Tags:
Node Thumbnail

กระทรวงพาณิชย์สหรัฐฯ (Department of Commerce) ประกาศรับรองมาตรฐาน FIPS 202 ที่เป็นมาตรฐานการแฮชแบบ SHA-3 โดยมีผลตั้งแต่วันนี้ (5 สิงหาคม) เป็นต้นไป

SHA-3 มาจากการแข่งขันหลายรอบตั้งแต่ปี 2007 (รายงานผลการแข่งรอบสอง, รอบสาม) และได้อัลกอริทึม Keccak เป็นผู้ชนะ รวมเวลาออกเป็นมาตรฐานจริงถึง 8 ปี

เอกสารมาตรฐาน FIPS 202 ออกมาตั้งแต่เดือนพฤษภาคมที่ผ่านมา การรับรองจากกระทรวงพาณิชย์รอบนี้ก็จะทำให้หน่วยงานรัฐสามารถใช้งานได้แล้ว

Tags:
Node Thumbnail

ข้อวิตกกังวลประการสำคัญของการใช้คลาวด์แบบ public cloud คือความปลอดภัยของข้อมูลที่ไปเก็บอยู่บน "เซิร์ฟเวอร์ตัวไหนก็ไม่รู้" นอกองค์กร ถึงแม้ผู้ให้บริการคลาวด์จะมีตัวช่วยเข้ารหัสข้อมูล ก็ยังมีคำถามอยู่ดีว่าผู้ให้บริการเองสามารถดูข้อมูลของเราได้หรือไม่

ล่าสุด Google Cloud Platform จึงอนุญาตให้ฝั่งผู้ใช้งานสามารถใช้คีย์ของตัวเองเข้ารหัสข้อมูลบนคลาวด์ของกูเกิลได้ บริการนี้เรียกว่า Customer-Supplied Encryption Keys ซึ่งยังอยู่ในช่วงทดสอบแบบเบต้า และให้บริการฟรีสำหรับลูกค้าทุกรายโดยไม่คิดเงินเพิ่ม

Tags:
Node Thumbnail

ทั้ง FBI และ NSA ออกมาแสดงท่าทีว่าต้องการบังคับให้มีช่องทางเข้าถึงข้อมูลที่เข้ารหัส และโต้เถียงกับกลุ่มผู้บริหารบริษัทไอทีและองค์กรต่างๆ หลายครั้ง ตอนนี้องค์กรเหล่านั้นก็รวมตัวกันส่งจดหมายเปิดผนึกถึงโอบามา ข้อความส่วนหนึ่งระบุว่า

เราเตือนให้ท่านปฎิเสธข้อเสนอใดๆ ที่บังคับให้บริษัทสหรัฐฯ ทำให้สินค้าของพวกเขาอ่อนแอลงอย่างจงใจ เราเรียกร้องต่อทำเนียบขาวให้สร้างนโยบายที่สนับสนุนการเข้ารหัสที่แข็งแกร่งแทนที่จะขัดขวาง นโยบายนี้จะช่วยให้มีการปกป้องความปลอดภัยไซเบอร์, การเติบโตทางเศรษฐกิจ, และสิทธิมนุษยชน ทั้งในประเทศและต่างประเทศ

Tags:
Node Thumbnail

ไมโครซอฟท์ออกอัพเดตให้กับ Windows 7 ขึ้นไป และ Windows Server 2008 ให้รองรับกระบวนการเข้ารหัสชุดใหม่เพิ่มเติมอีกสี่แบบ และจัดเรียงลำดับกระบวนการเข้ารหัสเสียใหม่ ทำให้เครื่องที่ติดตั้งอัพเดตนี้เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ที่รองรับ จะพยายามใช้กระบวนการเข้ารหัสที่รับประกันความลับในอนาคต (perfect forward secrecy - PFS)

Tags:
Node Thumbnail

กระบวนการเข้ารหัสเว็บก่อนหน้านี้เราได้ยินกันบ่อยๆ เช่น RC4 ถูกเตือนว่าไม่ปลอดภัยมาเป็นเวลานาน ทำให้เว็บส่วนใหญ่เน้นใช้งาน AES ที่เป็นมาตรฐานกว่า แต่ AES เองก็มีปัญหากินซีพียูสูง ทำให้ไม่เหมาะกับการใช้งานบนโทรศัพท์มือถือที่ซีพียูประสิทธิภาพไม่ดีนัก ทาง CloudFlare ก็ออกมาประกาศชุดเข้ารหัสทางเลือก คือ ChaCha20/Poly1305 ที่ให้ความปลอดภัยที่ดี ยังไม่พบช่องโหว่ร้ายแรง และกินพลังประมวลผลต่ำ

Tags:
Node Thumbnail

GPG หรือ Gnu Privacy Guard เริ่มพัฒนามาตั้งแต่ปี 1997 และออกรุ่น 1.0 ในปี 1999 โดย Werner Koch นักพัฒนาหลักมาตลอดโดยตั้งบริษัท g10code ขึ้นมาเพื่อรับเงินและตัว Werner เองก็ออกมาทำงานเต็มเวลาในบริษัทนี้ แต่ปรากฎว่าบริษัทนี้อยู่ในสภาพย่ำแย่มาโดยตลอด ฐานะทางการเงินติดลบ ช่วงสองปีหลังเหลือ Werner เป็นนักพัฒนาเต็มเวลาเพียงคนเดียว จนกระทั่งคิดว่าจะเลิกทำโครงการนี้เต็มเวลาแล้วไปทำงานบริษัทในช่วงปี 2013

แต่หลังจาก Edward Snowden เปิดเผยข้อมูลจำนวนมากโดยอาศัย GPG เป็นส่วนสำคัญในการสื่อสาร Werner ก็ตัดสินใจเดินหน้าพัฒนาต่อ และพยายามระดมทุนเพื่อให้มีนักพัฒนาเพิ่มเติม โดยตั้งเป้าระดมทุน 137,000 ดอลลาร์ แต่ก็ยังไม่ได้ตามที่หวัง

Tags:
Node Thumbnail

บริการ Peerio บริการที่เน้นความปลอดภัยด้วยการเข้ารหัสแบบ end-to-end เปิดตัวแบบเบต้าให้คนทั่วไปสมัครใช้งานได้แล้วในวันนี้

ตัวบริการ Peerio เองจะเป็นลูกผสมระหว่างแชตและอีเมลโดยข้อความที่ส่งไปมามีหัวข้อและเนื้อหาแบบเดียวกับอีเมล ขณะเดียวกันก็สามารถส่งข้อความบรรทัดเดียวแบบแชตไปเลยได้ และที่สำคัญคือสามารถแนบไฟล์ไปได้สูงสุดถึง 400 เมกะไบต์

หนึ่งในกลุ่มผู้สร้าง Peerio คือ Nadim Kobeissi ผู้สร้าง Cryptocat และ miniLock ก่อนหน้านี้ Cryptocat เคยมีบั๊กทำให้สามารถถอดรหัสการแชตแบบกลุ่มได้ รอบนี้ Peerio จ้างบริษัทความปลอดภัย Cure53 มาตรวจสอบโค้ดเพื่อหาช่องโหว่ก่อนเปิดตัวเพื่อไม่ให้พลาดซ้ำสอง

Tags:
Node Thumbnail

เอกสาร draft-ietf-tls-prohibiting-rc4-01 ที่เสนอโดยไมโครซอฟท์กำลังเข้าสู่กระบวนการสุดท้ายก่อนออกเป็นมาตรฐาน เพื่อยกเลิกการใช้กระบวนการเข้ารหัสแบบ RC4 ในการเชื่อมต่อแบบ TLS ทุกรูปแบบ

มาตรฐานนี้ระบุว่าไคลเอนต์ทุกตัวจะต้องไม่รองรับการเข้ารหัสแบบ RC4 ในเมสเสจ ClientHello อีกต่อไป ขณะที่เซิร์ฟเวอร์ก็จะไม่เสนอ RC4 ให้ไคลเอนต์เลือก ที่สำคัญคือหากไคลเอนต์ระบุว่าเชื่อมต่อได้เฉพาะการเข้ารหัสแบบ RC4 เซิร์ฟเวอร์จะต้องยกเลิกการเชื่อมต่อทันที

Tags:
Node Thumbnail

ฟังก์ชั่นสร้างเลขสุ่มเทียม RC4 ถูกสร้างขึ้นมาเป็นสินค้าตัวแรกๆ ของบริษัท RSA ตั้งแต่ 25 ปีที่แล้ว (เป็นความลับทางการค้าแต่ถูกเปิดเผยอัลกอริทึมภายหลัง) ทุกวันนี้ยังถูกใช้งานจำนวนมากเพราะความง่ายในการอิมพลีเมนต์และความเร็วในการทำงาน แต่ขณะเดียวกับ RC4 ก็มีความอ่อนแอที่รู้กันหลายจุด เช่น ค่าที่สร้างออกมามีความโน้มเอียงตามค่ากุญแจเริ่มต้น, หากใครรู้ค่าสถานะภายในของอัลกอริทึมก็อาจจะกู้คืนกุญแจกลับมาได้, และสามารถสังเกตได้ว่าเอาท์พุตไม่ใช่ค่าสุ่มหากสังเกตตัวอย่างจำนวน 2^41 ตัวอย่าง

Tags:
Node Thumbnail

BlackBerry เข้าซื้อ Secusmart ผู้เชี่ยวชาญด้านการเข้ารหัสข้อมูลบนโทรศัพท์มือถือทั้งเสียงและข้อมูล โดยเทคโนโลยีการเข้ารหัสของ Secusmart ผ่านมาตรฐาน NATA สำหรับการส่งข้อมูลสำคัญ

แนวทางของ BlackBerry ช่วงหลังน่าจะเปลี่ยนไปจากความพยายามบุกตลาดผู้ใช้ทั่วไป กลับไปมุ่งตลาดองค์กรและรัฐบาลที่ต้องการความปลอดภัยสูง

ความที่ Secusmart เป็นบริษัทเยอรมัน และ BlackBerry เองเป็นบริษัทแคนาดา น่าจะช่วยให้ BlackBerry สามารถบุกตลาดองค์กรและรัฐบาลที่กังวลกับการดักฟังของ NSA ได้ เมื่อวานนี้เองรัฐบาลเยอรมันก็เพิ่งประกาศซื้อ BlackBerry พร้อม Secusmart อีกสองหมื่นเครื่อง

Tags:
Node Thumbnail

ซิสโก้ปล่อยไลบรารี Flexible Naor and Reingold หรือ FNR รูปแบบการเข้ารหัสสำหรับข้อมูลขนาดเล็กมากๆ เช่น หมายเลขไอพี, หมายเลข MAC, หรือหมายเลขบัตรเครดิต

ข้อเสียของกระบวนการเข้ารหัสทุกวันนี้คือมาตรฐานส่วนมากมักกำหนดขนาดบล็อคข้อมูลเอาไว้ตายตัว เช่น AES นั้นข้อมูลที่ใช้เข้ารหัสต้องมีขนาด 128/192/256 บิต หากขนาดข้อมูลไม่ลงตัวตามขนาดบล็อคก็ต้องเติมค่าว่างให้เต็มก่อนเข้ารหัส

libfnr สามารถเข้ารหัสข้อมูลเหล่านี้ได้โดยไม่เพิ่มขนาดให้ข้อมูลแม้แต่น้อย คุณสมบัตินี้สำคัญมากในกรณีที่เราต้องส่งข้อมูลไปยังระบบอื่นๆ ที่ล็อกขนาดข้อมูล เช่น ซอฟต์แวร์เก่าๆ ที่หลายครั้งกำหนดรูปแบบการส่งข้อมูลเป็น fixed-length

Tags:
Node Thumbnail

หลังจากปัญหา Heartbleed ใน OpenSSL สร้างความเสียหายเป็นวงกว้าง ตอนนี้กูเกิลก็เปิดโครงการ BoringSSL ของตัวเองออกสู่สาธารณะแล้ว

ก่อนหน้านี้กูเกิลมีแพตซ์ของ OpenSSL ของตัวเองมาเสมอ แต่อาศัยการดึงโค้ดจาก OpenSSL มาแพตซ์เป็นครั้งๆ ไป จนตอนนี้มีแพตซ์ของกูเกิลเองมากกว่า 70 ชุดที่ต้องรวมเข้ากับโครงการ OpenSSL ทุกครั้งที่มีเวอร์ชั่นใหม่ ตอนนี้กูเกิลตัดสินใจที่จะแยกโครงการออกมาเป็นของตัวเองเพื่อความสะดวกในการจัดการ

Tags:
Node Thumbnail

BBM Protected เปิดตัวไปตั้งแต่ต้นปีที่ผ่านมา วันนี้ก็เริ่มเปิดให้ดาวน์โหลดแล้วสำหรับคนที่ใช้ฮาร์ดแวร์ของ Blackberry เอง โดยรองรับในเครื่องแทบทุกรุ่น ตั้งแต่ Blackbery OS 6.0 ขึ้นไป

Tags:
Node Thumbnail

กลุ่มขุดบิทคอยน์ GHash.IO มีพลังประมวลผลอันดับหนึ่งของโลกในตอนนี้ และเคยประกาศหยุดรับสมาชิกเพิ่มเมื่อมีพลังแฮช 40% ของเครือข่ายบิทคอยน์ทั้งหมด แต่กลุ่มนี้ก็ยังเติบโตขึ้นเรื่อยๆ จนกระทั่งมีพลังแฮชถึง 51% ต่อเนื่องเป็นระยะเวลา 12 ชั่วโมง

Tags:
Node Thumbnail

เมื่อเดือนที่แล้วมีงานวิจัยด้านวิทยาการเข้ารหัสลับชิ้นหนึ่งนำเสนอในงาน Eurocrypt 2014 เกี่ยวกับการยืนยันได้ว่าค่าพารามิเตอร์ของกระบวนการเข้ารหัสนั้นเป็นค่าที่สุ่มจริง (verifiably random) ผมได้อ่านงานวิจัยนี้แล้วพบว่าหนึ่งในทีมงานนั้นเป็นคนไทย คือคุณชิดชนก จึงเสถียรทรัพย์ ที่กำลังศึกษาในระดับปริญญาเอกที่มหาวิทยาลัย Eindhoven ในโอกาสนี้ผมจึงอีเมลไปติดต่อขอสัมภาษณ์ และก็ได้มาเป็นบทสัมภาษณ์ฉบับนี้กันครับ

Tags:
Node Thumbnail

มาตรฐาน TLS 1.3 มีข้อเสนอที่ได้รับเสียงสนับสนุนในการประชุมครั้งที่ผ่านมา (IETF 89) ว่าจะเริ่มถอดกระบวนการเข้ารหัสที่ไม่รับประกันความเป็นความลับในอนาคต (forward secrecy) ออกจากมาตรฐาน ได้แก่การแลกกุญแจลับแบบ RSA

Tags:
Node Thumbnail

ตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG ที่ตกเป็นประเด็นร้อนว่าถูก NSA แฮกให้ง่ายต่อการถูกแฮกมากขึ้นตั้งแต่ปี 2008 ได้ถูกถอดออกจากมาตรฐานโดย NIST แล้ววันนี้ตามประกาศ NIST SP 800-90A, REV. 1

Tags:
Node Thumbnail

Symantec ออกรายงานวิเคราะห์มัลแวร์กลุ่มที่เข้ารหัสข้อมูลผู้ใช้เพื่อเรียกเป็นตัวประกัน (Ransomware) ตัวที่ระบาดก่อนหน้านี้คือ Cryptolocker ตอนนี้มีรายงานมัลแวร์ในกลุ่มเดียวกันตัวใหม่คือ CryptoDefence ที่พัฒนาขึ้นมามาก

CryptoDefence จะถูกส่งไปยังเครื่องของเหยื่อผ่านทางสแปมเมล เมื่อติดลงในเครื่องแล้วมัลแวร์จะเริ่มส่งข้อมูลเครื่องของเหยื่อกลับไปยังเซิร์ฟเวอร์ สร้างคู่กุญแจ RSA-2048 แล้วส่งกุญแจลับกลับไปยังเซิร์ฟเวอร์พร้อมสกรีนชอตของเหยื่อ

Tags:
Node Thumbnail

กระบวนการยืนยันว่าซอฟต์แวร์ตัวหนึ่งมีความปลอดภัยไม่ใช่แค่การเข้ารหัสที่ซับซ้อน (ความซับซ้อนอาจจะสร้างช่องโหว่เสียเองด้วย) หรือการโอเพนซอร์สแล้วอ้างว่ามีการตรวจสอบจากภายนอกแต่โครงการที่มีคนใช้งานน้อยเกินไปก็มักไม่ได้รับการตรวจสอบเพียงพออยู่ดี รอบนี้ทาง Open Technology Fund จึงจัดเงินทุนมาจ้างที่ปรึกษาให้ตรวจสอบความปลอดภัยของโปรแกรมแชตเข้ารหัสอย่าง Cryptocat

รายงานแสดงให้เห็นช่องโหว่และอันตรายหลายอย่าง เช่นกระบวนการยืนยันว่าฝ่ายตรงข้ามที่กำลังแชตอยู่เป็นคนที่เราตั้งใจจะคุยด้วยจริง เมื่อมีกุญแจสาธารณะใหม่แสดงตัวว่าเป็นผู้ใช้เดิมก็ไม่มีการเตือนที่ชัดเจน โดยกระบวนการแจ้งเตือนผู้ใช้ทั้งหมดจะถูกแก้ไขในรุ่นต่อไป

Tags:
Node Thumbnail

ช่องโหว่ของตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG นับเป็นประเด็นสำคัญที่วงการวิชาการรหัสวิทยาที่เคยเป็นมิตรกับ NSA ปฎิเสธที่จะร่วมงาน รับฟัง หรือพูดคุยกับ NSA ลงเรื่อยๆ ตอนนี้ทีมวิจัยกลุ่มหนึ่งก็เผยแพร่งานวิจัยค้นคว้าว่าผลกระทบของ Dual_EC_DRBG นั้นมีผลกระทบต่อการเข้ารหัสโดยทั่วไปอย่างไรบ้าง โดยเผยแพร่ในเว็บ ProjectBullrun.org ที่ตั้งชื่อตามโครงการ BULLRUN ของ NSA เอง

Tags:
Node Thumbnail

หนังสือพิมพ์ Washington Post เปิดเผยข้อมูลจากเอกสารชิ้นใหม่ ระบุถึงงบประมาณของงานวิจัย "Penetrating Hard Targets" ที่ทำสัญญาลับกับห้องแล็บฟิสิกส์ของมหาวิทยาลัยแมริแลนด์มูลค่า 79.7 ล้านดอลลาร์

หาก NSA สามารถพัฒนาคอมพิวเตอร์ควันตัมสำเร็จจนใช้งานได้จริง ก้าวต่อไปคือการรันขั้นตอนวิธีของ Shor ที่จะแยกตัวประกอบเฉพาะของตัวเลขออกมาได้อย่างรวดเร็ว โดยกระบวนการแยกตัวประกอบที่ใช้เวลานานเป็นการป้องกันสำคัญของการเข้ารหัส RSA ที่นิยมใช้งานกันโดยทั่วไปทุกวันนี้

Tags:
Node Thumbnail

ช่องโหว่ของตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG นำเสนอโดยโปรแกรมเมอร์ของไมโครซอฟท์มาตั้งแต่ปี 2007 และเพิ่งได้รับความสนใจเป็นวงกว้างหลังพบว่า NSA เป็นผู้ออกแบบหลักของกระบวนการนี้ ตอนนี้โค้ดตัวอย่างของกระบวนการนี้ก็มีให้ดาวน์โหลดแล้วที่ GitHub

ช่องโหว่สำคัญของ Dual_EC_DRBG คือค่าคงที่ P และ Q ที่ต้องเลือก P = dQ จะทำให้ค่า d กลายเป็นกุญแจลับสำหรับการถอดรหัสค่าสุ่มใดๆ ที่เป็นผลลัพธ์ออกมา โดยต้องสังเกตค่าเพียง 32 ไบต์เท่านั้น

Tags:
Node Thumbnail

จากข่าวเก่าในประเด็นที่ NSA ได้ฝังช่องโหว่ความปลอดภัยในมาตรฐาน Dual_EC_DRBG ล่าสุดอ้างอิงจากแหล่งข่าวนิรนามของรอยเตอร์ว่า NSA ได้มีการจ่ายเงินให้กับ RSA กว่า 10 ล้านดอลลาร์เพื่อทำให้ช่องโหว่นี้คงอยู่

Tags:
Node Thumbnail

คดีสิทธิบัตรการเข้ารหัส RC4 และการแลกกุญแจสาธารณะที่บริษัท TQP ฟ้อง Newegg คณะลูกขุนในศาลชั้นต้นตัดสินแล้วว่าให้ Newegg จ่ายค่าเสียหาย 2.3 ล้านดอลลาร์ จากที่ TQP เรียกร้อง 5.1 ล้านดอลลาร์ โดยยืนยันว่ามีการละเมิดสิทธิบัตรทั้งสี่ฉบับจริง

TQP ยังมีคดีรอขึ้นศาลอีกนับสิบคดี โดยมีคู่กรณีเช่น กูเกิล, LinkedIn, หรือโซนี่ จนถึงตอนนี้ TQP ได้รับค่าเสียหายไปแล้วกว่า 45 ล้านดอลลาร์

บริษัทขนาดใหญ่มีแนวโน้มจะเปลี่ยนกระบวนการเข้ารหัสจาก RC4 เป็นกระบวนการอื่นที่แน่นหนากว่า แต่ยังไม่มีบริษัทใดออกมายอมรับว่าเป็นเพราะถูกเรียกค่าเสียหายเช่นนี้

Tags:
Node Thumbnail

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ตการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October เปิดซอร์สออกมาให้ใช้งานกัน

Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

Pages