/TT-BQP ngày 20 tháng 01 năm 2026.
Sửa đổi 1:2026 QCVN 12:2022/BQP chỉ bao gồm nội dung sửa đổi, bổ sung một số quy định của QCVN 12:2022/BQP. Các nội dung không được nêu tại Sửa đổi 1:2026 này thì tiếp tục áp dụng QCVN 12:2022/BQP ban hành kèm theo Thông tư số 23/2022/TT-BQP ngày 04/4/2022 của Bộ trưởng Bộ Quốc phòng.
...
...
...
SỬA ĐỔI
1:2026 QCVN 12:2022/BQP
QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ ĐẶC TÍNH KỸ THUẬT MẬT MÃ SỬ DỤNG
TRONG CÁC SẢN PHẨM MẬT MÃ DÂN SỰ THUỘC NHÓM SẢN PHẨM BẢO MẬT
LUỒNG IP SỬ DỤNG CÔNG NGHỆ IPSEC VÀ TLS
Amendment
1:2026 QCVN 12:2022/BQP
National technical regulation on cryptographic technical
specification used in civil cryptography products
under IP security products group with IPsec and TLS
Thay thế mục 1.3 Tài liệu viện dẫn như sau:
“1.3 Tài liệu viện dẫn
Các tài liệu viện dẫn sau là cần thiết cho việc áp dụng quy chuẩn này. Trường hợp các tài liệu viện dẫn được sửa đổi, bổ sung hoặc thay thế thì áp dụng phiên bản mới nhất.
TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) “Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối”.
TCVN 12213:2018 (ISO/IEC 10116:2017) “Công nghệ thông tin-Các kỹ thuật an toàn-Chế độ hoạt động của mã khối n-bit”.
...
...
...
TCVN 11816 (ISO/IEC 10118) “Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm - Phần 3: Hàm băm chuyên dụng”.
TCVN 11495-1:2016 (ISO/IEC 9797-1:2011) “Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác nhận thông điệp”.
QCVN 12:2022/BQP “Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPSec và TLS.”
TCVN 14263:2024 “Công nghệ thông tin - Kỹ thuật an toàn - Thuật toán mã khối MKV.
National Institute of Standards and Technology, FIPS 186-5 “Digital Signature Standard (DSS)”, February 2023.
National Institute of Standards and Technology, FIPS 186-4 “Digital Signature Standard (DSS)”, July 2013.
National Institute of Standards and Technology, FIPS 180-4 “Secure Hash Standard (SHS)”, August 2015.
National Institute of Standards and Technology, FIPS 198-1 “The Keyed-Hash Message Authentication Code (HMAC)”, July 2008.
National Institute of Standards and Technology, FIPS 202 “SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions”, National Institute of Standards and Technology, August 2015.
...
...
...
[RFC 7091]: “GOST R 34.10-2012: Digital Signature Algorithm”, Internet Engineering Task Force (IETF), December 2013.
[RFC 6986]: “GOST R 34.11-2012: Hash Function”, Internet Engineering Task Force (IETF), December 2013.
[RFC 7801]: “GOST R 34.12-2015: Block Cipher “Kuznyechik””, Internet Engineering Task Force (IETF), March 2016.
[RFC 9058]: “Multilinear Galois Mode (MGM)”, Internet Engineering Task Force (IETF), June 2021.
[RFC 3566]: “The AES-XCBC-MAC-96 Algorithm and its Use With IPsec”, Internet Engineering Task Force (IETF), September 2003.
[RFC 4494]: “The AES-CMAC-96 Algorithm and its use with IPsec”, Internet Engineering Task Force (IETF), June 2006.
[RFC 4868]: “Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec”, Internet Engineering Task Force (IETF), May 2007.”
Thay thế mục 1.5 Chữ viết tắt như sau:
“1.5 Chữ viết tắt
...
...
...
Tên tiếng Anh
Tên tiếng Việt
AES
Advanced Encryption Standard
Tiêu chuẩn mã hóa tiên tiến
AH
Authentication Header
Xác thực header
CCM
...
...
...
Chế độ bộ đếm với xác thực thông báo kiểu CBC
CTR
Counter Mode
Chế độ bộ đếm
CTR_DRBG
Counter - Deterministic Random Bit Generator
Bộ tạo bit ngẫu nhiên tất định dựa trên bộ đếm
DRBG
Deterministic Random Bit Generator
...
...
...
EC
Elliptic Curve
Đường cong Elliptic
ECDH
Elliptic Curve Diffie-Hellman
Trao đổi khóa Diffie-Hellman dựa trên đường cong Elliptic
ECDSA
Elliptic Curve Digital Signature Algorithm
Thuật toán chữ ký số dựa trên đường cong Elliptic
...
...
...
Encapsulating Security Payload
Đóng gói an toàn dữ liệu
FFDH
Finite-Field Diffie-Hellman
Trao đổi khóa Diffie-Hellman dựa trên trường hữu hạn
FIPS
Federal Information Processing Standards
Tiêu
chuẩn xử lý thông tin liên bang
(Hoa Kỳ)
GCM
...
...
...
Chế độ bộ đếm Galois
GOST
Gosudarstvenny Standart
Tiêu chuẩn quốc gia Liên bang Nga
Hash_DRBG
Hash
Deterministic Random Bit
Generator
Bộ tạo bit ngẫu nhiên tất định dựa trên hàm băm
HMAC
Hashed
Message Authentication
Code
...
...
...
HMAC_DRBG
HMAC - Deterministic Random Bit Generator
Bộ tạo bit ngẫu nhiên tất định dựa trên
HMAC
IKE
Internet Key Exchange
Giao thức trao đổi khóa trên Internet
IP
Internet Protocol
...
...
...
IPsec
Internet Protocol Security
Giao thức bảo mật mạng IP
MGM
Multilinear Galois Mode
Chế độ Galois đa tuyến tính
MKV
Mã khối Việt Nam
...
...
...
Multivariate Quadratic Deterministic Random Bit Generator
Bộ tạo bit ngẫu nhiên tất định đa biến bậc hai
MS_DRBG
Micali-Schnorr Deterministic Random Bit Generator
Bộ tạo bit ngẫu nhiên tất định Micali-Schnorr
NIST
National Institute of Standards and
Viện Tiêu chuẩn và Công nghệ quốc
...
...
...
gia (Hoa Kỳ)
NRBG
Non-deterministic Random Bit Generator
Bộ tạo bit ngẫu nhiên bất định
RFC
Request for Comments
Đặc tả kỹ thuật do tổ chức IETF công bố
RSA
Rivest - Shamir - Adleman
...
...
...
SHA
Secure Hash Algorithm
Thuật toán băm an toàn
SP
Special Publication
Ấn phẩm đặc biệt (Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ)
TLS
Transport Layer Security
Bảo mật tầng giao vận
...
...
...
Tiêu chuẩn quốc gia
VPN
Virtual Private Network
Mạng riêng ảo
”
Thay thế mục 1.6 Ký hiệu như sau:
“1.6 Ký hiệu
...
...
...
Mô tả
nlen
Độ dài modulo theo bit hoặc độ dài theo bit của cấp của phần tử sinh
L
Đối với thuật toán FFDH: L là độ dài của tham số miền p theo bit
N
Đối với thuật toán FFDH: N là độ dài của tham số miền q theo bit
”
...
...
...
“2.1 Quy định chung
- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ IPsec VPN chỉ được phép sử dụng giao thức trao đổi khóa IKE phiên bản 2 (IKEv2) trở lên, giao thức đóng gói ESP.
- Đối với các sản phẩm mật mã dân sự sử dụng công nghệ TLS VPN chỉ được phép sử dụng giao thức phiên bản TLS 1.2 trở lên.”
“2.2.1.1 Thuật toán mật mã đối xứng
- Sử dụng thuật toán trong danh sách sau:
STT
Thuật toán
...
...
...
1
MKV
[TCVN 14263:2024]
2
AES
[TCVN 11367-3]
3
Kuznyechik
[GOSTR 34.12-2015],
[RFC 7801]
...
...
...
“2.2.1.2 Thuật toán mật mã phi đối xứng
- Sử dụng thuật toán trong danh sách sau:
STT
Thuật toán
Tham chiếu
1
RSA
...
...
...
2
FFDH
[SP 800-56A Rev. 3],
[RFC 2631],
[RFC 3526],
[RFC 7919]
3
ECDSA
[FIPS 186-5],
[RFC 6090],
[SP 800-186]
4
ECDH
[FIPS 186-5],
[SP 800-56A Rev. 3],
[SP 800-56C Rev. 2]
...
...
...
GOST R34.10-2012
[RFC 7091]
”
“2.2.1.3 Thuật toán băm
- Sử dụng thuật toán trong danh sách sau:
STT
Thuật toán
...
...
...
1
SHA-256, SHA-384, SHA-512/256, SHA-512
[FIPS 180-4],
[TCVN 11816-3]
2
SHA3-256, SHA3-384, SHA3-512
[FIPS 202]
3
GOSTR 34.11-2012
[RFC 6986]
...
...
...
“2.2.2.1 Thuật toán mật mã đối xứng
STT
Thuật toán
Kích thước khóa theo bit
Các chế độ cho phép sử dụng
Sử dụng đến năm
1
...
...
...
128
GCM, CCM, CTR
2028
192,256
2030
2
AES
128
GCM, CCM, CTR
...
...
...
192,256
2030
3
Kuznyechik
256
MGM, CTR
2030
CHÚ THÍCH:
Đối với thuật toán MKV, độ dài tham số, các chu trình tạo khóa, bộ tham số cụ thể trong quy chuẩn này áp dụng theo TCVN 14263:2024.
...
...
...
Đối với thuật toán Kuznyechik, độ dài tham số, các chu trình tạo khóa, bộ tham số cụ thể trong quy chuẩn này áp dụng theo GOST R 34.12-2015 (RFC 7801).
Các chế độ hoạt động của mã khối trong quy chuẩn này áp dụng theo TCVN 12213:2018, SP 800-38C, SP 800-38D, SP 800-38E, SP 800-38F, RFC 9058.
”
“2.2.2.2 Thuật toán mật mã phi đối xứng
STT
Thuật toán
Kích thước tham số theo bit
...
...
...
1
RSA
2048 ≤ nlen ≤ 3072
2028
nlen = 3072
2030
2
FFDH
2048 ≤ L ≤ 3072,
...
...
...
2030
3
ECDH,
ECDSA
250 ≤ nlen ≤ 384
2030
4
GOSTR 34.10-2012
nlen ≥ 256
2030
...
...
...
Đối với RSA và ECDSA, các tiêu chuẩn cho tham số an toàn, các thuật toán sinh khóa và các bộ tham số cụ thể trong quy chuẩn áp dụng theo FIPS 186-5.
Đối với FFDH, các tiêu chuẩn cho tham số an toàn, các thuật toán sinh khóa và các bộ tham số cụ thể trong quy chuẩn áp dụng theo NIST SP 800-56A Rev.3.
Đối với ECDH, các tiêu chuẩn cho tham số an toàn, các thuật toán sinh khóa và các bộ tham số cụ thể trong quy chuẩn áp dụng theo NIST SP 800-56A Rev.3 và NIST SP 800-56C Rev. 2.
Đối với GOST R 34.10-2012, các tiêu chuẩn cho tham số an toàn, các thuật toán sinh khóa và các bộ tham số cụ thể trong quy chuẩn này áp dụng theo GOST R 34.10-2012 (RFC 7091).
”
“2.2.2.3 Thuật toán băm
STT
...
...
...
Sử dụng đến năm
1
SHA-256, SHA-384, SHA-512/256, SHA-512
2030
2
SHA3-256, SHA3-384, SHA3-512
2030
3
GOSTR 34.11-2012
...
...
...
CHÚ THÍCH:
Đối với GOST R 34.11-2012, các tiêu chuẩn cho tham số an toàn và các bộ tham số cụ thể áp dụng theo
GOST R 34.11-2012 (RFC 6986).
”
Điều chỉnh thời hạn sử dụng từ năm “2027” thành năm “2030”.
“2.3.1 Quy định về an toàn sử dụng trong giao thức IPSec
...
...
...
- Không được phép sử dụng giao thức ESP chỉ có cơ chế xác thực dữ liệu.
- Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).”
“- Không được phép trao đổi khóa dựa trên thuật toán Diffie-Hellman trên trường hữu hạn sử dụng khóa cố định (Static Diffie-Hellman).
- Sử dụng định dạng chứng thư số X.509 v3 cho TLS (nếu có).
- Sử dụng giải pháp bảo vệ khóa được lưu trữ dạng tệp trên thiết bị (nếu có).
- Không được phép sử dụng phần mở rộng Heartbeat.
- Yêu cầu bổ sung đối với phiên bản TLS 1.3:
+ Không được phép sử dụng chế độ MAC-then-Encrypt (Non-AHEAD Ciphers).
...
...
...
+ Không được phép sử dụng lược đồ ký số/ xác thực RSASSA-PKCS1-v1_5.”
Thay thế mục 3 như sau:
“3.1 Các mức giới hạn của đặc tính kỹ thuật mật mã quy định tại quy chuẩn này là các chỉ tiêu an toàn phục vụ quản lý theo quy định về quản lý chất lượng sản phẩm mật mã dân sự được quy định của pháp luật.
3.2 Công bố hợp quy, chứng nhận hợp quy, kiểm tra chất lượng sản phẩm theo Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 của Bộ khoa học và Công nghệ quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp và Thông tư số 02/2017/TT-BKHCN ngày 31/3/2017 của Bộ khoa học và Công nghệ sửa đổi, bổ sung một số điều của Thông tư số 28/2012/TT-BKHCN ngày 12/12/2012 với tiêu chuẩn, quy chuẩn kỹ thuật, trong quy chuẩn này được thực hiện theo phương thức 1; Quản lý công bố hợp quy dựa trên kết quả chứng nhận của tổ chức chứng nhận được chỉ định theo quy định của pháp luật.
3.3 Dấu hợp quy được sử dụng trực tiếp trên sản phẩm hoặc trên bao gói hoặc trên nhãn gắn trên sản phẩm hoặc trong chứng chỉ chất lượng, tài liệu kỹ thuật của sản phẩm.
3.4 Ban Cơ yếu Chính phủ xem xét thừa nhận kết quả đánh giá sự phù hợp do tổ chức đánh giá sự phù hợp nước ngoài thực hiện đối với các sản phẩm mật mã dân sự thuộc trách nhiệm quản lý theo quy định.”
4 TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN
Thay thế Điều 4 như sau:
...
...
...
4.1 Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ là cơ quan tiếp nhận công bố hợp quy, kiểm tra nhà nước về chất lượng sản phẩm mật mã dân sự.
4.2 Các tổ chức, cá nhân có hoạt động sản xuất, kinh doanh sản phẩm mật mã dân sự thuộc phạm vi điều chỉnh của quy chuẩn này có trách nhiệm thực hiện các quy định về chứng nhận, công bố hợp quy và chịu sự kiểm tra của cơ quan quản lý nhà nước theo các quy định hiện hành.”
Thay thế Điều 5 như sau:
“5.1 Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng rà soát, sửa đổi, bổ sung hoặc ban hành thay thế quy chuẩn này để đảm bảo phù hợp với thực tiễn và đáp ứng yêu cầu quản lý.
5.2 Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã - Ban Cơ yếu Chính phủ có trách nhiệm hướng dẫn, tổ chức triển khai quản lý kỹ thuật mật mã theo quy chuẩn này.
5.3 Thanh tra, kiểm tra sản phẩm mật mã dân sự được cơ quan quản lý nhà nước có thẩm quyền tiến hành định kỳ hàng năm hoặc đột xuất.
5.4 Trong trường hợp các văn bản quy phạm pháp luật quy định tại quy chuẩn kỹ thuật này có sự thay đổi, bổ sung hoặc được thay thế thì thực hiện theo các văn bản mới. Trong trường hợp các tiêu chuẩn được viện dẫn trong quy chuẩn này có sự thay đổi, bổ sung, thay thế thì thực hiện theo hướng dẫn của Bộ Quốc phòng./.”
...
...
...
“PHỤ LỤC
(Quy định)
QUY ĐỊNH VỀ
MÃ HS CỦA SẢN PHẨM BẢO MẬT LUỒNG IP SỬ DỤNG CÔNG NGHỆ
IPSEC VÀ TLS
STT
Tên sản phẩm, hàng hóa theo QCVN
Mô tả đặc tính kỹ thuật mật mã
...
...
...
Mô tả sản phẩm hàng hóa
01
Sản phẩm bảo mật luồng IP
Sản phẩm sử dụng công nghệ VPN có bảo mật (IPSec VPN, TLS VPN) để đảm bảo an toàn, bảo mật cho dữ liệu truyền nhận trên môi trường mạng IP. Trong đó, sử dụng các thuật toán mã hóa đối xứng, thuật toán mã hóa phi đối xứng, thuật toán ký số, hàm băm mật mã để bảo mật, xác thực các thông tin truyền nhận trên môi trường mạng IP.
8471.30.90
Máy xử lý dữ liệu tự động và các khối chức năng của chúng; máy truyền dữ liệu lên các phương tiện truyền dẫn dữ liệu dưới dạng hàng hóa và máy xử lý những dữ liệu này, chưa được chi tiết hay ghi ở nơi khác gồm:
- Loại khác của hàng hóa là máy xử lý dữ liệu tự động loại xách tay, có trọng lượng không quá 10 kg, gồm ít nhất một đơn vị xử lý dữ liệu trung tâm, một bàn phím và một màn hình;
- Loại khác của hàng hóa chứa trong cùng một vỏ có ít nhất một đơn vị xử lý trung tâm, một đơn vị nhập và một đơn vị xuất, kết hợp hoặc không kết hợp với nhau;
- Loại khác, ở dạng hệ thống.
...
...
...
8471.41.90
03
8471.49.90
04
8517.62.42
Thiết bị dùng cho hệ thống hữu tuyến sóng mang hoặc hệ thống hữu tuyến kỹ thuật số của hàng hóa là máy thu, đổi và truyền hoặc tái tạo âm thanh, hình ảnh hoặc dạng dữ liệu khác, kể cả thiết bị chuyển mạch và thiết bị định tuyến gồm:
- Bộ tập trung hoặc bộ dồn kênh;
- Bộ điều khiển và bộ thích ứng (adaptor), kể cả cổng nối, cầu nối, bộ định tuyến và các thiết bị tương tự được thiết kế để kết nối với máy xử lý dữ liệu tự động thuộc nhóm 84.71;
- Loại khác.
...
...
...
8517.62.43
06
8517.62.49
07
8517.62.51
Thiết bị truyền dẫn khác kết hợp với thiết bị thu của hàng hóa máy thu, đổi và truyền hoặc tái tạo âm thanh, hình ảnh hoặc dạng dữ liệu khác, kể cả thiết bị chuyển mạch và thiết bị định tuyến gồm:
- Thiết bị mạng nội bộ không dây;
...
...
...
- Loại khác.
08
8517.62.53
09
8517.62.59
10
8517.62.61
Thiết bị truyền dẫn khác của hàng hóa máy thu, đổi và truyền hoặc tái tạo âm thanh, hình ảnh hoặc dạng dữ liệu khác, kể cả thiết bị chuyển mạch và thiết bị định tuyến gồm:
- Dùng cho điện báo hoặc điện thoại truyền dẫn dưới dạng sóng vô tuyến;
...
...
...
- Loại khác là thiết bị thu xách tay để gọi, báo hiệu hoặc nhận tin và thiết bị cảnh báo bằng tin nhắn, kể cả máy nhắn tin;
- Loại khác dùng cho điện báo hoặc điện thoại truyền dẫn dưới dạng sóng vô tuyến;
- Loại khác với hàng hóa thuộc nhóm 8517.62.61, 8517.62.69, 8517.62.91, 8517.62.92.
11
8517.62.69
12
8517.62.91
13
8517.62.92
...
...
...
8517.62.99
”
Bổ sung tài liệu sau vào mục Tài liệu tham khảo:
“[22] National Institute of Standards and Technology, Special Publication 800-56A Revision 3 “Recommendation for Pair-Wise Key Establishment Using Schemes using Discrete Logarithm Cryptography”, April 2018.
[23] National Institute of Standards and Technology, Special Publication 800-56C Revision 2 “Recommendation for Key-Derivation Methods in Key-Establishment Schemes”, August 2020.
[24] National Institute of Standards and Technology, Special Publication 800-186 “Recommendations for Discrete Logarithm-based Cryptography: Elliptic Curve Domain Parameters”, February 2023.
...
...
...
[26] Federal Office for Information Security, Technical Guideline TR-02102-2 “Cryptographic Mechanisms: Recommendations and Key Lengths”. 2025.
[27] Federal Office for Information Security, Technical Guideline TR-02102-3 “Cryptographic Mechanisms: Recommendations and Key Lengths”, 2025.”
