Yahoo! Mail เพิ่งเปิดบริการ HTTPS ตลอดเวลามาไม่นาน Ivan Ristic จาก Qualys รายงานถึงกระบวนการเข้ารหัสของ Yahoo! ว่ายังไม่น่าพอใจนักเพราะยังใช้ RC4 และกระบวนการแลกกุญแจที่ไม่รักษาความลับในอนาคต (forward secrecy)
Qualys พบว่า Yahoo! แบ่งการเข้ารหัสตามฟังก์ชั่นการทำงาน โดยเซิร์ฟเวอร์ในกลุ่ม login.yahoo.com ที่ใช้รับส่งรหัสผ่านจะใช้การเข้ารหัสแบบ AES ที่ปลอดภัยกว่า แต่ก็ไม่มีการป้องกันการโจมตีแบบใหม่ๆ เช่น BEAST หรือ CRIME อยู่ดี
กระบวนการแลกกุญแจที่ได้รับความนิยมก่อนหน้านี้มักแล กกุญแจด้วยการเข้ารหัส RSA ส่งกุญแจไปทั้งสองฝั่ง แต่ช่วงหลังเพื่อป้องกันในกรณีเซิร์ฟเวอร์ถูกแฮกแล้ว นำกุญแจไปถอดรหัสข้อมูล ผู้เชี่ยวชาญมักแนะนำให้ใช้การเข้ารหัสที่แลกกุญแจด้ วยกระบวนการ Diffie-Hellman ที่ไม่มีกุญแจถูกส่งออกไปจากเครื่องจริงๆ ทำให้แม้จะดักบันทึกข้อมูลสื่อสารเอาไว้ และได้กุญแจลับมาภายหลังก็ถอดรหัสไม่ได้
แม้การเจาะเพื่อขโมยกุญแจลับออกไปจากเครื่องจะยังไม่ มีรายงานกันเท่าบ่อย แต่ความกังวลของ NSA ทำให้ผู้เชี่ยวชาญจำนวนมากแนะนำ
สำหรับประเทศไทย ธนาคารเกือบทุกแห่งใช้กระบวนการเข้ารหัสแบบ RC4 และแลกกุญแจแบบ RSA ที่ไม่รักษาความลับในอนาคต มีเพียงบางแห่งเข้ารหัสแบบ AES_256 แต่ก็ยังแลกกุญแจด้วย RC4
ที่มา - IT World
Yahoo!, HTTPS, Security




อ่านต่อ...