Cybersecurity

การเข้ารหัสรวมกับระบบขายของหน้าร้านได้อย่างไร

เมื่อวิเคราะห์ระบบขายหน้าร้าน เรามักนึกถึงแถบแม่เหล็กและบัตรต่างๆ ที่เก็บข้อมูลสำคัญเอาไว้ ทั้งในข้อมูลส่วนตัว และข้อมูลทางการเงิน

ในหลายๆพื้นที่เก็บรักษาข้อมูลมีการรักษาความปลอดภัยที่ดีอยู่แล้ว แต่นี่เป็นความจำเป็นเร่งด่วนในการหาทางออก ซึ่งการเข้ารหัสก็เป็นทางออกที่ดี โดยในปัจจุบันระบบที่ใช้กันอยู่คือความไว้เนื้อเชื่อใจ แต่นั่นไม่เพียงพอสำหรับคำว่า”ปลอดภัย” ในทางที่ดีสมควรมีท้ังซอฟต์แวร์ และฮาร์ดแวร์ที่ปรับแต่งและสนองความต้องการได้

พวกเราหวังว่า การเข้ารหัสจะกลายเป็นส่วนประกอบสำคัญของระบบขายหน้าร้าน ซึ่งในปัจจุบันมีเพียงแค่วิธีการจ่ายเงินออนไลน์เท่านั้น ซึ่งหลักสำคัญของการเก็บความลับและความไว้เนื้อเชื่อใจ และการยืนยันตัวตน หรือง่ายๆ ในทุกๆการซื้อขายแลกเปลี่ยนผู้ใช้ต้องรับรู้ทุกครั้ง

การรวมตัวกันของหลากหลายเทคโนโลยีการเข้ารหัส และประยุกต์เข้ากับระบบการขายหน้าร้าน ซึ่งมีข้อดีข้อเสียแตกต่างกันไป โดยการนำข้อมูลมาเข้ารหัสและเก็บรักษา ตามชุดคำสั่งเหล่านี้

  • Symmetric-key algorithms

เป็นการเข้า-ถอดรหัสข้อมูลความเร็วสูง แต่ก็ความปลอดภัยอาจจะไม่ค่อยแน่นหนาเท่าไหร่ และต้องการเข้าถึงแบบสองฝ่ายพร้อมกัน เช่น รหัสผ่าน การติดต่อสื่อสาร โดยต้องมีความสมมาตรกัน

  • Asymmetric-key algorithm

การเข้ารหัสแบบนี้ใช้รหัสทั้งสองฝ่าย โดยหนึ่งอันเป็นสาธารณะ และอีกหนึ่งอันเป็นส่วนตัว ซึ่งหมายความว่ารหัสนั้นสามารถเข้ารหัส หรือถอดรหัสได้อย่างเดียว และรหัสต้องสร้างขึ้นใหม่ทุกครั้ง โดยรหัสที่เป็นส่วนตัวมีหน้าที่เป็นโล่กำบัง และอีกตัวเป็นสาธารณะ ยกตัวอย่าง นาย A ส่งข้อความถึงนาย B และ B เป็นฝ่ายเข้ารหัสซึ่งเป็นรหัสสาธารณะ ตอนรับข้อความนาย B ใช้รหัสที่เป็นส่วนตัวเพื่อถอดรหัสและอ่านข้อความ

สองตัวอย่างชัดเจนของการเข้ารหัสแบบ Asymmetric-key หรือ PKI (Public key infrastructure) และอีเมล์จะส่งผ่าน PGP/GPG (Pretty Good Privacy) และเครือข่ายถูกเข้ารหัสด้วย SSL/TLS (Secure Socket Layer and Transport Layer Security) ที่ครอบคลุมเว็บไซต์ที่ใช้เพื่อการซื้อขาย หรือเว็บไซต์ที่ต้องกรอกรหัสบัตรเครดิต

  • One-way hash algorithms

การทำงานนี้ครอบคลุมข้อมูลจากหลากหลายช่วง และสร้างช่วงที่เป็นผลลัพธ์ออกมา ซึ่งขึ้นอยู่กับสิ่งที่ใส่เข้าไป  ระบบนี้ทำงานง่ายขึ้นโดยใช้การเข้ารหัส และสามารถปกป้องข้อมูลและรหัสผ่าน เพราะเป็นการยากที่จะตามหาค่าตั้งต้นหากทราบแค่ค่าช่วง

encrypted-passwords-e1455743302986

การเปลี่ยนข้อความเป็นรหัส หรือการเข้ารหัส ขนาดเป็นสิ่งสำคัญ

กฎทั่วไปของการเข้ารหัสคือ “ยิ่งใหญ่ ยิ่งดี” ในความเป็นจริงลู่ทางที่ง่ายที่สุดคือ brute force คือโปรแกรมเดาพาสเวิร์ด ที่ทดสอบความเป็นไปได้ของรหัสผ่าน จนกระทั่งพบรหัสผ่าน โดยสามารถคาดเดารหัสผ่านได้หลายหลัก

ยกตัวอย่าง DES แบบ 56-bit key (2^56 ของการรวมกันที่เป็นไปได้) ซึ่งใช้เวลาน้อยกว่า 1 วันเพื่อปลดล็อค ตั้งแต่คอมพิวเตอร์ส่วนใหญ่สามารถ เปิดหน้าต่างนับล้านต่อวินาที แต่อย่างไรก็ตาม จำนวนตัวอักษรก็สามารถยืดเวลาที่ต้องใช้ให้มากขึ้น โดยชุดคำสั่งที่เป็นที่นิยมอย่าง MD5(128 bits) และ SHA(160 bits) แม้ว่าจะค่อนข้างแปลกแต่ก็ไม่ได้แน่นหนาพอ อย่างที่เราเห็นในปี 2005 มหาวิทยาลัย Wang and Yu of Shadong ในประเทศจีน ความขัดแย้งของ MD5 และ SHA1 และเปรียบเทียบกับ Triple DES หรือ AES หรือที่ได้รับคำแนะนำจาก NSA

สรุป

ความหลากหลายของระบบซื้อขายหน้าร้าน ทั้งแบบแยกส่วนและทั้งระบบ มีการพัฒนาและเพิ่มความรวดเร็วของระบบ อย่างไรก็ตาม ในหลายกรณีอย่างเช่น ชุดคำสั่งที่ออกแบบร่วมกับระบบซื้อขายหน้าร้านตั้งแต่ขั้นต้น ซึ่งทำให้อาชญากรไซเบอร์สามารถเจาะเข้าระบบและดึงข้อมูลออกมาใช้ แต่อย่างไรก็ตามการเข้ารหัสนั้นเป็นวิธีที่ปลอดภัยที่สุดสำหรับระบบการซื้อขายหน้าร้าน

%d bloggers like this: