Cloudflare ได้นำการเข้ารหัสแบบ End-to-End (E2EE) มาใช้กับแอปประชุมผ่านวิดีโอ Orange Meets และเปิดโอเพ่นซอร์สโซลูชันนี้เพื่อความโปร่งใส

แอปพลิเคชันนี้เปิดให้ใช้งานมาตั้งแต่ปีที่แล้ว โดยเปิดตัวในฐานะ demo สำหรับ Cloudflare Calls (ปัจจุบันคือ Realtime)

ด้วยการเพิ่ม E2EE และการแก้ไขปัญหาเกี่ยวกับความเชื่อมั่น และการตรวจสอบต่าง ๆ ผู้ใช้งานที่สนใจในการเข้ารหัสที่แข็งแกร่งสามารถใช้ Orange Meets สำหรับวิดีโอคอลที่ปลอดภัยทั้งในบริบทด้านการวิจัย หรือสร้างต้นแบบ

การออกแบบการเข้ารหัสแบบ E2EE

Orange Meets นำการเข้ารหัสแบบ End-to-End มาใช้งานโดยใช้ Messaging Layer Security (MLS) ซึ่งเป็นโปรโตคอลแลกเปลี่ยน group key ที่ได้รับมาตรฐาน IETF

การใช้งาน MLS บน Orange Meets พัฒนาโดยใช้ภาษา Rust ทำให้สามารถดำเนินการแลกเปลี่ยน group key ได้อย่างต่อเนื่อง ซึ่งรองรับการแลกเปลี่ยน group key อย่างปลอดภัย, การรักษาความลับในการ forward secrecy, ความปลอดภัยหลังถูกโจมตี และการรองรับการขยายตัวของกลุ่มผู้ใช้

การเข้ารหัสทั้งหมดดำเนินการบนฝั่งไคลเอนต์โดยใช้ WebRTC ดังนั้น Cloudflare หรือ Selective Forwarding Unit (SFU) จึงทำหน้าที่เป็นตัวกลางในการส่งต่อที่ไม่มีสิทธิ์เข้าถึงข้อมูลการสื่อสารที่มีความสำคัญ

Cloudflare ยังได้แนะนำ "Designated Committer Algorithm" ซึ่งเป็นอัลกอริทึมที่ช่วยจัดการการเปลี่ยนแปลงสมาชิกในกลุ่ม (ผู้ใช้เข้าร่วม/ออกจากการสนทนาวิดีโอคอล) อย่างปลอดภัย

ระบบนี้จะทำหน้าที่กำหนดสมาชิกคนหนึ่งในกลุ่ม ให้เป็นผู้ที่รับผิดชอบในการจัดการอัปเดต MLS ในฝั่งไคลเอนต์ทั้งหมด โดยจะเลือกผู้กำหนดใหม่โดยอัตโนมัติตามสถานะของกลุ่ม

สุดท้ายแล้ว ในแต่ละเซสชันวิดีโอคอลจะมีการแสดง "หมายเลขความปลอดภัย" ซึ่งแสดงถึงสถานะการเข้ารหัสของกลุ่ม ซึ่งผู้เข้าร่วมควรตรวจสอบภายนอกแพลตฟอร์ม

ซึ่งจะป้องกันการโจมตีแบบ "Monster-in-the-Middle" (MitM) ซึ่งเซิร์ฟเวอร์ที่เป็นอันตรายจะเข้ามาแทนที่ข้อมูลสำคัญ

Cloudflare ได้สร้างแบบจำลอง Designated Committer Algorithm อย่างเป็นทางการใน TLA+ ซึ่งเป็นภาษาเฉพาะที่ใช้สำหรับการตรวจสอบทางคณิตศาสตร์ว่าโปรโตคอลทำงานได้อย่างถูกต้องภายใต้เงื่อนไขที่เป็นไปได้ทั้งหมดหรือไม่ จึงสามารถตรวจจับข้อผิดพลาดได้ในระดับที่ละเอียดอ่อน

จากที่กล่าวมาทั้งหมดนี้ สิ่งสำคัญที่ต้องเน้นย้ำคือ Orange Meets เป็นเพียงตัวอย่างเชิงเทคนิค และต้นแบบแบบ open-source มากกว่าจะเป็นผลิตภัณฑ์สำหรับผู้บริโภคที่พัฒนาอย่างสมบูรณ์แบบ

Orange Meets ยังไม่ใช่แอปที่มีคุณสมบัติครบครัน หรือใช้งานง่ายเทียบเท่ากับ Zoom, Google Meet, Signal หรือ Microsoft Teams และยังไม่ได้ผ่านการตรวจสอบการใช้งานจริงอย่างละเอียดถี่ถ้วน

เครื่องมือของ Cloudflare มุ่งเน้นไปที่นักพัฒนาที่สนใจการรวม MLS และการเข้ารหัส รวมถึงผู้ที่ชื่นชอบความเป็นส่วนตัว ผู้ใช้งานที่อยากทดลองใช้ระบบวิดีโอคอลแบบเข้ารหัสจากต้นทางถึงปลายทาง (E2EE) ที่เป็น open-source เครื่องมือนี้ยังเหมาะสำหรับนักวิจัย หรือวิศวกรที่กำลังประเมินการใช้งาน MLS

Orange Meets ไม่จำเป็นต้องติดตั้งเพื่อทดสอบ หรือใช้งาน เพราะมีการสาธิตแบบ live demo ให้ใช้งานออนไลน์

อีกทางเลือกหนึ่งคือ ผู้ใช้สามารถตั้งค่าระบบใช้งานเองได้โดยใช้โค้ดต้นฉบับที่มีอยู่ใน GitHub repository

ที่มา : bleepingcomputer

GSM หรือ GSMA ได้ประกาศอย่างเป็นทางการถึงการสนับสนุนการเข้ารหัสแบบ End-to-End (E2EE) เพื่อเพิ่มความปลอดภัยในการส่งข้อความผ่านโปรโตคอล Rich Communications Services (RCS) โดยเฉพาะสำหรับการสื่อสารข้ามแพลตฟอร์มระหว่าง Android และ iOS

ด้วยเหตุนี้ ข้อกำหนดใหม่ของ GSMA สำหรับ RCS รวมถึง E2EE ที่ใช้โปรโตคอล Messaging Layer Security (MLS) ผ่านสิ่งที่เรียกว่า RCS Universal Profile 3.0

Tom Van Pelt ผู้อำนวยการด้านเทคนิคของ GSMA ระบุว่า "ข้อกำหนดใหม่นี้กำหนดวิธีการใช้ MLS ในบริบทของ RCS โดยกระบวนการเหล่านี้ช่วยให้แน่ใจว่าข้อความ และเนื้อหาอื่น ๆ เช่น ไฟล์ จะยังคงเป็นความลับ และปลอดภัยในระหว่างการส่งผ่านข้อมูลของผู้ใช้งาน"

นอกจากนี้ ยังหมายความว่า RCS จะกลายเป็นบริการส่งข้อความขนาดใหญ่ (large-scale messaging service) รายแรก ที่รองรับการเข้ารหัสแบบ End-to-End (E2EE) ที่สามารถทำงานร่วมกันได้ระหว่างไคลเอนต์ต่าง ๆ จากผู้ให้บริการที่แตกต่างกันในอนาคตอันใกล้

มีข้อสังเกตว่า RCS ของ Google ที่ใช้ในแอป Messages บน Android ใช้โปรโตคอล Signal เพื่อรักษาความปลอดภัยในการสนทนา เนื่องจากยังไม่มีการป้องกันแบบ E2EE ในตัว อย่างไรก็ตาม การเข้ารหัสดังกล่าวยังคงจำกัดเฉพาะข้อความที่แลกเปลี่ยนผ่านแอป Messages เท่านั้น และยังไม่รองรับการเข้ารหัสสำหรับข้อความที่ส่งถึงผู้ใช้ iOS Messages หรือผู้ใช้ RCS รายอื่น ๆ บน Android

การพัฒนานี้เกิดขึ้นเมื่อประมาณ 6 เดือนแล้วหลังจากที่ GSMA ระบุว่า กำลังดำเนินการนำการเข้ารหัสแบบ End-to-End (E2EE) มาใช้ เพื่อเพิ่มความปลอดภัยในการส่งข้อความระหว่างระบบ Android และ iOS โดยการเคลื่อนไหวครั้งนี้เกิดขึ้นหลังจากที่ Apple ตัดสินใจเพิ่มการรองรับ RCS ในแอป Messages ของตนเองบน iOS 18

ในเดือนกรกฎาคม 2023 ที่ผ่านมา Google เปิดเผยว่ามีแผนที่จะเพิ่มการรองรับโปรโตคอล MLS ให้กับบริการ Messages ของตน รวมถึงการพัฒนาโอเพนซอร์สตามข้อกำหนดดังกล่าวอีกด้วย

Van Pelt ระบุว่า "RCS ยังคงรองรับฟังก์ชันการส่งข้อความที่สามารถทำงานร่วมกันได้ระหว่างผู้ใช้ iOS และ Android เช่น การส่งข้อความกลุ่ม, การแชร์ข้อมูล Media ที่มีความละเอียดสูง"

Google ได้แสดงความคิดเห็นโดยระบุว่า "เราให้ความสำคัญกับการมอบประสบการณ์การส่งข้อความที่ปลอดภัยมาโดยตลอด และผู้ใช้ Google Messages สามารถใช้งาน RCS ที่เข้ารหัสแบบ End-to-End (E2EE) ได้มาหลายปีแล้ว เรารู้สึกตื่นเต้นกับข้อกำหนดใหม่จาก GSMA และจะทำงานร่วมกับ mobile ecosystem อื่น ๆ ให้เร็วที่สุดเท่าที่จะเป็นไปได้ เพื่อปรับใช้ และขยายการป้องกันนี้ไปยังการส่งข้อความ RCS ระหว่างแพลตฟอร์ม"

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปัญหาด้านการเข้ารหัสที่ร้ายแรงในแพลตฟอร์ม cloud storage ที่ใช้การเข้ารหัสแบบ End-to-End (E2EE) หลายราย ซึ่งอาจถูกโจมตีเพื่อขโมยข้อมูลที่สำคัญได้ (more…)