Intervju med forsker Thyla Van Der Merwe om TLS og online personvern


Thyla van der Merwe fikk en BCom i matematikk, statistikk og økonomi, en BSc (Hons) i matematikk og en MSc i matematikk fra University of Cape Town, Sør-Afrika. Hun har en utdannet siviløkonom i informasjonssikkerhet ved Royal Holloway, University of London som FirstRand Laurie Dippenaar-stipendiat. Før hun startet på Royal Holloway, tilbrakte Thyla fire år hos Tellumat (PTY) Ltd som sikkerhetsspesialist og programvareutvikler. Thyla representerer for tiden Sør-Afrika i ISO / IEC JTC 1 SC 27 standardutvalget der hennes aktiviteter innebærer standardisering av kryptografiske mekanismer og protokoller. Thylas forskningsinteresser inkluderer ulike emner innen teoretisk og anvendt kryptografi.

Transport Layer Security (TLS) er en protokoll initiert av IETF i 1999 for å erstatte SSL for å sikre nettsteddata og annen online informasjonskryptering. Vi bruker alle regelmessig TLS mens vi surfer på nettet på sikre nettsteder.

vpnMentor: Hva trenger jeg som en gjennomsnittlig bruker å vite på TLS?

Vi prøver å utdanne brukere til å sjekke at de har en TLS-forbindelse; i nettlesere som Chrome og FireFox kan du sjekke søkefeltet for å se et varsel om dette. Hvis du ikke har en HTTPS-tilkobling, bør du tenke to ganger på informasjonen du legger inn på nettstedet. Unngå å sette brukernavn og passord til en url som ikke er HTTPS. Jeg er ikke redd for å legge inn data på https-nettsteder, men jeg er klar over at ting kan gå galt.

TLS

Kontroller om et nettsted er sikret på Google Chrome ved å klikke på låseikonet

vpnMentor: Når du velger en VPN, nevner noen VPN-leverandører at de har TLS-støtte. Hva betyr dette?

Jeg tror at noen VPN-tilkoblinger gir mulighet for TLS-kanaler; Noen produkter kan "snakke" TLS - de lager av den autentiserte utvekslingsmekanismen for å konstruere en sikker kanal. Å tilby TLS skader selvfølgelig ikke markedsføringen.

vpnMentor: Eiere av nettsteder ser så mange muligheter for å kjøpe SSL, hva som er viktig når du kjøper et sertifikat, er det viktig å kjøpe fra et stort merke?

Noe som en APACHE-server kommer med TLS-konfigurasjonsalternativer. Legg merke til hvilken versjon av TLS som skal implementeres, og bruk ikke RC4! Det har vært problemer med visse sertifiseringsinstanser, så personlig ville jeg kjøpe fra de store merkene som Symantec og Comodo.

vpnMentor: Hva fokuserer du på forskningen din?

Vi bruker formelle metodeverktøy for å analysere TLS 1.3, for å sikre at det er sikkert.

vpnMentor: TLS kan utnyttes til å gjenopprette passord. Vennligst forklar hvordan

Når RC4 brukes i TLS, er det en svakhet i RC4 som en angriper kan utnytte for å avdekke passordene dine; angriperen avskjærer et stort antall TLS-tilkoblinger som bruker RC4, og kan benytte skjevheter i RC4-nøkkelstrømmen for å finne passordet ditt.

vpnMentor: Tror du at supermaktorganisasjoner som Amazon og Google kan hacke RSA ved å bruke ressursene sine? Frykter du for et slikt scenario?

Jeg er bekymret for flere ting om at store organisasjoner kan være i stand til å gjøre, men jeg håper at de ikke misbruker kraften kraften de har.

vpnMentor: Hva gjør du personlig for å beskytte personvernet ditt på nettet?

Jeg sørger for å velge gode passord, jeg roterer dem innimellom. Jeg har et system, så jeg bruker mange forskjellige passord for forskjellige nettsteder og ikke "ett for alle". Jeg prøver også å være oppmerksom når jeg jobber med en sikker tilkobling eller ikke. Noen ganger bruker jeg VPN, men ikke ofte. Hovedsakelig når jeg trenger å koble meg til campus-nettverket (jeg bruker F5 VPN-klienten). Jeg har også lest advarsler i nettleseren min!

vpnMentor: Hva er din mening om å finne den rette balansen mellom å beholde personvernrettigheter og bekjempe global terrorisme?

Jeg faller på siden av argumentet om at mennesker har rett til privatliv. For meg er dette det viktigste. Jeg setter pris på at det er trusler som må løses, men kostnadene for brukernes personvern er kanskje for høy pris til å betale.

vpnMentor: Etter din mening vil vi se et stort hackingangrep på infrastrukturer i løpet av de neste 10 årene, eller ville dette bare være et tema for skjønnlitterære filmer?

Vel, vi har allerede sett angrep i form av Stuxnet, for eksempel. Jeg tror ikke at vi kan fjerne trusselen om større angrep fra muligheten.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe ved BIU, 2. mai 2016

TLS: Fortid, nåtid, fremtid fra vpnMentor

Automatisert analyse av TLS 1.3 fra vpnMentor

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me