วันนี้ทางธนาคารไทยพาณิชย์เปิดตัวบริการ e-KYC ที่เปิดให้ประชาชนสามารถเปิดบัญชีได้จากที่บ้านโดยไม่ต้องไปธนาคาร ข้อจำกัดอย่างหนึ่งคือต้องมีหนังสือเดินทางและต้องใช้งานกับโทรศัพท์ที่รองรับ NFC เท่านั้น ผมจึงสอบถามไปยังทีมงานได้รับคำยืนยันว่าในส่วนของการอ่านข้อมูลหนังสือเดินทางนั้นมีการตรวจสอบความถูกต้องด้วยระบบ public key ของ ICAO ที่เรียกว่า ePassport
By: mk 
on 24 September 2017 - 11:48
Tags:
Topics:
ทีมความปลอดภัยของ Adobe ทำผิดพลาดอย่างแรง ด้วยการโพสต์ private key ลงบนบล็อก Adobe Product Security Incident Response Team ของบริษัท
ปกติแล้วเวลาสร้างกุญแจ PGP เราจะได้ text file ที่มีคีย์ public/private วางต่อกันอยู่ในไฟล์เดียว คาดว่าทางพนักงานของ Adobe จะโพสต์เฉพาะ public key แต่เลือกคัดลอกข้อความมาทั้งไฟล์ เลยมี private key แถมมาด้วย
โชคดีว่า private key อันนี้ต้องใช้คู่กับ passphrase ทำให้มันไม่สามารถใช้งานได้ลำพัง และตัวมันเองเป็นคีย์ใหม่ที่เพิ่งถูกสร้างขึ้นเพียง 3 วัน (เพื่อใช้แทนคีย์เก่าที่หมดอายุไป) และหลังเกิดเหตุ Adobe ก็ยกเลิกคีย์ตัวนี้แล้ว
By: lew 
on 29 August 2016 - 13:03
Tags:
WoSign หน่วยงานออกใบรับรองจากจีนที่เพิ่งประกาศสนับสนุนการเปิดเผยการออกใบรับรองเมื่อกลางปีที่ผ่านมา กำลังถูกร้องเรียนว่าละเมิดข้อกำหนดความปลอดภัยของการทำหน้าที่หน่วยงานออกใบรับรองหลายประการ
เหตุการณ์เริ่มต้นตั้งแต่ปีที่แล้ว ที่ WoSign อนุญาตให้ยืนยันความเป็นเจ้าของโดเมนโดยใช้ "พอร์ตใดๆ" ในเครื่อง ทำให้ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถใช้พอร์ตหมายเลขสูงๆ ขอใบรับรองของเครื่องออกมาได้ อย่างไรก็ดี ก่อนหน้านี้กระบวนการของ WoSign ไม่ได้ละเมิดข้อกำหนดการเป็น CA ก่อนการแก้ไขที่ 169
By: lew on 1 December 2011 - 17:06
Tags:
Ben Laurie และ Adam Langley นักวิจัยด้านความปลอดภัยจากกูเกิลได้ตีพิมพ์ข้อเสนอ (PDF) ปรับปรุงระบบโครงสร้างความปลอดภัยของอินเทอร์เน็ต (Public Key Infrastructure - PKI) จากบทเรียนที่เราพบกว่าหน่วยงานออกใบรับรอง (Certification Authorities - CA) นั้นกลายเป็นรูรั่วหลายครั้งทำให้ความปลอดภัยของอินเทอร์เน็ตโดยรวมมีอันตราย เพราะ CA อาจจะออกใบรับรองให้กับเว็บใดๆ ก็ได้
ในระบบการออกใบรับรองอิเล็กทรอนิกส์นั้นศูนย์ออกใบรับรอง (Certification Authority - CA) จะต้องมีคีย์ลับ (Private Key) เพื่อใช้ในการรับรองใบรับรองอื่นๆ เช่นในบัตรประจำตัวอิเล็กทรอนิกส์ แต่ล่าสุดบริการบัตรข้อมูลสุขภาพ และบัตรประจำตัวผู้ทำงานด้านสุขภาพของเยอรมันก็พบปัญหาใหญ่เมื่อคีย์ลับที่ว่านั้นถูกลบไปโดยบังเอิญ
โครงการบัตรข้อมูลสุขภาพนี้นับเป็นโครงการที่อาศัยโครงสร้างความปลอดภัยแบบ PKI (Public Key Infrastructure) ที่ใหญ่ที่สุดในโลก โดยเมื่อโครงการเสร็จสิ้นจะมีบัตรที่อยู่ในโครงการนี้ถึง 80 ล้านใบ การที่ระบบผิดพลาดอย่างร้ายแรงเช่นนี้แม้จะช่วงทดสอบก็ตาม ทำให้ตั้งคำถามได้มากมายว่าระบบจะเสถียรแค่ไหนเมื่อเริ่มทำงานจริง
