ในช่วงที่มีข่าวปอท. กำลังไปขอข้อมูลจาก LINE แต่ทาง LINE ระบุว่ายังไม่ได้ให้ความร่วมมือใดๆ ผมได้ส่งอีเมลไปสอบถามทาง LINE ทั้งเรื่องการขอข้อมูล และประเด็นการเข้ารหัสที่ LINE กลับไม่ยอมเข้ารหัสเมื่อส่งข้อมูลผ่านเครือข่าย 3G
LINE ยืนยันว่าไม่มีการส่งมอบข้อมูลใดๆ ให้รัฐบาล ไม่ว่าจะเป็นข้อมูลแชต หรือข้อมูลอื่นๆ อย่างไรก็ดี กระบวนการร่วมมือกับหน่วยงานรักษากฎหมายนั้นเป็นไปตามกฎหมายในแต่ละประเทศที่ LINE ดำเนินการ
ในประเด็นการเข้ารหัส LINE ระบุว่าเครือข่ายของบริษัทโทรคมนาคมนั้นแทบจะเข้าไปดักฟังไม่ได้ (virtually impossible) และเมื่อใช้เครือข่ายอื่นๆ เช่น Wi-Fi นั้น LINE ก็ใช้ HTTPS เสมอ นอกจากนี้กระบวนการยืนยันตัวตนนั้นจะเข้ารหัสเสมอทุกเครือข่ายเช่นกัน
อีเมลฉบับเต็มดูได้ท้ายข่าวครับ
Dear Sir/Madam,
Thank you for contacting LINE Customer Support.
We apologize for the delay in getting back to you.
Since we have received a number of questions from you, please allow us to go through each of them in order.
[1] About accessing LINE information by investigative organizations
There is also no available system for investigative organizations to access any information on LINE including not only chat messages but other information as well.However, as mentioned in our previous email, when we receive requests from foreign governments and investigative organizations, including investigative cooperation requests, we respond to them only according to the necessary procedures under the country's laws and regulations.
[2] About network security of LINE
With LINE, it is impossible to bug or hack communications among users as LINE maintains the highest level of global security.It is virtually impossible to bug the wireless networks of telecommunications companies. Even when other networks such as Wi-Fi are used, it is impossible to bug LINE in any way as it uses https.
Furthermore, all types of authorization codes related to LINE certification are completely encrypted. This means that hacking or random changes to codes are fundamentally impossible.
We hope this helps.
Thank you for using our services, and please let us know if you need any additional assistance.
Sincerely,
LINE Customer Support Office
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Cloudnone
- AWS มาไทย ย้ายเลยดีไหม อะไรยังมาไม่ครบบ้าง? | Cloudnone Ep. 23
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
Comments
หมายความว่า การที่ Line ไม่เข้ารหัสบน 3G เพราะที่เป็นหน้าที่ของผู้ประกอบการเครือข่ายที่ต้องป้องกันให้สินะครับ
I need healing.
เท่าที่ดูผมว่า Line ก็ทำทุกอย่างตามมาตรฐานที่บริษัทดำเนินธุรกิจสมควรจะกระทำแล้วนะ ในฐานะผู้บริโภคมีแอพระดับนี้ให้ใช้งานฟรี ก็ถือว่าคุ้มแล้วครับ ทุกวันนี้โทรกันทาง Line ทุกวัน คุยได้จริงไม่หลุด (แต่เสียงเบากว่าโทรศัพท์ตามปรกตินิดนึง) ก็โอเคแล้ว ส่วนถ้าจะติดต่อธุรกิจการค้าที่ต้องการรักษาความลับระดับสูง ก็คงต้องไปลงทุนกับการเข้ารหัสกันเอง จะมาทำผ่าน Line ก็คงแปลกๆ ประเด็นการร่วมมือกับรัฐจากข่าวก่อนๆ ก็ต้องมีหมายศาล ผมว่า ก็ถูกต้อง และชัดเจนดี ;)
my blog
น่าจะตกคำตอนท้ายไปนะครับ
ไม่เข้าใจว่าทำไม LINE ต้องเข้ารหัสข้อมูลเฉพาะเวลาส่งทาง WiFi ครับ
แสดงว่าต้องทำตัว software ให้เช็คว่ากำลังเชื่อมต่อด้วย WiFi อยู่หรือเปล่า ถ้าใช่ค่อยเข้ารหัส
ทำไมไม่ทำให้มันเข้ารหัสตลอดเวลาไปเลย น่าจะง่ายกว่า
การเข้ารหัสเข้าใจว่าทำที่ตัว hardware เพราะฉะนั้นก็ไม่น่าจะมีผลให้ server ต้องทำงานหนักขึ้นด้วย
ใครพอจะทราบไหมครับว่าทำไมเขาถึงต้องทำให้มันไม่เข้ารหัสเวลาส่งข้อมูลผ่านสัญญาณโทรศัพท์ หรือว่าผมเข้าใจอะไรผิด
ผิดครับ การเข้ารหัสกิน CPU ของ server เยอะมากครับ
เข้ารหัสเฉพาะ WiFi แต่ Edge,GPRS,3G ไม่เข้ารหัสให้แต่ไปโทษ provider ผมรับไม่ได้ เว้นแต่ Naver จะบอกว่ามีช่องเข้ารหัสระหว่าง provider <-> Line ได้ อันนี้ผมรับได้
แต่ในจดหมายนี้ไม่ได้บอกเลยว่า Edge,GPRS,3G เข้ารหัสหรือไม่ นี่แสดงถึงความไม่รับผิดชอบหรือระวังคำพูดกันอยู่แน่?
ผ่าน Wifi พวกรูปที่ส่งกันก็ไม่ได้เข้ารหัสนะครับ เป็น http ธรรมดาเลย
เขาบอกว่าดักฟังบนเครือข่ายไร้สายระหว่างบ.ผู้ให้บริการไม่ได้ แต่ไม่ได้พูดถึงการดักฟังที่service provider หรือบนชุมสายนะครับ เพราะเครือข่ายไร้สายก็ปลอดภัยตามมาตรฐาน GSM ยากที่จะดักฟัง
แต่ถ้าจะทำจริง ก็จะไปดักที่เครือข่ายชุมสายโดยตรงครับ ก็ไม่ต่างจากtap สายสนทนาที่ MSC แล้วนั่นแหละครับ คือเข้าถึงได้ขนาดนั้น มันก็เปลือยหมดแล้ว(สัญญาณเสียงวิ่งเป็นPCM เลยที่MSC)
เข้าใจว่าอาจไม่เข้ารหัสเมื่อวิ่งผ่าน mobile network เพื่อลด overhead cost
แต่ถ้ามีคนโวยมากๆ เขาก็อาจลงทุนเพิ่มเข้ารหัสทุกช่องทางกัน
ที่ไม่เข้ารหัสน่าจะเกิดจากปัญหาในเรื่องประสิทธิภาพของโปรโตคอล SPDY ที่ใช้ใน Line มากกว่าการมีวาระซ้อนเร้นครับ แต่ผมตอบไม่ได้เหมือนกันว่าทำไมมีปัญหากับ mobile network
"We allow for non-encrypted connections. SPDY is usually used with TLS, but this slows down connection times and transfers–especially over mobile connections. Thus we decided to allow for non-encrypted connections over a mobile network."
Adopting SPDY in Line – Part 1: An Overview
SPDY (ออกเสียงว่า speedy) เป็นโปรโตคอลที่พัฒนาโดย Google และคาดว่าจะถูกใช้ใน HTTP 2.0 เหมาะสำหรับ real-time application รายละเอียดลองอ่านใน Link ของ NAVER Engineers' Blog ด้านบน
จริงๆ แล้วปัญหาเรื่อง connection ช้าเป็นเรื่องปกติครับ แม้แต่ใน SPDY เอง เพราะต้อง negotiate กันเรื่องความปลอดภัยก่อน (แลก cert และกุญแจ ฯลฯ) ถ้า letency สูง (ซึ่งเครือข่าย mobile network เช่น edge จะมีปัญหาหนักกว่า) จะทำให้การเชื่อมต่อช้าหลายวินาทีในการเชื่อมต่อแต่ละครั้ง
lewcpe.com, @wasonliw
ขอบคุณทั้งสอง comment มากครับ กำลังสงสัยเลย
ตามเนื้อข่าวจาก Telecom Asia เขาบอกว่า Line ไม่เข้ารหัสบน 3G, 2G Edge โดยเฉพาะที่เป็น 2G ก็เพราะเครือข่าย 2G (ของผู้ให้บริการบางเจ้าในไทย) ใช้ A5/1 ในการเข้ารหัส แต่ก็ไม่ใช่วิธีแก้ที่ดีอยู่ดี เพราะ A5/1 มัน cryptanalysis ได้ไม่ยาก
อ้างจากแหล่งข่าว Telecom Asia [blognone] การทำ Man-in-the-Middle attack สำหรับ Line นั้นทำได้ และก็ทำไปแล้วด้วย
My Blog
ผมเป็นคนที่รักษาสิทธิของตัวเองระดับนึงเหมือนกัน เข้าใจว่าการดักฟักหรือส่งข้อมูลให้รัฐอย่างในข่าวนั้นเป็นสิ่งที่น่ากลัว
ผมเข้าใจว่าถ้ารัฐเข้าถึงข้อมูลการแชทของคุณเป็นสิ่งที่คุณยอมไม่ได้
แต่ถามกลับว่าบทสนาของพวกคุณนั้นสำคัญมากขนาดนั้นเลยเหรอ ผมว่าก็มีพวก คุยปกติ จีบกัน คุยเล่น ขายครีม และอาจจะมีการคุยกันเรื่องงานในบริษัท
แต่รัฐเขาคงไม่มาข้อข้อมูลจาก Line หรือดักฟังจากคนทั่วไปอย่างเราๆหรอก
รัฐคงไม่ได้ขอให้ Line ส่งข้อมูลให้ทั้งหมด ของทุกคนที่ใช้ Line
ผมคิดว่ารัฐคงเจาะจงเป็นคดีๆไป
ซึ่งควาคิดเห็นส่วนตัว.. ผมคิดว่าสมควรที่จะต้องดำเนินคดีกับคนที่ทำผิดกฏหมาย สมควรจะโดนดัก สมควรที่จะส่งข้อมูลให้รัฐ
ปล. แต่กรณีละเอียดอ่อนผมไม่รู้..
ทีละเรื่องนะครับ
การส่งมอบให้รัฐนี่เป็นเรื่องหนึ่ง กระบวนการส่งมอบให้รัฐเป็นเรื่องทำได้แน่นอน บริษัททั่วโลกทำกัน คำถามคือกระบวนการที่ทำนั้นเป็นอย่างไร ผมเคยทวีตเรื่องนี้ไว้ว่ากระบวนการที่ยอมรับได้มีสี่ข้อ 1. ต้องมีข้อสงสัยพอสมควรจึงขอข้อมูล 2. มีการตรวจสอบก่อนหน้าขอข้อมูล 3. ข้อมูลรายละเอียดการขอข้อมูลตรวจสอบย้อนหลังได้ 4. มีโทษแก่ผู้ขอเพื่อใช้อำนาจในทางที่ผิด
คำถามต่อกระบวนการพวกนี้ไม่ใช่เรื่องแปลกที่จะถูกตั้งคำถาม ถ้ากระบวนการขอข้อมูลไม่สามารถตรวจสอบย้อนกลับได้ ใครจะรู้ว่าเจ้าหน้าที่สักคนไม่ใช่คนที่เราไปเหยียบเท้าในผับแล้วจะหาเรื่องเรา แต่ถ้ากระบวนการตรวจสอบย้อนกลับได้ มันตอบได้ว่าถ้าเจ้าหน้าที่ไปมีเรื่องส่วนตัวแล้วใช้อำนาจจะถูกตรวจสอบ ถูกลงโทษ นั่นก็อีกเรื่อง
กระบวนการพวกนี้ไม่ได้พึ่งกับคำว่า "คง" แต่เป็นกระบวนการที่เปิดเผย ตรวจสอบได้ในตัวมันเอง เมื่อรัฐออกมาให้ข่าวว่าจะตรวจสอบ โดยไม่ชี้แจงกระบวนการที่ชัดเจน ก็ต้องถูกตั้งคำถาม
เรื่องไม่เข้ารหัส นี่เป็นอีกเรื่อง แล้วเราจะรู้ได้อย่างไรว่ามีแต่ "รัฐ" เท่านั้นที่ดักฟัง ในกรณีเครือข่าย 2G ที่ความปลอดภัยมีปัญหาหลายอย่างในตัวมันเอง การที่ LINE ไปอิงกับความปลอดภัยที่หละหลวม ทำให้ผู้ใช้อาจจะถูกคนข้างบ้านดักฟังได้แบบนี้เป็นเรื่องที่สมเหตุสมผลหรือไม่
lewcpe.com, @wasonliw
+1 ทำให้ผมเข้าใจอะไรขึ้นมากเลยครับ
ขอบคุณครับ :D
วันดีคืนดี ถ้าคุณมีศัตรูทางการเมือง แล้วโดนปรักปรำแบบคดี อากง หรือคดีข่าวหุ้นตก ด้วยหลักฐานที่เกิดจากกระบวนการสอบสวนลับที่อาจผิดกฎหมาย(ยิ่งทำให้ไม่รู้ว่า หลักฐานนั้นถูกต้องจริงหรือเปล่า)
คดีที่มีโทษรุนแรง ไม่ให้ประกันตัว และแทบไม่มีใครอยากมาช่วยเหลือด้วย ไม่ว่าจะผิดจริงหรือไม่ก็ตาม
ตอนนั้นมาคิดกลัวก็คงไม่ทันแล้วครับ
ทุกอย่างมันก็โดนเจาะได้ละครับ โทษเขาก็ไม่ได้หรอก มันอยู่ที่คนเจาะ จะเจาะทำไมมากกว่า
บ้านควรมีประตู ฉันใด ทุกอย่างก็ควร การป้องกันฉันนั้น
คุณคงไม่ถาม คนแปลกหน้าว่ามายืนดู คุณนั่งขี้ทำไม? จริงไหมครับ
บางที่ปอท.อาจติดต่อขอกำลังเสริมจากNSAก็เป็นได้