Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศยกเลิกการใช้กุญแจเข้ารหัสด้วยอัลกอริทึม RSA ที่ความยาวต่ำกว่า 2048 บิต ส่งผลให้กุญแจ RSA 1024 บิตที่ใช้กันมายาวนาน ไม่สามารถใช้ได้อีกต่อไป

กุญแจเข้ารหัส RSA แบบ 1024 บิต มีความยาวของกุญแจ ทนทานต่อการเจาะเพียง 80 บิต ซึ่งถือว่าน้อยแล้วในปัจจุบัน และ NIST หน่วยงานด้านมาตรฐานอุตสาหกรรมของสหรัฐอเมริกา เพิ่งยกเลิกการใช้กุญแจ RSA 1024 บิต ไปเมื่อปี 2013 และให้เป็นเปลี่ยนกุญแจ RSA 2048 บิต หรือกุญแจที่ใช้อัลกอริทึม ECDSA 256 บิตแทน

Tags:
Node Thumbnail

Rustls โครงการไลบรารีเข้ารหัสภาษา Rust ที่วางแผนจะทำตัวเป็นไลบรารีทดแทน OpenSSL ออกเวอร์ชั่น 0.23.0 โดยเปลี่ยนไลบรารีระดับล่างมาเป็น AWS Libcrypto for Rust (aws-lc-rs) ฟีเจอร์สำคัญคือการรองรับโหมด FIPS ที่จำเป็นต่อการเชื่อมต่อระบบของรัฐบาลกลางสหรัฐฯ และองค์กรหลายแห่งก็มักต้องการโหมดนี้ตามไปด้วย

Tags:
Node Thumbnail

แอปเปิลประกาศเพิ่มโปรโตคอล PQ3 เข้าในแอป iMesseage โดนหัวใจของโปรโตคอลคือการเพิ่มการเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม ขณะเดียวกันก็ลดความเสียหายในกรณีที่ผู้ใช้ทำกุญแจหลุด (forward secrecy) เข้ามาอีกชั้น

โปรแกรมแชตที่รองรับการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมก่อนหน้านี้คือ Signal ที่ใส่โปรโตคอล PQXDH (Post-Quantum Extended Diffie-Hellman) เข้ามา แต่ข้อจำกัดของ PQXDH คือใช้กุญแจเดิมตลอดการเชื่อมต่อ หากคนร้ายโจมตีและได้กุญแจเชื่อมต่อไปก็จะถอดรหัสข้อความทั้งหมดได้ แต่ PQ3 นั้นมีกระบวนการเปลี่ยนกุญแจไปเรื่อยๆ ระหว่างการเชื่อมต่อทำให้แม้กุญแจจะหลุดไปบางส่วนก็ทำให้คนร้ายอ่านข้อมูลได้แค่บางส่วนเท่านั้น

Tags:
Node Thumbnail

BastionZero เปิดแนวทางใช้งาน OpenPubkey เพิ่มเติมจากการใช้เซ็นไฟล์ มาสู่การล็อกอิน Secure Shell เปิดทางให้สามารถล็อกอิน Secure Shell โดยไม่ต้องฝังกุญแจสาธารณะเอาไว้ในเซิร์ฟเวอร์ซึ่งไม่มีวันหมดอายุและเสี่ยงต่อเหตุการณ์กุญแจรั่วไหล

โครงการ OpenPubkey SSH แยกเป็นสองส่วน ส่วนแรกคือการสร้างใบรับรอง SSH ที่ฝัง PK Token ที่ได้จากการล็อกอินแบบ OpenID Connect เข้าไปด้วย ส่วนฝั่งเซิร์ฟเวอร์มีโปรแกรมตรวจสอบใบรับรองโดยอาศัย PK Token เช่นกัน

Tags:
Node Thumbnail

OpenSSH ซอฟต์แวร์ควบคุมเครื่องระยะไกลประกาศแนวทางการยกเลิกรองรับกุญแจล็อกอินแบบ DSA (Digital Signature Algorithm) โดยกุญแจแบบ DSA นี้เป็นกุญแจล็อกอินที่ OpenSSH ใช้ตั้งแต่เวอร์ชั่นแรกเมื่อ OpenSSH ตั้งแต่ปี 1999 หรือ 24 ปีที่แล้ว โดยโค้ดทั้งหมดจะถูกถอดออกภายในต้นปี 2025

Tags:
Node Thumbnail

OpenSSL ออกเวอร์ชั่น 3.2.0 ตัวจริง โดยเพิ่มฟีเจอร์หลายอย่าง ฟีเจอร์ที่สำคัญที่สุดคือการรองรับ QUIC หรือ RFC9000 เปิดทางให้โปรแกรม์ต่างๆ ที่ใช้ OpenSSL เชื่อมต่อกับเซิร์ฟเวอร์ได้เร็วขึ้น

การที่ OpenSSL เพิ่งรองรับ QUIC ครั้งนี้ก็นับว่าช้ากว่ามาตรฐานถึงสองปีครึ่ง ขณะที่เบราว์เซอร์ต่างๆ มักรองรับ QUIC กันล่วงหน้าตั้งแต่มาตรฐานจริงยังไม่ออกมา และ OpenSSL นั้นเป็นไลบรารีสำหรับเชื่อมต่อเท่านั้น ไม่สามารถใช้งานเป็น HTTP/3 client ได้ แม่จะเปิดการเชื่อมต่อได้ก็ตาม

Tags:
Node Thumbnail

ทีมวิจัยจากมหาวิทยาลัยอัมสเตอร์ดัมรายงานถึงผลการทดสอบโยนเหรียญเพื่อดูผลหัวก้อยจากกลุ่มตัวอย่างผู้โยนเหรียญ 50 คน รวมโยนเหรียญไป 350,757 ครั้ง พบว่าความน่าจะเป็นที่เหรียญจะออกข้างเดียวกับตอนเริ่มต้น คิดเป็นความน่าจะเป็น 0.508 โดยมีช่วงความเชื่อมั่น (confidence interval) 95% ที่ 0.506-0.509

การทดลองอาศัยการสุ่มเลือกหน้าเหรียญตั้งต้นครึ่งๆ และดูผลของการโยนเหรียญแต่ละครั้งว่าจะออกหน้าใด โดยถ่ายวิดีโอการโยนเหรียญไว้ทั้งหมด

Tags:
Node Thumbnail

Filippo Valsorda นักวิทยาการเข้ารหัสลับผู้ดูแลโมดูล crypto ในภาษา Go และผู้สร้างโครงการ mkcert ประกาศรางวัลมูลค่า 12,288 ดอลลาร์ (12 KiUSD) สำหรับผู้ที่ค้นหาต้นทางของค่าคงที่ใน Elliptic Curve P-192, P-224, P-256, P-384, และ P-521 ที่ประกาศโดย NIST แต่สร้างมาโดย Jerry Solinas ที่ทำงานอยู่ NSA

ค่าคงที่เหล่านี้เผยแพร่โดย NIST ตามมาตรฐาน FIPS 186 ที่เป็นมาตรฐานความปลอดภัยทำให้มีการใช้งานเป็นวงกว้างอย่างมาก โดยค่าคงที่ในกระบวนการเข้ารหัสนั้นเป็นสิ่งที่ผู้ใช้งานต้องเชื่อใจว่าผู้เลือกค่าคงที่ไม่ได้เลือกมาอย่างเจาะจงให้มีช่องโหว่ กระบวนการเลือกค่าคงที่ของ NIST เองนั้นมีแนวทางว่าที่มาของค่าคงที่ต้อง “สุ่มอย่างตรวจสอบได้”

Tags:
Node Thumbnail

Docker ร่วมกับ BastionZero สร้างโครงการ OpenPubkey ที่เปิดโอกาสให้ผู้ใช้ที่ล็อกอินผ่านทาง OpenID Connect (OIDC) อยู่แล้ว สามารถสร้างกุญแจ public/private ของตัวเองเพื่อนำไปเซ็นเอกสารหรือไฟล์อื่นๆ ได้

Tags:
Node Thumbnail

Cloudflare เริ่มทดสอบกระบวนการแลกกุญแจแบบทนทานต่อคอมพิวเตอร์ควอนตัมมาตั้งแต่ปีที่แล้ว และตอนนี้ก็ประกาศว่ากระบวนการนี้เข้าสู่สถานะ GA เปิดให้ใช้งานได้ทั่วไป ขณะที่ Chrome เองก็กำลังทดลองการรองรับกระบวนการแลกกุญแจแบบนี้ ทำให้ผู้ใช้จำนวนหนึ่งจะเชื่อมต่อแบบทนทานคอมพิวเตอร์ควอนตัมมากขึ้นเรื่อยๆ

การรองรับกระบวนการแลกกุญแจใหม่นี้รองรับทั้งการเชื่อมต่อขาเข้าจากเบราว์เซอร์และขาออกที่ Cloudflare ต้องเชื่อมต่อไปยังเซิร์ฟเวอร์ลูกค้า รวมถึงการเรียกเว็บภายนอกผ่าน Cloudflare Workers ด้วย ส่วนเน็ตเวิร์คภายในของ Cloudflare เองนั้นคาดว่าจะอัพเกรดทั้งหมดได้ภายในสิ้นปี 2024

Tags:
Node Thumbnail

โปรแกรม ssh-keygen ที่ใช้สร้างกุญแจสำหรับล็อกอิน Secure Shell ภายใต้โครงการ OpenSSH เตรียมเปลี่ยนค่าเริ่มต้นการสร้างกุญแจ จากเดิมใช้กระบวนการ RSA มาเป็น Ed25519

กุญแจแบบ Ed25519 นั้นเป็นกุญแจแบบ elliptic curve รองรับใน OpenSSH 6.5 ที่ออกมาตั้งแต่ต้นปี 2014 หรือรวมเกือบสิบปีแล้ว ข้อดีที่เห็นได้ชัดคือกุญแจมีขนาดเล็กลงมาก และประสิทธิภาพโดยรวมดีขึ้น กระบวนการแลกกุญแจภายในยังใช้กระบวนการ Diffie Hellman อยู่

Tags:
Node Thumbnail

กูเกิลประกาศเตรียมใช้โปรโตคอล Message Layer Security (MLS) หรือ RFC9420 ที่เพิ่งออกมาตรฐานตัวจริงเมื่อต้นปีที่ผ่านมา โดยจะใช้งานในแอป Google Messages เพื่อการเข้ารหัสแบบ end-to-end

การใช้โปรโตคอล MLS เปิดโอกาสให้แอปต่างๆ ที่รันบน MLS เหมือนกันสามารถส่งข้อความข้ามแอปกันโดยตัวข้อความยังเข้ารหัส end-to-end อยู่ไม่ต้องถอดรหัสออกมาแปลงโปรโตคอลก่อน ตัวโปรโตคอลรองรับการส่งข้อมูลเป็นกลุ่มระดับหลายพันคน และยังรองรับกระบวนการเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม

Tags:
Node Thumbnail

IETF ประกาศรองรับมาตรฐาน Messaging Layer Security (MLS) สำหรับการส่งข้อมูลเข้ารหัสแบบ end-to-end ที่ได้รับความนิยมกันในหมู่โปรแกรมแชตต่างๆ เช่น Signal แต่ MLS จะเปิดทางให้แอปต่างๆ ที่อาจเคยต้องพัฒนาโปรโตคอลของตัวเองสามารถใช้โปรโตคอลกลางได้ รวมถึงแอปพลิเคชั่นแบบอื่นๆ ที่ไม่ใช่แชตเช่นกัน

กระบวนการเชื่อมต่อแบบเข้ารหัสแบบ end-to-end นั้นมีองค์ประกอบสำคัญคือ ตัวกลางยืนยันตัวตน (Authentication Service - AS) และตัวกลางส่งข้อมูล (Delivery Service - DS) สำหรับ MLS นั้นจะถือว่า AS เชื่อถือได้ไม่ได้โดนแฮก แต่ DS นั้นไม่จำเป็นต้องน่าเชื่อถือ

Tags:
Node Thumbnail

NIST ประกาศผลประกวดกระบวนการเข้ารหัสลับและการแฮชข้อมูลสำหรับอุปกรณ์ขนาดเล็ก จากที่มีผู้ส่งประกวด 57 ราย ได้ผู้ชนะคือ Ascon ที่พัฒนาโดยทีมวิจัยร่วมระหว่าง Graz University of Technology, Infineon Technologies, Lamarr Security Research, และ Radboud University

Tags:
Node Thumbnail

กลุ่มนักวิจัยการเข้ารหัสลับสามคนได้ถอดรหัสจดหมายที่เข้ารหัสไว้ จากหอจดหมายเหตุฝรั่งเศส (Bibliothèque nationale de France - BnF) เป็นจดหมายเข้ารหัสกว่า 50 ฉบับที่ไม่ระบุที่มาที่ไปบอกเพียงว่าเป็น "ข้อความเข้ารหัส" และเก็บรวมกับเอกสารอื่นๆ เกี่ยวกับอิตาลีในช่วงปี 1520-1540 แต่เมื่อถอดรหสัสออกมาแล้วกลับพบว่าเอกสารนี้เป็นจดหมายของราชินีแมรี่แห่งสกอตแลนด์ที่ส่งหาทูตฝรั่งเศสประจำอังกฤษในช่วงปี 1578-1584

จดหมายเข้ารหัสของราชินีแมรี่นับเป็นจุดสำคัญจุดหนึ่งของการเข้ารหัสลับ เพราะจดหมายในช่วงปี 1583-1584 ถูกดักอ่านและถอดรหัสจนแสดงให้เห็นว่าแมรี่เกี่ยวข้องกับแผนสังหารราชินีอลิซาเบธที่ 1 แห่งอังกฤษจนเธอถูกประหารด้วยการตัดหัว

Tags:
Node Thumbnail

NIST ออกเอกสาร FIPS 186-5 มาตรฐานการเซ็นลายเซ็นดิจิทัลโดยปรับปรุงจากมาตรฐานเดิม FIPS 186-4 ที่ออกมาตั้งแต่ปี 2013 มีการปรับปรุงถอดอัลกอริทึม DSA (Digital Signature Algorithm) ออกจากมาตรฐาน หลังจากอยู่ในมาตรฐานมาตั้งแต่ปี 1994

DSA คิดค้นโดย David W. Kravitz เจ้าหน้าที่ NSA ในปี 1991 แม้จะยื่นจดสิทธิบัตรไว้แต่ NIST ก็เปิดให้ใช้งานได้โดยไม่คิดค่าใช้จ่ายทำให้ได้รับความนิยมเป็นวงกว้าง เอกสาร FIPS 186-5 ยังอนุญาตให้ไลบรารีต่างๆ รองรับลายเซ็นแบบ DSA ได้เฉพาะการตรวจสอบลายเซ็นในเอกสารเดิมเท่านั้น ไม่อนุญาตให้เซ็นเอกสารใหม่เพิ่มเติม

สำหรับการเซ็นเอกสารด้วยกระบวนการแบบ RSA มาตรฐานใหม่นี้ยังยกเลิกการเซ็นเอกสารด้วยกุญแจ RSA-1024 ออกไป โดยกุญแจขั้นต่ำต้องเป็น RSA-2048 ขึ้นไปเท่านั้น

Tags:
Node Thumbnail

หลังจากทีมวิจัยจีนตีพิมพ์รายงานวิจัยระบุว่าสามารถแยกตัวประกอบเลขขนาดใหญ่โดยใช้คอมพิวเตอร์ควอนตัมขนาดเล็ก ซึ่งนำไปสู่การแกะการเข้ารหัส RSA-2048 ได้ด้วยคอมพิวเตอร์ควอนตัมขนาดเพียง 372 คิวบิต Scott Aaronson นักวิจัยคอมพิวเตอร์ควอนตัมและผู้อำนวยการ Quantum Information Center มหาวิทยาลัยเท็กซัสก็ออกมาชี้ว่ารายงานฉบับนี้ชี้นำให้เข้าใจไปว่ากระบวนการเร่งความเร็วนี้จะใช้งานได้จริงแม้มีช่องโหว่ในรายงานหลายอย่าง

Tags:
Node Thumbnail

ทีมวิจัยจีนรายงานถึงเทคนิคการแยกตัวประกอบตัวเลขด้วยคอมพิวเตอร์ควอนตัมว่าอาจจะทำได้ง่ายกว่าที่คาดไว้ก่อนหน้านี้ โดยอาศัยการประมาณค่าในคอมพิวเตอร์ควอนตัม (quantum approximate optimization algorithm - QAOA) ทำให้จำนวนคิวบิตที่ใช้ในการแยกตัวประกอบน้อยกว่าที่เคยคิดกันมาก

Tags:
Node Thumbnail

Evan J Johnson อดีตวิศวกรซอฟต์แวร์ของ LastPass ที่ทำงานมาตั้งแต่ช่วงปี 2013-2015 แสดงความเห็นต่อ เหตุการณ์ข้อมูลหลุดครั้งล่าสุดว่าเป็นเหตุการณ์ร้ายแรงที่สุดที่บริษัทเคยเจอ เพราะปกติฐานข้อมูลรหัสผ่านของลูกค้าถูกแยกฐานข้อมูลเอาไว้แล้ว

Johnson ยังเตือนว่ามีข้อมูลหลายอย่างที่คนร้ายเห็นแม้ตัวรหัสผ่านจะเข้ารหัสไว้ด้วยตัว master password ก็ตามที่ ประเด็นหลักๆ ได้แก่

Tags:
Node Thumbnail

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ประกาศแผนการถอดมาตรฐานการแฮช SHA-1 ออกจากมาตรฐานทั้งหมดภายในปี 2030 แม้ว่าจะแนะนำให้เลิกใช้งานเร็วที่สุดที่เป็นไปได้ก็ตาม

กระบวนการแฮชแบบ SHA-1 ถูกใช้งานในมาตรฐานหลายตัวของ NIST โดยเอกสารหลักคือ FIPS-180 เอกสารที่ระบุกระบวนการเข้ารหัสที่ยอมให้ใช้งานที่ NIST ใส่ SHA-1 ไว้ตั้งแต่เวอร์ชั่นแรกของเอกสารที่ออกปี 1993

การถอด SHA-1 ออกจากเอกสารจะทำให้หน่วยงานรัฐบาลกลางสหรัฐฯ ไม่สามารถซื้อซอฟต์แวร์หรือฮาร์ดแวร์ที่ใช้งานกระบวนการแฮช SHA-1 เพื่อรักษาความปลอดภัยได้อีกต่อไป การที่ NIST ประกาศล่วงหน้านานถึง 8 ปีเช่นนี้เพราะโครงการภาครัฐหลายโครงการกินเวลานานหลายปีจึงต้องให้เวลาบริษัทต่างๆ ปรับข้อเสนอโครงการกันแต่เนิ่นๆ

Tags:
Node Thumbnail

นักวิจัยจาก Katholieke Universiteit Leuven (KU Leuven) ในเบลเยียมรายงานถึงการโจมตีกระบวนการแลกกุญแจ Supersingular Isogeny Diffie-Hellman protocol (SIDH) ที่ถูกใช้งานในกระบวนการเข้ารหัส SIKEp434 ที่เพิ่งเข้ารอบ 4 ในกระบวนการคัดเลือกมาตรฐานการเข้ารหัสลับที่ทนทานต่อควอนตัม

การโจมตีนี้ทำให้แฮกเกอร์สามารถดึงกุญแจเข้ารหัสออกมาได้ภายในเวลาเพียงชั่วโมงเดียว บนซีพียูธรรมดาคอร์เดียวเท่านั้น

Tags:
Node Thumbnail

NIST ประกาศผลการคัดเลือกอัลกอริทึมเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม โดยชุดแรกมี 4 อัลกอริทึมที่จะเข้าสู่กระบวนการจัดทำมาตรฐานต่อไป แบ่งเป็นกระบวนการเข้ารหัสแบบกุญแจลับ/กุญแจสาธารณะ 1 รายการ และกระบวนการสร้างลายเซ็นดิจิทัล 3 รายการ

Tags:
Node Thumbnail

William H. Grover จากภาควิชา Bioengineering มหาวิทยาลัยแคลิฟอร์เนียร์ เสนอ CandyCode แนวทางการแจกหมายเลขประจำตัวให้กับยาทุกเม็ดด้วยการเคลือบน้ำตาลสีระหว่างการผลิต ทำให้ผู้ใช้สามารถสืบย้อนกลับไปได้ว่าเป็นยาที่ออกมาจากโรงงานจริงหรือไม่

แนวทางการใช้หมายเลขประจำสินค้าเพื่อสืบย้อนกลับไปถึงผู้ผลิตมีมานาน และหลายครั้งผู้ผลิตก็เปิดให้ตรวจสอบสินค้าว่าเป็นของจริงหรือไม่บนตัวกล่อง แต่แนวทางนี้ก็มีข้อจำกัดเพราะบางครั้งผู้ผลิตสินค้าปลอมใช้กล่องจริงที่ใช้แล้ว หรือในกรณียาบางครั้งผู้ซื้อได้รับยาจากร้านยาโดยไม่ได้รับกล่องจากผู้ผลิตโดยตรง ขณะที่ก่อนหน้านี้มีการเสนอให้พิมพ์ QR ลงบนยาทุกเม็ดมาก่อนแล้ว แต่ QR ที่พิมพ์ลงไปมีขนาดเล็กมากจนต้องใช้เครื่องมือพิเศษในการอ่าน

Tags:
Node Thumbnail

ทีมนักวิจัยรายงานถึงการดึงกุญแจเข้ารหัสโดยอาศัยการจับเวลาตอบสนองของเซิร์ฟเวอร์ แม้ว่าตัวไลบรารีเข้ารหัสจะเป็นแบบใช้เวลาคงที่แล้วก็ตาม แต่เนื่องจากซีพียูมีการปรับสัญญาณนาฬิกาขึ้นลงตามคำสั่งประมวลผล ทำให้เวลาตอบสนองเปลี่ยนไปอยู่ดี เรียกว่าการโจมตี Hertzbleed

Tags:
Node Thumbnail

Jason A. Donenfeld ส่งโค้ดแก้ไขตัวสร้างเลขสุ่มในลินุกซ์ จากเดิมที่ใช้ SHA1 แบบดัดแปลง มาเป็น BLAKE2 ที่ ทำให้ประสิทธิภาพการสร้างเลขสุ่มโดยรวมสูงขึ้นมาก

BLAKE2 เป็นฟังก์ชั่นแฮชที่เคยร่วมแข่งขันเพื่อเป็นมาตรฐาน SHA3 เมื่อปี 2012 และเข้าถึงรอบสุดท้าย แต่แพ้ให้กับ Keccak ไปที่สุด โดยตัวอัลกอริทึมภายใช้การเข้ารหัสแบบ ChaCha ที่มีจุดเด่นด้านความเร็วอยู่แล้ว

Pages