Tags:
Node Thumbnail

Yahoo! Mail เพิ่งเปิดบริการ HTTPS ตลอดเวลามาไม่นาน Ivan Ristic จาก Qualys รายงานถึงกระบวนการเข้ารหัสของ Yahoo! ว่ายังไม่น่าพอใจนักเพราะยังใช้ RC4 และกระบวนการแลกกุญแจที่ไม่รักษาความลับในอนาคต (forward secrecy)

Qualys พบว่า Yahoo! แบ่งการเข้ารหัสตามฟังก์ชั่นการทำงาน โดยเซิร์ฟเวอร์ในกลุ่ม login.yahoo.com ที่ใช้รับส่งรหัสผ่านจะใช้การเข้ารหัสแบบ AES ที่ปลอดภัยกว่า แต่ก็ไม่มีการป้องกันการโจมตีแบบใหม่ๆ เช่น BEAST หรือ CRIME อยู่ดี

กระบวนการแลกกุญแจที่ได้รับความนิยมก่อนหน้านี้มักแลกกุญแจด้วยการเข้ารหัส RSA ส่งกุญแจไปทั้งสองฝั่ง แต่ช่วงหลังเพื่อป้องกันในกรณีเซิร์ฟเวอร์ถูกแฮกแล้วนำกุญแจไปถอดรหัสข้อมูล ผู้เชี่ยวชาญมักแนะนำให้ใช้การเข้ารหัสที่แลกกุญแจด้วยกระบวนการ Diffie-Hellman ที่ไม่มีกุญแจถูกส่งออกไปจากเครื่องจริงๆ ทำให้แม้จะดักบันทึกข้อมูลสื่อสารเอาไว้ และได้กุญแจลับมาภายหลังก็ถอดรหัสไม่ได้

แม้การเจาะเพื่อขโมยกุญแจลับออกไปจากเครื่องจะยังไม่มีรายงานกันบ่อยนัก แต่ความกังวลของ NSA ทำให้ผู้เชี่ยวชาญจำนวนมากแนะนำให้ใช้กระบวนการที่รองรับ forward secrecy เพื่อความมั่นใจ

สำหรับประเทศไทย ธนาคารเกือบทุกแห่งใช้กระบวนการเข้ารหัสแบบ RC4 และแลกกุญแจแบบ RSA ที่ไม่รักษาความลับในอนาคต มีเพียงบางแห่งเข้ารหัสแบบ AES_256 แต่ก็ยังแลกกุญแจด้วย RSA

ที่มา - IT World

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 9 January 2014 - 19:07 #671051
panurat2000's picture

แม้การเจาะเพื่อขโมยกุญแจลับออกไปจากเครื่องจะยังไม่มีรายงานกันเท่าบ่อย แต่ความกังวลของ NSA ทำให้ผู้เชี่ยวชาญจำนวนมากแนะนำ

จะยังไม่มีรายงานกันเท่าบ่อย ?

By: UltimaWeapon
Windows PhoneRed HatWindowsIn Love
on 9 January 2014 - 19:30 #671053
UltimaWeapon's picture

แลกกุญแจด้วย RC4 นี่คือยังไงคับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 9 January 2014 - 20:41 #671063 Reply to:671053
lew's picture

พิมพ์ผิดครับ แก้ไขเรียบร้อย


lewcpe.com, @wasonliw