Onderhoud met die navorser Thyla Van Der Merwe oor TLS en aanlyn privaatheid


Thyla van der Merwe het ‘n BCom in Wiskunde, Statistiek en Ekonomie, ‘n BSc (Hons) in Wiskunde en ‘n MSc in Wiskunde aan die Universiteit van Kaapstad, Suid-Afrika ontvang. Sy het ‘n gegradueerde MSc in informasiesekuriteit aan Royal Holloway, Universiteit van Londen, as ‘n FirstRand Laurie Dippenaar-geleerde. Voordat hy by Royal Holloway begin het, was Thyla vier jaar by Tellumat (PTY) Ltd as sekuriteitspesialis en sagteware-ontwikkelaar. Thyla verteenwoordig tans Suid-Afrika in die ISO / IEC JTC 1 SC 27 standaarde komitee waar haar aktiwiteite die standaardisering van kriptografiese meganismes en protokolle behels. Thyla se navorsingsbelangstellings sluit verskillende onderwerpe in teoretiese en toegepaste kriptografie in.

Transport Layer Security (TLS) is ‘n protokol wat in 1999 deur die IETF geïnisieer is om SSL te vervang vir die beveiliging van webwerf-data en ander aanlyn-inligtingkodering. Ons gebruik almal gereeld TLS terwyl ons op veilige webwerwe blaai.

vpnMentor: Wat moet ek as gemiddelde gebruiker weet op TLS??

Ons probeer gebruikers opvoed om seker te maak dat hulle ‘n TLS-verbinding het; in blaaiers soos Chrome en FireFox kan u die soekbalk nagaan om ‘n kennisgewing hieroor te sien. As u nie ‘n HTTPS-verbinding het nie, dink twee keer aan die inligting wat u op die webwerf invoer. Vermy om gebruikersnaam en wagwoord by ‘n URL wat nie HTTPS bevat nie, te plaas. Ek is nie bang om data op https-werwe in te voer nie, maar ek is bewus daarvan dat dinge verkeerd kan gaan.

TLS

Kyk of ‘n webwerf op Google Chrome beveilig is deur op die sluitikoon te klik

vpnMentor: By die keuse van ‘n VPN noem sommige VPN-aanbieders dat hulle TLS-ondersteuning het. Wat beteken dit?

Ek dink dat sommige VPN-verbindings voorsiening maak vir TLS-kanale; sommige produkte kan TLS ‘praat’ – dit maak gebruik van die geverifieerde sleuteluitruilmeganisme om ‘n veilige kanaal te bou. Die aanbieding van TLS benadeel natuurlik ook nie die bemarking nie.

vpnMentor: Eienaars van webwerwe sien soveel opsies om SSL te koop, wat belangrik is om ‘n sertifikaat te koop, is dit belangrik om by ‘n groot handelsmerk te koop?

Iets soos ‘n APACHE-bediener het TLS-opstellingsopsies. Let op watter weergawe van TLS moet implementeer, en gebruik nie RC4 nie! Daar was probleme met sekere sertifiseringsowerhede, so persoonlik sou ek by die groot handelsmerke soos Symantec en Comodo koop.

vpnMentor: Waarop konsentreer u op u navorsing??

Ons gebruik formele metode-instrumente om TLS 1.3 te ontleed om seker te maak dat dit veilig is.

vpnMentor: TLS kan ontgin word om wagwoorde te herstel. Verduidelik hoe

As RC4 in TLS gebruik word, is daar ‘n swakheid in RC4 wat ‘n aanvaller kan benut om u wagwoorde te ontbloot; die aanvaller onderskep ‘n groot aantal TLS-verbindings wat RC4 gebruik, en kan gebruik maak van vooroordele in die RC4-sleutelstroom om u wagwoord te vind.

vpnMentor: Dink u dat superkrag-organisasies soos Amazon en Google RSA kan hack deur hul hulpbronne te gebruik? Vrees u vir so ‘n scenario??

Ek is bekommerd oor verskillende dinge oor wat groot organisasies kan doen, maar ek hoop dat hulle nie die mag wat hulle het, sal misbruik nie.

vpnMentor: Wat doen u persoonlik om u privaatheid aanlyn te beskerm?

Ek sorg dat ek goeie wagwoorde kies, ek draai dit elke nou en dan om. Ek het ‘n stelsel, so ek gebruik baie verskillende wagwoorde vir verskillende webwerwe en nie ‘een vir almal’ nie. Ek probeer ook bewus wees daarvan as ek aan ‘n veilige verbinding werk of nie. Soms gebruik ek ‘n VPN, maar nie gereeld nie. Hoofsaaklik as ek aan my kampusnetwerk moet skakel (ek gebruik die F5 VPN-kliënt). Ek lees ook eintlik die waarskuwingsboodskappe van my blaaier!

vpnMentor: Wat is u mening oor die vind van die regte balans tussen die behoud van privaatheidsregte en die bekamping van wêreldwye terrorisme?

Ek val aan die kant van die argument dat mense die reg op privaatheid het. Vir my is dit die belangrikste ding. Ek waardeer dat daar bedreigings is wat aangespreek moet word, maar die koste van gebruikers se privaatheid is miskien te hoog om te betaal.

vpnMentor: Na u mening sal ons ‘n groot aanval op infrastruktuur in die volgende tien jaar sien, of sou dit slegs ‘n onderwerp wees vir fiksiefilms?

Wel, ons het byvoorbeeld al aanvalle in die vorm van Stuxnet gesien. Ek dink nie dat ons die bedreiging vir groot aanvalle uit die moontlikheid kan verwyder nie.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe by BIU, 02 Mei 2016

TLS: Verlede, hede, toekoms van vpnMentor

Outomatiese ontleding van TLS 1.3 van vpnMentor

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me