National Institute of Standards and Technology
NIST รายงานการกู้คืนเซิร์ฟเวอร์เทียบเวลาหลังจากไฟดับต่อเนื่องทำให้ค่าเวลาคลาดเคลื่อน โดยตอนนี้ไฟฟ้ากลับมาปกติ เมื่อตรวจสอบพบว่าค่าเวลาในเซิร์ฟเวอร์เหล่านี้ผิดพลาดไป 5us
NIST แจ้งเหตุไฟดับในศูนย์ข้อมูล Boulder เป็นเวลานาน ส่งผลให้เวลาในเซิร์ฟเวอร์เทียบเวลาจำนวน 6 ชุดเริ่มคลาดเคลื่อน ทาง NIST ออกประกาศแจ้งเตือนให้ผู้ใช้เทียบเวลาจากเซิร์ฟเวอร์อื่น
NIST ออกเอกสาร NIST SP-800-232 กระบวนการเข้ารหัสลับสำหรับอุปกรณ์ในกลุ่ม IoT ที่มีขนาดเล็กมาก เช่น บัตร RFID หรือชิปอุปกรณ์การแพทย์ฝังในร่างกายคนไข้ โดยพัฒนาจากกระบวนการเข้ารหัสลับ Ascon ที่เลือกไว้เมื่อปี 2023
กระบวนการที่เลือกมาได้แก่
NIST ประกาศความสำเร็จในการสร้างนาฬิกาอะตอมด้วยคู่ไอออน aluminum atom และ magnesium ที่เสถียรกว่านาฬิกา cesium ที่เป็นนิยามของวินาทีในทุกวันนี้
นาฬิกาอะตอมสร้างขึ้นครั้งแรกเมื่อปี 1949 โดย National Bureau of Standards ที่แปลงมาเป็น NIST ภายหลัง โดยทุกวันนี้นิยามของวินาทีคือ การสั่นไหวของ caesium-133 จำนวน 9,192,631,770 ครั้ง โดยได้รับเป็นนิยามตั้งแต่ปี 1967
NIST ประกาศเลือกอัลกอริทึม HQC (Hamming Quasi-Cyclic) เข้าเป็นหนึ่งในอัลกอรึทึมมาตรฐานสำหรับกระบวนการเข้ารหัสลับที่ทนทานต่อคอมพิวเตอร์ควอนตัม หลังจากประกาศมาตรฐานชุดแรกไปเมื่อปีที่แล้ว
เหตุผลที่ NIST เลือก HQC เพราะพื้นฐานของอัลกอรึทึมใช้แนวทาง error-correction codes ที่ต่างจากแนวทาง stuctured lattices ของ ML-KEM ที่ผ่านการรับรองไปก่อนหน้านี้ ทำให้ HQC เป็นตัวเลือกที่ดีที่จะใช้สำรองในกรณีที่ ML-KEM ถูกแฮกได้ในอนาคต
HQC มีขนาดกุญแจยาวกว่า ML-KEM และกินทรัพยากรประมวลผลสูงกว่า จึงแนะนำเป็นแนวทางสำรอง
NIST เผยแพร่แนวทางสำหรับความปลอดภัยของรหัสผ่าน (Password) ซึ่งระบุในเอกสาร 800-63B ภาพรวมนั้นคล้ายกับแนวทางที่เคยระบุในเอกสารฉบับก่อนหน้า แต่มีการเปลี่ยนแปลงบางหัวข้อ ซึ่งหลายคนอาจคุ้นเคยว่าเป็นแนวทางตั้งรหัสผ่านที่ปลอดภัย แต่ NIST เปลี่ยนคำแนะนำแล้ว
โดยหัวข้อหนึ่ง NIST บอกว่า __ต้องไม่__กำหนดให้ตั้งรหัสผ่านที่ซับซ้อน ซึ่งมีทั้งอักษรตัวเล็ก-ตัวใหญ่ ตัวเลข และอักขระพิเศษ (Shall Not) แต่__ต้อง__กำหนดให้รหัสผ่านยาวอย่างน้อย 8 ตัวอักษร (Shall) และ__แนะนำ__ให้กำหนดอย่างน้อย 15 ตัวอักษร (Should) ซึ่งนักวิจัยของ NIST ให้ข้อมูลว่า รหัสผ่านที่ยาวกว่านั้นปลอดภัยกว่า และดีกว่าการไปกำหนดให้ตั้งรหัสผสมอักขระ
NIST เปิดรับความเห็นร่างเอกสาร NIST SP-800-63B มาตรฐานการยืนยันตัวตนที่เคยอัพเดตไปเมื่อปี 2017 โดยรอบนี้มีจุดสำคัญคือการเพิ่มมาตรฐานความปลอดภัยของ Passkey ที่ใช้ล็อกอินโดยไม่ต้องการรหัสผ่าน และยังสามารถซิงก์ข้ามอุปกรณ์ได้
NIST ประกาศมาตรฐานการเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม (post-quantum cryptography - PQC) ชุดแรก 3 อัลกอริทึม จาก 4 อัลกอริทึมที่ผ่านมาการคัดเลือกตั้งแต่ปี 2022 โดยตัวที่ 4 คือ Falcon จะตามมาในปลายปีนี้ ตอนนี้ทั้งสามอัลกอริทึม ได้แก่
ทีมวิจัยของ NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ รายงานถึงการพัฒนาเซ็นเซอร์กลูโคสโดยอาศัยการดัดแปลงจากเซ็นเซอร์แม่เหล็กที่มีในโทรศัพท์สมัยใหม่แทบทุกเครื่องอยู่แล้ว
กระบวนการวัดระดับน้ำตาลจริงๆ จะอาศัยแผ่นไฮโดรเจลที่ยืดหรือหดลงเมื่อระดับน้ำตาลในตัวอย่างที่นำมาทดสอบต่างกันไป ที่ปลายแผ่นไฮโดรเจลติดสารแม่เหล็กเอาไว้ทำให้ระดับสนามแม่เหล็กเปลี่ยนไป และนำมาแปลงค่าแสดงในโทรศัพท์มือถือด้วยเซ็นเซอร์เข็มทิศอีกที
NIST ออกชุดเอกสาร NIST’s cybersecurity framework (CSF) เวอร์ชั่น 2.0 สำหรับการวางโครงสร้างองค์กรให้พร้อมรับมือภัยไซเบอร์ หลังจากออกเวอร์ชั่น 1.0 มาตั้งแต่ปี 2014 ตามคำสั่งฝ่ายบริหารของรัฐบาลโอบามา โดยรอบนี้พยายามทำเอกสารให้ครอบคลุมองค์กรทุกประเภท และทุกระดับความเสี่ยงภัยไซเบอร์
NIST องค์การมาตรฐานอุตสาหกรรมสหรัฐฯ ออกเอกสารรวบรวมภัยจากการโจมตี machine learning และแนวทางเพื่อลดความเสี่ยงลง พร้อมกับเตือนว่าตอนนี้ยังไม่มีทางใดที่ป้องกันการโจมตีได้ทั้งหมด และนักพัฒนาควรระมัดระวัง
เอกสาร NIST AI 100-2e2023 ไม่ใช่มาตรฐานอุตสาหกรรมแต่เป็นการรวบรวมการโจมตีรูปแบบต่างๆ และแนวทางการลดความเสี่ยงเท่านั้น โดยเอกสารจัดรูปแบบการโจมตี 4 รูปแบบใหญ่ๆ ได้แก่
Filippo Valsorda นักวิทยาการเข้ารหัสลับผู้ดูแลโมดูล crypto ในภาษา Go และผู้สร้างโครงการ mkcert ประกาศรางวัลมูลค่า 12,288 ดอลลาร์ (12 KiUSD) สำหรับผู้ที่ค้นหาต้นทางของค่าคงที่ใน Elliptic Curve P-192, P-224, P-256, P-384, และ P-521 ที่ประกาศโดย NIST แต่สร้างมาโดย Jerry Solinas ที่ทำงานอยู่ NSA
รัฐบาลสหรัฐอเมริกา นำโดยประธานาธิบดีไบเดน เปิดตัวตราสัญลักษณ์รูปโล่ U.S. Cyber Trust Mark เพื่อบ่งชี้ว่าอุปกรณ์ IoT มีความปลอดภัยไซเบอร์มากเพียงพอ ไม่กลายเป็นช่องโหว่ให้ถูกโจมตี
โครงการตราสัญลักษณ์ U.S. Cyber Trust Mark ริเริ่มโดย FCC หรือ กสทช. สหรัฐ จะใช้งานกับอุปกรณ์ทุกรูปแบบที่เชื่อมต่อเครือข่าย เช่น สมาร์ททีวี, ตู้เย็นอัจฉริยะ, เตาไมโครเวฟ, ฟิตเนสแทร็คเกอร์, สมาร์ทมิเตอร์ ฯลฯ โดยมีแบรนด์สินค้าบางราย เช่น Amazon, Best Buy, Google, LG, Logitech, Samsung Electronics ประกาศเข้าร่วมโครงการแล้ว โครงการจะเริ่มดำเนินการจริงในปีหน้า 2024
แบรนด์ที่จะได้ตราสัญลักษณ์ U.S. Cyber Trust Mark จำเป็นต้องผ่านเกณฑ์ด้านความปลอดภัยที่กำหนดโดย National Institute of Standards and Technology (NIST) ซึ่งยังไม่เปิดเผยรายละเอียดในตอนนี้
NIST ประกาศผลประกวดกระบวนการเข้ารหัสลับและการแฮชข้อมูลสำหรับอุปกรณ์ขนาดเล็ก จากที่มีผู้ส่งประกวด 57 ราย ได้ผู้ชนะคือ Ascon ที่พัฒนาโดยทีมวิจัยร่วมระหว่าง Graz University of Technology, Infineon Technologies, Lamarr Security Research, และ Radboud University
NIST ออกเอกสาร FIPS 186-5 มาตรฐานการเซ็นลายเซ็นดิจิทัลโดยปรับปรุงจากมาตรฐานเดิม FIPS 186-4 ที่ออกมาตั้งแต่ปี 2013 มีการปรับปรุงถอดอัลกอริทึม DSA (Digital Signature Algorithm) ออกจากมาตรฐาน หลังจากอยู่ในมาตรฐานมาตั้งแต่ปี 1994
DSA คิดค้นโดย David W. Kravitz เจ้าหน้าที่ NSA ในปี 1991 แม้จะยื่นจดสิทธิบัตรไว้แต่ NIST ก็เปิดให้ใช้งานได้โดยไม่คิดค่าใช้จ่ายทำให้ได้รับความนิยมเป็นวงกว้าง เอกสาร FIPS 186-5 ยังอนุญาตให้ไลบรารีต่างๆ รองรับลายเซ็นแบบ DSA ได้เฉพาะการตรวจสอบลายเซ็นในเอกสารเดิมเท่านั้น ไม่อนุญาตให้เซ็นเอกสารใหม่เพิ่มเติม
NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ประกาศแผนการถอดมาตรฐานการแฮช SHA-1 ออกจากมาตรฐานทั้งหมดภายในปี 2030 แม้ว่าจะแนะนำให้เลิกใช้งานเร็วที่สุดที่เป็นไปได้ก็ตาม
กระบวนการแฮชแบบ SHA-1 ถูกใช้งานในมาตรฐานหลายตัวของ NIST โดยเอกสารหลักคือ FIPS-180 เอกสารที่ระบุกระบวนการเข้ารหัสที่ยอมให้ใช้งานที่ NIST ใส่ SHA-1 ไว้ตั้งแต่เวอร์ชั่นแรกของเอกสารที่ออกปี 1993
NIST ประกาศผลการคัดเลือกอัลกอริทึมเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม โดยชุดแรกมี 4 อัลกอริทึมที่จะเข้าสู่กระบวนการจัดทำมาตรฐานต่อไป แบ่งเป็นกระบวนการเข้ารหัสแบบกุญแจลับ/กุญแจสาธารณะ 1 รายการ และกระบวนการสร้างลายเซ็นดิจิทัล 3 รายการ
ประธานาธิบดีโจ ไบเดน เซ็นคำสั่งตั้งคณะกรรมการควอนตัมคอมพิวเตอร์แห่งชาติ (National Quantum Initiative Advisory Committee) เพื่อกำหนดทิศทางนโยบายด้านควอนตัมคอมพิวเตอร์ของสหรัฐอเมริกา โดยมีตัวแทนจากสถาบันวิชาการ หน่วยวิจัยภาครัฐ และบริษัทเอกชนเข้าร่วม
คำสั่งนี้ดูเหมือนเป็นการตั้งคณะกรรมการด้านวิทยาศาสตร์-งานวิจัยแขนงอื่นๆ ทั่วไป แต่ในคำอธิบายของทำเนียบขาว มีประเด็นน่าสนใจว่า ในอนาคตอันไม่ไกลนัก เมื่อควอนตัมคอมพิวเตอร์พัฒนาจนดีพอ จะสามารถเจาะการเข้ารหัสลับคอมพิวเตอร์ที่เป็นพื้นฐานด้านความมั่นคงออนไลน์ได้ง่าย
NIST ประกาศแนวปฎิบัติสำหรับการทดสอบซอฟต์แวร์ขั้นต่ำ (Guidelines on Minimum Standards for Developer Verification of Software) ตามคำสั่งของรัฐบาลโจ ไบเดนที่ให้ NIST วางแนวทางที่เกี่ยวข้องเพื่อปรับปรุงความปลอดภัยไซเบอร์
แม้จะเป็นคำสั่งสำหรับเพิ่มความปลอดภัยไซเบอร์ แต่แนวทางปฎิบัติของ NIST ก็เป็นแนวทางสำหรับกระบวนการพัฒนาซอฟต์แวร์ที่ดี โดยกำนหนดเงื่อนไขการพัฒนาซอฟต์แวร์ไว้หลายอย่าง เช่น
NIST ออกร่างเอกสารเฟรมเวิร์คการจัดการความเสี่ยงมัลแวร์เรียกค่าไถ่ NISTIR-8374 ระบุถึงแนวทางการจัดการความเสี่ยงมัลแวร์เรียกค่าไถ่หรือ ransomware วางแนวทางให้องค์กร
เนื้อหาในเอกสารส่วนใหญ่ระบุถึงความเสี่ยงต่างๆ ของมัลแวร์เรียกค่าไถ่แล้วย้อนกลับไปถึงแนวทางการจัดการความปลอดภัยไซเบอร์รูปแบบอื่นๆ ที่มีเอกสารแนวทางมาก่อนหน้านี้แล้ว แต่ต้วเอกสารเองก็มีคำแนะนำโดยรวม เช่น