NIST ออกมาตรฐานใหม่ สำหรับป้องกันข้อมูลบัตรเครดิตและข้อมูลสุขภาพ

หลายปีที่ผ่านมา เมื่อคุณรูดบัตรเครดิต ข้อมูลบัตรเครดิตจะถูกเก็บไว้บนเครื่องอ่านบัตร ทำให้ยากต่อการจัดการเรื่องเข้ารหัสข้อมูล แต่หลังจากที่ได้ร่วมมือกับองค์กรเอกชนมานานเกือบทศวรรษ NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯ) ก็ได้ออกมาตรฐานความมั่นคงปลอดภัยใหม่สำหรับป้องกันข้อมูลบัตรเครดิตและข้อมูลเกี่ยวกับสุขภาพของประชาชน

มาตรฐานใหม่ดังกล่าว คือ NIST Special Publication (SP) 800-38G ประกอบด้วย 2 เทคนิคสำคัญสำหรับ “Format-preserving Encrytion” หรือ FPE เรียกว่า FF1 และ FF3

nist_credit_card_lock

ต้องการ Cipher Text ที่มีลักษณะและความยาวคล้ายเดิม

มาตรฐานนี้เข้ามาแก้ไขปัญหาของ Software Package ที่ต้องจัดการกับข้อมูลด้านการเงินและข้อมูลสำคัญรูปแบบอื่นๆ กล่าวคือ เราจะใช้วิธีใดในการแปลง String ของตัวเลข เช่น หมายเลขบัครเครดิต เพื่อที่จะทำให้แฮ็คเกอร์ไม่สามารถอ่าน String ดังกล่าวได้รู้เรื่อง แต่ต้องยังคงซึ่งไว้ความยาวและลักษณะ หรืออีกนัยหนึ่งคือ ต้องมีรูปแบบของชุดตัวเลขแบบเดิม

ออกแบบมาสำหรับทั้ง Binary และ Decimal

Morris Dworkin ผู้เขียนมาตรฐาน NIST SP 800-38G ระบุว่า มาตรฐานการเข้ารหัสของ NIST ที่ใช้กันสมัยก่อนนั้น ถูกออกแบบมาเพื่อใช้กับข้อมูลแบบ Binary 0, 1 บนคอมพิวเตอร์เท่านั้น แต่พอมาใช้กับข้อมูลบนซอฟต์แวร์ด้านการเงิน เช่น ข้อมูลที่เป็นตัวเลขฐาน 10 อย่างหมายเลขบัตรเครดิต 16 หลัก จึงทำให้เกิดปัญหาติดๆ ขัดๆ ซึ่งมาตรฐาน FPE ใหม่ที่ออกมานี้ จะทำงานได้ดีทั้งบนข้อมูลแบบ Binary และตัวเลขฐาน 10 ซึ่งช่วยแก้ไขปัญหาดังกล่าวให้หมดไป

ผลลัพธ์คือ หมายเลขบัตรเครดิตที่เข้ารหัสด้วยมาตรฐาน FPE จะมีรูปแบบเหมือนกับหมายเลขบัตรเดรดิตเดิม (ตัวเลข 16 หลัก)

ใช้ปกปิด PII ป้องกัน Privacy ของประชาชน

จุดประสงค์หลักของการพัฒนามาตรฐาน FPE นี้ คือการเข้ารหัสข้อมูลบัตรเครดิต อย่างไรก็ตาม มาตรฐานดังกล่าวยังสามารถใช้สำหรับปกปิดข้อมูลที่ระบุถึงตัวตน (Personnally Identifiable Information: PII) บนฐานข้อมูลอีกด้วย โดยเฉพาะข้อมูลสำคัญที่เกี่ยวกับสุขภาพ เพื่อให้นักวิจัยเชิงสถิติสามารถนำข้อมูลไปใช้เพื่อคิดหาวิธีต่อกรกับโรคร้าย ในขณะที่ยังคงซึ่งความเป็นส่วนบุคคล (Privacy) ของเจ้าของข้อมูลได้

ดาวน์โหลดคู่มือมาตรฐาน NIST SP 800-38G ได้ที่ http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38G.pdf

ที่มา: https://www.helpnetsecurity.com/2016/03/31/nist-security-standard/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ