SSL อาจจะไม่ปลอดภัยจากรัฐบาล

SSL อาจจะไม่ปลอดภัยจากรัฐบาล

สรุปย่อ: ข่าวนี้เป็นข่าวจากต่างประเทศที่มีการพบว่า รัฐบาลพยายามแทรกแซงกิจกรรมบนอินเตอร์เน็ตของผู้ใช้งานทั่วไป ซึ่งถ้าเหตุการณ์เช่นนี้เกิดขึ้นในประเทศไทยก็เป็นเรื่องที่น่ากังวลเช่นกัน หลังจากที่เคยมีข่าวพยายามผลักดันเก็บ log ข้อมูลผู้ใช้งานผ่านทาง ISP ในประเทศไทยที่ผ่านมา

ระบบรักษาความปลอดภัยในอินเทอร์เน็ตทุกวันนี้อาศัยการเชื่อใจเป็นทอดๆ จากหน่วยงานออกใบรับรองความปลอดภัยกว่าสองร้อยหน่วยงานทั่วโลก งานวิจัยล่าสุดแสดงหลักฐานว่ามีความพยายามจากรัฐบาลที่จะเข้ามาแทรกแซงหน่วยงานเหล่านี้เพื่อดักจับข้อมูลที่ได้รับการเข้ารหัส โดยที่ผู้ใช้ไม่สามารถรับรู้ได้ว่าเกิดความผิดปรกติในการเชื่อมต่อ

เนืื่องจากระบบรักษาความปลอดภัยที่เชื่อใจ root CA นั้นทำให้เบราเซอร์ไม่เตือนผู้ใช้เมื่อมีใบรับรองที่ได้รับความเชื่อใจจาก เบราเซอร์ แต่คำถามที่เกิดขึ้นคือ root CA เหล่านี้เชื่อใจได้มากเพียงใด เมื่อบริษัทที่ให้บริการเช่น VeriSign นั้นกลับมีหน่วยงานให้บริการการดักจับข้อมูลตามการร้องขอจากรัฐบาล รวมทั้ง CA บางหน่วยงานกลับสามารถถูกกดดันจากรัฐบาลเช่น Etisalat บริษัทสื่อสารใน UAE และเป็น CA ระดับกลางกลับให้ความร่วมมือกับรัฐบาลที่จะใส่ซอฟต์แวร์ดักจับข้อมูลอีเมลจากผู้ใช้ Blackberry ผ่านทาง Etisalat

ทีมงานวิจัยกำลังพัฒนาปลั๊กอินทดสอบ ให้กับไฟร์ฟอกซ์เพื่อตรวจจับความผิด ปรกติของใบรับรอง รวมถึงการตั้งข้อสงสัยเมื่อใบรับรองมาจากบางประเทศที่ถูกตั้งข้อสงสัยว่า หน่วยงานออกใบรับรองอาจจะถูกกดดันจากรัฐบาลได้

ที่มา : http://www.blognone.com/node/15619

Add a Comment

Your email address will not be published. Required fields are marked *