NIST ออกมาตรฐานใหม่ สำหรับป้องกันข้อมูลบัตรเครดิตและข้อมูลสุขภาพ

หลายปีที่ผ่านมา เมื่อคุณรูดบัตรเครดิต ข้อมูลบัตรเครดิตจะถูกเก็บไว้บนเครื่องอ่านบัตร ทำให้ยากต่อการจัดการเรื่องเข้ารหัสข้อมูล แต่หลังจากที่ได้ร่วมมือกับองค์กรเอกชนมานานเกือบทศวรรษ NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯ) ก็ได้ออกมาตรฐานความมั่นคงปลอดภัยใหม่สำหรับป้องกันข้อมูลบัตรเครดิตและข้อมูลเกี่ยวกับสุขภาพของประชาชน

มาตรฐานใหม่ดังกล่าว คือ NIST Special Publication (SP) 800-38G ประกอบด้วย 2 เทคนิคสำคัญสำหรับ “Format-preserving Encrytion” หรือ FPE เรียกว่า FF1 และ FF3

nist_credit_card_lock

ต้องการ Cipher Text ที่มีลักษณะและความยาวคล้ายเดิม

มาตรฐานนี้เข้ามาแก้ไขปัญหาของ Software Package ที่ต้องจัดการกับข้อมูลด้านการเงินและข้อมูลสำคัญรูปแบบอื่นๆ กล่าวคือ เราจะใช้วิธีใดในการแปลง String ของตัวเลข เช่น หมายเลขบัครเครดิต เพื่อที่จะทำให้แฮ็คเกอร์ไม่สามารถอ่าน String ดังกล่าวได้รู้เรื่อง แต่ต้องยังคงซึ่งไว้ความยาวและลักษณะ หรืออีกนัยหนึ่งคือ ต้องมีรูปแบบของชุดตัวเลขแบบเดิม

ออกแบบมาสำหรับทั้ง Binary และ Decimal

Morris Dworkin ผู้เขียนมาตรฐาน NIST SP 800-38G ระบุว่า มาตรฐานการเข้ารหัสของ NIST ที่ใช้กันสมัยก่อนนั้น ถูกออกแบบมาเพื่อใช้กับข้อมูลแบบ Binary 0, 1 บนคอมพิวเตอร์เท่านั้น แต่พอมาใช้กับข้อมูลบนซอฟต์แวร์ด้านการเงิน เช่น ข้อมูลที่เป็นตัวเลขฐาน 10 อย่างหมายเลขบัตรเครดิต 16 หลัก จึงทำให้เกิดปัญหาติดๆ ขัดๆ ซึ่งมาตรฐาน FPE ใหม่ที่ออกมานี้ จะทำงานได้ดีทั้งบนข้อมูลแบบ Binary และตัวเลขฐาน 10 ซึ่งช่วยแก้ไขปัญหาดังกล่าวให้หมดไป

ผลลัพธ์คือ หมายเลขบัตรเครดิตที่เข้ารหัสด้วยมาตรฐาน FPE จะมีรูปแบบเหมือนกับหมายเลขบัตรเดรดิตเดิม (ตัวเลข 16 หลัก)

ใช้ปกปิด PII ป้องกัน Privacy ของประชาชน

จุดประสงค์หลักของการพัฒนามาตรฐาน FPE นี้ คือการเข้ารหัสข้อมูลบัตรเครดิต อย่างไรก็ตาม มาตรฐานดังกล่าวยังสามารถใช้สำหรับปกปิดข้อมูลที่ระบุถึงตัวตน (Personnally Identifiable Information: PII) บนฐานข้อมูลอีกด้วย โดยเฉพาะข้อมูลสำคัญที่เกี่ยวกับสุขภาพ เพื่อให้นักวิจัยเชิงสถิติสามารถนำข้อมูลไปใช้เพื่อคิดหาวิธีต่อกรกับโรคร้าย ในขณะที่ยังคงซึ่งความเป็นส่วนบุคคล (Privacy) ของเจ้าของข้อมูลได้

ดาวน์โหลดคู่มือมาตรฐาน NIST SP 800-38G ได้ที่ http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38G.pdf

ที่มา: https://www.helpnetsecurity.com/2016/03/31/nist-security-standard/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco โดนแฮ็กโดยแก๊งแรนซัมแวร์ Yanluowang

Cisco ออกมายอมรับว่า ได้ถูกแก๊งแรนซัมแวร์ Yanluowang ลุกล้ำเข้ามาในเครือข่ายขององค์กรจริง เหตุการณ์เกิดขึ้นเมื่อช่วงปลายเดือนพฤษภาคมที่ผ่านมา และยังถูกรีดไถจากไฟล์ข้อมูลที่ถูกโจรกรรมออกไป  

เชิญร่วมงานสัมมนา BAYCOMS Cybersecurity Day 2022 วันพุธที่ 31 สิงหาคม 2022

Bay Computing บริษัทด้านความมั่นคงปลอดภัยชั้นนำของไทย ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมงานสัมมนา BAYCOMS Cybersecurity Day 2022 ซึ่งจัดขึ้นภายใต้ธีม “Checkup Your Cybersecurity Vital Sign with …