La crittografia è al centro della tecnologia VPN. In questa guida analizziamo come funziona la crittografia VPN e come ti protegge.

Guida alla crittografia VPN

Cosa è in realtà la crittografia?

La crittografia è il processo di codifica dei dati in modo che solo quelli con autorizzazione possano accedervi, impedendo a chiunque altro di farlo.

È un processo che prevede la sostituzione di lettere e numeri, facendo sembrare i messaggi incomprensibili a meno che non applichi il processo corretto per decodificarlo - quel processo è noto come un "codice".

Data la potenza di elaborazione dei computer moderni, qualsiasi cifra che un essere umano potrebbe inventare sarebbe troppo facile da infrangere.

Potenti algoritmi matematici vengono ora utilizzati per creare diversi metodi di crittografia, oltre alle cifre segrete necessarie per decrittografarli.

I servizi VPN utilizzano la crittografia per creare una connessione sicura (il tunnel VPN) tra il dispositivo e un server VPN, mantenendo i tuoi dati Internet privati ​​dal tuo ISP, dagli hacker e da altre terze parti ficcanaso.

In questa guida imparerai tutto sui codici e sui protocolli VPN e scoprirai quali sono i migliori e più sicuri da usare.

Analizzeremo tutto in un inglese semplice e spiegheremo tutto il gergo in termini semplici in modo da poter comprendere meglio la crittografia VPN e tutto ciò che comporta.

Glossario di crittografia

Schermata di dati crittografati su sfondo nero

Cominciamo definendo alcuni dei termini importanti che utilizziamo quando si parla di crittografia:

Termine
Definizione
Algoritmo Una serie di istruzioni che devono essere seguite (dal software) per risolvere un problema. Una cifra è un algoritmo per eseguire la crittografia o la decrittografia.
Autenticazione Un processo per garantire e confermare l'identità di un utente.
Po Abbreviazione di "cifra binaria", è la più piccola unità di dati in un computer.
Bloccare Un gruppo di bit di lunghezza fissa (ad esempio 64 bit)
Misura del blocco La lunghezza massima di un gruppo di bit.
Brute Force Attack Un metodo per provare a indovinare un segreto provando ogni possibile combinazione di personaggi. È uno sforzo grezzo, esauriente, piuttosto che più complicato o strategico. Immagina di non poter aprire il lucchetto sul tuo armadietto - piuttosto che cercare di ricordare il codice, forzandolo brutalmente provi semplicemente ogni combinazione da 000 a 999 fino a quando non si apre.
Cifra Un algoritmo per eseguire la crittografia e la decrittografia.
Crittografia L'arte di scrivere e risolvere codici per creare messaggi sicuri, progettata in modo che solo le parti interessate possano elaborarli e leggerli.
crittografia Il processo di conversione dei dati in un codice al fine di impedire l'accesso non autorizzato ad esso.
Firewall Software che monitora e controlla i pacchetti di dati in entrata o in uscita da una rete. Probabilmente avrai familiarità con quello sul tuo desktop o laptop, progettato per fare attenzione agli hacker e ai virus.
Stretta di mano Un processo che inizializza la connessione tra due computer - come suggerisce il nome, è un saluto che stabilisce le regole per la comunicazione.
HTTPS Sta per "Hypertext Transfer Protocol Secure", ma nessuno lo chiama mai così. È una versione sicura di HTTP, il protocollo che è alla base del Web e viene utilizzato per garantire che le comunicazioni tra dispositivi e siti Web rimangano autenticate, private e sicure.
nocciolo Il nucleo di un sistema operativo. In un computer controlla il funzionamento del computer e del suo hardware.
Chiave Una stringa di bit utilizzata da un codice per convertire il "testo semplice" (informazioni non crittografate) in testo cifrato (informazioni crittografate) e viceversa. Una chiave può variare in lunghezza - generalmente, più è lunga, più tempo ci vorrebbe per romperla.
Pacchetto Un pacchetto è un'unità di dati instradata tra un'origine e una destinazione su una rete e composta da un'intestazione, il payload (i tuoi dati) e il trailer e normalmente di una dimensione specifica impostata, che corrisponde alla MTU di rete (massimo Unità di trasmissione). Quando i dati devono essere inviati su una rete, se sono più grandi di un pacchetto, potrebbe essere necessario suddividerli in più pacchetti di dati, che vengono quindi inviati singolarmente e riassemblati nella destinazione.
Porta Proprio come una barca attracca in una porta fisica, le porte di elaborazione rappresentano l '"endpoint" della comunicazione. Qualsiasi informazione che raggiunga il tuo dispositivo lo fa tramite una porta.
Protocollo Un insieme di regole utilizzate per negoziare una connessione tra un client VPN e un server VPN. Alcuni sono più complessi o sicuri di altri - OpenVPN e IKEv2 sono alcune scelte popolari.

Glossario di crittografia

Ora sappiamo cosa significano i termini, è tempo di spiegare cos'è la crittografia e fa in modo più approfondito.

Tipi di crittografia

Illustrazione di due chiavi, una sopra l'altra su uno sfondo blu pallido

Esistono due tipi di crittografia: simmetrica e asimmetrica.

Crittografia a chiave simmetrica

La crittografia a chiave simmetrica è quella in cui viene utilizzata una sola chiave per gestire sia la crittografia che la decrittografia dei dati.

Entrambe le parti richiedono la stessa chiave per comunicare. Questo è il tipo di crittografia utilizzato nella tecnologia VPN.

La potenza dei moderni computer significa che le chiavi hanno dovuto diventare sempre più lunghe per prevenire attacchi di forza bruta (provando ogni combinazione per trovare la chiave giusta).

L'attuale gold standard è la chiave a 256 bit, che non può essere forzata in modo brutale in quanto occorrerebbero miliardi di anni per eseguire tutte le possibili combinazioni utilizzando i computer disponibili oggi.

Crittografia asimmetrica

Con la crittografia asimmetrica (o crittografia a chiave pubblica), ogni partecipante che desidera comunicare in modo sicuro utilizza il software per generare una chiave pubblica e la chiave privata corrispondente.

Ad esempio, prendiamo due persone: la persona A e la persona B.

Quando la persona A desidera inviare un messaggio sicuro alla persona B, la chiave pubblica della persona B viene utilizzata in una cifra per convertire il messaggio di testo normale in un messaggio crittografato.

Mentre il messaggio crittografato potrebbe viaggiare da A a B attraverso varie altre parti (persone C, D, E e F), chiunque provi a leggere il messaggio vedrà solo il testo crittografato.

Quando la persona B riceve il messaggio crittografato, utilizza la propria chiave privata per decodificare il messaggio crittografato in testo normale.

Questo sistema è sempre più utilizzato dai giornalisti, ad esempio, che pubblicano la loro chiave pubblica sui loro profili dei social media affinché le fonti invino loro messaggi che possono essere decodificati solo con la chiave privata del giornalista.

Il sistema più noto è Pretty Good Privacy (PGP). Esistono molti strumenti software diversi che utilizzano OpenPGP, la versione open source dello standard.

La crittografia a chiave pubblica viene utilizzata durante un handshake TLS per condividere in modo sicuro una chiave simmetrica tra client e server.

SSL & TLS

TLS / SSL è la crittografia sperimentata dalla maggior parte di noi durante la navigazione sul Web su un sito Web sicuro che utilizza HTTPS.

Saprai quando un sito Web utilizza HTTPS dal simbolo del lucchetto nella barra degli indirizzi del browser.

Il protocollo di sicurezza in uso qui è TLS (Transport Layer Security), che si basa sul suo predecessore Secure Sockets Layer (SSL versione 3.0).

TLS utilizza una combinazione di crittografia a chiave pubblica e simmetrica per proteggere i dati.

Durante l'handshake TLS, il tuo browser utilizza la crittografia asimmetrica per comunicare con il server della pagina protetta e generare in modo sicuro una chiave simmetrica.

Questo viene quindi utilizzato per crittografare i dati trasferiti tra il browser e il server.

La generazione di una chiave simmetrica per l'uso è molto più efficiente rispetto all'utilizzo di chiavi asimmetriche per tutti i trasferimenti di dati.

Questo perché la crittografia asimmetrica richiede un'incredibile quantità di potenza di calcolo per crittografare e decrittografare tutti i dati necessari rispetto all'utilizzo di una chiave simmetrica.

Si può quindi affermare che la crittografia a chiave simmetrica è il metodo di crittografia più rapido.

Mentre quanto sopra è buono e genera una crittografia sicura, ogni sessione sicura generata dal server è decifrabile con la chiave privata del server.

Se tale chiave privata dovesse mai essere compromessa, la chiave privata rubata può quindi essere utilizzata per decrittografare qualsiasi sessione protetta su quel server, passata o presente.

Per evitare ciò, le connessioni HTTPS e OpenVPN sono ora comunemente configurate utilizzando Perfect Forward Secrecy, utilizzando un algoritmo chiamato Diffie-Hellman Key Exchange che genera la chiave simmetrica.

Può sembrare confuso, ma tutto ciò che devi veramente capire è che questo è il modo più sicuro di procedere poiché la chiave simmetrica non viene mai scambiata sulla connessione, ma generata indipendentemente dal server e dal browser web.

Il browser genera una chiave privata temporanea e una chiave pubblica corrispondente.

La chiave simmetrica per la sessione TLS si basa sull'output di un algoritmo che opera su una chiave privata del dispositivo (ad esempio un server) e sulla chiave pubblica dell'altro dispositivo (ad esempio il browser).

A causa delle fantasiose proprietà matematiche di questo algoritmo e della magia tecnica, la chiave generata da questo processo corrisponderà sia sul server che sul browser.

Ciò significa che se una terza parte come il tuo ISP o il governo memorizza i tuoi dati crittografati da sessioni precedenti e la chiave privata viene altrimenti compromessa o rubata, non saranno in grado di decrittografare tali dati.

ExpressVPN è un servizio VPN che utilizza Perfect Forward Secrecy, negoziando una nuova chiave privata ogni volta che ti connetti e ogni 60 minuti mentre viene utilizzata una connessione VPN.

ExpressVPN sta illustrando la dimostrazione di come l'app utilizza le chiavi pubbliche

Questa illustrazione di ExpressVPN mostra come l'app VPN utilizza la chiave pubblica del server per produrre una coppia di chiavi simmetrica, utilizzando la crittografia asimmetrica.

Ora che abbiamo spiegato i diversi metodi di crittografia disponibili, parliamo dei diversi protocolli VPN disponibili.

Protocolli VPN

Che cos'è un protocollo VPN?

I protocolli VPN rappresentano i processi e le serie di istruzioni (o regole) su cui i client VPN si basano per stabilire connessioni sicure tra un dispositivo e un server VPN al fine di trasmettere dati.

I protocolli VPN sono formati da una combinazione di protocolli di trasmissione e standard di crittografia.

Quali protocolli VPN sono attualmente disponibili?

Ecco i principali protocolli di tunneling VPN che devi conoscere:

OpenVPN - Molto sicuro e veloce

Logo OpenVPN

OpenVPN è il protocollo VPN standard del settore e ti consigliamo di utilizzarlo ogni volta che puoi.

È uno dei protocolli VPN più sicuri e sicuri, e soprattutto è open-source, il che significa che è completamente trasparente e continua a essere testato e migliorato pubblicamente.

OpenVPN è molto configurabile e, sebbene non sia supportato in modo nativo da nessuna piattaforma, la maggior parte dei provider VPN offre app gratuite che lo supportano.

Queste app VPN personalizzate sono disponibili sulla maggior parte delle principali piattaforme come Microsoft Windows, Apple MacOS, Android, Linux e iOS.

Alcuni provider offrono anche file di configurazione OpenVPN, il che significa che è possibile scaricare il client OpenVPN originale per la propria piattaforma da https://openvpn.net/ e utilizzarlo per connettersi al servizio VPN scelto.

OpenVPN funziona sia su UDP che su TCP, che sono tipi di protocolli di comunicazione.

TCP (Transmission Control Protocol) è il protocollo di connessione più utilizzato su Internet. I dati inviati vengono trasferiti in blocchi, in genere costituiti da diversi pacchetti.

TCP è progettato per fornire i dati trasferiti al client OpenVPN nell'ordine in cui sono stati inviati dal server OpenVPN (ad es. I pacchetti 1, 2, 3, 4 e 5 inviati da OpenVPN sono ricevuti dal client OpenVPN nello stesso ordine - 1 , 2, 3, 4, 5).

A tale scopo, TCP può ritardare la consegna dei pacchetti ricevuti sulla rete al client OpenVPN fino a quando non ha ricevuto tutti i pacchetti previsti e riorganizzato eventuali pacchetti fuori ordine di nuovo in posizione.

TCP richiederà nuovamente (e quindi attenderà di ricevere) pacchetti che potrebbero essere andati persi anche nella trasmissione tra server e client.

Questo tempo di elaborazione e di attesa aggiunge latenza alla connessione VPN, rendendo la connessione più lenta di UDP.

UDP (User Datagram Protocol) trasmette semplicemente i pacchetti di dati senza richiedere la conferma dell'arrivo e le dimensioni dei pacchetti UDP sono inferiori a TCP.

Usando OpenVPN UDP, le dimensioni dei pacchetti più piccole, la mancanza di controlli e la riorganizzazione comportano una connessione più veloce.

Quindi, il che è meglio: TCP o UDP?

Dipende dal risultato desiderato.

Se stai utilizzando una VPN per giocare, riprodurre in streaming o utilizzare i servizi VoIP, UDP è la soluzione migliore, poiché è più veloce di TCP.

Il rovescio della medaglia è che potresti riscontrare alcuni pacchetti persi, il che, ad esempio, potrebbe significare in una chiamata VOIP che senti la voce della persona con cui stai parlando che si interrompe per una frazione del secondo discorso.

Tuttavia, è necessario passare a TCP se si verificano problemi di connessione. La porta TCP 443 è utile anche per bypassare la censura, poiché questa porta è la porta predefinita per HTTPS e quindi è meno probabile che venga bloccata dai firewall.

Per la crittografia, OpenVPN utilizza la libreria OpenSSL, che supporta una serie di cifre.

La crittografia OpenVPN è composta da diversi elementi: canale dati, canale di controllo, autenticazione del server e autenticazione HMAC:

  • Autenticazione del server le stesse funzioni erano TLS o HTTPS. OpenVPN può utilizzare i certificati per verificare che il server con cui stai parlando sia attendibile crittograficamente.
  • Il canale di controllo viene utilizzato nella fase iniziale, eseguendo l'handshake TLS per concordare i parametri di crittografia per trasmettere in modo sicuro i dati e autenticare il client sul server.
  • Il canale dati è il livello che trasmette informazioni tra il dispositivo e il server OpenVPN. Questo livello viene crittografato utilizzando uno schema di crittografia simmetrico per le prestazioni, la cui chiave è stata ottenuta tramite il canale di controllo.
  • Autenticazione HMAC viene utilizzato per garantire che i pacchetti inviati non siano stati alterati durante il trasporto da un attaccante man-in-the-middle che ha la capacità di leggere o alterare i dati in tempo reale.

Tieni presente che alcuni servizi VPN non utilizzano in alcun modo vicino allo stesso livello di crittografia su entrambi i canali.

L'uso di una crittografia più debole sul canale dati può essere una scorciatoia economica per una connessione più veloce, poiché una migliore sicurezza va a scapito della velocità.

Sfortunatamente, una VPN è sicura quanto il suo elemento più debole, quindi dovresti cercare una VPN il più forte possibile nella sua crittografia di entrambi i canali.

Ne parleremo più in dettaglio nelle sezioni seguenti su cifre e strette di mano.

Ora che sai qual è il protocollo VPN più sicuro, dovresti sapere quali sono gli altri, oltre a quale evitare a tutti i costi.

PPTP - Sicurezza debole, evitare

Il protocollo PPTP (Point-to-Point Tunneling Protocol) è uno dei più vecchi protocolli VPN ancora in uso oggi. È stato sviluppato da un team finanziato da Microsoft e pubblicato nel 1999.

Nonostante sia obsoleto, PPTP ha alcuni aspetti positivi: è compatibile con praticamente tutto, non ha bisogno di software aggiuntivo in quanto è incluso nei moderni sistemi operativi ed è molto veloce.

Il problema principale è che si è dimostrato insicuro e facile da decifrare (un attacco richiede in genere tra un minuto e 24 ore).

Illustrazione di hacker che rubano la carta di credito e l'identità, con un lucchetto sbloccato sullo schermo del computer

PPTP è anche semplice da bloccare in quanto si basa sul protocollo GRE, che è facilmente firewall.

Dovresti evitare di usare questo protocollo a meno che non sia assolutamente necessario modificare il tuo indirizzo IP per motivi non sensibili. Consideriamo il PPTP insicuro.

L2TP / IPsec - Sicuro, ma può essere lento

Il protocollo di tunneling di livello 2 (LT2P) utilizza le migliori funzionalità sia del protocollo di tunneling punto-punto (PPTP) di Microsoft sia del protocollo di inoltro di livello 2 di Cisco (L2F) e viene utilizzato per creare un tunnel tra un dispositivo client e un server sulla rete.

L2TP può gestire l'autenticazione, ma non fornisce alcuna funzionalità di crittografia.

Pertanto, L2TP è in genere implementato con Internet Protocol Security (IPsec) per creare pacchetti sicuri che forniscono autenticazione, integrità e crittografia dei dati.

Questo è più comunemente noto come L2TP / IPsec e i dati vengono generalmente crittografati utilizzando il codice AES, di cui puoi leggere di più qui.

Quando ci si connette a un server VPN con L2TP / IPsec, IPsec viene utilizzato per creare un canale di controllo sicuro tra client e server.

I pacchetti di dati dall'applicazione del dispositivo (come ad esempio il browser Web) sono incapsulati da L2TP. IPSec quindi crittografa questi dati L2TP e li invia al server, che quindi esegue il processo inverso, decrittografando e decapsulando i dati.

In termini di velocità, il doppio incapsulamento di L2TP / IPsec (essenzialmente un tunnel all'interno di un tunnel) dovrebbe renderlo più lento di OpenVPN.

Tuttavia, in realtà è teoricamente più veloce perché la crittografia e la decrittografia avvengono nel kernel, che può elaborare i pacchetti in modo efficiente con un sovraccarico minimo.

L2TP / IPsec è generalmente considerato sicuro quando utilizzato con il codice AES.

Ma ci sono stati suggerimenti sul fatto che il protocollo sia stato compromesso dall'NSA e che IPsec sia stato deliberatamente indebolito durante la sua creazione.

Non c'è stata alcuna conferma ufficiale di questo, però.

Il problema principale con L2TP / IPsec e il suo utilizzo nei servizi VPN risiede nei servizi che utilizzano chiavi precondivise (note anche come segreti condivisi) che possono essere scaricate dai siti Web dei servizi VPN e sono quindi disponibili a chiunque.

Mentre queste chiavi vengono utilizzate solo per autenticare la connessione con i server VPN e i dati stessi rimangono crittografati tramite una chiave separata, aprono la porta a potenziali attacchi MITM (Man in the middle).

Qui è dove l'attaccante impersona un server VPN al fine di decrittografare il traffico e intercettare la connessione.

L2TP / IPsec utilizza anche un numero limitato di porte fisse, il che lo rende relativamente facile da bloccare.

Nonostante questi problemi, LT2P / IPsec è una scelta solida dato che è supportato in modo nativo da così tante piattaforme fintanto che le chiavi pre-condivise non vengono utilizzate.

SSTP - Sorgente chiusa con potenziali rischi

Secure Socket Tunneling Protocol (SSTP) è un protocollo proprietario di proprietà di Microsoft basato su SSL 3.0, il che significa che, come OpenVPN, può utilizzare la porta TCP 443.

Poiché SSTP non è open source, è impossibile confutare i suggerimenti di backdoor o altre vulnerabilità presenti nel protocollo.

Questo rischio supera di gran lunga qualsiasi beneficio derivante dalla sua stretta integrazione con Windows.

Un'altra bandiera rossa è che SSL 3.0 è vulnerabile a un attacco man-in-the-middle noto come POODLE.

Non è stato confermato se SSTP sia interessato, ma a nostro avviso non vale il rischio.

IKEv2 / IPSec: molto veloce, sicuro e stabile

Internet Key Exchange versione 2 (IKEv2) è un protocollo VPN più recente e un altro standard a sorgente chiuso sviluppato in collaborazione tra Microsoft e Cisco.

IKEv2 è nativamente supportato da iOS, BlackBerry e Windows versione 7 e successive.

Tuttavia, ci sono versioni open source di IKEv2 sviluppate per Linux che non presentano gli stessi problemi di fiducia della versione proprietaria.

Analogamente a L2TP / IPsec, IKEv2 viene utilizzato insieme a IPsec quando fa parte di una soluzione VPN, ma offre più funzionalità.

IKEv2 / IPSec è in grado di gestire il cambio di rete attraverso qualcosa chiamato protocollo MOBIKE - utile per gli utenti mobili che sono inclini a perdere la connessione ed è più veloce grazie alla programmazione per utilizzare meglio la larghezza di banda.

IKEv2 / IPSec supporta anche una gamma più ampia di codici di crittografia rispetto a L2TP / IPSec.

Tuttavia, IKEv2 spesso non lo interromperà quando si tenta di connettersi da un Paese altamente censurato. Questo perché IKEv2 utilizza porte specificate che sono molto facili da bloccare per Great Firewall.

WireGuard - Promettente nuovo protocollo

Logo WireGuard

Wireguard è un nuovo protocollo di tunneling che mira ad essere più veloce e performante rispetto all'attuale protocollo più popolare, OpenVPN.

WireGuard mira ad affrontare i problemi spesso associati a OpenVPN e IPsec: ovvero installazione complicata, oltre a disconnessioni (senza configurazione aggiuntiva) e ai lunghi tempi di riconnessione associati.

Mentre OpenVPN + OpenSSL e IPsec hanno una base di codice di grandi dimensioni (~ 100.000 righe di codice per OpenVPN e 500.000 per SSL) e IPsec (400.000 righe di codice), il che rende difficile trovare bug, Wireguard attualmente pesa meno di 5.000 righe in taglia.

Ma Wireguard è ancora in fase di sviluppo.

Mentre i benchmark di Wireguard mostrano che è molto veloce, ci sono problemi nell'implementazione che potrebbero renderlo inadatto all'uso da parte di un provider VPN commerciale.

Uno dei quali è che richiede che un indirizzo IP non pubblico sia assegnato a ciascun utente, il che aggiunge un elemento di registrazione di qualsiasi utente VPN serio sarebbe a disagio con.

Perché?

Perché questo indirizzo IP non pubblico può essere utilizzato per identificarti.

Tuttavia, sono in corso lavori per affrontare questo problema.

È ancora agli inizi per WireGuard e deve ancora dimostrarsi pienamente - tuttavia, un numero crescente di provider VPN lo sta aggiungendo ai propri clienti solo a scopo di test, tra cui IVPN e AzireVPN.

Promozione sul sito web di IVPN che parla dell'implementazione di WireGuard

I protocolli VPN forniscono il framework per la crittografia sicura, ora scopriamo quale ruolo svolgono le cifre e le varietà di cifre disponibili.

Ciphers

Una cifra è essenzialmente un algoritmo per crittografare e decrittografare i dati. I protocolli VPN utilizzano una varietà di cifre e le seguenti sono le più utilizzate:

AES

Advanced Encryption Standard (AES) è un codice a chiave simmetrica istituito dal National Institute of Standards and Technology (NIST) nel 2001.

È lo standard di riferimento per i protocolli di crittografia online ed è ampiamente utilizzato dal settore VPN. AES è considerato uno dei codici più sicuri da utilizzare.

AES ha una dimensione di blocco di 128 bit, il che significa che AES può gestire file di dimensioni maggiori rispetto ad altri numeri, come Blowfish che ha una dimensione di blocco di 64 bit.

AES può essere utilizzato con diverse lunghezze di chiave. Mentre AES-128 è ancora considerato sicuro, AES-256 è preferito in quanto offre una maggiore protezione. AES-192 è anche disponibile.

Illustrazione di una cassaforte in banca su sfondo blu

Quando leggi la crittografia "di livello militare" o "di livello bancario" sul sito Web di un servizio VPN, si riferisce generalmente a AES-256, che viene utilizzato dal governo degli Stati Uniti per i dati top secret.

Blowfish

Blowfish è un altro codice a chiave simmetrica, progettato nel 1993 dal crittografo americano Bruce Schneier.

Blowfish era la cifra predefinita utilizzata in OpenVPN, ma è stata in gran parte sostituita da AES-256.

Quando viene utilizzato Blowfish, in genere lo si vede utilizzato con una lunghezza della chiave di 128 bit, sebbene possa variare da 32 bit a 448 bit.

Blowfish ha alcuni punti deboli, inclusa la sua vulnerabilità agli "attacchi di compleanno", il che significa che dovrebbe davvero essere usato solo come fallback su AES-256.

Camelia

La camelia è anche un codice a chiave simmetrica ed è molto simile all'AES in termini di sicurezza e velocità.

La differenza principale è che Camellia non è certificata da NIST, l'organizzazione statunitense che ha creato AES.

Mentre esiste un argomento per l'utilizzo di un codice non associato al governo degli Stati Uniti, raramente è disponibile nel software VPN, né è stato testato a fondo come AES.

Stretta di mano VPN

Un'illustrazione di una stretta delle due mani

Proprio come con l'avvio di una sessione sicura su un sito Web HTTPS, la connessione sicura a un server VPN richiede l'uso della crittografia a chiave pubblica (in genere utilizzando il sistema crittografico RSA) tramite un handshake TLS.

RSA è stata la base per la sicurezza di Internet negli ultimi due decenni, ma sfortunatamente, ora sembra probabile che la versione più debole, RSA-1024, sia stata decifrata dalla NSA.

Mentre la maggior parte dei servizi VPN si è allontanata da RSA-1024, una minoranza continua a usarlo e dovrebbe quindi essere evitata. Cerca RSA-2048, che è ancora considerato sicuro.

Idealmente, verrà utilizzata una crittografia aggiuntiva per creare Perfect Forward Secrecy. In genere ciò avverrà tramite l'inclusione dello scambio di chiavi Diffie-Hellman (DH) o curva ellittica Diffie-Hellman (ECDH).

Mentre ECDH può essere usato da solo per creare una stretta di mano sicura, DH da solo dovrebbe essere evitato in quanto è vulnerabile al crack. Questo non è un problema se utilizzato con RSA.

Autenticazione Hash SHA

Secure Hash Algorithms (SHA) vengono utilizzati per garantire l'integrità dei dati trasmessi e le connessioni SSL / TLS, come le connessioni OpenVPN, per garantire che le informazioni non siano state modificate nel transito tra origine e destinazione.

Secure Hash Algorithms funziona trasformando i dati di origine utilizzando quella che è nota come funzione hash, per cui il messaggio di origine originale viene eseguito attraverso un algoritmo e il risultato è una stringa di caratteri a lunghezza fissa che non assomiglia affatto all'originale: il "valore di hash".

È una funzione unidirezionale: non è possibile eseguire un processo di eliminazione hash per determinare il messaggio originale dal valore hash.

L'hashing è utile perché la modifica di un solo carattere dei dati della sorgente di input cambierà totalmente il valore di hash che viene emesso dalla funzione hash.

Un client VPN eseguirà i dati ricevuti dal server, combinati con la chiave segreta, attraverso la funzione hash concordata durante l'handshake VPN.

Se il valore hash generato dal client differisce dal valore hash nel messaggio, i dati verranno scartati poiché il messaggio è stato manomesso.

L'autenticazione hash SHA impedisce attacchi man-in-the-middle essendo in grado di rilevare eventuali manomissioni con un certificato TLS valido.

Senza di essa un hacker potrebbe impersonare il server legittimo e indurti a connetterti a un server non sicuro, in cui la tua attività potrebbe essere monitorata.

Si consiglia di utilizzare SHA-2 (o superiore), per migliorare la sicurezza, poiché SHA-1 ha dimostrato debolezze che possono compromettere la sicurezza.

Che cos'è una VPN? Diagramma di spiegazione

Abbiamo coperto molto terreno in questa guida alla crittografia, ma potresti avere ancora alcune domande più generali relative a VPN e protocolli che richiedono una risposta.

Ecco le domande più comuni che sentiamo:

Qual è il protocollo VPN più sicuro?

OpenVPN utilizzato con la crittografia AES-256 è generalmente considerato il protocollo VPN migliore e più sicuro. OpenVPN è open-source ed è stato testato pubblicamente per rilevare eventuali punti deboli.

OpenVPN offre un ottimo equilibrio tra privacy e prestazioni ed è compatibile con molte piattaforme popolari. Molti servizi VPN commerciali utilizzano OpenVPN come impostazione predefinita.

IKEv2 è una buona opzione per i dispositivi mobili in quanto gestisce le modifiche della rete in modo più efficace, ripristinando automaticamente le connessioni interrotte con facilità e velocità.

Come posso cambiare il protocollo VPN?

Alcuni servizi VPN, come ExpressVPN, ti consentono di modificare il protocollo VPN nel menu delle impostazioni dell'app VPN.

In tal caso, è sufficiente aprire il menu delle impostazioni e selezionare il protocollo VPN che si desidera utilizzare.

Schermata del menu delle impostazioni del protocollo ExpressVPN

Se non è disponibile alcuna selezione del protocollo VPN all'interno dell'app personalizzata, potresti essere in grado di installare protocolli alternativi utilizzando la configurazione manuale.

NordVPN è un esempio di servizio VPN che funziona su OpenVPN ma consente l'installazione manuale di IKEv2.

Se il tuo servizio VPN supporta la configurazione di un protocollo alternativo, assicurati di seguire attentamente le istruzioni fornite sul suo sito Web.

Tutte le VPN crittografano i dati?

Le VPN per loro stessa natura crittografano i dati, ma ci sono alcuni servizi là fuori che affermano di essere VPN senza fornire crittografia. Hola Free VPN è una di queste e dovresti evitare prodotti simili a tutti i costi.

Le estensioni del browser VPN sono un altro prodotto di cui essere un po 'diffidenti. Le estensioni del browser sono servizi proxy anziché servizi VPN e mentre alcuni forniscono la crittografia, altri no.

Le estensioni del browser che forniscono la crittografia proteggeranno solo il traffico del browser nel browser in cui è in esecuzione, quindi dovrai utilizzare una VPN completa per crittografare tutte le altre app.

Tutte le VPN sono sicure da usare?

Sì, se fai la scelta giusta.

Non tutte le VPN sono sicure da usare. Anche quelli che utilizzano i migliori protocolli e cifre VPN possono mettere a rischio i tuoi dati personali registrando le tue attività online.

Dovresti cercare una VPN con una politica di registrazione rispettosa della privacy, nonché una che supporti i protocolli e le cifrature VPN più sicuri.

Per semplificarti le cose, perché non dare un'occhiata alle nostre VPN più consigliate: sono le più sicure in circolazione.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me