งานวิจัยด้านความปลอดภัยในมาตรฐาน PKCS#11 เวอร์ชั่น 1.5 ที่ออกมานั้นแม้จะเป็นปัญหาในโปรโตคอลโดยทั่วไปไม่ใช่ปัญหาขอ ง RSA โดยตรง แต่พอชื่อแบรนด์ติดไปด้วยก็ต้องออกมาแก้ข่าวกัน อย่างไรก็ดีทาง RSA ระบุว่าปัญหาที่เกิดกับมาตรฐาน PKCS#11 ที่พบนั้นจำกัดมาก โดยประเด็นที่สำคัญได้แก่

  • ปัญหาที่เกิดขึ้นไม่เกี่ยวกับการใช้ OTP เพื่อเสริมความปลอดภัย
  • ปัญหานี้ไม่กระทบสินค้ารุ่นอื่นๆ มีแต่ SecurID 800 มีรองรับ PKCS#11
  • ปัญหานี้มีผลจำกัดและไม่มีประโยชน์อะไรนัก เพราะจะใช้ได้ต่อเมื่อมี PIN ซึ่งหากแฮกเกอร์มี PIN ก็ทำอย่างอื่นได้มากมายอยู่ดี
  • สุดท้ายคือปัญหานี้ไม่ได้ทำให้กุญแจลับหลุดออกมาแต่อ ย่างใด ต่างจากหลายแหล่ง (รวมถึง Blognone) รายงานกันมาก่อนหน้านี้

งานนี้ RSA แสดงความไม่พอใจอย่างชัดเจน โดยระบุว่าบริษัทยินดีที่จะร่วมมือกับโลกงานวิจัยเพื ่อสร้างความรู้รวมให้การรักษาความปลอดภัยทำได้ดีขึ้น แต่การที่งานวิจัยอ้างผลกระทบเกินกว่าความเป็นจริงนั ้นไม่ได้ทำให้เกิดความร่วมมือที่ดีกันแต่อย่างใด และเรียกร้องให้ทุกฝ่ายร่วมกันตรวจสอบให้งานวิจัยถูก ต้องและมีประโยชน์เพื่อเป็นประโยชน์ต่อชุมชนรวม
ที่มา - RSA


อ่านต่อ...