Tags:
Node Thumbnail

ข่าวชุดรักษาความปลอดภัย BSAFE ของ RSA (บริษัทลูกของ EMC) ที่ใช้ชุดสร้างตัวเลขสุ่ม Dual_EC_DRBG ที่น่าจะมีช่องโหว่ของ NSA ซ่อนอยู่ภายใน ที่แย่กว่านั้นคือ Reuters รายงานว่า RSA ใช่กระบวนการนี้เพราะรับเงินจาก NSA กว่า 10 ล้านดอลลาร์ ตอนนี้ทาง RSA ออกมาตอบข่าวนี้แล้ว

RSA ระบุว่าความสัมพันธ์ระหว่าง RSA และ NSA นั้นไม่เคยมีการปิดบังใดๆ RSA เป็นผู้ผลิตให้กับ NSA และทั้งสองหน่วยงานเป็นสมาชิกของวงการรักษาความปลอดภัยที่มีบทบาทมาต่อเนื่อง โดยเป้าหมายของความสัมพันธ์คือการสร้างความปลอดภัยให้กับหน่วยงานรัฐและเอกชน

RSA ระบุจุดสำคัญของการใช้งาน Dual_EC_DBRG สี่ข้อ

  1. RSA ใช้ Dual_EC_DRBG มาตั้งแต่ปี 2004 เพราะทั้งอุตสาหกรรมกำลังพยายามสร้างมาตรฐานตัวสร้างเลขสุ่มแบบใหม่อยู่ และตอนนั้น NSA ได้รับความไว้วางใจในวงการว่าเป็นหน่วยงานเพื่อเพิ่มความปลอดภัย ไม่ใช่ทำให้อ่อนแอลง
  2. Dual_EC_DRBG เป็นเพียงตัวเลือกหนึ่งในหลายกระบวนการที่ BSAFE มีให้เลือก ลูกค้าสามารถเลือกได้เองเสมอ
  3. มีข้อสงสัย Dual_EC_DRBG มาตั้งแต่ปี 2007 แต่ BSAFE ก็ยังใช้งานต่อไปเพื่อให้เข้ากับมาตรฐาน FIPS ของ NIST
  4. เมื่อ NIST ยกเลิก Dual_EC_DRBG ออกจากคำแนะนำในเดือนกันยายนที่ผ่านมา ทาง RSA ก็แจ้งเตือนให้ลูกค้าเลิกใช้งานอย่างเปิดเผยเช่นกัน

ทาง RSA ยืนยันว่าไม่มีการทำสัญญาใดๆ เพื่อลดความปลอดภัยของกระบวนการเข้ารหัส หรือการเปิดช่องโหว่ใดๆ ในสินค้าของ RSA

ที่มา - RSA

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 23 December 2013 - 12:33 #667020
hisoft's picture

แต BSAFE

แต -> แต่

By: panurat2000
ContributorSymbianUbuntuIn Love
on 23 December 2013 - 14:18 #667042 Reply to:667020
panurat2000's picture

ที่แย่กว่านั้นคือ Reuters รายงานว่า RSA ใช่กระบวนการนี้เพราะรับเงินจาก NSA กว่า 10 ล้านดอลลาร์

ใช่กระบวนการนี้ => ใช้กระบวนการนี้

By: MilestoneKo
AndroidUbuntu
on 23 December 2013 - 13:08 #667027

ที่น่าจะช่องโหว่

ที่น่าจะมีช่องโหว่

By: originalBlueSin
Windows PhoneWindows
on 23 December 2013 - 14:03 #667036
originalBlueSin's picture

ต่อให้รับเงินจริงก็คงไม่ออกมายอมรับหรอกครับ ไม่ว่าอย่างไรก็ต้องปฏิเสธอยู่แล้ว มีหลักฐานจับได้คาหนังคาเขาก็เป็นอีกเรื่องหนึ่ง

By: lew
FounderJusci's WriterMEconomicsAndroid
on 23 December 2013 - 15:41 #667061 Reply to:667036
lew's picture

อันนี้เชื่อไม่เชื่อก็คิดกันเองครับ ในฐานะสื่อมีคนกล่าวหาแล้วเขาปฎิเสธ เราก็ให้พื้นที่เท่ากัน


lewcpe.com, @public_lewcpe

By: originalBlueSin
Windows PhoneWindows
on 23 December 2013 - 15:47 #667064 Reply to:667061
originalBlueSin's picture

ผมก็มองอย่างเป็นกลางแล้วครับ ไม่ได้เข้าข้างฝ่ายไหน พิจารณาไปตามข้อมูลที่ได้รับ คือถ้าไม่ได้รับเงินแล้วปฏิเสธก็ถูกต้องแล้ว แต่ต่อให้รับเงินจริงก็ต้องปฏิเสธอยู่ดี นอกจากจะมีหลักฐานมามัดจนดิ้นไม่หลุดจึงจะทราบผลสรุปที่แท้จริง ก็ออกความเห็นไปตามเนื้อข่าวไม่ได้เลือกข้างฟันธงบอกว่าใครผิดครับ