NIST ออกมาตรฐานใหม่ สำหรับป้องกันข้อมูลบัตรเครดิตและข้อมูลสุขภาพ

หลายปีที่ผ่านมา เมื่อคุณรูดบัตรเครดิต ข้อมูลบัตรเครดิตจะถูกเก็บไว้บนเครื่องอ่านบัตร ทำให้ยากต่อการจัดการเรื่องเข้ารหัสข้อมูล แต่หลังจากที่ได้ร่วมมือกับองค์กรเอกชนมานานเกือบทศวรรษ NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯ) ก็ได้ออกมาตรฐานความมั่นคงปลอดภัยใหม่สำหรับป้องกันข้อมูลบัตรเครดิตและข้อมูลเกี่ยวกับสุขภาพของประชาชน

มาตรฐานใหม่ดังกล่าว คือ NIST Special Publication (SP) 800-38G ประกอบด้วย 2 เทคนิคสำคัญสำหรับ “Format-preserving Encrytion” หรือ FPE เรียกว่า FF1 และ FF3

nist_credit_card_lock

ต้องการ Cipher Text ที่มีลักษณะและความยาวคล้ายเดิม

มาตรฐานนี้เข้ามาแก้ไขปัญหาของ Software Package ที่ต้องจัดการกับข้อมูลด้านการเงินและข้อมูลสำคัญรูปแบบอื่นๆ กล่าวคือ เราจะใช้วิธีใดในการแปลง String ของตัวเลข เช่น หมายเลขบัครเครดิต เพื่อที่จะทำให้แฮ็คเกอร์ไม่สามารถอ่าน String ดังกล่าวได้รู้เรื่อง แต่ต้องยังคงซึ่งไว้ความยาวและลักษณะ หรืออีกนัยหนึ่งคือ ต้องมีรูปแบบของชุดตัวเลขแบบเดิม

ออกแบบมาสำหรับทั้ง Binary และ Decimal

Morris Dworkin ผู้เขียนมาตรฐาน NIST SP 800-38G ระบุว่า มาตรฐานการเข้ารหัสของ NIST ที่ใช้กันสมัยก่อนนั้น ถูกออกแบบมาเพื่อใช้กับข้อมูลแบบ Binary 0, 1 บนคอมพิวเตอร์เท่านั้น แต่พอมาใช้กับข้อมูลบนซอฟต์แวร์ด้านการเงิน เช่น ข้อมูลที่เป็นตัวเลขฐาน 10 อย่างหมายเลขบัตรเครดิต 16 หลัก จึงทำให้เกิดปัญหาติดๆ ขัดๆ ซึ่งมาตรฐาน FPE ใหม่ที่ออกมานี้ จะทำงานได้ดีทั้งบนข้อมูลแบบ Binary และตัวเลขฐาน 10 ซึ่งช่วยแก้ไขปัญหาดังกล่าวให้หมดไป

ผลลัพธ์คือ หมายเลขบัตรเครดิตที่เข้ารหัสด้วยมาตรฐาน FPE จะมีรูปแบบเหมือนกับหมายเลขบัตรเดรดิตเดิม (ตัวเลข 16 หลัก)

ใช้ปกปิด PII ป้องกัน Privacy ของประชาชน

จุดประสงค์หลักของการพัฒนามาตรฐาน FPE นี้ คือการเข้ารหัสข้อมูลบัตรเครดิต อย่างไรก็ตาม มาตรฐานดังกล่าวยังสามารถใช้สำหรับปกปิดข้อมูลที่ระบุถึงตัวตน (Personnally Identifiable Information: PII) บนฐานข้อมูลอีกด้วย โดยเฉพาะข้อมูลสำคัญที่เกี่ยวกับสุขภาพ เพื่อให้นักวิจัยเชิงสถิติสามารถนำข้อมูลไปใช้เพื่อคิดหาวิธีต่อกรกับโรคร้าย ในขณะที่ยังคงซึ่งความเป็นส่วนบุคคล (Privacy) ของเจ้าของข้อมูลได้

ดาวน์โหลดคู่มือมาตรฐาน NIST SP 800-38G ได้ที่ http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38G.pdf

ที่มา: https://www.helpnetsecurity.com/2016/03/31/nist-security-standard/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tor Browser พร้อมให้บริการบน Android แล้ว

Tor Project ไปประกาศปล่อย Tor Browser เวอร์ชันสเถียรให้ผู้สนใจดาวน์โหลดกันได้บน Google Play แล้ว

นักวิจัยสาธิต PoC 3 ช่องโหว่ Zero-day ใหม่ของ Windows ไว้บน GitHub

คงต้องกล่าวว่านักวิจัยคนเดิม (SandboxEscaper) เพิ่มเติมคืออีก 3 ช่องโหว่ Zero-day และ 1 ช่องโหว่ที่ Microsoft เพิ่งแพตช์ไปไม่นานนี้ โดยเป็นคนเดียวกับคนที่ค้นพบช่องโหว่ Zero-day บน Task …