Cryptography

WIRED รายงานการตามจับขบวนการโกงสล็อตแมตชีน อาศัยช่องโหว่ค่าสุ่มเทียมไม่ปลอดภัย

By lew

on 7 February 2017 - 18:49 Tag: USA, Cryptography

USA

นิตยสาร WIRED เผยแพร่รายงานขบวนการโกงบ่อนคาสิโนด้วยการเล่นสล็อตแมตชีนจนกระทั่งสามารถเอาชนะเครื่องได้ และทำกำไรมหาศาลภายในเวลาไม่กี่วัน มาตั้งแต่ปี 2011

โดยปกติแล้วสล็อตแมตชีนจะสามารถตั้งค่าให้จ่ายรางวัลต่ำกว่าเงินที่ผู้เล่นหยอดเข้ามาเป็นสัดส่วนค่าหนึ่ง (ขึ้นกับทำเลของที่ตั้งคาสิโน คาสิโนท้องถิ่นจะตั้งเข้าใกล้ 1.0 มากขึ้นเรื่อยๆ) แต่คาสิโนจำนวนหนึ่งกลับพบว่าเครื่องที่ผลิตโดยบริษัท Novomatic กลับจ่ายเงินรางวัลมากกว่าเงินที่ได้รับเข้ามาโดยที่วิศวกรของบริษัทไม่พบร่องรอยการดัดแปลงแก้ไขเครื่อง

Trinity เซ็ง OpenSSH ประกาศวันเลิกรองรับ SSHv1 เดือนสิงหาคม 2017

By lew

on 20 December 2016 - 12:33 Tag: OpenSSH, Cryptography, Security

OpenSSH

OpenSSH เซิร์ฟเวอร์สำหรับการเข้าจัดการเครื่องจากระยะไกลที่ได้รับความนิยมสูง ปรับปรุงโปรโตคอลเป็น SSHv2 มานานและคอนฟิกเริ่มต้นก็มักจะรองรับ SSHv2 อย่างเดียว แต่ตัวซอฟต์แวร์ก็ยังรองรับ SSHv1 เรื่อยมา แม้ว่าจะลินุกซ์หลายรายจะปิดฟีเจอร์นี้ตั้งแต่การคอมไพล์ก็ตาม

ตอนนี้ OpenSSH ออกเวอร์ชั่น 7.4 พร้อมกับประกาศยกเลิกการซัพพอร์ต SSHv1 ออกทั้งหมดภายในเดือนสิงหาคม 2017 ทำให้หลังจากกำหนดนี้ จะไม่มีตัวเลือกใดๆ ให้ใช้งาน SSHv1 อีก

ช่องโหว่ของ SSHv1 CRC32 เป็นช่องโหว่ที่ Trinity ใช้เจาะเข้าเครือข่ายของโรงงานไฟฟ้าในภาพยนตร์เรื่อง The Matrix

อังกฤษเตรียมเปลี่ยน Bletchley Park สมัยสงครามโลก เป็นโรงเรียนสอนวิชา Cybersecurity

By mk

on 28 November 2016 - 18:52 Tag: UK, Alan Turing, Cybersecurity, Cryptography

คนที่เคยอ่านชีวประวัติของ Alan Turing (หรือจากในภาพยนตร์ The Imitation Game) คงพอทราบว่าในสมัยสงครามโลกครั้งที่สอง รัฐบาลอังกฤษตั้งหน่วยถอดรหัสข้อความของศัตรู ใช้ชื่อว่า Government Code and Cypher School (GC&CS) ที่ Bletchley Park ในเมือง Milton Keynes ทางตอนเหนือของกรุงลอนดอน สถานที่แห่งนี้มีตำนานใช้ถอดรหัส Enigma ของฝ่ายอักษะได้สำเร็จ

ล่าสุด รัฐบาลอังกฤษเตรียมนำอาคารประวัติศาสตร์หลังนี้ มาตั้งเป็นโรงเรียนสอนวิชา cybersecurity ให้กับวัยรุ่นอายุ 16-19 ปี เพื่อสร้างทรัพยากรมนุษย์ในด้านความปลอดภัยไซเบอร์ยุคหน้า

งานวิจัยสาธิตการกู้ข้อมูลจาก Block Cipher แบบ 64 บิต ควรเลิกใช้งาน

By lew

on 25 August 2016 - 01:03 Tag: Cryptography, TLS, Security

Cryptography

กระบวนการเข้ารหัสเก่าๆ ที่เคยมีความแข็งแกร่งเมื่อนานไปความแข็งแกร่งก็ไม่เพียงพอที่จะป้องกันข้อมูลได้อีกต่อไป ล่าสุดนักวิจัยจากสถาบันวิจัย INRIA ฝรั่งเศส ได้นำเสนอรายงาน SWEET32 สาธิตการเจาะข้อมูลเข้ารหัส เมื่อข้อมูลถูกส่งซ้ำๆ ผ่านการเข้ารหัสแบบ block cipher ขนาด 64 บิต

NIST เตรียมออกมาตรฐานการเข้ารหัสลับหลังยุคคอมพิวเตอร์ควอนตัม

By lew

on 2 August 2016 - 13:18 Tag: NIST, Cryptography, Quantum Computer

NIST

เทคโนโลยีคอมพิวเตอร์ควอนตัมมีพัฒนาการอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา แม้ว่าจะยังไม่มีแนวโน้มว่าคอมพิวเตอร์เหล่านี้จะสามารถเจาะกระบวนการเข้ารหัสลับที่ใช้กันทุกวันนี้ได้ภายในเร็ววันก็ตาม แต่ NIST ก็เริ่มกระบวนการกำหนดมาตรฐานการเข้ารหัสลับหลังเข้าสู่ยุคคอมพิวเตอร์ควอนตัมแล้ว

NIST ระบุว่าการคาดการณ์ว่าคอมพิวเตอร์ควอนตัมระดับที่ใช้เจาะการเข้ารหัสลับที่เราใช้งานกันทุกวันนี้ น่าจะใช้เวลาประมาณ 20 ปี อย่างไรก็ดี กระบวนการเข้ารหัสที่เราใช้กันทุกวันนี้ก็ใช้เวลาในการพัฒนาโครงสร้างกันประมาณ 20 ปีเช่นกัน ทำให้กระบวนการวางมาตรฐานควรเริ่มโดยเร็ว

หน่วยงานข่าวกรองรัสเซียประกาศแนวทางถอดรหัสข้อมูล

By lew

on 1 August 2016 - 22:26 Tag: Russia, Privacy, Cryptography

Russia

เมื่อวันที่ 9 กรกฎาคม ประธานาธิบดีรัสเซียประกาศสั่ง FSB ให้สร้างโค้ดที่จะถอดรหัสข้อมูลได้ทั้งหมด ตอนนี้ทางฝั่ง FSB ก็ออกมาระบุว่าแนวทางการถอดรหัสข้อมูลตามคำสั่งของประธานาธิบดีแล้ว

กูเกิลเปิดให้ทดสอบการเข้ารหัสที่ทนต่อคอมพิวเตอร์ควอนตัมบน Chrome Canary แล้ว

By littletail

on 8 July 2016 - 13:41 Tag: Chrome, Security, Quantum Computer, Cryptography

Chrome

กูเกิลเปิดให้ทดสอบกระบวนการแลกเปลี่ยนกุญแจในการเข้ารหัส (key exchange algorithm) ที่มีชื่อว่า “New Hope” แล้ว ผ่านทาง Google Chrome Canary

ชิ้นส่วนเครื่องเข้ารหัสสมัยสงครามโลกถูกขายบน eBay ราคา 9.5 ปอนด์

By lew

on 30 May 2016 - 01:43 Tag: United Kingdom, Cryptography

United Kingdom

John Wetter อาสาสมัครของ The National Museum of Computing at Bletchley Park พิพิธภัณฑ์ที่รวบรวมอุปกรณ์เข้ารหัสสมัยสงครามโลกเอาไว้จำนวนมาก ระบุว่าเพื่อนของเขาเจอโพสต์บน eBay ขายเครื่องโทรเลขในราคา 9.5 ปอนด์

เขาและเพื่อนคิดว่าที่จริงแล้วมันคือเครื่องพิมพ์ข้อความ (teleprinter) สำหรับเครื่องเข้ารหัส Lorenz SZ42 เขาจึงขับรถไปยังบ้านหญิงที่โพสต์ประกาศเพื่อขอซื้อโดยตรงใน Essex หญิงเจ้าของเครื่องยืนยันว่าราคาขายอยู่ที่ 9.5 ปอนด์ Wetter จึงจ่ายไป 10 ปอนด์โดยระบุว่า "ไม่ต้องทอน"

เว็บไซต์จำนวนมากใช้ค่า Nonce สำหรับ AES-GCM ซ้ำ, แฮกเกอร์สามารถแทรกข้อมูลได้

By lew

on 26 May 2016 - 22:49 Tag: Cryptography, Security, Research

Cryptography

กระบวนการเข้ารหัสแบบบล็อคที่ได้รับความนิยมขึ้นมาในช่วงหลังคือ AES-GCM (RFC5084) แต่การเข้ารหัสเช่นนี้ต้องสร้างค่า nonce ขนาด 8 บิตขึ้นไปจนถึง 2^64 บิต (แนะนำที่ 96 บิต) แต่ทั้งนี้ไม่ควรใช้ค่านี้ซ้ำในการเชื่อมต่อ ทีมวิจัยพบว่ายังมีเซิร์ฟเวอร์ 184 เครื่องที่ตั้งค่า nonce เป็นค่าคงที่ รวมถึงเว็บไซต์บัตรเครดิตอย่าง visa.dk

การใช้ nonce เป็นค่าคงที่ทำให้แฮกเกอร์สามารถแทรกข้อมูลเข้าไปในการเชื่อมต่อได้โดยง่าย ในวิดีโอตัวอย่างทีมวิจัยสาธิตการแทรกจาวาสคริปต์เข้าไปในเว็บไซต์ visa.dk ซึ่งเป็นหนึ่งใน 184 เว็บไซต์ที่ทีมวิจัยพบ

จริงหรือหลอก ตกลง Craig Wright คือ Satoshi Nakamoto ผู้สร้าง Bitcoin จริงหรือไม่

By mk

on 2 May 2016 - 22:44 Tag: Bitcoin, Cryptography

Bitcoin

ข่าวใหญ่วันนี้คือ Craig Steven Wright ออกมายอมรับแล้วว่าเป็นผู้สร้าง Bitcoin หลังข่าวนี้ประกาศออกมา ก็มีทั้งคนที่เชื่อและไม่เชื่อในเรื่องนี้

การเปิดเผยตัวตนของ Craig Wright ในครั้งนี้เกิดขึ้นช่วงปลายเดือนมีนาคม 2016 ที่กรุงลอนดอน (Wright เป็นชาวออสเตรเลีย แต่ย้ายไปอยู่ลอนดอนหลังนิตยสาร Wired ชี้เป้าว่าเขาคือ Satoshi Nakamoto เมื่อปลายปีที่แล้ว) โดยมีสื่ออังกฤษ 3 รายร่วมสัมภาษณ์คือ BBC, The Economist และ GQ นอกจากนี้ยังมีคนในวงการ Bitcoin อีกสองคนคือ Jon Matonis อดีตผู้อำนวยการมูลนิธิ Bitcoin Foundation และ Gavin Andresen อดีตนักพัฒนาหลักของโครงการ Bitcoin ที่รับช่วงต่อจาก Nakamoto (ปัจจุบัน Gavin ไม่ได้รับบทนักพัฒนาหลักแล้ว) ซึ่งทั้งสองคนเคยทำงานร่วมกับ Satoshi ทางอีเมลมาก่อน

หลังการพบปะครั้งที่ผ่านมา ทั้ง Jon Matonis และ Gavin Andresen ลงความเห็นว่า Wright คือ Nakamoto จริงๆ

Juniper ออกแพตช์ ถอด DUAL_EC_DRBG ออกจาก ScreenOS เรียบร้อยแล้ว

By lew

on 10 April 2016 - 00:46 Tag: Juniper, Security, Cryptography

Juniper

ปีที่ผ่านมา ScreenOS ของ Juniper เป็นข่าวอยู่บ่อยครั้ง นับแต่การใช้งาน DUAL_EC_DRBG ที่ออกแบบโดย NSA และถูกสงสัยว่าจะมีการวางช่องโหว่เอาไว้ ไปจนถึงการพบโค้ดลึกลับเปิดช่องทางให้เข้าควบคุมเราท์เตอร์และอ่านข้อมูลใน VPN ได้ เมื่อต้นปีที่ผ่านมา Juniper ก็ออกประกาศว่ากำลังถอด DUAL_EC_DRBG ออกจาก ScreenOS ไปใช้กระบวนการอื่นแทน ตอนนี้กระบวนการถอดนี้ก็เสร็จแล้วออกมาเป็น ScreenOS 6.3.0r22

Juniper ระบุว่าต่อจากนี้กระบวนการสร้างเลขสุ่มจะใช้กระบวนการชุดเดียวกันในสินค้าทุกตัว

WhatsApp ประกาศเปิดกระบวนการเข้ารหัสแบบ end-to-end เป็นค่ามาตรฐาน

By lew

on 6 April 2016 - 02:38 Tag: WhatsApp, Security, Cryptography

WhatsApp แม้จะได้รับความนิยมอย่างสูงแต่ช่วงแรกๆ ของบริการก็มีช่องโหว่อยู่หลายครั้ง จนกระทั่งเมื่อปี 2014 ก็ร่วมมือกับ Open Whisper System ผู้ให้บริการ TextSecure นำโปรโตคอล Signal มาใช้งาน และตอนนี้ทาง WhatsApp ก็ประกาศว่าหลังจากนี้จะเปิดใช้ Signal เป็นค่าเริ่มต้นเสมอ โดยจะทำงานได้ ทั้งผู้รับและผู้ส่งจะต้องใช้แอปเวอร์ชั่นล่าสุดที่อัพเดตเมื่อวันที่ 31 มีนาคมที่ผ่านมา

NIST ออกมาตรฐานเข้ารหัสข้อมูลสั้น, เพื่อการใช้งานร่วมกับฐานข้อมูลแบบเดิม

By lew

on 1 April 2016 - 12:54 Tag: NIST, NSA, Security, Cryptography

NIST

NIST ออกมาตรฐาน SP 800-38G สำหรับการเข้ารหัสข้อมูลที่ "คงฟอร์แมต" ของข้อมูลไว้ เพื่อการใช้งานกับระบบฐานข้อมูลดั้งเดิมที่อาจจะไม่เหมาะกับการเปลี่ยนแปลงฟอร์แมต

[ลือ] กระทรวงยุติธรรมสหรัฐ เตรียมหาวิธีเข้าถึงข้อความที่เข้ารหัสใน WhatsApp

By mk

on 13 March 2016 - 22:10 Tag: WhatsApp, Government, Cryptography, Security, DoJ

ความขัดแย้งระหว่างหน่วยงานภาครัฐของสหรัฐ (FBI + กระทรวงยุติธรรม) กับแอปเปิลในกรณีถอดรหัส iPhone เป็นเพียงตัวอย่างของปัญหาใหญ่เรื่องการเข้ารหัสข้อมูลเท่านั้น บริษัทด้านไอทีทุกแห่งมีโอกาสเจอปัญหาแบบเดียวกัน และล่าสุดมีข่าวว่ารายต่อไปที่จะโดนกดดันจากภาครัฐคือ WhatsApp

หนังสือพิมพ์ The New York Times รายงานข่าววงในว่า เจ้าหน้าที่ในกระทรวงยุติธรรมกำลังถกเถียงว่าจะแก้ปัญหาเรื่องการเข้าถึงข้อความใน WhatsApp อย่างไร ความนิยมใน WhatsApp เริ่มสร้างปัญหาในวงกว้าง เพราะรัฐบาลไม่สามารถดักฟังข้อความที่ถูกเข้ารหัสใน WhatsApp ได้

กรณีถอดรหัส iPhone โอบามาบอกบริษัทไอทีควรให้ความร่วมมือ ดีกว่าให้มีกฎหมายบังคับ

By mk

on 12 March 2016 - 15:05 Tag: Barack Obama, Government, Cryptography, iPhone

Barack Obama

ประธานาธิบดีบารัค โอบามา ออกมาแสดงความเห็นเรื่อง iPhone vs FBI ว่าในมุมของรัฐบาลแล้ว คงยอมให้สมาร์ทโฟนมีสถานะเป็น "กล่องดำ" (รัฐเข้าถึงข้อมูลไม่ได้) ไม่ได้แน่นอน เขายังแนะนำว่าบริษัทไอทีทั้งหลายควรให้ความร่วมมือกับหน่วยงานรัฐบาล จะดีกว่าปล่อยให้ไปถึงขั้นรัฐสภาต้องออกกฎหมายมาบังคับกัน

โอบามาพูดเรื่องนี้ที่งาน SXSW ซึ่งเป็นงานอีเวนต์ของคนสายครีเอทีฟ-เทคโนโลยี (ถือเป็นครั้งแรกที่ประธานาธิบดีเข้าร่วมงานนี้) เขาบอกว่าเราคงไม่สามารถเลือกเส้นทางสุดโต่ง อย่างการเข้ารหัสข้อมูลในทุกกรณี เขาไม่คิดว่าแนวทางนี้จะอยู่ได้ตลอดในอนาคต 200-300 ปีข้างหน้า และมันจะกลายเป็นการคลั่งไคล้สมาร์ทโฟนเหนือสิ่งอื่นๆ ในสังคม

สภาฝรั่งเศสเสนอกฎหมาย บริษัทไม่ยอมถอดรหัสข้อมูล ผู้บริหารอาจโดนคุก 5 ปี

By mk

on 6 March 2016 - 08:52 Tag: Law, France, Parliament, Cryptography

Law

ต่อจากข่าว ฝรั่งเศสถกกฎหมายอาจปรับ Apple หากไม่ยอมปลดล็อก iPhone ครั้งละ 1 ล้านยูโร ความคืบหน้าล่าสุดคือ สภาผู้แทนราษฎรของฝรั่งเศสเริ่มโหวตรับร่างกฎหมายนี้แล้ว หน่วยงานที่ปฏิเสธไม่ทำตามคำขอของเจ้าหน้าที่ในการถอดรหัสข้อมูล จะมีโทษปรับ 350,000 ยูโร (ประมาณ 13.6 ล้านบาท) และผู้บริหารอาจโดนจำคุกไม่เกิน 5 ปี

ขอเวลาอีกไม่นาน อเมซอนจะคืนความสามารถการเข้ารหัสข้อมูลเครื่องกลับเข้า Fire OS 5

By tekkasit

on 6 March 2016 - 07:27 Tag: Amazon, Cryptography, Kindle Fire, Fire OS

Amazon

หลังจากอเมซอนยืนยันการถอดความสามารถเข้ารหัสข้อมูลออกจากระบบปฏิบัติการ Fire OS 5 ไปเมื่อไม่กี่วัน มาวันนี้ อเมซอนทนเสียงเรียกร้องผู้ใช้งานไม่ไหว สัญญาจะคืนความสามารถในช่วงฤดูใบไม้ผลิที่จะถึงนี้

Amazon ถอดความสามารถเข้ารหัสข้อมูลออกจากระบบปฏิบัติการ Fire OS

By mk

on 5 March 2016 - 09:39 Tag: Amazon, Cryptography, Kindle Fire, Fire OS

Amazon

ช่วงนี้มีประเด็นเรื่องการเข้ารหัสข้อมูลของ iOS ที่ทาง FBI ขอให้แอปเปิลช่วยทำรอมเพื่อปลดล็อค ในอีกทางก็มีคนไปค้นพบว่า Amazon ถอดฟีเจอร์การเข้ารหัสออกจากระบบปฏิบัติการ Fire OS 5 ของตัวเองอย่างเงียบๆ (ฟีเจอร์นี้มีบน Android ที่ Fire OS นำมาพัฒนาต่อ) ส่งผลให้คนวิจารณ์กันอย่างกว้างขวางว่า Amazon ทำแบบนี้เพื่อเอาใจหน่วยงานภาครัฐหรือไม่

แบ่งปันความลับโดยไม่มีใครรู้ Diffie และ Hellman ได้รับรางวัล Turing

By lew

on 2 March 2016 - 12:29 Tag: Cryptography

Cryptography

Association for Computing Machinery (ACM) ประกาศผู้รับรางวัล Turing รางวัลใหญ่ในวงการวิชาการคอมพิวเตอร์ที่มีเงินรางวัลถึง 1 ล้านดอลลาร์ ประจำปี 2015 ให้กับ Whitfield Diffie และ Martin E. Hellman สองผู้ร่วมคิดค้นกระบวนการแลกกุญแจ Diffie-Hellman (DH)

Atmel เปิดตัว HW-TLS แพลตฟอร์มสำหรับการเก็บกุญแจบนฮาร์ดแวร์

By lew

on 23 February 2016 - 13:02 Tag: Semiconductor, TLS, Cryptography, Atmel

Semiconductor

Atmel ผู้ผลิตไมโครคอนโทรลเลอร์โดยเฉพาะชิป AVR ที่ใช้งานในแพลตฟอร์ม Arduino ประกาศแพลตฟอร์ม HW-TLS ที่อินเทอร์เฟซระหว่างฮาร์ดแวร์เข้ารหัส คือชิป ATECC508A และซอฟต์แวร์คือ OpenSSL และ wolfSSL

แพลตฟอร์มฝั่ง OpenSSL นั้นเปิดซอร์สไว้บน GitHub ส่วน wolfSSL เป็นไลบรารีแบบ GPL ที่หากต้องการใช้งานแบบปิดซอร์สจะต้องซื้อไลเซนส์การค้า

ATECC508A จะช่วยเข้ามาจัดการปกป้องกุญแจลับไม่ให้รั่วไหล มีฮาร์ดแวร์สุ่มค่าในตัว พร้อมกับแยกการคำนวณ ECC ออกไปอยู่บนตัวชิป

Subscribe to Cryptography