You are here
Home > Top Story > การรักษาความปลอดภัย สำหรับ Cryptocurrency

การรักษาความปลอดภัย สำหรับ Cryptocurrency

แม้กระแสความร้อนแรงของเงินดิจิทัลหรือ Cryptocurrency จะแผ่วลงไปตามความนิยมและมูลค่าที่ลดลง แต่ตราบใดที่เงินดิจิทัลยังมีมูลค่า เราคงต้องการความแน่ใจว่าจะไม่สูญเสียมันไปเพราะความประมาท หรือถูกใครมาสวมรอยเอาไป ดังนั้นเรื่องของระบบรักษาความปลอดภัยของเงินดิจิทัลจึงเป็นสิ่งที่เราต้องเข้าใจและใส่ใจ

ก่อนอื่นต้องรู้จักคำว่า Blockchain เทคโนโลยีที่เป็นพื้นฐานของเงินดิจิทัลเสียก่อน อธิบายคร่าวๆ Blockchain เป็นการลงบันทึกที่แยกเก็บสำเนาของรายการธุรกรรมเงินดิจิทัลทั้งหมดที่เกิดขึ้นไว้ในหลายๆ ที่ภายในระบบที่กำหนด ในโลกของเงินดิจิทัลคุณจะไม่ได้ถือเงินไว้กับตัว แต่ Blockchain จะเป็นตัวบันทึกว่าคุณทำธุรกรรมอะไรบ้างกับคนอื่นๆ ภายในระบบ และการทำธุรกรรมนี้จะได้รับการยืนยันโดยใช้หลักการการเข้ารหัส

shutterstock_455056627-2

หัวใจหลักของ Blockchain

การเข้ารหัสแบบคีย์สาธารณะ (Public key cryptography)
การเข้ารหัสลับมีสองประเภท ได้แก่ ระบบคีย์สาธารณะและคีย์ส่วนตัว คีย์เหล่านี้ใช้เพื่อเข้าและถอดรหัสข้อมูลแบบไม่สมมาตร (Asymmetrical) นั่นคือ หากคุณเข้ารหัสข้อมูลด้วยคีย์ส่วนตัว ก็จะต้องถอดรหัสได้ด้วยคีย์สาธารณะเท่านั้น ในทางกลับกัน ถ้าคุณเข้ารหัสข้อมูลด้วยคีย์สาธารณะ คุณก็จะต้องถอดรหัสด้วยคีย์ส่วนตัวเท่านั้น นี่คือหัวใจสำคัญของแผนการเข้ารหัสลับทั้งหลาย เช่น SSL/TLS ข้อมูลตัวเดียวที่คุณสามารถใช้ในรูปแบบสาธารณะก็คือ คีย์สาธารณะ และข้อมูลตัวเดียวที่คุณต้องเฝ้าระวังไปชั่วชีวิต ก็คือ คีย์ส่วนตัว

การแฮช (Hash)
การแฮช คือวิธีการอย่างหนึ่งซึ่งทำให้ข้อมูลส่วนหนึ่งหรือทั้งหมด กลายเป็นจำนวนย่อยๆ ที่มีความสัมพันธ์เกี่ยวข้องกัน ซึ่งจำนวนดังกล่าวเปรียบได้ว่าเป็น “ลายนิ้วมือ” ของข้อมูลนั้นๆ ขั้นตอนวิธีของฟังก์ชันแฮชส่วนใหญ่จะเป็นการแบ่งย่อยข้อมูลและการผสมข้อมูลย่อยทั้งหมดเข้าด้วยกันเพื่อให้ได้ผลลัพธ์สุดท้าย ผลลัพธ์ดังกล่าวอาจเรียกว่า ผลบวกแฮช (Hash sum) ค่าแฮช (Hash value) รหัสแฮช (Hash code) หรือเรียกว่า แฮช (Hash) เฉยๆ

การแฮชข้อความหรือที่เรียกว่า Digest จะคำนวณตามเนื้อหาของข้อความ ตามหลักอัลกอริทึมการทำ Hashing โดยมีอินพุท คือข้อมูลที่มีความยาวไม่จำกัด แต่จะได้ผลลัพธ์เป็นข้อความแฮชที่มีความยาวจำกัดตามสูตรคำนวณ ดังนั้น หากป้อนข้อมูลเดียวกัน ก็จะให้ผลลัพธ์เหมือนกันทุกครั้ง

ลายเซ็นดิจิทัล (Digital Signatures)
เมื่อนำเอาการเข้ารหัสแบบไม่สมมาตร (Asymmetrical Cryptography) และการแฮช เข้าด้วยกัน ก็จะทำให้เข้าใจลายเซ็นดิจิทัลได้ดีขึ้น จุดประสงค์ของลายเซ็นดิจิทัลคือการยืนยันความสมบูรณ์ของข้อความ ทำให้แน่ใจว่า “ข้อความที่ได้รับจะเหมือนกับข้อความต้นทาง” นอกจากนี้ยังเป็นการยืนยันความถูกต้อง ช่วยให้แน่ใจว่า “ข้อความนี้ถูกสร้างโดยเจ้าของข้อความเท่านั้น” แต่ลายเซ็นดิจิทัลจะไม่ทำให้ข้อความเป็นความลับ หากไม่มีการเข้ารหัสเพิ่มเติม

การนำมาใช้กับเงินดิจิทัล
เงินดิจิทัลจะถูกเก็บใน Cryptowallet ซึ่งจะต้องใช้คีย์ส่วนตัวและคีย์สาธารณะคู่กัน (Wallet อาจมีมากกว่าหนึ่ง และคีย์ก็มีมากขึ้นตาม)  จากคีย์สาธารณะคุณสามารถสร้างที่อยู่สาธารณะ (Public Wallet Address) ได้ ดังนั้น “Cryptowallet” ก็คือคีย์ส่วนตัวที่อยู่ด้วยกันเป็นชุดที่อยู่สาธารณะนี้มักจะถูกแปลงเป็นรหัส QR ซึ่งคุณสามารถแชร์ให้ผู้อื่นได้อย่างง่ายดาย เพราะไม่จำเป็นต้องเก็บเป็นความลับ เพื่อให้ผู้อื่นส่งเงินดิจิทัลมาให้คุณ

ในการทำธุรกรรมด้วยเงินดิจิทัล รายการธุรกรรมที่เกิดขึ้นจะเป็นข้อมูลสาธารณะ ข้อมูลที่เกี่ยวข้องจะได้แก่ที่อยู่ปลายทางและจำนวนเงิน การทำธุรกรรมที่จะได้รับการยอมรับใน Blockchain ต้องได้รับการยืนยันจากสมาชิกที่เกี่ยวข้องในเครือข่ายเท่านั้น ด้วยลายเซ็น ดิจิทัลและคีย์ส่วนตัว จากนั้นรายการธุกรรมนี้จะถูกส่งไปที่ Blockchain และเป็นส่วนหนึ่งของ Blockchain เมื่อได้รับการยืนยันโดยคีย์สาธารณะแล้ว ดังนั้นคีย์ส่วนตัวของคุณควรเป็นความลับอย่างมิดชิด การโจมตีใดๆ กับคีย์ส่วนตัวของคุณก็จะเป็นการโจมตีเงินดิจิทัลของคุณ

ภัยคุกคามและความเสี่ยง
ก่อนอื่น เราต้องรู้ว่าเรากำลังปกป้องเงินดิจิทัลของเราจากใครบ้าง อันดับแรก คือ จากการไม่สามารถเข้าถึงเงินของคุณ เนื่องจากการเก็บบันทึกธุรกรรมการเงินเป็นรายการแยก ไม่มีผู้ควบคุมส่วนกลาง จึงไม่มีการชดใช้ค่าเสียหายหากคุณไม่สามารถเข้าถึงกระเป๋าสตางค์ของคุณ เพราะคุณสูญเสียคีย์ส่วนตัวไป

ภัยคุกคามต่อไปก็คือ นักโจมตี หรือนักฉวยโอกาสทั้งหลาย ที่เขากำลังจ้องกระเป๋าเงินของคุณ เมื่อใดก็ตามที่คุณเปิดโอกาสให้กับเขา หรือเขาเล็งเห็นว่า คุณมีเงินมาก คนเหล่านี้ จะใช้วิธีที่เรียกว่า Spear Phishing เพื่อหลอกเอาเงิน หรือเขาอาจจะเขียนมัลแวร์เพื่อขโมยคีย์ส่วนตัวของคุณ

 

ด้วยการลดความเสี่ยงที่เกิดจากตัวคุณเอง
– ควรตรวจสอบให้แน่ใจว่าคุณสามารถกู้รหัสกุญแจกระเป๋าเงินดิจิทัลที่ลืมกลับคืนได้โดยไม่มีความเสี่ยงมากนัก เช่น ความเสี่ยงในการดำเนินการผ่านกระบวนการลืมรหัสผ่านหรือโทเค็นสูญหาย
– คีย์ส่วนตัวของคุณ ควรลอกข้อมูลไว้ในกระดาษและเก็บไว้ในตู้นิรภัยส่วนบุคคลหรือในตู้เซฟของธนาคาร หรือหากจะพิมพ์ออกมา ให้ใช้สาย USB และลบความจำของเครื่องพิมพ์ด้วยการปิดหรือรีเซ็ตเครื่อง ผู้เชี่ยวชาญบางคนไม่แนะนำให้พิมพ์เลย ให้ใช้วิธีเขียนข้อมูลลับด้วยลายมือ (เครื่องพิมพ์สามารถเก็บงานพิมพ์ไว้ในหน่วยความจำหรือฮาร์ดดิสก์ของเครื่อง ซึ่งอาจถูกแฮ็กภายหลังได้)
– อย่าเก็บสำเนารหัสไว้ในตำแหน่งเดียวกับคีย์ที่ใช้งานประจำวันของคุณ คุณจะมีความเสี่ยงจากการสูญเสียทั้งหมดในเวลาเดียวกันเนื่องจากไฟไหม้ หรือการโจรกรรม ฯลฯ
– ถ้าคุณใช้กระเป๋าสตางค์แบบหลายลายเซ็น (Multisig) ซึ่งเป็น กระเป๋าสตางค์ที่ต้องใช้คีย์ส่วนตัว/คีย์สาธารณะหลายคู่  เช่นการตั้งค่าแบบ “2-of-2” (ต้องใช้คีย์สองคีย์เสมอเพื่อลงชื่อเข้าใช้ธุรกรรม) ก็ต้องแน่ใจว่าคีย์เหล่านี้ถูกเก็บแยกต่างหากจากสถานที่เก็บคีย์ที่ใช้งานประจำวัน
หากคุณใช้การตั้งค่า “2-of-2” แต่คีย์ถูกแบ่งระหว่างคนสองคน ให้พิจารณาใช้การตั้งค่าแบบ “2-of-3” (ต้องใช้สองในสามคีย์) ซึ่งคีย์ที่สามจะถูกควบคุมโดยบุคคลที่สามที่น่าเชื่อถือ วิธีนี้จะช่วยให้คุณสามารถกู้คีย์คืนได้หากบุคคลที่สองไม่สามารถใช้งานหรือไม่สามารถทำงานได้

จากผู้บุกรุกที่ฉวยโอกาส
หากคุณเป็นผู้ค้าเงินดิจิทัลสิ่งแรกที่คุณจะต้องปกป้อง อาจไม่ใช่กระเป๋าเงิน ทว่าเป็นอีเมลของคุณ คุณใช้อีเมลเพื่ออนุญาตอุปกรณ์ใหม่ รีเซ็ตรหัสผ่าน และยืนยันการทำธุรกรรม ดังนั้นจึงต้องระมัดระวังให้ดี และควรเปิดใช้การตรวจสอบแบบ Multi-Factor สำหรับกระเป๋าเงินออนไลน์ของคุณ

จากผู้จ้องจู่โจมโดยเฉพาะ
หากคุณกำลังซื้อขายเงินดิจิทัลจำนวนมากๆ คุณจะต้องระวังการโจมตีจากคนกลุ่มนี้ ผู้จ้องจู่โจมเขาจะเล็งคุณเป็นเป้า และจะพยายามหลอกลวงคุณและนำข้อมูลเดิมของคุณที่เคยถูกบุกรุกก่อนหน้านี้มาใช้ ดังนั้น คุณจำเป็นต้องมีมาตรการป้องกันในเชิงลึก
– ทำทุกสิ่งที่จำเป็นเพื่อป้องกันผู้บุกรุก
– หลีกเลี่ยงการใช้เว็บไคลเอ็นต์ โดยหันไปใช้แอปพลิเคชัน เช่น Coinbase ซึ่งจะให้การควบคุมเงินของคุณอย่างสมบูรณ์ โดยการเก็บยอดงบการเงินไว้ใน Coinbase ซึ่งจะทำให้คุณสามารถใช้จ่ายเงินจากกระเป๋าสตางค์ที่ควบคุมดูแลโดย Coinbase แทน
– พิจารณาใช้เดสก์ทอปไคลเอ็นต์เป็นหลัก ซึ่งจะช่วยให้คุณสามารถควบคุมคีย์ได้เป็นอย่างดี
– คุณควรใช้ฮาร์ดแวร์ไคลเอ็นต์เพื่อรักษาคีย์ส่วนตัวของคุณ ซึ่งจะช่วยป้องกันข้อมูลคีย์ส่วนตัวจากการเชื่อมต่อกับอินเทอร์เน็ต เป็นการผสานเอาฮาร์ดแวร์ไคลเอ็นต์กับเดสก์ทอปไคลเอ็นต์ที่เชื่อมต่อกับอินเทอร์เน็ตเพื่อรักษาความปลอดภัย และยังทำให้การใช้งานไม่ยุ่งยาก โดยที่เดสก์ทอปไคลเอ็นต์จะเป็นตัวสร้างรายการธุรกรรม ส่วนฮาร์ดแวร์ไคลเอ็นต์จะเก็บลายเซ็นดิจิทัล และเดสก์ทอปไคลเอ็นต์จะส่งรายการธุรกรรมไปยังเครือข่าย
– หากคุณเชื่อว่าภัยคุกคามของคุณมีความซับซ้อน ให้สร้างกระเป๋าเงินแบบหลายลายเซ็น ดังได้กล่าวแล้ว โดยให้เดสก์ทอปไคลเอ็นต์ของคุณรักษาคีย์หนึ่ง และให้ฮาร์ดแวร์ไคลเอ็นต์รักษาอีกคีย์หนึ่ง ซึ่งหมายความว่าหากคีย์ฮาร์ดแวร์ของคุณถูกขโมยและปลดล็อก ผู้โจมตีจะไม่สามารถทำธุรกรรมเงินดิจิทัลได้ เพราะไม่มีคีย์ของเดสก์ทอปไคลเอ็นต์ นอกจากนี้หากระบบที่คุณโฮสต์เดสก์ทอปไคลเอ็นต์เกิดติดไวรัสจากมัลแวร์ ก็จะไม่สามารถอนุญาตธุรกรรมหากกระเป๋าเงินเป็นแบบ Multisig แต่กระเป๋าเงินที่ไม่ใช่ Multisig ซึ่งเชื่อมโยงกับคีย์ส่วนตัว จะยังคงเสี่ยงต่อการโจมตีแบบนี้

ภัยคุกคามที่มีผู้สนับสนุนอยู่เบื้องหลัง
สำหรับผู้เริ่มต้นมีกระเป๋าเงินดิจิทัล การอ่านจากโพสต์ของ Blogger ต่างๆ อาจจะยังไม่พอ บางทีถ้าต้องการความที่ปลอดภัยที่มากขึ้นอาจจะจ้างที่ปรึกษาที่มีความเชี่ยวชาญมาให้คำปรึกษา และให้คำแนะนำที่เหมาะสมได้ แต่สิ่งที่ควรต้องทำในเบื้องต้นก็คือ
1.     ที่กล่าวมาข้างต้นทั้งหมด ต้องปฏิบัติตามอย่างเคร่งครัด
2.    ความปลอดภัยทางกายภาพต่างๆ ก็ไม่ควรมองข้างด้วยเช่นกัน

เลือกกระเป๋าสตางค์ที่เหมาะสมในการจะจัดเก็บกุญแจของคุณ
กระเป๋าสตางค์แต่ละแบบมีข้อดีและข้อเสียต่างกัน และมีวัตถุประสงค์การใช้งานต่างกัน เช่น เน้นที่ความปลอดภัย หรือ เน้นความเป็นส่วนตัว
ของข้อมูล หากใช้เพื่อการลงทุนหรือออมเงิน กระเป๋าฮาร์ดแวร์เป็นรูปแบบที่ปลอดภัยที่สุด แต่สำหรับการใช้งานทั่วไป กระเป๋าซอฟต์แวร์จะสะดวกกว่า (ส่วนใหญ่จะสามารถโหลดมาใช้งานได้ฟรี) คุณสามารถเลือกกระเป๋าสตางค์ที่เหมาะสมในการเก็บรักษาคีย์ต่างๆ สำหรับตัวคุณเอง อาจด้วยการใช้วิธีผสมผสาน เช่น เก็บข้อมูลส่วนน้อยไว้ในเว็บหรือกระเป๋าสตางค์ในเดสก์ท็อป และเก็บข้อมูลส่วนใหญ่ไว้นอกอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตโดยตรง ไม่ว่าจะอย่างไร ต้องไม่ลืมนึกถึงภัยคุกคาม และดูให้แน่ใจว่าคุณไม่ใช่ต้นเหตุที่จะทำให้เงินดิจิทัลของคุณหายไปอย่างฉับพลัน เพราะเมื่อมันหายไปแล้ว มันจะไปลับจริงๆ

ที่มา : https://hackernoon.com/a-guide-to-cryptocurrency-security-8681552820c1

ขอบคุณบทความดีๆ จากนิตยสาร  CAT MAGAZINE

Banner-CATMAG53

Top