กูเกิลประกาศเพิ่มวิธีการเข้ารหัส (encryption) แบบใหม่ให้กับอีเมล Gmail แบบบัญชีองค์กร

วิธีเข้ารหัสอีเมลที่ใช้กันในปัจจุบัน คือ Secure/Multipurpose Internet Mail Extensions (S/MIME) ที่มักต้องใช้ปลั๊กอินหรือส่วนเสริมในการเข้ารหัส-ถอดรหัสทั้งฝั่งผู้ส่งและผู้รับ แอดมินไอทีองค์กรมีความยุ่งยากในการติดตั้ง ออกใบรับรองดิจิทัลให้ผู้ใช้เป็นรายคน รวมถึงการใช้งานของฝั่งผู้ใช้เองที่ยุ่งยาก ส่งผลให้การเข้ารหัสอีเมลไม่ได้แพร่หลายอย่างที่ควรจะเป็น

สมาคม GSMA เปิดตัวสเปกของการส่งข้อความแบบ RCS เวอร์ชันใหม่ ที่รองรับการเข้ารหัสจากต้นทางถึงปลายทาง end-to-end encryption (E2EE) เพื่อความเป็นส่วนตัวของข้อมูล ตามที่เคยประกาศไว้

Discord ประกาศใช้โปรโตคอลเข้ารหัสแบบใหม่ สำหรับเข้ารหัสเสียงและวิดีโอคอลล์ในระบบ ใช้ชื่อว่า Discord audio and video end-to-end encryption หรือตัวย่อ DAVE

DAVE เป็นโปรโตคอลที่ Discord พัฒนาขึ้นมาเองเพื่อตอบสนองความต้องการใช้งานของตัวเอง เช่น ทำงานได้ข้ามแพลตฟอร์ม ใช้ได้กับไคลเอนต์ Discord ทุกแพลตฟอร์ม, รองรับการสเกลกับผู้ใช้จำนวนมากๆ โดยไม่ต้อง "ดาวน์เกรด" การสื่อสารลงมา, แข็งแกร่งทนทานต่อการเจาะ ไม่มีใครเข้าถึงคีย์เข้ารหัสได้แม้แต่ Discord เอง, เปิดเผยโปร่งใส ได้รับความเชื่อมั่นจากผู้ใช้งาน

หลังแอปเปิลปล่อยอัพเดต iOS 18 ให้ผู้ใช้ทั่วไป สิ่งที่ตามมาคือโลก iPhone รองรับข้อความ RCS อย่างเป็นทางการ สามารถสื่อสารด้วยข้อความ RCS กับฝั่ง Android ได้แล้ว

GSM Association หรือ GSMA ในฐานะสมาคมด้านโทรคมนาคม จึงออกมาประกาศว่าจะผลักดันการสื่อสารด้วย RCS แบบเข้ารหัส end-to-end encryption หรือ E2EE ในขั้นถัดไป ซึ่งจะเป็นการเข้ารหัสข้อความที่ส่งข้ามแพลตฟอร์มได้ เพื่อยกระดับความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ โดย GSMA จะหารือกับผู้มีส่วนเกี่ยวข้องในอุตสาหกรรมโทรคมนาคมต่อไป

จากคดีลอบสังหาร Donald Trump ผู้ก่อเหตุคือ Thomas Matthew Crooks วัย 21 ปี ซึ่งโดนทีมรักษาความปลอดภัยยิงตอบโต้จนเสียชีวิตในที่เกิดเหตุ ทำให้เรายังไม่ทราบชัดถึงแรงจูงใจของเขาว่าทำไมถึงลอบสังหาร Trump

คดีนี้กำลังถูกสอบสวนโดยสำนักงานสอบสวนกลาง (FBI) เพื่อค้นหาสาเหตุและแรงจูงใจของ Crooks โดยหลักฐานสำคัญชิ้นหนึ่งคือโทรศัพท์มือถือของ Crooks ซึ่งอาจมีข้อมูลสำคัญอยู่

ไมโครซอฟท์ประกาศยกเลิกการใช้กุญแจเข้ารหัสด้วยอัลกอริทึม RSA ที่ความยาวต่ำกว่า 2048 บิต ส่งผลให้กุญแจ RSA 1024 บิตที่ใช้กันมายาวนาน ไม่สามารถใช้ได้อีกต่อไป

กุญแจเข้ารหัส RSA แบบ 1024 บิต มีความยาวของกุญแจ ทนทานต่อการเจาะเพียง 80 บิต ซึ่งถือว่าน้อยแล้วในปัจจุบัน และ NIST หน่วยงานด้านมาตรฐานอุตสาหกรรมของสหรัฐอเมริกา เพิ่งยกเลิกการใช้กุญแจ RSA 1024 บิต ไปเมื่อปี 2013 และให้เป็นเปลี่ยนกุญแจ RSA 2048 บิต หรือกุญแจที่ใช้อัลกอริทึม ECDSA 256 บิตแทน

Meta ประกาศเริ่มเปิดการส่งข้อความใน Messenger และ Facebook เป็นการเข้ารหัสแบบ End-to-End แล้ว มีผลกับผู้ใช้งานทุกคนทั้งการแชทและการโทรแบบส่วนตัว ตามที่บริษัทเคยประกาศไว้ว่าจะมาภายในปีนี้

Messenger เริ่มรองรับการส่งข้อความเข้ารหัสมาตั้งแต่ปี 2016 แต่เป็นแบบผู้ใช้งานต้องเปิดเอง (opt-in) ซึ่งเหตุผลที่ใช้เวลานานมากกว่าจะเปิดใช้งานเป็นค่าเริ่มต้นได้กับทุกคน เพราะต้องแก้ไขโครงสร้างการจัดการข้อความด้านหลัง รวมถึง Messenger เองก็มีฟีเจอร์ใหม่เพิ่มมาโดยตลอด

Facebook Messenger ประกาศจะทดสอบอัพเกรดการใช้งาน Messenger ให้เป็นการส่งข้อความเข้ารหัสแบบ end-to-end สำหรับผู้ใช้งานหลายล้านคน เพื่อให้เป็นไปตามแผนงานของ Messenger ในการปรับการส่งข้อความให้เป็นการเข้ารหัส end-to-end เป็นค่าเริ่มต้นสำหรับผู้ใช้งานทุกคนภายในปีนี้

Meta บอกว่าการอัพเกรดระบบส่งข้อความเดิมที่มีทั้ง Messenger และ Instagram DM มาเป็น end-to-end เป็นเรื่องที่ท้าทายและซับซ้อน เพราะเดิมเซิร์ฟเวอร์ของ Meta จะเป็นตัวกลางในการผ่านข้อความระหว่างไคลเอนต์ของคู่สนทนา แต่ในรูปแบบการส่งข้อความแบบเข้ารหัส end-to-end ต้องออกแบบใหม่ทั้งหมด ให้ไคลเอนต์เป็นศูนย์กลางในการจัดการ ซึ่งการเปลี่ยนผ่านนี้ต้องไม่ทำให้ผู้ใช้งานได้รับผลกระทบ และยังสามารถเข้าไปดูข้อความเก่าได้เหมือนเดิมด้วย

กูเกิลประกาศเตรียมใช้โปรโตคอล Message Layer Security (MLS) หรือ RFC9420 ที่เพิ่งออกมาตรฐานตัวจริงเมื่อต้นปีที่ผ่านมา โดยจะใช้งานในแอป Google Messages เพื่อการเข้ารหัสแบบ end-to-end

การใช้โปรโตคอล MLS เปิดโอกาสให้แอปต่างๆ ที่รันบน MLS เหมือนกันสามารถส่งข้อความข้ามแอปกันโดยตัวข้อความยังเข้ารหัส end-to-end อยู่ไม่ต้องถอดรหัสออกมาแปลงโปรโตคอลก่อน ตัวโปรโตคอลรองรับการส่งข้อมูลเป็นกลุ่มระดับหลายพันคน และยังรองรับกระบวนการเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม

องค์กรมากกว่า 90 องค์กรได้ร่วมกันประท้วงหน้าสำนักงานใหญ่ Slack ที่ซานฟรานซิสโกเมื่อวันพุธที่ผ่านมา มีการนำป้ายมาประท้วงรอบๆ บริษัท เพื่อเรียกร้องให้บริษัทเปิดใช้การเข้ารหัสแบบ end-to-end และเพิ่มฟีเจอร์การบล็อกและการรายงานข้อความไม่เหมาะสม

Caitlin Seeley George ผู้อำนวยการของ Fight for the Future หนึ่งในองค์กรที่รวบรวมผู้ประท้วงกล่าวว่า Slack แพลตฟอร์มที่ให้คนสามารถสื่อสารทางออนไลน์ มีผู้ใช้หลายล้านคนใช้ Slack ทุกวันในการทำงาน แต่ทาง Slack กำลังทำให้ผู้ใช้ตกอยู่ในความเสี่ยงจากการไม่มีฟีเจอร์การเข้ารหัส, บล็อก และฟีเจอร์รายงานข้อความหรือผู้ใช้ไม่เหมาะสม

เมื่อไม่กี่วันที่ผ่านมา กูเกิลได้ประกาศเพิ่มคุณสมบัติซิงก์ข้อมูลข้ามอุปกรณ์ผ่านบัญชีกูเกิลของ Google Authenticator แอปจัดการรหัสผ่าน 2FA ซึ่งหลายคนรอคอยมานาน (หรือไม่รอแล้ว?) อย่างไรก็ตามฟีเจอร์นี้มาพร้อมประเด็นด้านความปลอดภัย

โดยนักวิจัยความปลอดภัยชื่อ Mysk เปิดเผยว่า จากการตรวจสอบทราฟิกในการซิงก์ข้อมูลของ Google Authenticator พบว่าข้อมูลที่รับ-ส่งเข้าเซิร์ฟเวอร์กูเกิลนั้นไม่มีการเข้ารหัสแบบ end-to-end จึงเป็นความเสี่ยงหากมีผู้เข้าถึงข้อมูลดังกล่าว และอาจสร้างรหัส 2FA ขึ้นมาซ้ำได้หากรู้ seed ของโค้ดนั้น

Facebook Messenger ประกาศเพิ่มฟีเจอร์ใหม่ ๆ ให้กับแชตเข้ารหัสแบบ end-to-end เพื่อให้การสนทนามีลูกเล่นที่มากขึ้น

โดยของใหม่ที่เพิ่มเข้ามา ได้แก่ ธีมห้องแชต ใส่ลูกเล่นสีได้, เพิ่มอีโมจิ reaction แบบ custom, สร้างโปรไฟล์ที่แตกต่างกันในแต่ละกลุ่มแชต, พรีวิวลิงก์, แสดงสถานะ Active และรองรับ Bubble เมื่อมีข้อความใหม่ สำหรับผู้ใช้ Android

นอกจากนี้ Facebook จะเริ่มทดสอบให้การแชตแบบเข้ารหัสเป็นค่าเริ่มต้น โดยทยอยมีผลกับผู้ใช้งานทั่วโลกตั้งแต่ตอนนี้เป็นต้นไป

ที่มา: Facebook

AWS ปรับกระบวนการเก็บข้อมูลของบริการ Amazon S3 ใหม่โดยค่าเริ่มต้นจะเปิดใช้การเข้ารหัสแบบ server side encryption (SSE) ที่ใช้กุญแจของ S3 เอง กลายเป็นกระบวนการเก็บข้อมูลแบบขั้นพื้นฐาน มีผลกับออปเจกต์ใหม่เท่านั้น

Gmail เริ่มเปิดใช้ฟีเจอร์ client-side encryption (CSE) เปิดทางให้ผู้ใช้สามารถเข้ารหัสที่ตัวเนื้ออีเมล (body) โดยกูเกิลไม่เห็นด้วยซ้ำว่าเนื้อเมลมีอะไรบ้าง

ที่ผ่านมา Gmail เข้ารหัสอีเมลที่เราส่งในระบบอยู่แล้ว แต่ตอนที่เราพิมพ์ข้อความในช่อง Body ของอีเมล ตัวข้อความและไฟล์แนบจะถูกส่งไปยังเซิร์ฟเวอร์ของกูเกิลก่อน จากนั้นค่อยเข้ารหัสก่อนส่งไปยังที่อยู่อีเมลปลายทาง ถือว่ากูเกิลยัง "มองเห็น" เนื้อหาอีเมลของเรา

client-side encryption หรือ CSE เป็นการเข้ารหัสเนื้ออีเมลที่เราพิมพ์ลงในเบราว์เซอร์ก่อนส่งไปยังเซิร์ฟเวอร์ของกูเกิล โดยใช้กุญแจเข้ารหัสของผู้ใช้เอง ทำให้กูเกิลไม่เห็นว่าเนื้อหาในอีเมลคืออะไร

แอปเปิลประกาศขยายความสามารถในการดูแลความปลอดภัยของบริการบนอุปกรณของแอปเปิลพร้อมกัน 3 รายการครอบคลุมบริการหลักๆ ได้แก่

กูเกิลเริ่มเปิดฟีเจอร์เข้ารหัสการส่งข้อความ RCS แบบ end-to-end ในแอพ Google Messages โดยชูว่าเป็นจุดขายเหนือ SMS ที่ไม่มีการเข้ารหัสและอาจถูกดักอ่านได้กลางทาง ฟีเจอร์การเข้ารหัสข้อความ RCS รองรับทั้งการแชทแบบ 1:1 และแชทกลุ่ม แต่ยังปล่อยเฉพาะกลุ่มผู้ใช้ open beta และจะเปิดใช้งานทั่วไปในระยะถัดไป

การแชทผ่าน Google Messages ยังรองรับ emoji reaction เหมือนกับแอพแชทรุ่นใหม่ๆ ในท้องตลาด และสุดท้ายในประกาศของกูเกิลก็ยังบอกว่าผู้ผลิตสมาร์ทโฟนและผู้ให้บริการเครือข่ายนั้นรองรับ RCS กันหมดแล้ว เหลือแค่แอปเปิลเท่านั้นที่ยังปฏิเสธ

ที่มา - Google

Jane Manchun Wong นักวิจัยและพัฒนาแอปพลิเคชันโพสต์ลง Twitter หลังสังเกตเห็นโค้ดที่บ่งบอกว่า Twitter กำลังพัฒนาระบบเข้ารหัสจากปลายทางถึงปลายทาง (end-to-end encryption) ในฟีเจอร์ส่งข้อความ Direct Message ของ Twitter บน Android ซึ่งต่อมา Elon Musk ได้ตอบกลับทวิตของ Wong ด้วยอิโมจิขยิบตาซึ่งก็ช่วยยืนยันว่ากำลังพัฒนาระบบอยู่จริง

ก่อนหน้านี้ ก่อนที่ Musk จะเสนอดีลซื้อกิจการ Twitter ก็ได้พูดไว้ว่า Direct Message ของ Twitter ควรจะมีระบบ end-to-end แบบเดียวกับแอปแชท Signal เพื่อป้องกันการแฮ็กข้อความ

จริง ๆ แล้ว Twitter เคยทดลองการเข้ารหัสแบบ end-to-end ในปี 2018 แต่ฟีเจอร์นี้ก็ไม่ได้เปิดให้ใช้โดยทั่วไป

Meta รองรับการเข้ารหัสแบบ end-to-end ใน Messenger มาตั้งแต่ต้นปี โดยมีทั้งการแชทและโทรแบบกลุ่ม ล่าสุดบริษัทประกาศเพิ่มเติมคุณสมบัติส่วนนี้

โดย Messenger เพิ่ม Secure Storage ระบบแบ็คอัพข้อมูลแชทแบบเข้ารหัส ซึ่งใช้สำหรับการกู้ข้อมูลกรณีโทรศัพท์หายหรือเปลี่ยนเครื่องใหม่ และ Meta ไม่สามารถเข้าถึงข้อมูลนี้ยกเว้นผู้ใช้งานคนนั้นร้องขอ ผู้ใช้งานสามารถเลือกเก็บข้อมูลแชทได้ทั้งการสร้างพินหรือรหัสเฉพาะ หรือเลือกใช้แบ็คอัพของผู้ให้บริการอื่นเช่น iCloud ฟีเจอร์นี้รองรับเฉพาะแอปบน iOS และ Android เท่านั้น

Zoom ประกาศเพิ่มฟีเจอร์ E2EE หรือการเข้ารหัสแบบ end-to-end ให้กับสองบริการหลักบนแพลตฟอร์ม คือ Zoom Phone บริการโทรด้วยเสียงของ Zoom แบบหนึ่งต่อหนึ่ง และ Breakout Rooms หรือห้องประชุมกลุ่มย่อย

Zoom Phone แบบ E2EE จะรองรับเฉพาะการโทรระหว่างผู้ใช้ 2 คนภายใต้บัญชี Zoom ของบริษัทเดียวกันเท่านั้น, รองรับเฉพาะ Zoom Phone ผ่านไคลเอนท์บนเดสก์ท็อปหรือมือถือเท่านั้น (ไม่รองรับ PSTN), ต้องปิดระบบอัดเสียงโทรศัพท์อัตโนมัติ และแอดมินจะต้องเปิดให้ใช้งานฟีเจอร์นี้ผ่านเว็บพอร์ทัลของ Zoom ด้วย

MongoDB เปิดตัวฟีเจอร์ Queryable Encryption การคิวรีข้อมูลที่ถูกเข้ารหัสอยู่ได้ โดยจะเป็นฟีเจอร์หนึ่งของ MongoDB 6.0 เวอร์ชันหน้า

กฎหมายด้านการคุ้มครองข้อมูลทั่วโลกที่เข้มงวดขึ้นเรื่อยๆ ทำให้การเก็บข้อมูลองค์กรจำเป็นต้องแยกส่วนข้อมูล (separation of data) เช่น แยกเก็บข้อมูลที่ระบุตัวตนได้ไปไว้อีกส่วน รวมถึงต้องเข้ารหัสข้อมูลเพื่อป้องกันการเข้าถึงจากฐานข้อมูลโดยตรง

การเข้ารหัสข้อมูลในปัจจุบันเป็นการเข้ารหัสระหว่างส่ง (in-transit) และตอนนำไปพักเก็บไว้เฉยๆ (at-rest) แต่การเข้ารหัสขณะใช้งาน (in-use) ยังทำได้ยาก มีความซับซ้อนสูง และมีข้อจำกัดในการคิวรีค้นหาข้อมูล

Meta ประกาศรองรับการเข้ารหัสแบบ end-to-end (e2e) ในแชทและโทรแบบกลุ่ม (group chats, voice calls, video calls) ตามที่เคยทดสอบมาตั้งแต่ปีที่แล้ว

นอกจากนี้ Messenger ยังเพิ่มฟีเจอร์แจ้งเตือนหากอีกฝ่ายจับภาพหน้าจอ ในการแชทแบบเข้ารหัส end-to-end ด้วย ซึ่งเป็นฟีเจอร์ที่มีอยู่แล้วในแอพแชทหลายๆ ตัวที่เน้นความปลอดภัยและความเป็นส่วนตัว

การแชทแบบเข้ารหัสยังได้ฟีเจอร์อย่างการส่ง GIF, stickers, reactions และการแจ้งเตือนว่าอีกฝ่ายกำลังพิมพ์อยู่ (typing indicator) เพื่อให้ความรู้สึกเหมือนการแชทตามปกติด้วย

Microsoft ประกาศว่าตอนนี้ฟีเจอร์ end-to-end encryption (E2EE) ของระบบโทรศัพท์บน Microsoft Teams ได้เข้าสู่สถานะ generally available แล้ว พร้อมให้ผู้ใช้ทุกคนใช้งานอย่างเป็นทางการ

สำหรับฟีเจอร์ E2EE บน Microsoft Teams ทางผู้ดูแลระบบขององค์กรจะต้องเปิดฟีเจอร์ดังกล่าวก่อน ส่วนฝั่งผู้ใช้สามารถใช้งานได้ทั้ง Teams บน Windows และ Mac โดยการเปิด E2EE จะทำให้การคุยระหว่างสองคนปลอดภัยยิ่งขึ้น และทำให้การสอดแนมระบบโทรศัพท์ทำได้ยากกว่าเดิม

อย่างไรก็ดี Microsoft เตือนว่าฟีเจอร์สำคัญหลายอย่างอาจไม่สามารถใช้งานได้หากเปิดใช้โหมดต่อสายแบบ E2EE ไม่ว่าจะเป็นระบบบันทึก, โอนสายข้ามอุปกรณ์, ลากคนเข้ามาในสายเพื่อขยายเป็นโทรแบบกลุ่ม และ live caption ถ้าจะใช้ฟีเจอร์เหล่านี้จะต้องปิด E2EE ก่อน

จากเดิมที่ Meta หรือ Facebook เดิมตั้งใจจะเปิดใช้งานเข้ารหัสแชทใน Facebook Messenger, Instagram เป็นค่าตั้งต้นในปี 2022 แต่ล่าสุดทาง Meta ยืนยันผ่าน Telegraph ว่าเลื่อนเปิดใช้งานเป็นปี 2023 เพราะมีหลายปัจจัยต้องพิจารณาเรื่องความปลอดภัยแก่ผู้ใช้งาน โดยเฉพาะเยาวชน

กูเกิลประกาศเข้ารหัสแบบ end-to-end การโทรศัพท์ผ่านเครือข่าย Google Fi ซึ่งเป็นเครือข่าย MVNO ของกูเกิลในสหรัฐ

แนวคิดของ Google Fi เป็นการโทรผ่านบริการ data บนเครือข่ายมือถือ (ที่กูเกิลเช่า MVNO) หรือ Wi-Fi โดยแอพ Fi จะสลับเครือข่ายให้อัตโนมัติ เมื่อข้อมูลการโทรวิ่งผ่านระบบของกูเกิลอยู่แล้ว กูเกิลจึงสามารถเข้ารหัสการโทรศัพท์ทั้งหมดได้หากเป็นการโทรระหว่าง Fi ด้วยกัน ไม่มีใครสามารถดักฟังข้อมูลกลางทางได้ (ระหว่างการโทรจะเห็นไอคอนแจ้งเตือนว่า encrypted ตามภาพ)

WhatsApp ประกาศรองรับการแบ็คอัพข้อความแชทที่เข้ารหัสแบบ end-toend ขึ้นคลาวด์ โดยรองรับทั้ง Google Drive และ iCloud

เดิมทีข้อความแบบเข้ารหัส end-to-end ของ WhatsApp ถูกเก็บอยู่ในเครื่องเท่านั้น จึงมีความเสี่ยงว่าข้อความอาจหายถ้าเครื่องพัง สูญหาย หรือเปลี่ยนเครื่อง ฟีเจอร์นี้จึงมาช่วยตอบโจทย์ผู้ใช้ WhatsApp ที่ใช้ข้อความแบบเข้ารหัสนั่นเอง

วิธีใช้งานให้เข้าหน้า Settings > Chats > Chat Backup > End-to-end Encrypted Backup โดยการปลดล็อครหัสของไฟล์แบ็คอัพ สามารถใช้ได้ทั้งรหัสผ่านหรือกุญแจดิจิทัล

คนที่สนใจสถาปัตยกรรมเบื้องหลังระบบแบ็คอัพ อ่านได้จาก Facebook Engineering Blog