ศูนย์ออกบัตรข้อมูลสุขภาพของเยอรมันทำ Private Key ของ CA หาย

By lew

on 16 July 2009 - 17:03 Tag: Security, Germany, PKI

Security

ในระบบการออกใบรับรองอิเล็กทรอนิกส์นั้นศูนย์ออกใบรับรอง (Certification Authority - CA) จะต้องมีคีย์ลับ (Private Key) เพื่อใช้ในการรับรองใบรับรองอื่นๆ เช่นในบัตรประจำตัวอิเล็กทรอนิกส์ แต่ล่าสุดบริการบัตรข้อมูลสุขภาพ และบัตรประจำตัวผู้ทำงานด้านสุขภาพของเยอรมันก็พบปัญหาใหญ่เมื่อคีย์ลับที่ว่านั้นถูกลบไปโดยบังเอิญ

โครงการบัตรข้อมูลสุขภาพนี้นับเป็นโครงการที่อาศัยโครงสร้างความปลอดภัยแบบ PKI (Public Key Infrastructure) ที่ใหญ่ที่สุดในโลก โดยเมื่อโครงการเสร็จสิ้นจะมีบัตรที่อยู่ในโครงการนี้ถึง 80 ล้านใบ การที่ระบบผิดพลาดอย่างร้ายแรงเช่นนี้แม้จะช่วงทดสอบก็ตาม ทำให้ตั้งคำถามได้มากมายว่าระบบจะเสถียรแค่ไหนเมื่อเริ่มทำงานจริง

ความผิดพลาดนี้เกิดขึ้นเนื่องจากตัวคีย์ลับนั้นถูกเก็บไว้ในการ์ดที่เรียกว่า hardware security module (HSM) โดยตัวการ์ดจะมีระบบป้องกันตัวเองเมื่อถูกโจมตี เช่นการพยายามเดารหัสผ่านเพื่ออ่านข้อมูล ระหว่างการทดสอบนั้นเกิดไฟฟ้าขัดข้องทำให้ HSM คิดว่าตัวเองถูกโจมตีจึงลบข้อมูลภายในทิ้งไป ข่าวร้ายคือไม่มีการ์ดสำรองแต่อย่างใด

การทดสอบระบบยังคงดำเนินต่อไปได้ โดยจะไม่มีบัตรออกเพิ่มเดิม เนื่องจากไม่สามารถออกใบรับรองให้กับบัตรใหม่ได้ และบริษัทที่รับผิดชอบโครงการนี้ยืนยันว่าระบบนี้จะมีการสำรองที่ถูกต้องเมื่อเริ่มให้บริการจริง

ถ้าใครจำได้ Mark Shuttleworth ผู้ก่อตั้งโครงการ Ubuntu และบริษัท Canonical เองก็รวยมาจากบริษัทให้บริการรับรองเหมือนกัน

ที่มา - The H Online

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

มันต้องมี

ipats Thu, 16/07/2009 - 17:37

มันต้องมีการ์ดสำรองฝังไว้ใต้ดิน ข้างล่างภูเขาแกรนิตขนาดใหญ่ ป้องกันการทำลายจากนิวเคลียร์ มีระบบรักษาความปลอดภัยอย่างเข้มงวดพร้อมกล้องตรวจตราและเซ็นเซอร์จับความเคลื่อนไหว แต่แล้ววันนึง ก็โดน nanobot ของ decepticon แอบเข้ามาขโมยไปได้ :p

iPAtS

โอย...

wklk Thu, 16/07/2009 - 17:43

โอย... ฮาไม่ไหวแล้ว LOL

เป็นตุเป็

magicbank Thu, 16/07/2009 - 19:58

เป็นตุเป็นตะได้อีก

เห็น HSM

jirayu Thu, 16/07/2009 - 17:45

เห็น HSM ผมนึกว่า High School Musical

[ JIRAYU.INFO ]

นึกว่า Hyper

DoraeMew Thu, 16/07/2009 - 22:03

นึกว่า Hyper Sonic Motor ในเลนส์ Sigma

หรือว่าเป

HudchewMan Thu, 16/07/2009 - 22:24

หรือว่าเป็น HFM ดีหนอ ^^'

FHM

Blltz Fri, 17/07/2009 - 04:44

FHM ดีกว่า

Acting Reporter & My Elder Brother Blog

+1 อิอิ

iAmbAsE Fri, 17/07/2009 - 09:58

+1 อิอิ

Burn After Read!

kichinto Thu, 16/07/2009 - 17:53

Burn After Read!

แต่ผมว่าก

tekkasit Thu, 16/07/2009 - 18:10

แต่ผมว่าการที่ข้อมูล Private key หายไปจากอุปกรณ์ ก็เป็นไปตามแนวทางปฏิบัติที่ถูกต้องแล้ว แต่ว่าปัญหาอยู่ที่การทำสำเนาการ์ดที่ถือ Private key นี่ต่างหาก

ตรงข้าม ถ้าระบบการ์ดมันมี back door ได้นี่สิ น่ากลัวกว่า

ประเทศไทย

jane Thu, 16/07/2009 - 21:30

ประเทศไทยปลอดภัยกว่าเยอะ print ลงกระดาษ A4 สำรองไว้ในตู้เย็น

เพราะตู้เย็นแข็งแรงมาก ช่วยชีวิตตายายมาแล้ว

+10

starbucks Fri, 17/07/2009 - 05:12

+10 ว่าแต่ตกลงคดีถึงไหนเนี่ย .. สงสัยต้องย้ายตู้เย็นมาหน้าบ้านแล้วเรา

ปกติเขาจะ

lew.★ Sat, 18/07/2009 - 12:43

ปกติเขาจะแยกคีย์ออกเป็นสองส่วนแล้วปริ้นลงกระดาษ A4 เก็บไว้ในตู้เซฟของผู้ดูแลรักษาแต่ละคนนะ
ถ้า HSM ถูกขโมยไปหรือเกิดเสียหาย ก็เอากระดาษมาพิมพ์โหลดเข้าไปใหม่