Tags:
Node Thumbnail

กูเกิลประกาศเปลี่ยนใบรับรอง SSL จาก 1024 บิตไปเป็นแบบ 2048 บิตทั้งหมดพร้อมกับเปลี่ยนสา่ยการรับรอง (certificate chain) ไปพร้อมกัน

กระบวนการนี้ไม่น่าจะกระทบผู้ใช้ นอกจากผู้ใช้ที่ใช้ไม่ได้อัพเดตระบบปฎิบัติการหรือใช้ไลบรารี SSL ของตัวเองรุ่นเก่า หรือซอฟต์แวร์ที่ฝังใบรับรองเข้ากับโค้ด ก็จะทำงานไม่ได้จากการอัพเดตครั้งนี้

แม้จะอัพเดตขนาดกุญแจไปเป็นขนาด 2048 บิต แต่ทุกวันนี้กระบวนการเข้ารหัสแบบกุญแจสมมาตรก็ยังใช้การเข้ารหัส RC4 แบบ 128 อยู่

กูเกิลเปิดเว็บ cert-test ให้ทุกคนเข้าทดสอบใบรับรองใหม่ได้แล้ว ส่วนกระบวนการอัพเดตจริงจะค่อยๆ อัพเดตไปทีละบริการจนครบในอีกหลายเดือนข้างหน้า

Tags:
Node Thumbnail

โปรแกรมแชตแบบเข้ารหัสที่ชื่อว่า Cryptocat แจ้งปัญหาความผิดพลาดในกระบวนการสร้างกุญแจร่วมกันของห้องแชตแบบหลายคน ทำให้ข้อมูลที่เข้ารหัสในห้องแชตนั้นถอดรหัสผ่านกระบวนการ brute force ได้ง่ายกว่าที่ออกแบบไว้

Cryptocat ระบุว่าบั๊กนี้มีผลตั้งแต่เวอร์ชั่น 2.0 เป็นต้นมา และได้รับการแก้ไขแล้วในเวอร์ชั่น 2.0.42 อย่างไรก็ดี การแก้บั๊กนี้จะทำให้เวอร์ชั่นที่แก้ปัญหาไม่สามารถแชตแบบห้องรวมกับเวอร์ชั่นก่อนหน้าได้อีกต่อไป

ทาง Cryptocat แนะนำให้ทุกคนย้ายไปใช้โปรแกรมรุ่น 2.1 หรือใหม่กว่าเพื่อหลีกเลี่ยงปัญหานี้

ที่มา - Cryptocat

Tags:
Node Thumbnail

ในบรรดากระบวนการเข้ารหัสนั้น เราอาจจะบอกได้ว่าการเข้ารหัสแบบกุญแจสมมาตร (symmetric key) ที่เป็นกระบวนการการเข้ารหัสที่ทั้งสองฝ่าย มี “ความลับ” ร่วมกันอยู่ก่อน เมื่อส่งข้อมูลจริงแล้วจึงใช้ความลับนั้นถอดรหัสผ่านออกมาได้จึงได้ข้อความที่อ่านออกมาได้

กระบวนการป้องกันข้อความที่เป็นความลับนั้นมีมานานนับย้อนไปได้ถึงสมัยจูเลียส ซีซาร์ ที่อาศัยการสลับตัวอักษรด้วยตารางที่เป็นความลับ โดยทุกตัวในตารางจะมีตัวแทนของตัวเองทั้งหมด

Tags:
Node Thumbnail

ความสามารถสำคัญของคอมพิวเตอร์คือการทำตามคำสั่งที่ชัดเจนได้อย่างแม่นยำและคาดเดาผลลัพธ์ได้เป็นอย่างดี แต่ในโลกความเป็นจริง กระบวนการอย่างหนึ่งที่สำคัญมากคือการ "มั่ว" ที่ในแม้แต่มนุษย์เราเองก็ยังทำได้ลำบาก เราอาจจะขอให้ใครสักคนมั่วตัวเลขอะไรก็ได้สักสี่หลักให้เรา แต่เราอาจจะพบว่าเมื่อเราขอให้คนจำนวนมากๆ สุ่มเลข เราอาจจะพบว่าเลขที่เราได้มักเป็นเลขที่เราใช้งานบ่อยๆ เช่น "1234", "0000", หรือ "1111"

Tags:
Node Thumbnail

ระบบการเข้ารหัสแบบ homomorphic encryption (HE อาจแปลไทยได้เป็นการเข้ารหัสแบบสาทิสสัณฐาน) เป็นระบบเข้ารหัสที่เปิดโอกาสให้เราสามารถกระทำบางคำสั่งกับข้อมูลที่เข้ารหัสอยู่ โดยไม่ต้องถอดรหัสออกมาก่อน เช่น การบวกตัวเลขสองตัวที่เข้ารหัสเอาไว้โดยไม่ต้องถอดรหัสตัวเลขทั้งสองชุดออกมา งานวิจัยนี้มีมาตั้งแต่ปี 2009 และตอนนี้ห้องแลป T J Watson ก็เปิดซอร์ส HElib ในสัญญาอนุญาตแบบ GPL ให้ดาวน์โหลดไปใช้งานได้แล้ว

Tags:
Node Thumbnail

ในกระบวนการรักษาความปลอดภัยคอมพิวเตอร์ นอกเหนือจากการดูแลระบบให้ควบคุมสิ่งที่ผู้ใช้หรือผู้บุกรุกให้ไม่สามารถทำงานใดๆ นอกเหนือจากที่กำหนดไว้ กระบวนการเข้ารหัส (Cryptography) นับเป็นสิ่งสำคัญที่ช่วยให้กระบวนการควบคุมนั้นเป็นไปได้จริง กระบวนการเข้ารหัสทุกวันนี้มักสร้างจากตัวประกอบสามตัวหลักได้แก่ ฟังก์ชั่นแฮช, การเข้ารหัสแบบกุญแจสมมาตร (symmetric key), และการเข้ารหัสแบบกุญแจอสมมาตร (asymmetric key) ในตอนแรกจะพูดถึงฟังก์ชั่นแฮชก่อน

Tags:
Node Thumbnail

การเข้ารหัสดิสก์ทั้งลูก (Full Disk Encryption - FDE) เป็นเทคโนโลยีที่สร้างความปลอดภัยให้กับข้อมูลในดิสก์ได้เป็นอย่างดีเพราะข้อมูลทั้งหมดถูกเข้ารหัส แม้แต่หน่วยงานรัฐก็ไม่สามารถเจาะข้อมูลออกมาได้หากไม่มีคีย์ แต่ซอฟต์แวร์ Elcomsoft Forensic Disk Decryptor (EFDD) ราคาเพียง 299 ปอนด์สามารถเจาะกระบวนการเข้ารหัสเหล่านี้ได้ในบางกรณี

กรณีที่ว่าคือการ hibernate (sleep to disk) ที่ระบบปฎิบัติการจะสำเนาข้อมูลทั้งหมดลงดิสก์ ปรากฎว่าข้อมูลที่สำเนาลงมาไม่ได้เข้ารหัส ทำให้คีย์การเข้ารหัสดิสก์ถูกเขียนลงมาสู่ดิสก์ด้วย ตัวโปรแกรม EFDD มีอัลกอริทึมค้นหาคีย์จากข้อมูลทั้งหมดที่ถูกเขียนลงมา เมื่อหาพบแล้วจึงนำไปถอดรหัสดิสก์ทั้งหมดอีกครั้ง

Tags:
Node Thumbnail

กลุ่มของนักวิจัยจากมหาวิทยาลัยนอร์ทแคโรไลนา มหาวิทยาลัยวิสคอนซินและ RSA Security ค้นพบช่องโหว่บน cloud แบบสาธารณะที่ช่วยให้ผู้โจมตีสามารถเข้าถึง 4096-bit private ElGamal decryption key ที่เข้ารหัสโดย libgcrypt v1.5.0 จากเซิร์ฟเวอร์ที่มีการแชร์กันได้แบบ Cross-VM

Tags:
Node Thumbnail

Jesse Walker พนักงานอินเทลผู้คิดอัลกอริทึม Skein ที่เข้าแข่งขันเป็น SHA-3 เตือนว่าอัลกอริทึม SHA-1 ที่ได้รับความนิยมอย่างสูงในตอนนี้อาจจะตกเป็นเป้าหมายของการโจมตีได้ในเร็วๆ นี้

การโจมตีอัลกอลิทึมแฮชที่สำคัญคือการสร้างเอกสารที่ค่าแฮชเหมือนเอกสารอี่น ทำให้สามารถปลอมเอกสารว่ามาจากต้นทางได้อย่างแนบเนียน เช่น มัลแวร์ Flame ที่ปลอมตัวเองว่ามาจากไมโครซอฟท์ในฐานะ Windows Update ได้ ขณะที่ SHA-1 มีความทนทานเพียง 2^60 เท่านั้น (หมายถึงต้องสร้างเอกสารขึ้นมา 2^60 ชุด เพื่อจะมีสักชุดหนึ่งที่ค่าแฮชเหมือนกัน) และการคำนวณค่า SHA-1 ใช้รอบซีพียูประมาณ 2^14 รอบ ทำให้การหาค่าที่มี SHA-1 ซ้ำกันจะใช้ซีพียูประมาณ 2^74 รอบการทำงานซีพียู

Tags:
Node Thumbnail

อัลกอรึธึมตระกูล SHA นั้นเป็นอัลกอรึธึมในการแฮชข้อมูล โดยปัจจุบันมีทั้งหมด 2 รุ่น คือ SHA-1 และ SHA-2 โดยเราอาจจะเคยได้ยิน SHA-2 ด้วยชื่อที่ระบุความยาวของมัน เช่น SHA-256, SHA-512 ทั้งสองตัวนี้ได้รับการออกแบบโดยสถาบัน NSA

แต่ด้วยปัจจุบันวิทยาการต่างๆ ก็มีการเปลี่ยนแปลงไป ทาง NIST สถาบันมาตรวิทยาของสหรัฐฯ จึงได้จัดการประกวดออกแบบ SHA-3 ขึ้นมา ซึ่งจะคล้ายๆ กับกระบวนการประกวดสร้างอัลกอรึธึม AES ซึ่งใช้ในการเข้ารหัสแบบสมมาตรที่ใช้กันอย่างแพร่หลายในปัจจุบัน

Tags:
Node Thumbnail

W3C เผยร่างของ Web Cryptography API โดยเป็น JavaScript API ที่ทำหน้าที่เป็นฟีเจอร์ในการเข้ารหัสและถอดรหัสข้อมูล ตัวอย่างการนำมาใช้งานเช่นการพิสูจน์ตัวตนของผู้ใช้งานผ่านทางเว็บแอพพลิเคชั่น โดยมันจะสร้างวิธีการที่ปลอดภัยยิ่งขึ้นระหว่างเบราว์เซอร์และเซิร์ฟเวอร์

อีกหนึ่งความสามารถของ API ตัวนี้คือมันสามารถนำมาประยุกต์ใช้ในการจัดการสิทธิ์ในการอ่านและเขียนข้อมูลที่ถูกเข้ารหัสบน cloud ได้และมันยังยอมรับมาตรฐานอื่นๆ ในการเข้ารหัสเพื่อใช้ในการส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์นอกเหนือจาก SSL/TLS อีกด้วย

Tags:
Node Thumbnail

โลกการเงินทุกวันนี้ถูกควบคุมด้วยธนาคารชาติต่างๆ และสถาบันการเงินระหว่างประเทศ ธนาคารชาติต่างๆ มีอำนาจในการกำหนดค่าเงินของตัวเองด้วยกระบวนการต่างๆ เช่น การกำหนดระดับดอกเบี้ย, เงินสำรองของธนาคาร, หรือการพิมพ์เงินออกมาสู่ตลาด นอกจากการกำหนดค่าเงินแล้ว หน่วยงานเหล่านี้ยังมีอำนาจในการตามรอยการเงินของผู้ใช้ผ่านทางการควบคุมธนาคาร รัฐบาลประเทศต่างๆ มีอำนาจในการหยุดธุรกรรมทางการเงินของบุคคลได้ หรือการกระทำอย่างสุดโต่งเช่นในปี 1987 ที่รัฐบาลพม่าประกาศยกเลิกธนบัตร 25, 35, และ 75 จ๊าด โดยไม่มีการเตือนล่วงหน้าทำให้เงินหายไปจากระบบถึง 75%

Tags:
Node Thumbnail

ทีมวิจัยร่วมจากสถาบันเทคโนโลยีสารสนเทศและการสื่อสาร, มหาวิทยาลัยคิวชู, และบริษัทฟูจิตสึ ได้ร่วมกันวิจัยกระบวนการแกะรหัสการเข้ารหัสแบบ Pairing-based ขนาดความยาวกุญแจ 923 บิต โดยใช้เวลาทั้งสิ้น 148.2 วัน บนเซิร์ฟเวอร์ 21 ตัว มีซีพียู 252 คอร์

การเข้ารหัสแบบ Pairing-based เป็นกระบวนการพื้นฐานของการเข้ารหัสในยุคหน้าหลายต่อหลายอย่าง เช่น

Tags:
Node Thumbnail

Costin Raiu ผู้เชี่ยวชาญด้านมัลแวร์จาก Kaspersky ประกาศการค้นพบผ่านทางทวิตเตอร์ของเขาว่า มัลแวร์ Flame ที่กำลังแพร่ระบาดอยู่นั้นใช้ Windows Update ในการแพร่กระจาย โดยใช้โมดูล Gadget พร้อมกับมีโปรแกรมชื่อ "WuSetupV.exe" เป็นตัวมัลแวร์จริงๆ ที่ถูกติดตั้ง และจะมีการแพร่กระจายผ่านทางเน็ตเวิร์คภายในโดยมีการสร้างเซิฟเวอร์จำลองชื่อ "MSHOME-F3BE293C" ด้วย

หลังจากนั้นทาง Symantec ได้เผยการวิจัยวิธีการที่ Flame ใช้ในการแพร่กระจายเบื้องต้นซึ่งมันยังใช้ฟีเจอร์
Web Proxy Auto-Discovery Protocol (WPAD) ของ Internet Explorer ร่วมกับ Windows Update ในการแพร่กระจายด้วย

Tags:
Node Thumbnail

มีรายงานบั๊กความปลอดภัยของ PHP 5.3.7 ในส่วนของการเข้ารหัสที่อาจทำให้ข้อมูลสำคัญรั่วไหลได้

เหตุเกิดที่ฟังก์ชัน crypt() สำหรับเข้ารหัส โดยจะเกิดเฉพาะการเข้ารหัสแบบ MD5 เท่านั้น บั๊กนี้จะเกี่ยวกับการใช้ salt ในการเข้ารหัส โดยฟังก์ชันจะคืนค่าผิดคือคืนค่า salt ที่ใช้ แทนที่จะเป็นค่า hash ที่ถูกเข้ารหัสด้วย salt เรียบร้อยแล้ว (ใครไม่เข้าใจลองอ่านข้อมูลกันเองตามลิงก์)

ทางโครงการ PHP รู้เรื่องนี้ก่อนออกหนึ่งวัน แต่ก็ยังตัดสินใจจะออก 5.3.7 ตามกำหนด โดยเตือนไม่ให้ผู้ใช้อัพเดตเป็นรุ่นนี้ และแนะนำให้ข้ามมาเป็น 5.3.8 แทน (เท่าที่เช็คดู ตอนนี้ 5.3.8 ออกแล้ว)

Tags:
Node Thumbnail

Robert Morris เป็นนักวิทยาการเข้ารหัส (cryptographer) ยุคบุกเบิกของช่วงการสร้าง Unix เขาทำงานกับ Bell Labs ตั้งแต่ปี 1960 ถึงปี 1986 ก่อนจะย้ายไปทำงานที่ NSA (National Security Agency) จนถึงปี 1994 ช่วยงาน FBI ในการถอดรหัสในคดีสำคัญ แต่ในวันที่ 26 ที่ผ่านมาเขาก็เสียชีวิตลงจากภาวะสมองเสื่อม (complication of dementia) ด้วยอายุ 78 ปี

ผลงานของเขาที่สำคัญและยังใช้งานอยู่จนทุกวันนี้คือระบบการเข้ารหัสในไฟล์ /etc/passwd ของระบบ Unix จำนวนมาก

Tags:
Node Thumbnail

หมายเหตุ: ข่าวนี้มีศัพท์เทคนิคด้านการเข้ารหัสค่อนข้างมาก อ่านรายละเอียดกันเองตามลิงก์ Wikipedia ที่ให้ไว้นะครับ

LastPass ซอฟต์แวร์ช่วยจัดการรหัสผ่านแบบข้ามแพลตฟอร์ม รายงานว่ามีทราฟฟิกไม่ปกติเข้ามายังเซิร์ฟเวอร์ของตัวเอง และแปลว่าข้อมูลของผู้ใช้ซึ่งได้แก่ อีเมล, salt ของเซิร์ฟเวอร์ และ hash ของรหัสผ่านที่ถูก salt แล้ว อาจจะถูกเจาะไปด้วย (ยังพิสูจน์ไม่ได้ว่าถูกเจาะไปจริง)

Tags:
Node Thumbnail

มาตรฐานการแฮช (hash) แบบ SHA นั้นเป็นการคัดเลือกมาจากอัลกอลิธึ่มจำนวนมากที่ส่งเข้าประกวด จนตอนนี้ก็ถึงรอบสุดท้ายของการแข่งขันมาตรฐาน SHA-3 ที่มีผู้เข้ารอบทั้งหมด 5 อัลกอลิธึ่ม จากรอบที่สองนั้นที่มีผู้ผ่านเข้ารอบ 14 อัลกอลิธึ่ม

อัลกอลิธึ่มทั้ง 5 ได้แก่

  • BLAKE จากสวิสเซอร์แลนด์
  • Grøstl จากเดนมาร์ก
  • Keccak จากเนเธอร์แลนด์
  • JH จากสิงค์โปร์
  • Skein จากสหรัฐฯ (มี Bruce Schneier สนับสนุนอยู่เบื้องหลัง)

ผู้เข้าแข่งขันมีเวลาแก้ไขปรับปรุงอัลกอลิธึ่มจนถึง 16 มกราคมนี้ ส่วนการประกาศผลจะต้องรอจนปี 2012

Pages