หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่ว ยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้ งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง
ร่างใหม่นี้มีความเปลี่ยนแปลงสำคัญ คือ การจัดความสัมพันธ์กับ NSA เสียใหม่ ตามกฎหมายของสหรัฐฯ บังคับให้ NIST ต้องปรึกษา NSA ก่อนออกมาตรฐาน ตามร่างใหม่นี้ระบุว่า NIST จะประชุมร่วมกับ NSA ในที่ประชุมกรรมการระบบความมั่นคงปลอดภัยแห่งชาติ (Committee on National Security Systems - CNSS) จากนั้น NIST จึงนำข้อเสนอมาพิจารณา
อีกแนวทางหนึ่งคือ NIST จะระบุชื่อคนพัฒนามาตรฐานไว้เสมอ หากไม่สามารถระบุได้ก็จะระบุเป็นชื่อหน่วยงานแทน ในกรณีของ Dual_EC_DRBG ชื่อมาตรฐานก็ระบุตั้งแต่ช่วงเสนอและช่วงประกาศใช้ว่ าเป็นมาตรฐานโดย NSA
ที่มา - GovInfo Security, NIST
NIST, Information Security, Security, Open Standard




อ่านต่อ...