Surveillance
Self-Defense

ผู้มีประสบการณ์ด้านการรักษาความปลอดภัยทางออนไลน์?

  • ผู้มีประสบการณ์ด้านการรักษาความปลอดภัยทางออนไลน์?

    แนวทางขั้นสูงในการเพิ่มพูนทักษะของคุณในการป้องกันตัวเองจากการถูกสอดส่อง

    ขอแสดงความยินดี! คุณได้ดำเนินการตามขั้นตอนต่างๆ ในการเพิ่มความปลอดภัยของการติดต่อสื่อสารทางออนไลน์ของคุณแล้ว ในตอนนี้ คุณคงต้องการก้าวสู่ระดับถัดไป และคุณสามารถทำได้ด้วยรายการบทช่วยสอนนี้ คุณจะได้เรียนรู้เกี่ยวกับวิธีการทำความเข้าใจกับภัยคุกคามของคุณ การระบุตัวตนของผู้ที่คุณกำลังติดต่อสื่อสารด้วย และเพิ่มเครื่องมือใหม่ๆ ในรายการของคุณ

  • การประเมินความเสี่ยง

    การพยายามปกป้องข้อมูลทั้งหมดของคุณจากทุกคนอยู่ตลอดเวลาเป็นสิ่งที่ทำได้ยากในความเป็นจริงและน่าเหนื่อยหน่าย แต่ไม่ต้องกลัว! การรักษาความปลอดภัยเป็นกระบวนการอย่างหนึ่ง และการวางแผนอย่างพิถีพิถันจะทำให้คุณสามารถใช้งานได้อย่างเหมาะสม การรักษาความปลอดภัยไม่เกี่ยวข้องกับเครื่องมือที่ใช้หรือซอฟต์แวร์ที่ดาวน์โหลด การรักษาความปลอดภัยเริ่มต้นจากการทำความเข้าใจภัยคุกคามที่คุณพบเจอซึ่งมีลักษณะแตกต่างกันออกไป และวิธีที่คุณจะสามารถรับมือกับภัยเหล่านั้น

    สำหรับการรักษาความปลอดภัยของคอมพิวเตอร์ ภัยคุกคามจะมาในรูปของสถานการณ์ที่มีโอกาสสร้างความเสียหายให้กับความพยายามที่คุณจะป้องกันข้อมูลของตัวเอง คุณสามารถรับมือกับภัยคุกคามที่เจอได้โดยกำหนดหาว่าคุณต้องการปกป้องสิ่งใดและปกป้องสิ่งนั้นจากใคร กระบวนการนี้เรียกว่า “การจัดรูปแบบภัยคุกคาม”

    คู่มือนี้จะสอนวิธีจัดรูปแบบภัยคุกคาม หรือวิธีประเมินความเสี่ยงที่มีโอกาสเกิดขึ้นกับข้อมูลดิจิทัลของคุณและวิธีกำหนดหาแนวทางแก้ไขที่ดีที่สุดสำหรับคุณ

    ลักษณะของการจัดรูปแบบภัยคุกคาม สมมุติว่าคุณต้องการรักษาบ้านช่องและทรัพย์สินที่มีให้ปลอดภัย ต่อไปนี้คือคำถามบางข้อที่คุณอาจต้องหาคำตอบ:

    ทรัพย์สินใดในบ้านที่มีค่าควรปกป้อง

    • ทรัพย์สินในที่นี้ได้แก่: เครื่องประดับ เครื่องใช้อิเล็กทรอนิกส์ เอกสารด้านการเงิน หนังสือเดินทาง หรือภาพถ่ายต่าง ๆ

    คุณปกป้องทรัพย์สินเหล่านี้จากใคร

    • ผู้ไม่หวังดีในที่นี้ได้แก่: โจรขโมย เพื่อนร่วมห้อง หรือแขก

    มีความเป็นไปได้มากน้อยแค่ไหนที่ฉันต้องปกป้องทรัพย์สิน

    • ในละแวกที่อยู่อาศัยมีประวัติของการเกิดเหตุโจรกรรมหรือไม่ เพื่อนร่วมห้อง/แขกที่มาเยี่ยมไว้วางใจได้มากน้อยแค่ไหน ผู้ไม่หวังดีมีความสามารถในด้านใด ความเสี่ยงใดบ้างที่ควรพิจารณา

    ผลลัพธ์มีความร้ายแรงมากน้อยแค่ไหนถ้าป้องกันไม่สำเร็จ

    • ทรัพย์สินใดบ้างในบ้านที่หายไปแล้วไม่สามารถหามาทดแทนได้ มีเวลาหรือเงินทองที่จะสามารถทดแทนทรัพย์สินเหล่านี้หรือไม่ มีประกันคุ้มครองทรัพย์สินที่ถูกขโมยจากบ้านที่อยู่อาศัยหรือไม่

    มีความเต็มใจมากน้อยแค่ไหนที่จะพยายามจัดการปัญหาต่าง ๆ เพื่อป้องกันไม่ให้ผลลัพธ์เหล่านี้เกิดขึ้น

    • ยินดีที่จะซื้อที่เซฟนิรภัยเพื่อเก็บเอกสารสำคัญหรือไม่ มีความสามารถที่จะซื้อตัวล็อคคุณภาพสูงหรือไม่ มีเวลาที่จะเปิดบัญชีตู้นิรภัยกับธนาคารในพื้นที่เพื่อฝากของมีค่าหรือไม่

    เมื่อถามคำถามเหล่านี้กับตัวเองแล้ว คุณจะมาถึงขั้นตอนของการประเมินว่าจะใช้วิธีการใด หากทรัพย์สินของคุณเป็นสิ่งของมีค่า แต่มีความเสี่ยงต่ำที่สิ่งของดังกล่าวจะถูกลักขโมย ในกรณีดังกล่าวคุณอาจไม่ต้องการลงทุนที่จะซื้อตัวล็อคที่มีราคาสูงมากนัก แต่ถ้ามีความเสี่ยงสูง คุณจะต้องใช้ตัวล็อคที่ดีที่สุดที่มีจำหน่ายในตลาด และอาจพิจารณาเพิ่มระบบการรักษาความปลอดภัยด้วย

    การสร้างรูปแบบภัยคุกคามช่วยให้คุณเข้าใจภัยคุกคามแบบเฉพาะที่เผชิญอยู่ ทรัพย์สินมีค่าที่คุณมี ผู้ไม่หวังดี ขีดความสามารถของผู้ไม่หวังดี และความเสี่ยงที่มีโอกาสเกิดขึ้น

    การจัดรูปแบบภัยคุกคามคืออะไรและจะเริ่มจากจุดใด

    การจัดรูปแบบภัยคุกคามช่วยคุณระบุหาภัยคุกคามที่มีต่อทรัพย์สินมีค่าและกำหนดหาว่าคุณต้องปกป้องทรัพย์สินมีค่าเหล่านั้นจากใคร เมื่อสร้างรูปแบบภัยคุกคาม ให้ตอบคำถามห้าข้อต่อไปนี้:

    1. คุณต้องการปกป้องสิ่งใด
    2. คุณปกป้องทรัพย์สินเหล่านี้จากใคร
    3. ผลลัพธ์มีความร้ายแรงมากน้อยแค่ไหนถ้าป้องกันไม่สำเร็จ
    4. มีความเป็นไปได้มากน้อยแค่ไหนที่คุณต้องปกป้องทรัพย์สินดังกล่าว
    5. คุณเต็มใจมากน้อยแค่ไหนที่จะพยายามจัดการปัญหาต่าง ๆ เพื่อป้องกันไม่ให้ผลลัพธ์ที่มีโอกาสเกิดขึ้นเกิดขึ้นได้

    มาดูคำถามแต่ละข้อเหล่านี้กันแบบละเอียดกัน

    คุณต้องการปกป้องสิ่งใด

    “ทรัพย์สิน” คือสิ่งมีค่าและเป็นสิ่งที่คุณต้องการรักษาปกป้อง ในแง่ของการรักษาความปลอดภัยในทางดิจิทัล โดยปกติทรัพย์สินหมายถึงข้อมูลบางอย่าง ตัวอย่างเช่น อีเมล รายชื่อผู้ติดต่อ ข้อความสนทนา ข้อมูลด้านตำแหน่งที่ตั้ง และไฟล์ต่าง ๆ ถือได้ว่าเป็นทรัพย์สินมีค่าของคุณ นอกจากนี้ อุปกรณ์ของคุณยังถือเป็นทรัพย์สินด้วย

    จัดทำรายการทรัพย์สินของคุณ: ข้อมูลที่คุณเก็บรักษา สถานที่เก็บรักษาทรัพย์สิน บุคคลที่สามารถเข้าถึงทรัพย์สิน และสิ่งที่จะยับยั้งไม่ให้บุคคลอื่นเข้าถึงทรัพย์สินดังกล่าวได้

    คุณปกป้องทรัพย์สินเหล่านี้จากใคร

    เพื่อให้สามารถตอบคำถามนี้ได้ สิ่งสำคัญคือต้องระบุหาว่าใครคือบุคคลที่พุ่งเป้าไปที่ตัวคุณหรือข้อมูลของคุณ บุคคลหรือองค์กรที่เป็นภัยคุกคามต่อทรัพย์สินของคุณ ถือเป็น “ผู้ไม่หวังดี” ตัวอย่างที่อาจถือเป็นผู้ไม่หวังดี ได้แก่ เจ้านายของคุณ อดีตพาร์ทเนอร์ของคุณ คู่แข่งทางธุรกิจ รัฐบาล หรือแฮ็คเกอร์ที่อยู่ในเครือข่ายสาธารณะ

    จัดทำรายชื่อของผู้ไม่หวังดี หรือรายชื่อของบุคคลที่อาจต้องการเข้าถือครองทรัพย์สินของคุณ สามารถรวมข้อมูลของบุคคล หน่วยงานรัฐบาล หรือองค์กรไว้ในรายชื่อได้

    ทั้งนี้ขึ้นอยู่กับว่าใครคือผู้ไม่หวังดีของคุณ ในบางสถานการณ์คุณอาจต้องการทำลายรายชื่อนี้หลังจากจัดรูปแบบภัยคุกคามเสร็จเรียบร้อยแล้ว

    ผลลัพธ์มีความร้ายแรงมากน้อยแค่ไหนถ้าป้องกันไม่สำเร็จ

    มีหลายวิธีที่ผู้ไม่หวังดีสามารถทำให้ข้อมูลของคุณตกอยู่ในอันตรายได้ ตัวอย่างเช่น ผู้ไม่หวังดีสามารถอ่านข้อความการติดต่อสื่อสารส่วนตัวของคุณ เมื่อพวกเขาผ่านเข้ามาในเครือข่าย หรือสามารถลบหรือสร้างความเสียหายให้เกิดขึ้นกับข้อมูลของคุณได้

    จุดมุ่งหมายของผู้ไม่หวังดีแตกต่างกันออกไปอย่างมาก รวมถึงการโจมตีที่พวกเขาใช้ด้วยเช่นกัน รัฐบาลที่พยายามป้องกันไม่ให้วิดีโอที่แสดงความรุนแรงของตำรวจแพร่กระจายออกไป อาจเพียงแค่ลบหรือลดความสามารถในการใช้งานของวิดีโอดังกล่าวเท่านั้น ในทางกลับกัน ฝ่ายตรงข้ามทางการเมืองอาจต้องการเข้าถึงเนื้อหาที่เป็นความลับและเผยแพร่เนื้อหาดังกล่าวโดยไม่ให้คุณรู้ตัว

    การจัดรูปแบบภัยคุกคามเกี่ยวข้องกับการทำความเข้าใจระดับความเสียหายของผลลัพธ์ที่สามารถเกิดขึ้นได้ หากผู้ไม่หวังดีโจมตีหนึ่งในทรัพย์สินของคุณได้สำเร็จ ในการกำหนดหาข้อมูลนี้ คุณควรพิจารณาขีดความสามารถของผู้ไม่หวังดี ตัวอย่างเช่น ผู้ให้บริการมือถือของคุณสามารถเข้าถึงประวัติการใช้งานของคุณทั้งหมด และสิ่งนั้นทำให้พวกเขามีขีดความสามารถที่จะสร้างความเสียหายให้กับคุณได้โดยใช้ข้อมูลดังกล่าว แฮ็คเกอร์ที่อยู่ในเครือข่าย Wi-Fi แบบเปิด สามารถเข้าถึงข้อมูลการสื่อสารที่ไม่มีการเข้ารหัสได้ รัฐบาลของคุณอาจมีขีดความสามารถที่เหนือกว่า

    ระบุว่าผู้ไม่หวังดีอาจต้องการใช้ข้อมูลส่วนตัวของคุณเพื่อทำสิ่งใด

    มีความเป็นไปได้มากน้อยแค่ไหนที่คุณต้องปกป้องทรัพย์สินดังกล่าว

    ความเสี่ยงคือความเป็นไปได้ที่ภัยคุกคามบางอย่างที่มีต่อทรัพย์สินจะมีโอกาสเกิดขึ้นจริง ความเสี่ยงจะควบคู่ไปกับขีดความสามารถ ขณะที่ผู้ให้บริการโทรศัพท์มือถือมีขีดความสามารถในการเข้าถึงข้อมูลทั้งหมดของคุณ แต่ความเสี่ยงในการที่พวกเขาจะโพสต์ข้อมูลส่วนตัวของคุณออนไล์เพื่อสร้างความเสียหายให้กับชื่อเสียงของคุณมีอยู่ในระดับต่ำ

    การแยกแยะระหว่างภัยคุกคามและความเสี่ยงเป็นสิ่งสำคัญ ขณะที่ภัยคุกคามคือสิ่งเลวร้ายที่สามารถเกิดขึ้น แต่ความเสี่ยงคือความเป็นไปได้ที่ภัยคุกคามจะมีโอกาสเกิดขึ้น ตัวอย่างเช่น มีภัยคุกคามที่ตึกของคุณอาจพังทลายลงมา แต่มีความเสี่ยงที่ภัยคุกคามนี้จะเกิดขึ้นในซาน ฟรานซิสโก (เมืองที่มีแผ่นดินไหวเกิดขึ้นบ่อย) มากกว่าที่จะเกิดขึ้นในสต็อกโฮล์ม (เมืองที่ไม่มีแผ่นดินไหวเกิดขึ้นบ่อย)

    การทำการวิเคราะห์ความเสี่ยงเป็นกระบวนการส่วนตัวและตามความรู้สึกส่วนตัว เราทุกคนต่างให้ความสำคัญในสิ่งที่แตกต่างกันออกไปหรือมองเห็นภัยคุกคามในมุมมองที่ต่างกันออกไป หลาย ๆ คนมองว่าภัยคุกคามบางอย่างยอมรับไม่ได้ ไม่ว่าจะมีความเสี่ยงหรือไม่ เนื่องจากการปรากฏขึ้นของภัยคุกคามไม่ว่าจะมีความเป็นไปได้มากน้อยแค่ไหนจะไม่คุ้มกับความเสียหายที่จะเกิดขึ้น ส่วนในกรณีอื่น ๆ ผู้คนอาจไม่ใส่ใจต่อความเสี่ยงที่มีโอกาสเกิดขึ้่นในระดับสูง เนื่องจากพวกเขาไม่ได้มองว่าภัยคุกคามดังกล่าวเป็นปัญหา

    ระบุว่าภัยคุกคามใดที่คุณจะใส่ใจอย่างจริงจัง และภัยคุกคามใดที่มีโอกาสเกิดขึ้นน้อยมากหรือไม่ส่งผลเสียมากนัก (หรือยากเกินไปที่จะต่อสู้ด้วย) ที่จะต้องกังวล

    คุณเต็มใจมากน้อยแค่ไหนที่จะพยายามจัดการปัญหาต่าง ๆ เพื่อป้องกันไม่ให้ผลลัพธ์ที่มีโอกาสเกิดขึ้นเกิดขึ้นได้

    ในการตอบคำถามนี้จำเป็นต้องมีการทำการวิเคราะห์ความเสี่ยง เราทุกคนต่างให้ความสำคัญในสิ่งที่แตกต่างกันออกไปหรือมองเห็นภัยคุกคามในมุมมองที่ต่างกันออกไป

    ตัวอย่างเช่น ทนายความที่เป็นตัวแทนว่าความให้ลูกความในคดีการรักษาความปลอดภัยในประเทศจะให้ความสำคัญต่อการปกป้องข้อมูลการติดต่อสื่อสารเกี่ยวกับคดีดังกล่าวโดยใช้อย่างเช่นอีเมลที่มีการเข้ารหัส มากกว่าคุณแม่ที่ส่งอีเมลวิดีโอแมวตลก ๆ ให้ลูกสาวอยู่ประจำ

    ระบุตัวเลือกที่คุณสามารถใช้ได้ เพื่อช่วยบรรเทาภัยคุกคามบางอย่างเฉพาะ หมายเหตุไว้หากคุณมีความขัดข้องทางการเงิน ทางเทคนิค หรือทางสังคม

    การใช้การจัดรูปแบบภัยคุกคามเป็นแนวทางปฏิบัติอย่างสม่ำเสมอ

    โปรดทราบว่ารูปแบบภัยคุกคามสามารถเปลี่ยนแปลงได้ตามสถานการณ์ที่เปลี่ยนแปลงไป ดังนั้นการประเมินการจัดรูปแบบภัยคุกคามบ่อยครั้งสม่ำเสมอถือเป็นแนวทางปฏิบัติที่ดี

    สร้างรูปแบบภัยคุกคามของตัวเอง ตามสถานการณ์ที่แตกต่างออกไปของตัวเอง จากนั้นกำหนดวันที่ที่จะดำเนินการในอนาคตลงในปฏิทิน วิธีนี้จะช่วยเตือนให้คุณตรวจทบทวนรูปแบบภัยคุกคามและกลับมาตรวจสอบเพื่อประเมินว่ารูปแบบดังกล่าวยังใช้ได้ดีกับสถานการณ์ของคุณหรือไม่

    อัปเดตครั้งล่าสุด: 
    2017-09-07
  • เลือกเครื่องมือของคุณ

    มีบริษัทและเว็บไซต์จำนวนมากที่นำเสนอเครื่องมือที่ช่วยให้เราสามารถปรับปรุงการรักษาความปลอดภัยทางดิจิทัลได้ดีขึ้น  แล้วคุณจะใช้วิธีใดเพื่อเลือกเครื่องมือที่เหมาะสมสำหรับใช้งาน

    เราไม่มีรายชื่อเครื่องมือที่ใช้งานได้สมบูรณ์แบบโดยไม่มีข้อบกพร่องที่สามารถปกป้องคุณได้ (แต่คุณสามารถดูตัวเลือกบางส่วนได้ในคำแนะนำเกี่ยวกับเครื่องมือ) แต่ถ้าคุณรู้ว่าคุณกำลังพยายามปกป้องอะไร และคุณปกป้องสิ่งเหล่านั้นจากใคร คู่มือนี้สามารถช่วยคุณเลือกเครื่องมือที่เหมาะสมโดยใช้แนวทางปฏิบัติพื้นฐานบางข้อได้

    โปรดจำว่า การรักษาความปลอดภัยไม่ได้เกี่ยวข้องกับเครื่องมือที่คุณใช้หรือซอฟต์แวร์ที่คุณดาวน์โหลด การรักษาความปลอดภัยเริ่มต้นจากการทำความเข้าใจภัยคุกคามที่มีลักษณะเฉพาะที่คุณเผชิญอยู่ และวิธีที่คุณสามารถใช้เพื่อต่อต้านภัยคุกคามเหล่านั้นได้ สำหรับข้อมูลเพิ่มเติม โปรดดูที่คำแนะนำในการประเมินความเสี่ยงของเรา

    การรักษาความปลอดภัยเป็นเรื่องของกระบวนการ ไม่ใช่เรื่องของการซื้อ

    ข้อแรกที่คุณต้องจำ ก่อนที่จะเปลี่ยนซอฟต์แวร์ที่คุณใช้ หรือซื้อเครื่องมือใหม่ๆ ก็คือ ไม่มีเครื่องมือใดที่สามารถป้องกันคุณจากการถูกสอดส่องได้อย่างสมบูรณ์แบบ ในทุกสถานการณ์ การใช้ซอฟต์แวร์การเข้ารหัสโดยทั่วไปจะทำให้คนอื่นๆ อ่านการติดต่อสื่อสารของคุณ หรือค้นหาไฟล์ในเครื่องคอมพิวเตอร์ของคุณได้ยากขึ้น แต่ผู้โจมตีการรักษาความปลอดภัยบนโลกดิจิทัลของคุณมักจะหาองค์ประกอบที่เป็นจุดอ่อนมากที่สุดของวิธีการรักษาความปลอดภัยของคุณได้เสมอ เมื่อคุณซื้อเครื่องมือรักษาความปลอดภัยใหม่ คุณควรคิดว่า การใช้งานเครื่องมือนั้นอาจส่งผลกระทบต่อวิธีการอื่นๆ ที่ผู้ไม่หวังดีมุ่งเป้ามาที่คุณได้อย่างไรบ้าง ตัวอย่างเช่น ถ้าคุณตัดสินใจใช้โปรแกรมการรับส่งข้อความอย่างปลอดภัย เพื่อคุยกับผู้ติดต่อ เนื่องจากคุณทราบว่าโทรศัพท์ของคุณอาจโดนแฮก แต่ข้อเท็จจริงที่ว่าคุณกำลังใช้โปรแกรมนี้ ก็อาจเป็นการบอกผู้ไม่หวังดีเป็นนัยๆ ว่าคุณกำลังพูดคุยเกี่ยวกับข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับ

    ข้อที่สองคือ จดจำโมเดลภัยคุกคามของคุณ คุณไม่จำเป็นต้องซื้อระบบโทรศัพท์ที่เข้ารหัสได้ ซึ่งอ้างว่าสามารถ "ป้องกันการสอดส่องของ NSA ได้" และมีราคาแพง ถ้าภัยคุกคามที่ใหญ่ที่สุดของคุณคือ การถูกสอดส่องทางกายภาพจากนักสืบเอกชน ที่ไม่มีสิทธิเข้าถึงเครื่องมือการสอดส่องทางอินเทอร์เน็ต หรืออีกทางหนึ่ง หากรัฐบาลในประเทศของคุณสั่งจำขังผู้ที่มีความเห็นไม่ลงรอยกับรัฐบาลอยู่เป็นประจำ เนื่องจากทางรัฐบาลใช้เครื่องมือการเข้ารหัส ก็ดูสมเหตุสมผลหากคุณจะใช้กลอุบายที่เรียบง่ายกว่า เช่นการใช้ชุดของรหัสที่ได้ตกลงกันไว้ล่วงหน้า แทนที่จะเสี่ยงต่อการทิ้งหลักฐานว่าคุณใช้ซอฟต์แวร์การเข้ารหัสไว้บนแล็ปท็อปของคุณ

    นอกเหนือจากวิธีการเหล่านี้ ยังมีคำถามที่คุณสามารถสอบถามเกี่ยวกับเครื่องมือ ก่อนที่จะดาวน์โหลด ซื้อ หรือใช้งานเครื่องมือนั้น

    เครื่องมือนั้นมีความโปร่งใสแค่ไหน?

    ถึงแม้ว่าการรักษาความปลอดภัยบนโลกดิจิทัลโดยส่วนใหญ่จะเป็นเรื่องของการเก็บความลับ ในกลุ่มนักวิจัยด้านความปลอดภัยมีความเชื่อกันว่า การเปิดเผยและความโปร่งใสจะสามารถนำไปสู่เครื่องมือที่มีความปลอดภัยมากขึ้น

    ซอฟต์แวร์จำนวนมากที่ชุมชนการรักษาความปลอดภัยบนโลกดิจิทัลใช้งานและแนะนำให้ผู้อื่นใช้ เป็นซอฟต์แวร์โอเพนซอร์สและฟรี ซึ่งกล่าวได้ว่าโค้ดที่กำหนดวิธีการทำงานของซอฟต์แวร์ดังกล่าวได้เปิดเผยต่อสาธารณะ เพื่อให้คนอื่นๆ สามารถตรวจสอบ แก้ไข และแชร์กันได้ ในการเปิดเผยวิธีการทำงานของโปรแกรม ผู้สร้างเครื่องมือเหล่านี้ได้เชิญให้คนอื่นๆ ช่วยมองหาข้อบกพร่องด้านความปลอดภัย และช่วยปรับปรุงโปรแกรมให้ดียิ่งขึ้น

    ซอฟต์แวร์เสรีเปิดโอกาสสำหรับการรักษาความปลอดภัยที่ดียิ่งขึ้น แต่ไม่ได้รับประกันเรื่องความปลอดภัย ข้อได้เปรียบของโอเพนซอร์สส่วนหนึ่งขึ้นอยู่กับว่าชุมชนของนักเทคโนโลยีต้องลงมือตรวจสอบโค้ดอย่างจริงจัง ซึ่งสำหรับโครงการเล็กๆ (และแม้แต่โครงการซึ่งเป็นที่นิยม แต่มีความซับซ้อน) อาจเป็นเรื่องยากที่จะบรรลุผล เมื่อคุณพิจารณาที่จะใช้เครื่องมือ ให้ดูว่าเครื่องมือนั้นมีซอร์สโค้ดที่ใช้ได้หรือไม่ และซอร์สโค้ดดังกล่าวมีหน่วยงานหรือผู้ตรวจสอบความปลอดภัยอิสระที่ยืนยันคุณภาพในการรักษาความปลอดภัยของเครื่องมือนั้นหรือไม่ อย่างน้อยที่สุด ซอฟต์แวร์หรือฮาร์ดแวร์ควรมีคำอธิบายด้านเทคนิคโดยละเอียด ว่าซอฟต์แวร์หรือฮาร์ดแวร์นั้นทำงานอย่างไร เพื่อให้ผู้เชี่ยวชาญคนอื่นๆ สามารถตรวจสอบได้

    ผู้สร้างได้อธิบายถึงข้อดีและข้อเสียของเครื่องมือนั้นไว้อย่างชัดเจนเพียงใด?

    ไม่มีซอฟต์แวร์หรือฮาร์ดแวร์ตัวใดที่มีความปลอดภัยเต็มร้อย ผู้สร้างหรือผู้ขายที่มีความซื่อสัตย์เกี่ยวกับข้อจำกัดของผลิตภัณฑ์ของพวกเขา จะช่วยให้คุณตัดสินใจได้ดีขึ้น ว่าแอปพลิเคชันของพวกเขาเหมาะสมสำหรับคุณหรือไม่

    อย่าหลงเชื่อคำแถลงที่ตีวงกว้าง ซึ่งบอกว่าโค้ดนั้น 'เป็นเกรดที่ใช้ทางการทหาร' หรือ 'ป้องกันการสอดส่องของ NSA ได้' เพราะคำแถลงนั้นไม่ได้มีความหมายอะไร และยังเป็นสัญญาณเตือนด้วยว่าผู้สร้างเชื่อมั่นในตัวเองมากเกินไป หรือไม่เต็มใจที่จะพิจารณาถึงโอกาสที่จะเกิดความล้มเหลวกับผลิตภัณฑ์ของพวกเขา

    เนื่องจากผู้โจมตีมักพยายามที่จะหาวิธีการใหม่ๆ ในการเจาะระบบความปลอดภัยของเครื่องมือ ดังนั้น จึงจำเป็นต้องอัปเดตซอฟต์แวร์และฮาร์ดแวร์บ่อยครั้ง เพื่อแก้ไขช่องโหว่ใหม่ๆ ที่เสี่ยงต่อการถูกโจมตี ข้อนี้อาจเป็นปัญหาร้ายแรง หากผู้สร้างเครื่องมือไม่เต็มใจที่จะทำดังกล่าว ไม่ว่าเนื่องจากพวกเขากลัวว่าจะเสียชื่อเสียง หรือเนื่องจากพวกเขาไม่ได้สร้างโครงสร้างพื้นฐานมาเพื่อแก้ไขปัญหา

    คุณไม่สามารถทำนายอนาคตได้ แต่ข้อบ่งชี้ที่ดีว่าผู้สร้างเครื่องมือจะทำตัวดีในอนาคตหรือไม่ ก็คือการกระทำในอดีตของพวกเขานั่นเอง ถ้าเว็บไซต์ของเครื่องมือแสดงรายการของปัญหาที่ผ่านๆ มา และลิงก์ไปยังการอัปเดตประจำ และมีข้อมูล อย่างเช่น ซอฟต์แวร์มีการอัปเดตครั้งล่าสุดเมื่อใด คุณก็สามารถเชื่อมั่นได้ว่าพวกเขาจะยังคงให้บริการนี้ต่อไปในอนาคต

    จะเกิดอะไรขึ้นหากผู้สร้างกลายเป็นผู้เจาะระบบเสียเอง?

    เมื่อผู้สร้างเครื่องมือการรักษาความปลอดภัยได้พัฒนาซอฟต์แวร์และฮาร์ดแวร์ขึ้นมา พวกเขา (เช่นเดียวกันกับคุณ) ต้องมีโมเดลภัยคุกคามที่ชัดเจน ผู้สร้างที่ดีที่สุดจะอธิบายไว้ในเอกสารของพวกเขาอย่างชัดแจ้ง ว่าพวกเขาสามารถป้องกันคุณจากผู้โจมตีประเภทใดได้บ้าง

    แต่มีผู้โจมตีอยู่ประเภทหนึ่งที่ผู้ผลิตทั้งหลายไม่อยากจะนึกถึง จะเกิดอะไรขึ้นถ้าผู้สร้างยอมเป็นผู้เจาะระบบเสียงเอง หรือตัดสินใจที่จะโจมตีผู้ใช้ของพวกเขาเอง ตัวอย่างเช่น ศาลหรือรัฐบาลอาจบังคับให้บริษัทส่งมอบข้อมูลส่วนบุคคล หรือสร้าง 'แบ็คดอร์' ที่จะถอดการป้องกันที่เครื่องมือของพวกเขาเสนอให้ออกทั้งหมด คุณอาจต้องพิจารณาถึงเขตอำนาจศาลที่สามารถบังคับผู้สร้่างได้ด้วย ตัวอย่างเช่น หากภัยคุกคามมาจากรัฐบาลของอิหร่าน บริษัทที่มีฐานอยู่ในสหรัฐฯ จะสามารถต่อต้านคำสั่งศาลของอิหร่านได้ แต่ต้องปฏิบัติตามคำสั่งของศาลสหรัฐฯ

    ถึงแม้ผู้สร้างจะสามารถต่อต้านแรงกดดันของรัฐบาลได้ แต่ผู้โจมตีก็อาจบรรลุผลลัพธ์ที่ต้องการได้ โดยการเจาะเข้าระบบของผู้สร้างเครื่องมือ เพื่อที่จะโจมตีลูกค้าของผู้สร้าง

    เครื่องมือที่ยืดหยุ่นมากที่สุด ก็คือเครื่องมือที่พิจารณาเรื่องดังกล่าวนี้ว่ามีแนวโน้มจะเป็นการโจมตี และได้รับการออกแบบมาเพื่อป้องกันการโจมตีดังกล่าวนี้ มองหาข้อความที่ยืนยันว่าผู้สร้างไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ มากกว่าคำสัญญาว่าผู้สร้างจะไม่เข้าถึงข้อมูลส่วนบุคคล มองหาสถาบันที่มีชื่อเสียงว่าเคยต่อต้านคำสั่งศาลที่ให้ส่งมอบข้อมูลส่วนบุคคล

    มีการเรียกคืนหรือการวิพากษ์วิจารณ์ออนไลน์หรือไม่

    บริษัทที่จำหน่ายสินค้าและผู้สนใจพัฒนาที่โฆษณาซอฟต์แวร์ล่าสุดของตนสามารถเข้าใจผิด ชักนำให้เกิดความเข้าใจผิด หรือแม้กระทั่งให้ข้อมูลที่เป็นการโกหกได้ ผลิตภัณฑ์ที่เดิมก่อนหน้านี้มีความปลอดภัยอาจมีข้อบกพร่องที่ยอมรับไม่ได้ในอนาคต ตรวจให้แน่ใจว่าคุณติดตามข่าวสารล่าสุดเกี่ยวกับเครื่องมือที่คุณใช้อยู่

    ไม่ใช่เรื่องง่ายที่จะตามทันข่าวสารล่าสุดเกี่ยวกับเครื่องมือที่ใช้งาน ถ้าคุณมีเพื่อนร่วมงานที่ใช้ผลิตภัณฑ์หรือบริการประเภทใดประเภทหนึ่ง ให้ร่วมมือกันเพื่อให้ได้รับข่าวสารข้อมูลที่ทันต่อเหตุการณ์

    ฉันควรซื้อโทรศัพท์อะไรดี? ฉันควรซื้อคอมพิวเตอร์อะไร?

    คำถามข้อหนึ่งที่ผู้ฝึกอบรมเรื่องการรักษาความปลอดภัยพบบ่อยที่สุดคือ 'ฉันควรซื้อโทรศัพท์ Android หรือ iPhone?' หรือ 'ฉันควรใช้ PC หรือ Mac ดี?' หรือ 'ฉันควรใช้ระบบปฏิบัติการอะไร?' ไม่มีคำตอบที่เรียบง่ายสำหรับคำถามเหล่านี้ ความปลอดภัยของซอฟต์แวร์และอุปกรณ์มีการเปลี่ยนแปลงอยู่ตลอด เนื่องจากมีข้อบกพร่องใหม่ๆ เกิดขึ้นเรื่อยๆ ในขณะที่จุดบกพร่อมเก่าๆ ก็ได้รับการแก้ไข บริษัทต่างๆ อาจพยายามแข่งขันกัน เพื่อนำเสนอการรักษาความปลอดภัยที่ดีกว่าให้กับคุณ หรือพวกเขาอาจกำลังถูกกดดันจากรัฐบาลให้ลดประสิทธิภาพในการรักษาความปลอดภัย

    อย่างไรก็ตาม คำแนะนำทั่วไปบางข้อสามารถใช้ประโยชน์ได้เสมอ เมื่อซื้ออุปกรณ์หรือระบบปฏิบัติการใดก็ตาม ให้พยายามอัปเดตซอฟต์แวร์ให้อยู่ในเวอร์ชันปัจจุบันเสมอ การอัปเดตมักจะแก้ไขปัญหาการรักษาความปลอดภัยในเวอร์ชันเดิมซึ่งการโจมตีสามารถใช้เป็นจุดอ่อนเพื่อหาประโยชน์ได้ โปรดทราบว่าอาจไม่มีการรองรับโทรศัพท์และระบบปฏิบัติการรุ่นเก่าแล้ว หรือไม่มีแม้แต่การอัปเดตการรักษาความปลอดภัยที่ใช้งานได้ โดยเฉพาะอย่างยิ่ง Microsoft ได้ประกาศอย่างชัดเจนว่าจะไม่มีการแก้ไขแม้กระทั่งปัญหาร้ายแรงเกี่ยวกับการรักษาความปลอดภัยให้กับ Windows Vista, XP และเวอร์ชันที่เก่ากว่า ซึ่งหมายความว่าถ้าคุณใช้งานอยู่ เวอร์ชันเหล่านี้จะไม่ปลอดภัยจากผู้โจมตี เช่นเดียวกันกับ OS X รุ่นเก่ากว่า 10.11 หรือ El Capitan

    เมื่อคุณได้พิจารณาภัยคุกคามที่เผชิญอยู่และรู้ว่าจะค้นหาเครื่องมือรักษาความปลอดภัยทางดิจิทัลได้จากที่ไหนแล้ว คุณจะสามารถเลือกเครื่องมือที่เหมาะสมกับสถานการณ์ของคุณได้อย่างมั่นใจมากขึ้น

    ผลิตภัณฑ์ที่กล่าวถึงในแนวทางนี้

    เราพยายามตรวจสอบให้แน่ใจว่าซอฟต์แวร์และฮาร์ดแวร์ที่เรากล่าวถึงในแนวทางนี้สอดคล้องตามเกณฑ์ที่เราได้แสดงไว้ในรายการข้างต้น เราได้ใช้ความพยายามโดยสุจริต ในการแสดงเฉพาะรายการของผลิตภัณฑ์ที่มีรากฐานที่มั่นคง ในเรื่องที่เราทราบเกี่ยวกับการรักษาความปลอดภัยบนโลกดิจิทัล ผลิตภัณฑ์ที่มีความโปร่งใสโดยทั่วๆ ไป เกี่ยวกับการทำงาน (และความล้มเหลว) ผลิตภัณฑ์ที่มีการป้องกันโอกาสที่ผู้สร้างจะกลายเป็นผู้เจาะระบบเสียเอง และผลิตภัณฑ์ที่มีฐานผู้ใช้ที่มีความรู้ในเรื่องของเทคนิคเป็นจำนวนมาก และในขณะที่ผู้เขียนกำลังเขียนแนวทางนี้อยู่ ก็ยังมีสายตาของผู้ชมจำนวนมากที่คอยตรวจสอบหาข้อบกพร่องของผลิตภัณฑ์ดังกล่าว และพวกเขาจะแจ้งเรื่องที่เป็นกังวลให้สาธารณชนได้ทราบอย่างรวดเร็ว กรุณาเข้าใจว่าเราไม่ได้มีทรัพยากรในการตรวจสอบหรือรับประกันความปลอดภัยของผลิตภัณฑ์ดังกล่าวได้อย่างอิสระ และเราไม่ให้การรับรองผลิตภัณฑ์เหล่านี้ และไม่สามารถรับประกันได้ว่าผลิตภัณฑ์เหล่านี้จะสามารถรักษาความปลอดภัยได้อย่างสมบูรณ์

    อัปเดตครั้งล่าสุด: 
    2018-05-08
  • การยืนยันความถูกต้องของคีย์

    เมื่อใช้การเข้ารหัสอย่างเหมาะสม การติดต่อสื่อสารหรือข้อมูลของคุณควรสามารถอ่านได้เฉพาะตัวคุณและบุคคล (หรือผู้คน) ที่คุณติดต่อสื่อสารด้วยเท่านั้น การเข้ารหัสตั้งแต่ต้นทางถึงปลายทางช่วยป้องกันข้อมูลของคุณจากการถูกสอดส่องโดยบุคคลภายนอก แต่ถ้าคุณไม่แน่ใจเกี่ยวกับตัวตนของบุคคลที่คุณกำลังพูดด้วย ประโยชน์ของการเข้ารหัสก็จะจำกัด นี่คือส่วนที่การยืนยันความถูกต้องของคีย์เข้ามามีส่วนเกี่ยวข้อง ในการยืนยันคีย์สาธารณะ คุณและบุคคลที่คุณกำลังติดต่อสื่อสารด้วยได้เพิ่มเลเยอร์ในการป้องกันอีกชั้นหนึ่งในการติดต่อสื่อสารของคุณ ด้วยการยืนยันตัวตนของอีกฝ่ายหนึ่ง เพื่อทำให้คุณคุณมั่นใจได้มากขึ้นว่าคุณกำลังพูดอยู่กับคนที่คุณคิดจริงๆ

    การยืนยันความถูกต้องของคีย์เป็นคุณลักษณะทั่วไปของโพรโทคอลที่ใช้การเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง อย่างเช่น PGP และโอทีอาร์ (OTR) สัญญาณที่พวกเขากำลังเรียกว่า "safety numbers." ในการยืนยันความถูกต้องของคีย์โดยไม่ให้เสี่ยงต่อการถูกแทรกแซง เราขอแนะนำให้คุณใช้วิธีการอื่นในการติดต่อสื่อสาร ซึ่งไม่ใช่ช่องทางที่คุณกำลังจะเข้ารหัส วิธีนี้เรียกว่าการยืนยันความถูกต้องแบบสำรอง (Out of Band) ตัวอย่างเช่น ถ้าคุณกำลังจะยืนยันความถูกต้องของลายนิ้วมือแบบโอทีอาร์ของคุณ คุณอาจส่งอีเมลลายนิ้วมือของคุณไปให้กับอีกฝ่ายหนึ่ง จากตัวอย่างนี้ อีเมลคือช่องทางการติดต่อสื่อสารสำรอง

    การยืนยันความถูกต้องของคีย์แบบสำรอง (Out of Band)

    คุณสามารถเลือกทำได้หลายวิธี ถ้าคุณสามารถทำได้อย่างปลอดภัยและสะดวก วิธีที่ดีทีุ่สุดคือการยืนยันความถูกต้องของคีย์แบบนัดพบกันตัวเป็นๆ วิธีนี้ส่วนใหญ่จะทำกันที่การพบกันเพื่อเซ็นชื่อคีย์หรือในหมู่เพื่อนร่วมงาน

    แต่ถ้าคุณไม่สามารถนัดพบกันจริงๆ คุณสามารถติดต่อกับผู้ติดต่อของคุณผ่านช่องทางการติดต่อสื่อสารอื่น ที่ไม่ใช่ช่องทางที่คุณกำลังจะยืนยันความถูกต้องของคีย์ ตัวอย่างเช่น ถ้าคุณพยายามจะยืนยันความถูกต้องของคีย์ PGP กับใครสักคน คุณสามารถใช้โทรศัพท์ หรือการแชทแบบโอทีอาร์ก็ได้

    ไม่ว่าคุณจะใช้โปรแกรมอะไร คุณจะสามารถค้นหาทั้งคีย์ของคุณและคีย์ของผู้ที่คุณติดต่อสื่อสารด้วยได้เสมอ

    ถึงแม้วิธีการค้นหาคีย์ของแต่ละโปรแกรมจะแตกต่างกันออกไป แต่วิธีการยืนยันความถูกต้องของคีย์ก็ยังคงคล้ายๆ กัน คุณสามารถอ่านลายนิ้วมือของคีย์ของคุณให้อีกฝ่ายหนึ่งทราบ (ถ้าคุณพบกันแบบตัวเป็นๆ หรือทางโทรศัพท์) หรือคุณอาจคัดลอกและวางคีย์ในโปรแกรมการติดต่อสื่อสาร แต่ไม่ว่าคุณจะเลือกใช้วิธีใด สิ่งสำคัญที่สุด คือคุณต้องตรวจสอบว่าตัวอักษรและตัวเลขทุกเลขทุกตัวตรงกันทั้งหมด

    เคล็ดลับ: ให้ลองยืนยันความถูกต้องของคีย์กับเพื่อนของคุณคนหนึ่งก่อน หากคุณต้องการทราบวิธีการยืนยันความถูกต้องของคีย์สำหรับโปรแกรมใด ให้ดูวิธีการใช้งานของโปรแกรมนั้น

    อัปเดตครั้งล่าสุด: 
    2017-01-13
  • ความรู้เบื้องต้นเกี่ยวกับวิธีเข้ารหัสคีย์สาธารณะ (Public-Key Cryptography) และ PGP

    PGP ย่อมาจาก Pretty Good Privacy ซึ่งจริง ๆ แล้วเป็นการป้องกันความเป็นส่วนตัวที่ดีมาก ถ้าใช้งานอย่างถูกต้องจะสามารถช่วยป้องกันเนื้อหาของ SMS ข้อความ และแม้แต่ไฟล์ของคุณ ไม่ให้ใครเข้าใจได้ แม้แต่โปรแกรมการสอดส่องของรัฐบาลที่มีเงินทุนมหาศาลก็ตาม เมื่อ Edward Snowden พูดถึงว่า 'การเข้ารหัส' ใช้งานได้ดี การเข้ารหัสที่เขาหมายถึงคือ PGP และซอฟต์แวร์อื่น ๆ ที่เกี่ยวข้อง ทั้งนี้ควรตระหนักว่าการที่รัฐบาลขโมยคีย์ส่วนบุคคลจากคอมพิวเตอร์ของประชาชน (โดยยึดคอมพิวเตอร์ หรือโดยการติดตั้งมัลแวร์ลงในคอมพิวเตอร์โดยใช้การเข้าถึงโดยตรงหรือด้วยการโจมตีในรูปแบบฟิชชิ่ง) เป็นสิ่งที่ไม่เคยมีการกระทำมาก่อน ซึ่งการกระทำดังกล่าวจะทำให้การปกป้องไม่ทำงานและแม้กระทั่งทำให้สามารถอ่านอีเมลเก่า ๆ ได้ด้วย การกระทำในลักษณะดังกล่าวอาจเปรียบเทียบได้กับการที่คุณมีแม่กุญแจล็อคประตูที่ไม่สามารถสะเดาะได้ แต่มีใครบางคนที่อาจจะล้วงกระเป๋าของคุณตามถนนเพื่อขโมยลูกกุญแจ จากนั้นทำสำเนาลูกกุญแจดังกล่าวและแอบใส่ลูกกุญแจตัวจริงกลับเข้าในกระเป๋าของคุณตามเดิมโดยที่คุณไม่รู้ตัว และทำให้สามารถเข้าไปในบ้านของคุณได้โดยไม่ต้องสะเดาะกุญแจ

    น่าเสียดายที่ PNG เป็นโปรแกรมที่เข้าใจยากหรือใช้งานได้ยาก การเข้ารหัสแบบแข็งแกร่งที่ PGP ใช้ ซึ่งได้แก่การเข้ารหัสคีย์สาธารณะ ถือเป็นวิธีที่ฉลาดแต่ซับซ้อนและยากที่จะทำความเข้าใจ ส่วนซอฟต์แวร์ของ PGP เองได้รับการพัฒนาขึ้นตั้งแต่ปี 1991 ซึ่งถือเป็นซอฟต์แวร์ในยุคเดียวกันกับ Microsoft Windows รุ่นแรก ๆ และรูปลักษณ์ของซอฟต์แวร์ก็ไม่ได้เปลี่ยนแปลงมากนักตั้งแต่ต้น

    ข่าวดีคือในปัจจุบันมีโปรแกรมที่สามารถใช้งานได้มากมาย ซึ่งสามารถซ่อนดีไซน์ยุคโบราณของ PGP และทำให้ใช้งานได้ง่ายขึ้น โดยเฉพาะอย่างยิ่งสำหรับการเข้ารหัสและการรับรองความถูกต้องของอีเมล ซึ่งเป็นการทำงานหลักของ PGP เราได้รวมแนวทางในการติดตั้งและใช้งานซอฟต์แวร์นี้ไว้ด้วยในหัวข้ออื่น

    ก่อนที่จะลองใช้ PGP หรือโปรแกรมอื่น ๆ ที่ใช้ PGP เราคิดว่าจะเป็นประโยชน์อย่างมาก หากคุณใช้เวลาสักครู่เพื่อทำความเข้าใจเกี่ยวกับพื้นฐานของการเข้ารหัสคีย์สาธารณะ เช่น โปรแกรมสามารถทำอะไรได้บ้าง และไม่สามารถทำอะไรได้บ้าง และเมื่อใดที่ควรใช้ PGP

    A Tale of Two Keys (เรื่องราวของสองคีย์)

    เมื่อเราใช้การเข้ารหัสเพื่อต่อสู้กับการถูกสอดส่อง:

    เรารับข้อความที่อ่านได้อย่างชัดเจน เช่น "hello mum" เราเข้ารหัสข้อความดังกล่าวให้เป็นข้อความที่เข้ารหัสไว้ และบุคคลที่เห็นข้อความดังกล่าวก็ไม่สามารถเข้าใจได้ (เช่น "OhsieW5ge+osh1aehah6") เราส่งข้อความที่เข้ารหัสไว้ดังกล่าวผ่านทางอินเทอร์เน็ต ซึ่งคนจำนวนมากสามารถอ่านได้ แต่หวังว่าจะไม่มีใครที่เข้าใจข้อความนี้ หลังจากนั้นเมื่อข้อความไปถึงปลายทาง ผู้รับที่เราตั้งใจส่งข้อความไปให้และเฉพาะผู้รับที่เราส่งข้อความให้เท่านั้น ที่จะมีวิธีในการถอดรหัสข้อความกลับไปเป็นข้อความดั้งเดิมได้

    แล้วผู้รับของเรารู้วิธีการถอดรหัสข้อความได้อย่างไร ในเมื่อคนอื่น ๆ ไม่สามารถรู้ได้ คำตอบน่าจะเนื่องมาจากผู้รับดังกล่าวทราบข้อมูลพิเศษที่บุคคลอื่นไม่ทราบ เราจะเรียกข้อมูลพิเศษนี้ว่าคีย์การถอดรหัส เนื่องจากเราใช้คีย์นี้เพื่อปลดล็อคข้อความภายในรหัส

    แล้วผู้รับของเราทราบคีย์นี้ได้อย่างไร โดยส่วนใหญ่แล้วเนื่องจากผู้ส่งได้บอกคีย์ให้ผู้รับทราบก่อนหน้านี้แล้ว เช่น "ลองถือข้อความแล้วส่องดูในกระจก" หรือ "แปลงตัวอักษรแต่ละตัวให้เป็นตัวอักษรถัดไปในลำดับตัวอักษร" แต่วิธีนี้ก็ยังมีปัญหาอยู่ดี ถ้ากังวลว่าจะถูกสืบความลับเมื่อคุณส่งข้อความที่เข้ารหัสไว้ แล้วคุณจะส่งคีย์ให้กับผู้รับโดยไม่ให้คนอื่นมาสอดส่องการสนทนานั้นได้อย่างไร คงไม่มีประโยชน์ที่จะส่งข้อความที่เข้ารหัสลับไว้อย่างแยบยลให้กับผู้รับ ถ้าผู้โจมตีทราบคีย์ที่จะถอดรหัสข้อความนั้นแล้ว และถ้าคุณมีวิธีลับในการส่งคีย์การถอดรหัส ทำไมไม่ใช้วิธีนั้นเพื่อส่งข้อความลับทั้งหมดของคุณล่ะ

    วิธีเข้ารหัสด้วยคีย์สาธารณะมีวิธีแก้ที่แนบเนียบสำหรับปัญหานี้ บุคคลแต่ละคนที่อยู่ในการสนทนาสามารถสร้างคีย์ได้สองแบบ คีย์แรกคือคีย์ส่วนตัวของตนเอง ซึ่งพวกเขาจะเก็บไว้กับตัวและไม่ให้ใครรู้ทั้งสิ้น อีกคีย์หนึ่งคือคีย์สาธารณะ ซึ่งพวกเขาต้องส่งให้กับบุคคลที่ต้องการติดต่อสื่อสารด้วย ทั้งนี้ไม่ต้องสนใจว่าใครจะมองเห็นคีย์สาธารณะ คุณสามารถใส่ข้อมูลคีย์สาธารณะทางออนไลน์ ซึ่งทุกคนสามารถมองเห็นได้

    โดยแก่นแท้แล้ว "คีย์" ก็คือตัวเลขจำนวนมากซึ่งมีคุณสมบัติเฉพาะทางคณิตศาสตร์ คีย์สาธารณะและคีย์ส่วนตัวมีความเชื่อมโยงซึ่งกันและกัน ถ้าคุณเข้ารหัสอะไรก็ตามโดยใช้คีย์สาธารณะ บุคคลอื่นก็สามารถถอดรหัสได้โดยใช้คีย์ส่วนตัวที่ตรงกัน

    มาดูว่าวิธีดังกล่าวทำงานได้ผลอย่างไร คุณต้องการส่งข้อที่เป็นความลับให้ Aarav ทั้งนี้ Aarav มีคีย์ส่วนตัว แต่ก็เช่นเดียวกันกับผู้ใช้การเข้ารหัสคีย์สาธารณะที่ดี เขาได้ใส่คีย์สาธารณะที่เชื่อมโยงไว้ในเว็บเพจของตนเอง คุณดาวน์โหลดคีย์สาธารณะ ทำการเข้ารหัสข้อความโดยใช้คีย์สาธารณะและส่งให้เขา เขาสามารถถอดรหัสได้ เนื่องจากเขามีคีย์ส่วนตัวที่สัมพันธ์กัน แต่คนอื่นจะไม่สามารถถอดรหัสได้

    สัญลักษณ์แห่งกาลเวลา

    วิธีเข้ารหัสด้วยคีย์สาธารณะขจัดปัญหาการลักลอบขโมยคีย์ถอดรหัสที่ส่งให้กับบุคคลที่คุณต้องการส่งข้อความถึง เนื่องจากบุคคลดังกล่าวที่เป็นผู้รับมีคีย์อยู่แล้ว เพียงแต่คุณต้องมีคีย์สาธารณะสำหรับการถอดรหัสที่ตรงกันไว้เท่านั้น ซึ่งผู้รับสามารถส่งให้ใครก็ได้ รวมทั้งพวกสอดแนมด้วย เพราะคีย์สาธารณะดังกล่าวมีประโยชน์สำหรับการเข้ารหัสข้อความเท่านั้น แต่ไม่มีประโยชน์สำหรับผู้ที่พยายามถอดรหัสข้อความนั้น

    แต่ยังมีอะไรมากกว่านั้น! ถ้าคุณเข้ารหัสข้อความด้วยคีย์สาธารณะที่เฉพาะเจาะจง ข้อความดังกล่าวจะสามารถถอดรหัสได้ด้วยคีย์ส่วนตัวที่ตรงกันเท่านั้น แต่ถ้าคีย์ไม่ตรงกันก็จะไม่สามารถถอดรหัสได้ ถ้าคุณเข้ารหัสข้อความด้วยคีย์ส่วนตัวที่เฉพาะเจาะจง ข้อความนั้นจะสามารถถอดรหัสได้ด้วยคีย์สาธารณะที่ตรงกันเท่านั้น

    ทำไมวิธีการในลักษณะนี้ถึงมีประโยชน์ หากดูผิวเผินในตอนแรก การสร้างข้อความลับด้วยคีย์ส่วนตัวที่ทุกคนในโลก (หรืออย่างน้อยทุกคนที่มีคีย์สาธารณะของคุณ) สามารถเจาะได้อาจดูเหมือนจะไม่มีประโยชน์ แต่สมมุติว่าฉันเขียนข้อความว่า "ฉันสัญญาว่าจะจ่ายเงินให้ Aazul จำนวน 100 เหรียญ" แล้วแปลงสิ่งที่เขียนให้เป็นข้อความลับโดยใช้คีย์ส่วนตัวของตัวเอง ไม่ว่าใครก็สามารถถอดรหัสข้อความนั้นได้ แต่มีเพียงคนเดียวเท่านั้นที่สามารถเป็นผู้เขียนข้อความนั้นได้ ซึ่งก็คือบุคคลที่มีคีย์ส่วนตัวของฉัน ถ้าฉันสามารถเก็บรักษาคีย์ส่วนตัวไว้ได้อย่างปลอดภัย นั่นหมายความว่าบุคคลที่เขียนข้อความคือตัวฉันและตัวฉันคนเดียวเท่านั้น ในทางปฏิบัติแล้วการเข้ารหัสข้อความโดยใช้คีย์ส่วนตัวของฉันเอง เท่ากับว่าฉันได้ทำให้อีกฝ่ายมั่นใจว่าข้อความดังกล่าวส่งมาจากตัวฉันเองเท่านั้น กล่าวอีกอย่างหนึ่งคือ ฉันได้ดำเนินการกับข้อความดิจิทัลนี้ในแบบเดียวกันกับที่เราเซ็นชื่อท้ายข้อความในการปฏิบัติจริง

    นอกจากนี้การเซ็นชื่อยังเป็นการป้องกันการปรับเปลี่ยนเพื่อทำลายข้อความได้ด้วย หากมีใครบางคนพยายามที่จะเปลี่ยนแปลงข้อความที่ระบุว่า “ฉันสัญญาที่จะจ่ายเงินให้ Aazul จำนวน 100 ดอลลาร์” เป็น “ฉันสัญญาที่จะจ่ายเงินให้ Bob จำนวน 100 ดอลลาร์” บุคคลที่พยายามปรับเปลี่ยนข้อความดังกล่าวจะไม่สามารถเซ็นชื่อซ้ำโดยใช้คีย์ส่วนตัวของฉันได้ ดังนั้นเป็นการรับประกันว่าข้อความที่เซ็นชื่อไว้มาจากแหล่งเฉพาะและไม่ได้ถูกรบกวนในระหว่างการส่ง

    สรุปคือวิธีเข้ารหัสคีย์สาธารณะช่วยให้คุณสามารถเข้ารหัสและส่งข้อความให้บุคคลใดก็ตามที่คุณทราบคีย์สาธารณะของบุคคลดังกล่าวได้อย่างปลอดภัย ถ้าบุคคลอื่นทราบคีย์สาธารณะของคุณ พวกเขาก็สามารถส่งข้อความให้คุณ ซึ่งคุณเพียงคนเดียวเท่านั้นที่สามารถถอดรหัสได้ และถ้าผู้คนทราบคีย์สาธารณะของคุณ คุณสามารถเซ็นชื่อข้อความเพื่อให้บุคคลเหล่านั้นทราบว่าข้อความดังกล่าวส่งมาจากคุณเท่านั้น และถ้าคุณทราบคีย์สาธารณะของใครบางคน คุณสามารถถอดรหัสข้อความที่บุคคลนั้นเซ็นชื่อไว้ และรู้ได้ว่าข้อความดังกล่าวส่งมาจากพวกเขาเท่านั้น

    เมื่อถึงจุดนี้คงมีความชัดเจนมากขึ้นแล้วว่า ยิ่งวิธีการเข้ารหัสคีย์สาธารณะมีประโยชน์มากขึ้นเท่าไร บุคคลที่ทราบคีย์สาธารณะของคุณก็มีมากขึ้นเท่านั้น นอกจากนี้คงเป็นที่ประจักษ์แล้วว่าคุณต้องเก็บรักษาคีย์ส่วนตัวไว้ให้ปลอดภัยที่สุด หากบุคคลอื่นได้สำเนาคีย์ส่วนตัวของคุณ พวกเขาสามารถปลอมตัวเป็นคุณและเซ็นชื่อข้อความโดยอ้างว่าคุณเป็นผู้เขียนข้อความดังกล่าว PGP มีคุณสมบัติที่ให้คุณสามารถ “เพิกถอน” คีย์ส่วนตัวและเตือนให้บุคคลอื่นทราบว่าคีย์ส่วนตัวดังกล่าวไม่สามารถเชื่อถือได้อีกต่อไป แต่คุณสมบัติดังกล่าวไม่ใช่วิธีแก้ปัญหาที่ดีนัก สิ่งสำคัญที่สุดของการใช้ระบบวิธีเข้ารหัสคีย์สาธารณะคือปกป้องคีย์ส่วนตัวของคุณอย่างระมัดระวังที่สุด

    วิธีการทำงานของ PGP

    Pretty Good Privacy ส่วนใหญ่เกี่ยวข้องกับรายละเอียดปลีกย่อยของการสร้างและใช้งานคีย์สาธารณะและ คีย์ส่วนตัว คุณสามารถสร้างคู่ของคีย์สาธารณะ/คีย์ส่วนตัวด้วย PGP ปกป้องคีย์ส่วนตัวด้วยรหัสผ่านและใช้คีย์ส่วนตัวและคีย์สาธารณะของคุณเพื่อเซ็นชื่อและเข้ารหัสข้อความ นอกจากนี้ PGP ยังช่วยให้คุณสามารถดาวน์โหลดคีย์สาธารณะของบุคคลอื่น และอัปโหลดคีย์สาธารณะของคุณไว้บน “เซิร์ฟเวอร์คีย์สาธารณะ” ซึ่งเป็นที่เก็บคีย์สาธารณะ เพื่อให้คนอื่น ๆ สามารถค้นหาคีย์ของคุณได้ ดูคู่มือของเราเพื่อติดตั้งซอฟต์แวร์ที่เข้ากันได้กับ PGP ในซอฟต์แวร์อีเมลของคุณ

    หากมีสิ่งเดียวที่คุณจำเป็นต้องจดจำจากข้อมูลภาพรวมนี้ สิ่งนั้นคือ คุณควรจัดเก็บคีย์ส่วนตัวของคุณไว้ในที่ปลอดภัยและปกป้องคีย์ดังกล่าวโดยใช้รหัสผ่านที่ยาว คุณสามารถให้คีย์สาธารณะของคุณกับบุคคลใดก็ได้ที่คุณต้องการให้ติดต่อสื่อสารด้วย หรือกับบุคคลที่ต้องการทราบว่าข้อความนั้นส่งมาจากคุณจริง ๆ

    PGP ขั้นสูง: Web of Trust (โครงข่ายความไว้วางใจ)

    คุณอาจสังเกตเห็นข้อบกพร่องที่อาจเกิดขึ้นได้ในวิธีการทำงานของวิธีการเข้ารหัสคีย์สาธารณะ สมมุติว่าฉันได้เริ่มต้นแจกจ่ายคีย์สาธารณะ ซึ่งฉันบอกว่าเป็นของประธานาธิบดี Barack Obama ถ้าผู้คนเชื่อฉัน พวกเขาอาจเริ่มส่งข้อความลับให้กับประธานาธิบดี Barack และเข้ารหัสข้อความไว้โดยใช้คีย์นั้น หรือพวกเขาอาจหลงเชื่อว่าข้อความใดก็ตามที่เซ็นชื่อโดยใช้คีย์นั้นเป็นแถลงการณ์ของประธานาธิบดี Barack กรณีนี้เกิดขึ้นได้ค่อนข้างยาก แต่ได้เกิดขึ้นกับคนบางคนในชีวิตจริง รวมถึงผู้เขียนบทความเอกสารนี้บางคนด้วย บางคนที่เขียนข้อความถึงพวกเขาได้ถูกหลอก! (เราไม่ทราบแน่นอนในสถานการณ์เหล่านี้ว่าผู้ที่สร้างคีย์ปลอมขึ้นสามารถดักจับข้อความในระหว่างการส่งและอ่านข้อความได้หรือไม่ หรือว่านั่นเป็นแค่การเล่นตลกเพื่อสร้างความไม่สะดวกให้กับผู้คนในการติดต่อสื่อสารที่มีการรักษาความปลอดภัย)

    การลอบโจมตีอีกอย่างหนึ่งคือ การที่ผู้โจมตีเข้ามาแทรกกลางระหว่างคนสองคนที่กำลังสนทนากันทางออนไลน์ เพื่อดักฟังการสนทนาทั้งหมด และบางครั้งก็ใส่ข้อความของผู้โจมตีเพื่อทำให้เกิดการเข้าใจผิดในการสนทนานั้น ทั้งนี้เนื่องจากอินเทอร์เน็ตได้รับการออกแบบให้เป็นระบบรับส่งข้อความระหว่างคอมพิวเตอร์และบุคคลต่าง ๆ จำนวนมาก ทำให้การโจมตีดังกล่าวนี้มีความเป็นไปได้ ภายใต้สภาวะเหล่านี้ (ซึ่งเรียกว่า "การโจมตีแบบแทรกกลางการสื่อสาร" (man-in-the-middle attack) ทำให้การแลกเปลี่ยนคีย์โดยที่ไม่ได้ตกลงกันไว้ล่วงหน้าสามารถก่อให้เกิดความเสี่ยงได้อย่างมาก บุคคลที่ดูเหมือนจะเป็นประธานาธิบดี Barack Obama ได้ประกาศว่า "นี่คือคีย์ของผม" และส่งไฟล์คีย์สาธารณะให้กับคุณ แต่แล้วถ้ามีคนบางคนที่ไม่ต้องการรอจนถึงเวลาดังกล่าว ได้เข้ามาแทรกแซงการส่งคีย์ของประธานาธิบดี Barack  และแทรกคีย์ของเขาหรือของเธอเองเข้าไปล่ะ

    เราจะพิสูจน์ได้อย่างไรว่าคีย์ที่ระบุนั้นเป็นของผู้นั้นจริง วิธีหนึ่งที่ทำได้คือการรับคีย์จากพวกเขาโดยตรง แต่วิธีนี้ก็ไม่ได้ดีไปกว่าปัญหาท้าทายเดิมของเราในการรับคีย์ลับโดยไม่ให้มีใครรู้ได้ ผู้คนยังคงแลกเปลี่ยนคีย์สาธารณะเมื่อพวกเขาพบกัน ทั้งในแบบที่เป็นส่วนตัวและด้วยวิธีการเข้ารหัสแบบสาธาณะ

    PGP มีวิธีแก้ปัญหาที่เรียกว่า "Web of Trust" (“โครงข่ายความไว้วางใจ”) ซึ่งเป็นวิธีที่ดีกว่าเล็กน้อย ใน Web of Trust ถ้าฉันเชื่อว่าคีย์เป็นของบุคคลคนหนึ่งแน่นอน ฉันสามารถเซ็นชื่อคีย์นั้นได้และจากนั้นอัปโหลดคีย์ (พร้อมกับลายเซ็น) ไปที่เซิร์ฟเวอร์คีย์สาธารณะ จากนั้นเซิร์ฟเวอร์คีย์จะแจกจ่ายคีย์ที่เซ็นชื่อไว้นั้น ให้กับบุคคลที่ขอคีย์

    กล่าวโดยคร่าว ๆ คือยิ่งมีจำนวนคนที่ฉันไว้ใจเซ็นชื่อคีย์นั้นมากเท่าใด ก็ยิ่งมีแนวโน้มมากขึ้นที่ฉันจะเชื่อว่าคีย์นั้นเป็นของผู้ที่กล่าวอ้างจริง ๆ PGP ช่วยให้คุณสามารถเซ็นชื่อคีย์ของบุคคลอื่น ๆ และช่วยให้คุณไว้วางใจคนที่เซ็นชื่อคนอื่น ๆ ได้ เพื่อที่ถ้าพวกเขาเซ็นชื่อคีย์ ซอฟต์แวร์ของคุณจะเชื่อโดยอัตโนมัติว่าคีย์ดังกล่าวเป็นของจริง

    อย่างไรก็ดี "Web of Trust" (โครงข่ายความไว้วางใจ) ยังคงมีปัญหาอยู่ในตัวเช่นกัน และปัจจุบันองค์กรต่าง ๆ อย่างเช่น EFF ก็กำลังหาวิธีแก้ไขที่ดีกว่ากันอยู่ แต่สำหรับตอนนี้ ถ้าคุณต้องการทางเลือกในการส่งคีย์ให้กับบุคคลอื่นด้วยตัวเอง การใช้ "Web of Trust" (โครงข่ายความไว้วางใจ) และเครือข่ายเซิร์ฟเวอร์คีย์สาธารณะคือทางเลือกที่ดีที่สุด

    เมตาดาต้า (Metadata): สิ่งที่ PGP ไม่สามารถทำได้

    PGP เกี่ยวข้องกับการสร้างความมั่นใจว่าเนื้อหาของข้อความจะเป็นความลับ เป็นของแท้ และไม่มีการแก้ไขดัดแปลง แต่นั่นอาจไม่ใช่ปัญหากังวลเพียงอย่างเดียวเกี่ยวกับความเป็นส่วนตัว ตามที่เราตั้งข้อสังเกต ข้อมูลเกี่ยวกับข้อความสามารถเปิดเผยให้เห็นข้อมูลได้มากเท่ากับเนื้อหาของข้อความเอง (ดูที่ “เมทาเดตา”) ถ้าคุณรับส่งข้อความ PGP กับผู้ที่มีความเห็นขัดแย้งที่เป็นที่รู้จักในประเทศของคุณ คุณอาจตกอยู่ในอันตรายได้เพียงแค่ติดต่อสื่อสารกับบุคคลดังกล่าวเท่านั้น ถึงแม้ว่าจะไม่มีการถอดรหัสข้อความเหล่านั้นก็ตาม อันที่จริงในบางประเทศคุณสามารถต้องโทษจำคุก ในข้อหาปฏิเสธที่จะถอดรหัสข้อความที่เข้ารหัสไว้

    PGP ไม่ได้กระทำสิ่งใดที่เป็นการแอบซ่อนบุคคลที่คุณกำลังพูดคุยด้วย หรือให้คุณใช้ PGP เพื่อกระทำการแอบซ่อนดังกล่าวได้ อันที่จริงถ้าคุณอัปโหลดคีย์สาธารณะของคุณขึ้นบนเซิร์ฟเวอร์คีย์ หรือเซ็นชื่อคีย์ของบุคคลอื่น ในทางปฏิบัติเท่ากับว่าคุณกำลังบอกให้โลกรู้ว่าคีย์นั้นเป็นของคุณและคุณรู้จักใครบ้าง

    ทั้งนี้ไม่จำเป็นต้องดำเนินการดังกล่าว คุณสามารถเก็บคีย์สาธารณะ PGP ของคุณไว้เป็นความลับ และมอบคีย์ดังกล่าวให้กับบุคคลที่คุณรู้สึกว่ามีปลอดภัยด้วยเท่านั้น และบอกกล่าวบุคคลเหล่านั้นว่าอย่าอัปโหลดคีย์สาธารณะของคุณขึ้นบนเซิร์ฟเวอร์คีย์ คุณไม่จำเป็นต้องแนบชื่อของตัวเองกับคีย์

    การปิดบังว่าคุณกำลังติดต่อสื่อสารอยู่กับบุคคลใดบุคคลหนึ่งเป็นสิ่งที่ทำได้ยากมากขึ้น วิธีหนึ่งที่ทำได้คือให้คุณทั้งสองคนใช้บัญชีผู้ใช้อีเมลแบบไม่ระบุชื่อและเข้าใช้งานบัญชีผู้ใช้อีเมลดังกล่าวโดยใช้ Tor หากทำได้ PGP จะยังคงมีประโยชน์ ทั้งสำหรับการรักษาความลับของข้อความอีเมลของคุณจากบุคคลอื่น และการพิสูจน์ซึ่งกันและกันว่าข้อความดังกล่าวไม่ได้มีการแก้ไขปรับเปลี่ยนใด ๆ ทั้งสิ้น

    อัปเดตครั้งล่าสุด: 
    2018-05-09
  • วิธีการ: ใช้งานโอทีอาร์สำหรับ Mac

    Adium คือโปรแกรมการรับส่งข้อความโต้ตอบแบบทันที ชนิดโอเพนซอร์สและใช้งานได้ฟรี สำหรับ OS X ช่วยให้คุณสามารถแชทกับผู้อื่นข้ามโพรโทคอลการแชทมากมาย อาทิ Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ และ XMPP

    โอทีอาร์ (การเข้ารหัสคำสนทนา) คือโพรโทคอลที่ทำให้ผู้คนสามารถสนทนากันแบบเป็นความลับได้ โดยใช้เครื่องมือการรับส่งข้อความที่พวกเขาคุ้นเคย ทั้งนี้ อย่าสับสนกับคุณลักษณะ "Off the record" ของ Google ซึ่งเพียงแค่ปิดใช้งานการบันทึกรายการสนทนา และไม่มีขีดความสามารถในการเข้ารหัสหรือการยืนยันความถูกต้อง สำหรับผู้ใช้ Mac โอทีอาร์ได้ถูกติดตั้งมาให้พร้อมกับโปรแกรม Adium

    โอทีอาร์ใช้การเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง จึงหมายความว่า คุณสามารถใช้โปรแกรมนี้เพื่อสนทนากับบริการต่างๆ อย่างเช่น Google Hangouts โดยบริษัทเหล่านี้ไม่สามารถเข้าถึงเนื้อหาของการสนทนาได้ แต่ความจริงที่ว่าคุณกำลังมีการสนทนาจะมองเห็นได้ในการให้บริการ

    เหตุใดฉันจึงควรใช้ Adium + โอทีอาร์?

    เมื่อคุณสนทนาโดยแชทผ่านทาง Google Hangouts หรือโปรแกรมแชทของ บนเว็บไซต์ Google การสนทนาดังกล่าวจะถูกเข้ารหัสไว้ โดยใช้ HTTPS ซึ่งหมายความว่า เนื้อหาของการสนทนาของคุณจะได้รับการป้องกันจากแฮกเกอร์และบุคคลภายนอกอื่นๆ ขณะกำลังรับส่งข้อความ อย่างไรก็ตาม การสนทนาของคุณไม่ได้ถูกป้องกันจาก Google  ซึ่งถือกุญแจการสนทนาของคุณไว้ และสามารถส่งให้กับเจ้าหน้าที่ได้ หรือใช้พวกเขาสำหรับการตลาด

    หลังจากที่คุณติดตั้ง Adium แล้ว คุณสามารถลงชื่อเข้าใช้ Pidgin โดยใช้บัญชีผู้ใช้หลายบัญชีพร้อมกันได้ ยกตัวอย่างเช่น คุณสามารถใช้ Google Hangouts และ XMPP พร้อมกันได้ นอกจากนี้ Adium ยังอนุญาตให้คุณแชท โดยใช้เครื่องมือเหล่านี้แบบไม่มีโอทีอาร์ได้ด้วย เนื่องจากโอทีอาร์จะสามารถทำงานได้ เมื่อทั้งสองฝั่งใช้ปลั๊กอินนี้เท่านั้น จึงหมายความว่า คุณยังสามารถแชทโดยใช้ Adium ได้ ถึงแม้อีกฝ่ายหนึ่งจะไม่ได้ติดตั้งปลั๊กอินนี้ก็ตาม

    นอกจากนี้ Adium ยังอนุญาตให้คุณทำการยืนยันความถูกต้องแบบสำรอง (Out of Band) เพื่อให้แน่ใจว่าคุณกำลังพูดอยู่กับคนที่คุณคิดจริงๆ และคุณไม่ได้ตกเป็นเป้าหมายของการโจมตีจากคนกลาง (Man-in-the-Middle Attack) ที่เข้ามาแทรกกลางในการสนทนา ในการสนทนาทุกครั้ง โปรแกรมจะแสดงตัวเลือกให้แสดงลายนิ้วมือของคีย์ที่โปรแกรมมี สำหรับคุณและผู้ที่คุณกำลังสนทนาด้วย 'ลายนิ้วมือของคีย์' คือสตริงของอักขระ อย่างเช่น '342e 2309 bd20 0912 ff10 6c63 2192 1928' ที่ใช้เพื่อยืนยันความถูกต้องของคีย์สาธารณะที่ยาวกว่า แลกเปลี่ยนลายนิ้วมือของคุณผ่านช่องทางการติดต่อสื่อสารอื่นๆ อาทิ Twitter DM หรืออีเมล เพื่อให้แน่ใจว่าจะไม่มีผู้ไม่หวังดีเข้ามาแทรกกลางในการสนทนาของคุณ ถ้าคีย์ไม่ตรงกับคุณจะไม่สามารถให้แน่ใจว่าคุณกำลังพูดคุยกับคนที่เหมาะสม ในทางปฏิบัติผู้คนมักจะใช้ปุ่มหลายหรือสูญเสียและมีการสร้างคีย์ใหม่จึงไม่ต้องแปลกใจถ้าคุณต้องตรวจสอบอีกครั้งคีย์ของคุณกับเพื่อนของคุณในบางครั้ง

    ขีดจำกัด: เมื่อใดที่ฉันไม่ควรใช้ Adium + โอทีอาร์?

    นักเทคโนโลยีมีคำที่ใช้อธิบาย เมื่อโปรแกรมหรือเทคโนโลยีอาจมีช่องโหว่ที่ทำให้ถูกโจมตีจากภายนอกได้ง่าย ซึ่งพวกเขาเรียกว่าพื้นหน้าของการโจมตี (Attack Surface) ขนาดใหญ่ Adium มีพื้นหน้าของการโจมตีขนาดใหญ่ เนื่องจากโปรแกรมนี้มีความซับซ้อน และไม่ได้เขียนขึ้นโดยให้ความสำคัญสูงสุดในเรื่องของความปลอดภัย ดังนั้น เราจึงค่อนข้างแน่ใจว่าโปรแกรมมีจุดบกพร่อง ซึ่งรัฐบาลหรือแม้แต่บริษัทใหญ่ๆ อาจใช้เพื่อบุกรุกเข้าคอมพิวเตอร์ที่ใช้งานโปรแกรมนี้อยู่ การใช้ Adium เพื่อเข้ารหัสการสนทนาของคุณเป็นวิธีการป้องกันที่ดี เพื่อป้องกันการถูกสอดส่องเพื่อการไล่ล่าผู้ร้าย ซึ่งผู้โจมตีใช้เพื่อสืบความลับการสนทนาบนอินเทอร์เน็ตของทุกคน โดยไม่ีมีเป้าหมายที่เฉพาะเจาะจง แต่ถ้าคุณคิดว่าคุณตกเป็นเป้าหมายส่วนตัวของผู้โจมตีที่มีเครื่องมือและทรัพยากรพร้อม (เช่น จากภาครัฐหรือรัฐบาล) คุณควรพิจารณาใช้เครื่องมือป้องกันที่แข็งแกร่งกว่านี้ อย่างเช่น อีเมลที่เข้ารหัสด้วย PGP

    การติดตั้ง Adium + โอทีอาร์บนเครื่อง Mac ของคุณ

    ขั้นตอนที่ 1: ติดตั้งโปรแกรม

    ขั้นแรก ให้ไปที่ https://adium.im/ ในเบราว์เซอร์ของคุณ แล้วเลือก "Download Adium 1.5.9" (ดาวน์โหลด Adium 1.5.9) ไฟล์จะถูกดาวน์โหลดในรูปแบบ .dmg หรือดิสก์อิมเมจ และอาจบันทึกอยู่ในโฟลเดอร์ "Downloads" (การดาวน์โหลด) ของคุณ

    ให้คลิกสองครั้งที่ไฟล์นั้น ระบบจะเปิดหน้าต่างขึ้นมาดังรูปด้านล่างนี้:

    ย้ายไอคอน 'Adium' ไปที่โฟลเดอร์ "Applications" (แอปพลิเคชัน) เพื่อติดตั้งโปรแกรม เมื่อติดตั้งโปรแกรมเสร็จแล้ว ให้ดูโปรแกรมในโฟลเดอร์ "Applications" (แอปพลิเคชัน) ของคุณ แล้วคลิกสองครั้ง เพื่อเปิดโปรแกรม

    ขั้นตอนที่ 2: ตั้งค่าบัญชีผู้ใช้ของคุณ

    ขั้นแรก คุณต้องตัดสินใจว่าต้องการใช้เครื่องมือหรือโพรโทคอลการแชทตัวใดกับ Adium ขั้นตอนในการตั้งค่าจะคล้ายกัน แต่จะไม่เหมือนกันเสียทีเดียวสำหรับเครื่องมือแต่ละชนิด คุณจะต้องทราบชื่อบัญชีผู้ใช้ของคุณสำหรับเครื่องมือหรือโพรโทคอลแต่ละตัว และต้องทราบรหัสผ่านสำหรับบัญชีผู้ใช้แต่ละบัญชีด้วย

    หากต้องการตั้งค่าบัญชีผู้ใช้ ให้ไปที่เมนู Adium ที่ตรงด้านบนสุดของหน้าจอของคุณ แล้วคลิก "Adium" จากนั้นคลิก "Preferences" (การกำหนดลักษณะ) โปรแกรมจะเปิดหน้าต่างที่แสดงเมนูอื่นขึ้นมาที่ด้านบนสุด เลือก "Accounts" (บัญชีผู้ใช้) แล้วคลิกเครื่องหมาย "+" ที่ด้านล่างสุดของหน้าต่าง คุณจะเห็นเมนูที่มีหน้าตาคล้ายกับรูปด้านล่างนี้:

    เลือกโปรแกรมที่คุณต้องการลงชื่อเข้าใช้ จากจุดนี้ โปรแกรมจะแสดงหน้าต่างเพื่อขอให้คุณป้อนชื่อผู้ใช้และรหัสผ่านของคุณ หรือให้ใช้เครื่องมือการอนุญาตของ Adium เพื่อลงชื่อเข้าใช้บัญชีผู้ใช้ของคุณ ทำตามคำแนะนำของ Adiumอย่างระมัดระวัง

    วิธีการเริ่มต้นการแชทผ่านโอทีอาร์

    เมื่อคุณลงชื่อเข้าใช้บัญชีผู้ใช้ของคุณอย่างน้อยหนึ่งบัญชีแล้ว คุณสามารถเริ่มต้นใช้งานโอทีอาร์ได้

    ข้อควรจำ: หากต้องการสนทนาโดยใช้โอทีอาร์ คู่สนทนาทั้งสองฝั่งต้องใช้โปรแกรมแชทที่รองรับโอทีอาร์

    ขั้นตอนที่ 1: เริ่มต้นการแชทผ่านโอทีอาร์

    ก่อนอื่น ให้ระบุตัวผู้ที่กำลังใช้งานโอทีอาร์ แล้วเริ่มต้นการสนทนากับพวกเขาใน Adium โดยคลิกสองครั้งที่ชื่อของพวกเขา เมื่อคุณเปิดหน้าต่างแชทขึ้นมาแล้ว คุณจะเห็นไอคอนรูปแม่กุญแจที่เปิดล็อกอยู่ ตรงมุมซ้ายบนของหน้าต่างแชท คลิกที่ไอคอนรูปแม่กุญแจนี้ แล้วเลือก "Initiate Encrypted OTR Chat" (เริ่มต้นการแชทผ่านโอทีอาร์แบบเข้ารหัส)

    ขั้นตอนที่ 2: ยืนยันความถูกต้องของการเชื่อมต่อของคุณ

    เมื่อคุณได้เริ่มต้นการแชทและคู่สนทนาของคุณได้ยอมรับคำเชิญแล้ว คุณจะสังเกตเห็นว่าไอคอนรูปแม่กุญแจจะปิดล็อกลงมา นี่คือวิธีที่คุณจะได้ทราบว่าการแชทของคุณได้ถูกเข้ารหัสแล้วในตอนนี้ (ยินดีด้วย!) – แต่เดี๋ยวก่อน ยังมีอีกขั้นตอนหนึ่ง!

    ตอนนี้ คุณได้เริ่มต้นการแชทที่เข้ารหัสไว้ แต่ยังไม่ได้ยืนยันความถูกต้อง ซึ่งหมายความว่า ถึงแม้การติดต่อสื่อสารของคุณจะถูกเข้ารหัสไว้ แต่คุณยังไม่ได้ตัดสินใจและยืนยันตัวตนของผู้ที่คุณกำลังแชทด้วย เว้นแต่ว่าคุณจะอยู่ในห้องเดียวกัน และสามารถมองเห็นหน้าจอของอีกฝ่ายหนึ่งได้ มิเช่นนั้น คุณต้องยืนยันตัวตนของอีกฝ่ายหนึ่ง หากต้องการข้อมูลเพิ่มเติม กรุณาอ่านในหัวข้อการยืนยันความถูกต้องของคีย์

    ในการยืนยันตัวตนของผู้ใช้อีกคนหนึ่ง โดยใช้ Adium ให้คลิกที่ไอคอนรูปแม่กุญแจอีกครั้ง แล้วเลือก "Verify" (ยืนยันความถูกต้อง) โปรแกรมจะเปิดหน้าต่างที่แสดงทั้งคีย์ของคุณและคีย์ของผู้ใช้อีกคนหนึ่ง Adium บางเวอร์ชันรองรับเฉพาะการยืนยันความถูกต้องของลายนิ้วมือด้วยตัวเองเท่านั้น จึงหมายความว่า คุณและผู้ที่คุณกำลังแชทด้วยจะต้องตรวจสอบด้วยวิธีการใดก็ตาม เพื่อให้แน่ใจว่าคีย์ของคุณทั้งสองคนที่โปรแกรม Adium กำลังแสดงอยู่ตรงกันทุกประการ

    วิธีที่ง่ายที่สุดคือการอ่านคีย์ดังๆ ให้อีกฝ่ายฟังแบบตัวต่อตัว แต่วิธีก็อาจไม่สามารถทำได้ทุกครั้ง นอกจากนี้ ก็มีวิธีการยืนยันความถูกต้องของคีย์ได้หลายวิธี ซึ่งมีระดับของความน่าเชื่อถือแตกต่างกันออกไป ตัวอย่างเช่น คุณสามารถอ่านคีย์ของคุณให้อีกฝ่ายหนึ่งทราบทางโทรศัพท์ ถ้าพวกคุณจำเสียงของคู่สนทนาอีกฝั่งหนึ่งได้ หรือส่งคีย์โดยใช้วิธีการติดต่อสื่อสารที่ได้รับการรับรอง เช่น PGP บางคนเผยแพร่คีย์ของพวกเขาบนเว็บไซต์ บัญชีผู้ใช้ Twitter หรือนามบัตร

    สิ่งสำคัญที่สุด คือคุณต้องตรวจสอบว่าตัวอักษรและตัวเลขทุกเลขทุกตัวตรงกันทั้งหมด

    ขั้นตอนที่ 3: ปิดใช้งานการบันทึกรายการ

    ตอนนี้ เมื่อคุณได้เริ่มต้นการแชทแบบเข้ารหัส และยืนยันตัวตนของคู่สนทนาของคุณแล้ว ยังมีอีกอย่างหนึ่งที่คุณต้องทำ เนื่องจาก Adium จะบันทึกการแชทที่เข้ารหัสผ่านโอทีอาร์ไว้ตามค่าเริ่มต้น โดยบันทึกการแชทดังกล่าวไว้ในฮาร์ดไดรฟ์ของคุณ จึงหมายความว่า ถึงแม้การแชทจะถูกเข้ารหัสผ่านไว้ แต่ก็ยังถูกบันทึกไว้ในรูปแบบข้อความล้วนบนฮาร์ดไดรฟ์ของคุณ

    หากต้องการปิดใช้งานการบันทึก ให้คลิก "Adium" ในเมนูด้านบนสุดของหน้าจอของคุณ แล้วคลิก "Preferences" (การกำหนดลักษณะ) ในหน้าต่างใหม่ ให้เลือก "General" (ทั่วไป) จากนั้น ให้ปิดใช้งาน "Log messages" (บันทึกข้อความ) และ "Log OTR-secured chats" (บันทึกการแชทที่เข้ารหัสผ่านโอทีอาร์ไว้) โปรดจำไว้ว่าคุณไม่ได้มีการควบคุมของคนที่คุณกำลังพูดคุยกับ - เธออาจจะใช้ภาพของการสนทนาของคุณแม้ว่าคุณจะมีการเข้าสู่ระบบแชทสำหรับผู้พิการ

    การตั้งค่าของคุณควรจะเหมือนดังรูปด้านล่างนี้:

    นอกจากนี้ เมื่อ Adium แสดงการแจ้งเตือนข้อความใหม่ เนื้อหาของข้อวามเหล่านั้นอาจถูกบันทึกได้โดยศูนย์แจ้งเตือนข้อมูลของ OS X จึงหมายความว่าถึงแม้ Adium จะไม่ทิ้งร่องรอยของการติดต่อสื่อสารของคุณไว้บนคอมพิวเตอร์ของคุณหรือของคู่สนทนาของคุณ แต่เวอร์ชันของ OS X ของคุณหรือของคู่สนทนาของคุณก็อาจจัดเก็บเร็กคอร์ดไว้ เพื่อป้องกันสิ่งนี้ คุณอาจต้องการปิดใช้งานการแจ้งเตือน

    หากต้องการปิดใช้งานการแจ้งเตือน ให้เลือก "Events" (เหตุการณ์) ในหน้าต่าง "Preferences" (การกำหนดลักษณะ) แล้วมองหารายการ "Display a notification" (แสดงการแจ้งเตือน) คุณสามารถขยายแต่ละรายการได้ โดยคลิกที่รูปสามเหลี่ยมสีเทา จากนั้น คลิกบรรทัดที่แสดงขึ้นมาใหม่ที่มีข้อความว่า "Display a notification" (แสดงการแจ้งเตือน) จากนั้น ให้คลิกไอคอนรูปเครื่องหมายลบ ("-") ที่ตรงมุมซ้ายล่างของหน้าต่าง เพื่อลบบรรทัดนั้นออกไป ถ้าคุณกังวลว่าจะมีเร็กคอร์ดหลงเหลืออยู่บนคอมพิวเตอร์ของคุณ คุณควรเปิดใช้งานการเข้ารหัสทั้งดิสก์ด้วย เพื่อจะได้ช่วยป้องกันไม่ให้บุคคลภายนอกได้ข้อมูลนี้ไปโดยไม่มีรหัสผ่านของคุณ

    อัปเดตครั้งล่าสุด: 
    2017-01-19
Next:
JavaScript license information