Tags:
Node Thumbnail

Ben Laurie และ Adam Langley นักวิจัยด้านความปลอดภัยจากกูเกิลได้ตีพิมพ์ข้อเสนอ (PDF) ปรับปรุงระบบโครงสร้างความปลอดภัยของอินเทอร์เน็ต (Public Key Infrastructure - PKI) จากบทเรียนที่เราพบกว่าหน่วยงานออกใบรับรอง (Certification Authorities - CA) นั้นกลายเป็นรูรั่วหลายครั้งทำให้ความปลอดภัยของอินเทอร์เน็ตโดยรวมมีอันตราย เพราะ CA อาจจะออกใบรับรองให้กับเว็บใดๆ ก็ได้

ข้อเสนอนี้คือการเรียกร้องให้ CA เปิดเผยบันทึก (log) ของการรับรองโดเมนต่างๆ ออกมาสู่สาธารณะ โดยบันทึกทั้งหมดต้องได้รับการรับรองว่ามาจากตัว CA จริงๆ โดยเข้ารับรองแบบ Merkle signature scheme

ด้วยกระบวนการเช่นนี้ เบราเซอร์จะสามารถเลือกเชื่อถือเฉพาะใบรับรองที่มีบันทึกรับรองและตรวจสอบการใบรับรองได้ โดยหากมีการรับรองอย่างผิดๆ เช่น กรณี DigiNotar ที่ไปรับรองเว็บใหญ่ๆ อย่างกูเกิล สาธารณะก็จะสามารถตรวจสอบได้ในทันที หากเจอพฤติกรรมการออกใบรับรองที่ผิดปรกติ ก็จะสามารถแจ้งของยกเลิกใบรับรองได้อย่างรวดเร็ว

ข้อเสนอนี้ยังคิดถึงระบบ PKI เดิมว่าจะระบบเดิมจะสามารถใช้งานต่อไปได้ โดยระบบที่ไม่สามารถตรวจจากบันทึกได้ก็จะตรวจสอบจากใบรับรองของ root CA แบบเดิมต่อไป

ปัญหาของระบบนี้คือมันบังคับให้ CA ทั้งหมดต้องเปิดเผยรายการใบรับรองของตัวเองออกมาทั้งหมด ซึ่งอาจจะเป็นความลับทางการค้า (เพราะทำให้รู้จำนวนและรายชื่อลูกค้า) รวมถึง CA หลายรายนั้นยังออกใบรับรองปลอมให้กับตำรวจอย่างจงใจเพื่อใช้ดักฟังกรณีได้รับหมายศาล การเปิดเผยบันทึกทั้งหมดอาจจะทำให้ใบรับรองที่ออกจากคำสั่งศาลเหล่านี้ถูกตรวจสอบอย่างรวดเร็ว

ที่มา - Threat Post

Get latest news from Blognone

Comments

By: rattananen
AndroidWindows
on 1 December 2011 - 17:08 #359334

ทำให้ความอินเทอร์เน็ต

งงคำนี้ครับ

By: Perl
ContributoriPhoneUbuntu
on 1 December 2011 - 17:10 #359335
Perl's picture

ดี ในเมื่อตรวจสอบให้ดีไม่ได้ก็ให้สาธารณะช่วยตรวจสอบซะเลย

By: pleX on 2 December 2011 - 06:00 #359443

เรื่องนี้ เหรียญ 2 ด้านจริง ๆ ครับ

By: narasak
iPhoneAndroidUbuntu
on 2 December 2011 - 12:53 #359527

ยุคนี้ ไ่ม่มีใครเป็น hero แท้จริง