พบช่องโหว่เข้ารหัสข้อมูลบนมาตรฐาน IEEE เสี่ยงข้อมูลทรัพย์สินทางปัญญาถูกขโมย

November 6, 2017 Cybersecurity, Data Security and Privacy, IT Knowledge, IT Researches, Threats Update, Vulnerability and Risk Management

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก University of Florida ออกมาแจ้งเตือนถึงช่องโหว่วิทยาการรหัสลับบนมาตรฐาน IEEE P175 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีการเข้ารหัสข้อมูลและนำข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ออกไปได้

Credit: ShutterStock.com

IEEE P175 เป็นมาตรฐานที่ระบุถึงชุดของกระบวนการและเทคนิคในการเข้ารหัสข้อมูลบนฮาร์ดแวร์และซอฟต์แวร์ภายใน Chips, SoCs, Integrated Circuits และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ซึ่งมาตรฐานดังกล่าวถูกใช้เพื่อปกป้องข้อมูลลิขสิทธิ์ทางปัญญาสำหรับการออกแบบอุปกรณ์อิเล็กทรอนิกส์เชิงพาณิชย์ รวมไปถึงป้องกันการทำ Reverse Engineering ด้วย อาจกล่าวได้ว่า IEEE P175 เป็นโซลูชัน DRM สำหรับชิ้นส่วนฮาร์ดแวร์ระดับล่างซึ่งช่วยให้โค้ดจากผู้ผลิตหลายๆ รายสามารถทำงานด้วยกันได้ในขณะที่ยังถูกเข้ารหัสข้อมูลอยู่

อย่างไรก็ตาม ทีมนักวิจัย 5 คนจาก University of Florida ได้ทำการตรวจสอบมาตรฐานดังกล่าวจากการโจมตีแบบ Cryptographic หลากหลายรูปแบบ พบว่า IEEE P175 ยังคงมีประเด็นด้านความมั่นคงปลอดภัยหลายรายการ ซึ่งประเด็นที่ใหญ่ที่สุดที่ค้นพบคือ ช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถบายพาสกลไกการเข้ารหัสข้อมูลและเข้าถึงข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ได้ทันที

ช่องโหว่นี้ถือว่ามีอันตรายเป็นอย่างมาก เนื่องจากอาจทำให้คู่แข่งขโมยข้อมูลผลงานของอีกฝ่ายออกไปได้ ส่งผลให้บริษัทขนาดเล็กอาจถึงขั้นต้องปิดตัวเอง เหลือแค่เพียงไม่กี่รายที่ผูกขาดตลาดไว้แต่เพียงผู้เดียว

รายการช่องโหว่ทั้งหมดที่เกี่ยวข้องประกอบด้วย

  • CVE-2017-13091: improperly specified padding in CBC mode allows use of an EDA tool as a decryption oracle
  • CVE-2017-13092: improperly specified HDL syntax allows use of an EDA tool as a decryption oracle
  • CVE-2017-13093: modification of encrypted IP cyphertext to insert hardware trojans
  • CVE-2017-13094: modification of the encryption key and insertion of hardware trojans in any IP
  • CVE-2017-13095: modification of a license-deny response to a license grant
  • CVE-2017-13096: modification of Rights Block to get rid of or relax access control
  • CVE-2017-13097: modification of Rights Block to get rid of or relax license requirement

ผู้ที่สนใจสามารถอ่านงานวิจัยฉบับเต็มได้ที่: https://eprint.iacr.org/2017/828.pdf

ที่มา: https://www.bleepingcomputer.com/news/security/crypto-bugs-in-ieee-standard-expose-intellectual-property-in-plaintext/

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CyberGenics ผนึก Ensign InfoSecurity ยกระดับ Cybersecurity ไทย รับมือภัยยุค AI และความเสี่ยง Quantum Safe [PR]

บริษัท ไซเบอร์จีนิคส์ จำกัด (CyberGenics) ผู้นำด้านความมั่นคงปลอดภัยไซเบอร์แบบครบวงจรในเครือบริษัท จีเอเบิล จำกัด (มหาชน) (G-ABLE) ประกาศลงนามบันทึกความเข้าใจ (MOU) กับ Ensign InfoSecurity ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ชั้นนำจากสิงคโปร์ …

Trend Micro เตือนช่องโหว่ Zero-day บน Apex One ถูกใช้โจมตีจริงแล้ว

Trend Micro ออกแพตช์แก้ช่องโหว่ Zero-day CVE-2026-34926 บน Apex One เวอร์ชัน On-premises หลังพบว่าถูกใช้โจมตีจริงแล้ว ขณะที่ CISA สั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แพตช์ภายในวันที่ …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand