Cloudflare และหน่วยงานพันธมิตรอีก 4 หน่วยงานเปิดตัว League of Entropy บริการสร้างเลขสุ่มที่เชื่อถือได้ โดยให้บริการผ่าน API โดยสร้างเลขสุ่มทั้งแบบสาธารณะเปิดเผยข้อมูลโดยทั่วไป และแบบส่วนตัวสำหรับใช้งานเฉพาะเช่นการสร้างกุญแจลับ
แต่ละหน่วยงานที่เข้าร่วมมีกระบวนการสร้างเลขสุ่มที่ต่างกันไป Cloudflare เองสร้างเลขสุ่มจากภาพตะเกียงลาวา (lava lamp), หรือมหาวิทยาลัยชิลีสร้างเลขสุ่มจากข้อมูลแผ่นดินไหวในชิลี, Protocol Labs อาศัยข้อมูลสภาพแวดล้อมร่วมกันเลขสุ่มในซีพียู, Kudelski Security สร้างเลขสุ่มจากสตรีมเข้ารหัสของกระบวนการที่พัฒนาจาก ChaCha20, ขณะที่ EPFL จากฝรั่งเศสใช้ /dev/urand ในคอมพิวเตอร์ทั่วๆ ไป การมีเซิร์ฟเวอร์หลายตัวทำให้แน่ใจได้บริการจะมี availability ที่ดี สามารถให้บริการได้ต่อเนื่อง และแม้จะมีเลขสุ่มบางแหล่งมีช่องโหว่ให้ค่าสุ่มคุณภาพต่ำ แต่ค่าสุ่มโดยรวมก็ยังมีคุณภาพสูงต่อไป
บริการนี้จะให้ค่าสุ่มสาธารณะขนาด 512 บิตทุกๆ 60 วินาที และสามารถตรวจสอบย้อนกลับได้ว่าค่าสุ่มที่ผ่านมาเคยให้ค่าอะไรไว้บ้าง ณ ตอนที่เขียนข่าวนี้ค่าสุ่มอยู่ที่ลำดับที่ 19,529
การใช้งานที่ง่ายที่สุดสำหรับค่าสุ่มแบบสาธารณะคงเป็นการ "ออกหวย" โดยเราสามารถกำหนดเวลาออกหวยได้ เช่น สองหลักสุดท้ายของเลขสุ่มลำดับที่ 20,000 ในเมื่อบริการออกเลขสุ่มมีคุณภาพสูง การคาดเดาล่วงหน้า หรือ "หวยล็อก" ก็จะทำไม่ได้ การใช้งานอื่นๆ เช่น การตรวจสอบกระบวนการเลือกตั้งออนไลน์, หรือการใช้ค่าสุ่มเป็นแหล่งสำหรับแอปบนบล็อคเชน
สำหรับการใช้งานค่าสุ่มแบบส่วนตัว การใช้งานที่สำคัญที่สุดคืออุปกรณ์ IoT ที่มักมีพฤติกรรมการทำงานที่คาดเดาได้ง่าย หลายครั้งทำให้กุญแจเข้ารหัสจากอุปกรณ์เหล่านี้ถูกแกะได้ การใช้ API ดึงค่าสุ่มแบบส่วนตัวมาเริ่มต้นตัวสร้างค่าสุ่มในระบบก่อนเริ่มทำงานจะทำให้ค่าสุ่มโดยรวมมีคุณภาพดีขึ้น
ทางกลุ่ม League of Entropy นี้เปิดรับสมาชิก ช่วยสร้างเลขสุ่มได้ โดยสร้างเซิร์ฟเวอร์ที่ตรงตามเงื่อนไขและส่งอีเมลขอเข้าร่วมกลุ่ม
ที่มา - Cloudflare
Comments
"และแม้จะมีเลขสุ่มบางแหล่งมีช่องโหว่ให้ค่าสุ่มคุณภาพต่ำ"
เหมือนมันขัดแย้งกับแหล่งสุ่มสมบูรณ์นะ
อันนี้เป็นเหตุที่ไม่รู้ไงครับ เหมือน "ระบบปฎิบัติการณ์ความปลอดภัยสูง" ก็ต้องพูดถึงกรณี "มีช่องโหว่ร้ายแรง" อยู่ดี
แต่กระบวนการสุ่มจากแต่ละแหล่งก็มีที่มาชัดเจน (และคุณภาพดี) แต่ถ้ามีปัญหา เช่น ทำผิดสเปคไปบางแหล่ง แหล่งอื่นๆ ที่เอามาผสมกันก็จะทำให้ปัญหาหายไปได้
lewcpe.com, @wasonliw
แล้วเลข OTP เวลาทำธุรกรรมต่างๆ ที่่ส่งเข้ามือถือเรา มันสุ่มแค่ไหนครับ
เพราะที่สังเกต จะมีเลขซ้ำทุกครั้ง เช่น
551779
1446899
คือต้องมีเลขซ้ำอย่างน้อย 1 คู่
เพื่อให้จำง่าย
อันนี้แล้วแต่ครับ โดยทั่วไปแล้วเราต้องการ "ความยุ่งเหยิง" ให้สูงพอ (ณ วันนี้สำหรับเข้ารหัสแบบสมมาตร จะประมาณ 96 บิตขึ้นไป)
แม้กระบวนการสุ่มจะหารูปแบบ "จำง่าย" เช่น ควรมีเลขซ้ำ แต่การออกแบบก็ต้องให้ความยุ่งเหยิงสูงพอ เช่น ผู้ออกแบบอาจจะเลือกว่ายอมให้ OTP ยาว แต่เลขซ้ำเยอะ ให้ลูกค้ากดง่ายๆ
ในลินุกซ์เองตัวสุ่มรหัสผ่านก็มีโปรแกรม pwgen ที่สุ่มตัวอักษรให้ "ออกเสียงได้" ทำให้รหัสผ่านจำได้ง่ายขึ้น
lewcpe.com, @wasonliw
ถ้าผมเข้าใจถูกคือ "ระบบสุ่มที่มีใบรองรับ" ใช่ไหมครับ?