Rozhovor s badatelkou Thylou Van Der Merwe o TLS a online soukromí


Thyla van der Merwe obdržela BCom v oboru matematika, statistika a ekonomie, BSc (Hons) v matematice a MSc v matematice na University of Cape Town v Jižní Africe. Absolvovala magisterské studium v ​​oboru informační bezpečnosti na Royal Holloway na londýnské univerzitě jako učenec FirstRand Laurie Dippenaar. Před nástupem do Royal Holloway strávila Thyla čtyři roky ve společnosti Tellumat (PTY) Ltd jako specialista na zabezpečení a vývojář softwaru. Thyla v současné době zastupuje Jihoafrickou republiku ve výboru ISO / IEC JTC 1 SC 27, kde její činnosti zahrnují standardizaci kryptografických mechanismů a protokolů. Vědecké zájmy Thyly zahrnují různá témata v teoretické a aplikované kryptografii.

Transport Layer Security (TLS) je protokol iniciovaný IETF v roce 1999 za účelem nahrazení SSL pro zabezpečení dat webových stránek a dalších online šifrování informací. Všichni pravidelně používáme TLS při surfování po webu na zabezpečených webech.

vpnMentor: Co musím jako průměrný uživatel vědět o TLS?

Snažíme se uživatele vzdělávat, aby ověřili, zda mají připojení TLS; v prohlížečích, jako je Chrome a FireFox, můžete zkontrolovat na vyhledávací liště, kde se zobrazí upozornění. Pokud nemáte připojení HTTPS, zamyslete se dvakrát nad informacemi, které na web zadáte. Vyhněte se uvedení uživatelského jména a hesla na adresu URL bez protokolu HTTPS. Nebojím se vkládat data na stránky https, ale jsem si vědom toho, že se věci mohou pokazit.

TLS

Kliknutím na ikonu zámku zkontrolujete, zda je web v prohlížeči Google Chrome zabezpečený

vpnMentor: Při výběru VPN někteří poskytovatelé VPN uvádějí, že mají podporu TLS. Co to znamená?

Myslím, že některá připojení VPN umožňují kanály TLS; některé produkty mohou „mluvit“ TLS - vytvářejí zabezpečený kanál pomocí mechanismu výměny ověřených klíčů. Nabízení TLS samozřejmě nepoškodí ani marketing.

vpnMentor: Majitelé webových stránek vidí tolik možností pro nákup SSL, co je důležité při nákupu certifikátu, je důležité koupit od velké značky?

Něco jako server APACHE bude mít možnosti konfigurace TLS. Všimněte si, jakou verzi TLS implementovat, a nepoužívejte RC4! Vyskytly se problémy s určitými certifikačními úřady, takže osobně bych nakupoval od velkých značek, jako jsou Symantec a Comodo.

vpnMentor: Na co se zaměřujete na svůj výzkum?

K analýze TLS 1.3 používáme nástroje formální metody, abychom se ujistili, že je bezpečný.

vpnMentor: TLS lze využít k obnovení hesel. Prosím vysvětlete jak

Pokud je RC4 používán v TLS, je v RC4 slabost, kterou může útočník využít k odhalení vašich hesel; útočník zachytí velké množství připojení TLS, které používají RC4, a může použít zkreslení v RC4 keystream k nalezení vašeho hesla.

vpnMentor: Myslíte si, že organizace super power, jako Amazon a Google, mohou hacknout RSA pomocí svých zdrojů? Bojíte se takového scénáře?

Obávám se několika věcí, které by velké organizace mohly dělat, ale doufám, že nebudou zneužívat moc, jakou mají.

vpnMentor: Co vy osobně děláte pro ochranu svého soukromí online?

Ujistěte se, že jsem si vybral dobrá hesla, střídám je jednou za čas. Mám systém, takže používám mnoho různých hesel pro různé weby a ne „jedno pro všechny“. Také se snažím být vědomi, když pracuji na zabezpečeném připojení nebo ne. Někdy používám VPN, ale ne často. Hlavně když se potřebuji připojit k síti kampusu (používám klienta F5 VPN). Ve skutečnosti jsem také četl varovné zprávy svého prohlížeče!

vpnMentor: Jaký je váš názor na nalezení správné rovnováhy mezi dodržováním práv na soukromí a bojem proti globálnímu terorismu?

Padám na stranu argumentu, že lidé mají právo na soukromí. Pro mě je to nejdůležitější věc. Oceňuji, že existují hrozby, které je třeba řešit, ale náklady na soukromí uživatelů jsou možná příliš vysoké ceny, které je třeba zaplatit.

vpnMentor: Podle vašeho názoru uvidíme v příštích 10 letech velký hackerský útok na infrastrukturu, nebo by to zůstalo pouze předmětem pro hrané filmy?

No, už jsme například viděli útoky ve formě Stuxnetu. Nemyslím si, že z oblasti možností můžeme odstranit hrozbu závažných útoků.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe na BIU, 2. května 2016

TLS: Minulost, přítomnost, budoucnost z vpnMentor

Automatizovaná analýza TLS 1.3 z vpnMentor

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me