บล็อคข้อมูลจำนวนมากที่มีข้อมูลไบนารี่กำกับ (0s และ 1s สีน้ำเงิน)

การเข้ารหัสคืออะไรและทำงานอย่างไร

การเข้ารหัสเป็นวิธีการคละรวมข้อมูลเพื่อไม่ให้บุคคลอื่นสามารถอ่านข้อมูลได้ยกเว้นคนที่ได้รับอนุญาต กระบวนการเข้ารหัสจะทำการแปลงข้อความธรรมดาเป็นข้อความไซเฟอร์โดยใช้คีย์เข้ารหัสลับ (Cryptography) คีย์เข้ารหัสลับเป็นชุดค่าทางคณิตศาสตร์ที่ทั้งผู้ส่งและผู้รับรับทราบและตกลงกันไว้

การถอดรหัสหรือการแปลชุดข้อความของข้อมูลที่เข้ารหัสไว้จะสามารถทำได้สำหรับทุกคนที่มีคีย์ใช้งานที่ถูกต้อง ด้วยเหตุนี้ผู้เชี่ยวชาญด้านการเข้ารหัสลับจะมีการพัฒนาคีย์ที่ซับซ้อนและเดาได้ยากอย่างต่อเนื่อง สำหรับวิธีการเข้ารหัสที่ปลอดภัยมากยิ่งขึ้นจะมีการใช้คีย์ที่มีความซับซ้อนมากพอเพื่อทำให้การใช้ความพยายามหาวิธีถอดรหัสของแฮคเกอร์ (หรือ‘ Brute force) แทบจะไม่เป็นผลเลย

ข้อมูลสามารถเข้ารหัสได้ขณะ ‘'พักไว้’ (จัดเก็บไว้) หรือ ‘'ระหว่างการนำส่ง’ (ขณะถ่ายโอนข้อมูล) การเข้ารหัสข้อมูลมีการจำแนกประเภทหลัก ๆ ไว้สองประเภทได้แก่ แบบสมมาตรและอสมมาตร

  • การเข้ารหัสแบบสมมาตรจะใช้คีย์เพียงคีย์เดียว และทุกฝ่ายจะใช้คีย์ลับเดียวกัน
  • การเข้ารหัสแบบอสมมาตรถูกเรียกเช่นนี้เนื่องจากมีการใช้คีย์หลายตัว ตัวหนึ่งสำหรับการเข้ารหัส และอีกตัวสำหรับการถอดรหัส คีย์เข้ารหัสจะเป็นคีย์สาธารณะในขณะที่คีย์ถอดรหัสจะเป็นคีย์ส่วนตัว

ทำไมการเข้ารหัสข้อมูลจึงมีความจำเป็น

คนใส่สูทและเนคไทกำลังถือแท็บเล็ตและกดสัมผัสที่พื้นผิวสั่งการโดยใช้นิ้วเดียว ด้านบนจะมีไอคอนสีขาว 5 ไอคอน ได้แก่ สัญลักษณ์ล็อคในโทรศัพท์มือถือ, สัญลักษณ์ล็อคบนจอภาพ PC, สัญลักษณ์ล็อค, ลายนิ้วมือ และซองจดหมาย

ความเป็นส่วนตัว: เฉพาะเจ้าของและผู้รับข้อมูลเท่านั้นที่สามารถอ่านได้ โดยเป็นการป้องกันไม่ให้ผู้ไม่ประสงค์ดี, ISP และภาครัฐสามารถตีความข้อมูลที่ละเอียดอ่อนได้

การรักษาความปลอดภัย: การเข้ารหัสช่วยในการป้องกันการละเมิดข้อมูล หากอุปกรณ์ของหน่วยงานสูญหายหรือถูกขโมย ข้อมูลภายในจะถูกเข้ารหัสและปลอดภัยอยู่เช่นเดิม

ความสมบูรณ์ของข้อมูล: การเข้ารหัสยังช่วยป้องกันพฤติกรรมที่ไม่เหมาะสม เช่น on-path attack (การดักจับข้อมูลที่อยู่ระหว่างนำส่ง) เนื่องจากข้อมูลที่ถูกเข้ารหัสไว้จะไม่สามารถเปิดดูหรือจัดการใด ๆ ได้ระหว่างการนำส่ง

ระเบียบข้อบังคับ: ระเบียบข้อบังคับของกลุ่มอุตสาหกรรมและภาครัฐหลาย ๆ ชุดกำหนดให้ผู้ประกอบการเข้ารหัสข้อมูลผู้ใช้ เช่น HIPAA, PCI-DSS และ GDPR หน่วยงานรัฐและผู้รับเหมาของรัฐบาลสหรัฐฯจะต้องใช้มาตรฐาน FIPS (Federal Information Processing Standards)

อัลกอริทึมการเข้ารหัส

อัลกอริทึมการเข้ารหัสเป็นกระบวนการแปลงข้อมูลเป็นข้อความไซเฟอร์ อัลกอริทึมจะใช้คีย์เข้ารหัสเพื่อแก้ไขข้อมูลอย่างต่อเนื่อง แม้ว่าจะดูเหมือนเป็นกระบวนการแบบสุ่ม แต่คีย์ถอดรหัสจะสามารถแปลงข้อมูลเหล่านี้กลับมาเป็นข้อความธรรมดา อัลกอริทึมการเข้ารหัสที่พบได้ทั่วไปได้แก่ AES-3-DES, SNOW (แบบสมมาตรทั้งหมด) และการเข้ารหัสสัญญาณ Elliptic curve cryptography รวมทั้ง RSA (แบบอสมมาตรทั้งคู่)

RSA มีลักษณะคล้ายกับการเข้ารหัสแบบอสมมาตรทั้งหมดคือจะใช้ตัวประกอบเฉพาะ (คูณเลขเฉพาะจำนวนสูงสองตัวเข้าด้วยกัน) การแคร็กข้อมูลนี้ทำได้ยากมากเนื่องจากจะต้องหาเลขเฉพาะเดิมซึ่งเป็นการคำนวณในทางคณิตศาสตร์ กระบวนการ Brute Force เพื่อหาคีย์ RSA เป็นเรื่องที่เป็นไปได้ยากอย่างยิ่ง

Brute force

กรณีที่คอมพิวเตอร์ทดลองแคร็กรหัสผ่านหรือคีย์ถอดรหัสนับล้านหรือพันล้านครั้งจะเรียกว่า Brute Force คอมพิวเตอร์รุ่นใหม่ ๆ สามารถดำเนินการเรียงสับเปลี่ยนเหล่านี้ได้อย่างรวดเร็ว การเข้ารหัสสมัยใหม่จะต้องมีความยืดหยุ่นและพร้อมรองรับภัยคุกคามประเภทนี้ การเข้ารหัสลับเป็นแข่งกันอย่างต่อเนื่องระหว่างการพัฒนาวิธีที่รวดเร็วกว่าในการเจาะระบบกับการพัฒนาวิธีการเข้ารหัสที่ซับซ้อนมากยิ่งขึ้น

นิยามของการเข้ารหัสประเภทอื่น ๆ

ไอคอนรูปล็อคสีแดงที่เปิดอยู่และไอคอนรูปล็อคสีดำที่ปิดอยู่ซึ่งแสดงถึงการเข้ารหัสนั้นมีความเชื่อมโยงกับส่วนเชื่อมต่อเครือข่าย รหัสไบนารี่สีขาวที่อยู่ด้านบนแป้นพิมพ์โน้ตบุ๊ก และภาพสถานศึกษาที่ทันสมัยในตัวเมือง

การเข้ารหัสระบบจัดเก็บข้อมูลบนคลาวด์: อัลกอริทึมการเข้ารหัสจะแปลงข้อมูลหรือข้อความ จากนั้นจึงจัดเก็บไว้ในระบบคลาวด์ วิธีนี้จะคล้าย ๆ กับการเข้ารหัสภายในหน่วยงาน ยกเว้นลูกค้าจะต้องพิจารณาว่าระดับการเข้ารหัสของผู้ให้บริการสอดคล้องกับความต้องการของตนในส่วนการรักษาความปลอดภัย/ความละเอียดอ่อนของข้อมูลมากน้อยเพียงใด

การเข้ารหัสแบบ Deniable: การเข้ารหัสที่ใช้วิธีการเข้ารหัสหลายรูปแบบเพื่อทำให้สับสนในกรณีที่ข้อมูลอาจหรือถูกกำหนดเป็นเป้าหมายดักล้วงระหว่างการนำส่ง

FDE (full-disk encryption): การเข้ารหัสระดับฮาร์ดแวร์ ข้อมูลในฮาร์ดไดรฟ์จะถูกเข้ารหัสโดยอัตโนมัติและบุคคลที่ไม่มีคีย์การรับรองความถูกต้องที่เหมาะสมจะไม่สามารถอ่านได้ ฮาร์ดไดรฟ์จะไม่มีประโยชน์อะไรสำหรับคอมพิวเตอร์หากไม่มีคีย์นี้

BYOE (Bring Your Own Encryption): โมเดลการรักษาความปลอดภัยสำหรับการประมวลผลบนระบบคลาวด์ที่ให้ลูกค้าสามารถแสดงการทำงานของซอฟต์แวร์การเข้ารหัสเสมือนจริงพร้อม ๆ กับแอพพลิเคชั่นที่โฮสต์ผ่านคลาวด์ เรียกอีกอย่างว่า BYOK

EaaS (Encryption as a Service): บริการแบบสมัครใช้งานสำหรับผู้ใช้บริการคลาวด์ที่ไม่สามารถจัดการการเข้ารหัสได้เอง ครอบคลุม FDE การเข้ารหัสฐานข้อมูลหรือการเข้ารหัสไฟล์ข้อมูล

E2EE (End to End Encryption): ช่วยปกป้องข้อมูลระหว่างนำส่ง ข้อความที่ส่งผ่านแอพพลิเคชั่น เช่น WhatsApp จะถูกเข้ารหัสโดยซอฟต์แวร์ไคลเอนท์ และส่งต่อไปยังเว็บไคลเอนท์ แล้วถอดรหัสโดยผู้รับ

การเข้ารหัสระดับฟิลด์ข้อมูล: ข้อมูลในฟิลด์เว็บเพจบางส่วนที่มีการเข้ารหัสไว้ (เช่น SSN, หมายเลขบัตรเครดิต, ข้อมูลด้านสุขภาพ/การเงิน) ข้อมูลทั้งหมดในฟิลด์ที่เลือกจะถูกเข้ารหัสโดยอัตโนมัติ

การเข้ารหัสระดับคอลัมน์: แนวทางที่เซลล์ข้อมูลทั้งหมดในคอลัมน์เดียวกันจะใช้รหัสผ่านเดียวกันสำหรับการสืบค้นและอ่าน/เขียนข้อมูล

การเข้ารหัสระดับลิงค์: ทำหน้าที่เข้ารหัสข้อมูลเมื่อข้อมูลออกจากโฮสต์ และถอดรหัสที่จุดเชื่อมต่อถัดไป แล้วเข้ารหัสซ้ำเมื่อถูกส่งออกไปอีก โดยอาจใช้คีย์/อัลกอริทึมในแต่ละจุดเชื่อมต่อแตกต่างกันไป

การเข้ารหัสระดับเครือข่าย: บริการเข้ารหัสลับที่ส่วนการถ่ายโอนข้อมูลเครือข่ายโดยอาศัย Internet Protocol Security (IPSec) ซึ่งจะกำหนดกรอบการทำงานแบบส่วนตัวสำหรับการสื่อสารผ่านเครือข่าย IP

การเข้ารหัสโฮโมมอร์ฟิค: เป็นการแปลงข้อมูลเป็นข้อความไซเฟอร์ที่สามารถนำไปวิเคราะห์และใช้งานได้เสมือนกับว่าไม่มีการเข้ารหัส เป็นประโยชน์สำหรับงานด้านคณิตศาสตร์เพื่อที่จะไม่ต้องถอดรหัส

HTTPS: รองรับการเข้ารหัสเว็บไซต์ต่าง ๆ โดยการเรียกใช้ HTTP ผ่านโปรโตคอล TLS ทั้งนี้จะต้องทำการติดตั้งคีย์สาธารณะเพื่อให้เว็บเซิร์ฟเวอร์สามารถเข้ารหัสข้อมูลที่จะส่งไปได้

การเข้ารหัสลับเชิงควอนตัม: ใช้กลไกเชิงควอนตัมในการปกป้องข้อมูล ทั้งนี้จะไม่สามารถประเมินข้อมูลที่เข้ารหัสเชิงควอนตัมได้หากไม่ปรับค่าคุณสมบัติเหล่านี้ (ตำแหน่งและโมเมนตัม) ความพยายามในการคัดลอกหรือเข้าถึงข้อมูลจะเป็นการปรับเปลี่ยนข้อมูลด้วยเช่นกัน และผู้ได้รับอนุญาตจะได้รับการแจ้งเตือนว่ามีการโจมตีเกิดขึ้น

การเข้ารหัสจะเป็นประโยชน์ต่อบริษัทของคุณอย่างไร

กลยุทธ์การรักษาความปลอดภัยทางไซเบอร์จะต้องอาศัยวิธีการเข้ารหัสข้อมูลด้วย โดยเฉพาะสำหรับธุรกิจที่ใช้การประมวลผลบนระบบคลาวด์ การเข้ารหัสสามารถช่วยส่งเสริมการดำเนินงานของบริษัทได้หลายวิธีด้วยกัน

การเข้ารหัสอีเมล: เนื่องจากอีเมลเป็นฟังก์ชั่นพื้นฐานสำหรับรองรับการสื่อสารและการดำเนินธุรกิจภายในหน่วยงานทั้งหมด ผู้ไม่ประสงค์ดีจึงมักมุ่งเจาะระบบอีเมลหรือพยายามล้วงข้อมูลที่อาจถูกเปิดเผยโดยไม่ได้ตั้งใจ กลุ่มอุตสาหกรรมต่าง ๆ เช่น บริการด้านการเงินหรือการดูแลสุขภาพมักมีการกำกับดูแลที่เข้มงวด แต่การบังคับใช้อาจเป็นเรื่องยาก โดยเฉพาะสำหรับอีเมลที่ผู้ใช้ปลายทางมักไม่พร้อมเปิดรับการเปลี่ยนแปลงหรือกระบวนการทำงานที่เป็นมาตรฐาน เราสามารถเลือกเสริมการทำงานของระบบปฏิบัติการและไคลเอนท์อีเมลใช้งานร่วมด้วยซอฟต์แวร์เข้ารหัสเพื่อให้การส่งอีเมลแบบเข้ารหัสทำได้ง่าย ๆ เหมือนกับการส่งอีเมลที่ไม่มีการเข้ารหัส

Big data: การปกป้องข้อมูลอย่างต่อเนื่องเพื่อควบคุมมาตรฐานด้านความเป็นส่วนตัว รักษาความปลอดภัยระบบวิเคราะห์บนคลาวด์ การเข้ารหัสและเทคโนโลยีจัดทำชุดข้อมูลโทเคนสำหรับการถ่ายโอนข้อมูลผ่านคลาวด์ ทำให้การเข้ารหัสสามารถปรับประสานกับส่วนปฏิบัติการคลาวด์หลาย ๆ ส่วนเพื่อรวมศูนย์ระบบป้องกันที่เน้นข้อมูลเป็นสำคัญ เมื่อใดก็ตามที่ข้อมูลที่ละเอียดอ่อนเคลื่อนผ่านระบบคลาวด์แบบต่าง ๆ เทคโนโลยีเหล่านี้ก็จะทำหน้าที่เข้ารหัสข้อมูล

การรักษาความปลอดภัยระบบชำระเงิน: ผู้ค้า ผู้ประมวลผลการชำระเงิน และองค์กรต่าง ๆ อาจประสบปัญหาในการดูแลความปลอดภัยของข้อมูลที่ละเอียดอ่อนและมีมูลค่าสูง เช่น ข้อมูลเจ้าของบัตร เพื่อให้เป็นไปตามมาตรฐาน PCI DSS (Payment Card Industry Data Security Standard) และกฎหมายความเป็นส่วนตัวของข้อมูล อย่างไรก็ตาม ซอฟต์แวร์เข้ารหัสสามารถช่วยปกป้องการทำธุรกรรมผ่าน POS หน้าร้าน, เว็บ และอีคอมเมิร์ซบนมือถือ

นอกเหนือจากส่วนบริการและระบบป้องกันข้างต้นที่อาศัยวิธีการเข้ารหัส ระบบดังกล่าวยังเป็นประโยชน์ต่อการปกปิดข้อมูล (เข้ารหัสเนื้อหาขอข้อความ), การตรวจสอบความถูกต้อง (ยืนยันที่มาของข้อความ), การยืนยันตัวตนผู้รับผู้ส่ง (ป้องกันการปฏิเสธการรับส่งข้อความที่เข้ารหัสไว้) และความสมบูรณ์ของข้อมูล (ยืนยันว่าเนื้อหาข้อความไม่ถูกแก้ไขใด ๆ)

การเข้ารหัสมีข้อเสียบ้างหรือไม่

การเข้ารหัสออกแบบมาเพื่อไม่ให้หน่วยงานที่ไม่ได้รับอนุญาตสามารถตีความข้อมูลที่ได้มาอย่างไม่ถูกต้องได้ อย่างไรก็ตาม ในบางกรณีวิธีการนี้ก็อาจเป็นปัญหาสำหรับเจ้าของข้อมูลได้เช่นกัน การจัดการคีย์เป็นเรื่องที่ซับซ้อนสำหรับหน่วยงานต่าง ๆ เนื่องจากจะต้องมีการจัดสรรพื้นที่สำหรับคีย์เหล่านี้และผู้ไม่ประสงค์ดีก็มักจะพยายามอย่างเต็มที่เพื่อเข้าถึงคีย์เหล่านี้ การจัดการคีย์จะทำให้การสำรองและกู้ข้อมูลเกิดความซับซ้อนมากขึ้น เนื่องจากในกรณีที่เกิดภัยพิบัติขึ้น การเรียกค้นคีย์และการเพิ่มข้อมูลไปยังเซิร์ฟเวอร์สำรองข้อมูลจะทำให้ต้องใช้เวลาอย่างมาก ผู้ดูแลระบบจะต้องมีแผนการป้องกันระบบการจัดการคีย์ใช้งาน เช่น มีระบบสำรองข้อมูลแยกเฉพาะที่เรียกค้นได้ง่ายหากเกิดภัยพิบัติเป็นวงกว้างขึ้น

ซอฟต์แวร์จะถูกนำมาใช้เพื่อปรับปรุงการจัดการคีย์ เช่น Key Wrapping วิธีการนี้เป็นการเข้ารหัสคีย์เข้ารหัสของหน่วยงานแบบแยกเฉพาะหรือรวมกัน และสามารถเปิดใช้งานได้เมื่อต้องการ โดยปกติจะเป็นการเข้ารหัสแบบสมมาตร

ในขณะที่การโจมตีแบบ Brute Force อาจไม่ได้ผลสำหรับคีย์ที่มีบิตสูง แต่ก็ไม่ใช่ว่าจะเป็นไปไม่ได้เลย ความพยายามหลาย ๆ ครั้งมีจุดประสงค์เพื่อเข้าถึงคีย์โดยไม่ได้รับอนุญาตผ่านวิศวกรรมสังคม วิธีการนี้เป็นการกำหนดกลุ่มเป้าหมายที่ไม่ใช่ระบบการทำงานแต่มุ่งเป้าไปที่ผู้ใช้ที่ดูแลและใช้งานระบบ การโจมตีผ่านฟิชชิ่ง, มัลแวร์, BadUSB: มีวิธีการมากมายที่แฮคเกอร์สามารถอาศัยความเลินเล่อของผู้ใช้เพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่มีจุดประสงค์เพื่อปกป้องเครือข่ายจากการโจมตีจากภายนอก

การเข้ารหัสเชิงซอฟต์แวร์ ถือเป็นวิธีการที่ปลอดภัยน้อยกว่าการเข้ารหัสเชิงฮาร์ดแวร์ การเข้ารหัสเชิงซอฟต์แวร์เรียกอีกอย่างว่า ‘การเข้ารหัสแบบยกเลิกได้’ เนื่องจากผู้ไม่ประสงค์ดีสามารถหลีกเลี่ยงระบบบนี้โดยการโจมตีผ่านระบบทางกายภาพ การเข้ารหัสเชิงฮาร์ดแวร์ เชื่อว่ามีความปลอดภัยมากกว่า เนื่องจากมีระบบการป้องกันทางกายภาพที่ป้องกันการทุบทำลายด้วย

#KingstonIsWithYou #KingstonIronKey

ไอคอน Ask an Expert ของ Kingston บนชิปเซ็ตของแผงวงจร

ถามผู้เชี่ยวชาญ

การวางแผนระบบการทำงานที่เหมาะสมต้องอาศัยความเข้าใจเกี่ยวกับวัตถุประสงค์ด้าน IT ของคุณ ให้ผู้เชี่ยวชาญจาก Kingston เสนอคำแนะนำที่เป็นประโยชน์แก่คุณ

ถามผู้เชี่ยวชาญ

วิดีโอที่เกี่ยวข้อง

บทความที่เกี่ยวข้อง