Wawancara dengan Peneliti Thyla Van Der Merwe tentang TLS dan Privasi Online


Thyla van der Merwe menerima gelar BCom dalam Matematika, Statistik dan Ekonomi, gelar BSc (Hons) dalam Matematika dan MSc dalam Matematika dari University of Cape Town, Afrika Selatan. Dia memiliki gelar MSc dalam Keamanan Informasi di Royal Holloway, University of London sebagai sarjana FirstRand Laurie Dippenaar. Sebelum memulai di Royal Holloway, Thyla menghabiskan empat tahun di Tellumat (PTY) Ltd sebagai spesialis keamanan dan pengembang perangkat lunak. Thyla saat ini mewakili Afrika Selatan pada komite standar ISO / IEC JTC 1 SC 27 di mana kegiatannya melibatkan standarisasi mekanisme dan protokol kriptografi. Minat penelitian Thyla mencakup berbagai topik dalam teori dan kriptografi terapan.

Transport Layer Security (TLS) adalah protokol yang diprakarsai oleh IETF pada tahun 1999 untuk menggantikan SSL untuk mengamankan data situs web dan enkripsi informasi online lainnya. Kita semua secara teratur menggunakan TLS saat menjelajahi web di situs web yang aman.

vpnMentor: Apa yang harus saya ketahui sebagai pengguna biasa tentang TLS?

Kami mencoba mengedukasi pengguna untuk memastikan bahwa mereka memiliki koneksi TLS; di browser seperti Chrome dan FireFox Anda dapat memeriksa bilah pencarian untuk melihat pemberitahuan tentang ini. Jika Anda tidak memiliki koneksi HTTPS, pikirkan dua kali tentang informasi yang Anda masukkan ke situs. Hindari memasukkan nama pengguna dan kata sandi ke url non-HTTPS. Saya tidak takut untuk memasukkan data ke situs https, tetapi saya menyadari fakta bahwa ada yang salah.

TLS

Memeriksa apakah suatu situs diamankan di Google Chrome, dengan mengklik ikon kunci

vpnMentor: Saat memilih VPN, beberapa penyedia VPN menyebutkan bahwa mereka memiliki dukungan TLS. Apa artinya ini?

Saya pikir beberapa koneksi VPN memungkinkan saluran TLS; beberapa produk mungkin 'berbicara' TLS - mereka membuat mekanisme pertukaran kunci terotentikasi untuk membangun saluran yang aman. Tentu saja, menawarkan TLS juga tidak merusak pemasaran.

vpnMentor: Pemilik situs web melihat begitu banyak opsi untuk membeli SSL, yang penting ketika membeli sertifikat, apakah penting untuk membeli dari merek besar?

Sesuatu seperti server APACHE akan datang dengan opsi konfigurasi TLS. Perhatikan versi TLS apa yang harus diterapkan, dan jangan gunakan RC4! Ada masalah dengan otoritas sertifikasi tertentu, jadi secara pribadi, saya akan membeli dari merek besar seperti Symantec dan Comodo.

vpnMentor: Apa yang Anda fokuskan pada penelitian Anda?

Kami menggunakan alat metode formal untuk menganalisis TLS 1.3, untuk memastikan bahwa itu aman.

vpnMentor: TLS dapat dieksploitasi untuk memulihkan kata sandi. Tolong jelaskan caranya

Ketika RC4 digunakan dalam TLS ada kelemahan dalam RC4 bahwa penyerang dapat mengeksploitasi untuk mengungkap kata sandi Anda; penyerang mencegat sejumlah besar koneksi TLS yang menggunakan RC4, dan dapat menggunakan bias dalam RC4 keystream untuk menemukan kata sandi Anda.

vpnMentor: Apakah menurut Anda organisasi super power seperti Amazon dan Google dapat meretas RSA menggunakan sumber dayanya? Apakah Anda takut dengan skenario seperti itu?

Saya khawatir tentang beberapa hal tentang organisasi besar yang mungkin dapat dilakukan tetapi harapan saya adalah bahwa mereka tidak akan menyalahgunakan kekuatan kekuatan yang mereka miliki.

vpnMentor: Apa yang Anda lakukan secara pribadi untuk melindungi privasi Anda secara online?

Saya memastikan untuk memilih kata sandi yang baik, saya memutarnya sekali-sekali. Saya memiliki sistem jadi saya menggunakan banyak kata sandi yang berbeda untuk situs yang berbeda dan bukan "satu untuk semua". Saya juga mencoba untuk waspada ketika saya bekerja pada koneksi yang aman atau tidak. Kadang-kadang, saya menggunakan VPN tetapi tidak sering. Terutama ketika saya harus terhubung ke jaringan kampus saya (saya menggunakan klien F5 VPN). Saya juga benar-benar membaca pesan peringatan dari browser saya!

vpnMentor: Apa pendapat Anda tentang menemukan keseimbangan yang tepat dalam menjaga hak privasi dan memerangi terorisme global?

Saya jatuh di sisi argumen bahwa orang memiliki hak privasi. Bagi saya ini adalah hal yang paling penting. Saya menghargai ada ancaman yang perlu diatasi, tetapi biaya privasi pengguna mungkin terlalu tinggi untuk dibayar.

vpnMentor: Menurut pendapat Anda, kami akan melihat serangan peretasan besar pada infrastruktur dalam 10 tahun ke depan, atau apakah ini hanya akan menjadi subjek film fiksi?

Yah, kita sudah melihat serangan dalam bentuk Stuxnet, misalnya. Saya tidak berpikir bahwa kita dapat menghilangkan ancaman serangan besar dari ranah kemungkinan.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe di BIU, 02 Mei 2016

TLS: Past, Present, Future dari vpnMentor

Analisis Otomatis TLS 1.3 dari vpnMentor

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me