Rozhovor s výskumníčkou Thylou Van Der Merwe o TLS a súkromí online

Thyla van der Merwe získala titul BCOM v odbore matematika, štatistika a ekonómia, titul bakalára v odbore matematika a titul magistra v odbore matematika na University of Cape Town v Južnej Afrike. Absolvovala magisterský titul z informačnej bezpečnosti na Royal Holloway na londýnskej univerzite ako vedkyňa FirstRand Laurie Dippenaar. Pred nástupom do spoločnosti Royal Holloway strávila Thyla štyri roky v spoločnosti Tellumat (PTY) Ltd ako špecialista v oblasti bezpečnosti a vývojár softvéru. Thyla v súčasnosti zastupuje Juhoafrickú republiku v normotvornom výbore ISO / IEC JTC 1 SC 27, kde jej činnosti zahŕňajú štandardizáciu kryptografických mechanizmov a protokolov. Výskumné záujmy spoločnosti Thyla zahŕňajú rôzne témy teoretickej a aplikovanej kryptografie.


Transport Layer Security (TLS) je protokol iniciovaný IETF v roku 1999 s cieľom nahradiť SSL na zabezpečenie údajov webových stránok a iných online informácií. Všetci pravidelne používame TLS pri surfovaní na webe na zabezpečených webových stránkach.

vpnMentor: Čo musím ako priemerný užívateľ vedieť o TLS?

Snažíme sa používateľov poučiť, aby skontrolovali, či majú pripojenie TLS; v prehliadačoch, ako sú Chrome a FireFox, môžete skontrolovať vyhľadávací panel a zobraziť upozornenie. Ak nemáte pripojenie HTTPS, dvakrát premýšľajte o informáciách, ktoré zadáte na web. Nepoužívajte meno používateľa a heslo na webovú adresu, ktorá nie je protokolom HTTPS. Nebojím sa vkladať údaje na stránky https, ale som si vedomý skutočnosti, že sa veci môžu pokaziť.

TLS

Kliknutím na ikonu zámku skontrolujte, či je web v prehliadači Google Chrome zabezpečený

vpnMentor: Pri výbere VPN niektorí poskytovatelia VPN uvádzajú, že majú podporu TLS. Čo to znamená?

Myslím si, že niektoré pripojenia VPN umožňujú kanály TLS; niektoré produkty môžu „hovoriť“ TLS - vytvárajú zabezpečený mechanizmus výmeny kľúčov na vytvorenie zabezpečeného kanála. Ponúkanie TLS samozrejme nepoškodí ani marketing.

vpnMentor: Majitelia webových stránok vidia toľko možností na nákup SSL, čo je dôležité pri kúpe certifikátu, je dôležité kúpiť od veľkej značky?

Niečo ako server APACHE bude mať možnosti konfigurácie TLS. Všimnite si, ktorú verziu TLS implementovať, a nepoužívajte RC4! Vyskytli sa problémy s niektorými certifikačnými orgánmi, takže osobne by som nakupoval od veľkých značiek, ako sú Symantec a Comodo.

vpnMentor: Na čo sa zameriavate na svoj výskum?

Na analyzovanie TLS 1.3 používame formálne nástroje metód, aby sme sa uistili, že je bezpečný.

vpnMentor: TLS je možné využiť na obnovenie hesiel. Vysvetlite, ako

Ak sa RC4 používa v TLS, je v RC4 slabá stránka, ktorú môže útočník využiť na odhalenie vašich hesiel; útočník zachytí veľké množstvo pripojení TLS, ktoré používajú RC4, a na nájdenie hesla môže využiť predpojatosti v kľúčovom prúde RC4..

vpnMentor: Myslíte si, že superkonkurenčné organizácie ako Amazon a Google môžu hackovať RSA pomocou svojich zdrojov? Bojíte sa takého scenára?

Obávam sa niekoľkých vecí, ktoré by veľké organizácie dokázali urobiť, ale dúfam, že nezneužijú moc, ktorú majú..

vpnMentor: Čo robíte osobne na ochranu svojho súkromia online?

Uistil som sa, že som si vybral dobré heslá, občas ich striedam. Mám systém, takže používam veľa rôznych hesiel pre rôzne weby a nie „jedno pre všetkých“. Tiež sa snažím byť informovaný, keď pracujem na zabezpečenom pripojení alebo nie. Niekedy používam VPN, ale nie často. Hlavne keď sa musím pripojiť k svojej kampusovej sieti (používam klienta F5 VPN). Čítal som tiež varovné správy prehliadača!

vpnMentor: Aký je váš názor na nájdenie správnej rovnováhy dodržiavania práv na súkromie a boja proti globálnemu terorizmu?

Som na strane argumentu, že ľudia majú právo na súkromie. Pre mňa je to najdôležitejšia vec. Oceňujem, že existujú hrozby, ktoré je potrebné riešiť, ale náklady na ochranu osobných údajov používateľov sú možno príliš vysoké.

vpnMentor: Podľa vášho názoru uvidíme v najbližších 10 rokoch veľký hackerský útok na infraštruktúru, alebo by to zostalo iba predmetom pre hrané filmy?

Už sme napríklad videli útoky vo forme Stuxnetu. Nemyslím si, že z ríše možností dokážeme odstrániť hrozbu veľkých útokov.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe na BIU, 2. mája 2016

TLS: Minulosť, súčasnosť, budúcnosť z vpnMentor

Automatizovaná analýza TLS 1.3 z vpnMentor

 

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me