Συνέντευξη με τον ερευνητή Thyla Van Der Merwe σχετικά με το TLS και την ιδιωτικότητα στο διαδίκτυο


Η Thyla van der Merwe έλαβε το BCom στα Μαθηματικά, Στατιστικά και Οικονομικά, BSc (Hons) στα Μαθηματικά και Μεταπτυχιακό στα Μαθηματικά από το Πανεπιστήμιο του Κέιπ Τάουν, Νότια Αφρική. Έχει πτυχίο MSc στην Ασφάλεια Πληροφοριών στο Royal Holloway, Πανεπιστήμιο του Λονδίνου, ως FirstRand Laurie Dippenaar μελετητής. Πριν από την έναρξη της Royal Holloway, ο Thyla πέρασε τέσσερα χρόνια στο Tellumat (PTY) Ltd ως ειδικός ασφαλείας και προγραμματιστής λογισμικού. Η Thyla αντιπροσωπεύει σήμερα τη Νότια Αφρική στην επιτροπή προτύπων ISO / IEC JTC 1 SC 27, όπου οι δραστηριότητές της περιλαμβάνουν την τυποποίηση κρυπτογραφικών μηχανισμών και πρωτοκόλλων. Τα ερευνητικά ενδιαφέροντα της Thyla περιλαμβάνουν διάφορα θέματα στη θεωρητική και εφαρμοσμένη κρυπτογραφία.

Το Security Layer Transport (TLS) είναι ένα πρωτόκολλο που ξεκίνησε από το IETF το 1999 για να αντικαταστήσει το SSL για την εξασφάλιση δεδομένων ιστότοπου και άλλων κρυπτογραφημένων πληροφοριών σε απευθείας σύνδεση. Όλοι χρησιμοποιούμε τακτικά το TLS ενώ πραγματοποιούμε πλοήγηση στον ιστό σε ασφαλείς ιστότοπους.

vpnMentor: Τι πρέπει να γνωρίζω ως μέσο χρήστη για το TLS?

Προσπαθούμε να εκπαιδεύσουμε τους χρήστες για να ελέγξουμε ότι έχουν μια σύνδεση TLS. σε προγράμματα περιήγησης όπως το Chrome και το FireFox μπορείτε να ελέγξετε τη γραμμή αναζήτησης για να δείτε μια ειδοποίηση σχετικά με αυτό. Εάν δεν διαθέτετε σύνδεση HTTPS, σκεφτείτε δύο φορές τις πληροφορίες που εισάγετε στον ιστότοπο. Αποφύγετε να βάλετε το όνομα χρήστη και τον κωδικό πρόσβασης σε μια διεύθυνση URL μη HTTPS. Δεν φοβάμαι να εισάγω δεδομένα σε ιστότοπους https, αλλά γνωρίζω ότι τα πράγματα μπορεί να πάνε στραβά.

TLS

Έλεγχος εάν ένας ιστότοπος είναι ασφαλής στο Google Chrome, κάνοντας κλικ στο εικονίδιο κλειδώματος

vpnMentor: Όταν επιλέγετε ένα VPN, ορισμένοι παροχείς VPN αναφέρουν ότι έχουν υποστήριξη TLS. Τι σημαίνει αυτό?

Νομίζω ότι μερικές συνδέσεις VPN επιτρέπουν κανάλια TLS. ορισμένα προϊόντα μπορούν να μιλούν TLS - κάνουν το πιστοποιημένο μηχανισμό ανταλλαγής κλειδιών για την κατασκευή ενός ασφαλούς καναλιού. Φυσικά, η προσφορά TLS δεν βλάπτει το μάρκετινγκ.

vpnMentor: Οι ιδιοκτήτες ιστότοπων βλέπουν τόσες πολλές επιλογές για αγορά SSL, αυτό που είναι σημαντικό κατά την αγορά ενός πιστοποιητικού, είναι σημαντικό να αγοράσετε από ένα μεγάλο εμπορικό σήμα?

Κάτι σαν διακομιστή APACHE θα έρθει με επιλογές διαμόρφωσης TLS. Σημειώστε ποια έκδοση του TLS πρέπει να εφαρμόσετε και μην χρησιμοποιήσετε το RC4! Έχουν υπάρξει προβλήματα με ορισμένες αρχές πιστοποίησης, τόσο προσωπικά, θα αγοράζα από τις μεγάλες μάρκες όπως η Symantec και η Comodo.

vpnMentor: Τι επικεντρώνετε στην έρευνά σας?

Χρησιμοποιούμε επίσημα εργαλεία μεθόδου για την ανάλυση του TLS 1.3, για να βεβαιωθείτε ότι είναι ασφαλές.

vpnMentor: Το TLS μπορεί να αξιοποιηθεί για την ανάκτηση κωδικών πρόσβασης. Παρακαλώ εξηγήστε πώς

Όταν το RC4 χρησιμοποιείται στο TLS, υπάρχει αδυναμία στο RC4 που ένας εισβολέας μπορεί να εκμεταλλευτεί για να αποκαλύψει τους κωδικούς πρόσβασής σας. ο εισβολέας παρακολουθεί μεγάλο αριθμό συνδέσεων TLS που χρησιμοποιούν το RC4 και μπορεί να κάνει χρήση προκαταλήψεων στο κλειδί του RC4 για να βρει τον κωδικό πρόσβασής σας.

vpnMentor: Πιστεύετε ότι οργανώσεις σούπερ δύναμης όπως το Amazon και το Google μπορούν να hack RSA χρησιμοποιώντας τους πόρους τους; Ανησυχείτε για ένα τέτοιο σενάριο?

Ανησυχώ για πολλά πράγματα που θα μπορούσαν να κάνουν οι μεγάλες οργανώσεις, αλλά η ελπίδα μου είναι ότι δεν θα κάνουν κατάχρηση της εξουσίας της εξουσίας που έχουν.

vpnMentor: Τι κάνετε προσωπικά για να προστατεύσετε το προσωπικό σας απόρρητο?

Φροντίζω να επιλέξω καλούς κωδικούς πρόσβασης, τις περιστρέφω κάθε φορά. Έχω ένα σύστημα, έτσι χρησιμοποιώ πολλούς διαφορετικούς κωδικούς πρόσβασης για διαφορετικούς ιστότοπους και όχι "ένα για όλους". Προσπαθώ επίσης να γνωρίζω όταν εργάζομαι σε μια ασφαλή σύνδεση ή όχι. Κατά καιρούς, χρησιμοποιώ ένα VPN αλλά όχι συχνά. Κυρίως όταν χρειάζεται να συνδεθώ με το δίκτυο πανεπιστημιουπόλεων (χρησιμοποιώ τον πελάτη VPN F5). Επίσης διαβάζω τα προειδοποιητικά μηνύματα του προγράμματος περιήγησής μου!

vpnMentor: Ποια είναι η γνώμη σας για την εξεύρεση της σωστής ισορροπίας μεταξύ της διατήρησης των δικαιωμάτων ιδιωτικού απορρήτου και της καταπολέμησης της παγκόσμιας τρομοκρατίας?

Πάω στην πλευρά του επιχειρήματος ότι οι άνθρωποι έχουν το δικαίωμα στην ιδιωτική ζωή. Για μένα αυτό είναι το πιο σημαντικό πράγμα. Εκτιμώ ότι υπάρχουν απειλές που πρέπει να αντιμετωπιστούν, αλλά το κόστος της ιδιωτικής ζωής των χρηστών είναι ίσως πολύ υψηλό για να πληρώσουν.

vpnMentor: Κατά την άποψή σας, θα δούμε μια σημαντική επίθεση κατά των πειρατικών υποδομών τα επόμενα 10 χρόνια ή θα παραμείνει αυτό μόνο θέμα κινηματογραφικών ταινιών?

Λοιπόν, έχουμε δει ήδη επιθέσεις με τη μορφή Stuxnet, για παράδειγμα. Δεν πιστεύω ότι μπορούμε να καταργήσουμε την απειλή για σοβαρές επιθέσεις από τη σφαίρα της πιθανότητας.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe στη BIU, Μάιος 02 2016

TLS: Παρελθόν, Παρόν, Μέλλον από vpnMentor

Αυτοματοποιημένη ανάλυση του TLS 1.3 από vpnMentor

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me