Viðtal við rannsóknarmanninn Thyla Van Der Merwe um TLS og persónuvernd á netinu


Thyla van der Merwe hlaut BCom í stærðfræði, tölfræði og hagfræði, BSc (Hons) í stærðfræði og MSc í stærðfræði frá Háskólanum í Höfðaborg, Suður-Afríku. Hún er með framhaldsnám í upplýsingaöryggi við Royal Holloway, háskólann í London, sem FirstRand Laurie Dippenaar fræðimaður. Áður en Thyla hóf störf hjá Royal Holloway dvaldi fjögur ár hjá Tellumat (PTY) Ltd sem öryggissérfræðingur og hugbúnaðarframleiðandi. Thyla er nú fulltrúi Suður-Afríku í ISO / IEC JTC 1 SC 27 staðla nefndinni þar sem starfsemi hennar felur í sér stöðlun á dulmálsferlum og samskiptareglum. Rannsóknaráhugamál Thylu fela í sér ýmis efni í fræðilegu og hagnýtu dulmál.

Transport Layer Security (TLS) er siðareglur sem IETF hóf árið 1999 til að koma í stað SSL til að tryggja vefsíðugögn og annan dulkóðun á netinu. Við notum öll reglulega TLS meðan vafrað er á vefnum á öruggum vefsíðum.

vpnMentor: Hvað þarf ég sem meðalnotandi að vita um TLS?

Við reynum að fræða notendur til að athuga hvort þeir séu með TLS tengingu; í vöfrum eins og Chrome og FireFox geturðu skoðað leitarstikuna til að sjá tilkynningu um þetta. Ef þú ert ekki með HTTPS tengingu, hugsaðu þér tvisvar um upplýsingarnar sem þú færir inn á vefinn. Forðist að setja notandanafn og lykilorð á slóðina sem ekki er HTTPS. Ég er ekki hræddur við að setja inn gögn á https síður, en ég er meðvitaður um þá staðreynd að hlutirnir geta farið úrskeiðis.

TLS

Athugaðu hvort vefur sé öruggur á Google Chrome með því að smella á læsitáknið

vpnMentor: Þegar þeir velja sér VPN nefna sumir VPN veitendur að þeir séu með TLS stuðning. Hvað þýðir þetta?

Ég held að sumar VPN-tengingar geri ráð fyrir TLS rásum; sumar vörur geta „talað“ TLS – þær búa til staðfestan lykilskiptakerfi til að smíða örugga rás. Að bjóða TLS skaðar auðvitað ekki markaðssetninguna.

vpnMentor: Eigendur vefsíðna sjá svo marga möguleika til að kaupa SSL, það sem er mikilvægt þegar þeir kaupa skírteini, það er mikilvægt að kaupa af stóru vörumerki?

Eitthvað eins og APACHE netþjónn verður með TLS stillingarvalkosti. Athugaðu hvaða útgáfu TLS á að útfæra og ekki nota RC4! Það hafa komið upp vandamál hjá tilteknum vottunaryfirvöldum, svo persónulega myndi ég kaupa af stóru vörumerkjunum eins og Symantec og Comodo.

vpnMentor: Hvað leggur þú áherslu á rannsóknir þínar??

Við notum formleg verkfæratæki til að greina TLS 1.3, til að tryggja að það sé öruggt.

vpnMentor: TLS er hægt að nýta til að endurheimta lykilorð. Vinsamlegast útskýrið hvernig

Þegar RC4 er notað í TLS er veikleiki í RC4 sem árásarmaður getur nýtt sér til að afhjúpa lykilorð þín; árásarmaðurinn sker sig á fjölda TLS-tenginga sem nota RC4 og getur notað hlutdrægni í RC4 lykilrásinni til að finna lykilorðið þitt.

vpnMentor: Telur þú að stórveldissamtök eins og Amazon og Google geti hakkað RSA með auðlindum sínum? Óttast þú fyrir svona atburðarás?

Ég hef áhyggjur af nokkrum hlutum vegna þess að stórar stofnanir gætu gert en von mín er sú að þau misnoti ekki kraftinn sem þeir hafa.

vpnMentor: Hvað gerir þú persónulega til að vernda friðhelgi þína á netinu?

Ég passa að velja góð lykilorð, ég snúa þeim öðru hvoru í einu. Ég er með kerfi svo ég nota mörg mismunandi lykilorð fyrir mismunandi síður en ekki „eitt fyrir alla“. Ég reyni líka að vera meðvitaður þegar ég er að vinna í öruggri tengingu eða ekki. Stundum nota ég VPN en ekki oft. Aðallega þegar ég þarf að tengjast háskólasvæðakerfinu mínu (ég nota F5 VPN viðskiptavininn). Ég les reyndar líka viðvörunarskilaboð vafrans míns!

vpnMentor: Hver er þín skoðun á því að finna réttan jafnvægi við að halda friðhelgi einkalífs og berjast gegn allsherjar hryðjuverkum?

Ég fell við hlið rökræðunnar um að fólk eigi rétt á friðhelgi einkalífsins. Fyrir mig er þetta það mikilvægasta. Ég þakka að það eru hótanir sem þarf að taka á, en kostnaðurinn við friðhelgi notenda er kannski of hátt verð til að greiða.

vpnMentor: Að þínu mati munum við sjá mikil árás á innviði á næstu 10 árum, eða myndi þetta aðeins vera efni fyrir skáldskaparmyndir?

Jæja, við höfum þegar séð árásir í formi Stuxnet, til dæmis. Ég held ekki að við getum fjarlægt ógnina vegna meiriháttar árása frá ríkjum möguleikans.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe við BIU, 2. maí 2016

TLS: fortíð, nútíð, framtíð frá vpnMentor

Sjálfvirk greining TLS 1.3 frá vpnMentor

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me

    Like this post? Please share to your friends:
    Adblock
    detector
    map