Cryptography

การเข้ารหัสคืออะไร? (What is cryptography?)

การเข้ารหัสเป็นเครื่องมือรักษาความปลอดภัยคอมพิวเตอร์ที่สำคัญ ซึ่งเกี่ยวข้องกับเทคนิคในการจัดเก็บและส่งข้อมูลในลักษณะที่ป้องกันการเข้าถึงหรือการแทรกแซงโดยไม่ได้รับอนุญาต

การเข้ารหัสช่วยให้การสื่อสารเป็นความลับและปลอดภัยได้อย่างไร?

กระบวนการเข้ารหัสของการแปลงข้อความจากรูปแบบที่อ่านได้ เป็นรูปแบบที่อ่านไม่ได้ ซึ่งข้อความที่อ่านไม่ได้นี้ ถูกเรียกว่าข้อความเข้ารหัส (Cipher text) กระบวนการนี้เรียกว่าการเข้ารหัส (Encryption) 

การส่งข้อความลับหรือข้อความส่วนตัวในรูปแบบข้อความเข้ารหัสเป็นการใช้การเข้ารหัสแบบทั่วไป เมื่อได้รับข้อความเข้ารหัสแล้ว ผู้รับที่ได้รับอนุญาตจะถอดรหัสข้อความนั้นกลับคืนสู่รูปแบบที่อ่านได้ การถอดรหัส (Descrambling or decryption) จะดำเนินการโดยใช้คีย์เข้ารหัส ซึ่งทำหน้าที่ป้องกันไม่ให้บุคคลภายนอกอ่านข้อความเหล่านี้

ในประวัติศาสตร์มีการใช้วิธีการเข้ารหัสมาช้านาน เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าใจข้อความ "จูเลียส ซีซาร์" ได้รับการยกย่องว่าเป็นผู้ริเริ่มการเข้ารหัสรูปแบบแรกๆ ที่เรียกว่า "รหัสซีซาร์" เพื่อส่งข้อความถึงนายพล ด้วยความซับซ้อนที่เพิ่มมากขึ้น ปัจจุบัน การเข้ารหัสมีบทบาทสำคัญในการรับรองความเป็นส่วนตัว (Privacy), ความลับของข้อมูล(Confidentiality), ความสมบูรณ์ของข้อมูล (Integrity) และการพิสูจน์ตัวตน (Authentication) ในระบบคอมพิวเตอร์และเครือข่าย ในโลกปัจจุบันที่การสื่อสารและธุรกรรมส่วนตัวและอาชีพส่วนใหญ่มีการดำเนินการทางออนไลน์ การเข้ารหัสจึงมีความสำคัญมากขึ้นเรื่อยๆ

ประเภทของระบบการเข้ารหัส

การเข้ารหัส (Cryptography) หมายถึง เทคนิคและอัลกอริทึมที่ใช้ในปัจจุบันสำหรับการสื่อสารที่ปลอดภัยและข้อมูลในที่จัดเก็บ ซึ่งรวมถึงคณิตศาสตร์, วิทยาการคอมพิวเตอร์, อิเล็กทรอนิกส์, และการประมวลผลสัญญาณดิจิทัล โดยทั่วไปแล้ว ระบบการเข้ารหัสมี 4 ประเภท:

หลักการรักษาความปลอดภัยของข้อมูลและการใช้การเข้ารหัส

หลักการสำคัญของการรักษาความปลอดภัยข้อมูล ได้แก่ การรักษาความลับ(Confidentiality), ความถูกต้องสมบูรณ์(Integrity), และความพร้อมใช้งาน(Availability) การเข้ารหัสเป็นเครื่องมือสำคัญที่ช่วยรักษาหลักการ 2 ประการ คือ

• การรักษาความลับของข้อมูล(Data confidentiality) ช่วยให้มั่นใจว่าข้อมูลจะไม่ถูกเปิดเผยต่อบุคคลที่ไม่ได้รับอนุญาต เทคนิคการเข้ารหัส เช่น Encryption สามารถใช้เพื่อปกป้องความลับของข้อมูลโดยทำให้ผู้ที่ไม่มีคีย์การถอดรหัสที่ถูกต้องไม่สามารถอ่านข้อมูลได้

• ความถูกต้องสมบูรณ์ของข้อมูล(Data integrity) ช่วยให้มั่นใจว่าข้อมูลจะไม่ถูกแก้ไขหรือเสียหาย ตัวอย่างหนึ่งของมาตรฐานสากลเกี่ยวกับความถูกต้องสมบูรณ์ของข้อมูลคือ ISO/IEC 9797 ซึ่งระบุอัลกอริทึมสำหรับการคำนวณรหัสยืนยันข้อความ

นอกเหนือจากวัตถุประสงค์ด้านความปลอดภัยของข้อมูลที่สำคัญเหล่านี้แล้ว การเข้ารหัสยังถูกนำมาใช้เพื่อให้บรรลุ:

การพิสูจน์ตัวตนของเอนทิตี (Entity authentication)

การพิสูจน์ตัวตนของเอนทิตีจะยืนยันตัวตนของผู้ส่งโดยการตรวจสอบความรู้เกี่ยวกับความลับ, กลไกและโปรโตคอลต่างๆ ที่ใช้การเข้ารหัสสามารถใช้เพื่อบรรลุสิ่งนี้ได้ เช่น ระบบสมมาตร(symmetric systems), ลายเซ็นดิจิทัล(digital signatures), เทคนิคความรู้เป็นศูนย์(zero-knowledge techniques) และผลรวมการตรวจสอบ (checksums)  ISO/IEC 9798 เป็นชุดมาตรฐานที่ระบุโปรโตคอลและเทคนิคในการพิสูจน์ตัวตนของเอนทิตี

ลายเซ็นดิจิทัล (Digital signature)

ลายเซ็นดิจิทัลใช้เพื่อยืนยันความถูกต้องของข้อมูล โดยยืนยันว่าข้อมูลมาจากผู้ลงนามและไม่มีการเปลี่ยนแปลง ลายเซ็นดิจิทัลใช้ในข้อความอีเมล เอกสารอิเล็กทรอนิกส์ และการชำระเงินออนไลน์ เป็นต้น มาตรฐานสากลที่ระบุรูปแบบลายเซ็นดิจิทัล ได้แก่ ISO/IEC 9796, ISO/IEC 14888, ISO/IEC18370 และ ISO/IEC 20008

การไม่ปฏิเสธ (Non-repudiation)

เทคนิคการเข้ารหัส เช่น ลายเซ็นดิจิทัล สามารถใช้เพื่อป้องกันการปฏิเสธได้โดยการทำให้แน่ใจว่าผู้ส่งและผู้รับข้อความไม่สามารถปฏิเสธได้ว่าตนเองส่งหรือรับข้อความนั้น มาตรฐาน ISO/IEC 13888 อธิบายเทคนิค (แบบสมมาตรและไม่สมมาตร) สำหรับการให้บริการป้องกันการปฏิเสธ

การเข้ารหัสแบบเบา (Lightweight cryptography)

การเข้ารหัสแบบ Lightweight ใช้ในแอปพลิเคชันและเทคโนโลยีที่มีข้อจำกัดในด้านความซับซ้อนในการคำนวณ  ปัจจัยที่จำกัดอาจเป็นหน่วยความจำ, พลังงาน, และทรัพยากรในการประมวลผล ความต้องการการเข้ารหัสแบบแบบเบากำลังขยายตัวในโลกดิจิทัลยุคใหม่ อุปกรณ์ที่มีข้อจำกัด เช่น เซ็นเซอร์ IoT (Internet of Things) หรือตัวกระตุ้น เช่น อุปกรณ์ที่เปิดเครื่องใช้ไฟฟ้าในบ้านอัจฉริยะ (smart home) ใช้การเข้ารหัสแบบสมมาตรแบบเบา ISO/IEC 29192 เป็นมาตรฐาน 8 ส่วนที่ระบุเทคนิคการเข้ารหัสต่างๆ สำหรับแอปพลิเคชันน้ำหนักเบา

การจัดการสิทธิ์ดิจิทัล (Digital right management)

การจัดการสิทธิ์ดิจิทัล (DRM) ช่วยปกป้องลิขสิทธิ์ของเนื้อหาดิจิทัล DRM ใช้ซอฟต์แวร์เข้ารหัสเพื่อให้แน่ใจว่าผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่จะเข้าถึงเนื้อหา, แก้ไข, หรือแจกจ่ายเนื้อหาได้

การพาณิชย์อิเล็กทรอนิกส์และการช้อปปิ้งออนไลน์ (Electronic commerce and online shopping)

อีคอมเมิร์ซที่ปลอดภัยเป็นไปได้ ด้วยการใช้การเข้ารหัสแบบอสมมาตร การเข้ารหัสมีบทบาทสำคัญในการช้อปปิ้งออนไลน์ เนื่องจากช่วยปกป้องข้อมูลบัตรเครดิตและรายละเอียดส่วนบุคคลที่เกี่ยวข้อง ตลอดจนประวัติการซื้อและธุรกรรมของลูกค้า

สกุลเงินดิจิทัลและบล็อคเชน (Cryptocurrencies and blockchain)

Cryptocurrency คือ สกุลเงินดิจิทัลที่ใช้เทคนิคการเข้ารหัสเพื่อรักษาความปลอดภัยในการทำธุรกรรม โดยเหรียญสกุลเงินดิจิทัลแต่ละเหรียญจะได้รับการตรวจสอบผ่านเทคโนโลยีบัญชีแยกประเภทแบบกระจาย (เช่น บล็อคเชน (Blockchain)) ในกรณีนี้ บัญชีแยกประเภท คือ รายการบันทึกที่เติบโตอย่างต่อเนื่อง ซึ่งเรียกว่าบล็อก โดยเชื่อมโยงกันโดยใช้การเข้ารหัส

อัลกอริทึมการเข้ารหัสคืออะไร

อัลกอริทึมการเข้ารหัส (cryptography algorithm) คือ กระบวนการทางคณิตศาสตร์สำหรับการเข้ารหัสข้อความ และทำให้ไม่สามารถอ่านได้ อัลกอริทึมการเข้ารหัสใช้ในการรักษาความลับของข้อมูล(confidentiality), ความสมบูรณ์ของข้อมูล(integrity), และการพิสูจน์ตัวตน(authentication) รวมถึงลายเซ็นดิจิทัลและวัตถุประสงค์ด้านความปลอดภัยอื่นๆ

ทั้ง DES (Data Encryption Standard) และ AES (Advanced Encryption Standard) เป็นตัวอย่างยอดนิยมของอัลกอริทึมคีย์สมมาตร ในขณะที่อัลกอริทึมคีย์อสมมาตรที่โดดเด่นได้แก่ RSA (Rivest-Shamir-Adleman) และ ECC (elliptic curve cryptography)

การนำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC27001:2022 Information Security Management System) มาประยุกต์ใช้เป็นหนึ่งในเครื่องมือที่ช่วยให้องค์กร เสริมสร้างความปลอดภัยทางด้านไอที เพิ่มความเชื่อมั่นให้กับลูกค้า, ผู้บริหารและผู้มีส่วนได้ส่วนเสียต่าง ๆ 

สนใจฝึกอบรมจัดทำระบบ ติดต่อเรา ยินดีให้คำปรึกษากับทุกองค์กร

ติดต่อที่ปรึกษาจัดทำระบบ ISO22301, ISO27001, BCP หรืออื่น ๆ  โทร. 084-1147666

#Cybersecurity, #Cryptography, #ISMS, #ISO27001, #ISO