Yahoo! Mail เพิ่งเปิดบริการ HTTPS ตลอดเวลามาไม่นาน Ivan Ristic จาก Qualys รายงานถึงกระบวนการเข้ารหัสของ Yahoo! ว่ายังไม่น่าพอใจนักเพราะยังใช้ RC4 และกระบวนการแลกกุญแจที่ไม่รักษาความลับในอนาคต (forward secrecy)
Qualys พบว่า Yahoo! แบ่งการเข้ารหัสตามฟังก์ชั่นการทำงาน โดยเซิร์ฟเวอร์ในกลุ่ม login.yahoo.com ที่ใช้รับส่งรหัสผ่านจะใช้การเข้ารหัสแบบ AES ที่ปลอดภัยกว่า แต่ก็ไม่มีการป้องกันการโจมตีแบบใหม่ๆ เช่น BEAST หรือ CRIME อยู่ดี
กระบวนการแลกกุญแจที่ได้รับความนิยมก่อนหน้านี้มักแลกกุญแจด้วยการเข้ารหัส RSA ส่งกุญแจไปทั้งสองฝั่ง แต่ช่วงหลังเพื่อป้องกันในกรณีเซิร์ฟเวอร์ถูกแฮกแล้วนำกุญแจไปถอดรหัสข้อมูล ผู้เชี่ยวชาญมักแนะนำให้ใช้การเข้ารหัสที่แลกกุญแจด้วยกระบวนการ Diffie-Hellman ที่ไม่มีกุญแจถูกส่งออกไปจากเครื่องจริงๆ ทำให้แม้จะดักบันทึกข้อมูลสื่อสารเอาไว้ และได้กุญแจลับมาภายหลังก็ถอดรหัสไม่ได้
แม้การเจาะเพื่อขโมยกุญแจลับออกไปจากเครื่องจะยังไม่มีรายงานกันบ่อยนัก แต่ความกังวลของ NSA ทำให้ผู้เชี่ยวชาญจำนวนมากแนะนำให้ใช้กระบวนการที่รองรับ forward secrecy เพื่อความมั่นใจ
สำหรับประเทศไทย ธนาคารเกือบทุกแห่งใช้กระบวนการเข้ารหัสแบบ RC4 และแลกกุญแจแบบ RSA ที่ไม่รักษาความลับในอนาคต มีเพียงบางแห่งเข้ารหัสแบบ AES_256 แต่ก็ยังแลกกุญแจด้วย RSA
ที่มา - IT World
Comments
จะยังไม่มีรายงานกันเท่าบ่อย ?
แลกกุญแจด้วย RC4 นี่คือยังไงคับ
พิมพ์ผิดครับ แก้ไขเรียบร้อย
lewcpe.com, @wasonliw