Tags:
Node Thumbnail

คนที่เคยอ่านชีวประวัติของ Alan Turing (หรือจากในภาพยนตร์ The Imitation Game) คงพอทราบว่าในสมัยสงครามโลกครั้งที่สอง รัฐบาลอังกฤษตั้งหน่วยถอดรหัสข้อความของศัตรู ใช้ชื่อว่า Government Code and Cypher School (GC&CS) ที่ Bletchley Park ในเมือง Milton Keynes ทางตอนเหนือของกรุงลอนดอน สถานที่แห่งนี้มีตำนานใช้ถอดรหัส Enigma ของฝ่ายอักษะได้สำเร็จ

ล่าสุด รัฐบาลอังกฤษเตรียมนำอาคารประวัติศาสตร์หลังนี้ มาตั้งเป็นโรงเรียนสอนวิชา cybersecurity ให้กับวัยรุ่นอายุ 16-19 ปี เพื่อสร้างทรัพยากรมนุษย์ในด้านความปลอดภัยไซเบอร์ยุคหน้า

Tags:
Node Thumbnail

กระบวนการเข้ารหัสเก่าๆ ที่เคยมีความแข็งแกร่งเมื่อนานไปความแข็งแกร่งก็ไม่เพียงพอที่จะป้องกันข้อมูลได้อีกต่อไป ล่าสุดนักวิจัยจากสถาบันวิจัย INRIA ฝรั่งเศส ได้นำเสนอรายงาน SWEET32 สาธิตการเจาะข้อมูลเข้ารหัส เมื่อข้อมูลถูกส่งซ้ำๆ ผ่านการเข้ารหัสแบบ block cipher ขนาด 64 บิต

เนื่องจากบล็อคขนาด 64 บิตมีขนาดไม่ใหญ่เกินไปนัก โอกาสที่เข้ารหัสแล้วจะเจอบล็อคที่มีข้อมูลซ้ำกันจะอยู่ที่ประมาณ 2^32.3 (จำนวนบล็อคน้อยกว่าความเป็นไปได้ทั้งหมด 2^64 มากตามหลัก birthday attack) บล็อค เมื่อเจอบล็อคที่ซ้ำกันแล้ว หากมีบล็อคหนึ่งเป็นบล็อคที่รู้ข้อความภายในอยู่แล้ว ก็จะสามารถดูข้อความที่ไม่รู้ได้ทันที

Tags:
Node Thumbnail

เทคโนโลยีคอมพิวเตอร์ควอนตัมมีพัฒนาการอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา แม้ว่าจะยังไม่มีแนวโน้มว่าคอมพิวเตอร์เหล่านี้จะสามารถเจาะกระบวนการเข้ารหัสลับที่ใช้กันทุกวันนี้ได้ภายในเร็ววันก็ตาม แต่ NIST ก็เริ่มกระบวนการกำหนดมาตรฐานการเข้ารหัสลับหลังเข้าสู่ยุคคอมพิวเตอร์ควอนตัมแล้ว

NIST ระบุว่าการคาดการณ์ว่าคอมพิวเตอร์ควอนตัมระดับที่ใช้เจาะการเข้ารหัสลับที่เราใช้งานกันทุกวันนี้ น่าจะใช้เวลาประมาณ 20 ปี อย่างไรก็ดี กระบวนการเข้ารหัสที่เราใช้กันทุกวันนี้ก็ใช้เวลาในการพัฒนาโครงสร้างกันประมาณ 20 ปีเช่นกัน ทำให้กระบวนการวางมาตรฐานควรเริ่มโดยเร็ว

Tags:
Node Thumbnail

เมื่อวันที่ 9 กรกฎาคม ประธานาธิบดีรัสเซียประกาศสั่ง FSB ให้สร้างโค้ดที่จะถอดรหัสข้อมูลได้ทั้งหมด ตอนนี้ทางฝั่ง FSB ก็ออกมาระบุว่าแนวทางการถอดรหัสข้อมูลตามคำสั่งของประธานาธิบดีแล้ว

FSB ประกาศคำสั่งหมายเลข 432 ประกาศระเบียบการการส่งมอบข้อมูลให้กับ FSB แม้จะมีการเข้ารหัสไว้ก็ตาม โดยผู้ให้บริการต้องสามารถถอดรหัสข้อความที่ รับ, ส่ง, ส่งต่อ, หรือประมวลผล ให้กับทาง FSB ได้เมื่อถูกร้องขอ โดยก่อนหน้านี้ประธานาธิบดีรัสเซียสั่งให้ FSB สร้างโค้ดเพื่อให้ผู้ให้บริการนำไปใช้ กระบวนการนี้จึงเป็นไปได้ว่าจะมีการสั่งให้ผู้ให้บริการต้องติดตั้งซอฟต์แวร์ดักฟังไว้ในเครื่องของตัวเอง อย่างไรก็ตามตัวประกาศไม่ได้ลงรายละเอียดขั้นตอนการปฏิบัติตามเอาไว้

Tags:
Node Thumbnail

กูเกิลเปิดให้ทดสอบกระบวนการแลกเปลี่ยนกุญแจในการเข้ารหัส (key exchange algorithm) ที่มีชื่อว่า “New Hope” แล้ว ผ่านทาง Google Chrome Canary

Tags:
Node Thumbnail

John Wetter อาสาสมัครของ The National Museum of Computing at Bletchley Park พิพิธภัณฑ์ที่รวบรวมอุปกรณ์เข้ารหัสสมัยสงครามโลกเอาไว้จำนวนมาก ระบุว่าเพื่อนของเขาเจอโพสต์บน eBay ขายเครื่องโทรเลขในราคา 9.5 ปอนด์

เขาและเพื่อนคิดว่าที่จริงแล้วมันคือเครื่องพิมพ์ข้อความ (teleprinter) สำหรับเครื่องเข้ารหัส Lorenz SZ42 เขาจึงขับรถไปยังบ้านหญิงที่โพสต์ประกาศเพื่อขอซื้อโดยตรงใน Essex หญิงเจ้าของเครื่องยืนยันว่าราคาขายอยู่ที่ 9.5 ปอนด์ Wetter จึงจ่ายไป 10 ปอนด์โดยระบุว่า "ไม่ต้องทอน"

Tags:
Node Thumbnail

กระบวนการเข้ารหัสแบบบล็อคที่ได้รับความนิยมขึ้นมาในช่วงหลังคือ AES-GCM (RFC5084) แต่การเข้ารหัสเช่นนี้ต้องสร้างค่า nonce ขนาด 8 บิตขึ้นไปจนถึง 2^64 บิต (แนะนำที่ 96 บิต) แต่ทั้งนี้ไม่ควรใช้ค่านี้ซ้ำในการเชื่อมต่อ ทีมวิจัยพบว่ายังมีเซิร์ฟเวอร์ 184 เครื่องที่ตั้งค่า nonce เป็นค่าคงที่ รวมถึงเว็บไซต์บัตรเครดิตอย่าง visa.dk

การใช้ nonce เป็นค่าคงที่ทำให้แฮกเกอร์สามารถแทรกข้อมูลเข้าไปในการเชื่อมต่อได้โดยง่าย ในวิดีโอตัวอย่างทีมวิจัยสาธิตการแทรกจาวาสคริปต์เข้าไปในเว็บไซต์ visa.dk ซึ่งเป็นหนึ่งใน 184 เว็บไซต์ที่ทีมวิจัยพบ

Tags:
Node Thumbnail

ข่าวใหญ่วันนี้คือ Craig Steven Wright ออกมายอมรับแล้วว่าเป็นผู้สร้าง Bitcoin หลังข่าวนี้ประกาศออกมา ก็มีทั้งคนที่เชื่อและไม่เชื่อในเรื่องนี้

การเปิดเผยตัวตนของ Craig Wright ในครั้งนี้เกิดขึ้นช่วงปลายเดือนมีนาคม 2016 ที่กรุงลอนดอน (Wright เป็นชาวออสเตรเลีย แต่ย้ายไปอยู่ลอนดอนหลังนิตยสาร Wired ชี้เป้าว่าเขาคือ Satoshi Nakamoto เมื่อปลายปีที่แล้ว) โดยมีสื่ออังกฤษ 3 รายร่วมสัมภาษณ์คือ BBC, The Economist และ GQ นอกจากนี้ยังมีคนในวงการ Bitcoin อีกสองคนคือ Jon Matonis อดีตผู้อำนวยการมูลนิธิ Bitcoin Foundation และ Gavin Andresen อดีตนักพัฒนาหลักของโครงการ Bitcoin ที่รับช่วงต่อจาก Nakamoto (ปัจจุบัน Gavin ไม่ได้รับบทนักพัฒนาหลักแล้ว) ซึ่งทั้งสองคนเคยทำงานร่วมกับ Satoshi ทางอีเมลมาก่อน

หลังการพบปะครั้งที่ผ่านมา ทั้ง Jon Matonis และ Gavin Andresen ลงความเห็นว่า Wright คือ Nakamoto จริงๆ

Tags:
Node Thumbnail

ปีที่ผ่านมา ScreenOS ของ Juniper เป็นข่าวอยู่บ่อยครั้ง นับแต่การใช้งาน DUAL_EC_DRBG ที่ออกแบบโดย NSA และถูกสงสัยว่าจะมีการวางช่องโหว่เอาไว้ ไปจนถึงการพบโค้ดลึกลับเปิดช่องทางให้เข้าควบคุมเราท์เตอร์และอ่านข้อมูลใน VPN ได้ เมื่อต้นปีที่ผ่านมา Juniper ก็ออกประกาศว่ากำลังถอด DUAL_EC_DRBG ออกจาก ScreenOS ไปใช้กระบวนการอื่นแทน ตอนนี้กระบวนการถอดนี้ก็เสร็จแล้วออกมาเป็น ScreenOS 6.3.0r22

Juniper ระบุว่าต่อจากนี้กระบวนการสร้างเลขสุ่มจะใช้กระบวนการชุดเดียวกันในสินค้าทุกตัว

Tags:
Node Thumbnail

WhatsApp แม้จะได้รับความนิยมอย่างสูงแต่ช่วงแรกๆ ของบริการก็มีช่องโหว่อยู่หลายครั้ง จนกระทั่งเมื่อปี 2014 ก็ร่วมมือกับ Open Whisper System ผู้ให้บริการ TextSecure นำโปรโตคอล Signal มาใช้งาน และตอนนี้ทาง WhatsApp ก็ประกาศว่าหลังจากนี้จะเปิดใช้ Signal เป็นค่าเริ่มต้นเสมอ โดยจะทำงานได้ ทั้งผู้รับและผู้ส่งจะต้องใช้แอปเวอร์ชั่นล่าสุดที่อัพเดตเมื่อวันที่ 31 มีนาคมที่ผ่านมา

Tags:
Node Thumbnail

NIST ออกมาตรฐาน SP 800-38G สำหรับการเข้ารหัสข้อมูลที่ "คงฟอร์แมต" ของข้อมูลไว้ เพื่อการใช้งานกับระบบฐานข้อมูลดั้งเดิมที่อาจจะไม่เหมาะกับการเปลี่ยนแปลงฟอร์แมต

ตัวอย่างของฐานข้อมูลเหล่านี้ เช่น ระบบการเงิน, หรือระบบข้อมูลสุขภาพ ที่มีการใช้งานมาแล้วเป็นเวลานาน มีข้อมูลจำนวนมาก การแปลงฟอร์แมตข้อมูลเป็นเรื่องใหญ่ แนวทางการคงฟอร์แมตทำให้การเข้ารหัสฐานข้อมูลเหล่านี้ทำได้สะดวกขึ้น เพราะเมื่อเข้ารหัสเช่นหมายเลข 16 หลัก ข้อมูลที่ได้กลับออกมาจากการเข้ารหัสก็จะเป็นหมายเลข 16 หลักเช่นเดิม หรือการเข้ารหัสชื่อนามสกุล ก็จะได้เป็นสตริงความยาวตามที่กำหนดในฟิลด์นั้นๆ ทำให้ข้อมูลที่เข้ารหัสแล้วสามารถใส่ลงในฐานข้อมูลเดิมได้

Tags:
Node Thumbnail

ความขัดแย้งระหว่างหน่วยงานภาครัฐของสหรัฐ (FBI + กระทรวงยุติธรรม) กับแอปเปิลในกรณีถอดรหัส iPhone เป็นเพียงตัวอย่างของปัญหาใหญ่เรื่องการเข้ารหัสข้อมูลเท่านั้น บริษัทด้านไอทีทุกแห่งมีโอกาสเจอปัญหาแบบเดียวกัน และล่าสุดมีข่าวว่ารายต่อไปที่จะโดนกดดันจากภาครัฐคือ WhatsApp

หนังสือพิมพ์ The New York Times รายงานข่าววงในว่า เจ้าหน้าที่ในกระทรวงยุติธรรมกำลังถกเถียงว่าจะแก้ปัญหาเรื่องการเข้าถึงข้อความใน WhatsApp อย่างไร ความนิยมใน WhatsApp เริ่มสร้างปัญหาในวงกว้าง เพราะรัฐบาลไม่สามารถดักฟังข้อความที่ถูกเข้ารหัสใน WhatsApp ได้

Tags:
Node Thumbnail

ประธานาธิบดีบารัค โอบามา ออกมาแสดงความเห็นเรื่อง iPhone vs FBI ว่าในมุมของรัฐบาลแล้ว คงยอมให้สมาร์ทโฟนมีสถานะเป็น "กล่องดำ" (รัฐเข้าถึงข้อมูลไม่ได้) ไม่ได้แน่นอน เขายังแนะนำว่าบริษัทไอทีทั้งหลายควรให้ความร่วมมือกับหน่วยงานรัฐบาล จะดีกว่าปล่อยให้ไปถึงขั้นรัฐสภาต้องออกกฎหมายมาบังคับกัน

โอบามาพูดเรื่องนี้ที่งาน SXSW ซึ่งเป็นงานอีเวนต์ของคนสายครีเอทีฟ-เทคโนโลยี (ถือเป็นครั้งแรกที่ประธานาธิบดีเข้าร่วมงานนี้) เขาบอกว่าเราคงไม่สามารถเลือกเส้นทางสุดโต่ง อย่างการเข้ารหัสข้อมูลในทุกกรณี เขาไม่คิดว่าแนวทางนี้จะอยู่ได้ตลอดในอนาคต 200-300 ปีข้างหน้า และมันจะกลายเป็นการคลั่งไคล้สมาร์ทโฟนเหนือสิ่งอื่นๆ ในสังคม

Tags:
Node Thumbnail

ต่อจากข่าว ฝรั่งเศสถกกฎหมายอาจปรับ Apple หากไม่ยอมปลดล็อก iPhone ครั้งละ 1 ล้านยูโร ความคืบหน้าล่าสุดคือ สภาผู้แทนราษฎรของฝรั่งเศสเริ่มโหวตรับร่างกฎหมายนี้แล้ว หน่วยงานที่ปฏิเสธไม่ทำตามคำขอของเจ้าหน้าที่ในการถอดรหัสข้อมูล จะมีโทษปรับ 350,000 ยูโร (ประมาณ 13.6 ล้านบาท) และผู้บริหารอาจโดนจำคุกไม่เกิน 5 ปี

กฎหมายนี้เป็นส่วนหนึ่งของการปรับปรุงกฎหมายอาญาของฝรั่งเศส ซึ่งถูกเสนอเข้ามาหลังฝรั่งเศสเกิดเหตุการณ์ก่อการร้ายเมื่อเดือนพฤศจิกายน 2015 อย่างไรก็ตาม ประเด็นการลงโทษบริษัทที่ไม่ถอดรหัสข้อมูลกลายเป็นประเด็นถกเถียงกันอย่างมาก และรัฐบาลฝรั่งเศสก็ไม่เห็นด้วยกับแนวคิดนี้ (ระบบของฝรั่งเศส แยกรัฐบาลกับสภาออกจากกัน)

Tags:
Node Thumbnail

ช่วงนี้มีประเด็นเรื่องการเข้ารหัสข้อมูลของ iOS ที่ทาง FBI ขอให้แอปเปิลช่วยทำรอมเพื่อปลดล็อค ในอีกทางก็มีคนไปค้นพบว่า Amazon ถอดฟีเจอร์การเข้ารหัสออกจากระบบปฏิบัติการ Fire OS 5 ของตัวเองอย่างเงียบๆ (ฟีเจอร์นี้มีบน Android ที่ Fire OS นำมาพัฒนาต่อ) ส่งผลให้คนวิจารณ์กันอย่างกว้างขวางว่า Amazon ทำแบบนี้เพื่อเอาใจหน่วยงานภาครัฐหรือไม่

คำชี้แจงของ Amazon คือระบบปฏิบัติการ Fire OS ออกแบบมาสำหรับลูกค้าคอนซูเมอร์เป็นหลัก ทำให้บริษัทถอดฟีเจอร์สำหรับองค์กรหลายอย่างของ Android ที่ลูกค้าของตัวเองไม่ได้ใช้งานออกไป แต่บริษัทก็ยืนยันว่ายังรักษาความปลอดภัยและความเป็นส่วนตัวของลูกค้า โดยเข้ารหัสข้อมูลที่ส่งจากแท็บเล็ต Fire ไปยังเซิร์ฟเวอร์ของตัวเองเสมอ

Tags:
Topics: 
Node Thumbnail

Association for Computing Machinery (ACM) ประกาศผู้รับรางวัล Turing รางวัลใหญ่ในวงการวิชาการคอมพิวเตอร์ที่มีเงินรางวัลถึง 1 ล้านดอลลาร์ ประจำปี 2015 ให้กับ Whitfield Diffie และ Martin E. Hellman สองผู้ร่วมคิดค้นกระบวนการแลกกุญแจ Diffie-Hellman (DH)

ทั้งสองคนยังร่วมกันเขียนรายงานวิชาการ "New Directions in Cryptography" ที่ระบุถึงแนวคิดกระบวนการเข้ารหัสสมัยใหม่ เช่น กระบวนการกุญแจสาธารณะ และลายเซ็นดิจิทัล แนวคิดในการเข้ารหัสทั้งสองฝ่ายสามารถเผยแพร่กุญแจให้ใครดักฟังไปก็ได้ แต่ยังสามารถเชื่อมต่อโดยที่ไม่มีใครดักฟังได้เป็นแนวคิดสำคัญของกระบวนการเข้ารหัสในยุคใหม่และเป็นโครงสร้างสำคัญของอินเทอร์เน็ต

ที่มา - ACM

Tags:
Node Thumbnail

Atmel ผู้ผลิตไมโครคอนโทรลเลอร์โดยเฉพาะชิป AVR ที่ใช้งานในแพลตฟอร์ม Arduino ประกาศแพลตฟอร์ม HW-TLS ที่อินเทอร์เฟซระหว่างฮาร์ดแวร์เข้ารหัส คือชิป ATECC508A และซอฟต์แวร์คือ OpenSSL และ wolfSSL

แพลตฟอร์มฝั่ง OpenSSL นั้นเปิดซอร์สไว้บน GitHub ส่วน wolfSSL เป็นไลบรารีแบบ GPL ที่หากต้องการใช้งานแบบปิดซอร์สจะต้องซื้อไลเซนส์การค้า

ATECC508A จะช่วยเข้ามาจัดการปกป้องกุญแจลับไม่ให้รั่วไหล มีฮาร์ดแวร์สุ่มค่าในตัว พร้อมกับแยกการคำนวณ ECC ออกไปอยู่บนตัวชิป

Tags:
Node Thumbnail

Donald Trump หนึ่งในตัวเต็งผู้สมัครชิงตำแหน่งประธานาธิบดีสหรัฐ ออกมาเรียกร้องให้เลิกใช้สินค้าจากแอปเปิล หลังจากแอปเปิลปฏิเสธคำสั่งของศาลสหรัฐ ให้ออกรอมที่ถอดรหัส iPhone ได้

Trump พูดเรื่องนี้ในงานหาเสียงที่ Pawley's Island รัฐเซาท์แคโรไลนา โดยเขาบอกว่าทุกคนต้องร่วมกันบอยคอตแอปเปิล จนกว่าแอปเปิลจะยอมทำตามที่ศาลสั่ง

"What I think you ought to do is boycott Apple until such time as they give that security number. How do you like that? I just thought of it. Boycott Apple!"

Tags:
Node Thumbnail

ออกมาทีไรก็เป็นข่าวเสมอๆ John McAfee ผู้ก่อตั้งบริษัทความปลอดภัย McAfee (ปัจจุบันไม่มีความเกี่ยวข้องกับบริษัทแล้ว) ออกมาแสดงความเห็นต่อข่าว ศาลสหรัฐฯ สั่งแอปเปิลทำรอมพิเศษข้ามการตั้งค่าความปลอดภัย โดยออกมาสนับสนุนแอปเปิลอีกหนึ่งเสียง

McAfee บอกว่าถ้าแอปเปิลยอมให้รัฐบาลสหรัฐวางประตูหลังได้ในกรณีนี้ ต่อจากนี้ไปโลกของเราก็จะมีเหตุการณ์แบบนี้เป็นเรื่องปกติธรรมดาตลอดไป

อย่างไรก็ตาม ไฮไลท์อยู่ที่ McAfee ตั้งคำถามว่าทำไม FBI ไม่มีปัญญาถอดรหัสทั้งที่มีทรัพยากรเยอะขนาดนั้น และประกาศกร้าวว่าเขากับทีมงานแฮ็กเกอร์ระดับเทพ จะเป็นคนถอดรหัส iPhone ให้ดูเอง และถ้าหากทำไม่ได้ภายใน 3 สัปดาห์ "เขาจะออกทีวีแล้วกินรองเท้าให้ดู"

Tags:
Node Thumbnail

Bruce Schneier นักวิจัยด้านความปลอดภัยชื่อดังร่วมกับ Kathleen Seidel และ Saranya Vijayakumar ตีพิมพ์รายงานสำรวจตลาดสินค้าเข้ารหัสข้อมูล พบรายการสินค้าที่วางขายในตลาดถึง 865 รายการจาก 55 ชาติ และข้อมูลที่น่าสนใจได้แก่

Tags:
Node Thumbnail

Keybase.io บริการแลกเปลี่ยนกุญแจเข้ารหัสที่ช่วยให้ผู้ใช้สามารถยืนยันตัวตนถึงกันได้โดยง่าย ประกาศบริการ Keybase filesystem บริการแชร์ไฟล์คล้ายกับ Dropbox หรือ Google Drive แต่ไฟล์ทั้งหมดจะเข้ารหัสและมีการยืนยันเจ้าของไฟล์ด้วยกุญแจเข้ารหัส

ผู้ใช้ Keybase filesystem จะสามารถแชร์ไฟล์เป็นสาธารณะ ซึ่งไฟล์ทั้งหมดจะสามารถยืนยันได้ว่ามาจากเจ้าของไฟล์จริง หรือจะแชร์ไฟล์ร่วมกับผู้ใช้อื่นซึ่งทำใหุ้กระบวนการเข้ารหัสล็อกให้คนที่แชร์อยู่เท่านั้นที่จะอ่านไฟล์ได้ หรือแม้แต่จะเก็บไฟล์เข้ารหัสไว้อ่านคนเดียวก็ยังได้

กระบวนการของ Keybase ทำให้เซิร์ฟเวอร์ไม่มีกุญแจลับอยู่บนเซิร์ฟเวอร์โดยตรงแต่เข้ารหัสไว้อีกครั้งด้วย passphrase

Tags:
Node Thumbnail

socat เครื่องมือในลินุกซ์สำหรับการสร้างช่องทางเน็ตเวิร์ค เช่นการรับส่งข้อมูลจาก TCP ลงไฟล์ หรือการเข้ารหัส TCP ถูกรายงานว่ามีช่องโหว่เนื่องจากเลือกใช้ค่าคงที่สำหรับการเชื่อมต่อแบบเข้ารหัสไว้ผิดพลาด

ค่าคงที่ p สำหรับการเชื่อมต่อ Diffie-Hellman ขนาด 1024 บิตถูกใช้ใน socat มาตั้งแต่ต้นปี 2015 ทุกเวอร์ชั่นตั้งแต่ 1.7.3.0 และ 2.0.0-b8 ลงไปได้รับผลกระทบทั้งหมด ทางโครงการออกเวอร์ชั่น 1.7.3.1 และ 2.0.0-b9 มาแก้ช่องโหว่นี้แล้ว

Tags:
Node Thumbnail

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ออกร่างมาตรฐาน SP 800-90B คำแนะนำสำหรับแหล่งความยุ่งเหยิงเพื่อสร้างเลขสุ่ม (entropy sources)

เอกสารระบุถึงกระบวนการตรวจสอบความยุ่งเหยิงของเลขสุ่มที่สร้างขึ้นมาว่ามีคุณภาพดีเพียงใด และการประเมินว่าความยุ่งเหยิงสูงเพียงใด โดยแหล่งค่าสุ่มนี้เป็นกระบวนการสำคัญในการเข้ารหัสเพราะกระบวนการเข้ารหัสต้องอาศัยการสุ่มเพื่อสร้างกุญแจ

Tags:
Node Thumbnail

ทีมวิจัยจากสถาบันวิจัย INRIA ในฝรั่งเศสนำเสนอช่องโหว่ใหม่ในมาตรฐาน TLS 1.2 ที่รองรับกระบวนการเซ็นลายเซ็นรับรองข้อความแบบ RSA-MD5 จากเดิมที่ TLS 1.1 ลงไปจะบังคับให้ใช้แฮช MD5 ต่อกับ SHA1 เท่านั้น

มาตรฐาน TLS 1.2 เปิดให้เซิร์ฟเวอร์สามารถเซ็นด้วยแฮชใดๆ ก็ได้เพื่อเปิดช่องทางให้เซิร์ฟเวอร์สามารถเลือกกระบวนการแฮชที่แข็งแรงขึ้นเช่น SHA-256 หรือ SHA-512 แต่การออกแบบเช่นนี้ก็ทำให้เซิร์ฟเวอร์เปิดรองรับกระบวนการเซ็นด้วย MD5 ไปด้วย

Pages