Q: How does public-key crypto enable end-to-end encrypted messaging?

แอปที่เข้ารหัสแบบ end-to-end ยังต้องมีวิธี ตั้งคีย์ร่วม ระหว่างอุปกรณ์ที่ไม่เคยแชร์ความลับกันมาก่อน มักใช้การแลกเปลี่ยนแบบ DH (บ่อยครั้งบน elliptic curves) เพื่อ: - ตั้งคีย์ร่วม - รีเฟรชคีย์เป็นระยะเพื่อให้มี forward secrecy - ยืนยันความถูกต้อง (บางครั้งใช้การยืนยันโดยผู้ใช้ เช่น safety numbers)

Q: How do passkeys use public-key cryptography to replace passwords?

Passkeys (FIDO2/WebAuthn) แทนการล็อกอินด้วยรหัสผ่านด้วย การลงชื่อท้าทาย–ตอบกลับ วิธีการโดยสรุป: - บริการเก็บคีย์สาธารณะของคุณ - อุปกรณ์ของคุณเก็บคีย์ส่วนตัวไว้ (มักอยู่ในฮาร์ดแวร์ปลอดภัย) - คุณลงชื่อใน challenge ครั้งเดียวเพื่อเข้าสู่ระบบ วิธีนี้ลดความเสี่ยงจากการฟิชชิ่งและการใช้ซ้ำของข้อมูลรับรอง เพราะไม่มีความลับที่สามารถพิมพ์ซ้ำได้บนฟอร์มเว็บไซต์

Question 1

What’s the difference between symmetric encryption and public-key cryptography?

Accepted Answer

การเข้ารหัสแบบสมมาตรใช้ คีย์ลับเดียวร่วมกัน เพื่อเข้ารหัสและถอดรหัส มันเร็วและเหมาะกับข้อมูลจำนวนมาก แต่มีปัญหาเรื่องการตั้งค่า: คุณต้องมีวิธีที่ปลอดภัยในการแลกคีย์นั้นก่อน การเข้ารหัสแบบคีย์สาธารณะ แยกบทบาทออกเป็น คีย์สาธารณะ (แชร์ได้) และ คีย์ส่วนตัว (เก็บเป็นความลับ) ทำให้การ "ติดต่อครั้งแรกอย่างปลอดภัย" เป็นไปได้โดยไม่ต้องมีความลับที่แชร์ล่วงหน้า

Question 2

Why was public-key cryptography such a big breakthrough for the internet?

Accepted Answer

มันแก้ปัญหา การแจกจ่ายคีย์ : คนแปลกหน้าสองคนสามารถเริ่มการสื่อสารที่ปลอดภัยผ่านเครือข่ายที่คนอื่นมองเห็นได้โดยไม่ต้องพบกันเพื่อแลกคีย์ลับ การเปลี่ยนมุมมองนี้คือสิ่งที่ทำให้การรักษาความปลอดภัยในระดับอินเทอร์เน็ตเป็นไปได้สำหรับ: - การเชื่อมต่อ HTTPS/TLS ไปยังเว็บไซต์ใหม่ - การตั้งค่าแชทแบบเข้ารหัส end-to-end - ลายเซ็นดิจิทัลและระบบยืนยันตัวตน

Question 3

What does Diffie–Hellman key exchange actually do?

Accepted Answer

Diffie–Hellman (DH) เป็นวิธีสร้าง คีย์ลับร่วม ผ่านช่องทางสาธารณะ ในทางปฏิบัติ: - แต่ละฝ่ายสร้างค่าส่วนตัวสุ่มใหม่ - แลกค่าที่คำนวณมาซึ่งเป็นข้อมูลสาธารณะ - ทั้งคู่คำนวณคีย์ลับร่วมเดียวกัน ซึ่งจะใช้เป็นพื้นฐานของการเข้ารหัสแบบสมมาตรที่เร็ว DH เองไม่ใช่การเข้ารหัสข้อความ แต่มันช่วยให้ทั้งสองฝ่ายตกลงคีย์ที่ใช้เข้ารหัสกันได้

Question 4

Does Diffie–Hellman prevent man-in-the-middle attacks on its own?

Accepted Answer

ไม่สามารถป้องกันได้ด้วยตัวเอง DH ให้ การตกลงคีย์ แต่ไม่ได้พิสูจน์ว่าเราคุยกับใคร เพื่อป้องกันการโจมตีแบบ man-in-the-middle มักจะใช้ DH พร้อมการยืนยันตัวตน เช่น: - ใบรับรอง TLS และการตรวจสอบจาก CA (สำหรับเว็บไซต์) - คีย์/ลายเซ็นตัวตนระยะยาว (สำหรับการส่งข้อความ) - วิธียืนยันนอกช่องทาง (เช่น QR code หรือ safety numbers)

Question 5

How does TLS (HTTPS) use public-key cryptography in a handshake?

Accepted Answer

TLS ใช้วิธีคีย์สาธารณะเพื่อ ยืนยันตัวตนและตกลงคีย์ ในระหว่างการจับมือ แล้วจึงสลับไปใช้คีย์สมมาตรสำหรับข้อมูลจริง ภาพรวมแบบง่าย: - เซิร์ฟเวอร์ส่งใบรับรองที่มีคีย์สาธารณะ - เบราว์เซอร์ตรวจสอบโซ่ความเชื่อถือของใบรับรอง - ทั้งสองฝ่ายตกลงคีย์เซสชัน (บ่อยครั้งผ่าน (EC)DHE) - การเชื่อมต่อใช้การเข้ารหัสแบบสมมาตรถัดไป

Question 6

What are digital signatures used for in everyday systems?

Accepted Answer

ลายเซ็นดิจิทัลช่วยให้ผู้ส่งพิสูจน์ตัวตนได้และยืนยันว่าข้อมูลไม่ถูกเปลี่ยน

การใช้งานทั่วไปได้แก่:

ตรวจสอบว่าอัปเดตซอฟต์แวร์มาจากผู้ขายจริง
เซ็นเอกสาร (PDF/สัญญา)
ใช้ในการยืนยันตัวตนในโพรโทคอลต่างๆ (รวมถึงส่วนหนึ่งของ TLS และการส่งข้อความแบบปลอดภัย)

การยืนยันทำได้ด้วย คีย์สาธารณะ; ผู้ที่มี คีย์ส่วนตัว เท่านั้นที่สร้างลายเซ็นได้

Question 7

What is a certificate, and why do browsers trust Certificate Authorities (CAs)?

Accepted Answer

ใบรับรองผูก คีย์สาธารณะ กับตัวตน (เช่นชื่อเว็บไซต์) ผ่านลายเซ็นของผู้ออกที่เชื่อถือได้ เบราว์เซอร์เชื่อถือใบรับรองเพราะมันสามารถสร้าง โซ่ จากใบรับรองเว็บไซต์ผ่านใบกลางกลับไปยัง root CA ที่ติดตั้งในระบบ/เบราว์เซอร์ เช่นนี้การต่ออายุใบรับรอง การตั้งชื่อโฮสต์ที่ถูกต้อง และการตรวจสอบอย่างถูกต้องเป็นสิ่งสำคัญต่อความน่าเชื่อถือของ HTTPS

Question 8

How does public-key crypto enable end-to-end encrypted messaging?

Accepted Answer

แอปที่เข้ารหัสแบบ end-to-end ยังต้องมีวิธี ตั้งคีย์ร่วม ระหว่างอุปกรณ์ที่ไม่เคยแชร์ความลับกันมาก่อน

มักใช้การแลกเปลี่ยนแบบ DH (บ่อยครั้งบน elliptic curves) เพื่อ:

ตั้งคีย์ร่วม
รีเฟรชคีย์เป็นระยะเพื่อให้มี forward secrecy
ยืนยันความถูกต้อง (บางครั้งใช้การยืนยันโดยผู้ใช้ เช่น safety numbers)

Question 9

How do passkeys use public-key cryptography to replace passwords?

Accepted Answer

Passkeys (FIDO2/WebAuthn) แทนการล็อกอินด้วยรหัสผ่านด้วย การลงชื่อท้าทาย–ตอบกลับ

วิธีการโดยสรุป:

บริการเก็บคีย์สาธารณะของคุณ
อุปกรณ์ของคุณเก็บคีย์ส่วนตัวไว้ (มักอยู่ในฮาร์ดแวร์ปลอดภัย)
คุณลงชื่อใน challenge ครั้งเดียวเพื่อเข้าสู่ระบบ

วิธีนี้ลดความเสี่ยงจากการฟิชชิ่งและการใช้ซ้ำของข้อมูลรับรอง เพราะไม่มีความลับที่สามารถพิมพ์ซ้ำได้บนฟอร์มเว็บไซต์

Question 10

What are the most common real-world ways public-key systems fail?

Accepted Answer

ความล้มเหลวส่วนใหญ่เกิดจากการนำไปใช้และการปฏิบัติ ไม่ใช่คณิตศาสตร์หลัก

ปัญหาทั่วไปได้แก่:

ความสุ่มอ่อนแอขณะสร้างคีย์
ข้ามการตรวจสอบใบรับรองหรืออนุญาตการตั้งค่า TLS ที่อ่อนแอ
การเก็บคีย์ส่วนตัวไม่ปลอดภัย (คีย์ถูกคัดลอก/รั่วไหล)
แผนการกู้คืน/การหมุนคีย์ไม่ชัดเจน
ฟิชชิ่งและมัลแวร์ที่หลอกผู้ใช้ให้ยอมรับการกระทำ

กฎปฏิบัติ: ใช้ไลบรารีที่ผ่านการตรวจสอบ กำหนดค่าเริ่มต้นที่ทันสมัย และถือการจัดการคีย์เป็นข้อกำหนดชั้นหนึ่ง

แนวคิดคีย์สาธารณะของ Whitfield Diffie: เปลี่ยนเว็บและการพิสูจน์ตัวตน

ทำไมการเข้ารหัสแบบคีย์สาธารณะเปลี่ยนความปลอดภัยในชีวิตประจำวัน

สิ่งที่คุณจะได้เรียนรู้ในไกด์นี้

ระดับความเทคนิคจะเป็นอย่างไร

ก่อน Diffie: ปัญหาการแชร์คีย์แบบง่ายๆ

การเข้ารหัสสมมาตร อธิบายด้วยอนาล็อกง่ายๆ

ปัญหาการแจกจ่ายคีย์

ทำไมสถานการณ์ยิ่งแย่เมื่อเป็นระดับอินเทอร์เน็ต

แต่การเข้ารหัสสมมาตรก็ยังดีมากในด้านหนึ่ง

Whitfield Diffie และแนวคิดหลักของคีย์สาธารณะกับส่วนตัว

บุคคลและช่วงเวลา

แนวคิดหลัก: แยกคีย์ออกเป็นสองบทบาท

จากการแลกความลับสู่ระบบคีย์เปิด

การแลกเปลี่ยนคีย์ Diffie–Hellman: ตกลงคีย์ลับต่อหน้าโลก

แนวคิดหลัก (ไม่ใช้คณิตศาสตร์หนักๆ)

ขั้นตอนทีละข้อ

คำถามที่พบบ่อย