Breaking News

พบช่องโหว่เข้ารหัสข้อมูลบนมาตรฐาน IEEE เสี่ยงข้อมูลทรัพย์สินทางปัญญาถูกขโมย

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก University of Florida ออกมาแจ้งเตือนถึงช่องโหว่วิทยาการรหัสลับบนมาตรฐาน IEEE P175 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีการเข้ารหัสข้อมูลและนำข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ออกไปได้

Credit: ShutterStock.com

IEEE P175 เป็นมาตรฐานที่ระบุถึงชุดของกระบวนการและเทคนิคในการเข้ารหัสข้อมูลบนฮาร์ดแวร์และซอฟต์แวร์ภายใน Chips, SoCs, Integrated Circuits และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ซึ่งมาตรฐานดังกล่าวถูกใช้เพื่อปกป้องข้อมูลลิขสิทธิ์ทางปัญญาสำหรับการออกแบบอุปกรณ์อิเล็กทรอนิกส์เชิงพาณิชย์ รวมไปถึงป้องกันการทำ Reverse Engineering ด้วย อาจกล่าวได้ว่า IEEE P175 เป็นโซลูชัน DRM สำหรับชิ้นส่วนฮาร์ดแวร์ระดับล่างซึ่งช่วยให้โค้ดจากผู้ผลิตหลายๆ รายสามารถทำงานด้วยกันได้ในขณะที่ยังถูกเข้ารหัสข้อมูลอยู่

อย่างไรก็ตาม ทีมนักวิจัย 5 คนจาก University of Florida ได้ทำการตรวจสอบมาตรฐานดังกล่าวจากการโจมตีแบบ Cryptographic หลากหลายรูปแบบ พบว่า IEEE P175 ยังคงมีประเด็นด้านความมั่นคงปลอดภัยหลายรายการ ซึ่งประเด็นที่ใหญ่ที่สุดที่ค้นพบคือ ช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถบายพาสกลไกการเข้ารหัสข้อมูลและเข้าถึงข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ได้ทันที

ช่องโหว่นี้ถือว่ามีอันตรายเป็นอย่างมาก เนื่องจากอาจทำให้คู่แข่งขโมยข้อมูลผลงานของอีกฝ่ายออกไปได้ ส่งผลให้บริษัทขนาดเล็กอาจถึงขั้นต้องปิดตัวเอง เหลือแค่เพียงไม่กี่รายที่ผูกขาดตลาดไว้แต่เพียงผู้เดียว

รายการช่องโหว่ทั้งหมดที่เกี่ยวข้องประกอบด้วย

  • CVE-2017-13091: improperly specified padding in CBC mode allows use of an EDA tool as a decryption oracle
  • CVE-2017-13092: improperly specified HDL syntax allows use of an EDA tool as a decryption oracle
  • CVE-2017-13093: modification of encrypted IP cyphertext to insert hardware trojans
  • CVE-2017-13094: modification of the encryption key and insertion of hardware trojans in any IP
  • CVE-2017-13095: modification of a license-deny response to a license grant
  • CVE-2017-13096: modification of Rights Block to get rid of or relax access control
  • CVE-2017-13097: modification of Rights Block to get rid of or relax license requirement

ผู้ที่สนใจสามารถอ่านงานวิจัยฉบับเต็มได้ที่: https://eprint.iacr.org/2017/828.pdf

ที่มา: https://www.bleepingcomputer.com/news/security/crypto-bugs-in-ieee-standard-expose-intellectual-property-in-plaintext/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Webinar Replay: รู้จักกับ Rubrik ระบบ Data Protection สำหรับ Hyperconverged & Cloud Era โดย Rubrik

สำหรับผู้ที่พลาดไม่ได้เข้าชม TechTalk Webinar: รู้จักกับ Rubrik ระบบ Data Protection สำหรับ Hyperconverged & Cloud Era โดย Rubrik …

อัปเดตเทคโนโลยีจาก Alibaba Cloud ในงาน Empower Digital China

เมื่อวันที่ 19-21 กันยายน 2561 ที่ผ่านทางทีมงาน TechTalkThai ได้รับเกียรติจากทีมงานของ Alibaba เพื่อเดินทางไปร่วมงานที่ชื่อ Empower Digital China ที่จัดขึ้น ณ เมือง …