Tags:
Node Thumbnail

Cloudflare ประกาศเปิดตัวไลบรารีภาษา Go ในชื่อ CIRCL อิมพลีเมนต์กระบวนการเข้ารหัสแบบใหม่ๆ ไว้หลายตัวนอกเหนือจากกระบวนการเข้ารหัสยอดนิยมที่มักอิมพลีเมนต์อยู่ในไลบรารี x/crypto อยู่แล้ว

Tags:
Node Thumbnail

Cloudflare และหน่วยงานพันธมิตรอีก 4 หน่วยงานเปิดตัว League of Entropy บริการสร้างเลขสุ่มที่เชื่อถือได้ โดยให้บริการผ่าน API โดยสร้างเลขสุ่มทั้งแบบสาธารณะเปิดเผยข้อมูลโดยทั่วไป และแบบส่วนตัวสำหรับใช้งานเฉพาะเช่นการสร้างกุญแจลับ

Tags:
Node Thumbnail

Yubico ผู้ผลิตกุญแจยืนยันตัวตนรายงานปัญหาบั๊กในกุญแจ YubiKey ซีรีส์ FIPS ที่รันเฟิร์มแวร์เวอร์ขัน 4.4.2 และ 4.4.4 ที่ตัวเลขที่ถูกสร้างขึ้นไม่ได้ถูกสุ่มขึ้นมาทั้งหมด โดยปัญหานี้เกิดขึ้นเฉพาะการสุ่มตัวเลขครั้งแรกทุกครั้งหลังเสียบกุญแจ

Yubico ระบุว่ากุญแจแบบ RSA ตัวเลขที่ไม่สุ่มอยู่ที่ไม่เกิน 80 บิตจาก 2056 บิต ขณะที่กุญแจแบบ ECDA และ ECC จะหนักหน่อยเพราะไม่สุ่มไป 80 บิตจาก 256 บิต ส่วนทางแก้ปัญหาทาง Yubico ระบุว่าได้แจ้งลูกค้า เรียกคืนกุญแจเก่าและเปลี่ยนเป็นกุญแจรุ่นใหม่ให้บ้างแล้ว

อย่างไรก็ตามกุญแจ FIPS เวอร์ชัน 4.4.5 และกุญแจรุ่นอื่นๆ ของ YubiKey ไม่ได้รับผลกระทบใดๆ

Tags:
Node Thumbnail

ไมโครซอฟท์เปิดงาน BUILD ด้วยการประกาศโครงการ ElectionGuard ที่เป็นชุดพัฒนาซอฟต์แวร์ (SDK) เพื่อเปิดทางให้หน่วยงานรัฐสามารถสร้างซอฟต์แวร์เลือกตั้งที่สามารถตรวจสอบได้

โจทย์การออกแบบระบบเข้ารหัสสำหรับการเลือกตั้งนั้นเป็นหนึ่งในโจทย์ที่ซับซ้อนของวงการวิทยาการเข้ารหัสลับ เพราะการเลือกตั้งต้องไม่เปิดทางให้ผู้ดูแลระบบหรือใครก็ตามที่ถือข้อมูลเลือกตั้งสามารถตรวจสอบได้ว่าผู้ลงคะแนนเสียงเลือกใครบ้าง

ชุดซอฟต์แวร์ ElectionGuard ใช้กระบวนการเข้ารหัสลับในกลุ่ม homomorphic encryption ที่เปิดให้ผู้มีสิทธิ์สามารถ "ประมวลผล" ข้อมูลโดยไม่ต้องถอดรหัสข้อมูล ในกรณีนี้คือกรรมการการเลือกตั้งสามารถ "นับ" ผลการลงคะแนนเสียงได้โดยไม่สามารถถอดรหัสได้ว่าใครลงคะแนนเสียงอย่างไร

Tags:
Topics: 
Node Thumbnail

เมื่อเดือนเมษายน 1999 Ron Rivest (ตัว R ใน RSA) ได้ตั้งโจทย์ถอดรหัสลับด้วยกระบวนการใน "Time-lock puzzles and timed-release Crypto" ที่ออกแบบกระบวนการเข้ารหัสที่ถอดรหัสด้วยการประมวลผลขนานได้ยากอย่างยิ่ง ทำให้สามารถคาดเดาเวลาที่จะถอดรหัสได้ผ่านทาง Moore's Law จากนั้นเข้ารหัสข้อความภาษาอังกฤษไว้โดยปรับความยากไว้ที่ 35 ปี ทำให้คาดว่าจะถอดรหัสได้ในปี 2034

Bernard Fabrot โปรแกรมเมอร์ชาวเบลเยียมสามารถถอดรหัสได้สำเร็จเป็นคนแรก โดยใช้คอมพิวเตอร์ Intel Core i7-6700 บ้านๆ ร่วมกับไลบรารี GNU GMP รันแก้สมการมานาน 3 ปีครึ่งจนได้เฉลยในที่สุด

Tags:
Node Thumbnail

GCHQ หน่วยงานข่าวกรองสหราชอาณาจักรแบบเดียวกับ NSA ของสหรัฐฯ ประกาศปล่อยโค้ดเครื่องเข้าและถอดรหัสที่สำคัญในสมัยสงครามโลกครั้งที่สอง คือ Enigma, Bombe, และ Typex

Enigma คงเป็นเครื่องเข้ารหัสและถอดรหัสที่ผู้คนได้ยินชื่อกันมากที่สุด เพราะเป็นเครื่องเข้ารหัสของเยอรมันที่ฝั่งสหรัฐฯ และสหราชอาณาจักรพยายามถอดรหัส ขณะที่เครื่อง Bombe เป็นเครื่องถอดรหัส Enigma สร้างโดย Gordon Welchman ที่ทำงานถอดรหัสให้สหราชอาณาจักรช่วงสงครามโลกเช่นเดียวกับ Alan Turing แต่เป็นที่รู้จักน้อยกว่ามาก และเครื่อง Typex เป็นเครื่องเข้ารหัสแบบเดียวกับ Enigma แต่เพิ่มจำนวน rotor เพื่อเพิ่มความปลอดภัย และใช้งานโดยสหรัฐฯ และสหราชอาณาจักร ตลอดจนพันธมิตรอื่น เช่น นิวซีแลนด์

Tags:
Node Thumbnail

อัลกอริธึมเข้ารหัสพร้อมตรวจสอบความถูกต้องจะใช้สำหรับการเข้ารหัสข้อมูล โดยเมื่อผู้รับถอดรหัสแล้วจะทราบทันทีว่าเป็นข้อความต้นฉบับหรือไม่ ต่างจากการเข้ารหัสปกติที่หากใช้กุญแจผิดจะได้ข้อมูลขยะออกมา ในปัจจุบันที่นิยมใช้กันคือ AES-GCM ที่ใช้ใน TLS 1.2

โครงการประกวด CAESAR ได้ประกาศผลอัลกอริธึมเข้ารหัสแบบยึนยันตน (Authenticated Encryption) ที่ชนะการประกวด แบ่งตามประเภทการใช้งานดังนี้

Tags:
Node Thumbnail

กระบวนการอัพเดตวินโดวส์ในปัจจุบันรองรับค่าแฮชทั้ง SHA-1 และ SHA-2 หากใช้วินโดวส์รุ่นเก่าอย่าง Windows 7 SP1, Windows Server 2008 R2 SP1 และ Windows Server 2008 SP2 ที่ไม่รองรับ SHA-2 ก็จะได้อัพเดตที่ยืนยันความถูกต้องของไฟล์อัพเดตด้วยการเซ็นยืนยันโค้ดแบบ SHA-1

ล่าสุดไมโครซอฟท์ประกาศว่าหลังจากเดือนกรกฎาคม 2019 เป็นต้นไป กระบวนการอัพเดตวินโดวส์ของไมโครซอฟท์จะใช้เฉพาะค่าแฮช SHA-2 เท่านั้น ทำให้เครื่องที่รันวินโดวส์เวอร์ชันที่รองรับ SHA-1 จะไม่ได้รับอัพเดต โดยไมโครซอฟท์ให้เหตุผลด้านความปลอดภัยของ SHA-1 ทำให้มาตรฐานอุตสาหกรรมขยับไป SHA-2 และ SHA-3 กันหมดแล้ว

Tags:
Node Thumbnail

การเข้ารหัสสตอเรจสำหรับโทรศัพท์และพีซีเริ่มได้รับความนิยมอย่างกว้างขวางในช่วงหลัง เช่น ไอโฟนนั้นเมื่อตั้งรหัสล็อกหน้าจอก็จะเป็นการเข้ารหัสเครื่องไปพร้อมกัน สำหรับแอนดรอยด์เองก็มักเปิดการเข้ารหัสได้แทบทุกรุ่นแล้ว ยกเว้นโทรศัพท์รุ่นล่างมากๆ หรือกล่องทีวีแอนดรอยด์ เช่นชิป Cortex-A7 ที่ไม่มีส่วนเร่งความเร็วการเข้ารหัส ทำให้ความเร็วต่ำเกินยอมรับได้ โดยอาจจะเหลือเพียง 20MB/s เท่านั้น ตอนนี้กูเกิลก็ออกแบบโหมดการเข้ารหัสที่ยังพอยอมรับได้ และประสิทธิภาพดีพอสำหรับโทรศัพท์เหล่านี้ เรียกว่า Adiantum

Tags:
Node Thumbnail

Zcash Company รายงานถึงช่องโหว่ของกระบวนการ zk-SNARK ที่ใช้ตรวจสอบความถูกต้องของรายการโอนเงินโดยไม่ต้องเปิดเผยยอดเงิน หรือหมายเลขบัญชีต้นทางและปลายทางออกสู่สาธารณะ โดยช่องโหว่นี้พบโดย Ariel Gabizon นักวิทยาการเข้ารหัสลับของ Zcash Company เอง

zk-SNARK ที่ Zcash ใช้มีการปรับปรุงประสิทธิภาพ และ Gabizon พบช่องโหว่ที่ทำให้แฮกเกอร์สามารถหลอกว่ามีเงินเพิ่มเข้ามาในระบบได้

Gabizon พบช่องโหว่เมื่อวันที่ 1 มีนาคม 2018 แล้วแจ้ง Sean Bowe นักวิทยาการเข้ารหัสลับอีกคนของบริษัทเพื่อตรวจสอบช่องโหว่นี้ เมื่อยืนยันช่องโหว่แล้วจึงแจ้ง Zooko Wilcox ซีอีโอของ Zcash Company ซึ่ง Zooko แจ้ง Nathan Wilcox CTO ของ Zcash Company อีกที ทำให้รวมมีคนรู้ช่องโหว่นี้ 4 คน

Tags:
Node Thumbnail

SSD รุ่นสูงๆ หลายรุ่นมักโฆษณาว่ามีความสามารถเข้ารหัสดิสก์ในตัว แต่งานวิจัยล่าสุดจากทีมวิจัย มหาวิทยาลัย Radboud ในเนเธอร์แลนด์ พบว่ากระบวนการเข้ารหัสจากผู้ผลิตดิสก์มักมีอ่อนแอ แฮกเกอร์สามารถกู้กุญแจเข้ารหัสได้โดยง่าย

ทีมงานทดสอบ SSD จำนวน 7 รุ่นจาก Crucial และ Samsung พบว่ามีช่องโหว่จำนวนมาก ดิสก์บางรุ่นไม่ได้เข้ารหัสกุญแจถอดรหัสดิสก์ด้วยรหัสผ่าน เมื่อนักวิจัยรีเซ็ตรหัสผ่านของเฟิร์มแวร์ก็สามารถถอดรหัสดิสก์ได้ทันที

Tags:
Node Thumbnail

APNIC ประกาศเปลี่ยนกระบวนการเก็บรหัสผ่านจากเดิมใช้ค่าแฮชของ MD5 หรือ crypt มาเป็น bcrypt โดยผู้ใช้ที่เปลี่ยนรหัสผ่านหลังจากนี้จะได้รับค่า auth ตัวใหม่ พร้อมกับประกาศว่าทาง APNIC จะบังคับให้รหัสผ่านทั้งหมดเป็น bcrypt ในอนาคต ผู้ดูแลระบบควรเปลี่ยนรหัสแต่เนิ่นๆ

Tags:
Node Thumbnail

ช่วงสัปดาห์ที่ผ่านมา มีรายงานถึงงานวิจัยด้านคณิตศาสตร์ที่ตีพิมพ์ออกมาในปีนี้ ระบุถึงรูปแบบของตัวเลขจำนวนเฉพาะ ว่าสามารถมองเป็นเหมือนการหักเหของแสงเมื่อผ่านผลึกคริสตัล และบางเว็บคาดเดาถึงผลกระทบว่าอาจจะทำให้กระบวนการเข้ารหัส ซึ่งใช้จำนวนเฉพาะอย่างหนัก ว่าอาจจะอ่อนแอลงได้ เช่น Science Alert ระบุ (อย่างผิดๆ) ว่ากระบวนการเข้ารหัส RSA อาศัยความสุ่มของตัวเลขจำนวนเฉพาะ

Tags:
Node Thumbnail

OpenSSL ไลบรารีเข้ารหัสยอดนิยมออกรุ่น 1.1.1 เป็นรุ่น LTS ซัพพอร์ตระยะยาว 5 ปี โดยมีฟีเจอร์สำคัญคือการรองรับ TLS 1.3

ภายในมีความเปลี่ยนแปลงตัวสร้างเลขสุ่ม โดยตัวเริ่มต้นจะเป็น AES-CTR DRBG ตามมาตรฐาน NIST SP 800-90Ar1 (รุ่นถอดการเข้ารหัส Dual_EC_DRBG ของ NSA ไปแล้ว) สำหรับกระบวนการเข้ารหัส รองรับกระบวนการใหม่ๆ หลายตัว เช่นแฮช SHA3, ลายเซ็นดิจิตอล Ed25519 และ Ed448, SipHash

ในส่วนของ TLS 1.3 ในโค้ดรองรับ ciphersuite 5 แบบ แต่เปิดเป็นค่าเริ่มต้น 3 แบบ ได้แก่ TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256

Tags:
Node Thumbnail

มาตรฐาน TLS 1.3 แก้ไขมานานและผ่านโหวตไปตั้งแต่เดือนมีนาคมที่ผ่านมา ตอนนี้ก็ได้เลข RFC เป็นทางการคือ RFC8446 นับเป็นเวลาสิบปีพอดีหลังจาก TLS 1.2 หรือ RFC5246

แม้ว่าตัวมาตรฐานจะเพิ่งออกเป็นทางการ แต่ในความปฎิบัติไลบรารีจำนวนมากรองรับฟีเจอร์ต่างๆ ของ TLS 1.3 อยู่ก่อนแล้ว เช่น Chrome นั้นรองรับมาตั้งแต่ Chrome 56 และเปิดใช้งานเป็นค่าเริ่มต้นมาตั้งแต่ Chrome 63

Tags:
Node Thumbnail

ลินุกซ์กำลังออกเคอร์เนลเวอร์ชั่น 4.18 เร็วๆ นี้ ฟีเจอร์หนึ่งที่น่าสนใจคือ กระบวนการเข้ารหัสแบบ Speck จาก NSA ที่จะเป็นตัวเลือกสำหรับระบบไฟล์เข้ารหัส

กระบวนการเข้ารหัส Simon & Speck เป็นโครงการโอเพนซอร์สที่ NSA พยายามผลักดันมานาน โดยมันเป็นกระบวนการเข้ารหัสสำหรับอุปกรณ์ขนาดเล็กมาก เช่น โหนดเซ็นเซอร์ IoT ทั้งหลาย กูเกิลส่งแพตช์เข้าไปยังลินุกซ์ตั้งแต่ต้นปีที่ผ่านมา โดยยอมรับว่ากระบวนการเข้ารหัส Speck นั้นถูกวิจารณ์อย่างกว้างขวาง โดยเฉพาะเมื่อมันถูกปฎิเสธไม่ให้เข้าเป็นมาตรฐาน ISO อย่างไรก็ตาม ในอุปกรณ์ขนาดเล็กราคาถูก เช่นโทรศัพท์มือถือที่ใช้ชิป ARMv7 กระบวนการเข้ารหัสอื่นๆ กลับทำความเร็วไม่ดีพอ หรือไม่ก็ความปลอดภัยต่ำเกินไป

Tags:
Node Thumbnail

ผู้พัฒนาแอปจำนวนมากมักใช้บริการ push ข้อความจากบริการคลาวด์ต่างๆ เช่น Firebase Cloud Messaging (FCM) ปัญหาอย่างหนึ่งคือหากข้อความเป็นความลับมากๆ นักพัฒนาจะต้องเชื่อใจบริการ push เหล่านั้นไปด้วย ตอนนี้กูเกิลก็ออกไลบรารีเข้ารหัสจากปลายทางถึงปลายทาง ทำให้สามารถใช้ FCM ได้โดยไม่ต้องเปิดเผยข้อความให้เซิร์ฟเวอร์ของกูเกิลอีก โดยใช้ชื่อโครงการ Capillary

ตัวไลบรารี Capillary ให้บริการหลายอย่าง เช่น เป็นไลบรารีเข้ารหัสที่ทำงานได้ตั้งแต่ Android Kitkat ขึ้นมา, รองรับกระบวนการสร้างกุญแจและลงทะเบียนกุญแจ, เข้ารหัสข้อความจากเซิร์ฟเวอร์และถอดรหัสบนไคลเอนต์ (โทรศัพท์), ป้องกันการแก้ไขข้อมูล, และป้องกันการอ่านข้อความหากอุปกรณ์ล็อกหน้าจออยู่

Tags:
Node Thumbnail

ISO องค์กรมาตรฐานอุตสาหกรรมตัดสินไม่รับข้อเสนอมาตรฐาน ISO 29192-2/AMD1 (Simon & Speck) ที่เสนอโดย NSA หลังจากทาง NSA พยายามผลักดันมาตรฐานนี้มาตั้งแต่ปี 2013

Simon & Speck เป็นกระบวนการเข้ารหัสแบบบล็อคสำหรับอุปกรณ์ขนาดเล็ก กินพลังงานต่ำ และพลังประมวลผลต่ำ

Tomer Ashur ตัวแทนจากเบลเยี่ยมออกมาแสดงความเห็นถึงการปฏิเสธครั้งนี้ ว่า NSA มีส่วนอย่างมาก เพราะพฤติกรรมตัวแทนจาก NSA ที่ดูถูกผู้เชี่ยวชาญคนอื่นว่าไม่มีความเชี่ยวชาญเพียงพอ หลังจากถูกตั้งคำถามว่าเลือกค่าคงที่ต่างๆ เข้ามาอย่างไร

Tags:
Node Thumbnail

ความนิยมในธุรกิจขุดเหมืองคริปโตเพื่อทำกำไร จำเป็นต้องใช้พลังงานจำนวนมากเพื่อประมวลผล และในประเทศไอซ์แลนด์ที่มีประชากรแค่ 340,000 คน สัดส่วนการใช้พลังงานจากธุรกิจขุดเหมืองกำลังจะแซงการใช้พลังงานจากภาคครัวเรือนแล้ว

ไอซ์แลนด์กลายเป็นสวรรค์ของนักขุดเหมือง ด้วยปัจจัยเรื่องสภาพอากาศเย็น ลดภาระการระบายความร้อนของคอมพิวเตอร์ และราคาพลังงานที่ถูกกว่าประเทศอื่นๆ อันเนื่องมาจากมีพลังงานความร้อนใต้ดินและไฟฟ้าพลังน้ำอยู่มาก ทำให้นักขุดเหมืองนิยมย้ายมาตั้ง "ฟาร์ม" อยู่ในหมู่บ้านชาวประมงเล็กๆ กันมากขึ้น

Tags:
Node Thumbnail

ไลนัสประกาศเคอร์เนลลินุกซ์ 4.13 รุ่นตัวจริงหลังจากออก release candidate มาแล้ว 7 รุ่น โดยความเปลี่ยนแปลงสำคัญ คือการเปลี่ยนค่าเริ่มต้นของระบบไฟล์ CIFS ให้รองรับเฉพาะ SMB 3.0 โดยยังรองรับรุ่นเก่ากว่าทั้งหมด แต่ผู้ใช้ต้องระบุในคอนฟิกด้วยตัวเอง

CIFS เดิมรองรับ SMB 1.0 เป็นค่าเริ่มต้น แต่ในเคอร์เนล 4.13 จะต้องระบุเวอร์ชั่น "vers=2.1" สำหรับการรองรับ SMB 2.1 และ "vers=1.0" เพื่อรองรับ SMB 1.0 โดยตัวไลนัสเองก็ย้ำว่าไม่ควรใช้ SMB 1.0 อีกแล้ว และสำหรับคนที่ไม่ได้อัพเกรดเคอร์เนลมาใช้รุ่นล่าสุดก็ควรปรับออปชั่นเพื่อเลิกใช้ SMB 1.0 อยู่ดี

Tags:
Node Thumbnail

ศาสตราจารย์ด้านวิทยาการเข้ารหัสลับ (cryptography) เดินตลาดนัดในโรมาเนียและพบแผงขาย "เครื่องพิมพ์ดีด" เก่า จึงซื้อมาในราคา 100 ยูโร หรือประมาณ 3,900 บาท โดยรู้ว่าเครื่องพิมพ์ดีดนี้ที่แท้จริงคือเครื่องเข้ารหัส Enigma จากกองทัพเยอรมันในสงครามโลกครั้งที่สอง และยังอยู่ในสภาพใช้งานได้

เครื่อง Enigma ถูกนำออกประมูลโดยห้องประมูลของสะสม Artmark ที่ราคาเริ่มต้น 9,000 ยูโร การประมูลจบลงที่ราคา 45,000 ยูโร โดยห้องประมูลไม่ได้ระบุชื่อศาสตราจารย์ผู้ขายแต่อย่างใด

โรมาเนียเป็นพันธมิตรกับนาซีเยอรมันจนถึงช่วงท้ายสงครามโลกครั้งที่สอง ทำให้เป็นไปได้ว่าจะมีเครื่อง Enigma หลงเหลืออยู่อีก

Tags:
Node Thumbnail

หลัง WannaCry (WannaCrypt) ระบาดเป็นวงกว้าง นักวิจัยก็พากันหาวิธีว่าจะสามารถถอดรหัสไฟล์โดยไม่ต้องจ่ายเงินกันได้บ้างหรือไม่ ตอนนี้ก็มีแนวทางออกมาแล้ว แม้จะใช้ได้เฉพาะ Windows XP และต้องอาศัยโชคช่วยประมาณหนึ่ง

Tags:
Node Thumbnail

ใบรับรองดิจิตอลที่เซ็นรับรองด้วย SHA-1 ถูกเตือนว่าไม่ปลอดภัยมาตั้งแต่ปี 2014 ตามกำหนดการ เงื่อนไขการซัพพอร์ตใบรับรอง SHA-1 จะลดลงเรื่อยๆ จนกระทั่งโครม และไฟร์ฟอกซ์เริ่มหยุดซัพพอร์ตทุกกรณีต้นปีที่ผ่านมา และฝั่งแอปเปิลก็หยุดซัพพอร์ตในเดือนมีนาคม เดือนนี้แพตช์ของไมโครซอฟท์ก็ปิดการซัพพอร์ตใบรับรอง SHA-1 ใน Internet Explorer 11 และ Edge ทั้งหมดแล้ว นับเป็นผู้ผลิตเบราว์เซอร์หลักรายสุดท้ายที่ปิดการซัพพอร์ต

SHA-1 ถูกทีมวิจัยของกูเกิลเจาะได้สำเร็จโดยสร้างไฟล์สองไฟล์ที่มีค่าแฮชตรงกันเมื่อเดือนกุมภาพันธ์ที่ผ่านมา

Tags:
Node Thumbnail

NIST เปิดตัวมาตรการการเข้ารหัสแบบรักษาฟอร์แมตข้อมูล (Format-Preserving Encryption - FPE) มาตั้งแต่ปีที่แล้ว ตอนนี้ทาง HPE ประกาศว่าโซลูชั่น SecureData ของบริษัทเป็นโซลูชั่นแรกที่ได้รับการรับรอง (validated) ตามมาตรฐานนี้

HPE SecureData with Hyper FPE ใช้กระบวนวิธีเข้ารหัสแบบ AES-FF1 เป็นหนึ่งในสามกระบวนวิธีที่มาตรฐานของ NIST รับรองให้ใช้งาน

ทาง HPE ระบุว่าบริษัทได้รับการรับรองจาก NIST ตั้งแต่วันที่ 13 เมษายนที่ผ่านมา ผมเองตรวจสอบรายชื่อในเว็บของ NIST ยังไม่พบ แต่หากไม่มีอะไรผิดพลาดก็น่าจะมีรายการสินค้าที่ได้รับการรับรองเร็วๆ นี้

Tags:
Node Thumbnail

รายงาน SHAttered ที่สามารถสร้างไฟล์สองไฟล์ที่ค่าแฮชตรงกันได้สำเร็จทำให้โครงการต่างๆ ที่อาศัย SHA-1 เป็นแกนกลางต้องพิจารณาความปลอดภัยกันใหม่ โครงการหลักๆ สองโครงการคือ Git และ GPG ก็ออกมาชี้แจงแล้ว

ไลนัสออกมาตอบข้อสงสัยใน Git ที่ใช้ SHA-1 เป็นแกนกลาง โดยระบุ Git ระบุว่าแต่ละฟิลด์ของ Git ต้องระบุถึงชนิดข้อมูลและขนาดข้อมูลไปพร้อมกัน ทำให้การแก้ไขข้อมูลโดยที่ข้อมูลเหล่านี้ยังถูกต้องอยู่ทำได้ยาก อย่างไรก็ดีมีออปเจกต์บางส่วนที่สามารถแก้ไขมูลตรงกลางได้ ก็นับว่ามีความเสี่ยง แต่โดยรวมแล้วมุมมองคือปัญหาอาจจะไม่ได้ร้ายแรงขนาดนั้น แนวทางหลังจากนี้อาจจะมีการตรวจสอบข้อมูลเพิ่มเติมเพื่อป้องกันการสร้าง Git โดยใส่ข้อมูลประหลาดเข้าไป

Pages