ช่วงหลังเราเริ่มเห็นการเข้ารหัสแบบ Fully Homomorphic Encryption (FHE) กันมากขึ้น เช่น ข่าวโครงการ DPRIVE ของ DARPA ที่จับมือกับภาคเอกชนหลายรายเพื่อพัฒนาชิปเฉพาะกิจ ช่วยให้ประมวลผล FHE ได้เร็วกว่าเดิม

FHE เป็นการปฏิวัติวิธีคิดเรื่องการเข้ารหัส (encryption) แบบเดิมๆ ที่ใช้กันมาเป็นพันปี (Caesar cipher)

Google ทดสอบการใช้งานเข้ารหัสใน Google Messages มาตั้งแต่ปลายปี 2020 ล่าสุด Google ทยอยเปิดใช้งานใน Android แล้ว แต่ยังจำกัดการใช้งานในห้องแชทตัวต่อตัว

นอกจากนี้ ผู้ใช้ต้องเปิดการใช้งานสมบัติ RCS Chat เสียก่อนถึงจะใช้งานเข้ารหัสได้ วิธีการคือเข้าไปที่เมนูตั้งค่า เลือก Chat Features และเปิดสวิตช์ใช้งาน Enable Chat Features เมื่อทำการเปิดใช้งานแล้วจะมองเห็นไอคอนรูปกุญแจในช่องแชท

การปกป้องข้อมูลส่วนบุคคล กับการวิเคราะห์ข้อมูลดูเป็นแนวคิดที่สวนทางกันอย่างสิ้นเชิง และต้องตัดสินใจเลือกทางใดทางหนึ่งเท่านั้น หากเลือกปกป้องข้อมูลด้วยการเข้ารหัส (encryption) ก็จะไม่สามารถนำข้อมูลไปวิเคราะห์ได้จนกว่าจะถอดรหัสออกมาทั้งหมด

ในทางเทคนิคแล้วมีแนวคิดที่เรียกว่า Fully Homomorphic Encryption (FHE) เป็นวิธีการเข้ารหัสแบบใหม่ ที่สามารถนำข้อมูลไปวิเคราห์-ประมวลผลต่อได้ (ทั้งๆ ที่ยังถูกเข้ารหัสอยู่และไม่รู้ว่าข้อมูลข้างในคืออะไร)

หลังจากที่กูเกิลได้เปิดบริการ Rich Communication Service (RCS) อย่างเป็นทางการไปเมื่อปลายปีที่แล้ว รวมถึงในประเทศไทยด้วย ตอนนี้กูเกิลก็ได้ทำตามสัญญาที่จะเพิ่มการเข้ารหัส end-to-end มาแล้ว

เนื่องจาก RCS นั้นไม่ได้ให้บริการโดยกูเกิลเองทั้งหมดแต่อาจเป็นโอเปอเรเตอร์ให้บริการเองในบางเครือข่ายทำให้บางคนอาจยังไม่ได้รับฟีเจอร์เข้ารหัสนี้ แต่สามารถบอกได้ว่าแชตนั้นๆ รองรับการเข้ารหัส end-to-end นี้หรือไม่โดยสังเกตปุ่มส่งข้อความได้ทั้งสองฝ่าย โดยแชตที่มีการเข้ารหัส end-to-end นั้นจะมีรูปแม่กุญแจแสดงอยู่ที่ปุ่มส่งข้อความด้วย

Bridgefy แอพแชทขวัญใจม็อบทั่วโลก เพราะทำงานได้แม้ไม่ต้องมีอินเทอร์เน็ต สามารถส่งข้อความผ่านเครือข่าย mesh Bluetooth network ได้เมื่อจำเป็น ประกาศเพิ่มฟีเจอร์ด้านความปลอดภัยหลายอย่าง

หลังเงียบหายไปตั้งแต่เดือนมิถุนายนที่บอกจะเริ่มทดสอบการเข้ารหัส end-to-end ล่าสุด Zoom ประกาศเริ่มใช้งานการเข้ารหัสแบบ end-to-end แล้วทั้งผู้ใช้ฟรีและเสียเงินในแบบพรีวิว คือรับฟีดแบ็คจากผู้ใช้เป็นเวลา 30 วัน

Zoom บอกว่าการใช้การเข้ารหัส end-to-end จะแบ่งเป็น 4 เฟสและครั้งนี้คือเฟสแรก โดยใช้การเข้ารหัสแบบ AES 256-bit GCM และหากการประชุมใช้การเข้ารหัสแบบนี้ จะมีสัญลักษณ์โล่สีเขียวพร้อมกุญแจอยู่ที่ซ้ายบนของจอ

การเข้ารหัส end-to-end จะเริ่มปล่อยพรีวิวสัปดาห์หน้า แต่ผู้ใช้งานหรือโฮสต์จะเปิดใช้งาน end-to-end ทั้งแอคเคาท์ตัวเองและเลือกเวลาสร้างห้องประชุม (จะมีตัวเลือก enhanced encryption และ end-to-end encryption)

Zoom เปิดเผยว่าเตรียมจะทดสอบการให้บริการโดยการเข้ารหัส end-to-end ในเดือนหน้า โดยเป็นตัวเลือกการเข้ารหัสเสริม แอดมินหรือโฮสต์ต้องเป็นคนเลือกเปิดการเข้ารหัสแบบนี้ ขณะที่การเข้ารหัสดีฟอลต์จะยังคงเป็น AES 256 GCM อยู่

นอกจากนี้ Zoom ยังปรับปรุงเงื่อนไขการเข้ารหัส end-to-end สำหรับแอคเคาท์ฟรีด้วยว่าการใช้งานจะมีการเข้ารหัส ถ้าหากลงทะเบียนยืนยันตัวตนด้วยเบอร์โทรศัพท์มือถือ จากก่อนหน้านี้ที่ระบุว่าแอคเคาท์ฟรีจะไม่มีการเข้ารหัส end-to-end ให้เพราะป้องกันการใช้งานในทางที่ผิด

ที่มา - Zoom

Zoom ประกาศออกอัพเดตไคลเอนต์เวอร์ชัน 5.0 เน้นยกเครื่องระบบความปลอดภัย ตามนโยบายที่ประกาศไว้ว่า 90 วันจะไม่ทำอย่างอื่นเลย

Zoom 5.0 ยังเป็นก้าวแรกของการปรับปรุงระบบความปลอดภัยตามแผน ของใหม่ที่เพิ่มเข้ามาได้แก่

หนึ่งในฟีเจอร์ (เด่น?) ที่ Zoom โฆษณามาตลอดคือวิดีโอคอลจะถูกเข้ารหัสแบบ 'end to end' (ไม่มี -) ทุกครั้ง ซึ่ง Zoom ระบุเอาไว้ทั้งบนหน้าเว็บไซต์, White Paper และ UI ตอนวิดีโอคอล

อย่างไรก็ตามเมื่อ The Intercept สอบถามไปยัง Zoom เรื่องการเชื่อมต่อแบบ end-to-end ก็ได้คำตอบกลับมาว่าตอนนี้ยังทำไม่ได้ Zooom ใช้แค่ TCP ร่วมกับ UDP เท่านั้น ซึ่งเท่ากับว่า Zoom ยังสามารถเข้าถึงข้อมูลและวิดีโอผู้ใช้งานได้อยู่ ซึ่งอาจส่งผลถึงกรณีที่รัฐบาลขอข้อมูลผู้ใช้งานจาก Zoom แบบเดียวกับที่ Google, Facebook และ Microsoft โดน (แต่บริษัทเหล่านั้นมีการออกรายงาน transparency report)

สำนักงข่าวรอยเตอร์อ้างแหล่งข่าวไม่ระบุตัวตน 6 คน ระบุว่าแอปเปิลยกเลิกแผนที่จะให้บริการสำรองข้อมูลบน iCloud โดยเข้ารหัสแบบ end-to-end ที่จะทำให้แอปเปิลเองไม่สามารถอ่านข้อมูลใดๆ ได้ หลังจากที่ FBI แสดงความไม่เห็นด้วยเนื่องจาก FBI จะขอข้อมูลไม่ได้เช่นกัน

โครงการนี้แบ่งเป็นสองโครงการคือ Plesio และ KeyDrop มีผู้เชี่ยวชาญทำงานรวมกันประมาณสิบคน แหล่งข่าวระบุว่าผู้เชี่ยวชาญทั้งหมดหยุดพัฒนาโครงการนี้ไปแล้ว

ProtonMail บริการอีเมลแบบเข้ารหัสที่เน้นความปลอดภัย-ความเป็นส่วนตัว เปิดตัว ProtonCalendar บริการปฏิทินที่เน้นความปลอดภัยแบบเดียวกัน เข้ารหัสข้อมูลแบบ end-to-end

เมื่อเราสร้างปฏิทินหรือนัดหมายในแอพ ProtonCalendar ข้อมูลเหล่านี้จะถูกเข้ารหัสทันที ก่อนส่งไปเก็บบนเซิร์ฟเวอร์ ทำให้ไม่มีใครสามารถเข้าถึงข้อมูลของเราได้เลย นอกจากตัวเราเองเท่านั้น

ตอนนี้ ProtonCalendar ยังมีแค่เวอร์ชันเว็บ มีสถานะเป็นเบต้า เปิดให้ผู้ใช้ ProtonMail แบบเสียเงินลองใช้งาน ส่วนแอพบน Android/iOS จะตามมาในปี 2020 นี้

จากประเด็นอัยการสหรัฐฯ กังวลเรื่องที่เฟซบุ๊กจะทำแชทแบบเข้ารหัสว่าจะทำให้การสืบคดีก่อการร้าย, ละเมิดเด็กนั้นทำได้ยากขึ้น ล่าสุดเฟซบุ๊กออกแถลงการณ์แสดงจุดยืนจะยังคงทำให้แชททั้ง Facebook Messenger และ WhatsApp เป็นแชทเข้ารหัสต่อไป

ในงาน F8 ที่ผ่านมา เฟซบุ๊กชี้ว่า อนาคตคือความเป็นส่วนตัว แนวโน้มของแชทคือการเข้ารหัส แะยังจะเชื่อมระบบแชทระหว่าง Facebook Messenger และ WhatsApp เข้าไว้ด้วยกัน อย่างไรก็ตาม การเข้ารหัส ถูกมองว่าเป็นปัญหาเวลาสืบสวนคดีร้ายแรง เช่น ก่อการร้าย การครอบครองรูปโป๊ของผู้เยาว์

ล่าสุด อัยการสูงสุดสหรัฐฯ William P. Barr ระบุว่า กระทรวงยุติธรรม ต้องการความชอบธรรมทางกฎหมายในการจะเข้าถึง backdoor ของแอพแชทเข้ารหัส เพื่อประโยชน์ในการสืบสวนคดีร้ายแรง และยังบอกด้วยว่า บริษัทเทคโนโลยี ไม่ควรออกแบบระบบใดๆ ที่ป้องกันการสืบสวนคดี โดย Barr ได้เขียนจดหมายถึงเฟซบุ๊กและมีฝ่ายอัยการในอังกฤษและออสเตรเลียร่วมลงนามในจดหมายด้วย

Mark Zuckerberg เขียนโพสต์ยาวพูดถึงความท้าทายของ Facebook ในระยะหลังมานี้ โดยมีประเด็นสำคัญคือ อนาคตของแชทจะมีความเป็นส่วนตัว และต้องเข้ารหัส

เขาบอกว่า จากการใช้งาน Stories เพิ่มขึ้นที่โพสต์แล้วหายไป ทำให้เข้าใจพฤติกรรมของคนใช้งานว่า พวกเขาไม่ได้ต้องการให้สิ่งที่โพสต์ออนไลน์นั้นคงอยู่ตลอดไป พวกเขาต้องการสื่อสารและเผยแพร่แต่ไม่ใช่กับทุกคน แต่จะสื่อสารกันเฉพาะในวงแคบ อย่างไรก็ตาม คนใช้งานยังคงต้องการโซเชียลมีเดียไว้เข้าถึงเนื้อหา ข้อมูลข่าวสาร แรงบันดาลใจใหม่ๆ แต่กับพฤติกรรมการแชทต้องเป็นส่วนตัวมากขึ้น

กระบวนการอัพเดตวินโดวส์ในปัจจุบันรองรับค่าแฮชทั้ง SHA-1 และ SHA-2 หากใช้วินโดวส์รุ่นเก่าอย่าง Windows 7 SP1, Windows Server 2008 R2 SP1 และ Windows Server 2008 SP2 ที่ไม่รองรับ SHA-2 ก็จะได้อัพเดตที่ยืนยันความถูกต้องของไฟล์อัพเดตด้วยการเซ็นยืนยันโค้ดแบบ SHA-1

ล่าสุดไมโครซอฟท์ประกาศว่าหลังจากเดือนกรกฎาคม 2019 เป็นต้นไป กระบวนการอัพเดตวินโดวส์ของไมโครซอฟท์จะใช้เฉพาะค่าแฮช SHA-2 เท่านั้น ทำให้เครื่องที่รันวินโดวส์เวอร์ชันที่รองรับ SHA-1 จะไม่ได้รับอัพเดต โดยไมโครซอฟท์ให้เหตุผลด้านความปลอดภัยของ SHA-1 ทำให้มาตรฐานอุตสาหกรรมขยับไป SHA-2 และ SHA-3 กันหมดแล้ว

หลังจากมีประเด็นออสเตรเลียออกกฎหมายลดกำแพงการเข้ารหัส เพื่อประโยชน์ในการสืบสวนคดีร้ายแรง ก็เริ่มมีหลายฝ่ายที่ไม่เห็นด้วยกับกฎหมายฉบับนี้ โดยล่าสุดเป็นความเห็นจากผู้ให้บริการแชทเข้ารหัสความปลอดภัยสูง Signal

Joshua Lund ได้เขียนบล็อกใน Signal ระบุว่าการเดินถอยหลังในเรื่องความปลอดภัยในครั้งนี้ถือเป็นความน่าผิดหวังเป็นอย่างยิ่ง และ Signal นั้นถูกออกแบบมาไม่ให้เก็บข้อมูลอะไรอยู่แล้ว ข้อมูลทุกอย่างถูกเข้ารหัสจากต้นทางถึงปลายทาง ดังนั้นแม้แต่ Signal ก็ไม่เห็นข้อมูล และ Signal ยืนยันว่าจะไม่วาง backdoor ไว้ในระบบด้วย

เป็นเรื่องสะเทือนวงการเทคโนโลยีไม่น้อย เมื่อรัฐบาลออสเตรเลียผ่านกฎหมายต้านการเข้ารหัส ผลของกฎหมายคือ บริษัทเทคโนโลยี หรือแม้กระทั่งเว็บไซต์ที่ปฏิบัติการในออสเตรเลียต้องให้ความร่วมมือกับเจ้าหน้าที่หากต้องแฮ็กเข้าอุปกรณ์ไอที ผังมัลแวร์เพื่อทำลายการเข้ารหัส เพื่อประโยชน์ต่อการสืบสวนคดี เท่านั้นยังไม่พอ กฎหมายระบุให้บริษัทห้ามเปิดเผยการทำลายการเข้ารหัสออกสู่สังคมด้วย

หากบริษัทปฏิเสธไม่ยอมทำตามจะเจอโทษปรับ 10 ล้านดอลลาร์ และ 5 หมื่นดอลลาร์สำหรับบุคคลที่ไม่ทำตาม ผู้ร่างกฎหมายบอกว่า กฎหมายฉบับนี้จะเจาะจงเฉพาะคดีร้ายแรงเช่น ก่อการร้าย ความผิดทางเพศ ยาเสพติด

Google Cloud Platform เปิดตัวบริการ Cloud HSM (Hosted- Security Module) บริการฝากคีย์เข้ารหัสเอาไว้ในการ์ดผ่านคลาวด์ บนมาตรฐานความปลอดภัย FIPS 140-2

ผู้ใช้สามารถเลือกใช้ HSM จากแดชบอร์ดบน Cloud KMS ได้ทันที โดยทาง Google จะดูแลเรื่องการจัดการคลัสเตอร์, การสเกลลิ่ง, อัพเกรดและแพตช์ต่างๆ ให้อัตโนมัติ รับประกันไม่มี downtime พร้อมทำงานร่วมกับ BigQuery, Google Compute Engine, Google Cloud Storage และ DataProc

การใช้ HSM นั้นเป็นเรื่องจำเป็นสำหรับธุรกิจบางประเภทที่ต้องการความปลอดภัยสูง และต้องการการรับประกันว่ากุญแจจะไม่หลุดออกมาจากฮาร์ดแวร์อย่างแน่นอน ทำให้มีข้อจำกัดเพิ่มเติมว่าเมื่อสร้างกุญแจแล้วจะไม่สามารถย้าย region ได้อีกต่อไป

Skype เริ่มทดสอบฟีเจอร์เข้าด้วยโปรโตคอลของ Signal ตั้งแต่ต้นปีที่ผ่านมา ล่าสุด Skype ก็เปิดฟีเจอร์นี้ให้ใช้งานอย่างเป็นทางการแล้ว ทั้งแอพบน iOS, Android และเดสก์ท็อปทั้ง Linux, Mac และ Windows

วิธีใช้การสนทนาเข้ารหัสของ Skype คือตอนกดเริ่มแชทใหม่ให้เลือก New Private Conversation หรือเข้าหน้าโปรไฟล์ของผู้ใช้ที่ต้องการสนทนาด้วยแล้วเลือก Start Private Conversation ซึ่งฝ่ายคู่สนทนาจะได้รับคำเชิญให้เข้าร่วมการสนทนา โดยในการสนทนาทั้งหมดไม่ว่าจะเป็นโทรคุยกันหรือส่งข้อความจะถูกเข้ารหัสแบบ end-to-end ทั้งหมดจนกว่าจะสั่งหยุด

ProtonMail ประกาศเพิ่มฟีเจอร์ใหม่ในด้านความปลอดภัยเพิ่มเติมสองอย่าง คือ Address Verification สำหรับยืนยันกุญแจสาธารณะของอีเมลแอดเดรส และรองรับการส่งอีเมลเข้ารหัสแบบ PGP กับอีเมลแอดเดรสอื่นที่ไม่ได้อยู่ในระบบของ ProtonMail

ฟีเจอร์แรกคือ Address Verification โซลูชั่นเพื่อป้องกันการโจมตีแบบ Man-in-the-Middle คือเมื่อได้รับข้อความจากที่อยู่ติดต่อของ ProtonMail แล้ว และมั่นใจว่ากุญแจที่มาพร้อมอีเมลเป็นกุญแจสาธารณะของคู่สนทนาจริง สามารถกด Trust Public Key สำหรับข้อความนี้ได้ทันที โดยกุญแจสาธารณะนี้จะถูกบันทึกลงระบบที่อยู่ติดต่อแบบเข้ารหัสและเซ็นด้วยลายเซ็นดิจิทัล

Sebastian Schinzel นักวิจัยความปลอดภัยจาก Münster University of Applied Sciences พบช่องโหว่ความปลอดภัยของระบบ PGP และ S/MIME ที่ใช้เพื่อการส่งอีเมลเข้ารหัสซึ่งเป็นมาตรฐานที่ใช้กันอย่างแพร่หลาย

นักวิจัยที่ค้นพบช่องโหว่เผยว่า ช่องโหว่ที่ค้นพบล่าสุดนี้มีโอกาสที่จะแสดง plaintext ของข้อความเข้ารหัสที่เข้ารหัสแล้วออกมาได้ ซึ่งรวมถึงข้อความเข้ารหัสที่มีการส่งในอดีตด้วย และตอนนี้ยังไม่มีวิธีแก้ปัญหาดังกล่าว

Cisco เปิดเผยรายงาน Cybersecurity Report ประจำปี 2018 โดยข้อมูลทั้งหมดส่วนหนึ่งมาจากฐานข้อมูลของ Cisco เอง อีกส่วนมาจากการตอบแบบสอบถามจาก Chief Information Security Officers (CISO) กว่า 3,600 คนทั่วโลก โดยมีประเด็นน่าสนใจดังนี้

• ทราฟิคเว็บทั่วโลกมีการเข้ารหัส HTTPS กันมากขึ้นเป็น 50% จากที่ปี 2016 ที่อยู่ราว 38%
• มัลแวร์จึงถูกเข้ารหัสมากขึ้นตามไปด้วย โดยกระบวนการเข้ารหัสเกิดขึ้นที่ไบนารีไฟล์กว่า 70%
• Machine Learning และ AI เริ่มถูกนำมาใช้งานเพื่อรับมือภัยคุกคามมากขึ้น อย่างไรก็ตามการใช้งาน ML หรือ AI ยังอยู่ในช่วงแรกเริ่มเท่านั้น ทำให้เกิด False Positive ค่อนข้างมาก และต้องใช้เวลาเทรนด์ไปเรื่อยๆ

Microsoft ได้เพิ่มฟีเจอร์ใหม่บน Skype ในชื่อว่า Private Conversations ซึ่งเป็นการส่งข้อความแบบเข้ารหัส โดยร่วมมือกับ Open Whisper Systems นำโปรโตคอลเข้ารหัสของ Signal มาใช้งาน ซึ่งจะทำให้ Skype เป็นอีกหนึ่งแพลตฟอร์มแชทขนาดใหญ่ที่มีฟีเจอร์เข้ารหัสให้ใช้งานโดยใช้โปรโตคอลของ Signal เพิ่มเติมจากปัจจุบันที่มี WhatsApp, Google Allo และ Facebook Messenger

หากเปิดใช้งาน Private Conversations แล้ว Skype จะเข้ารหัสทุกอย่างตั้งแต่ข้อความแชท, ไฟล์ และข้อความเสียงที่ส่งหากัน แต่จะไม่เข้ารหัสการโทรด้วยเสียงหรือวิดีโอคอล

เลขสุ่มเป็นหนึ่งในองค์ประกอบที่สำคัญในการเข้ารหัส การใช้เลขสุ่มที่คาดเดารูปแบบได้ อาจทำให้เกิดการโจมตีการเข้ารหัส ฮาร์ดแวร์สร้างเลขสุ่มส่วนมากใช้สัญญาณรบกวนภายนอกเป็นแหล่งข้อมูล (entropy) สร้างเลขสุ่ม (อ่านบทความเรื่องเลขสุ่มได้ที่นี่)

Cloudflare เปิดเผยผ่านบล็อกว่ามีโคมไฟลาวาจำนวนมากติดไว้ที่ผนัง และมีกล้องจับการเคลื่อนที่ของลาวาในโคมไฟ ซึ่งทั้งการเคลื่อนที่ของลาวาและสัญญาณรบกวน (noise) จากเซนเซอร์กล้อง จะกลายเป็นหนึ่งในแหล่งข้อมูลสำหรับสร้างเลขสุ่ม

กูเกิลเปิดเอกสารรายละเอียดในภาพใหญ่ของกระบวนการเข้ารหัสระหว่างบริการภายใน Application Layer Transport Security (ALTS) ที่ใช้ยืนยันตัวตนระหว่างบริการต่างๆ ของกูเกิลเอง

กูเกิลระบุว่าเหตุผลที่ต้องออกแบบ ATLS มาใช้งานเอง คือ การยืนยันที่ระดับแอปพลิเคชั่น ในขณะที่การเชื่อมต่อ TLS นั้นมักเป็นการยืนยันตัวตนในระดับเครื่อง, กระบวนการกลับมาส่งข้อมูลหลังเชื่อมต่อครั้งแรกไปแล้ว เพราะบริการภายในของกูเกิลมีการเรียกข้อมูลระหว่างเครื่องซ้ำๆ จำนวนมาก, และการลดค่าใช้จ่ายในการเข้ารหัสเมื่อต้องเปิดช่องทางเรียกข้อมูลเป็นเวลานานๆ