TLS ve Çevrimiçi Gizlilik Konusunda Araştırmacı Thyla Van Der Merwe ile söyleşi


Thyla van der Merwe, Güney Afrika Cape Town Üniversitesi'nden Matematik, İstatistik ve Ekonomi alanında BCom, Matematik alanında BSc (Hons) ve Matematik Yüksek Lisansı aldı. Londra Üniversitesi Royal Holloway'da FirstRand Laurie Dippenaar bursiyeri olarak Bilgi Güvenliği alanında yüksek lisans yaptı. Royal Holloway'da başlamadan önce Thyla, güvenlik uzmanı ve yazılım geliştiricisi olarak Tellumat (PTY) Ltd'de dört yıl geçirdi. Thyla şu anda faaliyetlerinin kriptografik mekanizmaların ve protokollerin standartlaştırılmasını içerdiği ISO / IEC JTC 1 SC 27 standart komitesinde Güney Afrika'yı temsil ediyor. Thyla’nın ilgi alanları arasında teorik ve uygulamalı kriptografide çeşitli konular yer alıyor.

Aktarım Katmanı Güvenliği (TLS), web sitesi verilerini ve diğer çevrimiçi bilgi şifrelemesini güvence altına almak için SSL'nin yerini almak üzere 1999 yılında IETF tarafından başlatılan bir protokoldür. Güvenli web sitelerinde internette gezinirken hepimiz düzenli olarak TLS kullanıyoruz.

vpnMentor: Ortalama bir kullanıcı olarak TLS hakkında bilmem gerekenler?

Kullanıcıları TLS bağlantısı olup olmadığını kontrol etmek için eğitmeye çalışıyoruz; Chrome ve FireFox gibi tarayıcılarda bu konuda bir bildirim görmek için arama çubuğunu kontrol edebilirsiniz. HTTPS bağlantınız yoksa, siteye girdiğiniz bilgileri iki kez düşünün. HTTPS olmayan bir URL'ye kullanıcı adı ve şifre koymaktan kaçının. Https sitelerine veri girmekten korkmuyorum, ancak işlerin yanlış gidebileceğinin farkındayım.

TLS

Bir sitenin Google Chrome'da güvenli olup olmadığını kontrol etmek için kilit simgesini tıklayın

vpnMentor: Bir VPN seçerken, bazı VPN sağlayıcıları TLS desteğine sahip olduklarından bahseder. Ne anlama geliyor?

Bazı VPN bağlantılarının TLS kanallarına izin verdiğini düşünüyorum; bazı ürünler TLS'yi “konuşabilir” - güvenli bir kanal oluşturmak için kimliği doğrulanmış anahtar değişim mekanizmasını kullanırlar. Tabii ki, TLS sunmak da pazarlamayı incitmiyor.

vpnMentor: Web sitesi sahipleri, sertifika satın alırken önemli olan SSL satın almak için çok fazla seçenek görüyor, büyük bir markadan satın almak önemlidir?

APACHE sunucusu gibi bir şey TLS yapılandırma seçenekleriyle gelir. Hangi TLS sürümünü uygulayacağınıza dikkat edin ve RC4 kullanmayın! Belli sertifika yetkilileriyle ilgili sorunlar vardı, bu yüzden kişisel olarak Symantec ve Comodo gibi büyük markalardan satın alırdım.

vpnMentor: Araştırmanıza neye odaklanıyorsunuz?

TLS 1.3'ü analiz etmek ve güvenli olduğundan emin olmak için resmi yöntem araçlarını kullanıyoruz.

vpnMentor: TLS şifreleri kurtarmak için kullanılabilir. Lütfen nasıl olduğunu açıklayın

TL4'te RC4 kullanıldığında, RC4'te bir saldırganın parolalarınızı ortaya çıkarmak için kullanabileceği bir zayıflık vardır; saldırgan, RC4 kullanan çok sayıda TLS bağlantısını keser ve şifrenizi bulmak için RC4 anahtar akışındaki önyargılardan yararlanabilir.

vpnMentor: Amazon ve Google gibi süper güç kuruluşlarının kaynaklarını kullanarak RSA'yı hackleyebileceğini düşünüyor musunuz? Böyle bir senaryodan korkuyor musun?

Büyük organizasyonların yapabileceği şeyler hakkında endişeliyim ama umarım sahip oldukları gücü kötüye kullanmayacaklar.

vpnMentor: Çevrimiçi gizliliğinizi korumak için kişisel olarak ne yaparsınız??

İyi şifreler seçtiğinizden emin olurum, arada bir döndürürüm. Bir sistemim var, bu yüzden "hepsi için bir tane" değil, farklı siteler için birçok farklı şifre kullanıyorum. Ayrıca güvenli bir bağlantı üzerinde çalıştığımda da farkında olmaya çalışıyorum. Bazen bir VPN kullanıyorum ama sık kullanmıyorum. Temelde kampüs ağıma bağlanmam gerektiğinde (F5 VPN istemcisini kullanıyorum). Ayrıca tarayıcımın uyarı mesajlarını da okudum!

vpnMentor: Gizlilik haklarını koruma ve küresel terörizmle mücadele konusunda doğru dengeyi bulma konusunda fikriniz nedir??

İnsanların gizlilik hakkına sahip olduğu iddiasının yanına düşüyorum. Benim için bu en önemli şey. Ele alınması gereken tehditler olduğunu takdir ediyorum, ancak kullanıcı gizliliğinin maliyeti belki de ödemek için çok yüksek bir fiyat.

vpnMentor: Sizce önümüzdeki 10 yıl içinde altyapılara yönelik büyük bir saldırı saldırısı görecek miyiz, yoksa bu sadece kurgu filmlerinin konusu olacak mı??

Mesela, zaten Stuxnet şeklinde saldırılar gördük. Büyük saldırılar tehdidini olasılık alanından kaldırabileceğimizi sanmıyorum.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe, BIU'da, 02 Mayıs 2016

TLS: Geçmiş, Bugün, Gelecek itibaren vpnMentor

TLS 1.3'ün Otomatik Analizi itibaren vpnMentor

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me