Assignment3 Web Security ความปลอดภัยของเว็บ

บทนำ 

ผู้ใช้อินเตอร์เน็ตโดยทั่วไป ต้องการความปลอดภัยสูงสุด เมื่อต้องการค้นหา นำเข้าข้อมูลจากโลกอินเตอร์เน็ต สิ่งที่ผู้ใช้อินเตอร์เน็ตส่วนใหญ่กลัวอย่างสูงสุด คือการที่จะมีใครบางคนเข้ามาแตะต้องดึงข้อมูลจากเครื่องคอมพิวเตอร์ของเขาซึ่งผู้ใช้เหล่านั้นสามารถที่จะป้องกันข้อมูลในเครื่องคอมพิวเตอร์เบื้องต้น โดยใช้วิธีการมาตรฐานเช่นการตั้งรหัสผ่านป้องกันและการควบคุมการเข้าถึง แต่ภัยคุกคามที่เกิดขึ้นส่วนใหญ่จะอยู่นอกเหนือการควบคุม หรือเป็นการเข้าถึงจากภายนอกนั้นเอง

วิธีการเรียกดูเว็บเบราว์เซอร์อย่างปลอดภัย

การทำธุรกิจส่วนใหญ่ทำเพื่อป้องกันฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์ของธุรกรรมอินเทอร์เน็ต เป็นการโจมตีที่อันตรายที่สุดบนอินเทอร์เน็ตข้อมูลที่เกิดขึ้นในเซิร์ฟเวอร์ Companies conducting business on the Internet are taking steps to protect their servers, such as installing firewalls and proxy servers that control access to their information. บริษัทเหล้านี้ดำเนินธุรกิจบนอินเทอร์เน็ตได้ดำเนินการเพื่อป้องกันเซิร์ฟเวอร์ของตน เช่นติดตั้งไฟร์วอลล์และเซิร์ฟเวอร์พร็อกซี่ ที่ควบคุมการเข้าถึงข้อมูล But these technologies aren’t bulletproof. แต่เทคโนโลยีเหล่านี้ไม่ได้มีเป้าหมายหลักAnd guarding against some security problems may be impractiในการดูแลรักษาความปลอดภัยของบางปัญหา ที่อาจจะทำไม่ได้หรือเป็นไปไม่ได้

The core infrastructure that the Internet is built upon – particularly the Unix operating system – wasn’t designed with security as a main goal. โครงสร้างพื้นฐานหลักของอินเทอร์เน็ต โดยเฉพาะระบบปฏิบัติการยูนิกซ์ ไม่ได้ออกแบบมาเพื่อรักษาความปลอดภัยเป็นเป้าหมายหลัก Because the source code for many flavors of Unix is available free, it’s easier for hackers to modify the OS to create security breaches. เพราะรหัสที่มาของ Unix มาจากหลากหลายที่ และสามารถใช้ได้ฟรี ก็จะเป็นการง่ายขึ้นสำหรับแฮกเกอร์ที่จะทำการแก้ไข OS เพื่อสร้างการละเมิดความปลอดภัย And each version of Unix comprises a set of tools. และ Unix แต่ละรุ่นประกอบด้วยชุดเครื่องมือที่แตกต่างกัน By contrast, Windows NT was designed as a single system, and as you know, its source code Windows NT ได้รับการออกแบบเป็นระบบเดียวและคุณจะรู้รหัสต้นฉบับ ซึ่งไม่สาธารณะ So while that doesn’t stop someone from hacking NT, it does make doing so more difficult. ดังนั้นขณะที่จะทำการหยุดคนที่ต้องการ hacking NT ก็จะทำให้ทำงานได้ยากขึ้น

ซอฟต์แวร์รักษาความปลอดภัยจะใช้ขั้นตอนวิธีและรหัสตัวเลขในการแปลงข้อมูลที่อ่านได้เพื่อเป็นความสับสนของตัวอักษร To convert the data back to a readable form, you need a key. การแปลงข้อมูลกลับไปเป็นแบบอ่านได้ต้องคีย์ข้อมูลลงไป But how can you be sure that the encrypted data you’ve received is from the person claiming to have sent it? แต่วิธีการที่สามารถมั่นใจได้ว่าข้อมูลที่เข้ารหัสจะได้รับจากคนที่อ้างว่าได้ส่งหรือไม่ And that nothing happened to the data en route? และสิ่งที่เกิดขึ้นกับข้อมูลเส้นทางThat’s where digital IDs and digital signatures come in.อยู่ที่รหัสดิจิตอลและลายเซ็นดิจิตอล

To get an ID, you can submit a registration form to a certification authority ( CA ). การรับ ID สามารถส่งแบบฟอร์มการลงทะเบียนเพื่อออกใบรับรอง (CA) VeriSign (previously a division of RSA) is the leading CA, though AT&T, BBN, GTE, Thawte, and the U:S. VeriSign CA เป็นผู้นำ แม้ว่า AT & T, BBN, GTE, Thawte และ US Postal Services are also players in this arena. ให้บริการอยู่ แต่ถ้าบริษัทได้รับใบรับรองจาก CA ก็จะเป็นที่หนึ่ง Certificates issued this way are mostly useful only within the organization (it’s unreasonable to expect external users to trust a self-issued certificate). การออกหนังสือรับรองวิธีนี้มีประโยชน์มากภายในองค์กร (เพราะไม่มีเหตุผลที่จะทำให้ผู้ใช้ภายนอกไว้วางใจออกหนังสือรับรองของตนเอง)

How does the CA validate the identity of those who use its certificates? ใบรับรอง CA มีการตรวจสอบเอกลักษณ์ของผู้ใช้อย่างไร VeriSign, ( http://www.digitalid. verisign.com ) offers certificates in a range of validation levels. VeriSign, (www.digitalid . verisign.com) มีใบรับรองในระดับช่วงของการตรวจสอบ

The lowest level, the one Netscape and Microsoft offer with their browsers is a Class 1 Digital ID , which verifies the uniqueness of a certificate holder’s name or e-mail address only. ในระดับต่ำสุดที่ Netscape และ Microsoft เสนอให้กับเบราว์เซอร์ของพวกเขาคือ

Class 1 Digital ID ที่ตรวจสอบเอกลักษณ์ของของผู้ถือบัตรชื่อหรืออีเมล์เท่านั้น

A Class 2 ID provides a higher level of assurance of the holder’s identity, because VeriSign uses third-party verification (sometimes from credit reports) of the name, address, and other personal information provided in the registration. Class 2 ID มีระดับที่สูงกว่าการประกันของรายบุคคลเฉพาะ VeriSign ใช้ตรวจสอบบุคคลที่สาม (บางครั้งจากรายงานของเครดิต) ของชื่อที่อยู่และข้อมูลส่วนตัวอื่น ๆ ที่ระบุในการลงทะเบียน

A Class 3 ID provides an even higher level of identity assurance by requiring the person requesting a certificate to appear in person or to send registered credentials. ชั้น 3 ID ให้สูงกว่าระดับแม้การประกันตัวโดยกำหนดใบรับรองคนขอให้ปรากฏในคนหรือส่งข้อมูลประจำตัวลงทะเบียน

It’s common to find the terms digital IDs , digital certificates , and digital signatures used interchangeably, which is misleading. เป็นเรื่องปกติที่จะหาข้อตกลงรหัสดิจิตอลใบรับรองดิจิทัลและลายเซ็นดิจิตอลใช้สลับกันซึ่งทำให้เข้าใจผิด Digital signatures are applications of digital IDs used to add assurance about the sender’s identity. ลายเซ็นดิจิตอลมีการใช้งานของรหัสดิจิตอลที่ใช้เพื่อเพิ่มความมั่นใจเกี่ยวกับตัวตนของผู้ส่ง

Digital signatures add a step to the normal public-key encryption process. ลายเซ็นดิจิตอลเพิ่มขั้นตอนในการเข้ารหัสคีย์สาธารณะปกติ To create a digital signature, the message is first run through an algorithm (called a hash function), which converts the file into one large number called a message digest (think of the message digest as a “digital fingerprint” of the file). เพื่อสร้างลายเซ็นดิจิทัลข้อความเป็นครั้งแรกผ่าน algorithm (เรียกว่าฟังก์ชันแฮช) ที่แปลงไฟล์เป็นจำนวนมากเรียกว่าข้อความ digest (คิดของข้อความย่อยเป็นลายนิ้วมือดิจิตอล”ของไฟล์) Encrypting the message digest creates the digital signature for the message. เข้ารหัส digest ข้อความสร้างลายเซ็นดิจิตอลสำหรับข้อความ But a digital signature doesn’t ensure that the message itself isn’t tampered with during transit. แต่ลายเซ็นดิจิทัลไม่แน่ใจว่าเป็นตังเองเพราะข้อความไม่ดัดแปลงด้วยระหว่างการขนส่ง To prevent that, most encryption software that supports digital IDs and digital signatures lets you encrypt the message and the message digest using your digital ID before transmission. เพื่อป้องกันการที่ซอฟต์แวร์เข้ารหัสที่มากที่สุดที่สนับสนุนรหัสดิจิตอลและลายเซ็นดิจิตอลจะช่วยให้คุณเข้ารหัสข้อความและข้อความย่อยใช้รหัสดิจิตอลของคุณก่อนส่ง

กุญแจ TO ENCYPTION

อุตสาหกรรมเครื่องใช้เข้ารหัสเพื่อให้การสื่อสารมีความปลอดภัยและป้องกันข้อมูลที่สำคัญจากการถูกโจมตี In a cryptographic system, you use a key to encrypt a sending message and a corresponding key to decrypt the received message. ในระบบเข้ารหัสให้ใช้คีย์การเข้ารหัสข้อความที่ส่งและที่สำคัญสอดคล้องกับถอดรหัสข้อความที่ได้รับ

A key is a numeric value, which can be a few bits or thousands of bits. ที่สำคัญคือเป็นค่าตัวเลขที่สามารถเป็นบิตหรือกี่พันบิต The two kinds of keys are symmetric keys and public keys . ทั้งสองชนิดมีปุ่มคีย์สมมาตรและกุญแจสาธารณะ

a. Symmetric (Private-Key) Encryption: a. Encryption (Private – Key) สมมาตร :

Symmetric encryption uses the same private key to encrypt and decrypt a document. สมมาตรการเข้ารหัสจะใช้คีย์ส่วนตัวเดียวกันการเข้ารหัสและถอดรหัสเอกสาร Private-key encryption’s chief drawback is that the document’s sender must figure out how to securely communicate the private key to the recipient. การเข้ารหัสของหัวหน้าสำคัญเสียเปรียบเอกชนคือผู้ส่งเอกสารจะต้องตัวเลขวิธีการสื่อสารอย่างปลอดภัยคีย์ส่วนตัวไปยังผู้รับ

 

b. Asymmetric (Public-Key & Public-Key) Encryption: b. ไม่สมมาตร (Key & Public – Key) การเข้ารหัส – Public :

Asymmetric encryption uses a pair of matching keys one public and one private. เข้ารหัสไม่สมมาตรใช้ส่วนตัวคู่จับคู่กุญแจสาธารณะและหนึ่งเดียว The sender encrypts the document with the recipient’s public key, available in a public directory or server. ผู้ส่งเข้ารหัสเอกสารสำคัญของประชาชนผู้รับกับที่มีอยู่ในไดเรกทอรีสาธารณะหรือเซิร์ฟเวอร์ To decrypt the document, the recipient must have the matching private key. ถอดรหัสเอกสารผู้รับต้องมีคีย์ส่วนตัวที่ตรงกัน Public key cryptography is more complicated and slower than symmetric cryptography. การเข้ารหัสคีย์สาธารณะมีความซับซ้อนมากขึ้นและช้ากว่าการอ่านรหัสสมมาตร

 

c. S/MIME: c. S MIME :

S/MIME is a secure way to transmit MIME-based e-mail. S / MIME เป็นวิธีที่ปลอดภัยเพื่อส่ง – based e – mail MIME It encrypts the document with a private key, then transmits both the encrypted document and the private key in a package that’s encrypted with a public key. มันเข้ารหัสเอกสารที่มีกุญแจส่วนตัวแล้วส่งทั้งเอกสารการเข้ารหัสและคีย์ส่วนตัวในคีย์แพคเกจที่เข้ารหัสสาธารณะด้วย The recipient can unlock the package only with the matching private key and then decrypt the document with the private key included in the package. ผู้รับสามารถปลดล็อคชุดเดียวกับคีย์ส่วนตัวที่ตรงกันและถอดรหัสคีย์เอกสารเอกชนที่มีอยู่ในแพคเกจ The sender randomly generates a symmetric key (private key). ผู้ส่งสุ่มสร้างคีย์สมมาตร (คีย์ส่วนตัว) The sender and receiver use this symmetric key only once and discard it when they finish the session. ผู้ส่งและผู้รับใช้กุญแจสมมาตรนี้เพียงครั้งเดียวและทิ้งเมื่อพวกเขาจบ session

 

 

อะไรคืออันดับต่อไปใน WEB SECURITY

การเพิ่มขึ้นของระบบ internetworked และในการเชื่อมต่ออินเทอร์เน็ตได้นำหลาย ๆ บริษัท และบุคคลที่จะเขียนเข้ารหัสรับรองความถูกต้องและผลิตภัณฑ์การรักษาความปลอดภัยอื่นๆ Making sure each product works with its counterparts hasn’t always been a priority, though. ให้แน่ใจว่าผลิตภัณฑ์แต่ละชนิดทำงานร่วมกับ counterparts ที่ไม่ได้รับความสำคัญเสมอ แต่The result is a networking world of data-strongholds that have difficulty talking with one anotheผลลัพธ์คือระบบเครือข่ายโลกของข้อมูล strongholds ซึ่งมีปัญหาในการพูดคุยกับคนอื่น The first signs of détente have arrived. สัญญาณแรกของ détente มาถึง During the last year, a number of security-product vendors have formed groups to help their product interoperate. ในช่วงปีที่ผ่านมาผู้ขายจำนวนความปลอดภัยสินค้าของกลุ่มมีขึ้นเพื่อช่วยให้ผลิตภัณฑ์ของตนทำงานร่วม

For example, McAfee Associates, Security Dynamics, RSA, and VeriSign have signed a series of cross-licensing deals under the name SecureONE . The group’s goal is to ensure that the participating companies’ products can talk to one another using a common set of APIs. ตัวอย่างเช่น McAfee Associates, Security Dynamics, RSA และ VeriSign ได้ลงนามข้อตกลงชุดใบอนุญาตข้ามตาม SecureONE ป้าหมายของกลุ่มนี้คือการให้เข้าร่วมบริษัท ผลิตภัณฑ์สามารถคุยกันโดยใช้ชุดทั่วไปของ APIs You can expect to see other companies make similar deals as the security market matures. ซึ่งสามารถคาดหวังที่จะเห็น บริษัท อื่นทำข้อตกลงเช่นเดียวกับตลาดรักษาความปลอดภัย

การรับรองเว็บ

เว็บได้เปิดโอกาสที่ดีสำหรับการทำธุรกิจบนอินเทอร์เน็ต Whatever type of business you conduct over the Web-merchandising, information publishing, or customer service – you must ensure the security and privacy of sensitive information transferred between Web servers and browsers. ไม่ว่าประเภทของธุรกิจที่คุณดำเนินช่วง – Merchandising เว็บเผยแพร่ข้อมูลหรือบริการลูกค้า ซึ่งผู้ใช้บริการต้องมั่นใจในความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่สำคัญโอนระหว่างเว็บเซิร์ฟเวอร์และเบราว์เซอร์

Digital certificates play a critical role in Web security. ใบรับรองดิจิตอลมีบทบาทสำคัญในการรักษาความปลอดภัยเว็บ Digital certificates are electronic documents that computer systems use to identify and authenticate individuals participating in an application, such as Web browsing, e-mail and file transfer. ใบรับรอง Digital เอกสารอิเล็กทรอนิกส์ที่ใช้ระบบคอมพิวเตอร์เพื่อระบุและตรวจสอบบุคคลที่เข้าร่วมในโปรแกรมเช่นเรียกดูเว็บ, อีเมลและการถ่ายโอนไฟล์ Traditional users logons and firewalls can’t protect sensitive information when systems transfer it between Web servers and browsers. However, combined with other security technologies – encryption, digital signatures, and the Secure Sockets Layer ( SSL ) protocol-digital certificates an prevent data eavesdropping, tampering, and repudiation (denial of involvement) over the Web. logons ใช้แผนและไฟร์วอลล์ไม่สามารถปกป้องข้อมูลที่สำคัญเมื่อระบบโอนระหว่างเซิร์ฟเวอร์และเว็บเบราว์เซอร์  แต่รวมกับเทคโนโลยีด้านความปลอดภัยอื่น ๆ เช่น การเข้ารหัสลายเซ็นดิจิตอลและ Secure Sockets Layer (SSL) protocol ดิจิตอลใบรับรอง เพื่อป้องกันข้อมูลกำลังดักข้อมูล แก้ไขดัดแปลงและปฏิเสธ (การปฏิเสธการมีส่วนร่วม) ไปเว็บ

A Certification Authority (CA) is a trusted entity responsible for issuing digital certificates to individuals or systems based on verification of applicants’ identities. Certification Authority (CA) เป็นองค์กรที่เชื่อถือได้รับผิดชอบในการออกใบรับรองดิจิทัลเพื่อบุคคลหรือระบบตามการยืนยันของ identities สมัคร You can request certificates from a public CA, such as VeriSign. คุณสามารถขอใบรับรองจากสาธารณะ CA เช่น VeriSign However, as companies demand more certificates for their Web servers and browsers from a third party, they are becoming more concerned about confidentiality, cost of ownership, quality of service, and other issues. แต่เนื่องจาก บริษัท ต้องการบัตรเพิ่มเติมสำหรับเว็บเซิร์ฟเวอร์และเบราว์เซอร์ จากบุคคลที่สามที่พวกเขาจะกลายเป็นความกังวลเกี่ยวกับความลับของเจ้าของต้นทุนคุณภาพบริการและประเด็นอื่นๆ To obtain third-party certificates, you must release confidential business information about employees, customers, suppliers, and partners. เพื่อขอรับการรับรองบุคคลที่สามคุณจะต้องเปิดเผยข้อมูลทางธุรกิจที่เป็นความลับเกี่ยวกับพนักงานลูกค้าคู่ค้าและพันธมิตร You must pay subscription fees of tens to hundreds of dollars per certificate per year; at $50 per certificate, a 1000-employee company spends $50,000 a year on certificates. คุณต้องจ่ายค่าสมาชิกของสิบหลายร้อยดอลลาร์ต่อใบต่อปีที่ $ 50 ต่อใบรับรอง a – บริษัท พนักงาน 1,000 จ่าย $ 50,000 ปีในใบรับรอง If you use a third-party CA, you do not control the certificate process, such as generation, retrieval, and revocation of certificates. หากคุณใช้บุคคลที่สาม CA คุณไม่ควบคุมการรับรองเช่นรุ่น, เรียก, และการเพิกถอนใบรับรอง And the process can take months. และการได้ใช้เวลาเป็นเดือน

To address companies’ concerns about the disadvantages of working with third-party CAs, Entrust Technologies (formerly Nortel Secure Networks) recently released Entrust/WebCA for Windows NT. ที่อยู่ของ บริษัท เกี่ยวกับข้อเสียในการทำงานกับ CAS บุคคลที่สามมอบหมาย Technologies (เดิม Nortel Secure Networks) ออกใหม่ฝาก / WebCA สำหรับ Windows NT With this software, you can be the Web CA and issue certificates for both Microsoft and Netscape Web servers and browsers for your company and customers. ด้วยโปรแกรมนี้คุณสามารถเป็น Web CA และใบรับรองปัญหาทั้ง Microsoft และเว็บเซิร์ฟเวอร์ Netscape และเบราว์เซอร์ให้กับลูกค้าของ บริษัท และ To be a Web CA, you must understand some underlying concepts: cryptographic keys, digital signatures, certificates, and Web certificates. เป็น Web CA คุณต้องเข้าใจแนวคิดพื้นฐานบาง : กุญแจเข้ารหัสลายเซ็นดิจิตอลใบรับรองและใบรับรองเว็บ

ใบรับรองและลายเซ็นดิจิตอล

Although public key cryptography works well for data encryption, developers use digital signatures to authenticate data transmitted from a sender to a receiver. แม้ว่าการเข้ารหัสคีย์สาธารณะทำงานได้ดีสำหรับการเข้ารหัสข้อมูลนักพัฒนาใช้ลายเซ็นดิจิตอลในการตรวจสอบข้อมูลที่ส่งจากผู้ส่งไปยังผู้รับ With digital signatures, the sender signs a message before sending it. ลายเซ็นดิจิตอลที่ผู้ส่งสัญญาณก่อนที่จะส่งข้อความนั้น The receiver verifies the signature enclosed in the message to confirm that the message is from the expected sender and that no one has tampered with it during transmission. รับตรวจสอบข้อความแนบลายเซ็นในการยืนยันว่าข้อความนั้นมาจากผู้ส่งและคาดว่าไม่มีใครได้ดัดแปลงด้วยในระหว่างการส่ง

You can use digital signatures independently of data encryption. สามารถใช้ลายเซ็นดิจิตอลเป็นอิสระของข้อมูลการเข้ารหัส It’s also possible to have different public and private key pairs for signing and encryption. อาจเป็นไปได้ที่จะมีแตกต่างกันของรัฐและเอกชนคู่สำคัญสำหรับการสมัครและการเข้ารหัส

A digital certificate is an electronic ID; it contains an individual’s name, an ID number, and a public key. ใบรับรองดิจิทัลเป็น ID อิเล็กทรอนิกส์จะมีชื่อของแต่ละบุคคล, หมายเลข ID และคีย์สาธารณะ When a CA issues a certificate, it signs the certificate by using its private key and encloses its signature in the certificate. เมื่อมีปัญหา CA ใบรับรองของป้ายรับรองโดยใช้คีย์ส่วนตัวและ encloses ลายเซ็นในใบรับรอง The CA’s signature makes the certificate trustworthy. CA ของลายเซ็นทำให้เชื่อถือใบรับรอง

If you don’t know the CA, you can verify the certificate by tracing the chain of signatures on the certificate until you find a common trusted authority. ถ้าไม่ทราบ CA จะสามารถตรวจสอบใบรับรองโดยติดตามลายเซ็นของโซ่ในใบรับรองจนกว่าจะพบหลักฐานที่เชื่อถือได้ทั่วไป This capability is the basis of trust between companies. ความสามารถนี้เป็นพื้นฐานของความไว้วางใจระหว่าง When you validate the CA’s signature, you can trust the certificate. เมื่อยืนยัน CA ของลายเซ็นก็สามารถเชื่อถือใบรับรอง

The most popular certificate is the X.509 certificate. ใบรับรองความนิยมมากที่สุดคือใบรับรอง X.509 The International Telecommunication Union (ITU) defined X.509 in 1988 as an international standard for public key certificates. International Telecommunication Union (ITU) กำหนด X.509 ในปี 1988 เป็นมาตรฐานสากลสำหรับใบรับรองกุญแจสาธารณะ X.509 is a subset of X.500 open system standards for directory service. X.500 X.509 เป็นชุดย่อยของมาตรฐานระบบเปิดให้บริการไดเรกทอรี Most Web servers and browsers, including Microsoft’s Internet Information Server (IIS) and Netscape’s Enterprise Server,, support X.509 certificates. ส่วนมากเว็บเซิร์ฟเวอร์และเบราว์เซอร์รวมถึง Microsoft ‘s Internet Information Server (IIS) และ Netscape Enterprise Server ของ,, ใบรับรอง X.509 สนับสนุน The X.509 certificate contains a serial number, a subject, an issuer, a validity period, a public key, and the CA’s signature. ใบรับรอง X.509 มีหมายเลขเรื่องเป็นผู้ออกให้วันใช้เป็นคีย์สาธารณะและ CA ของลายเซ็น

The serial number specifies the unique number of the certificate. หมายเลขระบุหมายเลขเฉพาะของใบรับรอง The subject is the X.500 distinguished name (DN) of the individual or system that holds the certificate. เรื่องมีใบรับรองเด่น X.500 ชื่อ (DN) ของบุคคลหรือระบบที่ถือ The DN includes the common name (CN-John Smith), an optional organization unit (OU-Sales), the organization (O-Acme), and the country (C-US). The issuer is the CA’s X.500 DN. DN ประกอบด้วยชื่อสามัญ (CN – John Smith) องค์กรหน่วยเลือก (OU Sales), องค์กร (O – Acme) และประเทศ (C – US) . ผู้ออกเป็น CA ของ X.500 DN The validity period is the certificate’s issue and expiration dates. ระยะเวลาที่กำหนดจะออกใบรับรองของและวันหมดอายุ The certificate includes the subject’s public key, but not the corresponding private key. ใบรับรองมีคีย์สาธารณะเรื่อง แต่ไม่สำคัญเอกชนที่เกี่ยวข้อง The CA signs the certificate through a public key algorithm and a hashing algorithm. อาการ CA ใบรับรองผ่านคีย์ algorithm สาธารณะและ hashing algorithm The most common public key algorithm is RSA; the most common hashing algorithm is RSA Data Security’s Message Digest-5 (MD-5). ส่วนใหญ่วิธีกุญแจสาธารณะ RSA; hashing algorithm พบมากที่สุดคือ RSA Data Security ของ Message Digest 5 (5 MD -) WebCA uses a 1024-bit RSA key for signing, and its default hashing algorithm is MD-5. WebCA ใช้คีย์ bit RSA – 1024 เพื่อลงนามและเริ่มต้นของ hashing algorithm เป็น MD – 5

Version 3 of X.509 has an important new feature: flexible extensions that include additional information in the certificate. รุ่นที่ 3 ของ X.509 มีคุณสมบัติใหม่ที่สำคัญขยายความยืดหยุ่นที่มีข้อมูลเพิ่มเติมในใบรับรอง The X.509 certificate includes standard extensions such as a private key usage period that lets you specify the expiration date of the signing private key. ใบรับรอง X.509 มีนามสกุลมาตรฐานเช่นระยะเวลาการใช้คีย์ส่วนตัวที่ช่วยให้สามารถระบุวันหมดอายุของการลงนามภาคเอกชนที่สำคัญ You can also define nonstandard extensions for your business. นอกจากนี้ยังสามารถกำหนดเป็นมาตรฐานสำหรับการขยายธุรกิจ For example, you can use a birthday extension in a Web browser certificate to prohibit users younger than a specific age from accessing certain contents on a Web server. ตัวอย่างเช่นสามารถใช้นามสกุลวันเกิดในใบรับรองเว็บเบราเซอร์ที่ห้ามผู้มีอายุน้อยกว่าอายุที่ต้องการเข้าถึงเนื้อหาบางอย่างบนเว็บเซิร์ฟเวอร์ WebCA supports this new X.509 feature. WebCA สนับสนุน X.509 คุณสมบัติ ใหม่นี้

หนังสือรับรอง WEB

Web security requires three kinds of X.509 certificates: a CA certificate, a browser certificate, and a server certificate. Web ความปลอดภัยต้องมีสามชนิด X.509 ใบรับรอง : ใบรับรอง CA, ใบเบราว์เซอร์และใบรับรองเซิร์ฟเวอร์ WebCA automatically generates the CA certificate on the server, and the CA issues browser and server certificates. WebCA โดยอัตโนมัติใบรับรอง CA บนเซิร์ฟเวอร์และ CA browser ปัญหาและใบรับรองเซิร์ฟเวอร์ The CA can issue browser and server certificates either automatically (eg, to all employees of a company) or in response to a client’s application (eg, to certain bank customers). CA สามารถออกเบราว์เซอร์และใบรับรองเซิร์ฟเวอร์ทั้งอัตโนมัติ (เช่นพนักงานทั้งหมดของ บริษัท ) หรือตอบสนองต่อโปรแกรมลูกค้า (เช่นลูกค้าธนาคารบาง)

The CA certificate identifies a specific CA and contains its public key. ใบรับรอง CA CA ระบุเฉพาะเจาะจงและมีของคีย์สาธารณะ Browser certificates identify the users who use that browser and contain the users’ public key. ใบรับรอง Browser ระบุผู้ใช้ที่ใช้ที่เบราว์เซอร์และมีผู้ใช้คีย์สาธารณะ To view your browser certificates in Internet Explorer (IE) 3.x, go to View , Options , Security and click Sites . This procedure lets you view preinstalled public CA certificates (eg, from AT&T, GTE, and VeriSign). เพื่อดูใบรับรองในเบราว์เซอร์ Internet Explorer (IE) 3.x ไปดูตัวเลือก Security และคลิก Sites ขั้นตอนนี้จะช่วยให้สามารถดูติดตั้งใบรับรอง CA สาธารณะ (เช่นจาก AT & T, GTE และ VeriSign) If you click Personal on the Security tab , you can view the certificates that you can use to identify yourself to other servers. หากคลิกส่วนบุคคลบนแท็บ Security จะสามารถดูใบรับรองที่สามารถใช้เพื่อระบุตัวเองไปยังเซิร์ฟเวอร์อื่นๆ If you have not received a browser certificate, this list will be empty. หากยังไม่ได้รับใบรับรองเบราว์เซอร์รายการนี้จะว่างเปล่า The server certificate identifies the Web server and contains the server’s public key. ใบรับรองเซิร์ฟเวอร์ระบุและมีเว็บเซิร์ฟเวอร์ของเซิร์ฟเวอร์คีย์สาธารณะ

8. ISSUING WEB CERTIการออกหนังสือรับรอง WEB

SSL works well for Web security.SSL ทำงานได้ดีสำหรับการรักษาความปลอดภัยเว็บ As a Web CA, however, you must issue Web certificates to your Web servers and browsers before they can use SSL. เป็น Web CA แต่ต้องออกใบรับรองเว็บไปยังเซิร์ฟเวอร์ของตัวเองและเว็บเบราว์เซอร์ก่อนที่จะใช้ SSL WebCA lets you issue browser certificates to IE 3.x and Netscape Navigator 3.x, and server certificates for IIS 3.0 and Enterprise Server 2.0. WebCA ช่วยให้สามารถออกใบรับรองเบราว์เซอร์ที่ IE 3.x และ Netscape Navigator 3.x, และใบรับรองเซิร์ฟเวอร์สำหรับ IIS 3.0 และ 2.0 Enterprise Server WebCA provides a client interface and an administrator interface for issuing certificates; you can access both interfaces from the Microsoft and Netscape browsers. WebCA ให้ interface interface client และดูแลระบบการออกใบรับรอง ซึ่งจะสามารถเข้าถึงการเชื่อมต่อทั้งจาก Microsoft และ Netscape เบราว์เซอร์

Before you issue browser certificates, you must distribute your CA certificate to the browsers. ก่อนที่จะออกใบรับรองเบราเซอร์ที่ต้องกระจายใบรับรอง CA เบราว์เซอร์ของตัวเอง An easy way to distribute the certificate is to let clients connect their browsers to the WebCA’s client interface and retrieve the CA certificate. วิธีง่ายๆในการจำหน่ายบัตรจะให้ลูกค้าเชื่อมต่อเบราว์เซอร์เพื่อที่ลูกค้าติดต่อ WebCA และเรียกใบรับรอง CA WebCA stores the CA certificate in cacert.der , a certificate file in the webca\mgrent\queue directory. ร้าน WebCA ใบรับรอง CA ใน cacert.der แฟ้มใบรับรองใน webca \ mgrent \ directory คิว You can copy this file to a floppy and distribute it to your clients. สามารถคัดลอกแฟ้มนี้ไปยังฟล็อปปี้ดิสก์และแจกจ่ายให้กับลูกค้าของคุณ Opening the CA certificate file in a browser imports the CA certificate into the browser. เปิดแฟ้มใบรับรอง CA ในเบราว์เซอร์นำเข้าใบรับรอง CA ในเบราว์เซอร์

WebCA provides two methods for issuing a browser certificate: the generated-secret method and the existing-secret method, a client doesn’t submit any secret information to you when the client requests a certificate. Creating a certificate generates an authorization code and a reference number. WebCA มีสองวิธีการออกใบรับรองเบราว์เซอร์ วิธีสร้างและวิธีที่มีอยู่แล้วลูกค้าไม่ได้ส่งข้อมูลลับให้คุณเมื่อถูกลูกค้าประกาศนียบัตร การสร้างใบรับรองสร้างรหัสอนุมัติและการอ้างอิง หมายเลข You must send this generated-secret information to the client through a secured method. คุณต้องส่งข้อมูลลับนี้สร้างขึ้นเพื่อลูกค้าด้วยวิธีที่ปลอดภัย Clients can retrieve the certificate to their browsers by using the authentication code and reference number. ลูกค้าสามารถเรียกดูใบรับรองในเบราว์เซอร์โดยใช้รหัสรับรองความถูกต้องและหมายเลขอ้างอิง

In the existing-secret method, the client must provide some secret information, such as a PIN or employee number, as part of an application for a browser certificate. ในวิธีที่มีอยู่ลับของลูกค้านั้นจะต้องให้ข้อมูลลับบางอย่างเช่น PIN หรือจำนวนพนักงานเป็นส่วนหนึ่งของใบสมัครสำหรับเบราว์เซอร์

You apply for a server certificate in a different way. คุณใช้ใบรับรองเซิร์ฟเวอร์ในลักษณะที่แตกต่างกัน A Web server administrator must create a key request file with a key generation utility (eg, Key Manager in IIS) in the Web server. ผู้ดูแลเว็บเซิร์ฟเวอร์จะต้องสร้างการร้องขอไฟล์สำคัญกับการสร้างสาธารณูปโภคสำคัญ (เช่น Key Manager ใน IIS) ในเว็บเซิร์ฟเวอร์ The file contains the server X.500’s DN, the administrator’s e-mail address, and the server’s public key. ไฟล์ที่มี X.500 เซิร์ฟเวอร์’s DN, ของผู้ดูแลระบบ e – mail address และของเซิร์ฟเวอร์คีย์สาธารณะ

Web Services

                คือ บริการที่เป็นระบบซอฟต์แวร์ที่ออกแบบมาเพื่อสนับสนุนการทำงานระหว่างคอมพิวเตอร์กับคอมพิวเตอร์ผ่านระบบเครือข่าย โดยภาษาที่ใช้ในการติดต่อสื่อสารระหว่างคอมพิวเตอร์ คือภาษา XML ทำให้สามารถเรียกใช้ component ใดๆ ก็ได้ในระบบ ที่จะถูกเรียกใช้งานจากแอพลิเคชันอื่นๆ ในรูปแบบ RPC หรือระบบสั่งงานระยะไกล Web Service มีมาตรฐานต่างๆ ที่เกี่ยวข้องดังนี้

SOAP เป็น protocol ที่ใช้เรียก component ต่าง ๆ ใน platform ใด ๆ ก็ได้

UDDI ถูกสร้างขึ้นมาเป็นมาตรฐานในการค้นหาบริการ Web Services UDDI เหมือน Directory ที่รวบรวม Web Services ที่คอยให้บริการ

WSDL เป็นภาษาที่ใช้อธิบายคุณลักษณะของ web service และวิธีการติดต่อกับ web service นั้น ๆ โดยใช้ไวยากรณ์ของภาษา XML

ความปลอดภัยของ Web Services มีดังนี้

1. Maintaining security while routing between multiple การป้องกันความปลอดภัยต้องป้องกันทุกๆ Layer เพราะผู้โจมตีอาจเลือก Layer ที่สามารถโจมตีได้ง่าย หรือมีจุดอ่อน

2. Unauthorized Access ต้องจำกัดผู้ใช้งาน จำนวนผู้ใช้ และการเข้าถึงข้อมูล คือกำหนดสิทธิ์ใช้งาน

3. Parameter Manipulation/Malicious Input มีการส่ง Parmaeter หรือ Input ที่เป็นอันตรายจากผู้ไม่ประสงค์ดี เช่น SQL Injection เป็นต้น

4. Network eavesdropping and message replay ถ้าข้อมูลไม่ถูก Encryption ไว้ อาจถูกผู้ไม่ประสงค์ดีดักจับข้อมูลได้ง่าย ทำให้ข้อมูลไม่เป็นความลับ

5. Denial of Services (DoS) ผู้โจมตีส่งคำสั่งจำนวนมากๆ (Message Bomb) ให้ Web Services ทำให้เกิดความเสียหาย

6. Bypassing of Firewalls ผู้โจมตีพยายามโจมตีผ่าน port ที่ firewall เปิด คือ พยายามโจมตีผ่าน Port 80 เป็นต้น

7. Immaturity of the platform Web Serives มีการใช้ plateform ที่ต่างกัน ทำให้เกิดการโจมตีโดยง่าย

WS Security Framework

1. SOAP Foundation

• XML Signature เป็นการนำลายเซ็นต์ดิจิตอลมาใช้ใน XML เพื่อเป็นการป้องกันไม่ให้เห็นข้อมูลที่อยู่ภายใน XML
• XML Encryption เป็นการเข้ารหัส SOAP Message เพื่อทำให้ message ที่ส่งมีความปลอดภัยจากผู้ไม่ประสงค์ดี

2. WS-Security

• XKMS (XML Key Management Spec) มีการใช้ Digital Signature ร่วมกับ XML และ PKI โดยที่ XKMS จะสร้างรหัสขึ้นมาคู่หนึ่งและทำการลงทะเบียนเพื่อใช้ในการเข้ารหัสข้อมูล
• SAML (Security Assertions Markup Language) เป็นภาษาสำหรับการป้องกันความปลอดภัย โดยการกำหนด XML เพื่อใช้ในการพิสูจน์ตัวตัน และกำหนดสิทธิการเข้าถึงข้อมูล

3. Security Extensions

• WS-Policy เป็นการกำหนดนโยบายต่าง ๆ ด้าน Security ของ Web Services
• WS-Trust เป็นการใช้ Security ที่มีรูปแบบและมาตรฐานที่แน่นอน ตัวอย่างเช่น PKI, PGP เพื่อสร้างความมั่นใจในความปลอดภัยของข้อมูล
• WS-Privacy แต่ะละ Web Services สามารถกำหนดนโยบายส่วนตัวขึ้นมาเอง เพื่อให้ผู้ใช้บริการ Web Services ปฏิบัติตาม
• WS-Secure Conversation คือ ทำการกำหนดรูปแบบในการสร้าง และ Share Security เพื่อให้สามารถแลกเปลี่ยนกันได้
• WS-Federation แต่ละ Web Service ใช้ Technology Security ที่ต่างกัน เมื่อ Web Services ต้องการแลกเปลี่ยนข้อมูลกัน จะต้องทำให้ 2 Technology เข้ากันได้
• WS-Authorization เป็นการบริหารจัดการกฎในการเข้าถึง เพื่อรักษาความปลอดภัย

 

Digital certificates are important for secสรุป

                ใบรับรองดิจิตอลที่มีความสำคัญสำหรับการรักษาความปลอดภัยการสื่อสารบน Web CA software, such as Entrust/WebCA, lets you be your company’s Web CA and establish a trusted domain within your company and business. ซอฟต์แวร์ CA เช่นฝาก / WebCA ช่วยให้คุณเป็นเจ้าของ บริษัท Web CA และสร้างโดเมนที่น่าเชื่อถือได้ในธุรกิจของบริษัท และ This trusted domain is isolated from other domains, similar to a LAN on an isolated island 10 years ago.เชื่อถือได้โดเมนเป็นที่ได้แยกจากโดเมนอื่น ๆ คล้ายกับ LAN เมื่อ10 ปีที่แล้ว CAs must have a mutual trust relationship before their users can exchange information across trust domains. CAS จะต้องมีความไว้วางใจซึ่งกันและกันก่อนที่ผู้ใช้สามารถแลกเปลี่ยนข้อมูลข้ามโดเมนไว้วางใจ As more businesses move to the Internet, corporations and organizations will develop trust based on their business relationships. เป็นธุรกิจมากขึ้นไปอินเทอร์เน็ต, บริษัท และองค์กรจะพัฒนาความไว้วางใจตามความสัมพันธ์ทางธุรกิจ

แหล่งที่มา

WEB SECURITY. [ออนไลน์]. เข้าถึงได้จาก :  

http://publiespe.espe.edu.ec/articulos/sistemas/seguridadweb/seguridadweb.htm.

                (วันที่สืบค้นข้อมูล 23 สิงหาคม 2553).

Web Services Security. [ออนไลน์]. เข้าถึงได้จาก         

: http://catadmin.cattelecom.com/km/blog/tewwss/category/uncategorized/web-services-security-ws-

security/. (วันที่สืบค้นข้อมูล 23 สิงหาคม 2553).

Assignment2 ความแตกต่างของภัยอินเตอร์เน็ต Pharming และ Phishing

ความแตกต่างของภัยอินเตอร์เน็ต Pharming และ Phishing

บทนำ

หลายคนคงทราบว่า ในปัจจุบันคอมพิวเตอร์และอินเตอร์เน็ต เข้ามามีบทบาทในชีวิตประจำวันของคนมากขึ้น และก็คงปฏิเสธไม่ได้ว่า เมื่อมีคุณประโยชน์แล้วก็ย่อมมีโทษในตัวเองด้วย  อินเตอร์เน็ตถือได้ว่าเป็นสังคมสังคมหนึ่งเกิดจากความพยายามที่จะติดต่อสื่อสารกันของคน โดยอาศัยเทคโนโลยีอินเตอร์เน็ตเป็นตัวกลางแทนคำพูด ท่าทาง ของคน เป็นสังคมของคนทั้งโลกที่ไร้พรมแดนไม่มีการแบ่งชั้นวรรณะ จึงเป็นเรื่องธรรมดาที่จะต้องมีสิ่งไม่ดี สิ่งที่เป็นภัยแอบแฝงอยู่มาก รวมทั้งบรรดามิจฉาชีพ อาชญากรรม ได้อาศัยอินเตอร์เน็ตเป็นที่แฝงตัวและหากินบนความทุกข์ของผู้อื่น

จากผลวิจัยสถิติในการใช้งานอินเตอร์เน็ทในประเทศไทย จัดทำโดย ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (Nectec) แสดงจำนวนการใช้งาน นับ แต่ปี 2534 มีการใช้งานอยู่อินเตอร์เน็ทเพียง 30 เครื่องในประเทศไทยจนถึงปี 2547 จำนวนเกือบ 7 ล้านคนที่ใช้อินเตอร์และมีที่ท่าว่าจะมากขึ้นตามจำนวนประชากร

เมื่อมีการใช้งานทางอินเตอร์เน็ท ทำให้เกิด E-commerce มากยิ่งขึ้นจึงเกิดภัยคุกคามต่างๆตามมา ซึ่งในบางครั้งผู้ใช้อาจจะรู้ตัวหรือไม่รู้ตัวก็ตาม จากผลสำรวจของศูนย์ปฏิบัติการตรวจจับการแพร่ระบาดไวรัสจดหมายอิเล็คทรอนิคส์ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สบทร) พบว่า ตั้งแต่ปี 2002 ถึง 2005 อัตราการแพร่ระบาดไวรัสที่แนบมากับจดหมายอิเล็คทรอนิคส์เพิ่มสูงขึ้นจำนวน มาก

ภัยคุกคามจากการบุกรุกจากผู้ไม่พึ่งประสงค์หรือเรียกว่า Hacker ซึ่งเพิ่มอันตราจำนวน

Hacker จำนวนมากทั่วโลกเนื่องจากการเข้าถึงโลกอินเตอร์เน็ทเป็นเรื่องที่ง่าย และค้นหาข้อมูล รวมถึงหา Tools ในการโจมตีมีให้ กันทั่วไปในโลกอินเตอร์เน็ท

ในภาพบ่งบอกถึงการโจมตี Web ในประเทศไทย พบว่า domain .co.th มีสถิติการโดยบุกรุกมากที่สุด รองลงมาคือ .go.th

ภัยอินเตอร์เน็ต Phishing

                Phishing คือการโจมตีในรูปแบบของการปลอมแปลงอี-เมล์ (Email Spoofing) และทำการสร้างเว็บไซต์ปลอม เพื่อทำการหลอกลวงให้เหยื่อหรือผู้รับอี-เมล์เปิดเผยข้อมูลทางด้านการเงิน หรือข้อมูลส่วนบุคคลอื่นๆ อาทิ ข้อมูลของหมายเลขบัตรเครดิต บัญชีผู้ใช้ (Username) และ รหัสผ่าน (Password) หมายเลข บัตรประจำตัวประชาชน หรือข้อมูลส่วนบุคคลอื่น ๆ

                Phishing สามารถทำได้โดยการขโมยหรือนำเครื่องหมายหรือสัญลักษณ์ตลอด จนรูปลักษณ์ของธนาคารหรือสถาบันการเงินที่มีชื่อเสียง และบัตรเครดิตประเภทต่างๆของผู้ประกอบการ การให้สินเชื่อทางอินเตอร์เน็ต มาประกอบเข้ากับการหลอกลวงเหยื่อหรือผู้ใช้ให้เปิดเผยข้อมูล ซึ่งมีการประเมินเบื้องต้นว่า การโจมตีในรูปแบบของ  phishing  สามารถหลอกให้เหยื่อร้อยละ 5 ของทั้งหมด เปิดเผยข้อมูลที่ต้องการ นอกจากนี้ ผู้โจมตี (Hacker หรือ Spammer) ยังใช้ยุทธวิธีการ หลอกลวงแบบ Social Engineering ประกอบเพิ่มเติม เพื่อให้มีความน่าเชื่อถือยิ่งขึ้น เช่น การหลอกลวงชื่ออี-เมล์ เป็นต้นว่า เป็นเรื่องด่วนจากธนาคาร การหลอกลวงว่าบัญชีที่ใช้งานจะหมดอายุ การเสนอสินค้าที่มีดอกเบี้ยต่ำต่าง ๆ เป็นต้น

                การหลอกลวงให้ลูกค้าธนาคารหลงเชื่อว่ามีอี-เมล์มาจากธนาคาร แจ้งข่าวว่ามีการปรับปรุงฐานข้อมูล ทำให้ข้อมูลที่เกี่ยวกับลูกค้าบางส่วนสูญหาย จึงต้องขอให้ลูกค้ากรอกข้อมูลบัตรเครดิตเข้าไปใหม่ โดย อี-เมล์ดังกล่าวมีสัญลักษณ์ของธนาคารจริง มี URL ให้คลิกได้โดยมีชื่อโดเมนและ subdirectory เป็นจริงมาก ลูกค้าธนาคารที่คุ้นเคยกับ URL นี้จะพบว่าเหมือน URL ปกติที่ใช้งานจริง แต่เมื่อวิเคราะห์ตรวจสอบโดยละเอียดแล้ว พบว่าข้อความที่เป็น URL ที่ขีดเส้นใต้นั้น

(http://web.da-us.citbank.com/signin/citifi/scripts/login2/user_setup/jsp) อันที่จริงได้มีการทำ hypertext link ไปที่
(http://web.da-us.citibank.com/citifi/scripts/@isapi100.info/index.htm)

                ประเภทของ Phishing virus ออกได้ดังนี้

                1. แบบสร้างลิงค์ หลอกไปยังเว็บไซต์ที่สร้างขึ้นมา เพื่อให้เหยื่อหลงกรอกข้อมูล

2. แบบรูปภาพแล้วทำลิงค์ ไปยังเว็บไซต์ เพื่อหลบหลีกโปรแกรม ที่ใช้กรอกข้อมูลต่างๆลงไปเพื่อสมัคร แล้วจึงจะเข้าไปยังเว็บไซต์นั้นได้

                3. แบบโทรศัพท์มาหาเหยื่อ ลักษณะแบบนี้จะแอบอ้างมาว่า ในช่วงเวลานี้เหยื่ออาจไม่สามารถเข้าไปยังเว็บที่ตัวเองต้องทำธุรกรรมต่างๆได้ แต่ถ้าหากต้องการใช้งานนั้นก็เพียงแต่บอกกับเจ้าหน้าที่ที่โทรศัพท์มาหา แล้วให้รายละเอียดเกี่ยวกับข้อมูลของตนไปก็จะใช้งานได้ตามปกติ

                กรณีตัวอย่างการ ใช้อี-เมล์หลอกลวงที่เกิดขึ้น

                Phishing เว็บไซต์ธนาคารกสิกรไทยปลอม

 

เว็บไซต์ Phishing ที่หลอกลวง

เว็บไซต์ที่แท้จริงของทางธนาคาร ที่จะแตกต่างกันตรงด้านซ้ายมือที่จะมีโลโก้ Verified by Visa อยู่

อีเมลล์ฟิชชิ่ง (Phishing email) ของยาฮูเมลล์ (Yahoo mail)

                *ภาพจาก http://tungblog.atikomtrirat.com/2009/09/phishing-yahoo-mail.html

                เมลล์ที่ใช้ส่งคือ bisola1@btinternet.com ซึ่งหลังจากที่ตรวจสอบโดเมน btinternet.com แล้วเป็นบริษัท British Telecommunications plc. ซึ่งน่าจะมีความเกี่ยวข้องกับ Yahoo แต่ เมลดังกล่าวน่าจะเป็นฟรี อีเมลล์ เหมือนกับพวก name@hotmail.com, name@yahoo.com

หน้าตาของ btinternet.com

 และที่สังเกตที่อย่างหนึ่ง ก็คือ ให้ผู้รับอีเมลล์ตอบ password กลับไป ซึ่งเป็นไปไม่ได้เลย

นอกจากตัวอย่างของภัย Phishing ที่ยกตัวอย่างมา ยังมีเว็บไซต์ดังๆที่อาจโดน Phishing ได้เช่น http://www.facebook.com, http://www.hotmail.com, http://www.twitter.com, แอปพลิเคชั่นใน Android Market เป็นต้น

                การป้องกันการโดน Phishing virus

1.               ใช้โปรแกรมกรองข้อมูลจากในบราวเซอร์เวอร์ชันใหม่ๆของ IE และ Mozilla Firefox

2.               หยุดคิดและพิจารณาข้อมูลที่ได้รับทาง อี-เมล์ หรือข้อมูลที่เข้าไปดูในเว็บไซต์ทุกครั้ง และควรลบข้อมูลที่น่าสงสัยนั้นทิ้งทันที

3.               ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบ มากับอี-เมล์ ซึ่งมาจากบุคคลที่ไม่รู้จัก หรือไม่มั่นใจว่าผู้ส่ง เป็นใคร หรือไม่ทราบว่าไฟล์ดังกล่าวเป็นไฟล์อะไร ตลอดจนเว็บไซต์หรือไฟล์ที่ถูกส่งมาด้วยโปรแกรมสนทนาประเภทต่างๆ เช่น IRC, ICQ, MSN หรือ PIRCH เป็นต้น

4.               สังเกตว่าเว็บนั้นมีสัญลักษณ์ ของการป้องกันและรักษาความปลอดภัย ของข้อมูลหรือไม่

5.               คอยติดตามข่าวคราวของเรื่องการโดน Phishing virus อย่างต่อเนื่อง เพราะพวกเหล่าไวรัสมีการพัฒนาตัวเองอยู่ตลอดเวลา

ภัยอินเตอร์เน็ต Pharming

Pharming เป็นการที่ Hacker ได้เข้าไปโจมตี server ของ web siteต่างๆ และทำการส่งคนเข้า web site ให้ไปที่ web site ปลอมแทน Pharming นั้นมักจะการทำโดยการเข้าไปเปลี่ยน hosts file ของเครื่อง Server ที่เป็นเหยื่อให้เปลี่ยนไปที่web site ปลอมหรือว่าจะใช้ exploit ส่งเข้าไปโดยใช้ช่องโหว่ของ DNS Serversoftware เอง

การโจมตีรูปแบบนี้เรียกได้ว่าเป็นการโจมตีชนิดที่เราสังเกตได้ยากมากเพราะว่าสิ่งที่ถูกโจมตีจริงๆ
นั้นเป็นที่เครื่อง Server เองและเราจะถูกส่งที่ web site ปลอมที่มีลักษณะหน้าตาเหมือนกันทุกประการดังนั้นจึงเป็นเรื่องยากมากที่จะตรวจจับกัน ดังนั้นสิ่งที่เราทำได้ก็จะคือการป้องกันตัวเองโดยการไม่ประมาทเราจึงไม่ตกเป็นเหยื่อของ Pharming

ในปัจจุบันได้ Internet ได้ใช้การรับส่งข้อมูลโดยมี Protocol TCP/IP เป็นหลักและสิ่งที่สำคัญมากในระบบนี้คือ Ip Address (ในปัจจุบันมีการใช้ IPv4 เป็นมาตรฐานหลักและมีขนาด 32 bits แต่ในปัจจุบันได้มีการพัฒนาไปเป็น IPv6 ซึ่งมีขนาด 128 bits) ในตัว address นั้นจะมีตัวเลข 4 หลักและจะมีตัวเลขตั้งแต่ 0 – 225 แต่ละตัวจะถูกขั้นไว้ด้วย . (Dot) ยกตัวอย่างเช่น 77.168.1.27 เป็นต้น และจะใช้เป็นที่ระบุที่อยู่ใน internet ถ้าจะเปรียบเทียบกับชีวิตจริงเราก็คงเปรียบเทียบได้กลับที่อยู่ของบ้านเรานั้นเอง แต่ตัวเลขพวกนี้สามารถจดจำได้โดยมนุษย์ได้ยากเนื่องจากทั้งหมดถูกประกอบด้วยตัวเลขต่างๆพอสมควรจึงได้มีการคิดค้นการใช้ระบบ domain ขึ้นมายกตัวอย่างเช่น ถ้าเราพิมพ์ www.viruscom2.com ลงไปที่ช่อง address ของ Web Browser ก็จะได้รับการแปลเป็นตัวเลขต่างๆต่อไป

สมมุติว่า Hacker ต้องการที่จะขโมยข่าวสารต่างๆ ด้วยวิธีการ Pharming นี้ Hacker ก็ต้องไปสร้าง  web site ที่มีหน้าตาเหมือนกันขึ้นมาหลังจากนั้นก็ต้องไปทำการโจมตี server เป้าหมายแล้วทำการแก้ไข file host ให้ส่งผู้ใช้ไปหน้าเว็บปลอมที่สร้างขึ้นมาเพื่อที่จะให้ผู้ใช้กรอกข้อมูลข่าวสารต่างๆไม่ว่าจะเป็นหมาย เลขบัตรเครดิต, password, PIN ต่างๆซึ่งเป็นที่สังเกตการโจมตีแบบPharmingได้ยากยิ่ง

ช่องทางที่เสี่ยงต่อ Pharming และวิธีป้องกัน

สำหรับช่องทางที่เสี่ยงต่อการถูก Pharming และมีการป้องกันได้ดังนี้

                1. ใช้งาน Internet Banking หรือพวก E-Banking ต่างๆต้องคอยสังเกตให้ดีว่าข้อมูลในนั้น มีการปกป้องข้อมูลหรือไม่ ส่วนทางเว็บที่ให้บริการก็ต้องคอยตรวจสอบและหมั่น Update เช็คดูว่าเว็บไซต์ของตัวเองเสี่ยงต่อการแฮคข้อมูลหรือไม่ ซึ่งจะช่วยป้องกัน และแก้ปัญหานี้ ได้ในระดับหนึ่ง

                2. การช๊อปปิ้งออนไลน์ ช่องทางนี้เสี่ยงต่อการถูกแฮกข้อมูลบัตรเครดิตมากที่สุด เพราะเหยื่อจะต้องใส่รายละเอียดต่างๆถึงจะซื้อสินค้าเหล่านั้นได้ ดังนั้น หากต้องการจะซื้อสินค้าเหล่านั้นจริงๆ ควรใช้ควรใช้วิธีโอนผ่านธนาคารแทน หรือนัดเจอรับสินค้ากันไปเลยในกรณีที่สามารถทำได้ และหมั่นคอย Update ข่าวสารของ Pharming ตามแหล่งข่าวที่เชื่อถือได้อยู่สม่ำเสมอ
                การแก้ไข ป้องกันปัญหาเบื้องต้น

สำหรับวิธีการแก้ไขในระยะสั้น

ต้องหมั่นตรวจสอบไฟล์ HOSTS ที่อยู่ในเครื่องเราบ่อยๆ แล้ว เราก็ต้องคอยอ่านข่าวสารใหม่ๆ เกี่ยวข้องกับเรื่อง Pharming เป็นระยะๆ จาก web site เเละควรติดตั้งโปรแกรม anti-virus ที่มีระบบป้องกันที่ครอบคลุมในทุกๆ ด้าน ที่เราเรียกว่า Internet Security ซึ่งมักจะประกอบไปด้วยโปรแกรม Anti-virus, Anti-spam, Anti-spyware รวมทั้งมีระบบ Firewall ด้วย

วิธีการแก้ไขในระยะยาว

ก็คือ การใช้ระบบวิธีบริหารจัดการตรวจสอบการแสดงตัวตน IAM (Identity and Access Control Management System) ซึ่งต้องใช้ Digital Certificate มาช่วยในการตรวจสอบการเข้าถึงระบบ (Authentication Process) นั่นหมายถึง CA (Certificate Authority) และ PKI (Public Key Infrastructure) จะต้องเข้ามาเกี่ยวข้องโดยตรง นอกจากนั้น ผู้ที่ดูแล DNS Server อยู่ เช่น ผู้ให้บริการในอินเทอร์เน็ตหรือ ISP ก็ต้องคอย “Patch” เครื่อง DNS Server ของตน และหมั่นตรวจสอบประเมินความเสี่ยง (Vulnerability Assessment) ระบบของตนเองอยู่เป็นระยะๆ

ความแตกต่างของภัยอินเตอร์เน็ต Pharming และ Phishing

                คำว่า Pharming มาจากคำว่า Phishing ที่มีความหมายใกล้เคียงกัน โดยทั้งคู่นั้นก็จะมีจุดมุ่งหมายเหมือนกันคือการเข้าไปขโมยข้อมูลข่าวสารต่างๆไม่ว่าจะเป็นการขโมย user-password, การขโมยบัตรเครดิตเป็นต้น แต่ว่า Pharming นั้นจะแตกต่างจาก Phishing ตรงที่ Pharming นั้นจะเน้นการเข้าไปโจมตีธุรกิจใหญ่ๆยกตัวอย่าง เช่น Hosting ที่ทำ e-commerce หรือว่า web siteที่เกี่ยวกับ online banking เป็นต้น

สรุป

เทคนิค	วิธีการ
1  Phishing	Hacker  ทำการสร้าง Web Site ปลอม ที่มีเนื้อหาเหมือนกับ Web Site ของจริง (อาทิ  Web Site ที่เกี่ยวกับการเงิน หรือ Web Site  ที่เกี่ยวกับ การซื้อของ Online) โดยทำการส่ง eMail เพื่อหลอกลวงให้ผู้รับ eMail เปิดเผย ข้อมูลทางด้านการเงิน และข้อมูลส่วนบุคคลอื่นๆ เช่นข้อมูลของหมายเลขบัตรเครดิต  ชื่อผู้ใช้  รหัสผ่าน เป็นต้น
2. Pharming	Hacker จะ ทำการโจมตีไปที่ระบบ DNS Server ของผู้ให้บริการ อินเตอร์เน็ต (ISP) หรือของบริษัท ต่างๆ โดยตรง หรืออีกวิธีการหนึ่งเรียกว่า DNS Hijacking คือทำ ให้ผู้ใช้บริการคิดว่าได้เข้าไปใน URL ที่ถูกต้อง จริงๆ และทำการ Redirect URL นั้น ไปยัง Web Site ปลอมที่ทำรอไว้ให้เหยื่อหลงเข้าไปติดกับ

เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของกลลวง Phishing และ Pharming นี้ ผู้ใช้งานอีเมล์ควรใส่ใจกับจดหมายอิเล็กทรอนิกส์ที่อยู่ในเมล์บ็อกซ์มากขึ้น และไม่ควรหลงในคำชวนเชื่อต่างๆ เหล่านั้น ลักษณะที่เป็นไปได้ของอีเมล์ลวง ได้แก่ ชื่ออีเมล์ของผู้ส่งไม่มีความเกี่ยวข้องกับหน่วยงานที่อ้างอิงมานั้น หรืออาจจะส่งผ่านเว็บไซต์ที่ให้บริการอีเมล์ฟรี ไม่มีการระบุชื่อผู้รับอีเมล์อย่างชัดเจน โดยมักจะใช้คำทักทายทั่วๆ ไป เช่น ถึงผู้โชคดี เป็นต้น อีเมล์ถูกส่งมาจากหน่วยงานที่ผู้ใช้งานไม่ได้มีส่วนเกี่ยวข้องด้วย เช่น ส่งมากจากเว็บไซต์ PayPal^? ทั้งที่ผู้รับอีเมล์นั้นไม่เคยเข้าไปใช้งาน เนื้อหาในอีเมล์เป็นลักษณะรูปภาพมากกว่าตัวอักษร ซึ่งง่ายในการซ่อนลิงค์ไปยังเว็บไซต์ลวง ความเร่งรีบของเนื้อหาในอีเมล์ที่ต้องการให้ผู้ใช้กระทำการตอบกลับอย่างรวดเร็วที่สุด โดยอาจจะกำหนดวันเวลาที่จะต้องเข้ากระทำการ

                ในเมื่อปัจจุบัน เราใช้งานอินเตอร์เน็ตเป็นจำนวนมาก เพื่อลดความเสี่ยงของการเกิดภัยคุมคามทางอินเตอร์เน็ตที่จะเกิดขึ้นกับตัวเอง เราควรที่จะรู้ถึงวิธีป้องการตัวเองและเครื่องคอมพิวเตอร์ ไม่ว่าจะเป็นการดูแลเครื่องคอมพิวเตอร์ การระวังมากยิ่งขึ้นเมื่อใช้อินเตอร์เน็ตในการเชื่อมต่อข้อมูลธุรกรรม ซึ่งปัจจุบันนี้ก็ได้มีเทคโนโลยีที่คาดการว่าจะเกิดขึ้นในอนาคตเพื่อช่วยลดความเสี่ยงในระดับหนึ่งให้กับผู้ใช้อินเตอร์เน็ต ตามที่โกลบอลเทคโนโลยีฯ กล่าวดังนี้

                1. เทคโนโลยี Two-Factor Authentication เข้ามาอุดช่องโหว่ ด้วยการใช้ Token หรือ Smart card ID เข้ามาเสริมเพื่อเพิ่มปัจจัยในการพิสูจน์ตัวตน ซึ่งมีความจำเป็นโดยเฉพาะกับการทำธุรกรรมทางการเงินออนไลน์ และธุรกิจ E-Commerce

2. เทคโนโลยี Single Sign On (SSO) เข้าระบบต่างๆ ด้วยรายชื่อเดียว โดยเชื่อมทุกแอปพลิเคชันเข้าด้วยกัน ซึ่งมีความจำเป็นมากในยุค Social Networking ช่วยให้เราไม่ต้องจำ username / password จำนวนมาก

                3. เทคโนโลยี Cloud แนวคิดเทคโนโลยี Clustering เพื่อแชร์ทรัพยากรการประมวลผลที่ทำงานพร้อมกันหลายเครื่องได้

 4. เทคโนโลยี Information Security Compliance Law จัดมาตรฐานเป็นหมวดหมู่ให้สอดคล้องกับความปลอดภัยข้อมูลใน องค์กร โดยนำ Log ที่เกิดขึ้นจากการใช้งานมาจัดเปรียบเทียบตามมาตรฐานต่างๆ เช่น ISO27001 สำหรับความปลอดภัยในองค์กร, PCI / DSS สำหรับการทำธุรกรรมการเงิน, HIPAA สำหรับธุรกิจโรงพยาบาล

                5. เทคโนโลยี Wi-Fi Mesh Connection มีเก็บบันทึกการใช้งานผู้ใช้ (Accounting Billing) และนำระบบ NIDS (Network Intrusion Detection System) มาใช้ เพื่อเฝ้าระวังการบุกรุกหลากรูปแบบ เช่น การดักข้อมูล, การ crack ค่า wireless เพื่อเข้าถึงระบบ หรือปลอมตัวเป็นบุคคลอื่นโดยมิชอบ เป็นต้น

6. เทคโนโลยีป้องกันทางเกตเวย์แบบรวมศูนย์ (Unified Threat Management) มีประโยชน์กับธุรกิจขนาดเล็ก เพราะผนวกการป้องกันในรูปแบบ Firewall / Gateway, เทคโนโลยีป้องกันข้อมูลขยะ (Spam) การโจมตีของMalware/virus/worm รวมถึงการใช้งานเว็บไซต์ที่ไม่เหมาะสม (Content filtering) รวมอยู่ในอุปกรณ์เดียว

                7. เทคโนโลยีเฝ้าระวังเชิงลึก (Network Forensics) ตรวจจับสิ่งผิดปกติ ที่อาจเกิดขึ้นผ่านระบบเครือข่าย เพื่อใช้ในการพิสูจน์หาหลักฐานทางอิเล็กทรอนิกส์ประกอบการดำเนินคดี

8. เทคโนโลยี Load Balancing Switch สำหรับ Core Network เพื่อใช้ในการป้องกันการสูญหายของข้อมูล (Data loss)

                นอกจากนี้โกลบอลเทคโนโลยีฯ ได้แนะนำ 8 วิธีรู้เท่าทันและไม่ตกเป็นเหยื่อภัยคุกคามสมัยใหม่ดังนี้

                                1.หมั่นดูแลเครื่องคอมพิวเตอร์

                                2.ตั้ง รหัสผ่านที่ยากแก่การคาดเดา

                                3.อย่าไว้วางใจเมื่อเห็นสัญญาณอินเตอร์เน็ตที่ให้ บริการฟรี

                                4.อย่า ไว้วางใจโปรแกรมประเภทที่มีชื่อดึงดูดใจให้ดาวน์โหลดฟรี

                                5.ในแง่บุคคล ควรหมั่นเก็บสำรองข้อมูลใน Storage ส่วนตัว อย่าให้สูญหาย

                                6.ดำเนินชีวิตโดยไม่ยึดติดกับสื่ออิเล็กทรอนิกส์

                                7.ใช้วิจารณญาณไตร่ตรองข้อมูลทางอินเตอร์เน็ต

                                8.มีจริยธรรมในการใช้สื่ออินเตอร์เน็ต

ในเมื่อเรารู้อยู่แล้วว่า เมื่อมีประโยชน์ก็ย่อมมีโทษตามมา และเนื่องจากคอมพิวเตอร์ในปัจจุบันนี้มีการพัฒนาอย่างรวดเร็ว ดังนั้นการที่จะตามศึกษาภัยคุกคามต่างๆให้เป็นปัจจุบันทันด่วนนั้นก็เป็นเรื่องที่เกิดขึ้นได้ยาก แต่ตัวเราจะไม่อยู่ในสภาวะที่เสี่ยงเลยถ้าเรารู้จักวิธีการป้องกันและระมัดระวังวิธีการใช้งานคอมพิวเตอร์และอินเตอร์เน็ตมากขึ้น เพียงเท่านี้เราก็จะไม่เป็นเหยื่อของเหล่าอาชญากรไฮเทคแล้ว

แหล่งที่มา

Chocolate Chip.ระวัง Phishing เว็บไซต์ธนาคารกสิกรไทยปลอม โปรดตรวจสอบให้ดีก่อนใช้บริการ.

[ออนไลน์]. เข้าถึงได้จาก : http://www.magmareport.com/content/585?PHPSESSID=cb980.

(วันที่สืบค้นข้อมูล 24 กรกฎาคม 2553).

Pharming การโจมตีแบบโจมตี Server. [ออนไลน์]. เข้าถึงได้จาก

: http://www.viruscom2.com/malware/pharming.html. (วันที่สืบค้นข้อมูล 25 กรกฎาคม 2553).

Security Revolution Analysis Network. [ออนไลน์]. เข้าถึงได้จาก : http://www.sran.net/archives/18.

                (วันที่สืบค้นข้อมูล 25 กรกฎาคม 2553).

Tung’s blog . Phishing – Yahoo mail. [ออนไลน์]. เข้าถึงได้จาก   

: http://tungblog.atikomtrirat.com/2009/09/phishing-yahoo-mail.html.

 (วันที่สืบค้นข้อมูล 25 กรกฎาคม 2553).

การระบุตัวตนบนระบบเครือข่ายความปลอดภัย. [ออนไลน์]. เข้าถึงได้จาก : 

http://www.manager.co.th/cyberbiz/ViewNews.aspx?NewsID=9510000150706.

(วันที่สืบค้นข้อมูล 24 กรกฎาคม 2553).

การอุดช่องโหว่ของการทำธุรกรรมอิเล็กทรอนิกส์. [ออนไลน์]. เข้าถึงได้จาก : 

http://wiki.nectec.or.th/ru/IT630_1_2008Students/ProtectPharmingAttackE-Commerce.

(วันที่สืบค้นข้อมูล 24 กรกฎาคม 2553).

ขั้นตอนในการบริหารจัดการช่องโหว่ในระบบสารสนเทศเพื่อ การป้องกันระบบ. [ออนไลน์]. เข้าถึงได้จาก

                : http://www.thaiinternetwork.com/content/detail.php?id=0431.

(วันที่สืบค้นข้อมูล 25 กรกฎาคม 2553).

ความรู้ต่างๆเกี่ยวกับ Pharming . [ออนไลน์]. เข้าถึงได้จาก

: http://www.viruscom2.com/malware/other-pharming.html. (วันที่สืบค้นข้อมูล 24 กรกฎาคม 2553).

Assignment1 การเข้ารหัส – ถอดรหัส ความปลอดภัยของสารสนเทศ

การเข้ารหัส – ถอดรหัส ความปลอดภัยของสารสนเทศ
(Encode – Decode for Security of Information)

                สารสนเทศ (information)  เป็นผลลัพธ์ของการประมวลผล การจัดดำเนินการ และการเข้าประเภทข้อมูลโดยการรวมความรู้เข้าไปต่อผู้รับสารสนเทศนั้น สารสนเทศมีความหมายหรือแนวคิดที่กว้าง และหลากหลาย ตั้งแต่การใช้คำว่าสารสนเทศในชีวิตประจำวัน จนถึงความหมายเชิงเทคนิค ตามปกติในภาษาพูด แนวคิดของสารสนเทศใกล้เคียงกับความหมายของการสื่อสาร เงื่อนไข การควบคุม ข้อมูล รูปแบบ คำสั่งปฏิบัติการ ความรู้ ความหมาย สื่อความคิด การรับรู้ และการแทนความหมาย
                ปัจจุบันผู้คนพูดเกี่ยวกับยุคสารสนเทศว่าเป็นยุคที่นำไปสู่ยุคแห่งองค์ความรู้หรือปัญญา นำไปสู่สังคมอุดมปัญญา หรือสังคมแห่งสารสนเทศ และ เทคโนโลยีสารสนเทศ แม้ว่าเมื่อพูดถึงสารสนเทศ เป็นคำที่เกี่ยวข้องในศาสตร์สองสาขา คือ วิทยาการสารสนเทศ และ วิทยาการคอมพิวเตอร์ ซึ่งคำว่า “สารสนเทศ” ก็ถูกใช้บ่อยในความหมายที่หลากหลายและกว้างขวางออกไป และมีการนำไปใช้ในส่วนของ เทคโนโลยีสารสนเทศ และ การประมวลผลสารสนเทศ
                สิ่งที่ได้จากการนำข้อมูลที่เก็บรวบรวมไว้มาประมวลผล เพื่อนำมาใช้ประโยชน์ตามจุดประสงค์ สารสนเทศ จึงหมายถึง ข้อมูลที่ผ่านการเลือกสรรให้เหมาะสมกับการใช้งานให้ทันเวลา และอยู่ในรูปที่ใช้ได้ สารสนเทศที่ดีต้องมาจากข้อมูลที่ดี การจัดเก็บข้อมูลและสารสนเทศจะต้องมีการควบคุมดูแลเป็นอย่างดี เช่น อาจจะมีการกำหนดให้ผู้ใดบ้างเป็นผู้มีสิทธิ์ใช้ข้อมูลได้ ข้อมูลที่เป็นความลับจะต้องมีระบบขั้นตอนการควบคุม กำหนดสิทธิ์ในการแก้ไขหรือการกระทำกับข้อมูลว่าจะกระทำได้โดยใครบ้าง นอกจากนี้ข้อมูลที่เก็บไว้แล้วต้องไม่เกิดการสูญหายหรือถูกทำลายโดยไม่ได้ตั้งใจ การจัดเก็บข้อมูลที่ดี จะต้องมีการกำหนดรูปแบบของข้อมูลให้มีลักษณะง่ายต่อการจัดเก็บ และมีรูปแบบเดียวกัน ข้อมูลแต่ละชุดควรมีความหมายและมีความเป็นอิสระในตัวเอง นอกจากนี้ไม่ควรมีการเก็บข้อมูลซ้ำซ้อนเพราะจะเป็นการสิ้นเปลืองเนื้อที่เก็บข้อมูล               
                ถ้ากล่าวถึงความปลอดภัยของข้อมูลคอมพิวเตอร์ในปัจจุบันนั้น อาจกล่าวได้ว่ามีความเสี่ยงและการเจอกับภัยคุกคามได้หลายประเภท และนับวันยิ่งมีความรุนแรงมากยิ่งขึ้น สังเกตได้จากสถิติของสำนักวิจัยหลายสำนักได้ทำการวิเคราะห์ภัยคุกคามต่างๆ ที่กำลังเป็นปัญหาใหญ่ของผู้ดูแลระบบความปลอดภัยข้อมูลคอมพิวเตอร์ หรือ ผู้จัดการฝ่ายเทคโนโลยีสารสนเทศ ตลอดจนกระทบถึงการปฏิบัติงานขององค์กร เพราะทุกวันนี้ ระบบสารสนเทศ และ เครือข่ายอินเทอร์เน็ตนั้น มีความสำคัญเป็นแกนหลักในการทำธุรกิจและ ธุรกรรมของทุกองค์กรไม่ว่าจะเป็นภาครัฐและเอกชน ดังนั้นถ้าระบบสารสนเทศไม่มีความปลอดภัยที่ดีพอ และ ขาดการจัดการกับปัญหาของระบบได้ไม่ถูกทางหรือไม่ถูกจุด ทำให้ปัญหาต่าง ๆ ยังคงอยู่  การจัดอันดับทิศทางของภัยคุกคามความปลอดภัยข้อมูลคอมพิวเตอร์ มีดังนี้
                1.) ภัย SPAM Email และ Malicious Email content
                เราคงปฏิเสธไม่ได้ว่า Email ได้กลายเป็นส่วนหนึ่งของชีวิตประจำวันในการทำงานไปแล้ว ปัญหาก็คือ พวกผู้ไม่หวังดีได้ใช้ Email เป็นเครื่องมือในการส่งข้อมูลที่มีอันตรายให้กับเราและองค์กร เช่น MalWare หรือ โปรแกรมมุ่งร้ายในรูปแบบต่าง ๆ ไม่ว่าจะมาทาง Attached File หรือมาในรูปแบบของ เนื้อหาล่อลวงใน Email Body จากปี 1997 ปริมาณ SPAM Email เพิ่มขึ้นถึง 10 เท่า และมีแนวโน้มที่จะเพิ่มขึ้นเป็นทวีคูณในปีต่อ ๆ ไป เนื่องจากทุกวันนี้ บรรดา SPAMMER สามารถทำเงินได้จากการส่ง SPAM Email กลายเป็นอาชีพด้านมืดที่ทำรายได้งามให้กับเหล่ามิจฉาชีพ ทางอินเทอร์เน็ต จนทางสหรัฐอเมริกาต้องออกกฎหมาย “CAN SPAM ACT” ขึ้นมาเพื่อต่อต้านเหล่า SPAMMER แต่ก็ยังไม่สามารถ กำจัด SPAM Email ให้หมดไปจากโลกอินเทอร์เน็ตได้
                วิธีการแก้ปัญหาที่ถูกทางก็คือ การใช้ระบบ ANTI-SPAM/ANTI-Virus ที่บริเวณ Internet Gateway หรือ DMZ กรอง SPAM Email ในจุดที่ที่ระบบเรา รับ – ส่ง Email จากอินเทอร์เน็ต และ การใช้ ANTI-SPAM Software ช่วยที่ PC Client เพื่อเป็นการกรอง SPAM MAIL แบบละเอียดอีกชั้นหนึ่ง ตลอดจนพยายามไม่ประกาศ Email เราใน Web board หรือ ในเว็บไซด์ของเราเอง ถ้าต้องการประกาศ Email ให้ผู้อื่นรับทราบให้ใช้วิธีประกาศเป็น รูปภาพ หรือใช้ HTML Characterจะปลอดภัยกว่า การประกาศแสดงเป็น Plain Test ธรรมดา ซึ่งจะทำให้พวก SPAMMER สามารถเข้ามาเก็บ Email ของเรา ไปทำการส่ง SPAM Email ต่อไป โดยใช้โปรแกรม ประเภท BOTNET เช่น Email Harvester Program เป็นต้น
                2.) ภัย SPYWARE
                มีงานวิจัย เรื่อง SPYWARE ได้สรุปว่า 80% ของ PC ทั่วโลกติด SPYWARE และ เครื่อง PC เหล่านั้น ล้วนมีโปรแกรม ANTI-VIRUS แล้วเป็นส่วนใหญ่ ปัญหาก็คือโปรแกรม SPYWARE ไม่ใช่โปรแกรม VIRUS ยกตัวอย่างเช่น โปรแกรมดักคีย์บอร์ด และเก็บหน้าจอการใช้งานคอมพิวเตอร์ ของเราที่ในวงการเรียกว่าโปรแกรม “KEY LOGGER” เป็นโปรแกรม SPYWARE ที่ระบบ ANTI-VIRUS ส่วนใหญ่ มองไม่เห็น และไม่สามารถกำจัด SPYWARE เหล่านี้ออกจากเครื่องคอมพิวเตอร์ของเราได้ เราติดโปรแกรม SPYWARE ก็เพราะ การใช้งานอินเทอร์เน็ตโดยการเข้า Web site ต่าง ๆ โดยไม่ระมัดระวังให้ดีพอ รวมทั้งการ Download ไฟล์ที่มี SPYWARE ติดมาด้วย ตลอดจนการเปิด Email attached file ที่มีโปรแกรม SPYWARE แนบมาด้วย ขณะนี้โปรแกรม SPYWARE สามารถ มาในรูปของ Cookies เวลาเราเข้าเว็บไซด์ที่ไม่เหมาะสม เช่น เว็บภาพลามก หรือ เว็บที่ใช้ในการหา Serial number ของ ซอฟท์แวร์ผิดกฎหมายเป็นต้น บางครั้ง SPYWARE ก็ติดมากับโปรแกรม ประเภท P2P ที่กำลังได้รับความนิยมอยู่ในขณะนี้ ทางแก้ปัญหาก็คือ เราต้องระมัดระวังในการใช้งานอินเทอร์เน็ตให้มากขึ้น ตลอดจน หมั่นใช้โปรแกรม ประเภท Freeware หรือ Shareware เช่น AD-AWARE หรือ SPYBOT Search & Destroy ในการช่วยตรวจสอบระบบ PC ของเราว่าตกเป็นเหยื่อ SPYWARE หรือไม่ ถ้าตรวจพบก็ควรกำจัดออกโดยเร็วจะทำให้เราไม่เสียความเป็นส่วนตัว และ ทำให้ PC ของเราเร็วขึ้น ตลอดจนประหยัด Bandwidth ในการใช้งานเครือข่ายให้แก่องค์กรโดยรวมอีกด้วย
                3.) ภัย Malware (Malicious Software)
                Mal ware คือ Malicious Software หรือ โปรแกรมมุ่งร้ายที่มาในรูปแบบต่าง ๆ ไม่ว่าจะเป็น ActiveX หรือ Java Applet ที่มากับการใช้งาน Internet Browser โดยไม่ได้รับการติดตั้ง Patch หรืออาจมาในรูปของ Attached File ที่อยู่ใน Email ตลอดจนแฝงมากับโปรแกรม Shareware หรือ โปรแกรม Utility หรือ โปรแกรม P2P ที่เรานิยมใช้ในการ Download เพลง หรือ ภาพยนตร์ ผ่านทางอินเทอร์เน็ต โปรแกรม Mal ware อาจจะเป็น SPYWARE, Trojan Horse, Key logger หรือ Viruses และ Worm ที่เรารู้จักกันดี ในช่วงหลัง ๆ ไวรัสคอมพิวเตอร์มักจะมากับ Email โดยมักจะมาในรูป Zip File และ มีการปลอมแปลง ชื่อผู้ส่ง ปลอมแปลง Email Subject เป็นส่วนใหญ่ เทคนิคการหลอกผู้ใช้ Email ให้หลงเชื่อที่เราเรียกว่า “Social Engineering” เป็นวิธีการเก่าแก่ที่ผู้ไม่หวังดีนิยมใช้เป็นประจำ ทางแก้ปัญหานอกจากจะใช้โปรแกรม ANTI-VIRUS และ ANTI-MalWare แล้วยังควรจะต้องฝึกอบรม “Information Security Awareness Training” ให้กับผู้ใช้งานคอมพิวเตอร์อีกด้วยโดยเฉพาะกลุ่มผู้ใช้คอมพิวเตอร์ที่ไม่ใช่คนไอที (Non-IT people) เพื่อให้ ผู้บริหาร หรือ ผู้ใช้งานคอมพิวเตอร์ทั่วไปมีความเข้าใจถึงวิธีการหลอกลวงของผู้ไม่หวังดี และ เพื่อให้รู้เท่าทันไม่ตกเป็นเหยื่อของผู้ไม่หวังดี เพราะ การหวังพึ่งโปรแกรม ANTI-VIRUS โดยการหมั่น Update Virus Signature หรือ VIRUS Pattern ดังนั้นไม่เพียงพอเสียแล้ว เพราะ ไวรัสตัวใหม่ ๆ สามารถสั่งปิดการทำงานของโปรแกรม ANTI-VIRUS ได้และยังมีไวรัสใหม่ ๆ ที่ออกมาโดยที่โปรแกรม ANTI-VIRUS ยังไม่มี Signature หรือ Pattern ที่เราเรียกว่า ZERO-DAY ATTACK หรือ VIRUS Outbreak ดังนั้น การฝึกอบรมให้ผู้ใช้คอมพิวเตอร์มีความตระหนัก และ ความเข้าใจ จึงเป็นหนทางที่ไม่อาจถูกมองข้ามได้ในสถานการณ์การแพร่ระบาดไวรัสในขณะนี้และในอนาคต
                4.) ภัยจากการล่อลวงโดยวิธี Phishing และ Pharming
                “Phishing” นั้นอ่านออกเสียงว่า “Fishing” หมายถึง การตกปลา เราอาจตกเป็นเหยื่อ ของการตกปลา ถ้าเราเผลอ ไปกับเหยื่อที่เหล่า “Phisher” หรือผู้ไม่หวังดีล่อไว้ วิธีการของผู้ไม่หวังดีก็คือการส่ง Email ปลอมแปลง ชื่อคนส่ง และ ชื่อเรื่อง (Email address & Email subject) ตลอดจนปลอมแปลงเนื้อหาใน Email ให้ดูเหมือนจริงเช่น ส่ง Email มาบอกเราว่า มาจากธนาคารที่เราติดต่ออยู่เป็นประจำแล้วบอกให้เรา Login เข้าใช้งาน Internet Banking โดยจะทำ Link มาล่อให้เรา Click ถ้าเราเผลอ Click โดยไม่ระมัดระวัง เราก็จะเข้าไปติดกับดักที่ Phisher วางไว้ โดยทำการจำลองเว็บไซด์ของธนาคารให้ดูเหมือนจริง แต่จริง ๆ เป็นเว็บของผู้ไม่หวังดีเอาไว้ดักจับ User Name และ Password ของเราจากนั้น Phisher จะเอา จับ User Name และ Password ของเราเข้าไป Login ใช้งานในเว็บไซด์จริงของธนาคาร และ ทำการโอนเงิน หรือ ชำระเงินค่าสาธารณูปโภค เช่น ค่าน้ำ, ค่าไฟ, ค่าโทรศัพท์, ค่า UBC หรือ ค่าเล่าเรียน โดยที่เราต้องเป็นผู้รับผิดชอบค่าใช้จ่ายทั้งหมด ธนาคารคงไม่สามารถรับใช้แทนเราได้เพราะเราเป็นคนบอก User Name และ Password ให้กับผู้ไม่หวังดีเสียเอง เป็นต้น
                ทางแก้ปัญหาคือเราต้องมีสติและคอยระมัดระวัง Email ประเภทนี้ บางครั้ง Email เหล่านั้น อาจมาในรูปของ Trojan Program ที่เข้ามาแก้ไขไฟล์ HOSTS ในเครื่องเราให้ Redirect ไปยังเว็บของผู้ไม่หวังดีโดยตรงเลยก็มี วิธีการแบบนี้ รวมทั้งการ Hijack DNS Server เราเรียกว่าวิธีการ “Pharming” ซึ่งกำลังได้รับความนิยมเพิ่มขึ้น รายละเอียด เพิ่มเติม เข้าไปดูได้ที่ Website http://www.antiphishing.org.
                5.) ภัยจาก Hacker และ Google Hacking Method
                ปัจจุบันการ Hack ไปยัง Web Application ดังที่ได้เห็นสถิติจาก Web Site “www.zone-h.org” นั้นได้มีการเปลี่ยนแปลงรูปแบบไปแล้ว โดยมีการอาศัย Google.com เป็นช่องทางค้นหา Web ที่มีช่องโหว่ซึ่งสามารถ hack ได้โดยง่าย จากนั้นจึง Hack ตามวิธีการปกติ และเนื่องจาก Google hacking นั้นจะเป็นการ hacking แบบไม่เลือกเหยื่อ ดังนั้นทุก Web ที่มีช่องโหว่ที่ Google เห็น จึงล้วนแล้วแต่มีโอกาสถูก hack เท่าๆกันทั้งสิ้น
                คำหลักที่ใช้พิมพ์ใส่ใน Google นั้นบางคำสั่งสามารถทำให้ทราบ Username และ Password ของเหยื่อได้โดยตรงเช่น “filetype:pwd service” และ “inurl:password.log filetype:log” สำหรับวิธีการป้องกันนั้นมีวิธีเดียวคือการทำ “Secure Coding” เป็นการเขียนโปรแกรมอย่างปลอดภัย ซึ่งสามารถศึกษา Guide line ได้จาก “www.owasp.org” โดยปรับมาใช้ทั้งในส่วนของ Web Application , Web Server และ Operation System
                6.) ภัยจากโปรแกรม “Peer-to-Peer” (P2P)
                เป็นภัยซึ่งเกิดจาก End User เป็นหลัก เนื่องจากโปรแกรมประเภทนี้นั้นจะให้ประโยชน์กับเรื่องส่วนตัวของ End User เช่น การใช้โปรแกรม KAZAA เพื่อดาวน์โหลด หนัง และ เพลง แบบผิดกฎหมาย หรือใช้โปรแกรม SKYPE ในการพูดคุยสื่อสารแทนการใช้โทรศัพท์ ซึ่งการใช้โปรแกรมดังกล่าวนั้นจะนำภัยสองประเภทมาสู่องค์กร ได้แก่
                – การสิ้นเปลือง Bandwidth เครือข่ายขององค์กร – ปัญหานี้เกิดขึ้นเนื่องจากการใช้ Bandwidth จำนวนมาก เช่นโปรแกรม KAZAA นั้นเป็นการดาวน์ โหลดข้อมูลเถื่อน (illegal software) จากเครื่อง PC อื่นๆทั่วโลก หรือโปรแกรม SKYPE ซึ่งใช้เป็นโทรศัพท์ผ่านอินเทอร์เน็ต
                – สร้างปัญหาด้าน Confidentiality – เคยพบว่ามีช่องโหว่บน KAZAA ซึ่งทำให้ Hacker สามารถเจาะมายัง Harddisk ของคนทั้งโลกที่ติดตั้งโปรแกรม KAZAA ได้ ซึ่งแน่นอนว่าจะทำให้ข้อมูลสำคัญขององค์กรหลุดรั่วไปยังมือของผู้ไม่ประสงค์ดีได้
                การแก้ปัญหาสามารถทำได้โดยที่องค์กรควรจะ Implement Preventive Control โดยใช้โปรแกรมประเภท Desktop Management หรือ ANTI-MalWare ซึ่งสามารถควบคุมพฤติกรรมการใช้งานคอมพิวเตอร์ของ End User รวมถึงการติดตั้งและใช้โปรแกรมต่างๆบนเครื่อง และอาจใช้โปรแกรมด้าน Network Monitoring เฝ้าระวังเครือข่ายเพิ่มเติม เพื่อเป็น Detective Control ให้กับองค์กรด้วย
                7.) ภัยจาก Wireless Network Threat
                การติดตั้ง Wireless Network นั้นเป็นเรื่องที่ค่อนข้างอันตรายเนื่องมาจากโครงสร้างของ wireless network นั้นออกแบบมาอย่างไม่ปลอดภัย อีกทั้งเทคโนโลยีด้านนี้นั้นยังไร้ Boundary สามารถขยายไปยังภายนอกองค์กรได้อีกด้วย
                อีกทั้งในปัจจุบันผู้ที่นำเทคโนโลยีด้านนี้มาใช้นั้นยังมีความรู้ในการใช้เทคโนโลยีนี้อย่างปลอดภัยน้อยมาก ซึ่งจากการสำรวจการใช้งาน Wireless Network ในกรุงเทพนั้น พบว่าองค์กรที่มีการป้องกัน Wireless Network โดยใช้เทคโนโลยี WEP นั้นยังมีจำนวนไม่มากนักดังที่แสดงด้านล่าง

บริเวณที่ตรวจสอบ                                                Open Node            Closed Node         WEP node             ทั้งหมด
                ถนนวิทยุฝั่งตะวันออก                                                     7                                      35                          10                            52
                ถนนนราธิวาศ                                                               8                                        8                            6                             22
                ถนนวิทยุฝั่งสวนลุมพินี                                                   34                                    44                          48                          126
 
                8.) ภัย SPIM (SPAM Instant Messaging)
                SPIM นั้นคือ SPAM ที่ใช้ช่องทาง IM (Instant Messaging) ในการกระจาย Malicious Code โดยผู้ที่เป็น SPIMMER นั้นจะใช้ BOT เพื่อค้นหาชื่อของคนที่ใช้โปรแกรม IM อยู่ จากนั้นจึงใช้ BOT แสดงคำพูดเพื่อให้เหยื่อ เข้าใจว่าเป็นมนุษย์ จากนั้นจึงส่ง โฆษณา ข้อมูลหลอกลวง ลิงค์เวปไซท์ หรือแม้แต่ Spyware และ Malware ต่างๆ ให้กับเหยื่อ
                การป้องกันสามารถทำได้ดังนี้

–  สำหรับ Yahoo Messenger, ให้คลิกไปที่ Messenger -> Preferences -> Ignore List และเลือกที่ช่อง “Ignore anyone who is not on my Messenger List
                – สำหรับ AOL’s Instant Messenger, หรือ AIM, ให้คลิกไปที่ My AIM -> Edit Options -> Edit Preferences -> Privacy และเลือกที่ช่อง “Allow only users on my buddy list
                – สำหรับ MSN Messenger, ให้คลิกไปที่ Tools -> Options -> Privacy และเลือกที่ช่อง “Only people on my Allow List can see my status and send me messages
                – สำหรับ BitWise IM, ให้คลิกไปที่ Preferences -> Server / Contact List -> และเลือกที่ช่อง “Whitelist
                9.) ภัย   Virus  และ  Worm
                Virus และ Worm นั้นเป็นปัญหาซึ่งเกิดขึ้นพร้อมกับ internet มาโดยตลอด เป็นการเจาะระบบโดยอาศัยช่องโหว่ของ OS network และ Application และ แนวโน้มของการเกิด Vulnerability นั้นก็มีเพิ่มขึ้นเรื่อยๆอย่างต่อเนื่อง จากการวิจัยพบว่าในปัจจุบันการกระจายของ Worm ในปัจจุบันนั้นใช้เวลาในระดับนาที แต่มีการคาดการณ์ว่าในอนาคตจะมีระดับเป็นหน่วยวินาที
                10.) ภัย PDA Malware
                ข้อมูลใน PDA สามารถที่จะเป็นพาหะของ viruses, worms, dialers, Trojan horses และ Malicious Mobile Code ต่างๆ ได้เหมือนกับข้อมูลที่อยู่ในเครื่อง PC โดยจากผลสำรวจการใช้งาน PDA ของนักธุรกิจในสหรัฐอเมริกาโดยมหาวิทยาลัย Pepperdine University เมื่อปี 2004 พบว่า ครึ่งหนึ่งของจำนวนผู้ที่ถูกสำรวจไม่มีการใช้โปรแกรม หรือ ลงโปรแกรมใดๆ ที่เกี่ยวข้องกับการรักษาความปลอดภัยของข้อมูลบน PDA เลย ซึ่ง 81 เปอร์เซ็นของผู้ที่ถูกสำรวจยังบอกด้วยว่าพวกเขาบันทึกข้อมูลที่มีคุณค่าหรือความสำคัญมากใน PDA
                ข้างต้นเป็นภัยคุกคามที่อาจเกิดขึ้นกับข้อมูลคอมพิวเตอร์ ซึ่งสามารถแบ่งการจัดการความปลอดภัยของสารสนเทศได้ 3 หมวดคือ Physical Security, Access Control และ Encryption
                1.)  Physical Security
                Physical  Security  เป็นการรักษาความปลอดภัยของข้อมูล โดยการเลือกใช้สื่อที่ มีความมั่นคง ตั้งแต่การเลือกใช้ Hardware device ต่างๆ ไปจนกระทั่งการดูแลศูนย์กลาง ของการจัดเก็บข้อมูลให้มีความปลอดภัยมั่นคง
                2.)  Access Control
                Access  Control  เป็นการกำหนดกฎเกณฑ์ในการเข้าถึงข้อมูลสารสนเทศ เช่น ใครเป็นผู้ใช้งาน ใช้งานได้แค่ไหน ใช้งานอย่างไร สารสนเทศมีการปรับแก้โดยใคร และ ปรับแก้อย่างไรบ้าง
                3.) Encryption
                Encryption เป็นการป้องกันการใช้งานโดยปรับเปลี่ยนข้อมูลให้เป็นข้อความที่อ่านไม่รู้เรื่อง (cipher-text) และมีการถอดรหัส (description) ให้เป็นข้อมูลที่อ่านได้
                ในที่นี้จะขอกล่าวถึงวิธีการรักษาความปลอดภัยของสารสนเทศด้วยการ การเข้ารหัส และ ถอดรหัส (Encoder and Decoder) ซึ่งเป็นอีกวิธีหนึ่งที่ได้รับความนิยมและได้ผลดีเป็นอย่างมาก ซึ่งได้ทำการค้นคว้าและรวบรวมข้อมูล ในเรื่องของการเข้ารหัส และ ถอดรหัส เพื่อการรักษาความปลอดภัยของสารสนเทศดังต่อไปนี้

การเข้ารหัสข้อมูล ( Encryption )และ การถอดรหัส(Decryption)
                คือการที่ข้อมูลตั้งต้นจะถูกแปรเปลี่ยนไปสู่ข้อมูลหรือข้อความอีกรูปแบบหนึ่งที่ไม่สามารถอ่านเข้าใจได้โดยใครก็ตามที่ไม่มีกุญแจสำหรับเปิดดูข้อมูลนั้น เราเรียกกระบวนการในการแปรรูปของข้อมูลตั้งต้นว่า “การเข้ารหัสข้อมูล” และกระบวนการในการแปลงข้อความที่ไม่สามารถอ่าน และทำความเข้าใจให้กลับไปสู่ข้อความดั้งเดิมว่า “การถอดรหัสข้อมูล”
 การเข้ารหัสข้อมูล (Cryptography)
                การเข้ารหัสข้อมูลโดยพื้นฐานแล้วจะเกี่ยวข้องกับวิธีการทางคณิตศาสตร์เพื่อใช้ในการป้องกันข้อมูลหรือข้อความตั้งต้นที่ต้องการส่งไปถึงผู้รับ ข้อมูลตั้งต้นจะถูกแปรเปลี่ยนไปสู่ข้อมูลหรือข้อความอีกรูปแบบหนึ่งที่ไม่สามารถอ่านเข้าใจ
 จุดประสงค์ของการเข้ารหัสข้อมูล

1. การรักษาความลับของข้อมูล (Confidentiality) โดยที่ข้อมูลนั้นจะถูกเปิดเผยต่อบุคคลที่ได้รับอนุญาตเท่านั้น เพื่อป้องกันไม่ให้ผู้ที่ไม่มีสิทธิ์ในการเข้าถึงข้อมูลสามารถเข้าถึงข้อมูลได้  

2. การทำให้ข้อมูลสามารถตรวจสอบความสมบูรณ์ได้ (Integrity) เพื่อป้องกันข้อมูลให้อยู่ในสภาพเดิมอย่างสมบูรณ์ กล่าวคือ ในกระบวนการสื่อสารนั้นผู้รับ (Receiver) ได้รับข้อมูลที่ถูกต้องตามที่ผู้ส่ง (Sender) ส่งมาให้โดยข้อมูลจะต้องไม่มีการสูญหายหรือถูกเปลี่ยนแปลงแก้ไขใดๆ

3. การทำให้สามารถพิสูจน์ตัวตนของผู้ส่งข้อมูลได้ (Authentication/Nonrepudiation) เพื่อให้สามารถตรวจสอบได้ว่าใครคือผู้ส่งข้อมูล หรือในทางตรงกันข้าม ก็คือเพื่อป้องกันการแอบอ้างได้

ขั้นตอนในการเข้ารหัส

1. ข้อมูลที่สามารถอ่านได้ เรียกว่า Clear Text ซึ่งเป็นข้อความที่เราต้องการส่งออกไปโดยผ่านระบบเครือข่ายคอมพิวเตอร์ แต่เนื่องจากว่าในระบบเครือข่ายคอมพิวเตอร์นั้น เราไม่สามารถจะทำการรับรองความปลอดภัยของข้อมูลได้ เพราะหากมีการขโมยข้อมูลระหว่างทำการส่งแล้ว ก็จะทำให้เกิดความเสียหายได้ วิธีแก้คือ ทำให้ข้อมูลที่เป็นความลับนั้นไม่สามารถจะอ่านออกได้ เรียกว่า Cipher Text เฉพาะในตอนที่ทำการส่งข้อความนั้นๆ กระบวนการเปลี่ยนข้อความเช่นนี้เรียกว่า การทำ Encryption ซึ่งต้องอาศัย Encryption Key

2. เมื่อเสร็จสิ้นการเข้ารหัสแล้วผลที่ได้คือ Cipher Text ซึ่งจะถูกส่งออกไปยังระบบเครือข่ายเพื่อส่งต่อไปยังจุดหมายปลายทางต่อไป และหากในระหว่างการส่งนั้นข้อมูลถูกขโมยไป ก็จะไม่สามารถอ่านและเข้าใจเป็นข้อความได้เพราะในการอ่านข้อความ Cipher Text นั้นจะต้องใช้อีกขั้นตอนคือ การถอดรหัส Decryption

 

ภาพที่ 1 ขั้นตอนการเข้ารหัส

 กระบวนการเข้ารหัสและถอดรหัส ( Cryptography )

ภาพที่ 2 การถอดรหัสและเข้ารหัส

                กระบวนการเข้ารหัสและถอดรหัสนี้เรียกว่า Cryptography ซึ่งหมายถึง ศาสตร์การรักษาความลับของข้อความโดยใช้วิธีการเข้ารหัส และกระบวนการที่ตรงกันข้ามกับการรักษาความลับนั้นคือ ศาสตร์ของการขโมยความลับ ที่เรียกว่า Cryptanalysis บางครั้งเรียกกระบวนการนี้ว่าการทำลายการเข้ารหัสของข้อมูล หรือเรียกว่า การ Break Encryption

อัลกอริทึมในการเข้ารหัสข้อมูลมี 2 ประเภทหลัก คือ

ภาพที่ 3 ภาพเปรียบเทียบกระบวนการเข้ารหัสข้อมูล 2 ประเภท

                1. อัลกอริทึมแบบสมมาตร (Symmetric key algorithms)
                อัลกอริทึมแบบนี้จะใช้กุญแจที่เรียกว่า กุญแจลับ (Secret key) ซึ่งมีเพียงหนึ่งเดียวเพื่อใช้ในการเข้าและถอดรหัสข้อความที่ส่งไป อัลกอริทึมยังสามารถแบ่งย่อยออกเป็น 2 ประเภท ได้แก่ แบบบล็อค (Block Algorithms) ซึ่งจะทำการเข้ารหัสทีละบล็อค (1 บล็อคประกอบด้วยหลายไบต์ เช่น 64 ไบต์ เป็นต้น) และแบบสตรีม (Stream Algorithms) ซึ่งจะทำการเข้ารหัสทีละไบต์อัลกอริทึมแบบนี้จะใช้กุญแจที่เรียกว่า กุญแจลับ (Secret key) ซึ่งมีเพียงหนึ่งเดียวเพื่อใช้ในการเข้าและถอดรหัสข้อความที่ส่งไป อัลกอริทึมยังสามารถแบ่งย่อยออกเป็น 2 ประเภท ได้แก่ แบบบล็อค (Block Algorithms) ซึ่งจะทำการเข้ารหัสทีละบล็อค (1 บล็อคประกอบด้วยหลายไบต์ เช่น 64 ไบต์ เป็นต้น) และแบบสตรีม (Stream Algorithms) ซึ่งจะทำการเข้ารหัสทีละไบต์

                อัลกอริทึมสำหรับการเข้ารหัสแบบสมมาตรในปัจจุบันมีเป็นจำนวนมาก ข้างล่างนี้จะนำเสนอเพียงจำนวนหนึ่งซึ่งเป็นอัลกอริทึมที่เป็นที่รู้จักกันดีในวงการของการเข้ารหัสข้อมูล

อัลกอริทึม DES

DES ย่อมาจาก Data Encryption Standard อัลกอริทึมนี้ได้รับการรับรองโดยรัฐบาลสหรัฐอเมริกาในปี ค.ศ. 1977 ให้เป็นมาตรฐานการเข้ารหัสข้อมูลสำหรับหน่วยงานของรัฐทั้งหมด ในปี 1981 อัลกอริทึมยังได้รับการกำหนดให้เป็นมาตรฐานการเข้ารหัสข้อมูลในระดับนานาชาติตามมาตรฐาน ANSI (American National Standards) อีกด้วย
                DES เป็นอัลกอริทึมแบบบล็อกซึ่งใช้กุญแจที่มีขนาดความยาว 56 บิตและเป็นอัลกอริทึมที่มีความแข็งแกร่ง แต่เนื่องด้วยขนาดความยาวของกุญแจที่มีขนาดเพียง 56 บิต ซึ่งในปัจจุบันถือได้ว่าสั้นเกินไป ผู้บุกรุกอาจใช้วิธีการลองผิดลองถูกเพื่อค้นหากุญแจที่ถูกต้องสำหรับการถอดรหัสได้
                ในปี 1998 ได้มีการสร้างเครื่องคอมพิวเตอร์พิเศษขึ้นมาซึ่งมีมูลค่า 250,000 เหรียญสหรัฐ เพื่อใช้ในการค้นหากุญแจที่ถูกต้องของการเข้ารหัสข้อมูลหนึ่งๆ ด้วย DES และพบว่าเครื่องคอมพิวเตอร์นี้สามารถค้นหากุญแจที่ถูกต้องได้ภายในระยะเวลาไม่ถึงหนึ่งวัน

                อัลกอริทึม Triple-DES

                Triple-DES เป็นอัลกอริทึมที่เสริมความปลอดภัยของ DES ให้มีความแข็งแกร่งมากขึ้นโดยใช้อัลกอริทึม DES เป็นจำนวนสามครั้งเพื่อทำการเข้ารหัส แต่ละครั้งจะใช้กุญแจในการเข้ารหัสที่แตกต่างกัน ดังนั้นจึงเปรียบเสมือนการใช้กุญแจเข้ารหัสที่มีความยาวเท่ากับ 56*3 = 168 บิต Triple-DES ได้ถูก ใช้งานกับสถาบันทางการเงินอย่างแพร่หลาย รวมทั้งใช้งานกับโปรแกรม Secure Shell (ssh) ด้วย

                การใช้อัลกอริทึม DES เพื่อเข้ารหัสเป็นจำนวนสองครั้งด้วยกุญแจสองตัว (56*2=112 บิต) ยังถือได้ว่าไม่ปลอดภัยอย่างพอเพียง

                อัลกอริทึม Blowfish

                Blowfish เป็นอัลกอริทึมที่มีความรวดเร็วในการทำงาน มีขนาดเล็กกระทัดรัด และใช้การเข้ารหัสแบบบล็อค ผู้พัฒนาคือ Bruce Schneier อัลกอริทึมสามารถใช้กุญแจที่มีขนาดความยาวตั้งแต่ไม่มากนักไปจนถึงขนาด 448 บิต ซึ่งทำให้เกิดความยืดหยุ่นสูงในการเลือกใช้กุญแจ รวมทั้งอัลกอริทึมยังได้รับการออกแบบมาให้ทำงานอย่างเหมาะสมกับหน่วยประมวลผลขนาด 32 หรือ 64 บิต Blowfish ได้เปิดเผยสู่สาธารณะและไม่ได้มีการจดสิทธิบัตรใดๆ นอกจากนั้นยังใช้ในโปรแกรม SSH และอื่นๆ

                อัลกอริทึม IDEA

                IDEA ย่อมาจาก International Data Encryption Algorithm อัลกอริทึมนี้ได้รับการพัฒนาในประเทศสวิสเซอร์แลนด์ที่เมือง Zarich โดย James L. Massey และ Xuejia Lai และได้รับการตีพิมพ์เผยแพร่ในปี ค.ศ. 1990 อัลกอริทึมใช้กุญแจที่มีขนาด 128 บิต และได้รับการใช้งานกับโปรแกรมยอดฮิตสำหรับการเข้ารหัสและลงลายมือชื่ออิเล็กทรอนิกส์ในระบบอีเมล์ที่มีชื่อว่า PGP ต่อมา IDEA ได้รับการจดสิทธิบัตรทางด้านซอฟต์แวร์โดยบริษัท Ascom-Tech AG ในประเทศสวิสเซอร์แลนด์ ซึ่งทำให้การนำไปใช้ในงานต่างๆ เริ่มลดลง ทั้งนี้เนื่องจากติดปัญหาเรื่องลิขสิทธิ์นั่นเอง

                อัลกอริทึม RC4

                อัลกอริทึมนี้เป็นอัลกอริทึมแบบสตรีม (ทำงานกับข้อมูลทีละไบต์) ซึ่งได้รับการพัฒนาขึ้นมาโดย Ronald Riverst และถูกเก็บเป็นความลับทางการค้าโดยบริษัท RSA Data Security ในภายหลังอัลกอริทึมนี้ได้รับการเปิดเผยใน Usenet เมื่อปี ค.ศ. 1994 และเป็นที่ทราบกันว่าเป็นอัลกอริทึมที่มีความแข็งแกร่งโดยสามารถใช้ขนาดความยาวของกุญแจที่มีขนาดตั้งแต่ 1 บิตไปจนกระทั่งถึงขนาด 2048 บิต

อัลกอริทึม Rijndael (หรืออัลกอริทึม AES)

                อัลกอริทึมนี้ได้รับการพัฒนาโดย Joan Daemen และ Vincent Rijmen ในปี 2000 อัลกอริทึมได้รับการคัดเลือกโดยหน่วยงาน National Institute of Standard and Technology (NIST) ของสหรัฐอเมริกาให้เป็นมาตรฐานในการเข้ารหัสชั้นสูงของประเทศ อัลกอริทึมมีความเร็วสูงและมีขนาดกะทัดรัดโดยสามารถใช้กุญแจที่มีความยาวขนาด 128, 192 และ 256 บิต

อัลกอริทึม One-time Pads

                อัลกอริทึมนี้ได้รับการยอมรับว่าเป็นอัลกอริทึมที่ไม่มีใครสามารถเจาะความแข็งแกร่งของอัลกอริทึมได้ อัลกอริทึมใช้กุญแจที่มีขนาดความยาวซึ่งอาจจะมากกว่าขนาดความยาวของข้อความที่ต้องการเข้ารหัส กุญแจจะถูกสร้างออกมาแบบสุ่มและโดยปกติจะถูกใช้งานแค่เพียงครั้งเดียวแล้วทิ้งไป แต่ละไบต์ของข้อความที่ต้องการส่งไปจะถูกเข้าและถอดรหัสโดยหนึ่งไบต์ (ชนิดไบต์ต่อไบต์) ของกุญแจที่ถูกสร้างขึ้นมาใช้งาน เนื่องจากกุญแจที่ถูกใช้งานแต่ละครั้งจะไม่ซ้ำกันและถูกสร้างขึ้นมาแบบสุ่ม จึงเป็นการยากที่จะค้นหากุญแจที่ถูกต้องได้

ข้อจำกัดของอัลกอริทึมนี้ คือขนาดของกุญแจที่อาจมีขนาดยาวกว่าข้อความที่ต้องการส่ง ซึ่งส่งผลให้การส่งมอบกุญแจที่มีขนาดใหญ่ทำได้ไม่สะดวกนัก รวมทั้งการสร้างกุญแจให้มีความสุ่มสูงไม่ใช่เป็นสิ่งที่ทำได้ง่ายนัก อย่างไรก็ตามอัลกอริทึมนี้ก็ยังมีการใช้งานในระบบเครือข่ายที่ต้องการความปลอดภัยสูง

                2. อัลกอริทึมแบบอสมมาตร (Asymmetric key algorithms)
                อัลกอริทึมนี้จะใช้กุญแจสองตัวเพื่อทำงาน ตัวหนึ่งใช้ในการเข้ารหัสและอีกตัวหนึ่งใช้ในการถอดรหัสข้อมูลที่เข้ารหัสมาโดยกุญแจตัวแรก อัลกอริทึมกลุ่มสำคัญในแบบอสมมาตรนี้คือ อัลกอริทึมแบบกุญแจสาธารณะ (Public keys Algorithms) ซึ่งใช้กุญแจที่เรียกกันว่า กุญแจสาธารณะ (Public keys) ในการเข้ารหัสและใช้กุญแจที่เรียกกันว่า กุญแจส่วนตัว (Private keys) ในการถอดรหัสข้อมูลนั้น กุญแจสาธารณะนี้สามารถส่งมอบให้กับผู้อื่นได้ เช่น เพื่อนร่วมงานที่เราต้องการติดต่อด้วย หรือแม้กระทั่งวางไว้บนเว็บไซต์เพื่อให้ผู้อื่นสามารถดาวน์โหลดไปใช้งานได้ สำหรับกุญแจส่วนตัวนั้นต้องเก็บไว้กับผู้เป็นเจ้าของกุญแจส่วนตัวเท่านั้นและห้ามเปิดเผยให้ผู้อื่นทราบโดยเด็ดขาด
                อัลกอริทึมแบบกุญแจสาธารณะยังสามารถประยุกต์ใช้ได้กับการลงลายมือชื่ออิเล็กทรอนิกส์ (ซึ่งเปรียบเสมือนการลงลายมือชื่อของเราที่ใช้กับเอกสารสำนักงานทั่วไป) การลงลายมือชื่อนี้จะเป็นการพิสูจน์ความเป็นเจ้าของและสามารถใช้ได้กับการทำธุรกรรมต่างๆ บนอินเทอร์เน็ต เช่น การซื้อสินค้า เป็นต้น วิธีการใช้งานคือ ผู้เป็นเจ้าของกุญแจส่วนตัวลงลายมือชื่อของตนกับข้อความที่ต้องการส่งไปด้วยกุญแจส่วนตัว แล้วจึงส่งข้อความนั้นไปให้กับผู้รับ เมื่อได้รับข้อความที่ลงลายมือชื่อมา ผู้รับสามารถใช้กุญแจสาธารณะ (ที่เป็นคู่ของกุญแจส่วนตัวนั้น) เพื่อตรวจสอบว่าเป็นข้อความที่มาจากผู้ส่งนั้นหรือไม่

                อัลกอริทึมแบบกุญแจสาธารณะ แบ่งตามลักษณะการใช้งานได้เป็น 2 ประเภท คือ

·         ใช้สำหรับการเข้ารหัส

·         ใช้สำหรับการลงลายมือชื่ออิเล็กทรอนิกส์

                อัลกอริทึมที่เป็นที่รู้จักกันดีมีดังนี้

                อัลกอริทึม RSA

                อัลกอริทึม RSA ได้รับการพัฒนาขึ้นที่มหาวิทยาลัย MIT ในปี 1977 โดยศาสตราจารย์ 3 คน ซึ่งประกอบด้วย Ronald Rivest, Adi Shamir และ Leonard Adleman ชื่อของอัลกอริทึมได้รับการตั้งชื่อตามตัวอักษรตัวแรกของนามสกุลของศาสตราจารย์ทั้งสามคน อัลกอริทึมนี้สามารถใช้ในการเข้ารหัสข้อมูลรวมทั้งการลงลายมือชื่ออิเล็กทรอนิกส์ด้วย

อัลกอริทึม DSS

                DSS ย่อมาจาก Digital Signature Standard อัลกอริทึมนี้ได้รับการพัฒนาขึ้นมาโดย National Security Agency ในประเทศสหรัฐอเมริกาและได้รับการรับรองโดย NIST ให้เป็นมาตรฐานกลางสำหรับการลงลายมือชื่ออิเล็กทรอนิกส์ในประเทศสหรัฐอเมริกา

                อัลกอริทึมสำหรับสร้างเมสเซสไดเจสต์

                เมสเซสไดเจสต์ (Message Digest) หรือเรียกสั้นๆ ว่าไดเจสต์ แปลว่าข้อความสรุปจากเนื้อหาข้อความตั้งต้น โดยปกติข้อความสรุปจะมีความยาวน้อยกว่าความยาวของข้อความตั้งต้นมาก จุดประสงค์สำคัญของอัลกอริทึมนี้คือ การสร้างข้อความสรุปที่สามารถใช้เป็นตัวแทนของข้อความตั้งต้นได้ โดยทั่วไปข้อความสรุปจะมีความยาวอยู่ระหว่าง 128 ถึง 256 บิต และจะไม่ขึ้นกับขนาดความยาวของข้อความตั้งต้น คุณสมบัติที่สำคัญของอัลกอริทึมสำหรับสร้างไดเจสต์มีดังนี้

·         ทุกๆ บิตของไดเจสต์จะขึ้นอยู่กับทุกบิตของข้อความตั้งต้น

·         ถ้าบิตใดบิตหนึ่งของข้อความตั้งต้นเกิดการเปลี่ยนแปลง เช่น ถูกแก้ไข ทุกๆ บิตของไดเจสต์จะมีโอกาสร้อยละ 50 ที่จะแปรเปลี่ยนค่าไปด้วย ซึ่งหมายถึงว่า 0 เปลี่ยนค่าเป็น 1 และ 1 เปลี่ยนเป็น 0

คุณสมบัติข้อนี้สามารถอธิบายได้ว่าการเปลี่ยนแปลงแก้ไขข้อความตั้งต้นโดยผู้ไม่ประสงค์ดีแม้ว่าอาจแก้ไขเพียงเล็กน้อยก็ตาม เช่น เพียง 1 บิตเท่านั้น ก็จะส่งผลให้ผู้รับข้อความทราบว่าข้อความที่ตนได้รับไม่ใช่ข้อความตั้งต้น (โดยการนำข้อความที่ตนได้รับเข้าอัลกอริทึมเพื่อทำการคำนวณหาไดเจสต์ออกมา แล้วจึงเปรียบเทียบไดเจสต์ที่คำนวณได้กับไดเจสต์ที่ส่งมาให้ด้วย ถ้าต่างกัน แสดงว่าข้อความที่ได้รับนั้นถูกเปลี่ยนแปลงแก้ไข)

·         โอกาสที่ข้อความตั้งต้น 2 ข้อความใดๆ ที่มีความแตกต่างกัน จะสามารถคำนวณได้ค่าไดเจสต์เดียวกันมีโอกาสน้อยมาก
คุณสมบัติข้อนี้ทำให้แน่ใจได้ว่า เมื่อผู้ไม่ประสงค์ดีทำการแก้ไขข้อความตั้งต้น ผู้รับข้อความที่ถูกแก้ไขไปแล้วนั้นจะสามารถตรวจพบได้ถึงความผิดปกติที่เกิดขึ้นอย่างแน่นอน
อย่างไรก็ตามในทางทฤษฎีแล้ว มีโอกาสที่ข้อความ 2 ข้อความที่แตกต่างกันจะสามารถคำนวณแล้วได้ค่าไดเจสต์เดียวกัน ปัญหานี้เรียกกันว่าการชนกันของไดเจสต์(Collision) อัลกอริทึมสำหรับสร้างไดเจสต์ที่ดีควรจะมีโอกาสน้อยมากๆ ที่จะก่อให้เกิดปัญหาการชนกันของไดเจสต์

                 อัลกอริทึมสำหรับสร้างไดเจสต์ยอดนิยมมีดังนี้

                อัลกอริทึม MD2

                ผู้พัฒนาคือ Ronald Rivest อัลกอริทึมนี้เชื่อกันว่ามีความแข็งแกร่งที่สุดในบรรดาอัลกอริทึมต่างๆ ที่ Rivest พัฒนาขึ้นมา (ความแข็งแกร่งพิจารณาได้จากคุณสมบัติสามประการข้างต้น) ข้อเสียของอัลกอริทึมนี้คือใช้เวลามากในการคำนวณไดเจสต์หนึ่งๆ MD2 จึงไม่ค่อยได้มีการใช้งานกันมากนัก
MD2 สร้างไดเจสต์ที่มีความยาว 128 บิต

อัลกอริทึม MD4

                ผู้พัฒนาคือ Rivest เช่นเดียวกับ MD2 อัลกอริทึมนี้พัฒนาขึ้นมาเพื่อแก้ปัญหาความล่าช้าในการคำนวณของ MD2 อย่างไรก็ตามในภายหลังได้พบว่าอัลกอริทึมมีข้อบกพร่องที่เกี่ยวข้องกับคุณสมบัติข้อที่สามโดยตรง กล่าวคือปัญหาการชนกันของไดเจสต์มีโอกาสเกิดขึ้นได้ไม่น้อย ซึ่งผู้บุกรุกอาจใช้ประโยชน์จากจุดอ่อนนี้เพื่อทำการแก้ไขข้อความตั้งต้นที่ส่งมาให้ได้  MD4 ผลิตไดเจสต์ที่มีขนาด 128 บิต

                อัลกอริทึม MD5

                Rivest เป็นผู้พัฒนาเช่นกันโดยพัฒนาต่อจาก MD4 เพื่อให้มีความปลอดภัยที่สูงขึ้น ถึงแม้จะเป็นที่นิยมใช้งานกันอย่างแพร่หลาย ทว่าในปี 1996 ก็มีผู้พบจุดบกพร่องของ MD5 (เช่นเดียวกับ MD4) จึงทำให้ความนิยมเริ่มลดลง
MD5 ผลิตไดเจสต์ที่มีขนาด 128 บิต

                อัลกอริทึม SHA

                SHA ย่อจาก Secure Hash Algorithm อัลกอริทึม SHA ได้รับแนวคิดในการพัฒนามาจาก MD4 และได้รับการพัฒนาขึ้นมาเพื่อใช้งานร่วมกับอัลกอริทึม DSS (ซึ่งใช้ในการลงลายมือชื่ออิเล็กทรอนิกส์) หลังจากที่ได้มีการตีพิมพ์เผยแพร่อัลกอริทึมนี้ได้ไม่นาน NIST ก็ประกาศตามมาว่าอัลกอริทึมจำเป็นต้องได้รับการแก้ไขเพิ่มเติมเล็กน้อยเพื่อให้สามารถใช้งานได้อย่างเหมาะสม  SHA สร้างไดเจสต์ที่มีขนาด 160 บิต

                อัลกอริทึม SHA-1

                SHA-1 เป็นอัลกอริทึมที่แก้ไขเพิ่มเติมเล็กน้อยจาก SHA การแก้ไขเพิ่มเติมนี้เป็นที่เชื่อกันว่าทำให้อัลกอริทึม SHA-1 มีความปลอดภัยที่สูงขึ้น SHA-1 สร้างไดเจสต์ที่มีขนาด 160 บิต

               

                อัลกอริทึม SHA-256, SHA-384 และ SHA-512

                NIST เป็นผู้นำเสนออัลกอริทึมทั้งสามนี้ในปี 2001 เพื่อใช้งานร่วมกับอัลกอริทึม AES (ซึ่งเป็นอัลกอริทึมในการเข้ารหัสแบบสมมาตร)

                อัลกอริทึมเหล่านี้สร้างไดเจสต์ที่มีขนาด 256, 384 และ 512 บิต ตามลำดับ นอกจากอัลกอริทึมสำหรับการสร้าง ไดเจสต์ที่กล่าวถึงไปแล้วนั้น อัลกอริทึมสำหรับการเข้ารหัสแบบสมมาตร เช่น DES สามารถใช้ในการสร้างไดเจสต์เช่นกัน วิธีการใช้งานอัลกอริทึมแบบสมมาตรเพื่อสร้างไดเจสต์คือ ให้เลือกกุญแจลับสำหรับการเข้ารหัสขึ้นมา 1 กุญแจโดยวิธีการเลือกแบบสุ่ม และต่อมาใช้กุญแจนี้เพื่อเข้ารหัสข้อความตั้งต้น แล้วใช้เฉพาะบล็อกสุดท้ายที่เข้ารหัสแล้วเพื่อเป็นไดเจสต์ของข้อความทั้งหมด (ไม่รวมบล็อคอื่นๆ ที่เข้ารหัสแล้ว) อัลกอริทึมแบบสมมาตรสามารถสร้างไดเจสต์ที่มีคุณภาพดี แต่ข้อเสียคือต้องใช้เวลาในการคำนวณไดเจสต์มาก

                ไดเจสต์เป็นเครื่องมือที่สำคัญที่สามารถใช้ในการตรวจสอบว่าไฟล์ในระบบที่ใช้งานมีการเปลี่ยนแปลงแก้ไขหรือไม่ (ไม่ว่าจะโดยเจตนาหรือไม่ก็ตาม) บางครั้งการเปลี่ยนแปลงแก้ไขอาจถูกกระทำโดยผู้ที่ไม่มีสิทธิ์ เช่น ผู้บุกรุก เป็นต้น วิธีการใช้ไดเจสต์เพื่อตรวจสอบไฟล์ในระบบคือให้เลือกใช้อัลกอริทึมหนึ่ง เช่น MD5 เพื่อสร้างไดเจสต์ของไฟล์ในระบบและเก็บไดเจสต์นั้นไว้อีกที่หนึ่งนอกระบบ ภายหลังจากระยะเวลาหนึ่งที่กำหนดไว้ เช่น 1 เดือน ก็มาคำนวณไดเจสต์ของไฟล์เดิมอีกครั้งหนึ่ง แล้วเปรียบเทียบไดเจสต์ใหม่นี้กับไดเจสต์ที่เก็บไว้นอกระบบว่าตรงกันหรือไม่ ถ้าตรงกัน ก็แสดงว่าไฟล์ในระบบยังเป็นปกติเช่นเดิม

                ไดเจสต์ยังเป็นส่วนหนึ่งของการลงลายมือชื่ออิเล็กทรอนิกส์ กล่าวคือการลงลายมือชื่ออิเล็กทรอนิกส์ในปัจจุบันจะใช้การลงลายมือชื่อกับไดเจสต์ของข้อความตั้งต้นแทนการลงลายมือชื่อกับข้อความตั้งต้นทั้งข้อความ

รูปแบบวิธีการเข้ารหัสข้อมูล

                1. การเข้ารหัสข้อมูลแบบทีละตัว (Stream Cipher)

ภาพที่ 4 การเข้ารหัสข้อมูลแบบทีละตัว

ข้อดี

1.               ความเร็ว (Speed of Transformation)

2.               ความผิดพลาดต่ำ (Low Error Propagation) การเข้ารหัสแบบนี้จะให้ความผิดพลาดต่ำเมื่อเปรียบเทียบกับวิธีอื่น ๆ

ข้อเสีย

1.               มีความสามารถต่ำในการกระจายความซ้ำกันข้องตัวอักษร (Low-Diffusion)

2.               วิเคราะห์ของนักเจาะรหัสง่ายต่อการดัดแปลงแก้ไข (susceptibility to malicious insertion and modifications)

                2. การเข้ารหัสข้อมูลแบบเป็นกลุ่ม (Group Cipher or Block Cipher)

               

ภาพที่ 5 การเข้ารหัสข้อมูลแบบเป็นกลุ่ม

ข้อดี

1.               การกระจายความซ้ำกันของตัวอักษร (Diffusion)

2.               สามารถต่อต้านการดัดแปลงต่อเติมข้อมูลได้ (Insertion Resistant)

ข้อเสีย

1.               ใช้เวลานาน (Slowness of Encryption)

2.               มีความผิดพลาดต่อเนื่อง (Error Propagation) การเข้ารหัสแบบนี้ก่อให้เกิดความผิดพลาดของตัวอักษรที่สามารถส่งต่อความผิดพลาดไปยังตัวอักษรอื่นๆ ได้

 ลักษณะของการเข้ารหัสข้อมูลที่ดี (Characteristics of Good Ciphers)

1.               ระดับความปลอดภัยของข้อมูลที่ได้ ควรจะแปรผันกับความยากของการเข้ารหัสข้อมูล นั่นคือหาวิธีการเข้ารหัสนั้นมีความสลับซับซ้อนมากก็ควรให้ระดับของความปลอดภัยของข้อมูลที่สูงด้วย

2.               ไม่ควรมีข้อจำกัดในการเลือกใช้กุญแจเข้ารหัส และในการเลือกใช้วิธีการเข้าสำหรับข้อความลักษณะลักษณะหนึ่ง เพราะหากการเลือกใช้นั้นมีความยากและไม่สะดวกแล้วการเข้ารหัสนั้นไม่เป็นที่นิยมใช้

3.               กระบวนการนำวิธีการเข้ารหัสไปใช้จะต้องมีความสะดวกและง่าย เพราะหากการเข้ารหัสยากมากเกินไปแล้ว อาจทำให้เกิดความผิดพลาดในระหว่างกระบวนการพัฒนาและนำไปใช้งานได้

4.               ความผิดพลาดของการเข้ารหัส ณ จุดใดจุดหนึ่งของข้อมูลต้องไม่ขยายไปสู่ส่วนอื่นๆ

5.               เมื่อเสร็จจากากรเข้ารหัสข้อมูลแล้ว ขนาดของข้อมูล Cipher Text ต้องมีขนาดไม่ใหญ่กว่าขนาดของ Clear Text

การเข้ารหัสแบ่งออกได้เป็น 3 ประเภท

                1.  Secret key encryption คือการเข้ารหัสและถอดรหัสโดยอาศัย key เดี่ยว

2.  Public key encryption คือ การเข้ารหัสและถอดรหัสโดยอาศัย คีย์ 2 คีย์

3.  One – way function คือ การที่ข้อมูลเข้ารหัสแล้วสร้างลายเซ็นขึ้นมาเพื่อนำมาใช้พิสูจน์สิทธ์ความเป็นเจ้าของภายในภายหลัง มักจะใช้ควบคู่ไปกับ Public system

ภาพที่ 6 แสดงก่อนการเข้าและหลังถอดรหัสข้อมูล

ภาพที่ 7 แสดงก่อนการเข้าและหลังถอดรหัสข้อมูล โดยใช้ key

ข้อดี การเข้ารหัสแบบนี้อาศัยกุญแจเข้ารหัสลับเพียงหนึ่งตัวในการเข้ารหัสและถอดรหัส

ข้อเสีย การนำระบบนี้ไปใช้ก็มีปัญหาเรื่องความปลอดภัยในการแจกจ่ายกุญแจรหัส Secret Key และการส่งกุญแจรหัสผ่านช่องสัญญาณที่ไม่ปลอดภัย (insecure Channel) นั้นมีความเสี่ยงสูงต่อการถูกโจรกรรม

ภาพที่ 8 แสดงก่อนการเข้าและหลังถอดรหัสข้อมูล โดยใช้ Public key

ข้อดี การเข้ารหัส แบบนี้ไม่จำเป็นต้องเก็บกุญแจรหัสไว้เป็นความลับ แต่จะอาศัยกุญแจคู่หนึ่งคือ กุญแจรหัสส่วนตัว (Secret Key) และกุญแจรหัสสาธารณะ (Public Key) ใช้ในการเข้ารหัสและถอดรหัส

การเข้ารหัสข้อมูลแบบ DES

ภาพที่ 9 การเข้ารหัสข้อมูลแบบ DES

                ข้อดี วิธีการเข้ารหัสแบบนี้มีความปลอดภัยที่สูงมากและมักใช้ในธุรกิจการธนาคารที่ต้องการความปลอดภัยของข้อมูลสูงสุด

                ข้อเสีย ความเร็วของฮาร์ดแวร์คอมพิวเตอร์ที่สามารถนำมาใช้ช่วยในการวิเคราะห์ขโมยข้อมูล ทำให้คาดคะเนว่าขนาดของกุญแจรหัสลับนี้น่าจะเพิ่มขึ้นมากกว่า 56 Bits จึงจะสามารถช่วยรักษาความปลอดภัยของข้อมูลได้ ขนาดของกุญแจรหัสลับนั้นอาจไม่เพียงพอในการรักษาความปลอดภัย

การถอดรหัส (Cryptanalysis)

                Cryptanalysis   เป็นการวิเคราะห์การถอดรหัส ซึ่งการถอดรหัสแต่ละครั้งขึ้นอยู่กับความซับซ้อนของข้อมูล เราต้องใช้ความพยายามหลายครั้งกว่าจะมองออกว่ารูปแบบของข้อมูลที่ถูกเข้ารหัสไว้นั้นเป็นอย่างไร

                1. แบบทราบข้อความบางส่วนที่อยู่ใน plain text หากเรามีข้อความบางส่วนที่ถูกใส่ลงไปใน plain text ก่อนที่มันจะถูกแปลงเป็น cipher text จะทำให้เรามีโอกาสหาคีย์พบได้

                2. แบบความสัมพันธ์ของ cipher text และไม่ทราบ plain text หากเราทราบเพียง plain text   กับอัลกอริทึม หรือ cipher text กับอัลกอริทึม เราจะไม่มีทางถอดรหัสออกมาได้เลย

                3. แบบทราบความสัมพันธ์ของ plain text และ cipher text จะทำให้เราสามารถหา original plaintext อัลกอริทึม และ cipher text ที่เป็นผลลัพธ์ได้ทั้งหมด

                4. การประยุกต์ใช้ข้อความบางส่วนที่อยู่ใน plain text การนำข้อความบางส่วนที่ถูกใส่ลงไปใน plain text ก่อนที่มันจะถูกแปลงเป็น cipher text มาดัดแปลง เพื่อมุ่งสู่การถอดรหัส เป็นเทคนิคใหม่ที่เรียกว่า differential cryptanalysis

เทคนิคที่นักถอดรหัสนิยมใช้

1. การถอดรหัสโดยอาศัยความต่าง (Differrential cryptanalysis) เทคนิคนี้จะอาศัยความแตกต่างระหว่าง plaintext ที่สัมพันธ์กันโดยเข้ารหัสด้วยคีย์เดียวกัน ได้ผลดีมากกับอัลกอริทึมที่เข้ารหัสแบบบล็อก

                2. การถอดรหัสเชิงเส้น (Linear cryptanalysis) การถอดรหัสแบบนี้จะใช้ได้ดีกับ DES และ FEAL-4

3. การถอดรหัสแบบพีชคณิต ( Algebraic  attacks )  เทคนิคนี้จะอาศัยการพิจารณาโครงสร้างทางคณิตศาสตร์ของการเข้ารหัสแบบบล็อก โดยมีหลักอยู่ว่าการเข้ารหัส 1 ครั้งโดยใช้ 1 คีย์ จะให้ผลลัพธ์เหมือนกับการเข้ารหัส 2 ครั้งโดยใช้ 2คีย์

การเข้าและถอดรหัสข้อมูลของ WEP (WEP Encryption/Decryption)

WEP ใช้หลักการในการเข้าและถอดรหัสข้อมูลที่เป็นแบบ symmetrical (นั่นคือรหัสที่ใช้ในการเข้ารหัสข้อมูลจะเป็นตัวเดียวกันกับรหัสที่ใช้สำหรับการถอดรหัสข้อมูล)

WEP Encryption การทำงานของการเข้ารหัสข้อมูลในกลไก WEP เป็นดังนี้

1. Key ขนาด 64 หรือ 128 บิต ถูกสร้างขึ้นโดยการนำเอารหัสลับซึ่งมีความยาว 40 หรือ 104 บิต มาต่อรวมกับข้อความเริ่มต้น IV (Initialization Vector) ขนาด 24 บิตที่ถูกกำหนดแบบสุ่มขึ้นมา

2. Integrity Check Value (ICV) ขนาด 32 บิต ถูกสร้างขึ้นโดยการคำนวณค่า CRC-32 (32-bit Cyclic Redundant Check) จากข้อมูลดิบที่จะส่งออกไป (ICV ซึ่งจะถูกนำไปต่อรวมกับข้อมูลดิบ มีไว้สำหรับตรวจสอบความถูกต้องของข้อมูลหลังจากการถอดรหัสแล้ว)

3. ข้อความที่มีความสุ่ม (Key Stream) ขนาดเท่ากับความยาวของข้อมูลดิบที่จะส่งกับอีก 32 บิต (ซึ่งเป็นความยาวของ ICV) ถูกสร้างขึ้นโดยหน่วยสร้างข้อความที่มีความสุ่มหรือ PRNG (Pseudo-Random Number Generator) ที่มีชื่อเรียกว่า RC4 ซึ่งจะใช้ Key ที่กล่าวมาข้างต้นเป็น Input (หรือ Seed) หมายเหตุ PRNG จะสร้างข้อความสุ่มที่แตกต่างกันสำหรับ Seed แต่ละค่าที่ใช้ ข้อความที่ได้รับการเข้ารหัส (Cipher text) ถูกสร้างขึ้นโดยการนำเอา ICV ต่อกับข้อมูลดิบแล้วทำการ XOR แบบบิตต่อบิตกับข้อความสุ่ม (Key Stream) ซึ่ง PRNG ได้สร้างขึ้น

4. สัญญาณที่จะถูกส่งออกไปคือ ICV และข้อความที่ได้รับการเข้ารหัส (Cipher text)

รูปที่ 10 แสดง WEP Encryption

WEP Decryption การทำงานของการถอดรหัสข้อมูลในกลไก WEP เป็นดังนี้

1. Key ขนาด 64 หรือ 128 บิต ถูกสร้างขึ้นโดยการนำเอารหัสลับซึ่งมีความยาว 40 หรือ 104 บิต (ซึ่งเป็นรหัสลับเดียวกับที่ใช้ในการเข้ารหัสข้อมูล) มาต่อรวมกับ IV ที่ถูกส่งมากับสัญญาณที่ได้รับ

2. PRNG สร้างข้อความสุ่ม (Key Stream) ที่มีขนาดเท่ากับความยาวของข้อความที่ได้รับการเข้ารหัสและถูกส่งมา โดยใช้ Key ที่กล่าวมาข้างต้นเป็น Input

3. ข้อมูลดิบและ ICV ถูกถอดรหัสโดยการนำเอาข้อความที่ได้รับมา XOR แบบบิตต่อบิตกับข้อความสุ่ม (Key Stream) ซึ่ง PRNG ได้สร้างขึ้น สร้าง ICV’ โดยการคำนวณค่า CRC-32 จากข้อมูลดิบที่ถูกถอดรหัสแล้วเพื่อนำมาเปรียบเทียบกับ4. ค่า ICV ที่ได้ถูกส่งมา หากค่าทั้งสองตรงกัน (ICV’ = ICV) แสดงว่าการถอดรหัสถูกต้องและผู้ที่ส่งมาได้รับอนุญาต (มีรหัสลับของเครือข่าย) แต่หากค่าทั้งสองไม่ตรงกันแสดงว่าการถอดรหัสไม่ถูกต้องหรือผู้ที่ส่งมาไม่ได้รับอนุญาต

รูปที่ 11 แสดง WEP Decryption

 

การป้องกันการปลอมแปลงข้อมูล (Integrity Mechanisms)                วิธีการที่ใช้ก็คือการใช้ Message Authentication Code (MAC) มาทำการตรวจสอบความถูกต้องของข้อมูลว่า ก่อนที่จะส่งข้อมูลนั้นข้อมูลมีลักษณะเฉพาะอย่างไร และหลังจากที่ได้รับข้อมูลแล้วลักษณะเฉพาะของข้อมูลเปลี่ยนไปหรือไม่ หากมีการเปลี่ยนแปลงเกิดขึ้นแสดงว่ามีการปลอมแปลงข้อมูลระหว่างการส่งข้อมูลนั้นๆ

ความปลอดภัยของการเข้ารหัสข้อมูล

1. ขนาดของกุญแจ 40 Bits นั้นไม่สามารถให้ความปลอดภัยเพียงพอในการรักษาความปลอดภัย เนื่องจากมีการวิเคราะห์รหัสนี้ได้แล้วในปี ค.ศ. 1995 โดยนักศึกษาชาวฝรั่งเศส ซึ่งใช้คอมพิวเตอร์แบบ UNIX จำนวน 120 ตัวในการวิเคราะห์โดยวิธี Brute Force และใช้เวลาวิเคราะห์ทั้งสิ้น 8วัน

2. ในปี ค.ศ. 1996 ได้มีการพัฒนาวิธีการวิเคราะห์ และใช้เวลาเพียงแค่ 4 ชั่วโมง ในการวิเคราะห์การเข้ารหัสข้อมูลที่ใช้กุญแจขนาด 40 Bits

3. เนื่องจากความเร็วของระบบคอมพิวเตอร์ได้ถูกพัฒนาให้มีความเร็วขึ้นเป็น2 เท่า ในทุกๆ 2ปี ดังนั้นการวิเคราะห์การเข้ารหัสจึงสามารถจะทำได้อย่างรวดเร็วและเป็นภัยคุกคามอย่างยิ่งต่อการเข้ารหัสข้อมูลที่ใช้ขนาดกุญแจรหัสขนาดเล็ก อย่างไรก็ตามขนาดของกุญแจ 128 Bits สำหรับ Symmetric-Key และขนาด 2048 Key สำหรับ Public-Key นั้นสามารถรับประกันความปลอดภัยของข้อมูลได้เป็นอย่างดีระยะหนึ่งในอนาคต

แหล่งที่มา

A.Pinya Hom-anek. ทิศทางของภัยคุกคามความปลอดภัยข้อมูลคอมพิวเตอร์). [ออนไลน์]. เข้าถึงได้จาก:  

http://www.bcoms.net/article/detail.asp?id=196. (วันที่สืบค้นข้อมูล 7 กรกฎาคม 2553).

Bruce Schneier, Applied Cryptography: Protocols, Algorithms, and Source Code in C John Wiley & Sons Inc,

 December 1995

Pretty Good Privacy (PGP). [ออนไลน์]. เข้าถึงได้จาก : http://th.wikipedia.org/wiki/Pretty_Good_Privacy.

                (วันที่สืบค้นข้อมูล 7 กรกฎาคม 2553).

Ratanapong. การเข้าและถอดรหัสข้อมูล (WEP Encryption/Decryption). [ออนไลน์]. เข้าถึงได้จาก

: http://www.adslthailand.com. (วันที่สืบค้นข้อมูล 8 กรกฎาคม 2553).

การเข้ารหัส และ ถอดรหัส (Encoder and Decoder). [ออนไลน์]. เข้าถึงได้จาก

                : http://www.blmiacec.ac.th/E-learning/digital/UNIT7/A6.HTM. (วันที่สืบค้นข้อมูล 7 กรกฎาคม 2553).

ศิริวรรณ อภิสิริเดช. การเข้ารหัสอี-เมล์และเซ็นรับรองด้วย PGP. [ออนไลน์]. เข้าถึงได้จาก

                : http://www.thaicert.org/paper/encryption/pgp.php. (วันที่สืบค้นข้อมูล 8 กรกฎาคม 2553).

ดร. บรรจง หะรังษี.ความรู้เบื้องต้นของการเข้ารหัสข้อมูล (Introduction to Cryptography). [ออนไลน์]. เข้าถึงได้จาก

 : http://www.thaicert.org/paper/encryption/intro_crypt.php (วันที่สืบค้นข้อมูล 10 กรกฎาคม 2553).

สวัสดีชาวโลก – -‘

Welcome to WordPress.com. This is your first post. Edit or delete it and start blogging!