หลายปีที่ผ่านมา เมื่อคุณรูดบัตรเครดิต ข้อมูลบัตรเครดิตจะถูกเก็บไว้บนเครื่องอ่านบัตร ทำให้ยากต่อการจัดการเรื่องเข้ารหัสข้อมูล แต่หลังจากที่ได้ร่วมมือกับองค์กรเอกชนมานานเกือบทศวรรษ NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯ) ก็ได้ออกมาตรฐานความมั่นคงปลอดภัยใหม่สำหรับป้องกันข้อมูลบัตรเครดิตและข้อมูลเกี่ยวกับสุขภาพของประชาชน
มาตรฐานใหม่ดังกล่าว คือ NIST Special Publication (SP) 800-38G ประกอบด้วย 2 เทคนิคสำคัญสำหรับ “Format-preserving Encrytion” หรือ FPE เรียกว่า FF1 และ FF3
ต้องการ Cipher Text ที่มีลักษณะและความยาวคล้ายเดิม
มาตรฐานนี้เข้ามาแก้ไขปัญหาของ Software Package ที่ต้องจัดการกับข้อมูลด้านการเงินและข้อมูลสำคัญรูปแบบอื่นๆ กล่าวคือ เราจะใช้วิธีใดในการแปลง String ของตัวเลข เช่น หมายเลขบัครเครดิต เพื่อที่จะทำให้แฮ็คเกอร์ไม่สามารถอ่าน String ดังกล่าวได้รู้เรื่อง แต่ต้องยังคงซึ่งไว้ความยาวและลักษณะ หรืออีกนัยหนึ่งคือ ต้องมีรูปแบบของชุดตัวเลขแบบเดิม
ออกแบบมาสำหรับทั้ง Binary และ Decimal
Morris Dworkin ผู้เขียนมาตรฐาน NIST SP 800-38G ระบุว่า มาตรฐานการเข้ารหัสของ NIST ที่ใช้กันสมัยก่อนนั้น ถูกออกแบบมาเพื่อใช้กับข้อมูลแบบ Binary 0, 1 บนคอมพิวเตอร์เท่านั้น แต่พอมาใช้กับข้อมูลบนซอฟต์แวร์ด้านการเงิน เช่น ข้อมูลที่เป็นตัวเลขฐาน 10 อย่างหมายเลขบัตรเครดิต 16 หลัก จึงทำให้เกิดปัญหาติดๆ ขัดๆ ซึ่งมาตรฐาน FPE ใหม่ที่ออกมานี้ จะทำงานได้ดีทั้งบนข้อมูลแบบ Binary และตัวเลขฐาน 10 ซึ่งช่วยแก้ไขปัญหาดังกล่าวให้หมดไป
ผลลัพธ์คือ หมายเลขบัตรเครดิตที่เข้ารหัสด้วยมาตรฐาน FPE จะมีรูปแบบเหมือนกับหมายเลขบัตรเดรดิตเดิม (ตัวเลข 16 หลัก)
ใช้ปกปิด PII ป้องกัน Privacy ของประชาชน
จุดประสงค์หลักของการพัฒนามาตรฐาน FPE นี้ คือการเข้ารหัสข้อมูลบัตรเครดิต อย่างไรก็ตาม มาตรฐานดังกล่าวยังสามารถใช้สำหรับปกปิดข้อมูลที่ระบุถึงตัวตน (Personnally Identifiable Information: PII) บนฐานข้อมูลอีกด้วย โดยเฉพาะข้อมูลสำคัญที่เกี่ยวกับสุขภาพ เพื่อให้นักวิจัยเชิงสถิติสามารถนำข้อมูลไปใช้เพื่อคิดหาวิธีต่อกรกับโรคร้าย ในขณะที่ยังคงซึ่งความเป็นส่วนบุคคล (Privacy) ของเจ้าของข้อมูลได้
ที่มา : https://www.techtalkthai.com/nist-relea ... formation/
04/04/2016