Wywiad z naukowcem Thylą Van Der Merwe na temat TLS i prywatności online


Thyla van der Merwe otrzymała tytuł licencjata z matematyki, statystyki i ekonomii, tytuł licencjata z matematyki oraz tytuł magistra matematyki na Uniwersytecie w Kapsztadzie w Południowej Afryce. Ukończyła magister bezpieczeństwa informatycznego na Royal Holloway, University of London jako stypendystka FirstRand Laurie Dippenaar. Przed rozpoczęciem pracy w Royal Holloway Thyla spędził cztery lata w Tellumat (PTY) Ltd jako specjalista ds. Bezpieczeństwa i programista. Obecnie Thyla reprezentuje Republikę Południowej Afryki w komitecie normalizacyjnym ISO / IEC JTC 1 SC 27, gdzie jej działania obejmują standaryzację mechanizmów i protokołów kryptograficznych. Zainteresowania badawcze Thyli obejmują różne tematy z zakresu kryptografii teoretycznej i stosowanej.

Transport Layer Security (TLS) to protokół zainicjowany przez IETF w 1999 r. W celu zastąpienia protokołu SSL w celu zabezpieczenia danych w witrynie i innych metod szyfrowania informacji online. Wszyscy regularnie korzystamy z TLS podczas surfowania po sieci na bezpiecznych stronach internetowych.

vpnMentor: Co ja, jako przeciętny użytkownik, muszę wiedzieć o TLS?

Staramy się edukować użytkowników, aby sprawdzali, czy mają połączenie TLS; w przeglądarkach takich jak Chrome i FireFox możesz sprawdzić pasek wyszukiwania, aby zobaczyć powiadomienie o tym. Jeśli nie masz połączenia HTTPS, zastanów się dwa razy nad informacjami wprowadzonymi do witryny. Unikaj umieszczania nazwy użytkownika i hasła w adresie URL innym niż HTTPS. Nie boję się wprowadzać danych do witryn https, ale zdaję sobie sprawę z tego, że coś może pójść nie tak.

TLS

Sprawdzanie, czy witryna jest zabezpieczona w Google Chrome, klikając ikonę kłódki

vpnMentor: Wybierając VPN, niektórzy dostawcy VPN wspominają, że mają wsparcie TLS. Co to znaczy?

Myślę, że niektóre połączenia VPN pozwalają na kanały TLS; niektóre produkty mogą „mówić” TLS - wykorzystują mechanizm wymiany uwierzytelnionego klucza, aby zbudować bezpieczny kanał. Oczywiście oferowanie TLS nie zaszkodzi marketingowi.

vpnMentor: Właściciele witryn widzą tak wiele opcji zakupu SSL, co jest ważne przy zakupie certyfikatu, ważne jest, aby kupować od dużej marki?

Coś jak serwer APACHE będzie zawierał opcje konfiguracji TLS. Zwróć uwagę, którą wersję TLS wdrożyć, i nie używaj RC4! Wystąpiły problemy z niektórymi urzędami certyfikacji, więc osobiście kupowałbym od dużych marek, takich jak Symantec i Comodo.

vpnMentor: Na czym koncentrujesz się w swoich badaniach?

Używamy narzędzi metodycznych do analizy TLS 1.3, aby upewnić się, że jest bezpieczny.

vpnMentor: TLS można wykorzystać do odzyskania haseł. Proszę wyjaśnić jak

Kiedy RC4 jest używany w TLS, w RC4 występuje luka, którą atakujący może wykorzystać, aby odkryć twoje hasła; atakujący przechwytuje dużą liczbę połączeń TLS korzystających z RC4 i może użyć stronniczości w strumieniu kluczy RC4 w celu znalezienia hasła.

vpnMentor: Czy uważasz, że organizacje super władzy, takie jak Amazon i Google, mogą zhakować RSA przy użyciu swoich zasobów? Czy boisz się takiego scenariusza??

Martwię się o kilka rzeczy, które mogą być w stanie zrobić duże organizacje, ale mam nadzieję, że nie nadużyją siły, którą posiadają.

vpnMentor: Co robisz osobiście, aby chronić swoją prywatność w Internecie?

Staram się wybierać dobre hasła, co jakiś czas je zmieniam. Mam system, więc używam wielu różnych haseł do różnych witryn, a nie „jednego dla wszystkich”. Staram się również wiedzieć, czy pracuję na bezpiecznym połączeniu, czy nie. Czasami korzystam z VPN, ale nie często. Głównie, kiedy muszę połączyć się z moją siecią kampusową (korzystam z klienta F5 VPN). W rzeczywistości również czytam komunikaty ostrzegawcze mojej przeglądarki!

vpnMentor: Co sądzisz o znalezieniu właściwej równowagi między utrzymaniem praw do prywatności i zwalczaniem globalnego terroryzmu?

Nie zgadzam się z argumentem, że ludzie mają prawo do prywatności. Dla mnie to jest najważniejsze. Rozumiem, że należy zająć się zagrożeniami, ale koszt prywatności użytkownika jest być może zbyt wysoką ceną, aby zapłacić.

vpnMentor: Twoim zdaniem zobaczymy poważny atak hakerski na infrastrukturę w ciągu najbliższych 10 lat, czy byłby to jedynie temat filmów fabularnych?

Cóż, widzieliśmy już na przykład ataki w postaci Stuxnet. Nie sądzę, abyśmy mogli usunąć zagrożenie poważnymi atakami z dziedziny możliwości.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe na BIU, 2 maja 2016 r

TLS: przeszłość, teraźniejszość, przyszłość od vpnMentor

Zautomatyzowana analiza TLS 1.3 od vpnMentor

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me