Hôm nay, 15/5/2015, Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng đã chủ trì hội thảo phổ biến Thông tư 06/2015/TT-BTTTT quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số (Thông tư 06) nhằm giúp cho các doanh nghiệp cung cấp dịch vụ chứng thực chữ ký số (CA) cùng các cơ quan, đơn vị có liên quan hiểu rõ và thực hiện có hiệu quả Thông tư này.
Phát biểu tại hội thảo, Thứ trưởng Nguyễn Minh Hồng cho biết, từ năm 2008, thực hiện Nghị định 26 ngày 15/2/2007 của Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số, Bộ TT&TT đã ban hành Quyết định 59/2008/QĐ-BTTTT của Chính phủ quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số (Quyết định 59).
Trong 7 năm thực hiện Quyết định 59, các CA đã triển khai hạ tầng chữ ký số và tổ chức cung cấp dịch vụ chứng thực chữ ký số tới khách hàng. Đến nay, đã có một hạ tầng tương đối hoàn chỉnh đảm bảo đáp ứng các nhu cầu sử dụng chữ ký số của người dân và nhu cầu cung cấp dịch vụ của các CA đã được cấp phép. Đặc biệt, đã có hơn 100.000 thuê bao ứng dụng chữ ký số trong các giao dịch điện tử với cơ quan nhà nước hoặc giữa các cá nhân với nhau.
Tuy nhiên, thời gian qua, hệ thống tiêu chuẩn quốc tế về an toàn, bảo mật thông tin luôn được cập nhật, bổ sung và nâng cấp để đảm bảo mức độ, yêu cầu an toàn thông tin ngày càng cao. Sau 7 năm thực hiện, Bộ TT&TT nhận thấy quy định tại Quyết định 59 cần phải được rà soát, sửa đổi và bổ sung cho phù hợp với xu hướng phát triển công nghệ, đồng thời đáp ứng nhu cầu thực tiễn.
Thông tư 06 đã được Bộ trưởng TT&TT Nguyễn Bắc Son ký ban hành ngày 23/3/2015, áp dụng với các tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, cung cấp dịch vụ chứng thực chữ ký số công cộng, cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được Bộ TT&TT cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số cũng như các tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được Bộ TT&TT cấp giấy công nhận.
Thứ trưởng Nguyễn Minh Hồng cũng nhấn mạnh, Thông tư mới ban hành đã bổ sung, cập nhật những tiêu chuẩn mới nhằm tăng cường tính an toàn, bảo mật của chữ ký số và dịch vụ chứng thực chữ ký số.
Đại diện Vụ Khoa học và Công nghệ (KH&CN) thuộc Bộ TT&TT cho biết, Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số ban hành kèm theo Thông tư 06 cập nhật, bổ sung một số tiêu chuẩn như: tiêu chuẩn yêu cầu an toàn đối với thẻ Token và Smart card; thay thế tiêu chuẩn mật mã đối xứng FIPS PUB 46-3 (DES) bằng tiêu chuẩn NIST 800-67 (3DES); bổ sung tiêu chuẩn giao diện giao tiếp với các thẻ mật mã PKCS#11 phiên bản 2.20; thêm tiêu chuẩn giao thực cho kiểm tra trạng thái chứng thư số trực tuyến RFC 2560…
Chính thức có hiệu lực thi hành kể từ ngày 15/9/2015, Thông tư 06 sẽ thay thế cho Quyết định 59. Thông tư 06 nêu rõ, Quyết định 59 sẽ hết hiệu lực từ ngày15/9/2015, trừ quy định về “Hàm băm bảo mật” tại mục 2.3 của Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số ban hành kèm theo Quyết định 59 tiếp tục có hiệu lực đến hết ngày 31/3/2016. Cụ thể, theo Vụ KH&CN, từ 15/9/2015, đến hết ngày 31/3/2016, hàm băm SHA-1 vẫn có thể được sử dụng hoặc CA chọn sử dụng SHA-2 theo quy định tại Thông tư 06. Sau ngày 31/3/2016, sẽ chuyển sang sử dụng hàm băm SHA-2.
Vụ KH&CN lưu ý, thời gian tới các CA cần rà soát cơ sở hạ tầng của mình theo tiêu chuẩn quy định tại Thông tư 06, từ đó xây dựng kế hoạch rà soát, chuyển đổi, nâng cấp hệ thống (cả hệ thống thiết bị của CA và thiết bị khách hàng); đồng thời xây dựng kế hoạch thông tin tuyên truyền cho khách hàng về ý nghĩa của việc áp dụng tiêu chuẩn mới, quyền lợi của khách hàng…
Theo kế hoạch, trước ngày 15/9/2015, các CA phải chuẩn bị cơ sở hạ tầng để đáp ứng các tiêu chuẩn quy định tại Thông tư 06; và cho thiết lập, vận hành chạy thử. Từ ngày 15/9/2015, các CA phải đảm bảo duy trì hệ thống hỗ trợ các tiêu chuẩn mới và các tiêu chuẩn cũ để đảm bảo duy trì dịch vụ bình thường của khách hàng; chỉ phát triển thuê bao và cung cấp thiết bị thuê bao mới theo tiêu chuẩn quy định tại Thông tư 06.
Đáng chú ý, theo đại diện Vụ KH&CN, thiết bị khách hàng đang sử dụng không bắt buộc phải nâng cấp hoặc thay thế để đáp ứng tiêu chuẩn thuộc Danh mục mới ban hành. Hệ thống thiết bị của các CA và ứng dụng bên thứ ba phải hỗ trợ khách hàng cả tiêu chuẩn cũ và tiêu chuẩn mới quy định tại Thông tư 06 để đảm bảo duy trì dịch vụ bình thường của khách hàng. Đồng thời, các CA phải tuyên truyền về việc áp dụng tiêu chuẩn mới và hỗ trợ khách hàng tự nguyện chuyển đổi, nâng cấp theo nhu cầu.