Non-Repudiation: สัญญาต้องเป็นสัญญา

By lew Founder on Tag: Security, In-Depth
Security

ความเชื่อใจในความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ที่เลียนแบบมาจากโลกความเป็นจริงอย่างสุดท้าย นั่นคือการทำสัญญา ในโลกความเป็นจริงคนเราทำสัญญากันทุกวันตลอดเวลา เมื่อเราสั่งสินค้ากับแม่ครัวในร้านอาหาร แม่ค้าต้องนำอาหารที่เราสั่งมาเสิร์ฟให้อย่างถูกต้อง เมื่อเราทานแล้วเราต้องจ่ายเงินตามค่าอาหารที่ระบุไว้ หากแม่ครัวทำอาหารมาผิด เรามีสิทธิที่จะปฎิเสธไม่รับอาหาร และไม่จ่ายเงินค่าอาหารนั้นๆ

หลักการของการไว้วางใจได้ที่จะใช้คอมพิวเตอร์เป็นตัวกลางในการทำสัญญานับเป็นหลักการสำคัญ เพื่อให้เราใช้คอมพิวเตอร์เป็นตัวกลางในการทำธุรกรรมออนไลน์ได้อย่างหลากหลายเช่นทุกวันนี้ เราสามารถทำธุรกรรมออนไลน์ได้นับตั้งแต่การประกาศเรื่องทั่วๆ ไป เช่น หาอาสาสมัคร, ประกาศงาน ไปจนถึงการซื้อสินค้าออนไลน์ และทำธุรกรรมทางการเงิน

ในโลกความเป็นจริงที่เราเดินเข้าร้านอาหารและสั่งอาหาร หากมีฝ่ายหนึ่งฝ่ายใดผิดสัญญา อาจจะต้องมีการหาหลักฐานพยานเพื่อยืนยันความถูกต้อง คนที่นั่งร่วมโต๊ะกับเราอาจจะช่วยยืนยันกับแม่ครัวว่าเราสั่งอาหารถูกต้อง และแม่ครัวเป็นฝ่ายทำอาหารมาเสิร์ฟเราผิด กระบวนการเช่นนี้คือการบอกปฎิเสธ (repudiate) ในโลกคอมพิวเตอร์ธุรกรรมที่เราทำจำนวนมากจะทำกับคอมพิวเตอร์โดยตรง ธุรกรรมการเงินของเราอาจจะไม่มีใครมารับรู้ร่วมกับเรา เมื่อเรานั่งในห้องส่วนตัวต่อคอมพิวเตอร์ออนไลน์เข้ากับเซิร์ฟเวอร์โดยตรง

การบอกปฎิเสธได้หรือไม่เป็นเรื่องที่เราโต้เถียงกันได้เสมอแม้แต่ในโลกความเป็นจริง คนร้ายในคราบลูกค้าสักคนอาจจะมุ่งก่อกวนกิจการของร้านด้วยการสั่งอาหารแล้วอ้างว่าทำผิดรายการอยู่เสมอ ไปจนถึงการก่ออาชญากรรมเช่นการบุกทำลายร้าน เมื่อก่ออาชญากรรมแล้วหนีไปได้ ตำรวจก็ต้องหาหลักฐานที่เพียงพอเพื่อที่จะจับกุมและดำเนินคดีกับผู้ร้ายต่อไป

ขณะที่กระบวนการเข้ารหัสการป้องกันต่างๆ ช่วยให้ยืนยันได้ว่ามีการใช้กุญแจลับ, รหัสผ่าน, หรือการแชร์ข้อมูลระหว่างผู้ที่ถือรหัสผ่านตรงกัน จริงหรือไม่ กระบวนการเหล่านี้กลับไม่เพียงพอที่จะยืนยันความรับผิดชอบทางกฎหมาย หากมีการใช้กุญแจลับอย่างไม่ตั้งใจ, ถูกบังคับขู่เข็ญจากฝ่ายตรงข้าม, หรือกระทั่งเอกสารคอมพิวเตอร์นั้นถูกปลอมแปลงได้จากกระบวนการที่ไม่แข็งแกร่งเพียงพอ

ความเสี่ยงเช่นนี้ไม่ได้จำกัดอยู่ในโลกคอมพิวเตอร์เท่านั้น ในโลกความเป็นจริงสัญญาที่เราทำทุกวันนี้แม้มีหนังสือสัญญาเป็นทางการก็อาจจะถูกปฎิเสธความรับผิดชอบ รวมถึงไม่สามารถบังคับความรับผิดชอบตามกระบวนการทางกฎหมายได้ หากมีประเด็นโต้แย้งเช่น หนังสือสัญญาลงนามขณะที่คู่สัญญาไม่ได้สติ, ลายเซ็นถูกปลอม, หรือเนื้อหาในหนังสือสัญญาถูกปลอมแปลง กระบวนการทางกฎหมายทุกวันนี้จึงพยายามลดข้อโต้แย้งเหล่านี้ลงด้วยการเพิ่มพยานในหนังสือสัญญาต่างๆ เข้ามา

ความซับซ้อนในกระบวนการทางกฎหมายเหล่านี้จะยุ่งยากขึ้น เมื่อเป็นความผิดทางอาญาที่เอกสารและหลักฐานต่างๆ จะถูกใช้เพื่อนำผู้ร้ายรับโทษทางอาญา กระบวนการพิจารณาหลักฐานและการให้น้ำหนักของหลักฐานในคดีแพ่งที่เป็นการทำสัญญาระหว่างสองฝ่าย กับคดีอาญานั้นมีความต่างกันไป โดยกระบวนการทางแพ่งนั้นอิงกับการชั่งน้ำหนักของหลักฐาน ว่าฝ่ายใดมีน้ำหนักมากกว่ากัน ขณะที่คดีอาญานั้นหลักฐานต้องหนักแน่นพอที่จะสิ้นข้อสงสัยที่มีเหตุผล (beyond reasonable doubt)

หลักฐานอิเล็กทรอนิกส์

ปัญหาสำคัญของกระบวนการบังคับสัญญาอิเล็กทรอนิกส์ทางกฎหมายคือเราจะยอมรับข้อมูลอิเล็กทรอนิกส์ซึ่งอาจจะเป็นไฟล์เป็นหลักฐานเทียบเท่าหนังสือสัญญาตามกฎหมายทั่วไปหรือไม่ หรือการใช้ล็อกไฟล์จะสามารถยืนยันในศาลว่าเป็นร่องรอยของการกระทำต่างๆ ได้หรือไม่

ประเด็นหลักฐานอิเล็กทรอนิกส์มีการระบุไว้ใน พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ตามมาตรา 11 ที่ระบุให้ใช้หลักฐานอิเล็กทรอนิกส์เป็นหลักฐานได้ทั้งคดีแพ่งและคดีอาญา โดยอาศัยความน่าเชื่อถือของการสร้าง การเก็บรักษา ความครบถ้วน และกระบวนการระบุผู้ส่งข้อมูล

กระบวนการใช้หลักฐานอิเล็กทรอนิกส์ในไทยนั้นยังไม่มีแนวทางชัดเจนนักเนื่องจากกฎหมายเป็นกฎหมายใหม่ และยังไม่มีคดีเป็นแนวทางมากนัก ประเทศที่มีกฎหมายด้านคอมพิวเตอร์มายาวนานอย่างสหรัฐฯ นั้นมีคู่มือการใช้หลักฐานอิเล็กทรอนิกส์ความยาวเกือบ 300 หน้าอธิบายกรณีต่างๆ ที่เคยเกิดขึ้นกับการใช้หลักฐานอิเล็กทรอนิกส์ หรือแนวทางการใช้หลักฐานดิจิตอลสำหรับตำรวจสหราชอาณาจักร

เนื้อหารายละเอียดนั้นมีจำนวนมาก แต่หลักการเบื้องต้น ได้แก่

  1. หลักฐานต้องได้มาโดยชอบ หากเจ้าของคอมพิวเตอร์ยินยอมเจ้าหน้าที่อาจจะเข้าค้นข้อมูลเป็นหลักฐานได้ หรือไม่เช่นนั้นต้องขอหมายศาล ยกเว้นเพียงบางกรณีเช่น คอมพิวเตอร์เสี่ยงต่อการถูกทำลายหลักฐานในเวลาอันสั้น เช่น ผู้ต้องสงสัยกำลังลบไฟล์ในคอมพิวเตอร์อยู่
  2. ต้องไม่มีการการเปลี่ยนแปลงเนื้อหา จากหลักฐานที่ได้มาต้องใช้หลักฐานตามที่ได้นั้น กระบวนการเก็บข้อมูลทั้งหมดต้องมีการรายการที่อธิบายได้ สามารถส่งให้บุคคลที่สามในคดีทำซ้ำเพื่อได้ข้อมูลเดียวกัน เช่น หากเจ้าหน้าที่ระบุว่ามีไฟล์ที่เป็นหลักฐานของคดี ต้องสามารถบอกได้อย่างชัดแจ้งว่าพบไฟล์ได้อย่างไร สืบค้นในเครื่องของผู้ต้องสงสัยอย่างไร
  3. การเข้าเก็บข้อมูลต้องทำโดยผู้เชี่ยวชาญ คอมพิวเตอร์ที่เปิดเครื่องอยู่อาจจะรันจากระบบไฟล์ที่เข้ารหัสไว้ทั้งหมด การปิดเครื่องอาจจะทำให้ไม่สามารถเปิดเครื่องหรือกู้คืนข้อมูลบางส่วนไปได้ตลอดกาล
  4. ตีความหลักฐานอย่างระมัดระวัง เจ้าหน้าที่ต้องรู้ตัวว่าความรู้ของตัวเองมีจำกัดเพียงใด และสอบถามจากผู้เชี่ยวชาญเพิ่มเติมเมื่อจำเป็น การตีความหลักต้องเชื่อมโยงกับการกระทำ ตัวอย่างกรณีผู้ต้องหามีภาพอนาจารเด็กในคอมพิวเตอร์ไม่ได้แปลว่าเขารับรู้ว่าได้เซฟภาพนั้นลงคอมพิวเตอร์เสมอไป เจ้าหน้าที่อาจต้องใช้หลักฐานอื่นประกอบ เช่น รายการไฟล์ล่าสุดที่มีการเปิดใช้งาน (จงใจเปิดไฟล์หรือไม่), รายการค้นหาจากเว็บค้นหา (จงใจหาทางได้ภาพนั้นมา), ไปจนถึงว่าคอมพิวเตอร์ล็อกด้วยรหัสผ่านหรือไม่ (เจ้าของเครื่องเป็นผู้เซฟภาพด้วยตนเอง)

สัญญาอิเล็กทรอนิกส์

นอกจากนี้ยังระบุถึงรายละเอียดของความสมบูรณ์ของสัญญาอิเล็กทรอนิกส์ ในมาตรา 15 ถึงมาตรา 25 ของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์โดยรวมแล้วระบุให้สัญญาอิเล็กทรอ

  1. ต้องตรวจสอบผู้ส่งว่าเป็นผู้ส่งจริง (มาตรา 15-16)
  2. ข้อมูลถูกต้องไม่มีการแก้ไขผิดพลาด (มาตรา 17) ไม่ใช่ข้อมูลส่งซ้ำ (มาตรา 18)
  3. มีการตอบรับข้อมูล หรือการตอบรับข้อความตอบรับตามแต่ตกลง (มาตรา 19)

กระบวนการเหล่านี้มีการออกแบบกระบวนการทางรหัสวิทยาและกระบวนการอื่นๆ รองรับไว้ทั้งสิ้น เช่นกระบวนการยืนยันผู้ส่ง เอกสารสามารถยืนยันได้ด้วยกระบวนการเซ็นลายเซ็นดิจิตอล กระบวนการยืนยันความถูกต้องของข้อมูลมีการใช้ฟังก์ชั่นแฮช กระบวนการตรวจสอบว่าไม่มีการส่งข้อมูลซ้ำนั้นเอกสารมักมีหมายเลขลำดับกำกับเอาไว้ หลายครั้งกำกับด้วยเวลาเพื่อไม่ให้ใช้ข้อความเดิมมาส่งซ้ำได้อีก ขณะที่ระบบตอบรับเรามักเห็นในอีเมลเมื่อสมัครบัญชีใช้งานเว็บใหม่ ที่บริการจะส่งอีเมลมาให้เรากดยืนยันด้วย URL พิเศษที่สร้างขึ้นเฉพาะ หากเรากดก็เป็นการตอบรับว่าเราเป็นเจ้าของบัญชีอีเมลที่ใช้สมัครใช้บริการจริง

การรับรู้การกระทำ

ปัญหาการบอกปฎิเสธความรับผิดชอบที่สำคัญในโลกคอมพิวเตอร์คือการกระทำของคอมพิวเตอร์ที่สามารถกระทำแทนเราได้หลายอย่าง เว็บบริการประมูลสินค้าออนไลน์อาจจะมีบริการประมูลอัตโนมัติที่ให้ผู้ใช้กำหนดวงเงินไว้ล่วงหน้าแล้วซอฟต์แวร์จะประมูลให้เองโดยไม่ต้องถามความสมัครใจของผู้ใช้อีกครั้ง

กระบวนการหนึ่งที่จะยืนยันว่าผู้ใช้รับรู้กระทำออนไลน์คือการให้ผู้ใช้ใส่รหัสผ่านซ้ำอีกครั้ง เว็บซื้อสินค้าส่วนมากจึงยังคับให้ผู้ใช้ใส่รหัสผ่านอีกครั้งเมื่อต้องทำคำสั่งบางอย่างที่สำคัญเช่นการเข้าดูประวัติการใช้งาน หรือการกดสั่งซื้อสินค้า แม้ผู้ใช้นั้นจะเพิ่งล็อกอินมาไม่นานก็ตาม

ประเด็นการปฎิเสธความรับผิดชอบเป็นข่าวเรื่อยมาในเว็บประมูลอย่าง eBay ที่ผู้ใช้อ้างว่ามีลูกของเขาใช้บัญชีที่ล็อกอินทิ้งไว้กดประมูลแล้วขอยกเลิกรายการประมูล แต่โดยส่วนมากแล้วผู้ขายสินค้ามักยอมรับคำร้องขอยกเลิกรายการประมูล

แต่คดีที่สำคัญในช่วงหลังคือคดีการซื้อสินค้าจากหน้าร้านในสมาร์ตโฟน ก่อนหน้านี้ผู้ผลิต เช่น แอปเปิลและกูเกิล มักอำนวยความสะดวกให้กับลูกค้าที่จะซื้อสินค้าได้ง่าย โดยเลือกที่จะถามรหัสผ่านลูกค้าหากต้องการซื้อสินค้าในหน้าร้านเช่น iTunes หรือ Google Play แต่หากมีการซื้อซ้ำอีกในช่วงเวลาไม่นานนัก การซื้อครั้งต่อๆ มาก็จะไม่มีการถามรหัสผ่านซ้ำ

คดีนี้ผู้ปกครองจำนวนหนึ่งอ้างว่าได้ซื้อเกมโดยใส่รหัสผ่านและยื่นเครื่องให้กับลูกเล่น แต่ปรากฎว่าลูกสามารถนำไปซื้อไอเท็มในเกมได้โดยพ่อแม่ไม่รับรู้ทำให้หลายคนถูกเรียกเก็บเงินจำนวนมาก สุดท้ายทั้งแอปเปิลและกูเกิลต่างต้องปรับหน้าจอเช่นนี้ โดยแอปเปิลเลือกที่จะถามรหัสผ่านซ้ำทุกครั้งที่ซื้อสินค้า ขณะที่กูเกิลนั้นเลือกที่จะแจ้งเตือนลูกค้าว่าหากซื้อสินค้าซ้ำจะไม่ต้องใส่รหัสผ่านอีกภายในเวลาที่กำหนด และให้ลูกค้าปิดความสามารถนี้ได้

กระบวนการทางกฎหมายยังเป็นโลกที่ใหม่มากสำหรับทั้งนักวิชาการคอมพิวเตอร์ (ที่จำนวนมากไม่สนใจวิชากฎหมาย) และนักกฎหมาย (ที่หลายคนไม่สามารถทำความเข้าใจเทคโนโลยีได้ดีนัก) กระบวนการเรียนรู้เพื่อสร้างเส้นแบ่งที่ชัดเจน แนวทางจากต่างชาติที่มีประสบการณ์มากกว่าอาจจะเป็นบทเรียนให้กับนักพัฒนาที่จะสร้างระบบที่บังคับใช้ได้ แนวปฎิบัติเช่นการถามผู้ใช้ย้ำเมื่อมีการทำธุรกรรม หรือถามรหัสผ่านซ้ำแม้มีการล็อกอินแล้วก็ตามนับเป็นแนวทางที่เราเรียนรู้ได้

บทความนี้นับเป็นบทความสุดท้ายตามโครงของบทความชุดความปลอดภัยคอมพิวเตอร์ที่ผมเขียนมาตั้งแต่ปลายปี 2012 โดยแบ่งออกเป็นสามภาค

  1. หลักการความปลอดภัยคอมพิวเตอร์ ได้แก่ Identification, Authentication, Authorization และบทความนี้
  2. รหัสวิทยา (Cryptography) ได้แก่ Hash, Random Generator, Symmetric Encryption, Asymmetric Encryption, และ Cryptanalysis
  3. การเจาะระบบ ได้แก่ Buffer Overflow, Cross Site Request Forgery, SQL Injection

ผมหวังว่าชุดบทความนี้น่าจะเพียงพอสำหรับการเรียนการสอนวิชาความปลอดภัยคอมพิวเตอร์เบื้องต้นประมาณหนึ่งภาคการศึกษา ถ้ามีโอกาส ชุดบทความทั้งหมดอาจจะได้ตีพิมพ์โดยรวบรวมปรับปรุงให้ดีขึ้นหรือเพิ่มเติมเนื้อหาบางส่วนต่อไป

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

panurat2000 Mon, 28/04/2014 - 10:39

ต้องไม่มีการการเปลี่ยนแปลงเนื้อหา

การการเปลี่ยนแปลง ?

กระบวนการเก็บข้อมูลทั้งหมดต้องมีการรายการที่อธิบายได้

ต้องมีการรายการ ?

ในมาตรา 15 ถึงมาตรา 25 ของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์โดยรวมแล้วระบุให้สัญญาอิเล็กทรอ

ระบุให้สัญญาอิเล็กทรอ ?

มีการตอบรับข้อมูล หรือการตอบรับข้อความตอบรับตามแต่ตกลง (มาตรา 19)

การตอบรับข้อความตอบรับ ?

กระบวนการหนึ่งที่จะยืนยันว่าผู้ใช้รับรู้กระทำออนไลน์คือการให้ผู้ใช้ใส่รหัสผ่านซ้ำอีกครั้ง

รับรู้กระทำออนไลน์ ?

เว็บซื้อสินค้าส่วนมากจึงยังคับให้ผู้ใช้ใส่รหัสผ่านอีกครั้ง

จึงยังคับ ?