พบช่องโหว่เข้ารหัสข้อมูลบนมาตรฐาน IEEE เสี่ยงข้อมูลทรัพย์สินทางปัญญาถูกขโมย

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก University of Florida ออกมาแจ้งเตือนถึงช่องโหว่วิทยาการรหัสลับบนมาตรฐาน IEEE P175 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีการเข้ารหัสข้อมูลและนำข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ออกไปได้

Credit: ShutterStock.com

IEEE P175 เป็นมาตรฐานที่ระบุถึงชุดของกระบวนการและเทคนิคในการเข้ารหัสข้อมูลบนฮาร์ดแวร์และซอฟต์แวร์ภายใน Chips, SoCs, Integrated Circuits และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ซึ่งมาตรฐานดังกล่าวถูกใช้เพื่อปกป้องข้อมูลลิขสิทธิ์ทางปัญญาสำหรับการออกแบบอุปกรณ์อิเล็กทรอนิกส์เชิงพาณิชย์ รวมไปถึงป้องกันการทำ Reverse Engineering ด้วย อาจกล่าวได้ว่า IEEE P175 เป็นโซลูชัน DRM สำหรับชิ้นส่วนฮาร์ดแวร์ระดับล่างซึ่งช่วยให้โค้ดจากผู้ผลิตหลายๆ รายสามารถทำงานด้วยกันได้ในขณะที่ยังถูกเข้ารหัสข้อมูลอยู่

อย่างไรก็ตาม ทีมนักวิจัย 5 คนจาก University of Florida ได้ทำการตรวจสอบมาตรฐานดังกล่าวจากการโจมตีแบบ Cryptographic หลากหลายรูปแบบ พบว่า IEEE P175 ยังคงมีประเด็นด้านความมั่นคงปลอดภัยหลายรายการ ซึ่งประเด็นที่ใหญ่ที่สุดที่ค้นพบคือ ช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถบายพาสกลไกการเข้ารหัสข้อมูลและเข้าถึงข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ได้ทันที

ช่องโหว่นี้ถือว่ามีอันตรายเป็นอย่างมาก เนื่องจากอาจทำให้คู่แข่งขโมยข้อมูลผลงานของอีกฝ่ายออกไปได้ ส่งผลให้บริษัทขนาดเล็กอาจถึงขั้นต้องปิดตัวเอง เหลือแค่เพียงไม่กี่รายที่ผูกขาดตลาดไว้แต่เพียงผู้เดียว

รายการช่องโหว่ทั้งหมดที่เกี่ยวข้องประกอบด้วย

  • CVE-2017-13091: improperly specified padding in CBC mode allows use of an EDA tool as a decryption oracle
  • CVE-2017-13092: improperly specified HDL syntax allows use of an EDA tool as a decryption oracle
  • CVE-2017-13093: modification of encrypted IP cyphertext to insert hardware trojans
  • CVE-2017-13094: modification of the encryption key and insertion of hardware trojans in any IP
  • CVE-2017-13095: modification of a license-deny response to a license grant
  • CVE-2017-13096: modification of Rights Block to get rid of or relax access control
  • CVE-2017-13097: modification of Rights Block to get rid of or relax license requirement

ผู้ที่สนใจสามารถอ่านงานวิจัยฉบับเต็มได้ที่: https://eprint.iacr.org/2017/828.pdf

ที่มา: https://www.bleepingcomputer.com/news/security/crypto-bugs-in-ieee-standard-expose-intellectual-property-in-plaintext/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

คอมพิวเตอร์และโน๊ตบุ๊คกว่า 900 รุ่นได้รับผลกระทบจากช่องโหว่ Intel ME

หลังจากที่ Intel ออกมายอมรับอย่างเป็นทางการว่า มีช่องโหว่ร้ายแรง 8 รายการบนชิป Intel Management Engine (ME) เมื่อ 3 วันก่อน ล่าสุด ทางเจ้าของผลิตภัณฑ์คอมพิวเตอร์และเซิร์ฟเวอร์ชื่อดังทั้ง …

10 ข้อแนะนำในการซื้อของออนไลน์ให้ปลอดภัย

ช่วงนี้ตลาดออนไลน์มาแรงมาก ดังนั้นวันนี้เราจึงได้สรุปคำแนะนำในการซื้อของออนไลน์ให้ปลอดภัยเพื่อจะได้ไม่ตกเป็นเหยื่อของอาชญากรในโลกไซเบอร์ โดยเฉพาะโปรโมรชันหลังวันขอบคุณพระเจ้า (Cyber Monday) จากเว็บต่างประเทศยิ่งเย้ายวนใจขาช้อปเสียด้วย