ศูนย์ออกบัตรข้อมูลสุขภาพของเยอรมันทำ Private Key ของ CA หาย

By: lew

on 16 July 2009 - 17:03 Tags:

Topics:

Security

Germany

PKI

ในระบบการออกใบรับรองอิเล็กทรอนิกส์นั้นศูนย์ออกใบรับรอง (Certification Authority - CA) จะต้องมีคีย์ลับ (Private Key) เพื่อใช้ในการรับรองใบรับรองอื่นๆ เช่นในบัตรประจำตัวอิเล็กทรอนิกส์ แต่ล่าสุดบริการบัตรข้อมูลสุขภาพ และบัตรประจำตัวผู้ทำงานด้านสุขภาพของเยอรมันก็พบปัญหาใหญ่เมื่อคีย์ลับที่ว่านั้นถูกลบไปโดยบังเอิญ

โครงการบัตรข้อมูลสุขภาพนี้นับเป็นโครงการที่อาศัยโครงสร้างความปลอดภัยแบบ PKI (Public Key Infrastructure) ที่ใหญ่ที่สุดในโลก โดยเมื่อโครงการเสร็จสิ้นจะมีบัตรที่อยู่ในโครงการนี้ถึง 80 ล้านใบ การที่ระบบผิดพลาดอย่างร้ายแรงเช่นนี้แม้จะช่วงทดสอบก็ตาม ทำให้ตั้งคำถามได้มากมายว่าระบบจะเสถียรแค่ไหนเมื่อเริ่มทำงานจริง

ความผิดพลาดนี้เกิดขึ้นเนื่องจากตัวคีย์ลับนั้นถูกเก็บไว้ในการ์ดที่เรียกว่า hardware security module (HSM) โดยตัวการ์ดจะมีระบบป้องกันตัวเองเมื่อถูกโจมตี เช่นการพยายามเดารหัสผ่านเพื่ออ่านข้อมูล ระหว่างการทดสอบนั้นเกิดไฟฟ้าขัดข้องทำให้ HSM คิดว่าตัวเองถูกโจมตีจึงลบข้อมูลภายในทิ้งไป ข่าวร้ายคือไม่มีการ์ดสำรองแต่อย่างใด

การทดสอบระบบยังคงดำเนินต่อไปได้ โดยจะไม่มีบัตรออกเพิ่มเดิม เนื่องจากไม่สามารถออกใบรับรองให้กับบัตรใหม่ได้ และบริษัทที่รับผิดชอบโครงการนี้ยืนยันว่าระบบนี้จะมีการสำรองที่ถูกต้องเมื่อเริ่มให้บริการจริง

ถ้าใครจำได้ Mark Shuttleworth ผู้ก่อตั้งโครงการ Ubuntu และบริษัท Canonical เองก็รวยมาจากบริษัทให้บริการรับรองเหมือนกัน

ที่มา - The H Online

Hiring! บริษัทที่น่าสนใจ

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CP Axtra Public Company Limited

Makro PRO is an exciting new digital venture by the iconic Makro.

Carmen Software

Hotel Financial Solutions

Comments

By: ipats

on 16 July 2009 - 17:37 #114284

มันต้องมีการ์ดสำรองฝังไว้ใต้ดิน ข้างล่างภูเขาแกรนิตขนาดใหญ่ ป้องกันการทำลายจากนิวเคลียร์ มีระบบรักษาความปลอดภัยอย่างเข้มงวดพร้อมกล้องตรวจตราและเซ็นเซอร์จับความเคลื่อนไหว แต่แล้ววันนึง ก็โดน nanobot ของ decepticon แอบเข้ามาขโมยไปได้ :p

iPAtS

By: wklk

on 16 July 2009 - 17:43 #114287 Reply to:114284

โอย... ฮาไม่ไหวแล้ว LOL

By: magicbank on 16 July 2009 - 19:58 #114310 Reply to:114287

เป็นตุเป็นตะได้อีก

By: jirayu

on 16 July 2009 - 17:45 #114286

เห็น HSM ผมนึกว่า High School Musical

[ JIRAYU.INFO ]

บล็อกส่วนตัว: JIRAYU.IN.TH

By: DoraeMew

on 16 July 2009 - 22:03 #114339 Reply to:114286

นึกว่า Hyper Sonic Motor ในเลนส์ Sigma

By: HudchewMan

on 16 July 2009 - 22:24 #114349 Reply to:114339

หรือว่าเป็น HFM ดีหนอ ^^'

~ HudchewMan's Station & @HudchewMan~

By: Blltz

on 17 July 2009 - 04:44 #114407 Reply to:114349

FHM ดีกว่า

Acting Reporter & My Elder Brother Blog

By: iAmbAsE

on 17 July 2009 - 09:58 #114430 Reply to:114407

+1 อิอิ

By: kichinto

on 16 July 2009 - 17:53 #114288

Burn After Read!

By: tekkasit

on 16 July 2009 - 18:10 #114295

แต่ผมว่าการที่ข้อมูล Private key หายไปจากอุปกรณ์ ก็เป็นไปตามแนวทางปฏิบัติที่ถูกต้องแล้ว แต่ว่าปัญหาอยู่ที่การทำสำเนาการ์ดที่ถือ Private key นี่ต่างหาก

ตรงข้าม ถ้าระบบการ์ดมันมี back door ได้นี่สิ น่ากลัวกว่า

By: jane

on 16 July 2009 - 21:30 #114328

ประเทศไทยปลอดภัยกว่าเยอะ print ลงกระดาษ A4 สำรองไว้ในตู้เย็น

เพราะตู้เย็นแข็งแรงมาก ช่วยชีวิตตายายมาแล้ว

By: starbucks on 17 July 2009 - 05:12 #114408 Reply to:114328

+10 ว่าแต่ตกลงคดีถึงไหนเนี่ย .. สงสัยต้องย้ายตู้เย็นมาหน้าบ้านแล้วเรา

By: lew.★ on 18 July 2009 - 12:43 #114635

ปกติเขาจะแยกคีย์ออกเป็นสองส่วนแล้วปริ้นลงกระดาษ A4 เก็บไว้ในตู้เซฟของผู้ดูแลรักษาแต่ละคนนะ
ถ้า HSM ถูกขโมยไปหรือเกิดเสียหาย ก็เอากระดาษมาพิมพ์โหลดเข้าไปใหม่

Main menu