ข่าวนี้ออกจะยากสักหน่อย แต่เป็นสำหรับผู้ที่ต้องระวังเรื่องความปลอดภัยข้อมูลมากๆ คือเมื่อเดือนที่ผ่านมา มีการตีพิมพ์งานวิจัยว่าในอินเทอร์เน็ตนั้น ใบรับรอง SSL จำนวนหนึ่งประมาณ 2 ใบในทุกๆ 1,000 ใบสามารถถูกเจาะได้โดยง่าย โดยมีสาเหตุมาจากตัวสุ่มเลขหลายๆ ครั้งมีความสามารถในการสุ่มไม่เพียงพอ ทำให้เกิดการใช้จำนวนเฉพาะ (prime number) ที่ซ้ำกันในใบรับรองหลายใบ ทำให้การแฮกข้อมูลที่เข้ารหัสด้วยใบรับรองเหล่านี้ทำได้ง่ายมาก

กระบวนการเข้ารหัสด้วยอัลกอริทึม RSA นั้นมีหลักการสำคัญคือต้องมีจำนวนเฉพาะขนาดใหญ่มากๆ สองตัวที่สุ่มเลือกขึ้นมา ตัว public key ของ RSA นั้นเป็นผลลัพธ์ที่ได้มาจากการคูณตัวเลขจำนวนเฉพาะสองตัวจนมีขนาดใหญ่มากถึง 1024 บิต ทำให้การแยกผลคูณจำนวนเฉพาะนั้นทำได้ยากมาก แต่หากการเลือกจำนวนเฉพาะนั้นไม่สุ่มพอ แฮกเกอร์ก็อาจจะใช้จำนวนเฉพาะที่รู้อยู่ก่อนว่ามีการใช้งานมาหารเพื่อให้ตัวประกอบเฉพาะออกมาได้

รายงานวิจัยช่องโหว่นี้พบว่ามีอุปกรณ์ประมาณ 200,000 ชิ้นในตลาดที่มีความสามารถในการสุ่มไม่ดีพอทำให้เกิดปัญหาเช่นนี้

อุปกรณ์ที่พบปัญหาส่วนมากเป็นอุปกรณ์ขนาดเล็ก เช่น เราท์เตอร์ หรือสวิตซ์ ที่มักไม่มีความซับซ้อนเพียงพอที่จะสร้างค่าสุ่มที่ดีได้

ที่มา - Freedom to Thinker

งานนี้ทาง EFF จึงได้อัพเดต HTTPS Everywhere ให้ตรวจสอบใบรับรองของเว็บเซิร์ฟเวอร์ หากเป็นใบรับรองที่พบว่าใช้จำนวนเฉพาะที่เป็นที่รู้กันเช่นนี้ก็จะเตือนผู้ใช้ว่าการเชื่อมต่ออาจจะถูกโจมตี โดยจะมีฐานข้อมูลของใบรับรองนับหมื่นใบที่ตรวจสอบแล้วว่าอ่อนแอต่อการโจมตี

ที่มา - EFF, HTTPS Everywhere

ประเด็นปัญหาการสร้างค่าสุ่มนั้นเป็นปัญหามายาวนาน แม้แต่ Debian เองก็เคยเจอปัญหานี้ จากการอาศัยค่าในหน่วยความจำในส่วนที่ยังไม่ได้ใช้งานล่วงหน้ามาเป็นส่วนหนึ่งของค่าสุ่ม แต่โปรแกรมเมอร์เผลอไปล้างค่านี้ออกในตอนเริ่มต้นโปรแกรม

งานนี้ทางอินเทลออกมาโฆษณาถึงชุดคำสั่งใหม่ในชุดคำสั่ง Bull Mountain ที่จะเพิ่มเข้ามาในชิป Ivy Bridge ชุดคำสั่งนี้คือฮาร์ดแวร์สำหรับสร้างเลขสุ่ม RdRand ที่จะช่วยให้โปรแกรมเมอร์สามารถใช้สร้างเลขสุ่มโดยไม่ต้องไปหาแหล่งอื่นๆ ให้ลำบาก และยังมีฮาร์ดแวร์ตรวจสอบความสุ่มภายในว่าฮาร์ดแวร์มียุ่งเหยิง พอที่จะสร้างค่าสุ่มที่ปลอดภัยพอหรือไม่

ที่มา - Intel