พบช่องโหว่เข้ารหัสข้อมูลบนมาตรฐาน IEEE เสี่ยงข้อมูลทรัพย์สินทางปัญญาถูกขโมย

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก University of Florida ออกมาแจ้งเตือนถึงช่องโหว่วิทยาการรหัสลับบนมาตรฐาน IEEE P175 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีการเข้ารหัสข้อมูลและนำข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ออกไปได้

Credit: ShutterStock.com

IEEE P175 เป็นมาตรฐานที่ระบุถึงชุดของกระบวนการและเทคนิคในการเข้ารหัสข้อมูลบนฮาร์ดแวร์และซอฟต์แวร์ภายใน Chips, SoCs, Integrated Circuits และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ซึ่งมาตรฐานดังกล่าวถูกใช้เพื่อปกป้องข้อมูลลิขสิทธิ์ทางปัญญาสำหรับการออกแบบอุปกรณ์อิเล็กทรอนิกส์เชิงพาณิชย์ รวมไปถึงป้องกันการทำ Reverse Engineering ด้วย อาจกล่าวได้ว่า IEEE P175 เป็นโซลูชัน DRM สำหรับชิ้นส่วนฮาร์ดแวร์ระดับล่างซึ่งช่วยให้โค้ดจากผู้ผลิตหลายๆ รายสามารถทำงานด้วยกันได้ในขณะที่ยังถูกเข้ารหัสข้อมูลอยู่

อย่างไรก็ตาม ทีมนักวิจัย 5 คนจาก University of Florida ได้ทำการตรวจสอบมาตรฐานดังกล่าวจากการโจมตีแบบ Cryptographic หลากหลายรูปแบบ พบว่า IEEE P175 ยังคงมีประเด็นด้านความมั่นคงปลอดภัยหลายรายการ ซึ่งประเด็นที่ใหญ่ที่สุดที่ค้นพบคือ ช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถบายพาสกลไกการเข้ารหัสข้อมูลและเข้าถึงข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ได้ทันที

ช่องโหว่นี้ถือว่ามีอันตรายเป็นอย่างมาก เนื่องจากอาจทำให้คู่แข่งขโมยข้อมูลผลงานของอีกฝ่ายออกไปได้ ส่งผลให้บริษัทขนาดเล็กอาจถึงขั้นต้องปิดตัวเอง เหลือแค่เพียงไม่กี่รายที่ผูกขาดตลาดไว้แต่เพียงผู้เดียว

รายการช่องโหว่ทั้งหมดที่เกี่ยวข้องประกอบด้วย

  • CVE-2017-13091: improperly specified padding in CBC mode allows use of an EDA tool as a decryption oracle
  • CVE-2017-13092: improperly specified HDL syntax allows use of an EDA tool as a decryption oracle
  • CVE-2017-13093: modification of encrypted IP cyphertext to insert hardware trojans
  • CVE-2017-13094: modification of the encryption key and insertion of hardware trojans in any IP
  • CVE-2017-13095: modification of a license-deny response to a license grant
  • CVE-2017-13096: modification of Rights Block to get rid of or relax access control
  • CVE-2017-13097: modification of Rights Block to get rid of or relax license requirement

ผู้ที่สนใจสามารถอ่านงานวิจัยฉบับเต็มได้ที่: https://eprint.iacr.org/2017/828.pdf

ที่มา: https://www.bleepingcomputer.com/news/security/crypto-bugs-in-ieee-standard-expose-intellectual-property-in-plaintext/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google อัปเดตใช้ File Signature ตรวจสอบแอปพลิเคชันบน Android

Google เปลี่ยนวิธีการตรวจสอบความถูกต้องของแอปพลิเคชันบน Android ก่อนการติดตั้ง โดยทางบริษัทได้แก้ไข Header ของ APK ไฟล์เพื่อเพิ่ม metadata ข้อมูลที่เป็น Signature ของไฟล์ Application นั้นลงไป …

คนร้ายชาวยูเครน 4 คนถูกจับฐานตั้งเว็บปลอมเทรด Cryptocurrency

ตำรวจของยูเครเข้าจับชายอายุระหว่าง 20-26 ปี 4 คนผู้ต้องสงสัยข้อหาตั้ง 6 เว็บปลอมเพื่อขโมยเงินเทรด Cryptocurrency ของเหยื่อ โดยทางตำรวจกล่าวว่า “พวกเขามีทักษะเฉพาะในด้านการเขียนโปรแกรมและสร้างระบบบริหารจัดการเนื้อหา (CMS) ขั้นมาสำหรับไซต์เหล่านั้น” คนร้ายนั้นได้ใช้วิธีการสร้างความน่าเชื่อถือของเว็บด้วยการแสดงความเห็นบนโลกออนไลน์และให้คะแนนในด้านบวก