Tags:
Node Thumbnail

เครือข่ายพลเมืองเน็ต หรือ Thai Netizen รายงานว่าได้พบเอกสารนำเสนอซึ่งระบุชื่อของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (กระทรวงไอซีที) โดยเอกสารดังกล่าวได้เสนอให้มีการแก้ไขมาตรา 20 ของร่างพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฉบับใหม่ ที่อยู่ระหว่างการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) โดยให้อำนาจแก่รัฐมนตรีในการออกประกาศระงับข้อมูลที่ส่งด้วยวิธีการเข้ารหัสที่อาศัยเทคโนโลยี SSL (Secure Sockets Layer)

ตามข้อเสนอนี้ รัฐมนตรีจะมีอำนาจในการประกาศหลักเกณฑ์รวมถึงแนวทางในการปฏิบัติ เพื่อจัดการกับข้อมูลที่เผยแพร่โดยอาศัยการเข้ารหัสผ่าน SSL ด้วยวิธีการพิเศษได้ ซึ่งหากผู้ให้บริการอินเทอร์เน็ตไม่ดำเนินการตาม จะมีความผิดตามร่างพ.ร.บ. ฉบับใหม่นี้ โดยความเคลื่อนไหวล่าสุดนี้ สอดคล้องกับการจัดตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ เมื่อต้นปีที่แล้ว ซึ่งมีการทดสอบระบบติดตามสื่อออนไลน์ที่มีการเข้ารหัสป้องกันผ่าน SSL

เครือข่ายพลเมืองเน็ตระบุว่า หากมีการนำมาใช้จริง จะทำให้สามารถเข้าถึงข้อมูลที่เข้ารหัสได้ทุกชนิด ไม่เจาะจงเฉพาะเพียงเนื้อหาที่ผิดกฎหมายหรือศีลธรรมเท่านั้น

เพิ่มเติม จากความเห็นของคุณ Ford Antitrust ด้านล่าง ระบุว่าในเอกสารรวมถึง Public-key encryption ซึ่งแปลว่าไม่ใช่แค่ SSL เท่านั้น แต่ TLS หรือ PGP อาจเข้าข่ายด้วย (อ่านข้อมูลประกอบเพิ่มเติมได้ที่นี่)

ที่มา - เครือข่ายพลเมืองเน็ต

Get latest news from Blognone

Comments

By: artiya4u
AndroidUbuntu
on 26 May 2016 - 13:01 #914758
artiya4u's picture

ใช้ TLS ได้สินะ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 26 May 2016 - 13:55 #914767 Reply to:914758
Ford AntiTrust's picture

ในเอกสารเหมือนยกตัวอย่าง และกล่าวถึง Public-key encryption ซึ่งผมมองว่า TLS ก็เข้าข่ายและ PGP ที่เข้ารหัสข้อความที่มักใช้ในอีเมลก็อาจรวมด้วยครับ (ตอนออกเป็นกฎหมายอาจใช้คำที่กว้างกว่าอย่าง Public-key encryption เพื่อที่เผื่อไว้สำหรับอนาคต หากมีเทคโนโลยีเข้ารหัสอื่นๆ ที่ใช้หลักการเดียวกันบน protocal อื่นๆ)

By: nrad6949
WriterAndroidBlackberryWindows
on 26 May 2016 - 13:19 #914769 Reply to:914758
nrad6949's picture

จากข่าวต้นทางระบุว่าเป็น SSL อย่างเดียว เลยขอยึดจากข่าวก่อนนะครับ


I'm ordinary man; who desires nothing more than just an ordinary chance to live exactly what he likes and do precisely what he wants.

By: stan
ContributoriPhoneAndroidUbuntu
on 26 May 2016 - 13:18 #914768
stan's picture

ตกลงว่ามีเครื่องมือถอดรหัส TLS ได้สมบูรณ์แล้วหรอ หรือว่าใช้วิธี Man in the middle แล้วบังคับประชาชนทุกคนลง Cert ปลอม

By: mr_tawan
ContributoriPhoneAndroidWindows
on 26 May 2016 - 13:43 #914784 Reply to:914768
mr_tawan's picture

ถ้าทำจริงก็ต้องเป็นแบบนั้นครับ

นั่นหมายถึงฉิบหายทุกย่อมหญ้า


  • 9tawan.net บล็อกส่วนตัวฮับ
By: LazarusSP1
ContributoriPhone
on 26 May 2016 - 13:23 #914773
LazarusSP1's picture

ผมนี่ รอดักข้อมูล ธนาคารเลยครับ

By: bouroo
AndroidRed HatUbuntuIn Love
on 26 May 2016 - 13:28 #914774
bouroo's picture

cert แห่งชาติ?

By: Fourpoint
Windows PhoneAndroidSymbian
on 26 May 2016 - 13:29 #914775

ถ้าเอาตามความต้องการที่เขียนมา คงต้องบังคับใช้ cert ปลอมทั้งประเทศ?

By: Mikamura
AndroidUbuntuWindows
on 26 May 2016 - 13:34 #914777

คนออกประกาศรู้หรือเปล่าว่ามันทำไม่ได้จริงในทางปฏิบัติ...

By: waroonh
Windows
on 26 May 2016 - 13:36 #914778

ความกลัว ทำให้เสื่อม

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 26 May 2016 - 13:47 #914787
Ford AntiTrust's picture

แล้วถ้าเปิดใช้งาน Perfect Forward Secrecy หล่ะ ><"

By: put4558350
ContributorAndroidUbuntuWindows
on 26 May 2016 - 14:46 #914824 Reply to:914787
put4558350's picture

ทหารยังอยู่ก็คงมีกตหมายงอกออกมาอีกแหละครับ

ขึ้นบัดใดสู่คอมมิวนิส ลาว (เลือกผู้นำบางกลุ่มไม่ใด้) จีน (ปิดหูปิดตา)


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 26 May 2016 - 14:45 #914823

แล้ว พณ ท่านมีอำนาจ เข้าถึง servr ที่อยู่ต่างประเทศได้

By: lew
FounderJusci&#039;s WriterMEconomicsAndroid
on 26 May 2016 - 15:07 #914836
lew's picture

มุมมองผมคืออย่าไปตื่นตกใจกับเรื่องแบบนี้มาก เพราะถ้านโยบายรัฐคือต้องบล็อคได้ตามใจ (เช่นทุกวันนี้) การตั้งคณะทำงานหรือเสนอซื้อเครื่องอะไรมาเพิ่มเติมก็ไม่ใช่เรื่องน่าแปลกใจ

ในแง่เทคโนโลยี เราควรรู้ข้อจำกัดของเทคโนโลยีในตัวมันเอง มันไม่มีการเข้ารหัสจำนวนบิตเยอะๆ แบบในหนังแล้วไม่มีใครถอดรหัสได้อะไรแบบนั้น เทคโนโลยีมีความซับซ้อนกว่านั้น

อย่าง TLS ไม่ได้ปกปิดว่า "เรากำลังคุยกับใคร" ข้อมูลโดเมนปลายทางเป็นข้อมูลเปิดเผย สามารถดังฟังได้จากทั้งการขอ DNS และหัว SNI (กำลังอยู่ระหว่างการวางมาตรฐานเพิ่มเติมปกปิด) หรือสุดท้ายข้อมูลไอพีก็เปิดเผยอยู่ดี นอกจากจะใช้ TOR

การติดตั้ง root CA เองไม่ใช่การโจมตีแปลกประหลาด ของพวกนี้มีการใช้งานกันในองค์กรเป็นเรื่องปกติสำหรับองค์กรที่ต้องควบคุมข้อมูลเข้าออก การสื่อสารออกไปคงเป็นประเด็นว่าถ้าในอนาคตมีการบังคับติดตั้งจริง ผลกระทบคืออะไรบ้าง การออกใบรับรองโดย CA ที่ไม่ถูกต้องเป็นเรื่องยากมากในช่วงหลังๆ การลงโทษจากฝั่งเบราว์เซอร์รุนแรงและตรวจพบได้เร็ว แม้จะมีความเป็นไปได้แต่ก็น่าจะไม่คุ้มค่านัก


lewcpe.com, @public_lewcpe

By: peat_psuwit
ContributorAndroidUbuntuWindows
on 26 May 2016 - 15:19 #914839 Reply to:914836

+1 ครับ ผมเองก็อยากจะพูดแบบนี้ แต่ว่าไม่รู้จะพูดยังไงดี

หรือสุดท้ายข้อมูลไอพีก็เปิดเผยอยู่ดี นอกจากจะใช้ TOR

ทำไมผมอ่านถึงตรงนี้ แล้วนึกถึงประกาศร่างขอบเขตของงาน (Term of Reference) หละเนี่ย 5555+

By: Fourpoint
Windows PhoneAndroidSymbian
on 26 May 2016 - 16:02 #914862 Reply to:914836

root CA ในองค์กร เกิดได้และถูกกฎหมาย(ไทย) เนื่องจากในสัญญาจ้างจะมีระบุว่า การใช้company resource ต้องทำไปเพื่อการทำงานขององค์กรเท่านั้น ใช้ในเรื่องส่วนตัวถือว่าผิด ฉะนั้นการสอดส่องการใช้งานต่างๆของเครือข่ายในองค์กร ก็ถือว่าไม่ผิด เพราะเป็นการสอดส่องการทำงาน(เขาอ้างว่าเพื่อการmonitor การไหลของข้อมูลลับในการทำงาน ว่ารั่วไหลหรือไม่) ถ้าใครนำไปใช้ส่วนตัวก็ถือว่าผิดกฎบริษัทแต่แรก (เคยเจอหลายบ. remote มา capture หน้าจอของพนักงานโดยไม่รู้ตัวด้วยซ้ำ ส่วนใหญ่ที่เจอคือแอบเล่นเกม ก็โดนกล่าวโทษพักงานกันไป)

แต่ในตปท.เคสนี้อาจถือว่าละเมิดความเป็นส่วนตัว เพราะการใช้email ส่วนตัวในที่ทำงานผ่านpc ของที่ทำงานผ่านinternet ของที่ทำงานเป็นสิทธิ์ส่วนตัว(?)ที่ละเมิดไม่ได้ ส่วนการใช้ทรัพยากรขององค์กรเพื่อธุระส่วนตัวก็เป็นการละเมิดอีกส่วนหนึ่ง ที่ต้องฟ้องร้องแยกตะหาก(คือฟ้องว่าละเมิดใช้ของบ.เพื่อส่วนตัวได้ แต่ไปบังคับสอดส่องไม่ได้?)

แต่พอกลับมามอง scale ระดับประเทศ ผมเข้าใจว่าบางประเทศก็บังคับ root CA ทั้งประเทศกันมาแล้ว ก็เป็นเรื่องในแง่ว่า ประชาชนเป็นเพียงทรัพยากรของท่านผู้นำ เลยต้องโดนสอดส่องได้ตลอดเวลาหรือไม่?

อีกมุมหนึ่ง ผมว่าการดัก หรือตรวจ ว่าคนคนนี้เล่นเวบอะไร ยังไม่น่ากลัวเท่าการบังคับถอดรหัส เพื่อตรวจสอบว่าคนคนนี้ส่งหรือรับข้อความอะไรนะครับ

By: lew
FounderJusci&#039;s WriterMEconomicsAndroid
on 26 May 2016 - 17:18 #914889 Reply to:914862
lew's picture

ต่างประเทศเท่าที่ผมเคยเจอข่าวว่าละเมิดความเป็นส่วนตัว มีแต่เกิดจากไม่ได้แจ้งพนักงานเพียงพอนะครับ (อย่างไรจึงเพียงพอ แต่ละประเทศคงต่างกันไป)

แต่ประเด็นที่ผมจะบอกคือมันไม่ใช่ความมหัศจรรย์อะไร เหมาะสมหรือไม่อีกเรื่อง แต่มันมีใช้งานกัน, เทคนิคพวกนี้มีข้อจำกัดในตัวเอง (ส่วนมากคือตรวจจับได้ง่าย ยิ่งวงใหญ่ยิ่งเจอง่าย) และซอฟต์แวร์เข้ารหัสเอง "รองรับ" กระบวนการพวกนี้ในตัวเอง

ถ้าจะตื่นเต้นราวกับกระบวนการเข้ารหัสจะล่มสลายเพราะมีคนทำเรื่องพวกนี้ มันจะเป็นการตื่นตูมเกินไป


lewcpe.com, @public_lewcpe

By: Fourpoint
Windows PhoneAndroidSymbian
on 26 May 2016 - 18:34 #914915 Reply to:914889

ไม่ได้ตื่นเต้นในแง่ว่าระบบเข้ารหัสจะใช้ไม่ได้

เพราะถ้าโดนบังคับ root CA ระดับประเทศ นั่นคือรัฐถือกุญแจ จะแอบดูใครก็ได้ตามใจชอบ โดยไม่มีใครรับประกันความปลอดภัยในแง่ที่ว่าจะไม่โดนขโมยข้อมูลที่ไม่เกี่ยวข้องกับคดีน่ะสิครับ

และถึงขนาดจะใส่มาในกฎหมาย แสดงว่าเขาก็เตรียมพร้อมระดับนึงที่จะปิดประเทศในแง่ของการสื่อสารเลยทีเดียว...

By: lew
FounderJusci&#039;s WriterMEconomicsAndroid
on 26 May 2016 - 20:15 #914941 Reply to:914915
lew's picture

โอเค ผมพอเข้าใจมุมมองของคุณล่ะครับ แต่มุมมองของผมคือการปักใจเชื่อว่าจะมีการบังคับติดตั้ง root CA จากคำพูดกว้างๆ แบบนี้ดูจะเร็วไปหน่อย และไม่มีอะไรบอกชัดว่าจะใช้แนวทางนี้

แต่แน่นอน เราควรถามหาความชัดเจนจากหน่วยงานรัฐ จะหยุดที่ตรงไหน ถ้าเทคโนโลยีไม่เปิดช่องให้ทำอย่างที่หวัง จะมีขอบเขตไหม


lewcpe.com, @public_lewcpe

By: soullz
AndroidUbuntu
on 26 May 2016 - 15:43 #914852
soullz's picture

ล่าสุด กฎของ ธปท. ออกมากำชับ บังคับแล้ว ไม่ให้ ธนาคารใดๆในประเทศ ใช้หรือเก็บ ข้อมูลในระบบ cloud service ทุกรูปแบบ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 26 May 2016 - 16:50 #914876 Reply to:914852
Ford AntiTrust's picture

การใช้งาน Cloud Computing ถูกกำกับดูแลด้วยแนวทาง IT Outsourcing แต่ต้องไปดูเป็นกรณีว่าจะเข้า Critical IT Outsourcing ด้วยหรือไม่ แต่ต้องขอ ธปท ใช้งานเป็นรายกรณีไป ไม่ใช่ปิดทาง แต่ต้องมีการกำกับดูแล

By: wichate
Android
on 26 May 2016 - 16:51 #914877

"ประกาศระงับข้อมูลที่ส่งด้วยวิธีการเข้ารหัส"

ระงับหมายถึง Block ไม่ใช่เหรอครับ ไม่ได้แปลว่ามีสิทธ์เข้ามาอ่านหรือ Man in the middle

By: Fourpoint
Windows PhoneAndroidSymbian
on 26 May 2016 - 18:39 #914917 Reply to:914877

ระงับ ก็แสดงว่าคุณไม่สามารถใช้การเข้ารหัสในการเชื่อมต่อได้ ต้องเชื่อมต่อแบบ plain text ธรรมดา

ในอีกแง่ ก็คือเขาดูคุณได้ง่ายขึ้นโดยไม่ต้องไปถอดกุญแจอะไรเลย

และจริงๆในประโยคนี้ "รัฐมนตรีอาจประกาศกำหนดหลักเกณฑ์ ระยะเวลาและแนวทางการปฏิบัติสำหรับการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการให้เป็นไปในแนวทางเดียวกันภายใต้พัฒนาการทางเทคโนโลยีที่เปลี่ยนไป เช่น ข้อมูลคอมพิวเตอร์ที่เข้ารหัสด้วยเทคโนโลยี SSL (Secure Socket Layer) ซึ่งถูกสร้างขึ้นมาเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ตที่มีการเข้ารหัสแบบ Public-key encryption นั้น จำเป็นต้องมีวิธีการและเครื่องมือพิเศษในการดำเนินการจึงจะสามารถกระทำได้สำเร็จ …”

อาจตีความแบบกว้างได้ว่า การบังคับให้ใช้ root CA ของทางการ ก็เป็นมาตรการเพื่อป้องกันการหลีกเลี่ยงการระงับของการเข้ารหัสด้วยเช่นกัน โดยถือเป็นวิธีการและเครื่องมือพิเศษ ที่เขียนเอาไว้แล้ว

By: Aoun
AndroidWindows
on 26 May 2016 - 19:55 #914934

The Great China Wall Model

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 26 May 2016 - 20:05 #914938

จัดมาเลยใช้ TOR ตั้งแต่ข่าว SGW แล้ว:3

By: chuchatthai
iPhoneWindows PhoneAndroidRed Hat
on 26 May 2016 - 20:29 #914947
chuchatthai's picture

ค่อยๆรัดครับ
จนหายใจไม่ออกนั่นแหละครับ