National Institute of Standards and Technology
NIST ออกรายงานการเข้ารหัสสำหรับอุปกรณ์ขนาดเล็ก วางแนวทางการสร้างมาตรฐานกระบวนการเข้ารหัสลับสำหรับอุปกรณ์ขนาดเล็ก เช่น รถยนต์, เซ็นเซอร์, อุปกรณ์สุขภาพ, อุปกรณ์ IoT, ไปจนถึงระบบควบคุมไฟฟ้า
รายงานระบุถึงข้อจำกัดของอุปกรณ์ขนาดเล็กเหล่านี้ที่อาจจะปรับปรุงได้ ได้แก่
เทคโนโลยีคอมพิวเตอร์ควอนตัมมีพัฒนาการอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา แม้ว่าจะยังไม่มีแนวโน้มว่าคอมพิวเตอร์เหล่านี้จะสามารถเจาะกระบวนการเข้ารหัสลับที่ใช้กันทุกวันนี้ได้ภายในเร็ววันก็ตาม แต่ NIST ก็เริ่มกระบวนการกำหนดมาตรฐานการเข้ารหัสลับหลังเข้าสู่ยุคคอมพิวเตอร์ควอนตัมแล้ว
NIST ระบุว่าการคาดการณ์ว่าคอมพิวเตอร์ควอนตัมระดับที่ใช้เจาะการเข้ารหัสลับที่เราใช้งานกันทุกวันนี้ น่าจะใช้เวลาประมาณ 20 ปี อย่างไรก็ดี กระบวนการเข้ารหัสที่เราใช้กันทุกวันนี้ก็ใช้เวลาในการพัฒนาโครงสร้างกันประมาณ 20 ปีเช่นกัน ทำให้กระบวนการวางมาตรฐานควรเริ่มโดยเร็ว
NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ
เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS
การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป
EFF (Electronic Frontier Foundation) องค์กรไม่หวังผลกำไรที่ทำด้านสิทธิของผู้ใช้งานไอที ได้เผยข้อมูลจากการศึกษาจนทราบว่าขณะนี้ FBI กำลังร่วมกับ NIST ซึ่งเป็นหน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐอเมริกา พัฒนาปัญญาประดิษฐ์ที่จะวิเคราะห์ภาพรอยสักเพื่อช่วยในการระบุตัวตนอาชญากร
แนวคิดของโครงการนี้คือการใช้พลังการวิเคราะห์ภาพถ่ายรอยสักเพื่อนำมาทำข้อมูลเฉพาะตัวของอาชญากรแต่ละคน ขั้นตอนแรกของการพัฒนาปัญญาประดิษฐ์นี้เป็นการใช้ภาพถ่ายรอยสักของผู้ต้องคดีกว่า 15,000 ภาพ มาสอนให้ระบบรู้จักจำแนกแยกแยะลักษณะเฉพาะของรอยสักเหล่านั้น หลังจากนั้นจะเพิ่มจำนวนภาพถ่ายอีกกว่า 100,000 ภาพ โดยนำมาจากฐานข้อมูลของหน่วยงานรัฐใน Florida, Michigan และ Tennessee
NIST ออกมาตรฐาน SP 800-38G สำหรับการเข้ารหัสข้อมูลที่ "คงฟอร์แมต" ของข้อมูลไว้ เพื่อการใช้งานกับระบบฐานข้อมูลดั้งเดิมที่อาจจะไม่เหมาะกับการเปลี่ยนแปลงฟอร์แมต
ตัวอย่างของฐานข้อมูลเหล่านี้ เช่น ระบบการเงิน, หรือระบบข้อมูลสุขภาพ ที่มีการใช้งานมาแล้วเป็นเวลานาน มีข้อมูลจำนวนมาก การแปลงฟอร์แมตข้อมูลเป็นเรื่องใหญ่ แนวทางการคงฟอร์แมตทำให้การเข้ารหัสฐานข้อมูลเหล่านี้ทำได้สะดวกขึ้น เพราะเมื่อเข้ารหัสเช่นหมายเลข 16 หลัก ข้อมูลที่ได้กลับออกมาจากการเข้ารหัสก็จะเป็นหมายเลข 16 หลักเช่นเดิม หรือการเข้ารหัสชื่อนามสกุล ก็จะได้เป็นสตริงความยาวตามที่กำหนดในฟิลด์นั้นๆ ทำให้ข้อมูลที่เข้ารหัสแล้วสามารถใส่ลงในฐานข้อมูลเดิมได้
NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ออกร่างมาตรฐาน SP 800-90B คำแนะนำสำหรับแหล่งความยุ่งเหยิงเพื่อสร้างเลขสุ่ม (entropy sources)
เอกสารระบุถึงกระบวนการตรวจสอบความยุ่งเหยิงของเลขสุ่มที่สร้างขึ้นมาว่ามีคุณภาพดีเพียงใด และการประเมินว่าความยุ่งเหยิงสูงเพียงใด โดยแหล่งค่าสุ่มนี้เป็นกระบวนการสำคัญในการเข้ารหัสเพราะกระบวนการเข้ารหัสต้องอาศัยการสุ่มเพื่อสร้างกุญแจ
กระทรวงพาณิชย์สหรัฐฯ (Department of Commerce) ประกาศรับรองมาตรฐาน FIPS 202 ที่เป็นมาตรฐานการแฮชแบบ SHA-3 โดยมีผลตั้งแต่วันนี้ (5 สิงหาคม) เป็นต้นไป
SHA-3 มาจากการแข่งขันหลายรอบตั้งแต่ปี 2007 (รายงานผลการแข่งรอบสอง, รอบสาม) และได้อัลกอริทึม Keccak เป็นผู้ชนะ รวมเวลาออกเป็นมาตรฐานจริงถึง 8 ปี
เอกสารมาตรฐาน FIPS 202 ออกมาตั้งแต่เดือนพฤษภาคมที่ผ่านมา การรับรองจากกระทรวงพาณิชย์รอบนี้ก็จะทำให้หน่วยงานรัฐสามารถใช้งานได้แล้ว
หลังการเปิดเผยเอกสารของ Snowden มาตรฐานความปลอดภัยส่วนหนึ่งที่ถูกโจมตีอย่างหนักคือ Dual_EC_DRBG ที่เอกสารของ NSA ระบุว่าทาง NSA เป็นผู้วางมาตรฐานนี้เองทั้งหมด เมื่อมีการค้นคว้าเพิ่มเติมพบว่ามาตรฐานนี้ได้เข้ามาในคำแนะนำของ NIST อย่างน่าสงสัยเพราะประสิทธิภาพแย่และมีความเป็นไปได้ที่จะวางช่องโหว่เอาไว้ เมื่อปีที่แล้วทาง NIST พยายามรักษาหน้าด้วยการออกร่างคำแนะนำใหม่ที่ถอด Dual_EC_DRBG ออกไปจากมาตรฐาน และตอนนี้ร่างคำแนะนำก็กลายเป็นเอกสารทางการแล้ว
หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่วยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง
ทาง NIST (National Institute of Standards and Technology) ได้ออกมาเตือนผู้ใช้โทรศัพท์เคลื่อนที่ซัมซุงที่มีบริการ Find My Mobile ถึงช่องโหว่ระดับร้ายแรง ผ่านการ Cross-Site Request Forgery (CSRF) เพื่อหลอกเครื่องโทรศัพท์เป้าหมายว่าผู้ใช้ตัวจริงได้คำสั่งล็อกเครื่องมาจากเว็บไซต์ Find My Mobile และส่งชุดคำสั่งไปทำงานยังเครื่องเป้าหมายโดยปลอมการยืนยันตัวตน
สถาบันมาตรฐานอุตสาหกรรมองสหรัฐฯ ออกคู่มือการจัดการกุญแจสำหรับล็อกอิน Secure Shell ที่ใช้กันเป็นจำนวนมาก เพื่อให้มีแนวทางการเปลี่ยนกุญแจเมื่อถึงรอบ สร้างกระบวนการจัดการกุญแจเหล่านี้อย่างเป็นระบบ
กุญแจ Secure Shell ที่สร้างจากโปรแกรม ssh-keygen ใช้กันกว้างขวางในเซิร์ฟเวอร์ระดับองค์กร ผู้ใช้ที่ล็อกอินผ่านกุญแจเหล่านี้มักเป็นผู้ใช้ที่มีสิทธิ์สูงเพราะส่วนมากเป็นซอฟต์แวร์จากเครื่องภายนอกเช่นระบบสำรองข้อมูล ที่เข้ามากวาดข้อมูลจากเครื่องอื่นๆ ไป การปล่อยให้กุญแจเหล่านี้หลุดออกไปทำให้แฮกเกอร์อาจเข้าถึงข้อมูลได้จำนวนมาก ไปจนถึงองค์กรบางแห่งมีนโยบายต้องใส่กุญแจใน root เพื่อใช้ล็อกอินฉุกเฉิน
ตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG ที่ตกเป็นประเด็นร้อนว่าถูก NSA แฮกให้ง่ายต่อการถูกแฮกมากขึ้นตั้งแต่ปี 2008 ได้ถูกถอดออกจากมาตรฐานโดย NIST แล้ววันนี้ตามประกาศ NIST SP 800-90A, REV. 1
การเปิดเผยเอกสารของ Snowden มีประเด็นสำคัญคือความร่วมมือระหว่าง NSA และ NIST ที่ทำให้ NSA มีบทบาทในการออกแบบกระบวนการเข้ารหัสจนกระทั่งสามารถออกแบบการเข้ารหัสได้ตามใจชอบใน[กระบวนการสร้างตัวเลขสุ่ม Dual_EC_DRBG ทำให้คนตั้งคำถามว่าตอนนี้เราวางใจ NIST (ซึ่งเป็นคนละหน่วยงาน มีหน้าที่ออกมาตรฐานอย่างเดียว) ได้อย่างไร NIST พยายามสร้างความไว้ใจกลับมาโดยประกาศว่าจะเปิดกระบวนการสร้างมาตรฐาน ตอนนี้ร่างเอกสารนี้ก็เปิดเผยออกมาแล้ว
หนึ่งในผู้ที่เสียความน่าเชื่อถือจากเอกสารของ Edward Snowden คือ NIST ที่เป็นหน่วยงานของรัฐบาลสหรัฐฯ เพราะเอกสารของ NSA แสดงให้เห็นว่า NSA ซึ่งมีหน้าที่หาข่าวกรอง กลับสามารถเข้ามาควบคุมมาตรฐานความปลอดภัยตอนนี้ NIST ก็ออกประกาศออกมาเพื่อเตรียมเปิดให้สาธารณะเข้ามาตรวจสอบการออกมาตรฐานขององค์กรแล้ว
NIST ที่มีหน้าที่รักษาความปลอดภัยให้รัฐบาลสหรัฐฯ เอง มาตรฐานรักษาความปลอดภัยที่หน่วยงานของรัฐบาลกลางจะใช้งานได้ต้องได้รับการรับรองจาก NIST และเนื่องจากธุรกิจไอทีในสหรัฐฯ มีอิทธิพลสูง มาตรฐานที่ NIST ยอมรับก็มักจะกลายเป็นมาตรฐานกลางของทั่วโลกไป เช่น การแฮชแบบ SHA และการเข้ารหัสแบบ AES
มาตรฐานการแฮชข้อมูล SHA-3 เพิ่งได้ผู้ชนะเป็น Keccak ไปเมื่อปีที่แล้ว แต่หลังจากการเปิดเผยข้อมูลของ Edward Snowden ทำให้ NIST หน่วยงานกลางผู้ออกมาตรฐานมีปัญหาความน่าเชื่อถืออย่างหนัก จากข่าวความร่วมมือกับ NSA ตอนนี้มาตรฐาน SHA-3 ที่กำลังอยู่ระหว่างกระบวนการปรับมาตรฐาน และเขียนเอกสารในฟอร์แมตที่ชัดเจนกลับมีปัญหาว่าทาง NIST กำลังลดความปลอดภัยของมันอย่างจงใจ
Jesse Walker พนักงานอินเทลผู้คิดอัลกอริทึม Skein ที่เข้าแข่งขันเป็น SHA-3 เตือนว่าอัลกอริทึม SHA-1 ที่ได้รับความนิยมอย่างสูงในตอนนี้อาจจะตกเป็นเป้าหมายของการโจมตีได้ในเร็วๆ นี้
การโจมตีอัลกอลิทึมแฮชที่สำคัญคือการสร้างเอกสารที่ค่าแฮชเหมือนเอกสารอี่น ทำให้สามารถปลอมเอกสารว่ามาจากต้นทางได้อย่างแนบเนียน เช่น มัลแวร์ Flame ที่ปลอมตัวเองว่ามาจากไมโครซอฟท์ในฐานะ Windows Update ได้ ขณะที่ SHA-1 มีความทนทานเพียง 2^60 เท่านั้น (หมายถึงต้องสร้างเอกสารขึ้นมา 2^60 ชุด เพื่อจะมีสักชุดหนึ่งที่ค่าแฮชเหมือนกัน) และการคำนวณค่า SHA-1 ใช้รอบซีพียูประมาณ 2^14 รอบ ทำให้การหาค่าที่มี SHA-1 ซ้ำกันจะใช้ซีพียูประมาณ 2^74 รอบการทำงานซีพียู