Jesse Walker พนักงานอินเทลผู้คิดอัลกอริทึม Skein ที่เข้าแข่งขันเป็น SHA-3 เตือนว่าอัลกอริทึม SHA-1 ที่ได้รับความนิยมอย่างสูงในตอนนี้อาจจะตกเป็นเป้าหมายของการโจมตีได้ในเร็วๆ นี้

การโจมตีอัลกอลิทึมแฮชที่สำคัญคือการสร้างเอกสารที่ค่าแฮชเหมือนเอกสารอี่น ทำให้สามารถปลอมเอกสารว่ามาจากต้นทางได้อย่างแนบเนียน เช่น มัลแวร์ Flame ที่ปลอมตัวเองว่ามาจากไมโครซอฟท์ในฐานะ Windows Update ได้ ขณะที่ SHA-1 มีความทนทานเพียง 2^60 เท่านั้น (หมายถึงต้องสร้างเอกสารขึ้นมา 2^60 ชุด เพื่อจะมีสักชุดหนึ่งที่ค่าแฮชเหมือนกัน) และการคำนวณค่า SHA-1 ใช้รอบซีพียูประมาณ 2^14 รอบ ทำให้การหาค่าที่มี SHA-1 ซ้ำกันจะใช้ซีพียูประมาณ 2^74 รอบการทำงานซีพียู

อัลกอรึธึมตระกูล SHA นั้นเป็นอัลกอรึธึมในการแฮชข้อมูล โดยปัจจุบันมีทั้งหมด 2 รุ่น คือ SHA-1 และ SHA-2 โดยเราอาจจะเคยได้ยิน SHA-2 ด้วยชื่อที่ระบุความยาวของมัน เช่น SHA-256, SHA-512 ทั้งสองตัวนี้ได้รับการออกแบบโดยสถาบัน NSA

แต่ด้วยปัจจุบันวิทยาการต่างๆ ก็มีการเปลี่ยนแปลงไป ทาง NIST สถาบันมาตรวิทยาของสหรัฐฯ จึงได้จัดการประกวดออกแบบ SHA-3 ขึ้นมา ซึ่งจะคล้ายๆ กับกระบวนการประกวดสร้างอัลกอรึธึม AES ซึ่งใช้ในการเข้ารหัสแบบสมมาตรที่ใช้กันอย่างแพร่หลายในปัจจุบัน

W3C เผยร่างของ Web Cryptography API โดยเป็น JavaScript API ที่ทำหน้าที่เป็นฟีเจอร์ในการเข้ารหัสและถอดรหัสข้อมูล ตัวอย่างการนำมาใช้งานเช่นการพิสูจน์ตัวตนของผู้ใช้งานผ่านทางเว็บแอพพลิเคชั่น โดยมันจะสร้างวิธีการที่ปลอดภัยยิ่งขึ้นระหว่างเบราว์เซอร์และเซิร์ฟเวอร์

อีกหนึ่งความสามารถของ API ตัวนี้คือมันสามารถนำมาประยุกต์ใช้ในการจัดการสิทธิ์ในการอ่านและเขียนข้อมูลที่ถูกเข้ารหัสบน cloud ได้และมันยังยอมรับมาตรฐานอื่นๆ ในการเข้ารหัสเพื่อใช้ในการส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์นอกเหนือจาก SSL/TLS อีกด้วย

โลกการเงินทุกวันนี้ถูกควบคุมด้วยธนาคารชาติต่างๆ และสถาบันการเงินระหว่างประเทศ ธนาคารชาติต่างๆ มีอำนาจในการกำหนดค่าเงินของตัวเองด้วยกระบวนการต่างๆ เช่น การกำหนดระดับดอกเบี้ย, เงินสำรองของธนาคาร, หรือการพิมพ์เงินออกมาสู่ตลาด นอกจากการกำหนดค่าเงินแล้ว หน่วยงานเหล่านี้ยังมีอำนาจในการตามรอยการเงินของผู้ใช้ผ่านทางการควบคุมธนาคาร รัฐบาลประเทศต่างๆ มีอำนาจในการหยุดธุรกรรมทางการเงินของบุคคลได้ หรือการกระทำอย่างสุดโต่งเช่นในปี 1987 ที่รัฐบาลพม่าประกาศยกเลิกธนบัตร 25, 35, และ 75 จ๊าด โดยไม่มีการเตือนล่วงหน้าทำให้เงินหายไปจากระบบถึง 75%

ทีมวิจัยร่วมจากสถาบันเทคโนโลยีสารสนเทศและการสื่อสาร, มหาวิทยาลัยคิวชู, และบริษัทฟูจิตสึ ได้ร่วมกันวิจัยกระบวนการแกะรหัสการเข้ารหัสแบบ Pairing-based ขนาดความยาวกุญแจ 923 บิต โดยใช้เวลาทั้งสิ้น 148.2 วัน บนเซิร์ฟเวอร์ 21 ตัว มีซีพียู 252 คอร์

การเข้ารหัสแบบ Pairing-based เป็นกระบวนการพื้นฐานของการเข้ารหัสในยุคหน้าหลายต่อหลายอย่าง เช่น

Costin Raiu ผู้เชี่ยวชาญด้านมัลแวร์จาก Kaspersky ประกาศการค้นพบผ่านทางทวิตเตอร์ของเขาว่า มัลแวร์ Flame ที่กำลังแพร่ระบาดอยู่นั้นใช้ Windows Update ในการแพร่กระจาย โดยใช้โมดูล Gadget พร้อมกับมีโปรแกรมชื่อ "WuSetupV.exe" เป็นตัวมัลแวร์จริงๆ ที่ถูกติดตั้ง และจะมีการแพร่กระจายผ่านทางเน็ตเวิร์คภายในโดยมีการสร้างเซิฟเวอร์จำลองชื่อ "MSHOME-F3BE293C" ด้วย

หลังจากนั้นทาง Symantec ได้เผยการวิจัยวิธีการที่ Flame ใช้ในการแพร่กระจายเบื้องต้นซึ่งมันยังใช้ฟีเจอร์
Web Proxy Auto-Discovery Protocol (WPAD) ของ Internet Explorer ร่วมกับ Windows Update ในการแพร่กระจายด้วย

มีรายงานบั๊กความปลอดภัยของ PHP 5.3.7 ในส่วนของการเข้ารหัสที่อาจทำให้ข้อมูลสำคัญรั่วไหลได้

เหตุเกิดที่ฟังก์ชัน crypt() สำหรับเข้ารหัส โดยจะเกิดเฉพาะการเข้ารหัสแบบ MD5 เท่านั้น บั๊กนี้จะเกี่ยวกับการใช้ salt ในการเข้ารหัส โดยฟังก์ชันจะคืนค่าผิดคือคืนค่า salt ที่ใช้ แทนที่จะเป็นค่า hash ที่ถูกเข้ารหัสด้วย salt เรียบร้อยแล้ว (ใครไม่เข้าใจลองอ่านข้อมูลกันเองตามลิงก์)

ทางโครงการ PHP รู้เรื่องนี้ก่อนออกหนึ่งวัน แต่ก็ยังตัดสินใจจะออก 5.3.7 ตามกำหนด โดยเตือนไม่ให้ผู้ใช้อัพเดตเป็นรุ่นนี้ และแนะนำให้ข้ามมาเป็น 5.3.8 แทน (เท่าที่เช็คดู ตอนนี้ 5.3.8 ออกแล้ว)

Robert Morris เป็นนักวิทยาการเข้ารหัส (cryptographer) ยุคบุกเบิกของช่วงการสร้าง Unix เขาทำงานกับ Bell Labs ตั้งแต่ปี 1960 ถึงปี 1986 ก่อนจะย้ายไปทำงานที่ NSA (National Security Agency) จนถึงปี 1994 ช่วยงาน FBI ในการถอดรหัสในคดีสำคัญ แต่ในวันที่ 26 ที่ผ่านมาเขาก็เสียชีวิตลงจากภาวะสมองเสื่อม (complication of dementia) ด้วยอายุ 78 ปี

ผลงานของเขาที่สำคัญและยังใช้งานอยู่จนทุกวันนี้คือระบบการเข้ารหัสในไฟล์ /etc/passwd ของระบบ Unix จำนวนมาก

หมายเหตุ: ข่าวนี้มีศัพท์เทคนิคด้านการเข้ารหัสค่อนข้างมาก อ่านรายละเอียดกันเองตามลิงก์ Wikipedia ที่ให้ไว้นะครับ

LastPass ซอฟต์แวร์ช่วยจัดการรหัสผ่านแบบข้ามแพลตฟอร์ม รายงานว่ามีทราฟฟิกไม่ปกติเข้ามายังเซิร์ฟเวอร์ของตัวเอง และแปลว่าข้อมูลของผู้ใช้ซึ่งได้แก่ อีเมล, salt ของเซิร์ฟเวอร์ และ hash ของรหัสผ่านที่ถูก salt แล้ว อาจจะถูกเจาะไปด้วย (ยังพิสูจน์ไม่ได้ว่าถูกเจาะไปจริง)

มาตรฐานการแฮช (hash) แบบ SHA นั้นเป็นการคัดเลือกมาจากอัลกอลิธึ่มจำนวนมากที่ส่งเข้าประกวด จนตอนนี้ก็ถึงรอบสุดท้ายของการแข่งขันมาตรฐาน SHA-3 ที่มีผู้เข้ารอบทั้งหมด 5 อัลกอลิธึ่ม จากรอบที่สองนั้นที่มีผู้ผ่านเข้ารอบ 14 อัลกอลิธึ่ม

อัลกอลิธึ่มทั้ง 5 ได้แก่

• BLAKE จากสวิสเซอร์แลนด์
• Grøstl จากเดนมาร์ก
• Keccak จากเนเธอร์แลนด์
• JH จากสิงค์โปร์
• Skein จากสหรัฐฯ (มี Bruce Schneier สนับสนุนอยู่เบื้องหลัง)

ผู้เข้าแข่งขันมีเวลาแก้ไขปรับปรุงอัลกอลิธึ่มจนถึง 16 มกราคมนี้ ส่วนการประกาศผลจะต้องรอจนปี 2012