NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ประกาศแผนการถอดมาตรฐานการแฮช SHA-1 ออกจากมาตรฐานทั้งหมดภายในปี 2030 แม้ว่าจะแนะนำให้เลิกใช้งานเร็วที่สุดที่เป็นไปได้ก็ตาม

กระบวนการแฮชแบบ SHA-1 ถูกใช้งานในมาตรฐานหลายตัวของ NIST โดยเอกสารหลักคือ FIPS-180 เอกสารที่ระบุกระบวนการเข้ารหัสที่ยอมให้ใช้งานที่ NIST ใส่ SHA-1 ไว้ตั้งแต่เวอร์ชั่นแรกของเอกสารที่ออกปี 1993

การถอด SHA-1 ออกจากเอกสารจะทำให้หน่วยงานรัฐบาลกลางสหรัฐฯ ไม่สามารถซื้อซอฟต์แวร์หรือฮาร์ดแวร์ที่ใช้งานกระบวนการแฮช SHA-1 เพื่อรักษาความปลอดภัยได้อีกต่อไป การที่ NIST ประกาศล่วงหน้านานถึง 8 ปีเช่นนี้เพราะโครงการภาครัฐหลายโครงการกินเวลานานหลายปีจึงต้องให้เวลาบริษัทต่างๆ ปรับข้อเสนอโครงการกันแต่เนิ่นๆ

นักวิจัยจาก Katholieke Universiteit Leuven (KU Leuven) ในเบลเยียมรายงานถึงการโจมตีกระบวนการแลกกุญแจ Supersingular Isogeny Diffie-Hellman protocol (SIDH) ที่ถูกใช้งานในกระบวนการเข้ารหัส SIKEp434 ที่เพิ่งเข้ารอบ 4 ในกระบวนการคัดเลือกมาตรฐานการเข้ารหัสลับที่ทนทานต่อควอนตัม

การโจมตีนี้ทำให้แฮกเกอร์สามารถดึงกุญแจเข้ารหัสออกมาได้ภายในเวลาเพียงชั่วโมงเดียว บนซีพียูธรรมดาคอร์เดียวเท่านั้น

NIST ประกาศผลการคัดเลือกอัลกอริทึมเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม โดยชุดแรกมี 4 อัลกอริทึมที่จะเข้าสู่กระบวนการจัดทำมาตรฐานต่อไป แบ่งเป็นกระบวนการเข้ารหัสแบบกุญแจลับ/กุญแจสาธารณะ 1 รายการ และกระบวนการสร้างลายเซ็นดิจิทัล 3 รายการ

William H. Grover จากภาควิชา Bioengineering มหาวิทยาลัยแคลิฟอร์เนียร์ เสนอ CandyCode แนวทางการแจกหมายเลขประจำตัวให้กับยาทุกเม็ดด้วยการเคลือบน้ำตาลสีระหว่างการผลิต ทำให้ผู้ใช้สามารถสืบย้อนกลับไปได้ว่าเป็นยาที่ออกมาจากโรงงานจริงหรือไม่

แนวทางการใช้หมายเลขประจำสินค้าเพื่อสืบย้อนกลับไปถึงผู้ผลิตมีมานาน และหลายครั้งผู้ผลิตก็เปิดให้ตรวจสอบสินค้าว่าเป็นของจริงหรือไม่บนตัวกล่อง แต่แนวทางนี้ก็มีข้อจำกัดเพราะบางครั้งผู้ผลิตสินค้าปลอมใช้กล่องจริงที่ใช้แล้ว หรือในกรณียาบางครั้งผู้ซื้อได้รับยาจากร้านยาโดยไม่ได้รับกล่องจากผู้ผลิตโดยตรง ขณะที่ก่อนหน้านี้มีการเสนอให้พิมพ์ QR ลงบนยาทุกเม็ดมาก่อนแล้ว แต่ QR ที่พิมพ์ลงไปมีขนาดเล็กมากจนต้องใช้เครื่องมือพิเศษในการอ่าน

ทีมนักวิจัยรายงานถึงการดึงกุญแจเข้ารหัสโดยอาศัยการจับเวลาตอบสนองของเซิร์ฟเวอร์ แม้ว่าตัวไลบรารีเข้ารหัสจะเป็นแบบใช้เวลาคงที่แล้วก็ตาม แต่เนื่องจากซีพียูมีการปรับสัญญาณนาฬิกาขึ้นลงตามคำสั่งประมวลผล ทำให้เวลาตอบสนองเปลี่ยนไปอยู่ดี เรียกว่าการโจมตี Hertzbleed

Jason A. Donenfeld ส่งโค้ดแก้ไขตัวสร้างเลขสุ่มในลินุกซ์ จากเดิมที่ใช้ SHA1 แบบดัดแปลง มาเป็น BLAKE2 ที่ ทำให้ประสิทธิภาพการสร้างเลขสุ่มโดยรวมสูงขึ้นมาก

BLAKE2 เป็นฟังก์ชั่นแฮชที่เคยร่วมแข่งขันเพื่อเป็นมาตรฐาน SHA3 เมื่อปี 2012 และเข้าถึงรอบสุดท้าย แต่แพ้ให้กับ Keccak ไปที่สุด โดยตัวอัลกอริทึมภายใช้การเข้ารหัสแบบ ChaCha ที่มีจุดเด่นด้านความเร็วอยู่แล้ว

Coinbase บริษัทค้าเงินคริปโตรายใหญ่ประกาศโอเพนซอร์สไลบรารีเข้ารหัสลับในชื่อ Kryptology โดยระบุว่าตั้งใจให้เป็นไลบรารีที่ปลอดภัย, มีการตรวจสอบโค้ด (audited), และใช้งานได้ง่าย ทำให้นักพัฒนาเผลอใช้งานในรูปแบบที่อันตรายได้ยาก

ตัวไลบรารีเป็นภาษา Go ส่วนอัลกอริทึมที่รองรับเกี่ยวข้องกับ blockchain เช่น การแชร์ข้อมูลลับ (Shamir's secret sharing scheme), การเซ็นลายเซ็นดิจิทัลร่วมกัน (Threshold ECDSA), หรือการสร้างกุญแจแบบกระจายตัว (distributed key generation - DKG)

ไลบรารีกลุ่มนี้เป็นงานค่อนข้างเฉพาะทาง ไม่ใช่กระบวนการเข้ารหัสเพื่อส่งข้อมูลปกติ และแม้ว่าทาง Coinbase จะอ้างถึงการตรวจสอบความปลอดภัยแต่ตอนนี้ก็ยังไม่มีรายงานการตรวจสอบโค้ดแต่อย่างใด

Mostafa Hassan นักวิจัยจาก NCC Group รายงานถึงการสร้างโมเดลปัญญาประดิษฐ์เพื่อทำนายผลจากตัวสร้างเลขสุ่มแบบ xorshift128 โดยอาศัยเพียงตัวเลขที่สุ่มออกมาสี่ตัวสุดท้ายเท่านั้น

xorshift128 เป็นตัวสร้างเลขสุ่มเทียม (pseudo random number generator - PRNG) ที่สร้างเลขที่ดูเหมือนสุ่มจากสถานะภายใน โดย PRNG ในกลุ่ม xorshift นั้นเป็นตัวสร้างเลขสุ่มที่ทำงานได้เร็ว วงจรหรือโค้ดเรียบง่ายไม่ซับซ้อน และเลขสุ่มที่ได้มีคุณภาพดีพอสมควร อย่างไรก็ดี xorshift ไม่ใช่ตัวสร้างเลขสุ่มสำหรับการเข้ารหัสลับ โดยมันไม่ทนทานต่อการทำนายตัวเลขสุ่มอยู่แล้ว แต่ที่ผ่านมาก็มักมีนักพัฒนาเผลอใช้ตัวเลขเลขสุ่มเหล่านี้ในโค้ดรักษาความปลอดภัยที่ควรใช้ตัวสร้างเลขสุ่มสำหรับการเข้ารหัสอยู่เรื่อยๆ

ทีมวิจัยจาก École polytechnique fédérale de Lausanne (EPFL) สวิสเซอร์แลนด์รายงานถึงการใช้เทคนิคการประมวลผลข้อมูลโดยไม่ต้องถอดรหัส (homomorphic encryption) ที่สามารถนำมาใช้ทำวิจัยทางการแพทย์ได้โดยไม่ต้องส่งมอบข้อมูลดิบให้กับนักวิจัย เปิดทางให้นักวิจัยทำวิจัยได้มากขึ้นโดยยังรับประกันความเป็นส่วนตัวคนไข้ได้

ทีมวิจัยเสนอแนวทาง FAMHE (federated analytics multiparty homomorphic encryption) โดยเทคนิค MHE เป็นกระบวนการเพื่อให้แน่ใจว่าไม่มีผู้หนึ่งผู้ใดในระบบจะถอดรหัสข้อมูลได้ทั้งหมดแต่ผู้ที่อยู่ในเครือข่ายต้องตกลงร่วมกันว่าจะยอมเปิดเผยข้อมูลส่วนใด การทดสอบเทคนิค FAMHE ครั้งนี้อาศัยการทำซ้ำงานวิจัยที่เคยมีการรายงานก่อนหน้านี้

Chrome และ Edge เตรียมถอดการเข้ารหัส TLS แบบ TLS_RSA_WITH_3DES_EDE_CBC_SHA ออกจากระบบ ทำให้อาจจะเข้าเว็บเก่าๆ ที่ใช้กระบวนการเชื่อมต่อแบบนี้ไม่ได้อีกต่อไป

3DES (อ่านว่า ทริป-เปิล-เดส) เป็นมาตรฐานที่พัฒนาขึ้นมาเพื่อแก้ไขความอ่อนแอของกระบวนการเข้ารหัสแบบ DES ที่มีกุญแจเพียง 56 บิต โดยเพิ่มกุญแจเป็น 168 บิต หรือสามเท่าของ DES การเข้ารหัสนี้เข้าเป็นมาตรฐาน RFC1851 ในปี 1995

เมื่อสัปดาห์ที่ผ่านมามีรายงานถึงช่องโหว่ของตัวถอดรหัสข้อมูลแบบ SM2 (ShangMi) ที่เสนอโดยหน่วยงานมาตรฐานอุตหสากรรมจีน ใน OpenSSL เปิดทางให้แฮกเกอร์ที่ส่งข้อมูลเข้ารหัสที่ออกแบบมาเฉพาะ จนอาจจะรันโค้ดในเครื่องของเหยื่อได้

เนื่องจากเป็นช่องโหว่ของ OpenSSL ที่อ่านค่าผิดพลาด ทำให้ลินุกซ์จำนวนมากที่คอมไพล์ OpenSSL โดยเปิดใช้งาน SM2 ได้รับผลกระทบไปทั้งหมด ตอนนี้ลินุกซ์ที่ยืนยันว่าได้รับผลกระทบ เช่น Ubuntu 18.04 ขึ้นไป, SUSE Linux Enterprise 15, openSUSE Leap 15.2 ขึ้นไป, Debian (stretch, buster, bullseye, bookworm, sid), ตลอดจนลินุกซ์ใน Synology และ QNAP

ลินุกซ์ส่วนมากออกแพกเกจรุ่นอุดช่องโหว่เรียบร้อยแล้ว ขณะที่บางดิสโทรยังอยู่ระหว่างการพัฒนาแพตช์ เช่น Synology และ QNAP

Claus Peter Schnorr นักวิจัยด้านวิทยาการเข้ารหัสลับชื่อดังเผยแพร่รายงาน "Fast Factoring Integers by SVP Algorithms" โดยอ้างในบทคัดย่อว่ากระบวนแยกตัวประกอบเฉพาะนี้มีประสิทธิภาพพอจะทำลายกระบวนการเข้ารหัส RSA อย่างไรก็ดีตอนนี้ยังไม่มีนักวิจัยภายนอกสามารถอิมพลีเมนต์กระบวนการในรายงานและได้ประสิทธิภาพอย่างที่รายงานอ้าง

Tavis Ormandy นักวิจัยจาก Project Zero รายงานถึงช่องโหว่ของ Libgcrypt เวอร์ชั่น 1.9.0 ที่เพิ่งออกมาเมื่อวันที่ 19 มกราคมที่ผ่านมา โดยเป็นช่องโหว่ร้ายแรงสูงทำให้แฮกเกอร์สามารถส่งข้อมูลไปให้เหยื่อถอดรหัส แต่กลับถูกแฮกเกอร์รันโค้ดในเครื่องได้

แม้ช่องโหว่นี้จะร้ายแรงมาก แต่เนื่องจากมีเวอร์ชั่นเดียวที่ได้รับผลกระทบและเพิ่งออกมาไม่กี่วันทำให้ผลกระทบจริงๆ ค่อนข้างน้อย โดยเฉพาะผู้ใช้ไลบรารีหลักคือ GnuPG นั้นยังไม่ได้ออกอัพเดตมาใช้ไลบรารีเวอร์ชั่น 1.9 นี้ และตอนนี้เวอร์ชั่นแก้ไข 1.9.1 ก็ออกมาแล้ว

ตัวโค้ดที่ก่อบั๊กนี้อยู่ใน Git มาตั้งแต่ 2 ปีก่อนที่ทีมงานเริ่มพัฒนาเวอร์ชั่น 1.9 ทางทีมพัฒนาแจ้งเตือนว่าไม่ควรใช้เวอร์ชั่นที่ทีมงานไม่ได้ release เป็นทางการ

การเข้าสู่ปี 2021 นี้สำหรับประชากรสหราชอาณาจักรจะมีความเปลี่ยนแปลงมากเป็นพิเศษเนื่องจากกระบวนการแยกตัวออกจากสหภาพยุโรปเดินหน้าเต็มตัว และทางรัฐบาลสหราชอาณาจักรก็เผยแพร่ข้อตกลงตัวเต็มหนาถึง 1246 หน้าออกมาเป็นผลการตกลงสุดท้าย แต่สำหรับวงการคอมพิวเตอร์อาจจะต้องแปลกใจเมื่อข้อตกลงส่วนหนึ่งกลับใช้มาตรฐานการเข้ารหัสแบบเก่า เช่น RSA-1024 และการแฮชแบบ SHA-1 รวมถึงโปรแกรมอ่านเมลที่ใช้ Netscape Communicator

กลุ่มนักพัฒนา David Oranchak, Sam Blake, และ Jarl Van Eycke ประกาศความสำเร็จในการถอดรหัสจดหมายจากฆาตกรต่อเนื่อง Zodiac Killer ที่ส่งจดหมายไปยังหนังสือพิมพ์เมื่อปี 1969 เป็นผลสำเร็จแม้ว่าเนื้อหาในจดหมายจะไม่เปิดเผยตัวตนของฆาตกรแต่อย่างใด

จดหมายความยาว 340 อักขระ เป็นจดหมายเข้ารหัสฉบับที่สองที่คนร้ายส่งไปยังหนังสือพิมพ์ The San Francisco Chronicle เมื่อวันที่ 8 พฤศจิกายน 1969 หลังจากจดหมายฉบับแรกความยาว 408 อักขระถูกถอดรหัสออกมาได้ แต่เมื่อถอดรหัสออกมากลับพบว่าเนื้อหาเป็นเพียงการปฏิเสธผู้อ้างตัวว่าเป็นฆาตกรและโทรเข้าไปยังรายการโทรทัศน์เมื่อปี 1969 นั้นไม่ใช่ตัวจริง โดยไม่ได้เปิดเผยตัวตนของคนร้ายแต่อย่างใด

ISRG องค์กรผู้ให้บริการ Let's Encrypt ประกาศเปิดตัวบริการ Prio บริการเก็บสถิติการใช้งานแบบเคารพความเป็นส่วนตัว สำหรับใช้งานเก็บสถิติจากผู้ใช้ ไม่ว่าจะเป็นการเก็บค่าพิกัดจุดที่ผู้ใช้นิยมใช้งาน, ความนิยมใช้งานหน้าเว็บ, หรือการติดตั้งแอปในโทรศัพท์

กระบวนการสร้างกุญแจเข้ารหัสเป็นส่วนสำคัญของระบบเข้ารหัสลับทั้งหมด โดยทั่วไปเรามักใช้ฟังก์ชั่นสร้างเลขสุ่มในคอมพิวเตอร์ที่ไปรวบรวม "ความยุ่งเหยิง" (entropy) ในคอมพิวเตอร์มาสร้างเลขสุ่มให้ แต่ทีมพัฒนา DiceKeys จากเกาหลีใต้เสนอแนวทางการใช้ลูกเต๋า 25 ลูกเพื่อสร้างกุญแจเข้ารหัสแทน

Bletchley Park หรือโรงเรียนการเข้ารหัสของรัฐบาลอังกฤษสมัยสงครามโลกครั้งที่สอง โด่งดังขึ้นมาในฐานศูนย์วิจัยของกองทัพอังกฤษที่ Alan Turing และทีมงานสร้างเครื่องถอดรหัส Enigma ได้สำเร็จ ปัจจุบัน Bletchley Park กลายเป็นพิพิธภัณฑ์ที่ดำเนินการโดยกองทุน Bletchley Park Trust และกองทุนกำลังขาดทุนอย่างหนักจากเหตุ COVID-19 จนต้องปรับลดพนักงาน

ทาง Bletchley Park Trust ระบุว่ารายได้ในช่วงเดือนมีนาคมถึงกรกฎาคมที่ผ่านมารายได้ลดลงถึง 95% ทำให้ปีนี้ทั้งปีคาดว่าจะขาดทุน 2 ล้านปอนด์ จากที่ทางพิพิธภัณฑ์ต้องปิดให้บริการตั้งแต่วันที่ 19 มีนาคมที่ผ่านมา และเมื่อกลับมาเปิดอีกครั้งในวันที่ 4 กรกฎาคม จำนวนผู้เข้าชมก็ลดลงอย่างมาก

เดือนที่แล้วสื่อหลายสำนักรายงานข้อมูลบริษัท Cypto AG ที่ขายอุปกรณ์เข้ารหัสให้กับรัฐบาลต่างๆ ทั่วโลก แต่แอบวางช่องโหว่ไว้สำหรับให้รัฐบาลสหรัฐฯ และเยอรมันสามารถดักฟังได้โดยง่าย ตอนนี้ทางรัฐบาลสวิตเซอร์แลนด์ก็เตรียมดำเนินคดีกับ "ผู้อยู่เบื้องหลัง" การขออนุญาตส่งออกอุปกรณ์ดังกล่าว

State Secretariat for Economic Affairs (SECO) หน่วยงานอนุญาตส่งออกของสวิตเซอร์แลนด์ยื่นเรื่องไปยังอัยการ ให้สอบสวนคดีนี้เป็นอาญาโดยระบุว่า SECO ถูกหลอกให้อนุญาตให้ Crypto AG ส่งออกเครื่องเข้ารหัสและซอฟต์แวร์เข้ารหัส การหลอกลวง SECO เช่นนี้เป็นการละเมิดกฎหมายควบคุมการส่งออก

หนังสือพิมพ์ Washington Post รายงานถึงบริษัท Crypto AG ในสวิตเซอร์แลนด์ว่าที่จริงแล้วเป็นหน้าฉากของ CIA และ BND (หน่วยงานข่าวกรองเยอรมัน) ที่ใช้บริษัทขายเครื่องเข้ารหัสที่แท้จริงแล้วออกแบบโดย NSA และวางช่องโหว่เอาไว้ภายใน จากนั้นขายให้รัฐบาลต่างๆ ทั่วโลกให้ใช้ส่งข้อมูลลับที่ทั้ง CIA และ BND จะถอดรหัสได้โดยง่าย และบริษัทเพิ่งเลิกกิจการไปเมื่อปี 2018 ที่ผ่านมานี้เอง

Gaëtan Leurent จากสถาบัน INRIA ในฝรั่งเศสและ Thomas Peyrin จากมหาวิทยาลัยเทคโนโลยีนันยางในสิงคโปร์ ประกาศเทคนิคการโจมตีกระบวนการแฮชข้อมูลแบบ SHA-1 ครั้งใหม่ในงานวิจัย "SHA-1 is a Shambles" โดยลดความซับซ้อนในการสร้างเอกสารที่ค่าแฮช SHA-1 ตรงกัน จากเดิมเป็น 2^64.7 เหลือ 2^61.2 ทำให้ต้นทุนการสร้างเอกสารที่ค่าแฮชตรงกันเหลือ 11,000 ดอลลาร์เท่านั้น นับเป็นครั้งแรกที่การสร้างค่าแฮชชนกันมีต้นทุนต่ำกว่าแสนดอลลาร์

ทีมวิจัยจากสถาบันวิจัยสารสนเทศและระบบอัตโนมัติแห่งชาติฝรั่งเศส (Institut national de recherche en informatique et en automatique - INRIA) ประกาศความสำเร็จในการแยกตัวประกอบเฉพาะของเลข RSA-240 ที่มีขนาด 795 บิต นับเป็นการแยกตัวประกอบที่มีขนาดใหญ่ที่สุดในตอนนี้

เลข RSA-240 เป็นเลขที่สร้างโดย RSA Laboratories มาตั้งแต่ปี 1991 โดยเลข 240 หมายถึงจำนวนหลักเมื่อเขียนตัวตัวเลขในฐานสิบ โดยทาง RSA ให้รางวัลกับผู้ที่สามารถแยกตัวประกอบของเลขแต่ละตัวที่ทาง RSA สร้างขึ้นมาได้ แม้โครงการให้เงินรางวัลจะยกเลิกไปตั้งแต่ปี 2007 แต่ปัญหา RSA นั้นสร้างไว้ใหญ่ที่สุดคือ RSA-617 ที่มีขนาด 2048 บิต ทำให้มันยังคงเป็นหลักชัยสำหรับนักวิจัยที่จะพัฒนากระบวนการแยกตัวประกอบเฉพาะเลขในปัญหาชุดนี้

รัฐสภาจีน (Standing Committee of the National People's Congress - NPCSC) ลงมติรับร่างกฎหมายควบคุมวิทยาการเข้ารหัสลับ (cryptography) เมื่อวันเสาร์ที่ผ่านมา มีผลบังคับวันที่ 1 มกราคม 2020 ที่จะถึงนี้ ควบคุมการใช้เทคโนโลยีเข้ารหัสลับทั้งภาครัฐและเอกชน

เนื้อหาส่วนใหญ่จะเป็นการสนับสนุนการวิจัยและพัฒนาเทคโนโลยีเข้ารหัสลับ วางหน่วยงานตรวจสอบการใช้เทคโนโลยีเข้ารหัสของหน่วยงานรัฐที่ต้องเก็บรักษาความลับให้ปลอดภัยเพียงพอ, กำหนดให้รัฐบาลท้องถิ่นวางนโยบายสนับสนุนการพัฒนาเทคโนโลยี แต่ส่วนท้ายของกฎหมายก็แสดงความต้องการควบคุมการใช้เทคโนโลยีเข้ารหัสอย่างชัดเจน

Crown Sterling บริษัทผู้สร้างระบบเข้ารหัส ยื่นฟ้องบริษัท UBM LLC ผู้จัดงานสัมมนา Black Hat USA 2019 พร้อมผู้ร่วมงานไม่ระบุชื่ออีก 10 คน หลังจากโดนโห่ขณะนำเสนอระบบเข้ารหัสของบริษัท

Robert E. Grant ผู้ก่อตั้งบริษัทนำเสนอในงานหัวข้อ การค้นพบ Quasi-Prime Number และผลกระทบต่อระบบการเข้ารหัส โดยหลักๆ แล้วงานวิจัยเสนอว่าเขาค้นพบกระบวนการแยกตัวประกอบเฉพาะได้อย่างรวดเร็ว ซึ่งเป็นหัวใจของการเข้ารหัสยอดนิยมอย่าง RSA ซึ่งหากทำได้จริงก็จะทำให้การเข้ารหัสส่วนมากในโลกถูกแกะออกมาได้โดยง่าย

Cloudflare ประกาศเปิดตัวไลบรารีภาษา Go ในชื่อ CIRCL อิมพลีเมนต์กระบวนการเข้ารหัสแบบใหม่ๆ ไว้หลายตัวนอกเหนือจากกระบวนการเข้ารหัสยอดนิยมที่มักอิมพลีเมนต์อยู่ในไลบรารี x/crypto อยู่แล้ว