Cryptography

Donald Trump เรียกร้องให้แบนสินค้าแอปเปิล จนกว่าจะยอมทำตามคำสั่งศาลสหรัฐ

By mk

on 20 February 2016 - 07:56 Tag: Apple, Cryptography, Donald Trump

Apple

Donald Trump หนึ่งในตัวเต็งผู้สมัครชิงตำแหน่งประธานาธิบดีสหรัฐ ออกมาเรียกร้องให้เลิกใช้สินค้าจากแอปเปิล หลังจากแอปเปิลปฏิเสธคำสั่งของศาลสหรัฐ ให้ออกรอมที่ถอดรหัส iPhone ได้

Trump พูดเรื่องนี้ในงานหาเสียงที่ Pawley's Island รัฐเซาท์แคโรไลนา โดยเขาบอกว่าทุกคนต้องร่วมกันบอยคอตแอปเปิล จนกว่าแอปเปิลจะยอมทำตามที่ศาลสั่ง

"What I think you ought to do is boycott Apple until such time as they give that security number. How do you like that? I just thought of it. Boycott Apple!"

John McAfee ผมจะถอดรหัส iPhone ให้ดูเอง ขอเวลา 3 สัปดาห์ ทำไม่ได้จะกินรองเท้าโชว์

By mk

on 19 February 2016 - 19:41 Tag: Apple, Cryptography, John McAfee, iPhone

Apple

ออกมาทีไรก็เป็นข่าวเสมอๆ John McAfee ผู้ก่อตั้งบริษัทความปลอดภัย McAfee (ปัจจุบันไม่มีความเกี่ยวข้องกับบริษัทแล้ว) ออกมาแสดงความเห็นต่อข่าว ศาลสหรัฐฯ สั่งแอปเปิลทำรอมพิเศษข้ามการตั้งค่าความปลอดภัย โดยออกมาสนับสนุนแอปเปิลอีกหนึ่งเสียง

McAfee บอกว่าถ้าแอปเปิลยอมให้รัฐบาลสหรัฐวางประตูหลังได้ในกรณีนี้ ต่อจากนี้ไปโลกของเราก็จะมีเหตุการณ์แบบนี้เป็นเรื่องปกติธรรมดาตลอดไป

รายงานสินค้าเข้ารหัสทั่วโลก สองในสามมาจากนอกสหรัฐฯ

By lew

on 14 February 2016 - 15:37 Tag: Thailand, USA, Cryptography

Thailand

Bruce Schneier นักวิจัยด้านความปลอดภัยชื่อดังร่วมกับ Kathleen Seidel และ Saranya Vijayakumar ตีพิมพ์รายงานสำรวจตลาดสินค้าเข้ารหัสข้อมูล พบรายการสินค้าที่วางขายในตลาดถึง 865 รายการจาก 55 ชาติ และข้อมูลที่น่าสนใจได้แก่

Keybase.io เปิดบริการแชร์ไฟล์เข้ารหัส

By lew

on 8 February 2016 - 10:55 Tag: Cryptography, Cloud Storage, Keybase, Encryption

Cryptography

Keybase.io บริการแลกเปลี่ยนกุญแจเข้ารหัสที่ช่วยให้ผู้ใช้สามารถยืนยันตัวตนถึงกันได้โดยง่าย ประกาศบริการ Keybase filesystem บริการแชร์ไฟล์คล้ายกับ Dropbox หรือ Google Drive แต่ไฟล์ทั้งหมดจะเข้ารหัสและมีการยืนยันเจ้าของไฟล์ด้วยกุญแจเข้ารหัส

ผู้ใช้ Keybase filesystem จะสามารถแชร์ไฟล์เป็นสาธารณะ ซึ่งไฟล์ทั้งหมดจะสามารถยืนยันได้ว่ามาจากเจ้าของไฟล์จริง หรือจะแชร์ไฟล์ร่วมกับผู้ใช้อื่นซึ่งทำใหุ้กระบวนการเข้ารหัสล็อกให้คนที่แชร์อยู่เท่านั้นที่จะอ่านไฟล์ได้ หรือแม้แต่จะเก็บไฟล์เข้ารหัสไว้อ่านคนเดียวก็ยังได้

socat ใช้ค่าคงที่ผิด การเข้ารหัสอ่อนแอกว่าที่ควรจะเป็น

By lew

on 3 February 2016 - 01:07 Tag: Open Source, Security, Cryptography

Open Source

socat เครื่องมือในลินุกซ์สำหรับการสร้างช่องทางเน็ตเวิร์ค เช่นการรับส่งข้อมูลจาก TCP ลงไฟล์ หรือการเข้ารหัส TCP ถูกรายงานว่ามีช่องโหว่เนื่องจากเลือกใช้ค่าคงที่สำหรับการเชื่อมต่อแบบเข้ารหัสไว้ผิดพลาด

ค่าคงที่ p สำหรับการเชื่อมต่อ Diffie-Hellman ขนาด 1024 บิตถูกใช้ใน socat มาตั้งแต่ต้นปี 2015 ทุกเวอร์ชั่นตั้งแต่ 1.7.3.0 และ 2.0.0-b8 ลงไปได้รับผลกระทบทั้งหมด ทางโครงการออกเวอร์ชั่น 1.7.3.1 และ 2.0.0-b9 มาแก้ช่องโหว่นี้แล้ว

มั่วอย่างมีคุณภาพ NIST ออกร่างมาตรฐาน SP 800-90B มาตรฐานแหล่งค่าสุ่มร่างสุดท้าย

By lew

on 1 February 2016 - 19:37 Tag: Cryptography, NIST

Cryptography

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ออกร่างมาตรฐาน SP 800-90B คำแนะนำสำหรับแหล่งความยุ่งเหยิงเพื่อสร้างเลขสุ่ม (entropy sources)

เอกสารระบุถึงกระบวนการตรวจสอบความยุ่งเหยิงของเลขสุ่มที่สร้างขึ้นมาว่ามีคุณภาพดีเพียงใด และการประเมินว่าความยุ่งเหยิงสูงเพียงใด โดยแหล่งค่าสุ่มนี้เป็นกระบวนการสำคัญในการเข้ารหัสเพราะกระบวนการเข้ารหัสต้องอาศัยการสุ่มเพื่อสร้างกุญแจ

ช่องโหว่ SLOTH ทำให้การเชื่อมต่อเข้ารหัส TLS 1.2, IKE, SSH อ่อนแอกว่าที่ออกแบบไว้

By lew

on 11 January 2016 - 22:42 Tag: Security, TLS, Cryptography, SSH

Security

ทีมวิจัยจากสถาบันวิจัย INRIA ในฝรั่งเศสนำเสนอช่องโหว่ใหม่ในมาตรฐาน TLS 1.2 ที่รองรับกระบวนการเซ็นลายเซ็นรับรองข้อความแบบ RSA-MD5 จากเดิมที่ TLS 1.1 ลงไปจะบังคับให้ใช้แฮช MD5 ต่อกับ SHA1 เท่านั้น

มาตรฐาน TLS 1.2 เปิดให้เซิร์ฟเวอร์สามารถเซ็นด้วยแฮชใดๆ ก็ได้เพื่อเปิดช่องทางให้เซิร์ฟเวอร์สามารถเลือกกระบวนการแฮชที่แข็งแรงขึ้นเช่น SHA-256 หรือ SHA-512 แต่การออกแบบเช่นนี้ก็ทำให้เซิร์ฟเวอร์เปิดรองรับกระบวนการเซ็นด้วย MD5 ไปด้วย

รัฐบาลเนเธอร์แลนด์ประกาศท่าทีสนับสนุนการเข้ารหัส, จัดงบประมาณสนับสนุน OpenSSL

By lew

on 7 January 2016 - 12:59 Tag: Law, Netherlands, Cryptography

Law

รัฐบาลเนเธอร์แลนด์ปล่อยเอกสารแถลงท่าทีของรัฐบาลต่อเทคโนโลยีการเข้ารหัส ระบุว่ารัฐบาลตระหนักว่าเทคโนโลยีการเข้ารหัสเป็นพื้นฐานของสิทธิและเสรีภาพ ไปจนถึงความมั่นคงทางเศรษฐกิจ

NSA ปล่อยหนังสือประวัติศาสตร์การเข้ารหัสการสื่อสารกว่า 300 หน้าสู่สาธารณะ

By lew

on 26 November 2015 - 00:52 Tag: Security, USA, NSA, Cryptography

Security

NSA ปล่อยหนังสือเรียนประวัติศาสตร์การรักษาความปลอดภัยการสื่อสาร (A History of U.S. Communications Security) ที่ใช้มาตั้งแต่ปี 1973 และเคยเปิดเผยบางส่วนในปี 2008 ก่อนจะมีการยื่นอุทธรณ์ในปี 2009 และเพิ่งได้รับอนุมัติให้เปิดเผยเนื้อหาเกือบทั้งหมดในเดือนที่แล้ว

อัลกอริทึมแฮช BLAKE2 เป็นมาตรฐาน RFC7693 แล้ว

By lew

on 10 November 2015 - 13:13 Tag: Security, Open Standard, Cryptography, IETF, Hash

Security

BLAKE2 เป็นอัลกอริทึมแฮชที่เข้าแข่งขันให้เป็นมาตรฐาน SHA-3 ของ NIST (องค์กรมาตรฐานทางเทคโนโลยีของสหรัฐฯ) และเข้ารอบไปถึงรอบสุดท้ายที่อัลกอริทึมเข้ารอบ 5 อัลกอริทึม แม้สุดท้าย Keccak จะเป็นผู้ชนะได้เป็นมาตรฐาน SHA-3 แต่ผู้สร้าง BLAKE2 ก็เสนอให้เป็นมาตรฐานทางเลือกหนึ่งของ IETF

กระบวนการเสนอมาตรฐานมีการเสนอมาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้เอกสารก็ตีพิมพ์เป็น RFC7693 เรียบร้อยแล้ว

ทีมวิจัยสามชาติประเมินการปลอม SHA1 ใช้ทุนเพียง 120,000 ดอลลาร์

By lew

on 8 October 2015 - 20:06 Tag: Security, Research, SSL, TLS, Cryptography, HTTPS

Security

ทีมวิจัยร่วมกันสามชาติ เนเธอร์แลนด์, ฝรั่งเศส, และสิงคโปร์ แถลงผลงานวิจัยการสร้างค่าที่มีค่าแฮช SHA1 ตรงกัน (SHA1 collision) ด้วยต้นทุนเพียง 75,000 ถึง 120,000 ดอลลาร์หากเช่าเครื่องจาก Amazon EC2 จากเดิมที่ Bruce Schneier เคยประมาณการณ์ว่าปี 2015 จะใช้ทุนประมาณ 700,000 ดอลลาร์

อินเดียเสนอกฎหมายควบคุมการเข้ารหัส ถอนข้อเสนอแล้ว

By lew

on 23 September 2015 - 00:48 Tag: Security, Law, India, Cryptography

Security

รัฐบาลอินเดียเสนอกฎหมายควบคุมการเข้ารหัส (National Encryption Policy) ระบุเงื่อนไขของการเข้ารหัส ให้ผู้ที่สื่อสารโดยเข้ารหัสมีหน้าที่รับผิดชอบต้องเก็บข้อมูลที่สื่อสารเอาไว้ 90 วัน และกระบวนการเข้ารหัสและขนาดกุญแจต้องได้รับอนุญาตจากรัฐบาลเท่านั้น

ร่างกฎหมายบังคับให้ปลายทางของการสื่อสารที่เข้ารหัสที่อยู่ในอินเดียต้องรับผิดชอบต่อการเก็บข้อมูลที่ไม่ได้เข้ารหัส ให้พร้อมส่งมอบให้เจ้าหน้าที่หากมีการร้องขอภายใน 90 วันหลังการสื่อสาร กระบวนการเข้ารหัสทุกรูปแบบจะต้องส่งให้เจ้าหน้าที่พิจารณาอนุมัติล่วงหน้าก่อนใช้งาน

กูเกิลประกาศแนวทางยกเลิก RC4: ต้องรองรับ TLS 1.2, SNI, Elliptic Curve

By lew

on 19 September 2015 - 09:29 Tag: Google, Security, TLS, Cryptography

Google

หลังจากผู้ผลิตเบราว์เซอร์หลักประกาศแนวทางหยุดรองรับ RC4 ต้นปีหน้า ตอนนี้กูเกิลก็ออกมาประกาศแนวทางว่าไคลเอนต์ที่จะเชื่อมต่อกับกูเกิลได้ต้องรองรับอะไรบ้างเพื่อให้แน่ใจว่าจะทำงานต่อไปได้หลังการอัพเกรดกระบวนการเข้ารหัส

เงื่อนไขที่กูเกิลระบุมี 5 ข้อ ได้แก่

ไมโครซอฟท์เสนอ FourQ อัลกอริธีมเข้ารหัสแบบ Elliptic Curve ความเร็วสูง

By lew

on 16 September 2015 - 19:30 Tag: Security, Cryptography, Microsoft

Security

Microsoft Research เสนออัลกอริธีม FourQ สำหรับการเข้ารหัสแบบ elliptic curve ที่มีจุดเด่นที่ความเร็วสูงกว่ากระบวนการแบบเดิม เช่น NIST P-256 หรือ Curve25519

สัญญาณความเห็นต่าง กรรมการการค้าสหรัฐฯ ออกมาสนับสนุนการเข้ารหัสอุปกรณ์

By lew

on 5 September 2015 - 10:42 Tag: Privacy, FTC, Cryptography

Privacy

ประเด็นการเข้ารหัสอุปกรณ์กำลังเป็นประเด็นถกเถียงในสหรัฐฯ หลังจากที่ฝ่ายความมั่นคงออกมาเรียกร้องให้มีช่องทางให้เข้าถึงข้อมูลที่เข้ารหัสได้ กรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ซึ่งเป็นฝ่ายคุ้มครองผู้บริโภคก็ออกมาสนับสนุนการเข้ารหัสอุปกรณ์เป็นมาตรฐาน

Firefox, Chrome, IE, Edge เตรียมถอดการเข้ารหัสแบบ RC4 ช่วงต้นปี 2016

By mk

on 2 September 2015 - 16:53 Tag: Security, Firefox, Browser, SSL, Chrome, Internet Explorer, Cryptography, HTTPS, Microsoft Edge

Security

การเข้ารหัสแบบ RC4 มีความปลอดภัยต่ำ เพราะกระบวนการสุ่มเลขไม่ดีเท่าที่ควร ซึ่งในแวดวงความปลอดภัยเองก็เตรียมถอด RC4 ออกจากมาตรฐาน IETF มาได้สักพักแล้ว

วันนี้ผู้พัฒนาเบราว์เซอร์รายใหญ่ 3 ค่ายคือ Google, Microsoft, Mozilla ออกมาประกาศแผนว่าจะถอดการใช้งาน RC4 ออกจากเบราว์เซอร์ของตัวเอง (Chrome, IE, Edge, Firefox) พร้อมกันในช่วงต้นปี 2016

กระทรวงพาณิชย์สหรัฐฯ รับรองมาตรฐาน SHA-3 แล้ว

By lew

on 5 August 2015 - 13:28 Tag: USA, Cryptography, NIST

USA

กระทรวงพาณิชย์สหรัฐฯ (Department of Commerce) ประกาศรับรองมาตรฐาน FIPS 202 ที่เป็นมาตรฐานการแฮชแบบ SHA-3 โดยมีผลตั้งแต่วันนี้ (5 สิงหาคม) เป็นต้นไป

SHA-3 มาจากการแข่งขันหลายรอบตั้งแต่ปี 2007 (รายงานผลการแข่งรอบสอง, รอบสาม) และได้อัลกอริทึม Keccak เป็นผู้ชนะ รวมเวลาออกเป็นมาตรฐานจริงถึง 8 ปี

เอกสารมาตรฐาน FIPS 202 ออกมาตั้งแต่เดือนพฤษภาคมที่ผ่านมา การรับรองจากกระทรวงพาณิชย์รอบนี้ก็จะทำให้หน่วยงานรัฐสามารถใช้งานได้แล้ว

ปลอดภัยยิ่งขึ้น Google Cloud Platform เปิดให้เราใช้คีย์ของตัวเองเข้ารหัสข้อมูล

By mk

on 30 July 2015 - 07:28 Tag: Cloud Computing, Enterprise, Cryptography, Google Cloud

Cloud Computing

ข้อวิตกกังวลประการสำคัญของการใช้คลาวด์แบบ public cloud คือความปลอดภัยของข้อมูลที่ไปเก็บอยู่บน "เซิร์ฟเวอร์ตัวไหนก็ไม่รู้" นอกองค์กร ถึงแม้ผู้ให้บริการคลาวด์จะมีตัวช่วยเข้ารหัสข้อมูล ก็ยังมีคำถามอยู่ดีว่าผู้ให้บริการเองสามารถดูข้อมูลของเราได้หรือไม่

ล่าสุด Google Cloud Platform จึงอนุญาตให้ฝั่งผู้ใช้งานสามารถใช้คีย์ของตัวเองเข้ารหัสข้อมูลบนคลาวด์ของกูเกิลได้ บริการนี้เรียกว่า Customer-Supplied Encryption Keys ซึ่งยังอยู่ในช่วงทดสอบแบบเบต้า และให้บริการฟรีสำหรับลูกค้าทุกรายโดยไม่คิดเงินเพิ่ม

องค์กรไอทีและผู้เชี่ยวชาญร่วมลงนามจดหมายถึงโอบามา เรียกร้องให้ปฎิเสธข้อเสนอบังคับประตูลับข้อมูลเข้ารหัส

By lew

on 20 May 2015 - 12:47 Tag: Security, USA, Cryptography, Whitehouse

Security

ทั้ง FBI และ NSA ออกมาแสดงท่าทีว่าต้องการบังคับให้มีช่องทางเข้าถึงข้อมูลที่เข้ารหัส และโต้เถียงกับกลุ่มผู้บริหารบริษัทไอทีและองค์กรต่างๆ หลายครั้ง ตอนนี้องค์กรเหล่านั้นก็รวมตัวกันส่งจดหมายเปิดผนึกถึงโอบามา ข้อความส่วนหนึ่งระบุว่า

ไมโครซอฟท์อัพเดตกระบวนการเข้ารหัสชุดใหม่ รองรับ Perfect Forward Secrecy

By lew

on 15 May 2015 - 00:03 Tag: Security, Cryptography, Microsoft

Security

ไมโครซอฟท์ออกอัพเดตให้กับ Windows 7 ขึ้นไป และ Windows Server 2008 ให้รองรับกระบวนการเข้ารหัสชุดใหม่เพิ่มเติมอีกสี่แบบ และจัดเรียงลำดับกระบวนการเข้ารหัสเสียใหม่ ทำให้เครื่องที่ติดตั้งอัพเดตนี้เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ที่รองรับ จะพยายามใช้กระบวนการเข้ารหัสที่รับประกันความลับในอนาคต (perfect forward secrecy - PFS)

Subscribe to Cryptography