RSA โต้ทีมวิจัย "ช่องโหว่ที่พบไม่มีประโยชน์อะไร"

งานวิจัยด้านความปลอดภัยในมาตรฐาน PKCS#11 เวอร์ชั่น 1.5 ที่ออกมานั้นแม้จะเป็นปัญหาในโปรโตคอลโดยทั่วไปไม่ใช่ปัญหาของ RSA โดยตรง แต่พอชื่อแบรนด์ติดไปด้วยก็ต้องออกมาแก้ข่าวกัน อย่างไรก็ดีทาง RSA ระบุว่าปัญหาที่เกิดกับมาตรฐาน PKCS#11 ที่พบนั้นจำกัดมาก โดยประเด็นที่สำคัญได้แก่

• ปัญหาที่เกิดขึ้นไม่เกี่ยวกับการใช้ OTP เพื่อเสริมความปลอดภัย
• ปัญหานี้ไม่กระทบสินค้ารุ่นอื่นๆ มีแต่ SecurID 800 ที่รองรับ PKCS#11
• ปัญหานี้มีผลจำกัดและไม่มีประโยชน์อะไรนัก เพราะจะใช้ได้ต่อเมื่อมี PIN ซึ่งหากแฮกเกอร์มี PIN ก็ทำอย่างอื่นได้มากมายอยู่ดี
• สุดท้ายคือปัญหานี้ไม่ได้ทำให้กุญแจลับหลุดออกมาแต่อย่างใด ต่างจากหลายแหล่ง (รวมถึง Blognone) รายงานกันมาก่อนหน้านี้

งานนี้ RSA แสดงความไม่พอใจอย่างชัดเจน โดยระบุว่าบริษัทยินดีที่จะร่วมมือกับโลกงานวิจัยเพื่อสร้างความรู้รวมให้การรักษาความปลอดภัยทำได้ดีขึ้น แต่การที่งานวิจัยอ้างผลกระทบเกินกว่าความเป็นจริงนั้นไม่ได้ทำให้เกิดความร่วมมือที่ดีกันแต่อย่างใด และเรียกร้องให้ทุกฝ่ายร่วมกันตรวจสอบให้งานวิจัยถูกต้องและมีประโยชน์เพื่อเป็นประโยชน์ต่อชุมชนรวม

ที่มา - RSA