NIST ออกมาตรฐานใหม่ สำหรับป้องกันข้อมูลบัตรเครดิตและข้อมูลสุขภาพ

หลายปีที่ผ่านมา เมื่อคุณรูดบัตรเครดิต ข้อมูลบัตรเครดิตจะถูกเก็บไว้บนเครื่องอ่านบัตร ทำให้ยากต่อการจัดการเรื่องเข้ารหัสข้อมูล แต่หลังจากที่ได้ร่วมมือกับองค์กรเอกชนมานานเกือบทศวรรษ NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯ) ก็ได้ออกมาตรฐานความมั่นคงปลอดภัยใหม่สำหรับป้องกันข้อมูลบัตรเครดิตและข้อมูลเกี่ยวกับสุขภาพของประชาชน

มาตรฐานใหม่ดังกล่าว คือ NIST Special Publication (SP) 800-38G ประกอบด้วย 2 เทคนิคสำคัญสำหรับ “Format-preserving Encrytion” หรือ FPE เรียกว่า FF1 และ FF3

nist_credit_card_lock

ต้องการ Cipher Text ที่มีลักษณะและความยาวคล้ายเดิม

มาตรฐานนี้เข้ามาแก้ไขปัญหาของ Software Package ที่ต้องจัดการกับข้อมูลด้านการเงินและข้อมูลสำคัญรูปแบบอื่นๆ กล่าวคือ เราจะใช้วิธีใดในการแปลง String ของตัวเลข เช่น หมายเลขบัครเครดิต เพื่อที่จะทำให้แฮ็คเกอร์ไม่สามารถอ่าน String ดังกล่าวได้รู้เรื่อง แต่ต้องยังคงซึ่งไว้ความยาวและลักษณะ หรืออีกนัยหนึ่งคือ ต้องมีรูปแบบของชุดตัวเลขแบบเดิม

ออกแบบมาสำหรับทั้ง Binary และ Decimal

Morris Dworkin ผู้เขียนมาตรฐาน NIST SP 800-38G ระบุว่า มาตรฐานการเข้ารหัสของ NIST ที่ใช้กันสมัยก่อนนั้น ถูกออกแบบมาเพื่อใช้กับข้อมูลแบบ Binary 0, 1 บนคอมพิวเตอร์เท่านั้น แต่พอมาใช้กับข้อมูลบนซอฟต์แวร์ด้านการเงิน เช่น ข้อมูลที่เป็นตัวเลขฐาน 10 อย่างหมายเลขบัตรเครดิต 16 หลัก จึงทำให้เกิดปัญหาติดๆ ขัดๆ ซึ่งมาตรฐาน FPE ใหม่ที่ออกมานี้ จะทำงานได้ดีทั้งบนข้อมูลแบบ Binary และตัวเลขฐาน 10 ซึ่งช่วยแก้ไขปัญหาดังกล่าวให้หมดไป

ผลลัพธ์คือ หมายเลขบัตรเครดิตที่เข้ารหัสด้วยมาตรฐาน FPE จะมีรูปแบบเหมือนกับหมายเลขบัตรเดรดิตเดิม (ตัวเลข 16 หลัก)

ใช้ปกปิด PII ป้องกัน Privacy ของประชาชน

จุดประสงค์หลักของการพัฒนามาตรฐาน FPE นี้ คือการเข้ารหัสข้อมูลบัตรเครดิต อย่างไรก็ตาม มาตรฐานดังกล่าวยังสามารถใช้สำหรับปกปิดข้อมูลที่ระบุถึงตัวตน (Personnally Identifiable Information: PII) บนฐานข้อมูลอีกด้วย โดยเฉพาะข้อมูลสำคัญที่เกี่ยวกับสุขภาพ เพื่อให้นักวิจัยเชิงสถิติสามารถนำข้อมูลไปใช้เพื่อคิดหาวิธีต่อกรกับโรคร้าย ในขณะที่ยังคงซึ่งความเป็นส่วนบุคคล (Privacy) ของเจ้าของข้อมูลได้

ดาวน์โหลดคู่มือมาตรฐาน NIST SP 800-38G ได้ที่ http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38G.pdf

ที่มา: https://www.helpnetsecurity.com/2016/03/31/nist-security-standard/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นัดคุย สกมช. และเจรจาธุรกิจกับเหล่า Vendor/Service Provider ได้ในงาน NCSA Thailand National Cyber Week 2023 วันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์

บริษัท IT Consult, System Integrator และ Distributor ที่กำลังมองหาผลิตภัณฑ์หรือบริการด้าน Cybersecurity จากเหล่า Vendor และ Service Provider มาขายหรือให้บริการในไทย …

Fortinet ออกชิป ASIC ใหม่ ‘FortiSP5’ ยกระดับการทำงาน ผสานพลัง Network และ Security

Fortinet ผู้นำด้าน Next-gen Firewall ได้เปิดตัวนวัตกรรมชิป ASIC ล่าสุดของตนรุ่นที่ 5 หรือ Security Processing Unit ‘SP5’ โดยมีสถิติใหม่ที่น่าสนใจดังนี้