Image

National Institute of Standards and Technology

By lew Founder on Tag: Security, USA, NIST
Security

สถาบันมาตรฐานอุตสาหกรรมองสหรัฐฯ ออกคู่มือการจัดการกุญแจสำหรับล็อกอิน Secure Shell ที่ใช้กันเป็นจำนวนมาก เพื่อให้มีแนวทางการเปลี่ยนกุญแจเมื่อถึงรอบ สร้างกระบวนการจัดการกุญแจเหล่านี้อย่างเป็นระบบ

กุญแจ Secure Shell ที่สร้างจากโปรแกรม ssh-keygen ใช้กันกว้างขวางในเซิร์ฟเวอร์ระดับองค์กร ผู้ใช้ที่ล็อกอินผ่านกุญแจเหล่านี้มักเป็นผู้ใช้ที่มีสิทธิ์สูงเพราะส่วนมากเป็นซอฟต์แวร์จากเครื่องภายนอกเช่นระบบสำรองข้อมูล ที่เข้ามากวาดข้อมูลจากเครื่องอื่นๆ ไป การปล่อยให้กุญแจเหล่านี้หลุดออกไปทำให้แฮกเกอร์อาจเข้าถึงข้อมูลได้จำนวนมาก ไปจนถึงองค์กรบางแห่งมีนโยบายต้องใส่กุญแจใน root เพื่อใช้ล็อกอินฉุกเฉิน

By pe3z Writer on Tag: Cryptography, NIST
Cryptography

ตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG ที่ตกเป็นประเด็นร้อนว่าถูก NSA แฮกให้ง่ายต่อการถูกแฮกมากขึ้นตั้งแต่ปี 2008 ได้ถูกถอดออกจากมาตรฐานโดย NIST แล้ววันนี้ตามประกาศ NIST SP 800-90A, REV. 1

By lew Founder on Tag: Security, Open Standard, NIST
Security

การเปิดเผยเอกสารของ Snowden มีประเด็นสำคัญคือความร่วมมือระหว่าง NSA และ NIST ที่ทำให้ NSA มีบทบาทในการออกแบบกระบวนการเข้ารหัสจนกระทั่งสามารถออกแบบการเข้ารหัสได้ตามใจชอบใน[กระบวนการสร้างตัวเลขสุ่ม Dual_EC_DRBG ทำให้คนตั้งคำถามว่าตอนนี้เราวางใจ NIST (ซึ่งเป็นคนละหน่วยงาน มีหน้าที่ออกมาตรฐานอย่างเดียว) ได้อย่างไร NIST พยายามสร้างความไว้ใจกลับมาโดยประกาศว่าจะเปิดกระบวนการสร้างมาตรฐาน ตอนนี้ร่างเอกสารนี้ก็เปิดเผยออกมาแล้ว

By lew Founder on Tag: USA, NSA, Government, NIST
USA

หนึ่งในผู้ที่เสียความน่าเชื่อถือจากเอกสารของ Edward Snowden คือ NIST ที่เป็นหน่วยงานของรัฐบาลสหรัฐฯ เพราะเอกสารของ NSA แสดงให้เห็นว่า NSA ซึ่งมีหน้าที่หาข่าวกรอง กลับสามารถเข้ามาควบคุมมาตรฐานความปลอดภัยตอนนี้ NIST ก็ออกประกาศออกมาเพื่อเตรียมเปิดให้สาธารณะเข้ามาตรวจสอบการออกมาตรฐานขององค์กรแล้ว

NIST ที่มีหน้าที่รักษาความปลอดภัยให้รัฐบาลสหรัฐฯ เอง มาตรฐานรักษาความปลอดภัยที่หน่วยงานของรัฐบาลกลางจะใช้งานได้ต้องได้รับการรับรองจาก NIST และเนื่องจากธุรกิจไอทีในสหรัฐฯ มีอิทธิพลสูง มาตรฐานที่ NIST ยอมรับก็มักจะกลายเป็นมาตรฐานกลางของทั่วโลกไป เช่น การแฮชแบบ SHA และการเข้ารหัสแบบ AES

By lew Founder on Tag: Security, USA, Open Standard, NSA, Government, Cryptography, NIST
Security

มาตรฐานการแฮชข้อมูล SHA-3 เพิ่งได้ผู้ชนะเป็น Keccak ไปเมื่อปีที่แล้ว แต่หลังจากการเปิดเผยข้อมูลของ Edward Snowden ทำให้ NIST หน่วยงานกลางผู้ออกมาตรฐานมีปัญหาความน่าเชื่อถืออย่างหนัก จากข่าวความร่วมมือกับ NSA ตอนนี้มาตรฐาน SHA-3 ที่กำลังอยู่ระหว่างกระบวนการปรับมาตรฐาน และเขียนเอกสารในฟอร์แมตที่ชัดเจนกลับมีปัญหาว่าทาง NIST กำลังลดความปลอดภัยของมันอย่างจงใจ

By lew Founder on Tag: Security, SHA, Cryptography, NIST
Security

Jesse Walker พนักงานอินเทลผู้คิดอัลกอริทึม Skein ที่เข้าแข่งขันเป็น SHA-3 เตือนว่าอัลกอริทึม SHA-1 ที่ได้รับความนิยมอย่างสูงในตอนนี้อาจจะตกเป็นเป้าหมายของการโจมตีได้ในเร็วๆ นี้

Subscribe to NIST