Intervju med forskaren Thyla Van Der Merwe om TLS och sekretess online


Thyla van der Merwe fick en BCom i matematik, statistik och ekonomi, en BSc (Hons) i matematik och en MSc i matematik från University of Cape Town, Sydafrika. Hon har en civilingenjörsexamen i informationssäkerhet vid Royal Holloway, University of London som en förstudie Laurie Dippenaar-forskare. Innan han började på Royal Holloway tillbringade Thyla fyra år på Tellumat (PTY) Ltd som säkerhetsspecialist och mjukvaruutvecklare. Thyla representerar för närvarande Sydafrika i ISO / IEC JTC 1 SC 27-standardkommittén där hennes verksamhet innebär standardisering av kryptografiska mekanismer och protokoll. Thylas forskningsintressen inkluderar olika ämnen inom teoretisk och tillämpad kryptografi.

Transport Layer Security (TLS) är ett protokoll initierat av IETF 1999 för att ersätta SSL för att säkra webbplatsdata och annan online informationskryptering. Vi använder alla regelbundet TLS när vi surfar på webben på säkra webbplatser.

vpnMentor: Vad behöver jag som en genomsnittlig användare veta på TLS?

Vi försöker utbilda användare att kontrollera att de har en TLS-anslutning; i webbläsare som Chrome och FireFox kan du kontrollera sökfältet för att se ett meddelande om detta. Om du inte har en HTTPS-anslutning, tänk två gånger på informationen du anger på webbplatsen. Undvik att sätta användarnamn och lösenord till en url som inte är HTTPS. Jag är inte rädd för att mata in data på https-webbplatser, men jag är medveten om att saker och ting kan gå fel.

TLS

Kontrollera om en webbplats är säker på Google Chrome genom att klicka på låsikonen

vpnMentor: När du väljer ett VPN, nämner vissa VPN-leverantörer att de har TLS-stöd. Vad betyder det här?

Jag tror att vissa VPN-anslutningar möjliggör TLS-kanaler; vissa produkter kan "tala" TLS - de gör av den autentiserade nyckelutbytesmekanismen för att skapa en säker kanal. Naturligtvis skadar inte heller marknadsföringen att erbjuda TLS.

vpnMentor: Webbplatsägare ser så många alternativ för att köpa SSL, vad som är viktigt när man köper ett certifikat, är det viktigt att köpa från ett stort märke?

Något som en APACHE-server kommer med TLS-konfigurationsalternativ. Observera vilken version av TLS som ska implementeras och använd inte RC4! Det har varit problem med vissa certifieringsmyndigheter, så personligen skulle jag köpa från de stora varumärkena som Symantec och Comodo.

vpnMentor: Vad fokuserar du på din forskning?

Vi använder formella metodverktyg för att analysera TLS 1.3, för att se till att det är säkert.

vpnMentor: TLS kan utnyttjas för att återställa lösenord. Förklara hur

När RC4 används i TLS finns det en svaghet i RC4 som en angripare kan utnyttja för att avslöja dina lösenord; angriparen avlyssnar ett stort antal TLS-anslutningar som använder RC4, och kan använda förspänningar i RC4-nyckelströmmen för att hitta ditt lösenord.

vpnMentor: Tror du att supermaktorganisationer som Amazon och Google kan hacka RSA med sina resurser? Är du rädd för ett sådant scenario?

Jag är orolig för flera saker om att stora organisationer kan göra, men jag hoppas vara att de inte missbrukar den makt de har.

vpnMentor: Vad gör du personligen för att skydda din integritet online?

Jag ser till att välja bra lösenord, jag roterar dem då och då. Jag har ett system så jag använder många olika lösenord för olika webbplatser och inte "ett för alla". Jag försöker också vara medveten när jag arbetar med en säker anslutning eller inte. Ibland använder jag ett VPN men inte ofta. Huvudsakligen när jag behöver ansluta till mitt campusnätverk (jag använder F5 VPN-klienten). Jag läser också faktiskt varningsmeddelandena i min webbläsare!

vpnMentor: Vad tycker du om att hitta rätt balans mellan att hålla privatlivets rättigheter och bekämpa global terrorism??

Jag faller på sidan av argumentet att människor har rätt till integritet. För mig är detta det viktigaste. Jag uppskattar att det finns hot som måste åtgärdas, men kostnaden för användarnas integritet är kanske för högt för att betala.

vpnMentor: Vi anser att vi kommer att se ett stort hackattack på infrastrukturer under de kommande tio åren, eller skulle detta bara vara ett ämne för fictionfilmer?

Vi har redan sett attacker i form av Stuxnet, till exempel. Jag tror inte att vi kan ta bort hotet för större attacker från möjligheten.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe på BIU, 2 maj 2016

TLS: Past, Present, Future från vpnMentor

Automatiserad analys av TLS 1.3 från vpnMentor

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me