SSL อาจจะไม่ปลอดภัยจากรัฐบาล

By: lew

on 30 March 2010 - 07:22 Tags:

Topics:

Security

Privacy

SSL

ระบบรักษาความปลอดภัยในอินเทอร์เน็ตทุกวันนี้อาศัยการเชื่อใจเป็นทอดๆ จากหน่วยงานออกใบรับรองความปลอดภัยกว่าสองร้อยหน่วยงานทั่วโลก งานวิจัยล่าสุดแสดงหลักฐานว่ามีความพยายามจากรัฐบาลที่จะเข้ามาแทรกแซงหน่วยงานเหล่านี้เพื่อดักจับข้อมูลที่ได้รับการเข้ารหัส โดยที่ผู้ใช้ไม่สามารถรับรู้ได้ว่าเกิดความผิดปรกติในการเชื่อมต่อ

เนืื่องจากระบบรักษาความปลอดภัยที่เชื่อใจ root CA นั้นทำให้เบราเซอร์ไม่เตือนผู้ใช้เมื่อมีใบรับรองที่ได้รับความเชื่อใจจากเบราเซอร์ แต่คำถามที่เกิดขึ้นคือ root CA เหล่านี้เชื่อใจได้มากเพียงใด เมื่อบริษัทที่ให้บริการเช่น VeriSign นั้นกลับมีหน่วยงานให้บริการการดักจับข้อมูลตามการร้องขอจากรัฐบาล รวมทั้ง CA บางหน่วยงานกลับสามารถถูกกดดันจากรัฐบาลเช่น Etisalat บริษัทสื่อสารใน UAE และเป็น CA ระดับกลางกลับให้ความร่วมมือกับรัฐบาลที่จะใส่ซอฟต์แวร์ดักจับข้อมูลอีเมลจากผู้ใช้ Blackberry ผ่านทาง Etisalat

ทีมงานวิจัยกำลังพัฒนาปลั๊กอินทดสอบให้กับไฟร์ฟอกซ์เพื่อตรวจจับความผิดปรกติของใบรับรอง รวมถึงการตั้งข้อสงสัยเมื่อใบรับรองมาจากบางประเทศที่ถูกตั้งข้อสงสัยว่าหน่วยงานออกใบรับรองอาจจะถูกกดดันจากรัฐบาลได้

งานวิจัยฉบับเต็มอยู่หลัง break

ที่มา - Beta News

Hiring! บริษัทที่น่าสนใจ

CP Axtra Public Company Limited

Makro PRO is an exciting new digital venture by the iconic Makro.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Comments

By: jingjingmaple

on 30 March 2010 - 07:40 #165718

แล้วก็อ้างว่า "เพื่อความมั่นคงของประเทศ(รัฐบาล)" ?

By: McKay

on 30 March 2010 - 08:04 #165723

ไม่เห็นด้วยกับการดักจับข้อมูล (แม้จะปฏิเสธไม่ได้ว่ามันมีอยู่ก็ตาม)

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: platalay

on 30 March 2010 - 08:21 #165724

เรื่องดักจับข้อมูลกับรัฐบาลนี่นะ ไม่เลิกไม่ลากันซะที

ปล.ของไทยอย่าคิดว่าเค้าไม่ดักนะ ลองสังเกตุดีๆที่ status bar เข้าเวปบางทีมันจะมีส่งข้อมูลไป ICT แม้กระทั่ง gmail ก็ยังโดน

By: DrRider

on 30 March 2010 - 08:38 #165727 Reply to:165724

ส่งไป แต่อาจจะไม่ทำอะไร เพราะผู้บริหาร ICT โง่เกินกว่าจะเอาข้อมูลไปใช้ :p

We need to learn to forgive but not forget...

By: nidlittle

on 30 March 2010 - 10:03 #165738

Who watches the watchmen?

By: jiramot

on 30 March 2010 - 10:49 #165749

ผมกลับมองว่าส่งไปอ่ะก็ชั่งเหอะ แต่อย่า block เวปมั่วๆละกัน

เวปที่สมควรผมก็ไม่ว่าหรอกครับ วันดีคืนดีมา block google ไปเนี่ยทำอะไรไม่ถูกเลย

จิงๆผมอยากให้เค้าระบุตัวตนทุกคนที่เล่น Internet ได้ด้วยซ้ำน่ะครับ จะได้ตามจับได้ง่ายๆเวลาใครไปโกงอะไร ทางอินเตอร์เน็ต เช่นการดานข่าว ห้องซื้อขาย

By: UltimaWeapon

on 30 March 2010 - 11:05 #165757 Reply to:165749

ระบุ ผมยอมรับได้ แต่เรื่องดัก ผมยอมรับไม่ได้ ต่อให้เป็นรัฐบาลก็ตาม

By: lew

on 30 March 2010 - 11:34 #165770 Reply to:165749

การระบุตัวตน เป็นคนละเรื่องกับดักจับข้อมูลครับ ทั้งสองเรื่องอยู่ด้วยกันได้ บางประเทศเลือกที่จะมีข้อกำหนดเรื่องการระบุตัวตน (เช่นเกาหลี) แต่ยังรับประกันความลับของข้อมูล เช่นห้ามดักจับ ฯลฯ ส่วนบางประเทศรับประกันความลับของตัวตนเป็นสิทธิไปด้วย

เรื่องการระบุตัวตนสามารถทำได้ผ่านการตั้งศูนย์ยืนยันตัวตน, มีกฏหมายบังคับให้มีการตรวจสอบ แต่ไม่ต้องดักจับครับ

lewcpe.com, @wasonliw

By: nblue

on 30 March 2010 - 12:02 #165790

ยังไม่ได้อ่าน paper ให้ละเอียด แต่ก็ยังไม่ค่อยเข้าใจว่าการไปตุกติกกับ root ca มันจะทำให้ได้ข้อมูลที่เข้ารหัสไปได้ยังไง เพราะ root ca มันเกี่ยวกับการยืนยันตัวตน ยังไงเรื่องของการเข้ารหัสก็ยังเป็นระหว่างเครื่องต่อเครื่องอยู่ดี

ยกเว้นรัฐบาลจะเล่นหนัก คือปลอมตัวเป็นบุคคลปลายทางโดยบังคับให้ ca ออก cer ปลอมให้ ซึ่งแบบนั้นมันก็ผิดหนักมากๆ ถ้าจะทำก็น่าจะเป็นบางประเทศ ที่ระบอบการปกครองเขาเอื้อจริงๆ แต่ดูแล้วมันไม่ต่างกับผู้ก่อนการร้ายเลย ถ้าแบบนี้หน่ะ

By: lew

on 30 March 2010 - 12:24 #165796 Reply to:165790

ใน paper มีบอกรายละเอียดครับ

lewcpe.com, @wasonliw

By: nthree

on 31 March 2010 - 01:39 #165971

เห็นด้วยกับการดักจับข้อมูล แต่อย่าบล๊อกเว็บมั่วๆ จะดีกว่า

Main menu