ACIS Article

พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่ 3 (Common Body of Knowledge: CBK)
by A.Pinya Hom-anek, CISSP

ในงาน "IT Security 2002" ที่ศูนย์ประชุมแห่งชาติสิริกิติ์ที่ผ่านมานั้น ผมได้มีโอกาสกล่าวถึง "Security Professional Certification" ( Download Slide http://www.topsecure.net ) ได้แก่ CISSP ของ ISC2 (www.isc2.org) การสอบประกาศนียบัตร CISSP นั้น ต้องมีความรู้ที่เรียกว่า CBK (Common Body of Knowledge) ครบทั้ง 10 Domain ถึงจะสอบผ่านได้ตามเกณฑ์ที่ ISC2 ได้ตั้งไว้

จากฉบับที่แล้ว ผมได้กล่าวถึง CBK ทั้ง 2 Domain ไปแล้วก็คือ "Access Control System & Methodology" และ "Telecommunication & Network Security" สำหรับ Domain ที่ 3 ได้แก่ "Cryptography" หมายถึง ความรู้ด้านการเข้ารหัส/ถอดรหัสข้อมูล เราใช้เทคโนโลยี Cryptography เพื่อได้มาซึ่ง Confidentiality คือการป้องกันความลับของข้อมูลไม่ให้พวก Hacker เข้ามาแอบ "Sniff" ข้อมูลที่เป็น Plain Text ของเรา และรักษา Integrity หรือ ความถูกต้องของข้อมูลไม่ให้ Hacker เข้ามาแก้ไขข้อมูลในระหว่างการส่งผ่านซึ่งกันและกัน รวมทั้งข้อมูลที่เก็บอยู่ใน Server ด้วย นอกจากนี้ยังนำมาใช้ประโยชน์ด้าน "Authentication" ซึ่งหมายถึงเราสามารถตรวจสอบได้ว่าผู้ส่งและผู้รับเป็นใคร และเป็นตัวจริงไม่ใช่ Hacker ปลอมมาเป็นต้น

การเข้ารหัสข้อมูล ยังมีประโยชน์ด้าน "Non-Repudiation" ด้วยกล่าวคือ การห้ามปฏิเสธการทำธุรกรรมทาง Electronics โดยมีการตรวจสอบได้จาก Digital Signature เราต้องมีความรู้เรื่อง PKI (Public Key Infrastructure) และ CA (Certificate Authority) เป็นพื้นฐานหลักเพื่อจะต่อยอดไปถึงเรื่อง VPN (Virtual Private Network) และการประยุกต์ใช้งาน IPsec ซึ่งประกอบด้วย 2 ส่วนสำคัญคือ AH (Authentication Header) และ ESP (Encapsulating Security Payload)

เราต้องรู้ว่าความแตกต่างระหว่าง Symmetric Algorithms และ Asymmetric Algorithms เช่น การเข้ารหัสแบบ RSA นั้นเป็นแบบ Asymmetric Algorithm เป็นต้น เรื่องของ Hash Function หรือ One Way Function นั้นเป็นเรื่องสำคัญที่เราจะต้องทำความเข้าใจด้วย เช่น MD5 hash แตกต่างจาก SHA1 Hash Function อย่างไร รวมทั้งข้อดีข้อเสียของการใช้ Algorithm ในแบบต่างๆ เช่นผลกระทบจากการใช้ Key ยาวเกินไป , พื้นฐานเรื่อง Key Management , การทำงานของ CA/RA ในระบบ PKI

การประยุกต์ใช้งานเทคโนโลยี Cryptography เช่น SSL (Secure Socket Layer), SET (Secure Electronics Transaction) ตลอดจนพวกที่เป็น Hardware ได้แก่ Smart card หรือ Token รวมทั้ง วิธีการ "Attack" ของ Hacker กับข้อมูลที่มีการเข้ารหัสนั้น เราก็ต้องรู้ด้วยเช่นวิธี Brute Force, Replay, MIM (Man-in-the-Middle) หรือ Birthday Attack เป็นต้น

จะเห็นได้ว่า Domain ที่ 3 นี้ค่อนข้างจะยากพอสมควร สำหรับคนที่ยังไม่เคยอ่านหรือศึกษาเรื่อง Cryptography แนะนำให้อ่านหนังสือด้าน Cryptography อาทิ หนังสือของ RSA Press ชื่อ "RSA Security Official Guide to Cryptography หรือของ Bruce Schneier ชื่อ "Applied Cryptography 2nd Edition" เป็นต้น ในฉบับต่อไป เราจะมากล่าวถึง Domain ที่ 4 คือ "Application & System Development Security" นะครับ

จาก : หนังสือ eWeek Thailand
ปีที่ 10 ฉบับที่19 ประจำเดือนตุลาคม 2545 (ปักแรก)
Update Information : 24 กันยายน 2545