สัมภาษณ์นักวิจัย Thyla Van Der Merwe เกี่ยวกับ TLS และความเป็นส่วนตัวออนไลน์

Thyla van der Merwe ได้รับ BCom ในวิชาคณิตศาสตร์สถิติและเศรษฐศาสตร์, BSc (Hons) ในวิชาคณิตศาสตร์และ MSc ในวิชาคณิตศาสตร์จากมหาวิทยาลัยเคปทาวน์, แอฟริกาใต้ เธอสำเร็จการศึกษาระดับปริญญาโทด้านความปลอดภัยข้อมูลที่ Royal Holloway มหาวิทยาลัยลอนดอนในฐานะนักวิชาการ FirstRand Laurie Dippenaar ก่อนที่จะเริ่มที่ Royal Holloway, Thyla ใช้เวลาสี่ปีที่ Tellumat (PTY) Ltd ในฐานะผู้เชี่ยวชาญด้านความปลอดภัยและผู้พัฒนาซอฟต์แวร์ ปัจจุบัน Thyla เป็นตัวแทนของแอฟริกาใต้ในคณะกรรมการมาตรฐาน ISO / IEC JTC 1 SC 27 ซึ่งกิจกรรมของเธอเกี่ยวข้องกับการสร้างมาตรฐานของกลไกการเข้ารหัสและโปรโตคอล ความสนใจด้านการวิจัยของ Thyla รวมถึงหัวข้อต่าง ๆ ในการเข้ารหัสเชิงทฤษฎีและประยุกต์.

Transport Layer Security (TLS) เป็นโปรโตคอลที่ริเริ่มโดย IETF ในปี 1999 เพื่อแทนที่ SSL สำหรับการรักษาความปลอดภัยข้อมูลเว็บไซต์และการเข้ารหัสข้อมูลออนไลน์อื่น ๆ เราทุกคนใช้ TLS เป็นประจำในขณะที่ท่องเว็บบนเว็บไซต์ที่ปลอดภัย.

vpnMentor: ฉันต้องทำอะไรในฐานะผู้ใช้โดยเฉลี่ยที่ต้องรู้เกี่ยวกับ TLS?

เราพยายามให้ความรู้แก่ผู้ใช้เพื่อตรวจสอบว่าพวกเขามีการเชื่อมต่อ TLS; ในเบราว์เซอร์เช่น Chrome และ FireFox คุณสามารถตรวจสอบแถบค้นหาเพื่อดูการแจ้งเตือนเกี่ยวกับสิ่งนี้ หากคุณไม่มีการเชื่อมต่อ HTTPS ให้คิดสองครั้งเกี่ยวกับข้อมูลที่คุณป้อนในไซต์ หลีกเลี่ยงการใส่ชื่อผู้ใช้และรหัสผ่านใน URL ที่ไม่ใช่ HTTPS ฉันไม่กลัวที่จะป้อนข้อมูลลงในเว็บไซต์ https แต่ฉันตระหนักถึงความจริงที่ว่าสิ่งต่าง ๆ อาจผิดพลาดได้.

TLS

ตรวจสอบว่าไซต์นั้นปลอดภัยบน Google Chrome หรือไม่โดยคลิกที่ไอคอนล็อค

vpnMentor: เมื่อเลือก VPN ผู้ให้บริการ VPN บางรายพูดถึงว่าพวกเขามีการสนับสนุน TLS สิ่งนี้หมายความว่า?

ฉันคิดว่าการเชื่อมต่อ VPN บางอย่างอนุญาตให้ใช้กับแชนเนล TLS ผลิตภัณฑ์บางอย่างอาจ ‘พูด’ TLS – พวกเขาทำจากกลไกการแลกเปลี่ยนคีย์ที่รับรองความถูกต้องเพื่อสร้างช่องทางที่ปลอดภัย แน่นอนว่าการให้บริการ TLS นั้นไม่ได้กระทบการตลาดเช่นกัน.

vpnMentor: เจ้าของเว็บไซต์เห็นตัวเลือกมากมายสำหรับการซื้อ SSL สิ่งที่สำคัญเมื่อซื้อใบรับรองเป็นสิ่งสำคัญที่ต้องซื้อจากแบรนด์ใหญ่?

บางอย่างเช่นเซิร์ฟเวอร์ APACHE จะมาพร้อมกับตัวเลือกการกำหนดค่า TLS สังเกตว่า TLS เวอร์ชันใดที่ต้องนำไปใช้และอย่าใช้ RC4! มีปัญหากับหน่วยงานออกใบรับรองบางแห่งดังนั้นโดยส่วนตัวฉันจะซื้อจากแบรนด์ดังอย่าง Symantec และ Comodo.

vpnMentor: สิ่งใดที่คุณให้ความสำคัญกับการวิจัยของคุณ?

เราใช้เครื่องมือวิธีการที่เป็นทางการในการวิเคราะห์ TLS 1.3 เพื่อให้แน่ใจว่าปลอดภัย.

vpnMentor: TLS สามารถใช้ประโยชน์ในการกู้คืนรหัสผ่าน โปรดอธิบายวิธีการ

เมื่อใช้ RC4 ใน TLS มีจุดอ่อนใน RC4 ที่ผู้โจมตีสามารถใช้เพื่อเปิดเผยรหัสผ่านของคุณได้ ผู้โจมตีดักการเชื่อมต่อ TLS จำนวนมากที่ใช้ RC4 และสามารถใช้อคติใน RC4 keystream เพื่อค้นหารหัสผ่านของคุณ.

vpnMentor: คุณคิดว่าองค์กรพลังพิเศษอย่าง Amazon และ Google สามารถแฮ็ค RSA โดยใช้ทรัพยากรของพวกเขาหรือไม่? คุณกลัวสถานการณ์ดังกล่าวหรือไม่?

ฉันกังวลเกี่ยวกับหลายสิ่งเกี่ยวกับองค์กรขนาดใหญ่ที่สามารถทำได้ แต่ความหวังของฉันคือพวกเขาจะไม่ใช้อำนาจที่พวกเขามี.

vpnMentor: คุณทำอะไรเป็นการส่วนตัวเพื่อปกป้องความเป็นส่วนตัวออนไลน์ของคุณ?

ฉันแน่ใจว่าจะเลือกรหัสผ่านที่ดีฉันหมุนมันทุกครั้ง ฉันมีระบบดังนั้นฉันจึงใช้รหัสผ่านที่แตกต่างกันมากมายสำหรับเว็บไซต์ที่แตกต่างกันและไม่ใช่ “หนึ่งเดียวสำหรับทุกคน” ฉันก็พยายามที่จะระวังเมื่อฉันทำงานกับการเชื่อมต่อที่ปลอดภัยหรือไม่ บางครั้งฉันใช้ VPN แต่ไม่บ่อยครั้ง ส่วนใหญ่เมื่อฉันต้องการเชื่อมต่อกับเครือข่ายมหาวิทยาลัยของฉัน (ฉันใช้ไคลเอนต์ F5 VPN) ฉันยังอ่านข้อความเตือนของเบราว์เซอร์ของฉันด้วย!

vpnMentor: คุณมีความเห็นอย่างไรกับการหาสมดุลที่เหมาะสมในการรักษาสิทธิส่วนบุคคลและต่อสู้กับการก่อการร้ายทั่วโลก?

ฉันตกหลุมด้านการโต้แย้งว่าผู้คนมีสิทธิในความเป็นส่วนตัว สำหรับฉันนี่คือสิ่งที่สำคัญที่สุด ฉันขอขอบคุณที่มีภัยคุกคามที่จำเป็นต้องได้รับการแก้ไข แต่ค่าใช้จ่ายของความเป็นส่วนตัวของผู้ใช้อาจสูงเกินกว่าที่จะจ่ายได้.

vpnMentor: ในความเห็นของคุณเราจะเห็นการโจมตีการแฮ็คครั้งใหญ่ในโครงสร้างพื้นฐานในอีก 10 ปีข้างหน้าหรือจะเป็นเรื่องของภาพยนตร์นิยายเท่านั้น?

เราได้เห็นการโจมตีในรูปแบบของ Stuxnet แล้ว ฉันไม่คิดว่าเราจะสามารถกำจัดการคุกคามที่สำคัญสำหรับการโจมตีครั้งใหญ่จากขอบเขตของความเป็นไปได้.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe ที่ BIU, 02 พฤษภาคม 2016

TLS: อดีตปัจจุบันอนาคต จาก vpnMentor

การวิเคราะห์อัตโนมัติของ TLS 1.3 จาก vpnMentor