Cuộc phỏng vấn với nhà nghiên cứu Thyla Van Der Merwe về TLS và quyền riêng tư trực tuyến


Thyla van der Merwe đã nhận bằng BCom về Toán học, Thống kê và Kinh tế, bằng Cử nhân Toán học và bằng Thạc sĩ Toán học tại Đại học Cape Town, Nam Phi. Cô có bằng thạc sĩ về An toàn thông tin tại Royal Holloway, Đại học London với tư cách là học giả FirstRand Laurie Dippenaar. Trước khi bắt đầu tại Royal Holloway, Thyla đã dành bốn năm tại Tellumat (PTY) Ltd với tư cách là chuyên gia bảo mật và nhà phát triển phần mềm. Thyla hiện đại diện cho Nam Phi trong ủy ban tiêu chuẩn ISO / IEC JTC 1 SC 27, nơi các hoạt động của cô liên quan đến việc tiêu chuẩn hóa các cơ chế và giao thức mật mã. Lợi ích nghiên cứu của Thyla sườn bao gồm các chủ đề khác nhau trong mật mã lý thuyết và ứng dụng.

Transport Layer Security (TLS) là một giao thức do IETF khởi xướng vào năm 1999 để thay thế SSL để bảo mật dữ liệu trang web và mã hóa thông tin trực tuyến khác. Tất cả chúng ta thường xuyên sử dụng TLS trong khi lướt web trên các trang web an toàn.

vpnMentor: Tôi là người dùng bình thường cần biết gì về TLS?

Chúng tôi cố gắng giáo dục người dùng kiểm tra xem họ có kết nối TLS hay không; trong các trình duyệt như Chrome và FireFox, bạn có thể kiểm tra thanh tìm kiếm để xem thông báo về điều này. Nếu bạn không có kết nối HTTPS, hãy suy nghĩ kỹ về thông tin bạn nhập vào trang web. Tránh đặt tên người dùng và mật khẩu vào url không phải HTTPS. Tôi không ngại nhập dữ liệu vào các trang web https, nhưng tôi nhận thức được thực tế rằng mọi thứ có thể sai.

TLS

Kiểm tra xem một trang web có được bảo mật trên Google Chrome hay không, bằng cách nhấp vào biểu tượng khóa

vpnMentor: Khi chọn VPN, một số nhà cung cấp VPN đề cập rằng họ có hỗ trợ TLS. Điều đó có nghĩa là gì?

Tôi nghĩ rằng một số kết nối VPN cho phép các kênh TLS; một số sản phẩm có thể nói tiếng TLS – họ tạo ra cơ chế trao đổi khóa được xác thực để xây dựng kênh an toàn. Tất nhiên, việc cung cấp TLS cũng không làm tổn hại đến việc tiếp thị.

vpnMentor: Chủ sở hữu trang web thấy rất nhiều tùy chọn để mua SSL, điều quan trọng khi mua chứng chỉ, điều quan trọng là phải mua từ một thương hiệu lớn?

Một cái gì đó giống như một máy chủ APACHE sẽ đi kèm với các tùy chọn cấu hình TLS. Lưu ý phiên bản nào của TLS để thực hiện và không nên sử dụng RC4! Đã có vấn đề với các cơ quan chứng nhận nhất định, vì vậy cá nhân tôi sẽ mua từ các thương hiệu lớn như Symantec và Comodo.

vpnMentor: Bạn tập trung vào nghiên cứu gì?

Chúng tôi đang sử dụng các công cụ phương thức chính thức để phân tích TLS 1.3, để đảm bảo rằng nó an toàn.

vpnMentor: TLS có thể được khai thác để khôi phục mật khẩu. Hãy giải thích làm thế nào

Khi RC4 được sử dụng trong TLS, có một điểm yếu trong RC4 là kẻ tấn công có thể khai thác để khám phá mật khẩu của bạn; Kẻ tấn công chặn một số lượng lớn các kết nối TLS sử dụng RC4 và có thể sử dụng các sai lệch trong dòng khóa RC4 để tìm mật khẩu của bạn.

vpnMentor: Bạn có nghĩ rằng các tổ chức siêu quyền lực như Amazon và Google có thể hack RSA bằng tài nguyên của họ không? Bạn có sợ kịch bản như vậy không?

Tôi đã lo lắng về một số điều về các tổ chức lớn có thể làm được nhưng hy vọng của tôi là họ đã thắng được lạm dụng sức mạnh mà họ có.

vpnMentor: Cá nhân bạn làm gì để bảo vệ quyền riêng tư trực tuyến của mình?

Tôi chắc chắn chọn mật khẩu tốt, thỉnh thoảng tôi xoay chúng. Tôi có một hệ thống vì vậy tôi sử dụng nhiều mật khẩu khác nhau cho các trang web khác nhau và không phải là một mật khẩu cho tất cả các loại. Tôi cũng cố gắng để ý khi tôi đang làm việc trên một kết nối an toàn hay không. Đôi khi, tôi sử dụng VPN nhưng không thường xuyên. Chủ yếu là khi tôi cần kết nối với mạng của trường (tôi sử dụng máy khách F5 VPN). Tôi cũng thực sự đọc các tin nhắn cảnh báo của trình duyệt của tôi!

vpnMentor: Ý kiến ​​của bạn về việc tìm kiếm sự cân bằng đúng đắn trong việc giữ quyền riêng tư và chống khủng bố toàn cầu?

Tôi đứng về phía tranh luận rằng mọi người có quyền riêng tư. Đối với tôi đây là điều quan trọng nhất. Tôi đánh giá cao có những mối đe dọa cần được giải quyết, nhưng chi phí riêng tư của người dùng có lẽ là một cái giá quá cao để trả.

vpnMentor: Theo ý kiến ​​của bạn, chúng tôi sẽ thấy một cuộc tấn công hack lớn vào cơ sở hạ tầng trong 10 năm tới, hoặc điều này sẽ chỉ là một chủ đề cho phim viễn tưởng?

Chà, chẳng hạn, chúng tôi đã thấy các cuộc tấn công dưới dạng Stuxnet. Tôi không nghĩ rằng chúng ta có thể loại bỏ mối đe dọa cho các cuộc tấn công lớn từ vương quốc.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe tại BIU, ngày 02 tháng 5 năm 2016

TLS: Quá khứ, hiện tại, tương lai từ vpnMentor

Phân tích tự động của TLS 1.3 từ vpnMentor

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me

    Like this post? Please share to your friends:
    Adblock
    detector
    map