CloudFlare ประกาศรองรับมาตรฐานเข้ารหัส ChaCha20/Poly1305

By lew Founder on Tag: Security, SSL, Cryptography, Cloudflare
Security

กระบวนการเข้ารหัสเว็บก่อนหน้านี้เราได้ยินกันบ่อยๆ เช่น RC4 ถูกเตือนว่าไม่ปลอดภัยมาเป็นเวลานาน ทำให้เว็บส่วนใหญ่เน้นใช้งาน AES ที่เป็นมาตรฐานกว่า แต่ AES เองก็มีปัญหากินซีพียูสูง ทำให้ไม่เหมาะกับการใช้งานบนโทรศัพท์มือถือที่ซีพียูประสิทธิภาพไม่ดีนัก ทาง CloudFlare ก็ออกมาประกาศชุดเข้ารหัสทางเลือก คือ ChaCha20/Poly1305 ที่ให้ความปลอดภัยที่ดี ยังไม่พบช่องโหว่ร้ายแรง และกินพลังประมวลผลต่ำ

Read more

ชะตากรรมผู้พัฒนา GPG เงินเกือบหมด เกือบเลิกพัฒนาเต็มเวลา

By lew Founder on Tag: Security, Cryptography
Security

GPG หรือ Gnu Privacy Guard เริ่มพัฒนามาตั้งแต่ปี 1997 และออกรุ่น 1.0 ในปี 1999 โดย Werner Koch นักพัฒนาหลักมาตลอดโดยตั้งบริษัท g10code ขึ้นมาเพื่อรับเงินและตัว Werner เองก็ออกมาทำงานเต็มเวลาในบริษัทนี้ แต่ปรากฎว่าบริษัทนี้อยู่ในสภาพย่ำแย่มาโดยตลอด ฐานะทางการเงินติดลบ ช่วงสองปีหลังเหลือ Werner เป็นนักพัฒนาเต็มเวลาเพียงคนเดียว จนกระทั่งคิดว่าจะเลิกทำโครงการนี้เต็มเวลาแล้วไปทำงานบริษัทในช่วงปี 2013

Read more

อดีตผู้สร้าง Cryptocat เปิดบริการใหม่ Peerio เข้ารหัสแบบ end-to-end

By lew Founder on Tag: Security, Cryptography
Security

บริการ Peerio บริการที่เน้นความปลอดภัยด้วยการเข้ารหัสแบบ end-to-end เปิดตัวแบบเบต้าให้คนทั่วไปสมัครใช้งานได้แล้วในวันนี้

ตัวบริการ Peerio เองจะเป็นลูกผสมระหว่างแชตและอีเมลโดยข้อความที่ส่งไปมามีหัวข้อและเนื้อหาแบบเดียวกับอีเมล ขณะเดียวกันก็สามารถส่งข้อความบรรทัดเดียวแบบแชตไปเลยได้ และที่สำคัญคือสามารถแนบไฟล์ไปได้สูงสุดถึง 400 เมกะไบต์

Read more

เตรียมลา ข้อเสนอยกเลิก RC4 เข้าสู่ขั้นตอนสุดท้ายของ IETF

By lew Founder on Tag: Security, Cryptography, IETF
Security

เอกสาร draft-ietf-tls-prohibiting-rc4-01 ที่เสนอโดยไมโครซอฟท์กำลังเข้าสู่กระบวนการสุดท้ายก่อนออกเป็นมาตรฐาน เพื่อยกเลิกการใช้กระบวนการเข้ารหัสแบบ RC4 ในการเชื่อมต่อแบบ TLS ทุกรูปแบบ

มาตรฐานนี้ระบุว่าไคลเอนต์ทุกตัวจะต้องไม่รองรับการเข้ารหัสแบบ RC4 ในเมสเสจ ClientHello อีกต่อไป ขณะที่เซิร์ฟเวอร์ก็จะไม่เสนอ RC4 ให้ไคลเอนต์เลือก ที่สำคัญคือหากไคลเอนต์ระบุว่าเชื่อมต่อได้เฉพาะการเข้ารหัสแบบ RC4 เซิร์ฟเวอร์จะต้องยกเลิกการเชื่อมต่อทันที

Read more

Ron Rivest เสนอฟังก์ชั่น Spritz ใช้งานแทน RC4

By lew Founder on Tag: Security, Cryptography
Security

ฟังก์ชั่นสร้างเลขสุ่มเทียม RC4 ถูกสร้างขึ้นมาเป็นสินค้าตัวแรกๆ ของบริษัท RSA ตั้งแต่ 25 ปีที่แล้ว (เป็นความลับทางการค้าแต่ถูกเปิดเผยอัลกอริทึมภายหลัง) ทุกวันนี้ยังถูกใช้งานจำนวนมากเพราะความง่ายในการอิมพลีเมนต์และความเร็วในการทำงาน แต่ขณะเดียวกับ RC4 ก็มีความอ่อนแอที่รู้กันหลายจุด เช่น ค่าที่สร้างออกมามีความโน้มเอียงตามค่ากุญแจเริ่มต้น, หากใครรู้ค่าสถานะภายในของอัลกอริทึมก็อาจจะกู้คืนกุญแจกลับมาได้, และสามารถสังเกตได้ว่าเอาท์พุตไม่ใช่ค่าสุ่มหากสังเกตตัวอย่างจำนวน 2^41 ตัวอย่าง

Read more

BlackBerry เข้าซื้อบริษัท Secusmart สำเร็จ

By lew Founder on Tag: Security, Germany, Cryptography, BlackBerry
Security

BlackBerry เข้าซื้อ Secusmart ผู้เชี่ยวชาญด้านการเข้ารหัสข้อมูลบนโทรศัพท์มือถือทั้งเสียงและข้อมูล โดยเทคโนโลยีการเข้ารหัสของ Secusmart ผ่านมาตรฐาน NATA สำหรับการส่งข้อมูลสำคัญ

แนวทางของ BlackBerry ช่วงหลังน่าจะเปลี่ยนไปจากความพยายามบุกตลาดผู้ใช้ทั่วไป กลับไปมุ่งตลาดองค์กรและรัฐบาลที่ต้องการความปลอดภัยสูง

ความที่ Secusmart เป็นบริษัทเยอรมัน และ BlackBerry เองเป็นบริษัทแคนาดา น่าจะช่วยให้ BlackBerry สามารถบุกตลาดองค์กรและรัฐบาลที่กังวลกับการดักฟังของ NSA ได้ เมื่อวานนี้เองรัฐบาลเยอรมันก็เพิ่งประกาศซื้อ BlackBerry พร้อม Secusmart อีกสองหมื่นเครื่อง

Read more

Cisco ปล่อยไลบรารีเข้ารหัสสำหรับข้อมูลขนาดเล็ก

By lew Founder on Tag: Open Source, Cisco, Security, Cryptography
Open Source

ซิสโก้ปล่อยไลบรารี Flexible Naor and Reingold หรือ FNR รูปแบบการเข้ารหัสสำหรับข้อมูลขนาดเล็กมากๆ เช่น หมายเลขไอพี, หมายเลข MAC, หรือหมายเลขบัตรเครดิต

ข้อเสียของกระบวนการเข้ารหัสทุกวันนี้คือมาตรฐานส่วนมากมักกำหนดขนาดบล็อคข้อมูลเอาไว้ตายตัว เช่น AES นั้นข้อมูลที่ใช้เข้ารหัสต้องมีขนาด 128/192/256 บิต หากขนาดข้อมูลไม่ลงตัวตามขนาดบล็อคก็ต้องเติมค่าว่างให้เต็มก่อนเข้ารหัส

Read more

กูเกิลแตกโครงการ OpenSSL ของตัวเอง ใช้ชื่อ BoringSSL

By lew Founder on Tag: Google, Security, SSL, Cryptography, OpenSSL
Google

หลังจากปัญหา Heartbleed ใน OpenSSL สร้างความเสียหายเป็นวงกว้าง ตอนนี้กูเกิลก็เปิดโครงการ BoringSSL ของตัวเองออกสู่สาธารณะแล้ว

ก่อนหน้านี้กูเกิลมีแพตซ์ของ OpenSSL ของตัวเองมาเสมอ แต่อาศัยการดึงโค้ดจาก OpenSSL มาแพตซ์เป็นครั้งๆ ไป จนตอนนี้มีแพตซ์ของกูเกิลเองมากกว่า 70 ชุดที่ต้องรวมเข้ากับโครงการ OpenSSL ทุกครั้งที่มีเวอร์ชั่นใหม่ ตอนนี้กูเกิลตัดสินใจที่จะแยกโครงการออกมาเป็นของตัวเองเพื่อความสะดวกในการจัดการ

Read more

BBM Protected เปิดให้ดาวน์โหลดสำหรับเครื่อง Blackberry แล้ว iOS และ Android ภายในปีนี้

By lew Founder on Tag: Security, Instant Messenger, Enterprise, Cryptography, BBM, BlackBerry
Security

BBM Protected เปิดตัวไปตั้งแต่ต้นปีที่ผ่านมา วันนี้ก็เริ่มเปิดให้ดาวน์โหลดแล้วสำหรับคนที่ใช้ฮาร์ดแวร์ของ Blackberry เอง โดยรองรับในเครื่องแทบทุกรุ่น ตั้งแต่ Blackbery OS 6.0 ขึ้นไป

Read more

GHash.IO มีพลังแฮช 51% ต่อเนื่อง 12 ชั่วโมง อาจจะครองโลก Bitcoin

By lew Founder on Tag: Cryptography, Bitcoin
Cryptography

กลุ่มขุดบิทคอยน์ GHash.IO มีพลังประมวลผลอันดับหนึ่งของโลกในตอนนี้ และเคยประกาศหยุดรับสมาชิกเพิ่มเมื่อมีพลังแฮช 40% ของเครือข่ายบิทคอยน์ทั้งหมด แต่กลุ่มนี้ก็ยังเติบโตขึ้นเรื่อยๆ จนกระทั่งมีพลังแฮชถึง 51% ต่อเนื่องเป็นระยะเวลา 12 ชั่วโมง

Read more

สัมภาษณ์คุณชิดชนก จึงเสถียรทรัพย์ ทีมงานวิจัย BADA55 ข้อระวังการสุ่มที่ยืนยันได้

By lew Founder on Tag: Security, Interview, Cryptography
Security

เมื่อเดือนที่แล้วมีงานวิจัยด้านวิทยาการเข้ารหัสลับชิ้นหนึ่งนำเสนอในงาน Eurocrypt 2014 เกี่ยวกับการยืนยันได้ว่าค่าพารามิเตอร์ของกระบวนการเข้ารหัสนั้นเป็นค่าที่สุ่มจริง (verifiably random) ผมได้อ่านงานวิจัยนี้แล้วพบว่าหนึ่งในทีมงานนั้นเป็นคนไทย คือคุณชิดชนก จึงเสถียรทรัพย์ ที่กำลังศึกษาในระดับปริญญาเอกที่มหาวิทยาลัย Eindhoven ในโอกาสนี้ผมจึงอีเมลไปติดต่อขอสัมภาษณ์ และก็ได้มาเป็นบทสัมภาษณ์ฉบับนี้กันครับ

Read more

IETF อาจบังคับการเข้ารหัสแบบ Forward Secrecy ใน TLS 1.3

By lew Founder on Tag: Security, Cryptography, IETF
Security

มาตรฐาน TLS 1.3 มีข้อเสนอที่ได้รับเสียงสนับสนุนในการประชุมครั้งที่ผ่านมา (IETF 89) ว่าจะเริ่มถอดกระบวนการเข้ารหัสที่ไม่รับประกันความเป็นความลับในอนาคต (forward secrecy) ออกจากมาตรฐาน ได้แก่การแลกกุญแจลับแบบ RSA

Read more

ลาก่อน! NIST สั่งถอด Dual_EC_DRBG แล้ว

By pe3z Writer on Tag: Cryptography, NIST
Cryptography

ตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG ที่ตกเป็นประเด็นร้อนว่าถูก NSA แฮกให้ง่ายต่อการถูกแฮกมากขึ้นตั้งแต่ปี 2008 ได้ถูกถอดออกจากมาตรฐานโดย NIST แล้ววันนี้ตามประกาศ NIST SP 800-90A, REV. 1

Read more

รายงานมัลแวร์ Ransomware ตัวใหม่ เข้ารหัสหนาแน่นขึ้นแต่ลืมไฟล์กุญแจไว้ในเครื่อง

By lew Founder on Tag: Symantec, Malware, Cryptography, Ransomware
Symantec

Symantec ออกรายงานวิเคราะห์มัลแวร์กลุ่มที่เข้ารหัสข้อมูลผู้ใช้เพื่อเรียกเป็นตัวประกัน (Ransomware) ตัวที่ระบาดก่อนหน้านี้คือ Cryptolocker ตอนนี้มีรายงานมัลแวร์ในกลุ่มเดียวกันตัวใหม่คือ CryptoDefence ที่พัฒนาขึ้นมามาก

CryptoDefence จะถูกส่งไปยังเครื่องของเหยื่อผ่านทางสแปมเมล เมื่อติดลงในเครื่องแล้วมัลแวร์จะเริ่มส่งข้อมูลเครื่องของเหยื่อกลับไปยังเซิร์ฟเวอร์ สร้างคู่กุญแจ RSA-2048 แล้วส่งกุญแจลับกลับไปยังเซิร์ฟเวอร์พร้อมสกรีนชอตของเหยื่อ

Read more

รายงานตรวจความปลอดภัย Cryptocat เผยแพร่แล้ว ช่องโหว่ยังเยอะมาก

By lew Founder on Tag: Security, Cryptography
Security

กระบวนการยืนยันว่าซอฟต์แวร์ตัวหนึ่งมีความปลอดภัยไม่ใช่แค่การเข้ารหัสที่ซับซ้อน (ความซับซ้อนอาจจะสร้างช่องโหว่เสียเองด้วย) หรือการโอเพนซอร์สแล้วอ้างว่ามีการตรวจสอบจากภายนอกแต่โครงการที่มีคนใช้งานน้อยเกินไปก็มักไม่ได้รับการตรวจสอบเพียงพออยู่ดี รอบนี้ทาง Open Technology Fund จึงจัดเงินทุนมาจ้างที่ปรึกษาให้ตรวจสอบความปลอดภัยของโปรแกรมแชตเข้ารหัสอย่าง Cryptocat

Read more

ช่องโหว่ Dual_EC_DRBG น่ากลัวกว่าที่คิด NSA เสนอมาตรฐานทำให้แฮกง่ายมาตั้งแต่ปี 2008

By lew Founder on Tag: Research, NSA, Cryptography
Research

ช่องโหว่ของตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG นับเป็นประเด็นสำคัญที่วงการวิชาการรหัสวิทยาที่เคยเป็นมิตรกับ NSA ปฎิเสธที่จะร่วมงาน รับฟัง หรือพูดคุยกับ NSA ลงเรื่อยๆ ตอนนี้ทีมวิจัยกลุ่มหนึ่งก็เผยแพร่งานวิจัยค้นคว้าว่าผลกระทบของ Dual_EC_DRBG นั้นมีผลกระทบต่อการเข้ารหัสโดยทั่วไปอย่างไรบ้าง โดยเผยแพร่ในเว็บ ProjectBullrun.org ที่ตั้งชื่อตามโครงการ BULLRUN ของ NSA เอง

Read more

NSA ลงทุน 79.7 ล้านดอลลาร์พัฒนาคอมพิวเตอร์ควันตัมเพื่อถอดรหัส

By lew Founder on Tag: NSA, Cryptography, Quantum Computer
NSA

หนังสือพิมพ์ Washington Post เปิดเผยข้อมูลจากเอกสารชิ้นใหม่ ระบุถึงงบประมาณของงานวิจัย "Penetrating Hard Targets" ที่ทำสัญญาลับกับห้องแล็บฟิสิกส์ของมหาวิทยาลัยแมริแลนด์มูลค่า 79.7 ล้านดอลลาร์

หาก NSA สามารถพัฒนาคอมพิวเตอร์ควันตัมสำเร็จจนใช้งานได้จริง ก้าวต่อไปคือการรันขั้นตอนวิธีของ Shor ที่จะแยกตัวประกอบเฉพาะของตัวเลขออกมาได้อย่างรวดเร็ว โดยกระบวนการแยกตัวประกอบที่ใช้เวลานานเป็นการป้องกันสำคัญของการเข้ารหัส RSA ที่นิยมใช้งานกันโดยทั่วไปทุกวันนี้

Read more

โค้ดตัวอย่างช่องโหว่ Dual_EC_DRBG มาแล้ว

By lew Founder on Tag: Security, Cryptography
Security

ช่องโหว่ของตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG นำเสนอโดยโปรแกรมเมอร์ของไมโครซอฟท์มาตั้งแต่ปี 2007 และเพิ่งได้รับความสนใจเป็นวงกว้างหลังพบว่า NSA เป็นผู้ออกแบบหลักของกระบวนการนี้ ตอนนี้โค้ดตัวอย่างของกระบวนการนี้ก็มีให้ดาวน์โหลดแล้วที่ GitHub

ช่องโหว่สำคัญของ Dual_EC_DRBG คือค่าคงที่ P และ Q ที่ต้องเลือก P = dQ จะทำให้ค่า d กลายเป็นกุญแจลับสำหรับการถอดรหัสค่าสุ่มใดๆ ที่เป็นผลลัพธ์ออกมา โดยต้องสังเกตค่าเพียง 32 ไบต์เท่านั้น

Read more

NSA จ่ายเงินให้กับ RSA กว่า 10 ล้านดอลลาร์เพื่อให้ช่องโหว่ Dual_EC_DRBG คงอยู่

By pe3z Writer on Tag: Security, RSA, NSA, Cryptography
Security

จากข่าวเก่าในประเด็นที่ NSA ได้ฝังช่องโหว่ความปลอดภัยในมาตรฐาน Dual_EC_DRBG ล่าสุดอ้างอิงจากแหล่งข่าวนิรนามของรอยเตอร์ว่า NSA ได้มีการจ่ายเงินให้กับ RSA กว่า 10 ล้านดอลลาร์เพื่อทำให้ช่องโหว่นี้คงอยู่

Read more

Newegg แพ้คดีสิทธิบัตร RC4 ศาลสั่งจ่ายค่าเสียหาย 2.3 ล้านดอลลาร์

By lew Founder on Tag: Patent, Intellectual Property, Cryptography, Newegg
Patent

คดีสิทธิบัตรการเข้ารหัส RC4 และการแลกกุญแจสาธารณะที่บริษัท TQP ฟ้อง Newegg คณะลูกขุนในศาลชั้นต้นตัดสินแล้วว่าให้ Newegg จ่ายค่าเสียหาย 2.3 ล้านดอลลาร์ จากที่ TQP เรียกร้อง 5.1 ล้านดอลลาร์ โดยยืนยันว่ามีการละเมิดสิทธิบัตรทั้งสี่ฉบับจริง

TQP ยังมีคดีรอขึ้นศาลอีกนับสิบคดี โดยมีคู่กรณีเช่น กูเกิล, LinkedIn, หรือโซนี่ จนถึงตอนนี้ TQP ได้รับค่าเสียหายไปแล้วกว่า 45 ล้านดอลลาร์

บริษัทขนาดใหญ่มีแนวโน้มจะเปลี่ยนกระบวนการเข้ารหัสจาก RC4 เป็นกระบวนการอื่นที่แน่นหนากว่า แต่ยังไม่มีบริษัทใดออกมายอมรับว่าเป็นเพราะถูกเรียกค่าเสียหายเช่นนี้

Read more
Subscribe to Cryptography