Tags:
Node Thumbnail

Rustls โครงการไลบรารีเข้ารหัสภาษา Rust ที่วางแผนจะทำตัวเป็นไลบรารีทดแทน OpenSSL ออกเวอร์ชั่น 0.23.0 โดยเปลี่ยนไลบรารีระดับล่างมาเป็น AWS Libcrypto for Rust (aws-lc-rs) ฟีเจอร์สำคัญคือการรองรับโหมด FIPS ที่จำเป็นต่อการเชื่อมต่อระบบของรัฐบาลกลางสหรัฐฯ และองค์กรหลายแห่งก็มักต้องการโหมดนี้ตามไปด้วย

Tags:
Node Thumbnail

แอปเปิลประกาศเพิ่มโปรโตคอล PQ3 เข้าในแอป iMesseage โดนหัวใจของโปรโตคอลคือการเพิ่มการเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม ขณะเดียวกันก็ลดความเสียหายในกรณีที่ผู้ใช้ทำกุญแจหลุด (forward secrecy) เข้ามาอีกชั้น

โปรแกรมแชตที่รองรับการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมก่อนหน้านี้คือ Signal ที่ใส่โปรโตคอล PQXDH (Post-Quantum Extended Diffie-Hellman) เข้ามา แต่ข้อจำกัดของ PQXDH คือใช้กุญแจเดิมตลอดการเชื่อมต่อ หากคนร้ายโจมตีและได้กุญแจเชื่อมต่อไปก็จะถอดรหัสข้อความทั้งหมดได้ แต่ PQ3 นั้นมีกระบวนการเปลี่ยนกุญแจไปเรื่อยๆ ระหว่างการเชื่อมต่อทำให้แม้กุญแจจะหลุดไปบางส่วนก็ทำให้คนร้ายอ่านข้อมูลได้แค่บางส่วนเท่านั้น

Tags:
Node Thumbnail

BastionZero เปิดแนวทางใช้งาน OpenPubkey เพิ่มเติมจากการใช้เซ็นไฟล์ มาสู่การล็อกอิน Secure Shell เปิดทางให้สามารถล็อกอิน Secure Shell โดยไม่ต้องฝังกุญแจสาธารณะเอาไว้ในเซิร์ฟเวอร์ซึ่งไม่มีวันหมดอายุและเสี่ยงต่อเหตุการณ์กุญแจรั่วไหล

โครงการ OpenPubkey SSH แยกเป็นสองส่วน ส่วนแรกคือการสร้างใบรับรอง SSH ที่ฝัง PK Token ที่ได้จากการล็อกอินแบบ OpenID Connect เข้าไปด้วย ส่วนฝั่งเซิร์ฟเวอร์มีโปรแกรมตรวจสอบใบรับรองโดยอาศัย PK Token เช่นกัน

Tags:
Node Thumbnail

OpenSSH ซอฟต์แวร์ควบคุมเครื่องระยะไกลประกาศแนวทางการยกเลิกรองรับกุญแจล็อกอินแบบ DSA (Digital Signature Algorithm) โดยกุญแจแบบ DSA นี้เป็นกุญแจล็อกอินที่ OpenSSH ใช้ตั้งแต่เวอร์ชั่นแรกเมื่อ OpenSSH ตั้งแต่ปี 1999 หรือ 24 ปีที่แล้ว โดยโค้ดทั้งหมดจะถูกถอดออกภายในต้นปี 2025

Tags:
Node Thumbnail

OpenSSL ออกเวอร์ชั่น 3.2.0 ตัวจริง โดยเพิ่มฟีเจอร์หลายอย่าง ฟีเจอร์ที่สำคัญที่สุดคือการรองรับ QUIC หรือ RFC9000 เปิดทางให้โปรแกรม์ต่างๆ ที่ใช้ OpenSSL เชื่อมต่อกับเซิร์ฟเวอร์ได้เร็วขึ้น

การที่ OpenSSL เพิ่งรองรับ QUIC ครั้งนี้ก็นับว่าช้ากว่ามาตรฐานถึงสองปีครึ่ง ขณะที่เบราว์เซอร์ต่างๆ มักรองรับ QUIC กันล่วงหน้าตั้งแต่มาตรฐานจริงยังไม่ออกมา และ OpenSSL นั้นเป็นไลบรารีสำหรับเชื่อมต่อเท่านั้น ไม่สามารถใช้งานเป็น HTTP/3 client ได้ แม่จะเปิดการเชื่อมต่อได้ก็ตาม

Tags:
Node Thumbnail

ทีมวิจัยจากมหาวิทยาลัยอัมสเตอร์ดัมรายงานถึงผลการทดสอบโยนเหรียญเพื่อดูผลหัวก้อยจากกลุ่มตัวอย่างผู้โยนเหรียญ 50 คน รวมโยนเหรียญไป 350,757 ครั้ง พบว่าความน่าจะเป็นที่เหรียญจะออกข้างเดียวกับตอนเริ่มต้น คิดเป็นความน่าจะเป็น 0.508 โดยมีช่วงความเชื่อมั่น (confidence interval) 95% ที่ 0.506-0.509

การทดลองอาศัยการสุ่มเลือกหน้าเหรียญตั้งต้นครึ่งๆ และดูผลของการโยนเหรียญแต่ละครั้งว่าจะออกหน้าใด โดยถ่ายวิดีโอการโยนเหรียญไว้ทั้งหมด

Tags:
Node Thumbnail

Filippo Valsorda นักวิทยาการเข้ารหัสลับผู้ดูแลโมดูล crypto ในภาษา Go และผู้สร้างโครงการ mkcert ประกาศรางวัลมูลค่า 12,288 ดอลลาร์ (12 KiUSD) สำหรับผู้ที่ค้นหาต้นทางของค่าคงที่ใน Elliptic Curve P-192, P-224, P-256, P-384, และ P-521 ที่ประกาศโดย NIST แต่สร้างมาโดย Jerry Solinas ที่ทำงานอยู่ NSA

ค่าคงที่เหล่านี้เผยแพร่โดย NIST ตามมาตรฐาน FIPS 186 ที่เป็นมาตรฐานความปลอดภัยทำให้มีการใช้งานเป็นวงกว้างอย่างมาก โดยค่าคงที่ในกระบวนการเข้ารหัสนั้นเป็นสิ่งที่ผู้ใช้งานต้องเชื่อใจว่าผู้เลือกค่าคงที่ไม่ได้เลือกมาอย่างเจาะจงให้มีช่องโหว่ กระบวนการเลือกค่าคงที่ของ NIST เองนั้นมีแนวทางว่าที่มาของค่าคงที่ต้อง “สุ่มอย่างตรวจสอบได้”

Tags:
Node Thumbnail

Docker ร่วมกับ BastionZero สร้างโครงการ OpenPubkey ที่เปิดโอกาสให้ผู้ใช้ที่ล็อกอินผ่านทาง OpenID Connect (OIDC) อยู่แล้ว สามารถสร้างกุญแจ public/private ของตัวเองเพื่อนำไปเซ็นเอกสารหรือไฟล์อื่นๆ ได้

Tags:
Node Thumbnail

Cloudflare เริ่มทดสอบกระบวนการแลกกุญแจแบบทนทานต่อคอมพิวเตอร์ควอนตัมมาตั้งแต่ปีที่แล้ว และตอนนี้ก็ประกาศว่ากระบวนการนี้เข้าสู่สถานะ GA เปิดให้ใช้งานได้ทั่วไป ขณะที่ Chrome เองก็กำลังทดลองการรองรับกระบวนการแลกกุญแจแบบนี้ ทำให้ผู้ใช้จำนวนหนึ่งจะเชื่อมต่อแบบทนทานคอมพิวเตอร์ควอนตัมมากขึ้นเรื่อยๆ

การรองรับกระบวนการแลกกุญแจใหม่นี้รองรับทั้งการเชื่อมต่อขาเข้าจากเบราว์เซอร์และขาออกที่ Cloudflare ต้องเชื่อมต่อไปยังเซิร์ฟเวอร์ลูกค้า รวมถึงการเรียกเว็บภายนอกผ่าน Cloudflare Workers ด้วย ส่วนเน็ตเวิร์คภายในของ Cloudflare เองนั้นคาดว่าจะอัพเกรดทั้งหมดได้ภายในสิ้นปี 2024

Tags:
Node Thumbnail

โปรแกรม ssh-keygen ที่ใช้สร้างกุญแจสำหรับล็อกอิน Secure Shell ภายใต้โครงการ OpenSSH เตรียมเปลี่ยนค่าเริ่มต้นการสร้างกุญแจ จากเดิมใช้กระบวนการ RSA มาเป็น Ed25519

กุญแจแบบ Ed25519 นั้นเป็นกุญแจแบบ elliptic curve รองรับใน OpenSSH 6.5 ที่ออกมาตั้งแต่ต้นปี 2014 หรือรวมเกือบสิบปีแล้ว ข้อดีที่เห็นได้ชัดคือกุญแจมีขนาดเล็กลงมาก และประสิทธิภาพโดยรวมดีขึ้น กระบวนการแลกกุญแจภายในยังใช้กระบวนการ Diffie Hellman อยู่

Tags:
Node Thumbnail

กูเกิลประกาศเตรียมใช้โปรโตคอล Message Layer Security (MLS) หรือ RFC9420 ที่เพิ่งออกมาตรฐานตัวจริงเมื่อต้นปีที่ผ่านมา โดยจะใช้งานในแอป Google Messages เพื่อการเข้ารหัสแบบ end-to-end

การใช้โปรโตคอล MLS เปิดโอกาสให้แอปต่างๆ ที่รันบน MLS เหมือนกันสามารถส่งข้อความข้ามแอปกันโดยตัวข้อความยังเข้ารหัส end-to-end อยู่ไม่ต้องถอดรหัสออกมาแปลงโปรโตคอลก่อน ตัวโปรโตคอลรองรับการส่งข้อมูลเป็นกลุ่มระดับหลายพันคน และยังรองรับกระบวนการเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม

Tags:
Node Thumbnail

IETF ประกาศรองรับมาตรฐาน Messaging Layer Security (MLS) สำหรับการส่งข้อมูลเข้ารหัสแบบ end-to-end ที่ได้รับความนิยมกันในหมู่โปรแกรมแชตต่างๆ เช่น Signal แต่ MLS จะเปิดทางให้แอปต่างๆ ที่อาจเคยต้องพัฒนาโปรโตคอลของตัวเองสามารถใช้โปรโตคอลกลางได้ รวมถึงแอปพลิเคชั่นแบบอื่นๆ ที่ไม่ใช่แชตเช่นกัน

กระบวนการเชื่อมต่อแบบเข้ารหัสแบบ end-to-end นั้นมีองค์ประกอบสำคัญคือ ตัวกลางยืนยันตัวตน (Authentication Service - AS) และตัวกลางส่งข้อมูล (Delivery Service - DS) สำหรับ MLS นั้นจะถือว่า AS เชื่อถือได้ไม่ได้โดนแฮก แต่ DS นั้นไม่จำเป็นต้องน่าเชื่อถือ

Tags:
Node Thumbnail

NIST ประกาศผลประกวดกระบวนการเข้ารหัสลับและการแฮชข้อมูลสำหรับอุปกรณ์ขนาดเล็ก จากที่มีผู้ส่งประกวด 57 ราย ได้ผู้ชนะคือ Ascon ที่พัฒนาโดยทีมวิจัยร่วมระหว่าง Graz University of Technology, Infineon Technologies, Lamarr Security Research, และ Radboud University

Tags:
Node Thumbnail

กลุ่มนักวิจัยการเข้ารหัสลับสามคนได้ถอดรหัสจดหมายที่เข้ารหัสไว้ จากหอจดหมายเหตุฝรั่งเศส (Bibliothèque nationale de France - BnF) เป็นจดหมายเข้ารหัสกว่า 50 ฉบับที่ไม่ระบุที่มาที่ไปบอกเพียงว่าเป็น "ข้อความเข้ารหัส" และเก็บรวมกับเอกสารอื่นๆ เกี่ยวกับอิตาลีในช่วงปี 1520-1540 แต่เมื่อถอดรหสัสออกมาแล้วกลับพบว่าเอกสารนี้เป็นจดหมายของราชินีแมรี่แห่งสกอตแลนด์ที่ส่งหาทูตฝรั่งเศสประจำอังกฤษในช่วงปี 1578-1584

จดหมายเข้ารหัสของราชินีแมรี่นับเป็นจุดสำคัญจุดหนึ่งของการเข้ารหัสลับ เพราะจดหมายในช่วงปี 1583-1584 ถูกดักอ่านและถอดรหัสจนแสดงให้เห็นว่าแมรี่เกี่ยวข้องกับแผนสังหารราชินีอลิซาเบธที่ 1 แห่งอังกฤษจนเธอถูกประหารด้วยการตัดหัว

Tags:
Node Thumbnail

NIST ออกเอกสาร FIPS 186-5 มาตรฐานการเซ็นลายเซ็นดิจิทัลโดยปรับปรุงจากมาตรฐานเดิม FIPS 186-4 ที่ออกมาตั้งแต่ปี 2013 มีการปรับปรุงถอดอัลกอริทึม DSA (Digital Signature Algorithm) ออกจากมาตรฐาน หลังจากอยู่ในมาตรฐานมาตั้งแต่ปี 1994

DSA คิดค้นโดย David W. Kravitz เจ้าหน้าที่ NSA ในปี 1991 แม้จะยื่นจดสิทธิบัตรไว้แต่ NIST ก็เปิดให้ใช้งานได้โดยไม่คิดค่าใช้จ่ายทำให้ได้รับความนิยมเป็นวงกว้าง เอกสาร FIPS 186-5 ยังอนุญาตให้ไลบรารีต่างๆ รองรับลายเซ็นแบบ DSA ได้เฉพาะการตรวจสอบลายเซ็นในเอกสารเดิมเท่านั้น ไม่อนุญาตให้เซ็นเอกสารใหม่เพิ่มเติม

สำหรับการเซ็นเอกสารด้วยกระบวนการแบบ RSA มาตรฐานใหม่นี้ยังยกเลิกการเซ็นเอกสารด้วยกุญแจ RSA-1024 ออกไป โดยกุญแจขั้นต่ำต้องเป็น RSA-2048 ขึ้นไปเท่านั้น

Tags:
Node Thumbnail

หลังจากทีมวิจัยจีนตีพิมพ์รายงานวิจัยระบุว่าสามารถแยกตัวประกอบเลขขนาดใหญ่โดยใช้คอมพิวเตอร์ควอนตัมขนาดเล็ก ซึ่งนำไปสู่การแกะการเข้ารหัส RSA-2048 ได้ด้วยคอมพิวเตอร์ควอนตัมขนาดเพียง 372 คิวบิต Scott Aaronson นักวิจัยคอมพิวเตอร์ควอนตัมและผู้อำนวยการ Quantum Information Center มหาวิทยาลัยเท็กซัสก็ออกมาชี้ว่ารายงานฉบับนี้ชี้นำให้เข้าใจไปว่ากระบวนการเร่งความเร็วนี้จะใช้งานได้จริงแม้มีช่องโหว่ในรายงานหลายอย่าง

Tags:
Node Thumbnail

ทีมวิจัยจีนรายงานถึงเทคนิคการแยกตัวประกอบตัวเลขด้วยคอมพิวเตอร์ควอนตัมว่าอาจจะทำได้ง่ายกว่าที่คาดไว้ก่อนหน้านี้ โดยอาศัยการประมาณค่าในคอมพิวเตอร์ควอนตัม (quantum approximate optimization algorithm - QAOA) ทำให้จำนวนคิวบิตที่ใช้ในการแยกตัวประกอบน้อยกว่าที่เคยคิดกันมาก

Tags:
Node Thumbnail

Evan J Johnson อดีตวิศวกรซอฟต์แวร์ของ LastPass ที่ทำงานมาตั้งแต่ช่วงปี 2013-2015 แสดงความเห็นต่อ เหตุการณ์ข้อมูลหลุดครั้งล่าสุดว่าเป็นเหตุการณ์ร้ายแรงที่สุดที่บริษัทเคยเจอ เพราะปกติฐานข้อมูลรหัสผ่านของลูกค้าถูกแยกฐานข้อมูลเอาไว้แล้ว

Johnson ยังเตือนว่ามีข้อมูลหลายอย่างที่คนร้ายเห็นแม้ตัวรหัสผ่านจะเข้ารหัสไว้ด้วยตัว master password ก็ตามที่ ประเด็นหลักๆ ได้แก่

Tags:
Node Thumbnail

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ประกาศแผนการถอดมาตรฐานการแฮช SHA-1 ออกจากมาตรฐานทั้งหมดภายในปี 2030 แม้ว่าจะแนะนำให้เลิกใช้งานเร็วที่สุดที่เป็นไปได้ก็ตาม

กระบวนการแฮชแบบ SHA-1 ถูกใช้งานในมาตรฐานหลายตัวของ NIST โดยเอกสารหลักคือ FIPS-180 เอกสารที่ระบุกระบวนการเข้ารหัสที่ยอมให้ใช้งานที่ NIST ใส่ SHA-1 ไว้ตั้งแต่เวอร์ชั่นแรกของเอกสารที่ออกปี 1993

การถอด SHA-1 ออกจากเอกสารจะทำให้หน่วยงานรัฐบาลกลางสหรัฐฯ ไม่สามารถซื้อซอฟต์แวร์หรือฮาร์ดแวร์ที่ใช้งานกระบวนการแฮช SHA-1 เพื่อรักษาความปลอดภัยได้อีกต่อไป การที่ NIST ประกาศล่วงหน้านานถึง 8 ปีเช่นนี้เพราะโครงการภาครัฐหลายโครงการกินเวลานานหลายปีจึงต้องให้เวลาบริษัทต่างๆ ปรับข้อเสนอโครงการกันแต่เนิ่นๆ

Tags:
Node Thumbnail

นักวิจัยจาก Katholieke Universiteit Leuven (KU Leuven) ในเบลเยียมรายงานถึงการโจมตีกระบวนการแลกกุญแจ Supersingular Isogeny Diffie-Hellman protocol (SIDH) ที่ถูกใช้งานในกระบวนการเข้ารหัส SIKEp434 ที่เพิ่งเข้ารอบ 4 ในกระบวนการคัดเลือกมาตรฐานการเข้ารหัสลับที่ทนทานต่อควอนตัม

การโจมตีนี้ทำให้แฮกเกอร์สามารถดึงกุญแจเข้ารหัสออกมาได้ภายในเวลาเพียงชั่วโมงเดียว บนซีพียูธรรมดาคอร์เดียวเท่านั้น

Tags:
Node Thumbnail

NIST ประกาศผลการคัดเลือกอัลกอริทึมเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม โดยชุดแรกมี 4 อัลกอริทึมที่จะเข้าสู่กระบวนการจัดทำมาตรฐานต่อไป แบ่งเป็นกระบวนการเข้ารหัสแบบกุญแจลับ/กุญแจสาธารณะ 1 รายการ และกระบวนการสร้างลายเซ็นดิจิทัล 3 รายการ

Tags:
Node Thumbnail

William H. Grover จากภาควิชา Bioengineering มหาวิทยาลัยแคลิฟอร์เนียร์ เสนอ CandyCode แนวทางการแจกหมายเลขประจำตัวให้กับยาทุกเม็ดด้วยการเคลือบน้ำตาลสีระหว่างการผลิต ทำให้ผู้ใช้สามารถสืบย้อนกลับไปได้ว่าเป็นยาที่ออกมาจากโรงงานจริงหรือไม่

แนวทางการใช้หมายเลขประจำสินค้าเพื่อสืบย้อนกลับไปถึงผู้ผลิตมีมานาน และหลายครั้งผู้ผลิตก็เปิดให้ตรวจสอบสินค้าว่าเป็นของจริงหรือไม่บนตัวกล่อง แต่แนวทางนี้ก็มีข้อจำกัดเพราะบางครั้งผู้ผลิตสินค้าปลอมใช้กล่องจริงที่ใช้แล้ว หรือในกรณียาบางครั้งผู้ซื้อได้รับยาจากร้านยาโดยไม่ได้รับกล่องจากผู้ผลิตโดยตรง ขณะที่ก่อนหน้านี้มีการเสนอให้พิมพ์ QR ลงบนยาทุกเม็ดมาก่อนแล้ว แต่ QR ที่พิมพ์ลงไปมีขนาดเล็กมากจนต้องใช้เครื่องมือพิเศษในการอ่าน

Tags:
Node Thumbnail

ทีมนักวิจัยรายงานถึงการดึงกุญแจเข้ารหัสโดยอาศัยการจับเวลาตอบสนองของเซิร์ฟเวอร์ แม้ว่าตัวไลบรารีเข้ารหัสจะเป็นแบบใช้เวลาคงที่แล้วก็ตาม แต่เนื่องจากซีพียูมีการปรับสัญญาณนาฬิกาขึ้นลงตามคำสั่งประมวลผล ทำให้เวลาตอบสนองเปลี่ยนไปอยู่ดี เรียกว่าการโจมตี Hertzbleed

Tags:
Node Thumbnail

Jason A. Donenfeld ส่งโค้ดแก้ไขตัวสร้างเลขสุ่มในลินุกซ์ จากเดิมที่ใช้ SHA1 แบบดัดแปลง มาเป็น BLAKE2 ที่ ทำให้ประสิทธิภาพการสร้างเลขสุ่มโดยรวมสูงขึ้นมาก

BLAKE2 เป็นฟังก์ชั่นแฮชที่เคยร่วมแข่งขันเพื่อเป็นมาตรฐาน SHA3 เมื่อปี 2012 และเข้าถึงรอบสุดท้าย แต่แพ้ให้กับ Keccak ไปที่สุด โดยตัวอัลกอริทึมภายใช้การเข้ารหัสแบบ ChaCha ที่มีจุดเด่นด้านความเร็วอยู่แล้ว

Tags:
Node Thumbnail

Coinbase บริษัทค้าเงินคริปโตรายใหญ่ประกาศโอเพนซอร์สไลบรารีเข้ารหัสลับในชื่อ Kryptology โดยระบุว่าตั้งใจให้เป็นไลบรารีที่ปลอดภัย, มีการตรวจสอบโค้ด (audited), และใช้งานได้ง่าย ทำให้นักพัฒนาเผลอใช้งานในรูปแบบที่อันตรายได้ยาก

ตัวไลบรารีเป็นภาษา Go ส่วนอัลกอริทึมที่รองรับเกี่ยวข้องกับ blockchain เช่น การแชร์ข้อมูลลับ (Shamir's secret sharing scheme), การเซ็นลายเซ็นดิจิทัลร่วมกัน (Threshold ECDSA), หรือการสร้างกุญแจแบบกระจายตัว (distributed key generation - DKG)

ไลบรารีกลุ่มนี้เป็นงานค่อนข้างเฉพาะทาง ไม่ใช่กระบวนการเข้ารหัสเพื่อส่งข้อมูลปกติ และแม้ว่าทาง Coinbase จะอ้างถึงการตรวจสอบความปลอดภัยแต่ตอนนี้ก็ยังไม่มีรายงานการตรวจสอบโค้ดแต่อย่างใด

Pages