Šifravimas yra pagrindinė VPN technologijos dalis. Šiame vadove mes išskaidome, kaip veikia VPN šifravimas ir kaip jis apsaugo jus.

VPN šifravimo vadovas

Kas iš tikrųjų yra šifravimas?

Šifravimas yra duomenų kodavimo procesas, kad tik prieigą turintys asmenys galėtų prie jo prieiti, užkertant kelią kitiems.

Tai procesas, kurio metu keičiamos raidės ir skaičiai, todėl pranešimai atrodo niūrūs, nebent juos atkoduojate teisingai - šis procesas yra žinomas kaip „šifras“..

Turint omenyje šiuolaikinių kompiuterių apdorojimo galią, bet kokį šifrą, kurį galėtų sugalvoti žmogus, būtų per daug lengva sugadinti.

Galingi matematiniai algoritmai dabar naudojami kuriant skirtingus šifravimo metodus, taip pat slaptus šifrus, reikalingus jiems iššifruoti..

VPN paslaugos naudoja šifravimą, kad sukurtų saugų ryšį (VPN tunelis) tarp jūsų įrenginio ir VPN serverio, išlaikydami jūsų interneto duomenis privačius iš savo IPT, įsilaužėlių ir kitų šnipinėjančių trečiųjų šalių..

Šiame vadove sužinosite viską apie šifrus ir VPN protokolus bei sužinosite, kurie yra geriausi ir saugiausi naudoti.

Mes viską suskaidysime į paprastą anglų kalbą ir paaiškinsime visą žargoną paprastais žodžiais, kad galėtumėte geriau suprasti VPN šifravimą ir visa tai, kas su juo susijusi..

Šifravimo žodynėlis

Šifruotų duomenų ekrano kopija juodame fone

Pradėkime apibrėždami keletą svarbių terminų, kuriuos naudojame kalbėdami apie šifravimą:

Terminas
Apibrėžimas
Algoritmas Instrukcijų rinkinys, kurio reikia laikytis (naudojant programinę įrangą), norint išspręsti problemą. Šifras yra šifravimo arba iššifravimo algoritmas.
Autentifikavimas Vartotojo tapatybės patvirtinimo ir patvirtinimo procesas.
Šiek tiek Trumpai tariant, „dvejetainis skaitmuo“, tai yra mažiausias kompiuterio duomenų vienetas.
Blokuoti Fiksuoto ilgio bitų grupė (pvz., 64 bitai)
Bloko dydis Maksimalus bitų grupės ilgis.
Brutaliųjų pajėgų puolimas Metodas, leidžiantis bandyti atspėti paslaptį, bandant kiekvieną įmanomą simbolių derinį. Tai yra grubios, išsamios pastangos, o ne sudėtingesnės ar strateginės. Įsivaizduokite, kad negalite atidaryti spynos spynos - užuot bandę atsiminti kodą, prievarta bandydami bandyti kiekvieną kombinaciją nuo 000 iki 999, kol ji atsidarys.
Šifras Šifravimo ir iššifravimo algoritmas.
Kriptografija Kodo rašymo ir sprendimo būdas sukurti saugius pranešimus, sukurtas taip, kad tik numatytos šalys galėtų jį apdoroti ir skaityti.
Šifravimas Duomenų konvertavimo į kodą procesas siekiant užkirsti kelią neteisėtai prieigai prie jo.
Užkarda Programinė įranga, kuri stebi ir valdo iš tinklo gaunamų ar išeinančių duomenų paketus. Greičiausiai būsite susipažinę su darbalaukio ar nešiojamojo kompiuterio įrenginiu, kuris yra skirtas saugotis įsilaužėlių ir virusų.
Rankos paspaudimas Procesas, kuris inicijuoja ryšį tarp dviejų kompiuterių - kaip rodo jo pavadinimas, tai sveikinimas, nustatantis bendravimo taisykles.
HTTPS Tai reiškia „saugų hiperteksto perdavimo protokolą“, tačiau niekas to niekada nevadina. Tai yra saugi HTTP versija, protokolas, kuris yra žiniatinklio pagrindas, ir naudojamas užtikrinti ryšį tarp įrenginių ir svetainių, kad jų tapatybė būtų autentifikuota, privati ​​ir saugi..
Branduolys Operacinės sistemos pagrindas. Kompiuteryje jis kontroliuoja kompiuterio ir jo aparatinės įrangos darbą.
Raktas Bitų eilutė, naudojama šifru, kad „paprastą tekstą“ (nešifruotą informaciją) paverstų šifruotu tekstu (užšifruota informacija) ir atvirkščiai. Rakto ilgis gali būti įvairus - paprastai, kuo jis ilgesnis, tuo ilgiau reiktų jį nulaužti.
Paketas Paketas yra duomenų vienetas, nukreiptas tarp kilmės ir paskirties vietos tinkle ir kurį sudaro antraštė, naudingoji apkrova (jūsų duomenys) ir priekaba, paprastai tam tikro rinkinio dydžio, atitinkančio tinklo MTU (maksimalus dydis). Transmisijos bloko) dydis. Kai duomenis reikia siųsti per tinklą, jei jie yra didesni už paketą, gali reikėti suskaidyti į kelis duomenų paketus, kurie tada siunčiami atskirai, o duomenys vėl surenkami paskirties vietoje.
Uostas Lygiai taip pat, kaip valtis prieplauka prie fizinio uosto, skaičiavimo uostai rodo komunikacijos „baigtį“. Visa jūsų įrenginį pasiekianti informacija tai daro per prievadą.
Protokolas Taisyklių rinkinys, naudojamas derėtis dėl ryšio tarp VPN kliento ir VPN serverio. Kai kurie yra sudėtingesni ar saugesni nei kiti - „OpenVPN“ ir „IKEv2“ yra populiarūs pasirinkimai.

Šifravimo žodynėlis

Dabar mes žinome, ką reiškia terminai, atėjo laikas paaiškinti, kas yra šifravimas ir ką jis daro išsamiau.

Šifravimo tipai

Dviejų klavišų, esančių vienas ant kito, iliustracija šviesiai mėlyname fone

Yra du šifravimo tipai: simetrinis ir asimetrinis.

Simetrinio rakto šifravimas

Simetrinio rakto šifravimas yra toks, kai duomenų šifravimui ir iššifravimui tvarkyti naudojamas tik vienas raktas.

Abiejų šalių bendravimui reikalingas tas pats raktas. Tai yra šifravimo rūšis, naudojama VPN technologijoje.

Šiuolaikinių kompiuterių galia reiškia, kad raktai turėjo būti vis ilgesni, kad būtų užkirstas kelias žiaurios jėgos išpuoliams (kiekviename derinyje bandoma surasti tinkamą raktą)..

Dabartinis aukso standartas yra 256 bitų raktas, kuris negali būti priverstinis, nes norint atlikti visus įmanomus derinius, naudojant šiandien prieinamus kompiuterius, prireiks milijardų metų.

Asimetrinis šifravimas

Su asimetrine kriptografija (arba viešojo rakto kriptografija) kiekvienas dalyvis, norintis saugiai bendrauti, naudoja programinę įrangą viešajam raktui ir atitinkamam privačiam raktui generuoti..

Paimkime du žmones: asmenį A ir asmenį B

Kai asmuo A nori nusiųsti saugų pranešimą asmeniui B, asmens B viešasis raktas naudojamas šifruje, kad paprastą tekstinį pranešimą konvertuotų į užšifruotą pranešimą..

Užšifruotas pranešimas gali keliauti iš A į B per įvairias kitas šalis (C, D, E ir F asmenis), bet kas bandys perskaityti pranešimą matys tik užšifruotą tekstą.

Kai asmuo B gauna užšifruotą pranešimą, jis naudoja savo asmeninį raktą iššifruoto pranešimo iššifravimui atgal į paprastą tekstą.

Pavyzdžiui, šia sistema vis dažniau naudojasi žurnalistai, kurie skelbia viešą raktą savo socialinės žiniasklaidos profiliuose, norėdami išsiųsti šaltinius, kad galėtų siųsti žinutes, kurias galima iššifruoti tik naudojant žurnalisto privatųjį raktą..

Labiausiai žinoma tokia sistema yra „Pretty Good Privacy“ (PGP). Yra daugybė skirtingų programinės įrangos įrankių, naudojančių OpenPGP, atvirojo kodo versiją.

Viešojo rakto šifravimas naudojamas TLS paspaudimo metu, kad būtų galima saugiai pasidalinti simetriniu raktu tarp kliento ir serverio.

SSL & TLS

TLS / SSL yra šifravimas, kurį dauguma iš mūsų patyrė naršydami internete saugioje svetainėje, kurioje naudojamas HTTPS.

Sužinosite, kai svetainė naudoja HTTPS, pagal spynos simbolį naršyklės adresų juostoje.

Čia naudojamas saugos protokolas yra TLS („Transport Layer Security“), pagrįstas jo pirmtaku „Secure Sockets Layer“ (SSL 3.0 versija)..

Norėdami apsaugoti jūsų duomenis, TLS naudoja viešojo rakto ir simetrinio šifravimo derinį.

TLS paspaudimo metu jūsų naršyklė naudoja asimetrinį šifravimą, kad susisiektų su saugaus puslapio serveriu ir saugiai sugeneruotų simetrinį raktą..

Tada jis naudojamas šifruoti duomenis, kurie perduodami iš jūsų naršyklės į serverį.

Sukurti simetrinį raktą yra daug efektyviau nei naudoti asimetrinius raktus visam duomenų perdavimui.

Taip yra todėl, kad asimetriniam šifravimui reikia neįtikėtinai daugiau skaičiavimo galios, norint užšifruoti ir iššifruoti visus reikiamus duomenis, palyginti su simetrinio rakto naudojimu.

Todėl galima sakyti, kad simetrinis rakto šifravimas yra greitesnis šifravimo metodas.

Nors tai, kas išdėstyta aukščiau, sukuria saugų šifravimą, kiekviena serverio sukurta saugi sesija yra iššifruojama naudojant serverio privatųjį raktą..

Jei kada nors bus pažeistas tas privatusis raktas, pavogtas privatusis raktas gali būti naudojamas iššifruoti bet kurią saugią sesiją tame serveryje, buvusią ar esamą..

Norėdami to išvengti, HTTPS ir OpenVPN jungtys dabar paprastai nustatomos naudojant „Perfect Forward Secrecy“, naudojant algoritmą, pavadintą Diffie-Hellman Key Exchange, kuris sukuria simetrinį raktą..

Tai gali atrodyti painu, tačiau viskas, ką iš tikrųjų reikia suprasti, yra tai, kad tai yra saugesnis kelias, nes simetrinis raktas niekada nekeičiamas per ryšį, o sukuriamas atskirai tiek serverio, tiek interneto naršyklės..

Naršyklė sugeneruoja laikiną asmeninį raktą ir atitinkamą viešąjį raktą.

Simetrinis TLS seanso raktas yra pagrįstas algoritmo, veikiančio privačiu įrenginio raktu (pvz., Serveriu), ir kito įrenginio (pvz., Jūsų naršyklės) viešuoju raktu, išvestimi..

Dėl išgalvotų šio algoritmo matematinių savybių ir tam tikros techninės magijos, šio proceso sugeneruotas raktas sutaps tiek serveryje, tiek naršyklėje..

Tai reiškia, kad jei trečioji šalis, tokia kaip jūsų interneto paslaugų teikėjas, ar vyriausybė saugo jūsų užšifruotus ankstesnių sesijų duomenis, o privatus raktas yra kitaip pažeistas arba pavogtas, jie negalės iššifruoti tų duomenų.

„ExpressVPN“ yra viena VPN paslauga, kuri naudoja tobulos persiuntimo slaptumą, kiekvieną kartą jungdamasi per derybas dėl naujo privataus rakto ir kas 60 minučių, kai naudojamas VPN ryšys..

„ExpressVPN“ iliustruoja, kaip programa naudoja viešuosius raktus

Ši „ExpressVPN“ iliustracija parodo, kaip VPN programa naudoja serverio viešąjį raktą simetrinių raktų porai gaminti, naudodama asimetrinį šifravimą..

Dabar, kai paaiškinome skirtingus galimus šifravimo būdus, pakalbėkime apie skirtingus galimus VPN protokolus.

VPN protokolai

Kas yra VPN protokolas?

VPN protokolai parodo procesus ir instrukcijų rinkinius (arba taisykles), kurių VPT klientai naudojasi norėdami perduoti saugius ryšius tarp įrenginio ir VPN serverio..

VPN protokolai sudaromi iš perdavimo protokolų ir šifravimo standartų derinio.

Kurie šiuo metu galimi VPN protokolai?

Čia yra pagrindiniai VPN tuneliavimo protokolai, apie kuriuos turite žinoti:

„OpenVPN“ - labai saugus ir greitas

„OpenVPN“ logotipas

„OpenVPN“ yra aukso pramonės VPN protokolas, todėl rekomenduojame jį naudoti visada, kai tik galite.

Tai vienas saugiausių VPN protokolų, o svarbiausia yra atvirojo kodo, o tai reiškia, kad jis yra visiškai skaidrus ir toliau testuojamas bei tobulinamas viešai..

„OpenVPN“ yra labai sukonfigūruojamas ir, nors nė viena platforma jo nepalaiko savaime, dauguma VPT tiekėjų siūlo nemokamas programas, palaikančias jį..

Šios pasirinktinės VPN programos yra prieinamos daugelyje pagrindinių platformų, tokių kaip „Microsoft Windows“, „Apple MacOS“, „Android“, „Linux“ ir „iOS“.

Kai kurie teikėjai taip pat siūlo „OpenVPN“ konfigūracijos failus, tai reiškia, kad galite atsisiųsti originalų „OpenVPN“ klientą savo platformai iš https://openvpn.net/ ir naudoti jį prisijungdami prie pasirinktos VPN paslaugos.

„OpenVPN“ veikia ir UDP, ir TCP, kurie yra ryšio protokolų tipai.

TCP (Transmission Control Protocol) yra dažniausiai naudojamas ryšio protokolas internete. Siunčiami duomenys yra perduodami dalimis, paprastai sudaryti iš kelių paketų.

TCP yra skirtas perduoti duomenis „OpenVPN“ klientui tokia tvarka, kokia jie buvo išsiųsti iš „OpenVPN“ serverio (pvz., Iš „OpenVPN“ išsiųstus 1, 2, 3, 4 ir 5 paketus „OpenVPN“ klientas gauna ta pačia tvarka - 1). , 2, 3, 4, 5).

Norėdami tai padaryti, TCP gali atidėti gautų paketų, gautų per tinklą, pristatymą „OpenVPN“ klientui, kol gaus visus numatomus paketus ir pertvarkos visus ne pagal užsakymą paketus..

TCP dar kartą pareikalaus (o tada palauks, kol gaus) paketų, kurie taip pat gali būti prarasti perduodant ryšį tarp serverio ir kliento.

Šis apdorojimo ir laukimo laikas prideda VPN ryšio delsą, todėl ryšys tampa lėtesnis nei UDP.

UDP („User Datagram Protocol“) tiesiog perduoda duomenų paketus nereikalaudamas patvirtinimo apie atvykimą, o UDP paketų dydžiai yra mažesni nei TCP.

Naudojant „OpenVPN UDP“, mažesnis paketo dydis, patikrinimų trūkumas ir perorganizavimas lemia greitesnį ryšį.

Taigi, kuris yra geresnis: TCP arba UDP?

Tai priklauso nuo jūsų norimo rezultato.

Jei žaidžiant, transliuodami ar naudodamiesi VoIP paslaugomis naudojate VPN, tuomet UDP yra geriausias pasirinkimas, nes jis yra greitesnis nei TCP.

Neigiama yra tai, kad galite patirti keletą pamestų paketų, kurie, pavyzdžiui, gali reikšti, kad VOIP skambučio metu išgirsite kalbančio asmens balsą, kad jis nutrauktų dalį sekundės vidurio..

Tačiau, jei kyla ryšio problemų, turėtumėte pereiti prie TCP. TCP prievadas 443 taip pat naudingas apeinant cenzūrą, nes šis prievadas yra numatytasis HTTPS prievadas, todėl ugniasienės jį blokuoja rečiau.

Šifravimui „OpenVPN“ naudoja „OpenSSL“ biblioteką, palaikančią daugybę šifrų.

„OpenVPN“ šifravimas sudarytas iš kelių elementų: duomenų kanalo, valdymo kanalo, serverio autentifikavimo ir HMAC autentifikavimo:

  • Serverio autentifikavimas funkcijos buvo tokios pačios kaip TLS ar HTTPS. „OpenVPN“ gali naudoti sertifikatus, kad patikrintų, ar serveris, su kuriuo kalbatės, yra šifruotas.
  • valdymo kanalas yra naudojamas pradiniame etape, atliekant TLS rankos paspaudimą, kad būtų sutarta dėl šifravimo parametrų, kad būtų galima saugiai perduoti duomenis, ir kliento autentifikavimas serveryje.
  • duomenų kanalas yra sluoksnis, perduodantis informaciją iš jūsų įrenginio į „OpenVPN Server“. Šis sluoksnis užšifruotas, naudojant simetrinę šifravimo schemą, skirtą atlikti darbą, kurios raktas buvo gautas per valdymo kanalą.
  • HMAC autentifikavimas naudojamas siekiant užtikrinti, kad viduryje užpuolikas, galintis skaityti ar pakeisti duomenis realiuoju laiku, nepakeistų siunčiamų paketų..

Atminkite, kad kai kurios VPN paslaugos nenaudojamos beveik vienodame šifravimo lygyje abiejuose kanaluose.

Silpnesnio šifravimo naudojimas duomenų kanale gali būti pigi nuoroda į greitesnį ryšį, nes geresnis saugumas atsiranda greičio sąskaita..

Deja, VPT yra tik toks saugus kaip silpniausias jo elementas, todėl turėtumėte ieškoti kuo stipresnio VPN šifruodami abu kanalus..

Išsamiau apie tai pateiksime toliau pateiktuose skyriuose apie šifrus ir rankos paspaudimus.

Dabar, kai žinote, kas yra saugiausias VPN protokolas, turėtumėte žinoti, kokie yra kiti - be to, kurio venkite bet kokia kaina.

PPTP - silpna sauga, venkite

„Tuning-to-point Tunneling Protocol“ (PPTP), vienas iš seniausių iki šiol naudojamų VPN protokolų. Jį sukūrė „Microsoft“ finansuojama komanda ir išleido 1999 m.

Nepaisant pasenimo, PPTP turi tam tikrų teigiamų dalykų: jis suderinamas su beveik viskuo, jam nereikia papildomos programinės įrangos, nes jis yra integruotas į šiuolaikines operacines sistemas, ir labai greitas.

Pagrindinė problema yra ta, kad įrodyta, kad ji yra nesaugi ir lengvai nulaužiama (išpuolis paprastai užtruks nuo vienos minutės iki 24 valandų)..

Piratų, pavogusių kreditinę kortelę ir asmens tapatybę, iliustracija su kompiuterio ekrane atrakinta spynos spyna

PPTP taip pat paprasta blokuoti, nes jis remiasi GRE protokolu, kuris lengvai užkardomas.

Turėtumėte vengti naudoti šį protokolą, nebent tai absoliučiai būtina pakeisti IP adresą dėl neskelbtinų priežasčių. Manome, kad PPTP yra nesaugus.

L2TP / IPsec - saugus, tačiau gali būti lėtas

2 lygmens tuneliavimo protokolas (LT2P) pasižymi geriausiomis „Microsoft“ taško į tašką tuneliavimo protokolo (PPTP) ir „Cisco“ 2 lygmens persiuntimo protokolo (L2F) savybėmis ir yra naudojamas tuneliui tarp kliento įrenginio ir serverio sukurti tinkle..

L2TP gali tvarkyti autentifikavimą, tačiau nesuteikia jokių šifravimo galimybių.

Todėl L2TP paprastai įgyvendinamas naudojant interneto protokolo apsaugą (IPsec), kad būtų sukurti saugūs paketai, užtikrinantys duomenų autentifikavimą, vientisumą ir šifravimą..

Tai labiau žinoma kaip L2TP / IPsec, o duomenys dažniausiai šifruojami naudojant AES šifrą, apie kurį galite daugiau perskaityti čia.

Prisijungiant prie VPN serverio su L2TP / IPsec, „IPsec“ naudojamas saugiam valdymo kanalui tarp kliento ir serverio sukurti.

Duomenų paketai iš jūsų įrenginio programos (pvz., Žiniatinklio naršyklės) yra kapsuliuoti L2TP. Tada „IPSec“ šifruoja šiuos L2TP duomenis ir siunčia juos į serverį, kuris tada atlieka atvirkštinį procesą, iššifruodamas ir panaikindamas duomenis.

Kalbant apie greitį, dviguba L2TP / IPsec kapsulė (iš esmės tunelis tunelyje) turėtų būti lėtesnė nei OpenVPN..

Tačiau iš tikrųjų tai yra teoriškai greičiau, nes šifravimas ir iššifravimas vyksta branduolyje, kuris gali efektyviai apdoroti paketus su minimaliomis pridėtinėmis sąnaudomis..

Paprastai L2TP / IPsec laikomas saugiu, kai naudojamas kartu su AES šifru.

Tačiau buvo pasiūlymų, kad NSA pažeidė protokolą ir kad kuriant „IPsec“ buvo sąmoningai susilpninta.

Vis dėlto nebuvo jokio oficialaus patvirtinimo.

Pagrindinė „L2TP / IPsec“ ir jo naudojimo VPN paslaugose problema yra susijusi su tomis paslaugomis, kurios naudoja iš anksto bendrai naudojamus raktus (dar vadinamus bendro naudojimo paslaptimis), kurias galima atsisiųsti iš VPN paslaugų svetainių ir todėl prieinamas visiems.

Nors šie raktai naudojami tik ryšiui su VPN serveriais autentifikuoti, o patys duomenys lieka užšifruoti per atskirą raktą, jie atveria duris galimoms MITM („vyras viduryje“) atakoms..

Čia užpuolikas apsimetinėja VPN serveriu, kad iššifruotų srautą ir įsiklausytų į ryšį..

„L2TP / IPsec“ taip pat naudoja ribotą skaičių fiksuotų prievadų, todėl jį gana lengva blokuoti.

Nepaisant šių problemų, „LT2P“ / „IPsec“ yra tvirtas pasirinkimas, atsižvelgiant į tai, kad ją palaiko gimtoji dauguma platformų, kol nenaudojami iš anksto bendrinami raktai.

SSTP - uždaras šaltinis su potencialia rizika

Saugus lizdo tuneliavimo protokolas (SSTP) yra „Microsoft“ nuosavybės teise priklausantis protokolas, pagrįstas SSL 3.0, reiškiantis, kad jis, kaip ir „OpenVPN“, gali naudoti TCP prievadą 443.

Kadangi SSTP nėra atvirojo kodo, neįmanoma paneigti pasiūlymų dėl užpakalinių durų ar kitų pažeidžiamumų, esančių protokole..

Ši rizika žymiai atsveria naudą iš jos glaudaus integravimo į „Windows“.

Kita raudona vėliava yra ta, kad SSL 3.0 yra pažeidžiamas žmogaus vidurio puolimas, žinomas kaip POODLE.

Nepatvirtinta, ar tai paveikta SSTP, tačiau, mūsų nuomone, neverta rizikuoti.

IKEv2 / IPSec - labai greitas, saugus ir stabilus

„Internet Key Exchange 2“ versija (IKEv2) yra naujesnis VPN protokolas ir kitas uždaro kodo standartas, sukurtas bendradarbiaujant „Microsoft“ ir „Cisco“..

„IKEv2“ palaiko „iOS“, „BlackBerry“ ir „Windows 7“ bei naujesnės versijos.

Tačiau yra ir atviro kodo „IKEv2“ versijų, sukurtų „Linux“, kurios nekelia tų pačių pasitikėjimo problemų kaip patentuota versija..

Panašiai kaip „L2TP / IPsec“, „IKEv2“ naudojamas kartu su „IPsec“, kai yra VPN sprendimo dalis, tačiau siūlo daugiau funkcijų.

„IKEv2 / IPSec“ gali valdyti tinklų keitimą per vadinamąjį MOBIKE protokolą - naudinga mobiliųjų įrenginių vartotojams, linkusiems nutraukti ryšį, ir yra greitesnė, nes yra užprogramuota geriau išnaudoti pralaidumą..

„IKEv2 / IPSec“ taip pat palaiko platesnį šifravimo šifrų asortimentą nei L2TP / IPSec.

Tačiau „IKEv2“ to dažnai neišpjaustys, kai bandysite prisijungti iš labai cenzūruotos šalies. Taip yra todėl, kad IKEv2 naudoja nurodytus prievadus, kuriuos labai lengva užblokuoti Didžiajai ugniasienei.

„WireGuard“ - perspektyvus naujas protokolas

„WireGuard“ logotipas

„Wireguard“ yra naujas tuneliavimo protokolas, kurio tikslas yra greitesnis ir našesnis nei dabartinis populiariausias protokolas „OpenVPN“..

„WireGuard“ siekia išspręsti problemas, dažnai susijusias su „OpenVPN“ ir „IPsec“: būtent sudėtingą sąranką, plius atsijungimus (be papildomos konfigūracijos) ir susijusius ilgus prisijungimo laikus, kurie seka.

Nors „OpenVPN + OpenSSL“ ir „IPsec“ turi didelę kodų bazę (~ 100 000 kodo eilučių „OpenVPN“ ir 500 000 SSL) ir „IPsec“ (400 000 kodo eilučių), todėl sunku rasti trikčių, „Wireguard“ šiuo metu sveria mažiau nei 5000 eilučių. dydis.

Tačiau „Wireguard“ vis dar tobulinama.

Nors „Wireguard“ etalonai rodo, kad tai vyksta labai greitai, įgyvendinant yra problemų, dėl kurių jis gali būti netinkamas naudoti komerciniam VPT teikėjui..

Viena iš jų yra ta, kad kiekvienam vartotojui reikia priskirti neviešą IP adresą, o tai papildytų bet kurio rimto VPN vartotojo registravimo elementą..

Kodėl?

Kadangi šis neviešas IP adresas gali būti naudojamas jums identifikuoti.

Vis dėlto šiuo metu imamasi šios problemos sprendimo.

„WireGuard“ vis dar yra ankstyvosios dienos, tačiau ji vis dar neturi visiškai įrodyti, tačiau vis daugiau VPT tiekėjų prideda ją savo klientams tik bandymo tikslams, įskaitant IVPN ir AzireVPN..

Reklama IVPN svetainėje pasakoja apie „WireGuard“ įgyvendinimą

VPN protokolai suteikia pagrindą saugiam šifravimui. Dabar išsiaiškinkime, kokį vaidmenį atlieka šifrai, ir kokias šifrus galima pasirinkti.

Šifrai

Šifras iš esmės yra duomenų šifravimo ir iššifravimo algoritmas. VPN protokolai naudoja įvairius šifrus, ir šie dažniausiai naudojami:

AES

Išplėstinis šifravimo standartas (AES) yra simetrinio rakto šifras, kurį 2001 m. Nustatė JAV nacionalinis standartų ir technologijos institutas (NIST)..

Tai yra auksinis internetinių šifravimo protokolų standartas, kurį labai naudoja VPT pramonė. AES laikomas vienu saugiausių šifrų.

AES bloko dydis yra 128 bitai, o tai reiškia, kad AES gali tvarkyti didesnius failų dydžius nei kiti šifrai, pvz., „Blowfish“, kurio 64 bitų bloko dydis.

AES galima naudoti su įvairaus ilgio klavišais. Nors AES-128 vis dar laikomas saugiu, pirmenybė teikiama AES-256, nes tai suteikia didesnę apsaugą. Taip pat galima įsigyti „AES-192“.

Banko seifo iliustracija mėlyname fone

Kai jūs skaitote apie „karinio lygio“ arba „banko lygio“ šifravimą VPN tarnybos tinklalapyje, jis paprastai nurodo AES-256, kurį JAV vyriausybė naudoja slapčiausiems duomenims..

Blowfish

Blowfish yra dar viena simetrinio rakto šifra, kurią 1993 m. Sukūrė amerikiečių kriptografas Bruce'as Schneier'is.

Blowfish anksčiau buvo numatytasis šifras, naudojamas „OpenVPN“, tačiau jį daugiausia pakeitė AES-256.

Kai naudojama „Blowfish“, paprastai matysite, kad ji naudojama su 128 bitų rakto ilgiu, nors ji gali būti nuo 32 bitų iki 448 bitų..

„Blowfish“ turi tam tikrų trūkumų, įskaitant jos pažeidžiamumą dėl „gimtadienio atakų“, o tai reiškia, kad ji iš tikrųjų turėtų būti naudojama tik kaip atsarginė dalis AES-256..

Kamelija

„Camellia“ taip pat yra simetrinio rakto šifras ir saugumo bei greičio atžvilgiu yra labai panaši į AES..

Pagrindinis skirtumas yra tas, kad „Camellia“ nėra sertifikuota NIST, JAV organizacijos, sukūrusios AES.

Nors yra argumentų naudoti šifrą, nesusietą su JAV vyriausybe, jis retai pasiekiamas VPN programinėje įrangoje, taip pat jis nebuvo taip nuodugniai išbandytas kaip AES..

„VPN Handshake“

Dviejų rankų drebančių rankų iliustracija

Kaip ir pradedant saugią sesiją HTTPS svetainėje, norint saugiai prisijungti prie VPN serverio, reikia naudoti viešojo rakto šifravimą (paprastai naudojant RSA kriptosistemą) per TLS rankos paspaudimą..

RSA buvo interneto saugumo pagrindas pastaruosius du dešimtmečius, bet, deja, dabar atrodo, kad NSA nulaužė silpnesnę versiją - RSA-1024..

Nors dauguma VPN paslaugų nutolo nuo RSA-1024, mažuma ir toliau ja naudojasi, todėl jų reikėtų vengti. Ieškokite RSA-2048, kuris vis dar laikomas saugiu.

Idealiu atveju šifravimas bus naudojamas norint sukurti tobulos informacijos slaptumą. Paprastai tai daroma įtraukiant Diffie-Hellman (DH) arba Elipsinę kreivę Diffie-Hellman (ECDH)..

Nors ECDH galima naudoti atskirai, kad būtų sukurtas saugus rankos paspaudimas, reikėtų vengti tik DH, nes ji gali būti įtrūkusi. Tai nėra problema, kai naudojama su RSA.

„SHA Hash“ autentifikavimas

Saugūs maišos algoritmai (SHA) yra naudojami perduodamų duomenų ir SSL / TLS ryšių, tokių kaip „OpenVPN“ jungčių, vientisumui garantuoti, siekiant užtikrinti, kad perduodant duomenis iš šaltinio į paskirties vietą nepakeista informacija.

Saugių maišos algoritmai veikia keičiant šaltinio duomenis, naudojant vadinamąją maišos funkciją, kai pirminis šaltinio pranešimas vykdomas naudojant algoritmą, o rezultatas yra fiksuoto ilgio simbolių eilutė, kuri atrodo ne taip kaip originalas - „maišos vertė“..

Tai yra vienos krypties funkcija - negalite paleisti maišos proceso, kad nustatytumėte pradinį pranešimą iš maišos vertės.

Maišymas naudingas, nes pakeitus tik vieną įvesties šaltinio duomenų simbolį, bus visiškai pakeista maišos vertė, kuri išvesta iš maišos funkcijos..

VPN klientas vykdys duomenis, gautus iš serverio, kartu su slaptuoju raktu, naudodamas maišos funkciją, dėl kurios susitarta per VPN..

Jei kliento sukurta maišos vertė skiriasi nuo pranešimo maišos vertės, duomenys bus išmesti, nes pranešimas buvo sugadintas.

SHA maišos autentifikavimas užkerta kelią vidutiniams išpuoliams aptikti galimo TLS sertifikato pažeidimus.

Be jo įsilaužėlis galėtų apsimesti teisėtu serveriu ir priversti jus prisijungti prie nesaugaus, kur būtų galima stebėti jūsų veiklą..

Saugumui pagerinti rekomenduojama naudoti SHA-2 (ar aukštesnę), nes SHA-1 įrodė trūkumų, kurie gali pakenkti saugumui..

Kas yra VPN? Paaiškinimo diagrama

Šiame šifravimo vadove apžvelgėme daug pagrindų, tačiau vis tiek gali kilti bendriausių klausimų, susijusių su VPN ir protokolais, į kuriuos reikia atsakyti.

Štai dažniausiai girdimi klausimai:

Kas yra saugiausias VPN protokolas?

„OpenVPN“, naudojamas su AES-256 šifru, paprastai laikomas geriausiu ir saugiausiu VPN protokolu. „OpenVPN“ yra atvirojo kodo ir buvo viešai patikrintas dėl trūkumų.

„OpenVPN“ siūlo puikų privatumo ir našumo balansą ir yra suderinamas su daugeliu populiarių platformų. Daugelis komercinių VPN paslaugų naudoja „OpenVPN“ kaip numatytąsias.

„IKEv2“ yra geras pasirinkimas mobiliesiems įrenginiams, nes jis efektyviau tvarko tinklo pakeitimus, automatiškai atkurdamas nutrauktus ryšius lengvai ir greitai..

Kaip pakeisti VPN protokolą?

Kai kurios VPN paslaugos, tokios kaip „ExpressVPN“, leidžia pakeisti VPN protokolą VPN programos nustatymų meniu.

Tokiu atveju tiesiog atidarykite nustatymų meniu ir pasirinkite norimą naudoti VPN protokolą.

„ExpressVPN“ protokolo nustatymų meniu ekrano kopija

Jei pasirinktinėje programoje nėra VPN protokolo pasirinkimo, galbūt galėsite įdiegti alternatyvius protokolus naudodami rankinę konfigūraciją.

„NordVPN“ yra vienas VPN paslaugos, vykdomos naudojant „OpenVPN“, tačiau leidžianti rankiniu būdu įdiegti „IKEv2“, pavyzdys..

Jei jūsų VPN paslauga palaiko alternatyvią protokolo konfigūraciją, būtinai vykdykite jos svetainėje pateiktas instrukcijas.

Ar visi VPN užšifruoja duomenis?

Pagal savo pobūdį VPN šifruoja duomenis, tačiau yra keletas tarnybų, kurios teigia, kad yra VPT, tačiau neužtikrina šifravimo. „Hola Free VPN“ yra vienas iš jų, ir jūs turėtumėte bet kokia kaina vengti panašių produktų.

VPN naršyklės plėtiniai yra dar vienas produktas, kurį reikia šiek tiek atsiriboti. Naršyklės plėtiniai yra tarpinio serverio, o ne VPN paslaugos, o kai kurie teikia šifravimą, kiti to nedaro.

Naršyklės plėtiniai, teikiantys šifravimą, bus apsaugoti tik jūsų naršyklės sraute toje interneto naršyklėje, kurioje ji veikia, todėl šifruoti visas kitas programas turėsite naudoti visą VPN..

Ar saugu naudoti visus VPN??

Taip - jei pasirinksite teisingai.

Ne visi VPN yra saugūs naudoti. Net ir tie, kurie naudoja geriausius VPN protokolus ir šifrus, gali kelti pavojų jūsų asmeniniams duomenims, prisijungę prie savo internetinės veiklos.

Turėtumėte ieškoti VPN su privatumą užtikrinančia registravimo politika, taip pat tokio, kuris palaiko saugiausius VPN protokolus ir šifrus..

Kad jums būtų lengviau, kodėl gi neperžvelkite mūsų labiausiai rekomenduojamus VPN - jie yra saugiausi aplink.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me