Transcript การเข้ารหัส (Encryption) - ภาควิชาคณิตศาสตร์และคอมพิวเตอร์

บทที่ 4
ความเป็ นส่ วนตัว (Privacy)
อ.ชนิดา เรืองศิริวฒ
ั นกุล
หลักสู ตรเทคโนโลยีสารสนเทศ
คณะวิทยาศาสตร์ และเทคโนโลยี มหาวิทยาลัยราชภัฏอุตรดิตถ์
ความเป็ นส่ วนตัว (Privacy)
• ความเป็ นส่ วนตัว (Privacy) หมายถึง สถานะทีบ่ ุคคลพึงมีในการอยู่
อย่ างลาพัง โดยปราศจากการควบคุม หรือการล่วงละเมิดโดยบุคคลอืน่
หรือองค์ กรใดๆ แม้ แต่ รัฐก็ตาม โดยแบ่ งออกเป็ น 2 ด้ าน ได้ แก่
• 1. ความเป็ นส่ วนตัวทางกายภาพ หมายถึง สิ ทธิในสถานที่ เวลา และ
สิ นทรัพย์ ทบี่ ุคคลพึงมี เพือ่ หลีกเลีย่ งจากการถูกละเมิดหรือรบกวนจาก
บุคคลอืน่
• 2. ความเป็ นส่ วนตัวด้ านสารสนเทศ หมายถึง ข้ อมูลทัว่ ไปเกีย่ วกับตัว
บุคคล เช่ น ชื่อ ทีอ่ ยู่ หมายเลขบัตรเครดิต ทีบ่ ุคคลอืน่ ห้ ามนาไปเปิ ดเผย
หากไม่ ได้ รับอนุญาต
การเปิ ดเผยข้ อมูล/สารสนเทศ
• การจาแนกข้ อมูลส่ วนบุคคลออกจากข้ อมูลทีจ่ าเป็ นต้ องมอบให้ กบั บริษทั
หรือหน่ วยงานอืน่ ๆ ทั้งภาครัฐและเอกชน แบ่ งได้ ดังนี้
• 1. บันทึกประวัติกจิ กรรมสาธารณะ คือ รายการที่ประกอบไปด้ วยข้ อมูล
เกีย่ วกับเหตุการณ์ หรือการกระทาทีส่ าธารณชนจะต้ องแสดงต่ อ
หน่ วยงานภาครัฐ เช่ น ใบแจ้ งเกิด ทะเบียนสมรส ประวัติอาชญากรรม
เป็ นต้ น
• 2. ข้ อมูลสาธารณะ คือ ข้ อมูลทีบ่ ุคคลได้ ให้ ไว้ กบั องค์กร ซึ่งมีสิทธิ์โดย
ชอบธรรมในการใช้ ข้อมูลนีร้ ่ วมกับองค์กรอืน่ เช่ น หมายเลขโทรศัพท์
การเปิ ดเผยข้ อมูล/สารสนเทศ
• 3. ข้ อมูลส่ วนบุคคล คือ ข้ อมูลทีเ่ กีย่ วกับสิ่ งเฉพาะตัวของบุคคล เช่ น
การศึกษา ฐานะทางการเงิน ข้ อมูลสุ ขภาพ ประวัติการทางาน หรือสิ่ งที่
บอกลักษณะอืน่ ทีท่ าให้ รู้ตัวบุคคลนั้นได้ เช่ น ลายพิมพ์นิว้ มือ รูปถ่ าย
เป็ นต้ น
• โดยข้ อมูลส่ วนบุคคลจะยังเป็ นข้ อมูลส่ วนบุคคลอยู่ ตราบเท่ าทีบ่ ุคคลได้
ปกปิ ดไว้ เป็ นความลับ เมื่อใดทีม่ ีการเปิ ดเผยข้ อมูลส่ วนบุคคล ไม่ ว่าจะ
ด้ วยความเต็มใจหรือไม่ เมื่อนั้น ข้ อมูลส่ วนบุคคลจะกลายเป็ น “ข้ อมูล
สาธารณะ” และ “บันทึกประวัติกจิ กรรมสาธารณะ”
ภัยคุกคามต่ อความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคล
• Club Cards ของซูเปอร์ มาร์ เก็ต คือ การที่เจ้ าของกิจการได้ เก็บข้ อมูล
ส่ วนบุคคลของลูกค้ า รวมถึงข้ อมูลการซื้อของลูกค้าในแต่ ละครั้ง นาไปสู่
การจัดรายการโปรโมชั่นจูงใจให้ ลูกค้ากลับมาซื้ออีก
• เครื่องสแกนร่ างกาย เป็ นเทคโนโลยีคอมพิวเตอร์ ทถี่ ูกนาไปใช้ ในการ
ตรวจหาอาวุธในสนามบิน ซึ่งถูกนาไปใช้ ในบริษัทผลิตเสื้อผ้ าหลายแห่ ง
เพือ่ ให้ ลูกค้ าได้ สวมใส่ เสื้อผ้ าทีม่ ีขนาดพอดีตัว โดยระบบจะสแกน
ร่ างกายลูกค้ า แล้วจาลองเป็ นโมเดล 3 มิติ เมื่อลูกค้ าต้ องการสั่ งเสื้อผ้ า
ระบบจะแนะนาเสื้อผ้ าทีม่ ีขนาดตรงกับสั ดส่ วนของลูกค้ า
ตัวอย่ างการนาเครื่องสแกนร่ างกายไป
ใช้ ในสนามบิน
ภัยคุกคามต่ อความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคล
• กล่องดาในรถยนต์ อยู่ในรูปของ
Microprocessor สามารถบันทึก
ข้ อมูลความเร็ว ค่ าความดันรถ
ก่อนแตะเบรก ฯลฯ โดยหากเกิด
อุบัติเหตุขนึ้ เจ้ าหน้ าทีจ่ ะสามารถ
รวบรวมหลักฐานการเกิดอุบัติเหตุ
ได้ ทาให้ ข้อมูลพฤติกรรมการขับ
ขี่รถยนต์ ถูกเปิ ดเผย เป็ นข้ อมูล
สาธารณะไปโดยปริยาย
ภัยคุกคามต่ อความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคล
• GPS Chip (Global Positioning System Chip) เป็ นระบบระบุตาแหน่ ง
ประโยชน์ ของระบบ GPS ทาให้ ธุรกิจหลายประเภทให้ ความสนใจ
เพือ่ ให้ เข้ าถึงลูกค้ าแบบ Real-Time เพือ่ จัดเตรียมบริการแจ้ งข้ อมูล
อานวยความสะดวกแก่ลูกค้ า เช่ น ธนาคารแจ้ งตาแหน่ งตู้ ATM ที่
ใกล้เคียงกับสถานทีท่ ลี่ กู ค้ าไป เป็ นต้ น สามารถสร้ างความพึงพอใจให้ กบั
ลูกค้ า แต่ กไ็ ม่ สามารถรับประกันได้ ว่าพนักงานจะไม่ เปิ ดเผยข้ อมูล
ตาแหน่ งของลูกค้ าให้ กบั บุคคลอืน่ หรือระบบจะป้องกันแฮคเกอร์ ได้
ภัยคุกคามต่ อความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคล
• RFID (Radio Frequency Identification) RFID เป็ นแผ่ นป้าย
อิเล็กทรอนิกส์ ทบี่ รรจุข้อมูลทีเ่ กีย่ วข้ องกับการผลิตสิ นค้ าชนิดนั้นเอาไว้
โดยจะจะถูกฝังหรือติดไว้ ทสี่ ิ นค้ า สามารถอ่านค่ าภายในโดยใช้ อุปกรณ์
สาหรับอ่านค่ าวิทยุ เพียงแค่ ถือเครื่องอ่านผ่ านสิ นค้ าภายในระยะ 6 ฟุต
โดยรัฐบาลสหรัฐฯ วางแผนจะนา RFID มาใช้ กบั หนังสื อเดินทาง
นามาใช้ ร่วมกับเทคโนโลยีจดจาใบหน้ า แต่ ในเรื่องความเป็ นส่ วนตัวหาก
มีบุคคลอืน่ ทีไ่ ม่ ใช้ เจ้ าหน้ าทีม่ ีอุปกรณ์ ทสี่ ามารถอ่ านค่าข้ อมูลใน RFID
ได้ จะทาให้ สามารถนาข้ อมูลของผู้โดยสารไปใช้ ประโยชน์ ในทางทีผ่ ดิ
ภัยคุกคามต่ อความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคล
แสดงตัวอย่างเครื่องอ่ าน RFID และแผ่นป้ าย RFID
ภัยคุกคามต่ อความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคล
• Cookies เป็ น Text File ขนาดเล็กทีใ่ ช้ จัดเก็บข้ อมูลสถานการณ์ ใช้ งาน
เว็บเพจของผู้ใช้ โดยเริ่มต้ น Web Server จะส่ ง Cookie ให้ กบั Web
browser เก็บไว้ ในหน่ วยความจาเครื่อง เมื่อมีการติดต่ อ Web Server ใน
ครั้งต่ อไป Web browser จะส่ ง Cookie ให้ กบั Web Server ที่ส่งมา
พร้ อมกับ Request เพือ่ อ้างอิงกับข้ อมูลผู้ใช้ ในฐานข้ อมูล ก็จะทาให้ Web
Server ทราบรายละเอียดการใช้ งานของผู้ใช้ ครั้งก่อนได้
• เว็บไซต์ ที่ต้องใช้ ไฟล์ Cookie คือเว็บที่ต้องการจดจาประวัติการใช้
บริการต่ างๆ ของผู้ใช้ ทเี่ ป็ นสมาชิก เพือ่ ให้ ทราบว่ าผู้ใช้ Login เข้ ามาชื่อ
อะไร เข้ าใช้ เป็ นครั้งทีเ่ ท่ าไหร่ เคยซื้อสิ นค้ าใดบ้ าง เมื่อสมาชิกเข้ ามาใช้
ครั้งต่ อไปเว็บไซต์ จะสามารถจดจาผู้เป็ นสมาชิกได้ นั่นเอง
ภัยคุกคามต่ อความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคล
แสดงขั้นตอนการสร้ างไฟล์ Cookie
การขโมยข้ อมูลเอกลักษณ์ บุคคล
• ข้ อมูลทีใ่ ช้ แสดงเอกลักษณ์ บุคคล เช่ น ชื่อ ทีอ่ ยู่ วันเดือนปี เกิด หมายเลข
ใบขับขี่ ฯลฯ ปัจจุบันพบว่ ามิจฉาชีพนิยมใช้ ในการขโมยข้ อมูล
เอกลักษณ์ ของบุคคลมี 2 วิธีคอื
• 1. Phishing เป็ นการหลอกให้ ผู้ใช้ ป้อนข้ อมูลสาคัญลงในเว็บไซต์ ปลอมที่
สร้ างขึน้ เพือ่ หลอกให้ ผู้ใช้ คลิกเข้ าไปป้อนข้ อมูลดังกล่ าว
• 2. Spyware เป็ นโปรแกรมทีใ่ ช้ วธิ ีแฝงตัวในรูปแบบต่ างๆ เพือ่ หลอกให้
ผู้ใช้ ดาวน์ โหลดไปติดตั้ง โดยหากเป็ น spyware ประเภทขโมยข้ อมูล
ส่ วนใหญ่ จะติดตั้งโปรแกรมที่เรียกว่ า “Keystroke-Logging” ลงใน
เครื่องผู้ใช้ โดยไม่ รู้ตัว เพือ่ บันทึกการป้อนข้ อมูลต่ างๆ ของผู้ใช้ และจะส่ ง
ข้ อมูลไปยังผู้สร้ าง
• การขโมยข้ อมูลเอกลักษณ์ บุคคลโดยใช้ วธิ ีการ Phishing
กฏหมายคุ้มครองความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคลในประเทศไทย
• “รัฐธรรมนูญแห่ งราชอาณาจักรไทย” หมวดที่ 3 “สิ ทธิและเสรีภาพของ
ชนชาวไทย” ส่ วนที่ 3 “สิ ทธิและเสรีภาพส่ วนบุคคล” ดังนี้
• มาตรา 32 บุคคลย่ อมมีสิทธิและเสรีภาพในชีวติ และร่ างกาย
• มาตรา 33 บุคคลย่ อมมีเสรีภาพในเคหสถาน
• มาตรา 34 บุคคลย่ อมมีเสรีภาพในการเดินทางและมีเสรีภาพในการเลือก
ถิ่นทีอ่ ยู่ ภายในราชอาณาจักร
• มาตรา 35 สิ ทธิของบุคคลในครอบครัว เกียรติยศ ชื่อเสี ยง ตลอดจน
ความเป็ นอยู่ ส่ วนตัว ย่ อมได้ รับความคุ้มครอง
• มาตรา 36 บุคคลย่ อมมีเสรีภาพในการสื่ อสารถึงกันโดยทางทีช่ อบด้ วย
กฎหมาย
กฏหมายคุ้มครองความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคลในประเทศไทย
• มาตรา 37 บุคคลย่ อมมีเสรีภาพบริบูรณ์ ในการถือศาสนา นิกายของศาสนา หรือ
ลัทธินิยมในทางศาสนา และย่อมมีเสรีภาพในการปฏิบัติตามศาสนธรรม ศาสน
บัญญัติ หรือปฏิบัติ พิธีกรรมตามความเชื่อถือของตน เมือ่ ไม่ เป็ นปฏิปักษ์ ต่อหน้ าที่
ของพลเมืองและไม่ เป็ นการขัดต่ อ ความสงบเรียบร้ อยหรือศีลธรรมอันดีของ
ประชาชน
• มาตรา 38 การเกณฑ์ แรงงานจะกระทามิได้ เว้ นแต่ โดยอาศัยอานาจตามบทบัญญัติ
แห่ งกฎหมาย เฉพาะเพือ่ ประโยชน์ ในการป้ องปัดภัยพิบัติสาธารณะอันมีมาเป็ น
การฉุกเฉิน หรือโดย อาศัยอานาจตามบทบัญญัติแห่ งกฎหมายซึ่งให้ กระทาได้ ใน
ระหว่ างเวลาทีป่ ระเทศอยู่ในภาวะสงคราม หรือการรบ หรือในระหว่ างเวลาทีม่ ี
ประกาศสถานการณ์ ฉุกเฉินหรือประกาศใช้ กฎอัยการศึก
กฏหมายคุ้มครองความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคลในต่ างประเทศ
• กฎหมายในประเทศสหรัฐอเมริกา โดยมีกฎหมายสิ ทธิส่วนบุคคลของอเมริกา แบ่ ง
ออกเป็ น 2 กลุ่ม คือ กฎหมายที่มผี ลกับรัฐบาลและกฎหมายที่มีผลกับภาคเอกชน
• กฏหมายคุ้มครองสิ ทธิส่วนบุคคลของสหรัฐอเมริกาและกลุ่มประเทศยุโรปส่ วน
ใหญ่ อยู่บนพืน้ ฐานกฏเกณฑ์ ทเี่ รียกว่ า “หลักปฏิบัตเิ กีย่ วกับสารสนเทศโดยชอบ
ธรรม (Fair Information Practices:FIP)” โดยใช้ เป็ นหลักปฏิบัตใิ นการควบคุม
รวบรวมและใช้ สารสนเทศของบุคคล โดยองค์ กรหรือหน่ วยงานจะไม่ สามารถนา
ข้ อมูลนั้นไปใช้ เพือ่ กิจกรรมอืน่ ได้ นอกจากจะได้ รับการอนุญาตจากบุคคลผู้เป็ น
เจ้ าของข้ อมูล
กฏหมายคุ้มครองความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคลในต่ างประเทศ
• ต่ อมา คณะกรรมการการค้ า (Federal Trade Commission : FTC) ได้ ปรับปรุ ง
หลักใน FIC ใหม่ เพือ่ ให้ คุ้มครองสิ ทธิส่วนบุคคลแบบออนไลน์ ด้วย โดยหลัก
ปฏิบัติของ FTC มีดงั นี้
• 1. Notice/Awareness เว็บไซต์ ต้องเปิ ดเผยวัตถุประสงค์ ในการนาสารสนเทศส่ วน
บุคคลไปใช้ ก่อนทีจ่ ะทาการวบรวมสารสนเทศนั้น ต้ องระบุชื่อองค์ กรและผู้
รวบรวม และขั้นตอนด้ วย
• 2. Choice/Consent จะต้ องมีการแสดงตัวเลือกให้ ลูกค้ าได้ เลือกว่ าจะอนุญาตให้
องค์ กรนาข้ อมูลไปใช้ เพือ่ วัตถุประสงค์ อนื่ หรือไม่
• 3. Access/Participation ลูกค้ าจะต้ องสามารถทบทวนและทดสอบความถูกต้ อง
สมบูรณ์ ของข้ อมูลของตนได้ ตามต้ องการ และมีข้นั ตอนไม่ ย่ งุ ยาก
กฏหมายคุ้มครองความเป็ นส่ วนตัวและข้ อมูลส่ วนบุคคลในต่ างประเทศ
• 4. Security องค์ กรผู้รวบรวมข้ อมูลลูกค้ าจะต้ องรับผิดชอบในการปกปิ ดข้ อมูลนั้น
เป็ นความลับ และรักษาความถูกต้ องของข้ อมูลเสมอ
• 5. Enforcement องค์ กรจะต้ องบังคับใช้ หลักปฏิบัติ FIP ไม่ ว่าด้ วยวิธีใดก็ตาม
Opt-in , Opt-out Model
• จากกฎหมายคุ้มครองความเป็ นส่ วนตัวของสหรัฐอเมริกาและยุโรปที่
แตกต่ างกัน ทาให้ รูปแบบการอนุญาตให้ รวบรวมข้ อมูลส่ วนบุคคลจาก
กลุ่มประเทศทั้ง 2 แตกต่ างกันดังนี้
• 1. Opt-in Model คือ อนุญาตให้ รวบรวมข้ อมูลของบุคคลได้ จนกว่ า
ลูกค้ าจะแจ้ งว่ าไม่ อนุญาตให้ กระทาการดังกล่าวได้ อกี (ใช้ ใน
สหรัฐอเมริกา)
• 2. Opt-out Model คือ ห้ ามธุรกิจรวบรวมข้ อมูลส่ วนบุคคลของลูกค้ า
จนกว่ าจะได้ รับการอนุญาตจากลูกค้ า (ใช้ ในสหภาพยุโรป)
เทคโนโลยีความปลอดภัยของข้ อมูลส่ วนบุคคล
• การเข้ ารหัสข้ อมูล (Encryption) เป็ นวิธีป้องกันข้ อมูลจากการโจรกรรม
ในขณะทีม่ ีการรับและส่ งข้ อมูลผ่ านทางเครือข่ าย โดยข้ อมูลทั้งหมดจะ
ถูกแปลงเป็ นรหัสทีไ่ ม่ สามารถอ่านได้ ด้วยวิธีปกติ เรียกว่ า การเข้ ารหัส
(Encryption) ดังนั้นแม้ ว่าจะมีการโจรกรรมข้ อมูลไปได้ แต่ หากไม่
สามารถถอดรหัส(Decryption) ก็ไม่ สามารถเข้ าใจข้ อมูลเหล่านั้นได้
•
การเข้ ารหัส (Encryption)
Plaintext
Encryption
Algorithm
แสดงการเข้ารหัส
Ciphertext
How are you
feeling today
Plain text
Encryption
Algorithm
Key
HXEOWYLP
34ACJLKLO
GDEABCQ….
Ciphertext
• คริพโตกราฟี (Cryptography)
– Plain text คือ ข้อมูลต้นฉบับซึ่งเป็ นข้อความที่สามารถอ่านแล้วเข้าใจ
– Encryption Algorithm คือ ขั้นตอนวิธีในโปรแกรมคอมพิวเตอร์ที่ใช้ในการ
แปลงข้อมูลต้นฉบับเป็ นข้อมูลที่ได้รับการเข้ารหัส
– Ciphertext คือ ข้อมูลหรื อข่าวสารที่ได้รับการเข้ารหัส ทาให้อ่านไม่รู้เรื่ อง
– Key คือ เป็ นกุญแจที่ใช้ร่วมกับ อัลกอริ ทึมในการเข้ารหัส และถอดรหัส
การเข้ ารหัส (Encryption)
มีดว้ ยกัน 2 ลักษณะ คือ
1. การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
วิธีน้ ีท้ งั ผูร้ ับและผูส้ ่ งข้อความจะทราบคียท์ ี่เหมือนกันทั้งสอง
ฝ่ ายในการรับหรื อส่ งข้อความ
2. การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
ใช้แนวคิดของการมีคียเ์ ป็ นคู่ ๆ ที่สามารถเข้าและถอดรหัสของ
กันและกันเท่านั้นได้ โดยคียแ์ รกจะมีอยูท่ ี่เฉพาะเจ้าของคีย ์ เรี ยกว่า
Private key และคู่ของคียด์ งั กล่าวที่ส่งให้ผอู ้ ื่นใช้ เรี ยกว่า Public key
การเข้ ารหัส (Encryption)
• 1. การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
– เป็ นการใช้อลั กอลิทึม หรื อกุญแจในการเข้ารหัสดอกเดียวกัน ทั้งฝ่ ายรับ
และฝ่ ายส่ ง
– วิธีน้ ี ทั้งผูร้ ับและผูส้ ่ งข้อความจะทราบคียท์ ี่เหมือนกันทั้งสองฝ่ ายในการ
รับหรื อส่ งข้อความ
– ซึ่งหากมีขโมยนากุญแจดอกนี้ไปได้ ก็สามารถถอดรหัสข้อมูลของเราได้
การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
Encryption
Algorithm
Plaintext
Secret Key
Ciphertext
Decryption
Algorithm
แสดงการเข้ารหัสแบบทางเดียวด้วยกุญแจลับ (Secret key encryption)
การเข้ ารหัสแบบสมมาตร Symmetric Encryption
การเข้ารหัสแบบสมมาตรนี้ ก่อให้เกิดปัญหา 2 ส่ วน คือ
- ปัญหา Authentication เนื่องจากผูอ้ ื่นอาจทราบรหัสลับด้วยวิธีใด
ก็ตามแล้วปลอมตัวเข้ามาส่ งข้อความถึงเรา
- ปัญหา Non-repudiation คือ ไม่มีหลักฐานใดที่พิสูจน์ได้วา่ ผูส้ ่ งหรื อ
ผูร้ ับได้กระทารายการจริ ง ๆ
การเข้ ารหัส (Encryption)
• 2. การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
– ใช้แนวคิดของการมีคียเ์ ป็ นคู่ ๆ ที่สามารถเข้าและถอดรหัสของกัน
และกันเท่านั้นประกอบด้วย กุญแจ 2 ดอก คือ
• กุญแจสาธารณะ (Public key) ใช้สาหรับการเข้ารหัส
• กุญแจส่ วนตัว (Private key ) ใช้สาหรับการถอดรหัส
– ที่สาคัญกุญแจที่เข้ารหัสจะนามาถอดรหัสไม่ได้ ซึ่ ง Public key จะ
แจกจ่ายไปยังบุคคลต่างๆ ที่ตอ้ งการสื่ อสาร ส่ วน Private Key จะเก็บ
ไว้ส่วนตัวไม่เผยแพร่ ให้ใคร
การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
Public Key
Encryption
Algorithm
Ciphertext
Plaintext
Decryption
Algorithm
Private Key
แสดงการเข้ ารหัสด้ วยกุญแจสาธารณะ(Public key)
การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
ประโยชน์ ของระบบการเข้ ารหัสแบบไม่ สมมาตร มีดังนี้
1. ใช้รักษาความลับของข้อความที่จะจัดส่ งไป
2. แก้ปัญหาการ Authenticate คือ ตรวจสอบว่าบุคคลที่ส่งข้อความเข้ามา
เป็ นผูส้ ่ งเองจริ ง ๆ ซึ่งทาได้โดยใช้วิธีการเข้ารหัสด้วยคียส์ ่ วนตัว
** การใช้คียส์ ่ วนตัวเข้ารหัสข้อความเปรี ยบได้กบั การเซ็นชื่ อของเราบน
เอกสารที่เป็ นกระดาษเพื่อรับรองว่าข้อความนี้เราเป็ นผูส้ ่ งจริ ง
Platform for Privacy Preference (P3P)
• Platform for Privacy Preference (P3P) เป็ นมาตรฐานในการสื่ อสารนโยบาย
ความเป็ นส่ วนตัวของเว็บไซต์ อคี อมเมิร์ซกับผู้เยีย่ มชม
• การทางานมาตรฐานของ P3P เริ่มต้ นเมือ่ User ร้ องขอเว็บเพจไปยังเว็บไซต์ ที่
ต้ องการ Server ของเว็บไซต์ ดงั กล่าวจะส่ งเว็บเพจกลับไปยัง User ตามทีร่ ้ องขอ
พร้ อมกับแนบไฟล์ประกาศนโยบายความเป็ นส่ วนตัวของเว็บไซต์ หากเว็บไซต์ ที่
User ร้ องขอไม่ ได้ จัดทานโยบายความเป็ นส่ วนตัวตามมาตรฐานของ P3P ไว้
Server ก็จะไม่ ส่งข้ อมูลดังกล่ าวไปให้ User จะส่ งเพียงหน้ าเว็บเพจที่ต้องการ
เท่ านั้น จากนั้นโปรแกรม web browser ที่ User ใช้ จะเปรียบเทียบนโยบายความ
เป็ นส่ วนตัวของเว็บไซต์ กบั ของ User ทีก่ าหนดไว้ หากมีระดับไม่ ตรงกัน Web
brower จะแจ้ งเตือน User ให้ พจิ ารณาว่ าจะเยีย่ มชมเว็บไซต์ ต่อไปหรือไม่ หรือ
ระงับการใช้ งาน Cookies จากเว็บไซต์ น้ันไปทันที ซึ่งอาจทาให้ User ไม่ สามารถ
เยีย่ มชมเว็บไซต์ น้ันได้ แต่ User จะมีความปลอดภัยจากการนาข้ อมูลส่ วนบุคคล
ไปใช้ ทอี่ นื่ ได้
Platform for Privacy Preference (P3P)
แสดงการทางานของมาตรฐาน P3P เพือ่ ป้ องกันสิ ทธิส่วนบุคคล
ของผู้เยีย่ มชมเว็บไซต์
Platform for Privacy Preference (P3P)
• ปัจจุบันโปรแกรม Web browser ที่ใช้ กนั ทัว่ ไป เช่ น Internet Explorer,
Mozilla Firefox สามารถรองรับมาตรฐาน P3P โดยอนุญาตให้ ผู้ใช้
กาหนดระดับการยอมรับไฟล์ Cookies ได้ เช่ น Medium level จะระงับ
ใช้ Cookies ของเว็บไซต์ ทมี่ ีนโยบายความเป็ นส่ วนตัวไม่ รัดกุม คือ ไม่ มี
การแยกข้ อมูลทีเ่ ป็ นส่ วนตัวออก
Platform for Privacy Preference (P3P)
แสดงการตั้งระดับการยอมรับไฟล์ Cookies ของเว็บไซต์
แบบฝึ กหัด
• 1. ความเป็ นส่ วนตัว(Privacy) หมายถึงอะไร
• 2. จงอธิบายว่ าหัวข้ อต่ อไปนีค้ ุกคามต่ อความเป็ นส่ วนตัวได้ อย่ างไร
• - Cookie
- Phishing
- GPS Chip
- RFID
• 3. ในประเทศไทยได้ มีการบัญญัติกฎหมายคุ้มครองข้ อมูลส่ วนบุคคล
หรือไม่ สามารถศึกษาข้ อมูลเพิม่ เติมได้ จากแหล่งใด
• 4. หลักปฏิบัติตามข้ อกาหนดของ FTC มีกขี่ ้ อ อะไรบ้ าง
• 5. การเข้ ารหัส (Encryption) และ P3P ช่ วยรักษาความมั่นคงปลอดภัย
ให้ กบั ข้ อมูลส่ วนบุคคลได้ อย่ างไร