By: nrad6949 
on 26 May 2016 - 12:53
Tags:
เครือข่ายพลเมืองเน็ต หรือ Thai Netizen รายงานว่าได้พบเอกสารนำเสนอซึ่งระบุชื่อของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (กระทรวงไอซีที) โดยเอกสารดังกล่าวได้เสนอให้มีการแก้ไขมาตรา 20 ของร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฉบับใหม่ ที่อยู่ระหว่างการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) โดยให้อำนาจแก่รัฐมนตรีในการออกประกาศระงับข้อมูลที่ส่งด้วยวิธีการเข้ารหัสที่อาศัยเทคโนโลยี SSL (Secure Sockets Layer)
ตามข้อเสนอนี้ รัฐมนตรีจะมีอำนาจในการประกาศหลักเกณฑ์รวมถึงแนวทางในการปฏิบัติ เพื่อจัดการกับข้อมูลที่เผยแพร่โดยอาศัยการเข้ารหัสผ่าน SSL ด้วยวิธีการพิเศษได้ ซึ่งหากผู้ให้บริการอินเทอร์เน็ตไม่ดำเนินการตาม จะมีความผิดตามร่างพ.ร.บ. ฉบับใหม่นี้ โดยความเคลื่อนไหวล่าสุดนี้ สอดคล้องกับการจัดตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ เมื่อต้นปีที่แล้ว ซึ่งมีการทดสอบระบบติดตามสื่อออนไลน์ที่มีการเข้ารหัสป้องกันผ่าน SSL
เครือข่ายพลเมืองเน็ตระบุว่า หากมีการนำมาใช้จริง จะทำให้สามารถเข้าถึงข้อมูลที่เข้ารหัสได้ทุกชนิด ไม่เจาะจงเฉพาะเพียงเนื้อหาที่ผิดกฎหมายหรือศีลธรรมเท่านั้น
เพิ่มเติม จากความเห็นของคุณ Ford Antitrust ด้านล่าง ระบุว่าในเอกสารรวมถึง Public-key encryption ซึ่งแปลว่าไม่ใช่แค่ SSL เท่านั้น แต่ TLS หรือ PGP อาจเข้าข่ายด้วย (อ่านข้อมูลประกอบเพิ่มเติมได้ที่นี่)
ที่มา - เครือข่ายพลเมืองเน็ต
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ใช้ TLS ได้สินะ
ในเอกสารเหมือนยกตัวอย่าง และกล่าวถึง Public-key encryption ซึ่งผมมองว่า TLS ก็เข้าข่ายและ PGP ที่เข้ารหัสข้อความที่มักใช้ในอีเมลก็อาจรวมด้วยครับ (ตอนออกเป็นกฎหมายอาจใช้คำที่กว้างกว่าอย่าง Public-key encryption เพื่อที่เผื่อไว้สำหรับอนาคต หากมีเทคโนโลยีเข้ารหัสอื่นๆ ที่ใช้หลักการเดียวกันบน protocal อื่นๆ)
จากข่าวต้นทางระบุว่าเป็น SSL อย่างเดียว เลยขอยึดจากข่าวก่อนนะครับ
I'm ordinary man; who desires nothing more than just an ordinary chance to live exactly what he likes and do precisely what he wants.
ตกลงว่ามีเครื่องมือถอดรหัส TLS ได้สมบูรณ์แล้วหรอ หรือว่าใช้วิธี Man in the middle แล้วบังคับประชาชนทุกคนลง Cert ปลอม
ถ้าทำจริงก็ต้องเป็นแบบนั้นครับ
นั่นหมายถึงฉิบหายทุกย่อมหญ้า
ผมนี่ รอดักข้อมูล ธนาคารเลยครับ
cert แห่งชาติ?
ถ้าเอาตามความต้องการที่เขียนมา คงต้องบังคับใช้ cert ปลอมทั้งประเทศ?
คนออกประกาศรู้หรือเปล่าว่ามันทำไม่ได้จริงในทางปฏิบัติ...
ความกลัว ทำให้เสื่อม
แล้วถ้าเปิดใช้งาน Perfect Forward Secrecy หล่ะ ><"
ทหารยังอยู่ก็คงมีกตหมายงอกออกมาอีกแหละครับ
ขึ้นบัดใดสู่คอมมิวนิส ลาว (เลือกผู้นำบางกลุ่มไม่ใด้) จีน (ปิดหูปิดตา)
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
แล้ว พณ ท่านมีอำนาจ เข้าถึง servr ที่อยู่ต่างประเทศได้
มุมมองผมคืออย่าไปตื่นตกใจกับเรื่องแบบนี้มาก เพราะถ้านโยบายรัฐคือต้องบล็อคได้ตามใจ (เช่นทุกวันนี้) การตั้งคณะทำงานหรือเสนอซื้อเครื่องอะไรมาเพิ่มเติมก็ไม่ใช่เรื่องน่าแปลกใจ
ในแง่เทคโนโลยี เราควรรู้ข้อจำกัดของเทคโนโลยีในตัวมันเอง มันไม่มีการเข้ารหัสจำนวนบิตเยอะๆ แบบในหนังแล้วไม่มีใครถอดรหัสได้อะไรแบบนั้น เทคโนโลยีมีความซับซ้อนกว่านั้น
อย่าง TLS ไม่ได้ปกปิดว่า "เรากำลังคุยกับใคร" ข้อมูลโดเมนปลายทางเป็นข้อมูลเปิดเผย สามารถดังฟังได้จากทั้งการขอ DNS และหัว SNI (กำลังอยู่ระหว่างการวางมาตรฐานเพิ่มเติมปกปิด) หรือสุดท้ายข้อมูลไอพีก็เปิดเผยอยู่ดี นอกจากจะใช้ TOR
การติดตั้ง root CA เองไม่ใช่การโจมตีแปลกประหลาด ของพวกนี้มีการใช้งานกันในองค์กรเป็นเรื่องปกติสำหรับองค์กรที่ต้องควบคุมข้อมูลเข้าออก การสื่อสารออกไปคงเป็นประเด็นว่าถ้าในอนาคตมีการบังคับติดตั้งจริง ผลกระทบคืออะไรบ้าง การออกใบรับรองโดย CA ที่ไม่ถูกต้องเป็นเรื่องยากมากในช่วงหลังๆ การลงโทษจากฝั่งเบราว์เซอร์รุนแรงและตรวจพบได้เร็ว แม้จะมีความเป็นไปได้แต่ก็น่าจะไม่คุ้มค่านัก
lewcpe.com, @wasonliw
+1 ครับ ผมเองก็อยากจะพูดแบบนี้ แต่ว่าไม่รู้จะพูดยังไงดี
ทำไมผมอ่านถึงตรงนี้ แล้วนึกถึงประกาศร่างขอบเขตของงาน (Term of Reference) หละเนี่ย 5555+
root CA ในองค์กร เกิดได้และถูกกฎหมาย(ไทย) เนื่องจากในสัญญาจ้างจะมีระบุว่า การใช้company resource ต้องทำไปเพื่อการทำงานขององค์กรเท่านั้น ใช้ในเรื่องส่วนตัวถือว่าผิด ฉะนั้นการสอดส่องการใช้งานต่างๆของเครือข่ายในองค์กร ก็ถือว่าไม่ผิด เพราะเป็นการสอดส่องการทำงาน(เขาอ้างว่าเพื่อการmonitor การไหลของข้อมูลลับในการทำงาน ว่ารั่วไหลหรือไม่) ถ้าใครนำไปใช้ส่วนตัวก็ถือว่าผิดกฎบริษัทแต่แรก (เคยเจอหลายบ. remote มา capture หน้าจอของพนักงานโดยไม่รู้ตัวด้วยซ้ำ ส่วนใหญ่ที่เจอคือแอบเล่นเกม ก็โดนกล่าวโทษพักงานกันไป)
แต่ในตปท.เคสนี้อาจถือว่าละเมิดความเป็นส่วนตัว เพราะการใช้email ส่วนตัวในที่ทำงานผ่านpc ของที่ทำงานผ่านinternet ของที่ทำงานเป็นสิทธิ์ส่วนตัว(?)ที่ละเมิดไม่ได้ ส่วนการใช้ทรัพยากรขององค์กรเพื่อธุระส่วนตัวก็เป็นการละเมิดอีกส่วนหนึ่ง ที่ต้องฟ้องร้องแยกตะหาก(คือฟ้องว่าละเมิดใช้ของบ.เพื่อส่วนตัวได้ แต่ไปบังคับสอดส่องไม่ได้?)
แต่พอกลับมามอง scale ระดับประเทศ ผมเข้าใจว่าบางประเทศก็บังคับ root CA ทั้งประเทศกันมาแล้ว ก็เป็นเรื่องในแง่ว่า ประชาชนเป็นเพียงทรัพยากรของท่านผู้นำ เลยต้องโดนสอดส่องได้ตลอดเวลาหรือไม่?
อีกมุมหนึ่ง ผมว่าการดัก หรือตรวจ ว่าคนคนนี้เล่นเวบอะไร ยังไม่น่ากลัวเท่าการบังคับถอดรหัส เพื่อตรวจสอบว่าคนคนนี้ส่งหรือรับข้อความอะไรนะครับ
ต่างประเทศเท่าที่ผมเคยเจอข่าวว่าละเมิดความเป็นส่วนตัว มีแต่เกิดจากไม่ได้แจ้งพนักงานเพียงพอนะครับ (อย่างไรจึงเพียงพอ แต่ละประเทศคงต่างกันไป)
แต่ประเด็นที่ผมจะบอกคือมันไม่ใช่ความมหัศจรรย์อะไร เหมาะสมหรือไม่อีกเรื่อง แต่มันมีใช้งานกัน, เทคนิคพวกนี้มีข้อจำกัดในตัวเอง (ส่วนมากคือตรวจจับได้ง่าย ยิ่งวงใหญ่ยิ่งเจอง่าย) และซอฟต์แวร์เข้ารหัสเอง "รองรับ" กระบวนการพวกนี้ในตัวเอง
ถ้าจะตื่นเต้นราวกับกระบวนการเข้ารหัสจะล่มสลายเพราะมีคนทำเรื่องพวกนี้ มันจะเป็นการตื่นตูมเกินไป
lewcpe.com, @wasonliw
ไม่ได้ตื่นเต้นในแง่ว่าระบบเข้ารหัสจะใช้ไม่ได้
เพราะถ้าโดนบังคับ root CA ระดับประเทศ นั่นคือรัฐถือกุญแจ จะแอบดูใครก็ได้ตามใจชอบ โดยไม่มีใครรับประกันความปลอดภัยในแง่ที่ว่าจะไม่โดนขโมยข้อมูลที่ไม่เกี่ยวข้องกับคดีน่ะสิครับ
และถึงขนาดจะใส่มาในกฎหมาย แสดงว่าเขาก็เตรียมพร้อมระดับนึงที่จะปิดประเทศในแง่ของการสื่อสารเลยทีเดียว...
โอเค ผมพอเข้าใจมุมมองของคุณล่ะครับ แต่มุมมองของผมคือการปักใจเชื่อว่าจะมีการบังคับติดตั้ง root CA จากคำพูดกว้างๆ แบบนี้ดูจะเร็วไปหน่อย และไม่มีอะไรบอกชัดว่าจะใช้แนวทางนี้
แต่แน่นอน เราควรถามหาความชัดเจนจากหน่วยงานรัฐ จะหยุดที่ตรงไหน ถ้าเทคโนโลยีไม่เปิดช่องให้ทำอย่างที่หวัง จะมีขอบเขตไหม
lewcpe.com, @wasonliw
ล่าสุด กฎของ ธปท. ออกมากำชับ บังคับแล้ว ไม่ให้ ธนาคารใดๆในประเทศ ใช้หรือเก็บ ข้อมูลในระบบ cloud service ทุกรูปแบบ
การใช้งาน Cloud Computing ถูกกำกับดูแลด้วยแนวทาง IT Outsourcing แต่ต้องไปดูเป็นกรณีว่าจะเข้า Critical IT Outsourcing ด้วยหรือไม่ แต่ต้องขอ ธปท ใช้งานเป็นรายกรณีไป ไม่ใช่ปิดทาง แต่ต้องมีการกำกับดูแล
"ประกาศระงับข้อมูลที่ส่งด้วยวิธีการเข้ารหัส"
ระงับหมายถึง Block ไม่ใช่เหรอครับ ไม่ได้แปลว่ามีสิทธ์เข้ามาอ่านหรือ Man in the middle
ระงับ ก็แสดงว่าคุณไม่สามารถใช้การเข้ารหัสในการเชื่อมต่อได้ ต้องเชื่อมต่อแบบ plain text ธรรมดา
ในอีกแง่ ก็คือเขาดูคุณได้ง่ายขึ้นโดยไม่ต้องไปถอดกุญแจอะไรเลย
และจริงๆในประโยคนี้ "รัฐมนตรีอาจประกาศกำหนดหลักเกณฑ์ ระยะเวลาและแนวทางการปฏิบัติสำหรับการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการให้เป็นไปในแนวทางเดียวกันภายใต้พัฒนาการทางเทคโนโลยีที่เปลี่ยนไป เช่น ข้อมูลคอมพิวเตอร์ที่เข้ารหัสด้วยเทคโนโลยี SSL (Secure Socket Layer) ซึ่งถูกสร้างขึ้นมาเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ตที่มีการเข้ารหัสแบบ Public-key encryption นั้น จำเป็นต้องมีวิธีการและเครื่องมือพิเศษในการดำเนินการจึงจะสามารถกระทำได้สำเร็จ …”
อาจตีความแบบกว้างได้ว่า การบังคับให้ใช้ root CA ของทางการ ก็เป็นมาตรการเพื่อป้องกันการหลีกเลี่ยงการระงับของการเข้ารหัสด้วยเช่นกัน โดยถือเป็นวิธีการและเครื่องมือพิเศษ ที่เขียนเอาไว้แล้ว
The Great China Wall Model
จัดมาเลยใช้ TOR ตั้งแต่ข่าว SGW แล้ว:3
ค่อยๆรัดครับ
จนหายใจไม่ออกนั่นแหละครับ