Wawancara dengan Penyelidik Thyla Van Der Merwe mengenai TLS dan Privasi Dalam Talian


Thyla van der Merwe menerima BCom dalam Matematik, Statistik dan Ekonomi, BSc (Kepujian) dalam Matematik dan MSc dalam Matematik dari University of Cape Town, Afrika Selatan. Beliau mempunyai MSc sarjana dalam Keselamatan Maklumat di Royal Holloway, University of London sebagai cendekiawan FirstRand Laurie Dippenaar. Sebelum memulakan Royal Holloway, Thyla menghabiskan empat tahun di Tellumat (PTY) Ltd sebagai pakar keselamatan dan pemaju perisian. Thyla kini mewakili Afrika Selatan pada jawatankuasa piawaian ISO / IEC JTC 1 SC 27 di mana aktivitinya melibatkan penyeragaman mekanisme dan protokol kriptografi. Kepentingan penyelidikan Thyla termasuk pelbagai topik dalam kriptografi teori dan aplikasi.

Keselamatan Layer Pengangkutan (TLS) adalah protokol yang dimulakan oleh IETF pada tahun 1999 untuk menggantikan SSL untuk mendapatkan data laman web dan penyulitan maklumat dalam talian yang lain. Kita semua kerap menggunakan TLS semasa melayari web di laman web selamat.

vpnMentor: Apa yang saya perlukan sebagai pengguna biasa pada TLS??

Kami cuba mendidik pengguna untuk memeriksa bahawa mereka mempunyai sambungan TLS; dalam pelayar seperti Chrome dan FireFox, anda boleh menyemak bar carian untuk melihat pemberitahuan mengenai perkara ini. Sekiranya anda tidak mempunyai sambungan HTTPS, fikirkan dua kali mengenai maklumat yang anda masukkan ke laman web ini. Elakkan meletakkan nama pengguna dan kata laluan pada url bukan HTTPS. Saya tidak takut untuk memasukkan data ke dalam laman web https, tetapi saya menyedari hakikat bahawa perkara boleh menjadi salah.

TLS

Memeriksa jika tapak dicagar di Google Chrome, dengan mengklik ikon kunci

vpnMentor: Apabila memilih VPN, beberapa pembekal VPN menyebut mereka mempunyai sokongan TLS. Apakah maksud ini?

Saya fikir beberapa sambungan VPN membenarkan saluran TLS; sesetengah produk boleh 'bercakap' TLS - mereka membuat mekanisme pertukaran utama yang disahkan untuk membina saluran yang selamat. Sudah tentu, menawarkan TLS tidak menyakiti pemasaran sama ada.

vpnMentor: Pemilik laman web melihat banyak pilihan untuk membeli SSL, apa yang penting apabila membeli sijil, adalah penting untuk membeli dari jenama besar?

Sesuatu seperti pelayan APACHE akan datang dengan pilihan konfigurasi TLS. Perhatikan apa versi TLS untuk dilaksanakan, dan jangan gunakan RC4! Terdapat masalah dengan pihak berkuasa pensijilan tertentu, jadi secara peribadi, saya akan membeli dari jenama besar seperti Symantec dan Comodo.

vpnMentor: Apa yang anda fokuskan pada penyelidikan anda?

Kami menggunakan alat kaedah rasmi untuk menganalisis TLS 1.3, untuk memastikan ia selamat.

vpnMentor: TLS boleh mengeksploitasi untuk mendapatkan kata laluan. Sila terangkan bagaimana

Apabila RC4 digunakan dalam TLS terdapat kelemahan di RC4 yang penyerang boleh mengeksploitasi untuk mendedahkan kata laluan anda; penyerang memintas sebilangan besar sambungan TLS yang menggunakan RC4, dan dapat menggunakan kecenderungan dalam aliran kunci RC4 untuk mencari kata laluan anda.

vpnMentor: Adakah anda berfikir bahawa organisasi kuasa super seperti Amazon dan Google boleh menggodam RSA menggunakan sumber mereka? Adakah anda takut dengan senario sedemikian??

Saya bimbang tentang beberapa perkara mengenai organisasi besar yang mungkin dapat dilakukan tetapi harapan saya adalah bahawa mereka tidak akan menyalahgunakan kuasa kuasa yang mereka miliki.

vpnMentor: Apa yang anda buat secara peribadi untuk melindungi privasi anda secara dalam talian?

Saya pastikan untuk memilih kata laluan yang baik, saya berputar setiap kali dalam sekejap. Saya mempunyai sistem supaya saya menggunakan banyak kata laluan yang berbeza untuk laman web yang berbeza dan bukan "satu untuk semua". Saya juga cuba sedar apabila saya bekerja pada sambungan yang selamat atau tidak. Kadangkala, saya menggunakan VPN tetapi tidak sering. Terutama apabila saya perlu menyambung ke rangkaian kampus saya (saya menggunakan klien VPN F5). Saya juga sebenarnya membaca mesej peringatan penyemak imbas saya!

vpnMentor: Apakah pandangan anda tentang mencari keseimbangan yang betul untuk menjaga hak privasi dan memerangi keganasan global?

Saya jatuh di sisi hujah bahawa orang mempunyai hak privasi. Bagi saya inilah perkara yang paling penting. Saya menghargai ada ancaman yang perlu ditangani, tetapi kos privasi pengguna mungkin terlalu mahal untuk membayar.

vpnMentor: Pada pendapat anda, kami akan melihat serangan penggodaman utama ke atas infrastruktur dalam tempoh 10 tahun akan datang, atau ini hanya tinggal subjek untuk filem fiksyen?

Nah, kita sudah melihat serangan dalam bentuk Stuxnet, sebagai contoh. Saya tidak fikir kita boleh membuang ancaman serangan besar dari alam kemungkinan.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe di BIU, Mei 02 2016

TLS: Past, Present, Masa Depan dari vpnMentor

Analisis Automatik TLS 1.3 dari vpnMentor

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me