Tags:
Node Thumbnail

Cloudflare และหน่วยงานพันธมิตรอีก 4 หน่วยงานเปิดตัว League of Entropy บริการสร้างเลขสุ่มที่เชื่อถือได้ โดยให้บริการผ่าน API โดยสร้างเลขสุ่มทั้งแบบสาธารณะเปิดเผยข้อมูลโดยทั่วไป และแบบส่วนตัวสำหรับใช้งานเฉพาะเช่นการสร้างกุญแจลับ

แต่ละหน่วยงานที่เข้าร่วมมีกระบวนการสร้างเลขสุ่มที่ต่างกันไป Cloudflare เองสร้างเลขสุ่มจากภาพตะเกียงลาวา (lava lamp), หรือมหาวิทยาลัยชิลีสร้างเลขสุ่มจากข้อมูลแผ่นดินไหวในชิลี, Protocol Labs อาศัยข้อมูลสภาพแวดล้อมร่วมกันเลขสุ่มในซีพียู, Kudelski Security สร้างเลขสุ่มจากสตรีมเข้ารหัสของกระบวนการที่พัฒนาจาก ChaCha20, ขณะที่ EPFL จากฝรั่งเศสใช้ /dev/urand ในคอมพิวเตอร์ทั่วๆ ไป การมีเซิร์ฟเวอร์หลายตัวทำให้แน่ใจได้บริการจะมี availability ที่ดี สามารถให้บริการได้ต่อเนื่อง และแม้จะมีเลขสุ่มบางแหล่งมีช่องโหว่ให้ค่าสุ่มคุณภาพต่ำ แต่ค่าสุ่มโดยรวมก็ยังมีคุณภาพสูงต่อไป

บริการนี้จะให้ค่าสุ่มสาธารณะขนาด 512 บิตทุกๆ 60 วินาที และสามารถตรวจสอบย้อนกลับได้ว่าค่าสุ่มที่ผ่านมาเคยให้ค่าอะไรไว้บ้าง ณ ตอนที่เขียนข่าวนี้ค่าสุ่มอยู่ที่ลำดับที่ 19,529

การใช้งานที่ง่ายที่สุดสำหรับค่าสุ่มแบบสาธารณะคงเป็นการ "ออกหวย" โดยเราสามารถกำหนดเวลาออกหวยได้ เช่น สองหลักสุดท้ายของเลขสุ่มลำดับที่ 20,000 ในเมื่อบริการออกเลขสุ่มมีคุณภาพสูง การคาดเดาล่วงหน้า หรือ "หวยล็อก" ก็จะทำไม่ได้ การใช้งานอื่นๆ เช่น การตรวจสอบกระบวนการเลือกตั้งออนไลน์, หรือการใช้ค่าสุ่มเป็นแหล่งสำหรับแอปบนบล็อคเชน

สำหรับการใช้งานค่าสุ่มแบบส่วนตัว การใช้งานที่สำคัญที่สุดคืออุปกรณ์ IoT ที่มักมีพฤติกรรมการทำงานที่คาดเดาได้ง่าย หลายครั้งทำให้กุญแจเข้ารหัสจากอุปกรณ์เหล่านี้ถูกแกะได้ การใช้ API ดึงค่าสุ่มแบบส่วนตัวมาเริ่มต้นตัวสร้างค่าสุ่มในระบบก่อนเริ่มทำงานจะทำให้ค่าสุ่มโดยรวมมีคุณภาพดีขึ้น

ทางกลุ่ม League of Entropy นี้เปิดรับสมาชิก ช่วยสร้างเลขสุ่มได้ โดยสร้างเซิร์ฟเวอร์ที่ตรงตามเงื่อนไขและส่งอีเมลขอเข้าร่วมกลุ่ม

ที่มา - Cloudflare

No Description

Get latest news from Blognone

Comments

By: langisser
In Love
on 19 June 2019 - 00:14 #1115665

"และแม้จะมีเลขสุ่มบางแหล่งมีช่องโหว่ให้ค่าสุ่มคุณภาพต่ำ"
เหมือนมันขัดแย้งกับแหล่งสุ่มสมบูรณ์นะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 19 June 2019 - 00:24 #1115668 Reply to:1115665
lew's picture

อันนี้เป็นเหตุที่ไม่รู้ไงครับ เหมือน "ระบบปฎิบัติการณ์ความปลอดภัยสูง" ก็ต้องพูดถึงกรณี "มีช่องโหว่ร้ายแรง" อยู่ดี

แต่กระบวนการสุ่มจากแต่ละแหล่งก็มีที่มาชัดเจน (และคุณภาพดี) แต่ถ้ามีปัญหา เช่น ทำผิดสเปคไปบางแหล่ง แหล่งอื่นๆ ที่เอามาผสมกันก็จะทำให้ปัญหาหายไปได้


lewcpe.com, @wasonliw

By: eak1111 on 19 June 2019 - 09:57 #1115710
eak1111's picture

แล้วเลข OTP เวลาทำธุรกรรมต่างๆ ที่่ส่งเข้ามือถือเรา มันสุ่มแค่ไหนครับ
เพราะที่สังเกต จะมีเลขซ้ำทุกครั้ง เช่น
551779
1446899
คือต้องมีเลขซ้ำอย่างน้อย 1 คู่

By: dangsystem
iPhoneAndroidBlackberryWindows
on 19 June 2019 - 10:30 #1115720 Reply to:1115710
dangsystem's picture

เพื่อให้จำง่าย

By: lew
FounderJusci's WriterMEconomicsAndroid
on 22 June 2019 - 21:09 #1116425 Reply to:1115710
lew's picture

อันนี้แล้วแต่ครับ โดยทั่วไปแล้วเราต้องการ "ความยุ่งเหยิง" ให้สูงพอ (ณ วันนี้สำหรับเข้ารหัสแบบสมมาตร จะประมาณ 96 บิตขึ้นไป)

แม้กระบวนการสุ่มจะหารูปแบบ "จำง่าย" เช่น ควรมีเลขซ้ำ แต่การออกแบบก็ต้องให้ความยุ่งเหยิงสูงพอ เช่น ผู้ออกแบบอาจจะเลือกว่ายอมให้ OTP ยาว แต่เลขซ้ำเยอะ ให้ลูกค้ากดง่ายๆ

ในลินุกซ์เองตัวสุ่มรหัสผ่านก็มีโปรแกรม pwgen ที่สุ่มตัวอักษรให้ "ออกเสียงได้" ทำให้รหัสผ่านจำได้ง่ายขึ้น


lewcpe.com, @wasonliw

By: l2aelba
iPhoneAndroid
on 19 June 2019 - 14:35 #1115778
l2aelba's picture

ถ้าผมเข้าใจถูกคือ "ระบบสุ่มที่มีใบรองรับ" ใช่ไหมครับ?