Non-Repudiation: สัญญาต้องเป็นสัญญา

by lew
27 April 2014 - 18:38
Read full version on Blognone.com

ความเชื่อใจในความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ที่เลียนแบบมาจากโลกความเป็นจริงอย่างสุดท้าย นั่นคือการทำสัญญา ในโลกความเป็นจริงคนเราทำสัญญากันทุกวันตลอดเวลา เมื่อเราสั่งสินค้ากับแม่ครัวในร้านอาหาร แม่ค้าต้องนำอาหารที่เราสั่งมาเสิร์ฟให้อย่างถูกต้อง เมื่อเราทานแล้วเราต้องจ่ายเงินตามค่าอาหารที่ระบุไว้ หากแม่ครัวทำอาหารมาผิด เรามีสิทธิที่จะปฎิเสธไม่รับอาหาร และไม่จ่ายเงินค่าอาหารนั้นๆ

หลักการของการไว้วางใจได้ที่จะใช้คอมพิวเตอร์เป็นตัวกลางในการทำสัญญานับเป็นหลักการสำคัญ เพื่อให้เราใช้คอมพิวเตอร์เป็นตัวกลางในการทำธุรกรรมออนไลน์ได้อย่างหลากหลายเช่นทุกวันนี้ เราสามารถทำธุรกรรมออนไลน์ได้นับตั้งแต่การประกาศเรื่องทั่วๆ ไป เช่น หาอาสาสมัคร, ประกาศงาน ไปจนถึงการซื้อสินค้าออนไลน์ และทำธุรกรรมทางการเงิน

ในโลกความเป็นจริงที่เราเดินเข้าร้านอาหารและสั่งอาหาร หากมีฝ่ายหนึ่งฝ่ายใดผิดสัญญา อาจจะต้องมีการหาหลักฐานพยานเพื่อยืนยันความถูกต้อง คนที่นั่งร่วมโต๊ะกับเราอาจจะช่วยยืนยันกับแม่ครัวว่าเราสั่งอาหารถูกต้อง และแม่ครัวเป็นฝ่ายทำอาหารมาเสิร์ฟเราผิด กระบวนการเช่นนี้คือการบอกปฎิเสธ (repudiate) ในโลกคอมพิวเตอร์ธุรกรรมที่เราทำจำนวนมากจะทำกับคอมพิวเตอร์โดยตรง ธุรกรรมการเงินของเราอาจจะไม่มีใครมารับรู้ร่วมกับเรา เมื่อเรานั่งในห้องส่วนตัวต่อคอมพิวเตอร์ออนไลน์เข้ากับเซิร์ฟเวอร์โดยตรง

การบอกปฎิเสธได้หรือไม่เป็นเรื่องที่เราโต้เถียงกันได้เสมอแม้แต่ในโลกความเป็นจริง คนร้ายในคราบลูกค้าสักคนอาจจะมุ่งก่อกวนกิจการของร้านด้วยการสั่งอาหารแล้วอ้างว่าทำผิดรายการอยู่เสมอ ไปจนถึงการก่ออาชญากรรมเช่นการบุกทำลายร้าน เมื่อก่ออาชญากรรมแล้วหนีไปได้ ตำรวจก็ต้องหาหลักฐานที่เพียงพอเพื่อที่จะจับกุมและดำเนินคดีกับผู้ร้ายต่อไป

ขณะที่กระบวนการเข้ารหัสการป้องกันต่างๆ ช่วยให้ยืนยันได้ว่ามีการใช้กุญแจลับ, รหัสผ่าน, หรือการแชร์ข้อมูลระหว่างผู้ที่ถือรหัสผ่านตรงกัน จริงหรือไม่ กระบวนการเหล่านี้กลับไม่เพียงพอที่จะยืนยันความรับผิดชอบทางกฎหมาย หากมีการใช้กุญแจลับอย่างไม่ตั้งใจ, ถูกบังคับขู่เข็ญจากฝ่ายตรงข้าม, หรือกระทั่งเอกสารคอมพิวเตอร์นั้นถูกปลอมแปลงได้จากกระบวนการที่ไม่แข็งแกร่งเพียงพอ

ความเสี่ยงเช่นนี้ไม่ได้จำกัดอยู่ในโลกคอมพิวเตอร์เท่านั้น ในโลกความเป็นจริงสัญญาที่เราทำทุกวันนี้แม้มีหนังสือสัญญาเป็นทางการก็อาจจะถูกปฎิเสธความรับผิดชอบ รวมถึงไม่สามารถบังคับความรับผิดชอบตามกระบวนการทางกฎหมายได้ หากมีประเด็นโต้แย้งเช่น หนังสือสัญญาลงนามขณะที่คู่สัญญาไม่ได้สติ, ลายเซ็นถูกปลอม, หรือเนื้อหาในหนังสือสัญญาถูกปลอมแปลง กระบวนการทางกฎหมายทุกวันนี้จึงพยายามลดข้อโต้แย้งเหล่านี้ลงด้วยการเพิ่มพยานในหนังสือสัญญาต่างๆ เข้ามา

ความซับซ้อนในกระบวนการทางกฎหมายเหล่านี้จะยุ่งยากขึ้น เมื่อเป็นความผิดทางอาญาที่เอกสารและหลักฐานต่างๆ จะถูกใช้เพื่อนำผู้ร้ายรับโทษทางอาญา กระบวนการพิจารณาหลักฐานและการให้น้ำหนักของหลักฐานในคดีแพ่งที่เป็นการทำสัญญาระหว่างสองฝ่าย กับคดีอาญานั้นมีความต่างกันไป โดยกระบวนการทางแพ่งนั้นอิงกับการชั่งน้ำหนักของหลักฐาน ว่าฝ่ายใดมีน้ำหนักมากกว่ากัน ขณะที่คดีอาญานั้นหลักฐานต้องหนักแน่นพอที่จะสิ้นข้อสงสัยที่มีเหตุผล (beyond reasonable doubt)

หลักฐานอิเล็กทรอนิกส์

ปัญหาสำคัญของกระบวนการบังคับสัญญาอิเล็กทรอนิกส์ทางกฎหมายคือเราจะยอมรับข้อมูลอิเล็กทรอนิกส์ซึ่งอาจจะเป็นไฟล์เป็นหลักฐานเทียบเท่าหนังสือสัญญาตามกฎหมายทั่วไปหรือไม่ หรือการใช้ล็อกไฟล์จะสามารถยืนยันในศาลว่าเป็นร่องรอยของการกระทำต่างๆ ได้หรือไม่

ประเด็นหลักฐานอิเล็กทรอนิกส์มีการระบุไว้ใน พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ตามมาตรา 11 ที่ระบุให้ใช้หลักฐานอิเล็กทรอนิกส์เป็นหลักฐานได้ทั้งคดีแพ่งและคดีอาญา โดยอาศัยความน่าเชื่อถือของการสร้าง การเก็บรักษา ความครบถ้วน และกระบวนการระบุผู้ส่งข้อมูล

กระบวนการใช้หลักฐานอิเล็กทรอนิกส์ในไทยนั้นยังไม่มีแนวทางชัดเจนนักเนื่องจากกฎหมายเป็นกฎหมายใหม่ และยังไม่มีคดีเป็นแนวทางมากนัก ประเทศที่มีกฎหมายด้านคอมพิวเตอร์มายาวนานอย่างสหรัฐฯ นั้นมีคู่มือการใช้หลักฐานอิเล็กทรอนิกส์ความยาวเกือบ 300 หน้าอธิบายกรณีต่างๆ ที่เคยเกิดขึ้นกับการใช้หลักฐานอิเล็กทรอนิกส์ หรือแนวทางการใช้หลักฐานดิจิตอลสำหรับตำรวจสหราชอาณาจักร

เนื้อหารายละเอียดนั้นมีจำนวนมาก แต่หลักการเบื้องต้น ได้แก่

  1. หลักฐานต้องได้มาโดยชอบ หากเจ้าของคอมพิวเตอร์ยินยอมเจ้าหน้าที่อาจจะเข้าค้นข้อมูลเป็นหลักฐานได้ หรือไม่เช่นนั้นต้องขอหมายศาล ยกเว้นเพียงบางกรณีเช่น คอมพิวเตอร์เสี่ยงต่อการถูกทำลายหลักฐานในเวลาอันสั้น เช่น ผู้ต้องสงสัยกำลังลบไฟล์ในคอมพิวเตอร์อยู่
  2. ต้องไม่มีการการเปลี่ยนแปลงเนื้อหา จากหลักฐานที่ได้มาต้องใช้หลักฐานตามที่ได้นั้น กระบวนการเก็บข้อมูลทั้งหมดต้องมีการรายการที่อธิบายได้ สามารถส่งให้บุคคลที่สามในคดีทำซ้ำเพื่อได้ข้อมูลเดียวกัน เช่น หากเจ้าหน้าที่ระบุว่ามีไฟล์ที่เป็นหลักฐานของคดี ต้องสามารถบอกได้อย่างชัดแจ้งว่าพบไฟล์ได้อย่างไร สืบค้นในเครื่องของผู้ต้องสงสัยอย่างไร
  3. การเข้าเก็บข้อมูลต้องทำโดยผู้เชี่ยวชาญ คอมพิวเตอร์ที่เปิดเครื่องอยู่อาจจะรันจากระบบไฟล์ที่เข้ารหัสไว้ทั้งหมด การปิดเครื่องอาจจะทำให้ไม่สามารถเปิดเครื่องหรือกู้คืนข้อมูลบางส่วนไปได้ตลอดกาล
  4. ตีความหลักฐานอย่างระมัดระวัง เจ้าหน้าที่ต้องรู้ตัวว่าความรู้ของตัวเองมีจำกัดเพียงใด และสอบถามจากผู้เชี่ยวชาญเพิ่มเติมเมื่อจำเป็น การตีความหลักต้องเชื่อมโยงกับการกระทำ ตัวอย่างกรณีผู้ต้องหามีภาพอนาจารเด็กในคอมพิวเตอร์ไม่ได้แปลว่าเขารับรู้ว่าได้เซฟภาพนั้นลงคอมพิวเตอร์เสมอไป เจ้าหน้าที่อาจต้องใช้หลักฐานอื่นประกอบ เช่น รายการไฟล์ล่าสุดที่มีการเปิดใช้งาน (จงใจเปิดไฟล์หรือไม่), รายการค้นหาจากเว็บค้นหา (จงใจหาทางได้ภาพนั้นมา), ไปจนถึงว่าคอมพิวเตอร์ล็อกด้วยรหัสผ่านหรือไม่ (เจ้าของเครื่องเป็นผู้เซฟภาพด้วยตนเอง)

สัญญาอิเล็กทรอนิกส์

นอกจากนี้ยังระบุถึงรายละเอียดของความสมบูรณ์ของสัญญาอิเล็กทรอนิกส์ ในมาตรา 15 ถึงมาตรา 25 ของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์โดยรวมแล้วระบุให้สัญญาอิเล็กทรอ

  1. ต้องตรวจสอบผู้ส่งว่าเป็นผู้ส่งจริง (มาตรา 15-16)
  2. ข้อมูลถูกต้องไม่มีการแก้ไขผิดพลาด (มาตรา 17) ไม่ใช่ข้อมูลส่งซ้ำ (มาตรา 18)
  3. มีการตอบรับข้อมูล หรือการตอบรับข้อความตอบรับตามแต่ตกลง (มาตรา 19)

กระบวนการเหล่านี้มีการออกแบบกระบวนการทางรหัสวิทยาและกระบวนการอื่นๆ รองรับไว้ทั้งสิ้น เช่นกระบวนการยืนยันผู้ส่ง เอกสารสามารถยืนยันได้ด้วยกระบวนการเซ็นลายเซ็นดิจิตอล กระบวนการยืนยันความถูกต้องของข้อมูลมีการใช้ฟังก์ชั่นแฮช กระบวนการตรวจสอบว่าไม่มีการส่งข้อมูลซ้ำนั้นเอกสารมักมีหมายเลขลำดับกำกับเอาไว้ หลายครั้งกำกับด้วยเวลาเพื่อไม่ให้ใช้ข้อความเดิมมาส่งซ้ำได้อีก ขณะที่ระบบตอบรับเรามักเห็นในอีเมลเมื่อสมัครบัญชีใช้งานเว็บใหม่ ที่บริการจะส่งอีเมลมาให้เรากดยืนยันด้วย URL พิเศษที่สร้างขึ้นเฉพาะ หากเรากดก็เป็นการตอบรับว่าเราเป็นเจ้าของบัญชีอีเมลที่ใช้สมัครใช้บริการจริง

การรับรู้การกระทำ

ปัญหาการบอกปฎิเสธความรับผิดชอบที่สำคัญในโลกคอมพิวเตอร์คือการกระทำของคอมพิวเตอร์ที่สามารถกระทำแทนเราได้หลายอย่าง เว็บบริการประมูลสินค้าออนไลน์อาจจะมีบริการประมูลอัตโนมัติที่ให้ผู้ใช้กำหนดวงเงินไว้ล่วงหน้าแล้วซอฟต์แวร์จะประมูลให้เองโดยไม่ต้องถามความสมัครใจของผู้ใช้อีกครั้ง

กระบวนการหนึ่งที่จะยืนยันว่าผู้ใช้รับรู้กระทำออนไลน์คือการให้ผู้ใช้ใส่รหัสผ่านซ้ำอีกครั้ง เว็บซื้อสินค้าส่วนมากจึงยังคับให้ผู้ใช้ใส่รหัสผ่านอีกครั้งเมื่อต้องทำคำสั่งบางอย่างที่สำคัญเช่นการเข้าดูประวัติการใช้งาน หรือการกดสั่งซื้อสินค้า แม้ผู้ใช้นั้นจะเพิ่งล็อกอินมาไม่นานก็ตาม

ประเด็นการปฎิเสธความรับผิดชอบเป็นข่าวเรื่อยมาในเว็บประมูลอย่าง eBay ที่ผู้ใช้อ้างว่ามีลูกของเขาใช้บัญชีที่ล็อกอินทิ้งไว้กดประมูลแล้วขอยกเลิกรายการประมูล แต่โดยส่วนมากแล้วผู้ขายสินค้ามักยอมรับคำร้องขอยกเลิกรายการประมูล

แต่คดีที่สำคัญในช่วงหลังคือคดีการซื้อสินค้าจากหน้าร้านในสมาร์ตโฟน ก่อนหน้านี้ผู้ผลิต เช่น แอปเปิลและกูเกิล มักอำนวยความสะดวกให้กับลูกค้าที่จะซื้อสินค้าได้ง่าย โดยเลือกที่จะถามรหัสผ่านลูกค้าหากต้องการซื้อสินค้าในหน้าร้านเช่น iTunes หรือ Google Play แต่หากมีการซื้อซ้ำอีกในช่วงเวลาไม่นานนัก การซื้อครั้งต่อๆ มาก็จะไม่มีการถามรหัสผ่านซ้ำ

คดีนี้ผู้ปกครองจำนวนหนึ่งอ้างว่าได้ซื้อเกมโดยใส่รหัสผ่านและยื่นเครื่องให้กับลูกเล่น แต่ปรากฎว่าลูกสามารถนำไปซื้อไอเท็มในเกมได้โดยพ่อแม่ไม่รับรู้ทำให้หลายคนถูกเรียกเก็บเงินจำนวนมาก สุดท้ายทั้งแอปเปิลและกูเกิลต่างต้องปรับหน้าจอเช่นนี้ โดยแอปเปิลเลือกที่จะถามรหัสผ่านซ้ำทุกครั้งที่ซื้อสินค้า ขณะที่กูเกิลนั้นเลือกที่จะแจ้งเตือนลูกค้าว่าหากซื้อสินค้าซ้ำจะไม่ต้องใส่รหัสผ่านอีกภายในเวลาที่กำหนด และให้ลูกค้าปิดความสามารถนี้ได้

กระบวนการทางกฎหมายยังเป็นโลกที่ใหม่มากสำหรับทั้งนักวิชาการคอมพิวเตอร์ (ที่จำนวนมากไม่สนใจวิชากฎหมาย) และนักกฎหมาย (ที่หลายคนไม่สามารถทำความเข้าใจเทคโนโลยีได้ดีนัก) กระบวนการเรียนรู้เพื่อสร้างเส้นแบ่งที่ชัดเจน แนวทางจากต่างชาติที่มีประสบการณ์มากกว่าอาจจะเป็นบทเรียนให้กับนักพัฒนาที่จะสร้างระบบที่บังคับใช้ได้ แนวปฎิบัติเช่นการถามผู้ใช้ย้ำเมื่อมีการทำธุรกรรม หรือถามรหัสผ่านซ้ำแม้มีการล็อกอินแล้วก็ตามนับเป็นแนวทางที่เราเรียนรู้ได้

บทความนี้นับเป็นบทความสุดท้ายตามโครงของบทความชุดความปลอดภัยคอมพิวเตอร์ที่ผมเขียนมาตั้งแต่ปลายปี 2012 โดยแบ่งออกเป็นสามภาค

  1. หลักการความปลอดภัยคอมพิวเตอร์ ได้แก่ Identification, Authentication, Authorization และบทความนี้
  2. รหัสวิทยา (Cryptography) ได้แก่ Hash, Random Generator, Symmetric Encryption, Asymmetric Encryption, และ Cryptanalysis
  3. การเจาะระบบ ได้แก่ Buffer Overflow, Cross Site Request Forgery, SQL Injection

ผมหวังว่าชุดบทความนี้น่าจะเพียงพอสำหรับการเรียนการสอนวิชาความปลอดภัยคอมพิวเตอร์เบื้องต้นประมาณหนึ่งภาคการศึกษา ถ้ามีโอกาส ชุดบทความทั้งหมดอาจจะได้ตีพิมพ์โดยรวบรวมปรับปรุงให้ดีขึ้นหรือเพิ่มเติมเนื้อหาบางส่วนต่อไป

Read on Full Site
Blognone Jobs Premium