Die Verschlüsselung ist das Herzstück der VPN-Technologie. In diesem Handbuch wird beschrieben, wie die VPN-Verschlüsselung funktioniert und wie sie Sie schützt.

Leitfaden zur VPN-Verschlüsselung

Was ist eigentlich Verschlüsselung?

Bei der Verschlüsselung werden Daten so verschlüsselt, dass nur diejenigen mit Autorisierung darauf zugreifen können, was andere daran hindert.

Es handelt sich um einen Vorgang, bei dem Buchstaben und Zahlen ersetzt werden und die Nachrichten wie Kauderwelsch aussehen, es sei denn, Sie verwenden den richtigen Vorgang, um sie zu entschlüsseln. Dieser Vorgang wird als "Chiffre" bezeichnet..

Angesichts der Rechenleistung moderner Computer wäre jede Verschlüsselung, die sich ein Mensch ausdenken könnte, viel zu leicht zu knacken.

Leistungsstarke mathematische Algorithmen werden jetzt verwendet, um verschiedene Verschlüsselungsmethoden sowie die für deren Entschlüsselung erforderlichen geheimen Chiffren zu erstellen.

VPN-Dienste verwenden Verschlüsselung, um eine sichere Verbindung (den VPN-Tunnel) zwischen Ihrem Gerät und einem VPN-Server herzustellen und Ihre Internetdaten vor Ihrem Internetdienstanbieter, Hackern und anderen betrügerischen Dritten geheim zu halten.

In diesem Handbuch erfahren Sie alles über Verschlüsselungen und VPN-Protokolle und erfahren, welche am besten und sichersten zu verwenden sind.


Wir werden alles in Klartext aufteilen und den Jargon in einfachen Worten erklären, damit Sie die VPN-Verschlüsselung und alles, was damit verbunden ist, besser verstehen.

Glossar zur Verschlüsselung

Screenshot der verschlüsselten Daten auf schwarzem Hintergrund

Beginnen wir mit der Definition einiger wichtiger Begriffe, die wir beim Thema Verschlüsselung verwenden:

Begriff
Definition
Algorithmus Eine Reihe von Anweisungen, die (von der Software) befolgt werden müssen, um ein Problem zu lösen. Eine Chiffre ist ein Algorithmus zum Durchführen einer Verschlüsselung oder Entschlüsselung.
Authentifizierung Ein Prozess, um die Identität eines Benutzers sicherzustellen und zu bestätigen.
Bisschen Kurz für "Binärziffer", ist es die kleinste Dateneinheit in einem Computer.
Block Eine Gruppe von Bits fester Länge (z. B. 64 Bits)
Block Größe Die maximale Länge einer Bitgruppe.
Brute-Force-Angriff Eine Methode, um ein Geheimnis zu erraten, indem jede mögliche Kombination von Zeichen ausprobiert wird. Es ist eher eine grobe, erschöpfende Anstrengung als eine komplizierte oder strategische. Stellen Sie sich vor, Sie können das Vorhängeschloss Ihres Schließfachs nicht öffnen - anstatt sich an den Code zu erinnern, versuchen Sie einfach jede Kombination von 000 bis 999, bis er sich öffnet, indem Sie ihn brutal erzwingen.
Chiffre Ein Algorithmus zum Durchführen der Ver- und Entschlüsselung.
Kryptographie Die Kunst, Codes zu schreiben und zu lösen, um sichere Nachrichten zu erstellen, die nur von den beabsichtigten Parteien verarbeitet und gelesen werden können.
Verschlüsselung Der Prozess der Konvertierung von Daten in einen Code, um den unbefugten Zugriff darauf zu verhindern.
Firewall Software, die eingehende oder ausgehende Datenpakete eines Netzwerks überwacht und steuert. Sie werden wahrscheinlich mit demjenigen auf Ihrem Desktop- oder Laptop-Computer vertraut sein, der darauf ausgelegt ist, auf Hacker und Viren zu achten.
Handschlag Ein Prozess, der die Verbindung zwischen zwei Computern initialisiert - wie der Name schon sagt -, ist eine Begrüßung, die die Regeln für die Kommunikation festlegt.
HTTPS Es steht für "Hypertext Transfer Protocol Secure", aber niemand nennt es jemals so. Es handelt sich um eine sichere Version von HTTP, dem Protokoll, das die Grundlage des Webs bildet und verwendet wird, um sicherzustellen, dass die Kommunikation zwischen Geräten und Websites authentifiziert, privat und sicher bleibt.
Kernel Der Kern eines Betriebssystems. In einem Computer steuert es den Betrieb des Computers und seiner Hardware.
Schlüssel Eine Bitfolge, die von einer Verschlüsselung verwendet wird, um unverschlüsselten Text (unverschlüsselte Informationen) in verschlüsselten Text (verschlüsselte Informationen) umzuwandeln und umgekehrt. Ein Schlüssel kann unterschiedlich lang sein. Je länger er ist, desto länger würde es dauern, ihn zu knacken.
Paket Ein Paket ist eine Dateneinheit, die zwischen einem Ursprung und einem Ziel in einem Netzwerk geroutet wird. Sie besteht aus einem Header, der Nutzlast (Ihren Daten) und dem Trailer und hat normalerweise eine bestimmte festgelegte Größe, die der Netzwerk-MTU (Maximum) entspricht Transmission Unit) Größe. Wenn Daten über ein Netzwerk gesendet werden müssen und größer als ein Paket sind, müssen sie möglicherweise in mehrere Datenpakete aufgeteilt werden, die dann einzeln gesendet und die Daten am Ziel wieder zusammengesetzt werden.
Hafen Genau wie ein Boot an einem physischen Hafen anlegt, stellen Computerports den „Endpunkt“ der Kommunikation dar. Alle Informationen, die Ihr Gerät erreichen, werden über einen Port übertragen.
Protokoll Eine Reihe von Regeln, die zum Aushandeln einer Verbindung zwischen einem VPN-Client und einem VPN-Server verwendet werden. Einige sind komplexer oder sicherer als andere - OpenVPN und IKEv2 sind einige beliebte Optionen.

Glossar zur Verschlüsselung

Jetzt wissen wir, was die Begriffe bedeuten. Es ist an der Zeit zu erklären, was Verschlüsselung ist und was sie ausführlicher tut.

Arten der Verschlüsselung

Illustration von zwei Schlüsseln, einer auf dem anderen auf einem hellblauen Hintergrund

Es gibt zwei Arten der Verschlüsselung: symmetrisch und asymmetrisch.

Symmetric-Key-Verschlüsselung

Bei der symmetrischen Schlüsselverschlüsselung wird nur ein Schlüssel zum Ver- und Entschlüsseln von Daten verwendet.

Beide Parteien benötigen denselben Schlüssel für die Kommunikation. Dies ist die Art der Verschlüsselung, die in der VPN-Technologie verwendet wird.

Die Leistungsfähigkeit moderner Computer hat zur Folge, dass die Schlüssel immer länger werden mussten, um Brute-Force-Angriffe zu verhindern..

Der derzeitige Goldstandard ist der 256-Bit-Schlüssel, der nicht brachial erzwungen werden kann, da es Milliarden von Jahren dauern würde, bis alle möglichen Kombinationen auf den heute verfügbaren Computern ausgeführt werden.

Asymmetrische Verschlüsselung

Bei der asymmetrischen Kryptografie (oder Kryptografie mit öffentlichem Schlüssel) generiert jeder Teilnehmer, der sicher kommunizieren möchte, mithilfe von Software einen öffentlichen Schlüssel und einen entsprechenden privaten Schlüssel.

Nehmen wir als Beispiel zwei Personen: Person A und Person B

Wenn Person A eine sichere Nachricht an Person B senden möchte, wird der öffentliche Schlüssel von Person B in einer Verschlüsselung verwendet, um die Nur-Text-Nachricht in eine verschlüsselte Nachricht umzuwandeln.

Während die verschlüsselte Nachricht möglicherweise von A nach B über verschiedene andere Teilnehmer (Personen C, D, E und F) geleitet wird, sieht jeder, der versucht, die Nachricht zu lesen, nur den verschlüsselten Text.

Wenn Person B die verschlüsselte Nachricht empfängt, verwendet sie ihren privaten Schlüssel, um die verschlüsselte Nachricht wieder in Klartext zu decodieren.

Dieses System wird zum Beispiel zunehmend von Journalisten verwendet, die ihren öffentlichen Schlüssel in ihren Social-Media-Profilen veröffentlichen, um Nachrichten aus Quellen zu erhalten, die nur mit dem privaten Schlüssel des Journalisten entschlüsselt werden können.

Das bekannteste derartige System ist Pretty Good Privacy (PGP). Es gibt viele verschiedene Software-Tools, die OpenPGP, die Open-Source-Version des Standards, verwenden.

Die Verschlüsselung mit öffentlichem Schlüssel wird während eines TLS-Handshakes verwendet, um einen symmetrischen Schlüssel sicher zwischen Client und Server gemeinsam zu nutzen.

SSL & TLS

TLS / SSL ist die Verschlüsselung, die die meisten von uns beim Surfen im Internet auf einer sicheren Website mit HTTPS erlebt haben.

Wenn eine Website HTTPS verwendet, erkennen Sie das Schlosssymbol in der Adressleiste des Browsers.

Das hier verwendete Sicherheitsprotokoll ist TLS (Transport Layer Security), das auf dem Vorgänger Secure Sockets Layer (SSL Version 3.0) basiert..

TLS verwendet eine Kombination aus öffentlichem Schlüssel und symmetrischer Verschlüsselung, um Ihre Daten zu schützen.

Während des TLS-Handshakes verwendet Ihr Browser eine asymmetrische Verschlüsselung, um mit dem Server der sicheren Seite zu kommunizieren und einen sicheren symmetrischen Schlüssel zu generieren.

Dies wird dann verwendet, um die Daten zu verschlüsseln, die zwischen Ihrem Browser und dem Server übertragen werden.

Das Generieren eines symmetrischen Schlüssels zur Verwendung ist wesentlich effizienter als das Verwenden asymmetrischer Schlüssel für die gesamte Datenübertragung.

Dies liegt daran, dass die asymmetrische Verschlüsselung im Vergleich zur Verwendung eines symmetrischen Schlüssels unglaublich viel mehr Rechenleistung erfordert, um alle erforderlichen Daten zu verschlüsseln und zu entschlüsseln.

Man kann daher sagen, dass die symmetrische Schlüsselverschlüsselung die schnellere Verschlüsselungsmethode ist.

Während das oben Genannte gut ist und eine sichere Verschlüsselung generiert, kann jede vom Server generierte sichere Sitzung mit dem privaten Schlüssel des Servers entschlüsselt werden.

Sollte dieser private Schlüssel jemals kompromittiert werden, kann der gestohlene private Schlüssel zum Entschlüsseln einer sicheren Sitzung auf diesem Server verwendet werden, sei es in der Vergangenheit oder in der Gegenwart.

Um dies zu vermeiden, werden HTTPS- und OpenVPN-Verbindungen jetzt in der Regel mit Perfect Forward Secrecy eingerichtet. Dabei wird ein Algorithmus namens Diffie-Hellman Key Exchange verwendet, der den symmetrischen Schlüssel generiert.

Es mag verwirrend klingen, aber alles, was Sie wirklich verstehen müssen, ist, dass dies der sicherere Weg ist, Dinge zu erledigen, da der symmetrische Schlüssel niemals über die Verbindung ausgetauscht wird, sondern unabhängig vom Server und vom Webbrowser generiert wird.

Der Browser generiert einen temporären privaten Schlüssel und einen entsprechenden öffentlichen Schlüssel.

Der symmetrische Schlüssel für die TLS-Sitzung basiert auf der Ausgabe eines Algorithmus, der einen privaten Schlüssel des Geräts (z. B. einen Server) und den öffentlichen Schlüssel des anderen Geräts (z. B. Ihren Browser) verarbeitet..

Aufgrund der ausgefallenen mathematischen Eigenschaften dieses Algorithmus und einiger technischer Magie stimmt der durch diesen Prozess generierte Schlüssel sowohl auf dem Server als auch im Browser überein.

Dies bedeutet, dass Dritte, wie z. B. Ihr ISP oder die Regierung, Ihre verschlüsselten Daten aus früheren Sitzungen speichern und der private Schlüssel auf andere Weise kompromittiert oder gestohlen wurde, diese Daten nicht entschlüsseln können.

ExpressVPN ist ein VPN-Dienst, der Perfect Forward Secrecy verwendet und bei jeder Verbindungsherstellung und während einer VPN-Verbindung alle 60 Minuten einen neuen privaten Schlüssel aushandelt.

ExpressVPNs veranschaulichen, wie die App öffentliche Schlüssel verwendet

Diese ExpressVPN-Abbildung zeigt, wie die VPN-App den öffentlichen Schlüssel des Servers verwendet, um mithilfe asymmetrischer Verschlüsselung ein symmetrisches Schlüsselpaar zu erstellen.

Nachdem wir die verschiedenen verfügbaren Verschlüsselungsmethoden erläutert haben, wollen wir uns mit den verschiedenen verfügbaren VPN-Protokollen befassen.

VPN-Protokolle

Was ist ein VPN-Protokoll??

VPN-Protokolle stellen die Prozesse und Befehlssätze (oder Regeln) dar, auf die sich VPN-Clients verlassen, um sichere Verbindungen zwischen einem Gerät und einem VPN-Server herzustellen, um Daten zu übertragen.

VPN-Protokolle werden aus einer Kombination von Übertragungsprotokollen und Verschlüsselungsstandards gebildet.

Welche VPN-Protokolle sind aktuell verfügbar??

Hier sind die wichtigsten VPN-Tunneling-Protokolle, die Sie kennen müssen:

OpenVPN - Sehr sicher und schnell

OpenVPN-Logo

OpenVPN ist das branchenübliche Goldstandard-VPN-Protokoll. Wir empfehlen, es zu verwenden, wann immer Sie können.

Es ist eines der sichersten und sichersten VPN-Protokolle und vor allem Open Source. Dies bedeutet, dass es vollständig transparent ist und weiterhin öffentlich getestet und verbessert wird.

OpenVPN ist sehr konfigurierbar und wird von keiner Plattform nativ unterstützt. Die meisten VPN-Anbieter bieten jedoch kostenlose Apps an, die dies unterstützen.

Diese benutzerdefinierten VPN-Apps sind auf den meisten wichtigen Plattformen wie Microsoft Windows, Apple MacOS, Android, Linux und iOS verfügbar.

Einige Anbieter bieten auch OpenVPN-Konfigurationsdateien an, dh Sie können den Original-OpenVPN-Client für Ihre Plattform von https://openvpn.net/ herunterladen und ihn zum Herstellen einer Verbindung mit dem von Ihnen ausgewählten VPN-Dienst verwenden.

OpenVPN funktioniert sowohl mit UDP als auch mit TCP, die Arten von Kommunikationsprotokollen sind.

TCP (Transmission Control Protocol) ist das am häufigsten verwendete Verbindungsprotokoll im Internet. Die Daten, die gesendet werden, werden in Stücken übertragen, die normalerweise aus mehreren Paketen bestehen.

TCP liefert die übertragenen Daten an den OpenVPN-Client in der Reihenfolge, in der sie vom OpenVPN-Server gesendet wurden (z. B. werden die von OpenVPN gesendeten Pakete 1, 2, 3, 4 und 5 vom OpenVPN-Client in der gleichen Reihenfolge empfangen - 1 , 2, 3, 4, 5).

Zu diesem Zweck kann TCP die Übermittlung der über das Netzwerk empfangenen Pakete an den OpenVPN-Client verzögern, bis alle erwarteten Pakete empfangen wurden, und alle nicht in der Reihenfolge befindlichen Pakete an ihren Platz zurückversetzen.

TCP fordert Pakete erneut an (und wartet dann auf den Empfang), die möglicherweise auch bei der Übertragung zwischen Server und Client verloren gegangen sind.

Diese Verarbeitungs- und Wartezeit verlängert die Wartezeit der VPN-Verbindung und macht die Verbindung langsamer als UDP.

UDP (User Datagram Protocol) überträgt einfach Datenpakete, ohne dass eine Eingangsbestätigung erforderlich ist, und die UDP-Paketgrößen sind kleiner als TCP.

Durch die Verwendung von OpenVPN UDP führt die geringere Paketgröße, der Mangel an Überprüfungen und die Neuorganisation zu einer schnelleren Verbindung.

Also, was ist besser: TCP oder UDP?

Es hängt von Ihrem gewünschten Ergebnis ab.

Wenn Sie ein VPN zum Spielen, Streamen oder Verwenden von VoIP-Diensten verwenden, ist UDP die beste Wahl, da es schneller als TCP ist.

Der Nachteil ist, dass möglicherweise Pakete verloren gehen. Dies kann beispielsweise bedeuten, dass Sie bei einem VOIP-Anruf die Stimme der Person, mit der Sie sprechen, für einen Bruchteil einer Sekunde in der Mitte der Rede hören.

Sie sollten jedoch zu TCP wechseln, wenn Verbindungsprobleme auftreten. Der TCP-Port 443 ist auch nützlich, um die Zensur zu umgehen, da dieser Port der Standardport für HTTPS ist und daher weniger wahrscheinlich von Firewalls blockiert wird.

Für die Verschlüsselung verwendet OpenVPN die OpenSSL-Bibliothek, die eine Reihe von Chiffren unterstützt.

Die OpenVPN-Verschlüsselung besteht aus mehreren Elementen: Datenkanal, Steuerkanal, Serverauthentifizierung und HMAC-Authentifizierung:

  • Serverauthentifizierung Funktionen in der gleichen war wie TLS oder HTTPS. OpenVPN kann Zertifikate verwenden, um zu überprüfen, ob der Server, mit dem Sie sprechen, kryptografisch vertrauenswürdig ist.
  • Das Kontroll-Kanal wird in der Anfangsphase verwendet, um beim TLS-Handshake die Verschlüsselungsparameter für die sichere Datenübertragung festzulegen und den Client beim Server zu authentifizieren.
  • Das Datenkanal ist die Ebene, die Informationen zwischen Ihrem Gerät und dem OpenVPN-Server überträgt. Diese Schicht wird unter Verwendung eines symmetrischen Verschlüsselungsschemas für die Leistung verschlüsselt, dessen Schlüssel über den Steuerkanal erhalten wurde.
  • HMAC-Authentifizierung wird verwendet, um sicherzustellen, dass gesendete Pakete während der Übertragung nicht von einem Man-in-the-Middle-Angreifer geändert wurden, der in der Lage ist, die Daten in Echtzeit zu lesen oder zu ändern.

Beachten Sie, dass einige VPN-Dienste auf beiden Kanälen nicht annähernd dieselbe Verschlüsselungsstufe verwenden.

Die Verwendung einer schwächeren Verschlüsselung auf dem Datenkanal kann eine kostengünstige Abkürzung für eine schnellere Verbindung sein, da eine bessere Sicherheit die Geschwindigkeit beeinträchtigt.

Leider ist ein VPN nur so sicher wie sein schwächstes Element. Daher sollten Sie nach einem VPN suchen, das bei der Verschlüsselung beider Kanäle so stark wie möglich ist.

In den folgenden Abschnitten zu Chiffren und Handshakes werden wir darauf näher eingehen.

Nachdem Sie das sicherste VPN-Protokoll kennen, sollten Sie wissen, was die anderen sind - und welches Sie unbedingt vermeiden sollten.

PPTP - Schwache Sicherheit, vermeiden

Das Point-to-Point-Tunneling-Protokoll (PPTP) ist eines der ältesten heute noch verwendeten VPN-Protokolle. Es wurde von einem von Microsoft finanzierten Team entwickelt und 1999 veröffentlicht.

Obwohl PPTP veraltet ist, hat es einige Vorteile: Es ist mit so ziemlich allem kompatibel, benötigt keine zusätzliche Software, wie es in modernen Betriebssystemen enthalten ist, und ist sehr schnell.

Das Hauptproblem ist, dass es sich als unsicher und leicht zu knacken erwiesen hat (ein Angriff dauert normalerweise zwischen einer Minute und 24 Stunden)..

Illustration von Hackern, die Kreditkarte und Identität, mit einem entsperrten Vorhängeschloß auf dem Bildschirm stehlen

PPTP ist auch einfach zu blockieren, da es sich auf das GRE-Protokoll stützt, das leicht durch eine Firewall geschützt werden kann.

Sie sollten die Verwendung dieses Protokolls vermeiden, es sei denn, dies ist unbedingt erforderlich, um Ihre IP-Adresse aus nicht sensiblen Gründen zu ändern. Wir halten PPTP für unsicher.

L2TP / IPsec - Sicher, aber langsam

Das Layer-2-Tunneling-Protokoll (LT2P) nutzt die besten Funktionen des Microsoft Point-to-Point-Tunneling-Protokolls (PPTP) und des Cisco Layer-2-Forwarding-Protokolls (L2F) und wird zum Erstellen eines Tunnels zwischen einem Clientgerät und einem Server über das Netzwerk verwendet.

L2TP kann die Authentifizierung verarbeiten, bietet jedoch keine Verschlüsselungsfunktionen.

Daher wird L2TP normalerweise mit IPsec (Internet Protocol Security) implementiert, um sichere Pakete zu erstellen, die Authentifizierung, Integrität und Verschlüsselung von Daten ermöglichen.

Dies wird allgemein als L2TP / IPsec bezeichnet. In der Regel werden Daten mit der AES-Verschlüsselung verschlüsselt, über die Sie hier mehr erfahren können.

Bei der Verbindung zu einem VPN-Server mit L2TP / IPsec wird IPsec verwendet, um einen sicheren Steuerkanal zwischen Client und Server zu erstellen.

Datenpakete aus Ihrer Geräteanwendung (z. B. Ihrem Webbrowser) werden von L2TP gekapselt. IPSec verschlüsselt dann diese L2TP-Daten und sendet sie an den Server, der dann den umgekehrten Vorgang durchführt und die Daten entschlüsselt und entkapselt.

In Bezug auf die Geschwindigkeit sollte L2TP / IPsec durch die doppelte Kapselung (im Wesentlichen ein Tunnel innerhalb eines Tunnels) langsamer als OpenVPN sein.

Theoretisch ist es jedoch schneller, da die Ver- und Entschlüsselung im Kernel stattfindet, der Pakete mit minimalem Overhead effizient verarbeiten kann.

L2TP / IPsec wird im Allgemeinen als sicher angesehen, wenn es mit der AES-Verschlüsselung verwendet wird.

Es gab jedoch Hinweise darauf, dass das Protokoll von der NSA kompromittiert wurde und dass IPSec bei seiner Erstellung absichtlich geschwächt wurde.

Es gibt jedoch keine offizielle Bestätigung dafür.

Das Hauptproblem von L2TP / IPsec und seiner Verwendung in VPN-Diensten liegt in den Diensten, die Pre-Shared Keys (auch als Shared Secret bezeichnet) verwenden, die von den VPN-Dienst-Websites heruntergeladen werden können und daher für jedermann verfügbar sind.

Während diese Schlüssel nur zur Authentifizierung der Verbindung mit den VPN-Servern verwendet werden und die Daten selbst über einen separaten Schlüssel verschlüsselt bleiben, öffnen sie die Tür für potenzielle MITM-Angriffe (Man in the Middle).

Hier gibt sich der Angreifer als VPN-Server aus, um den Datenverkehr zu entschlüsseln und die Verbindung zu belauschen.

L2TP / IPsec verwendet auch eine begrenzte Anzahl von festen Ports, was das Blockieren relativ einfach macht.

Trotz dieser Probleme ist LT2P / IPsec eine gute Wahl, da es nativ von so vielen Plattformen unterstützt wird, solange keine vorinstallierten Schlüssel verwendet werden.

SSTP - Geschlossene Quelle mit potenziellen Risiken

Secure Socket Tunneling Protocol (SSTP) ist ein proprietäres Protokoll von Microsoft, das auf SSL 3.0 basiert. Dies bedeutet, dass es wie OpenVPN den TCP-Port 443 verwenden kann.

Da es sich bei SSTP nicht um Open Source handelt, können Vorschläge für Hintertüren oder andere im Protokoll vorhandene Sicherheitslücken nicht widerlegt werden.

Dieses Risiko überwiegt bei weitem die Vorteile der engen Integration mit Windows.

Eine weitere rote Fahne ist, dass SSL 3.0 für einen Man-in-the-Middle-Angriff namens POODLE anfällig ist.

Es wurde nicht bestätigt, ob SSTP betroffen ist, aber unseres Erachtens ist es das Risiko nicht wert.

IKEv2 / IPSec - Sehr schnell, sicher und stabil

Internet Key Exchange Version 2 (IKEv2) ist ein neueres VPN-Protokoll und ein weiterer Closed-Source-Standard, der in Zusammenarbeit zwischen Microsoft und Cisco entwickelt wurde.

IKEv2 wird nativ von iOS, BlackBerry und Windows ab Version 7 unterstützt.

Es gibt jedoch Open-Source-Versionen von IKEv2, die für Linux entwickelt wurden und nicht die gleichen Vertrauensprobleme aufweisen wie die proprietäre Version.

Ähnlich wie L2TP / IPsec wird IKEv2 zusammen mit IPsec als Teil einer VPN-Lösung verwendet, bietet jedoch mehr Funktionen.

IKEv2 / IPSec kann das Ändern von Netzwerken über das sogenannte MOBIKE-Protokoll handhaben. Dies ist nützlich für mobile Benutzer, bei denen die Gefahr besteht, dass die Verbindung unterbrochen wird, und ist schneller, da die Programmierung die Bandbreite besser ausnutzt.

IKEv2 / IPSec unterstützt auch einen größeren Bereich von Verschlüsselungscodes als L2TP / IPSec.

IKEv2 wird jedoch häufig nicht erfolgreich sein, wenn Sie versuchen, eine Verbindung aus einem hochzensierten Land herzustellen. Dies liegt daran, dass IKEv2 bestimmte Ports verwendet, die für die Great Firewall sehr einfach zu blockieren sind.

WireGuard - vielversprechendes neues Protokoll

WireGuard-Logo

Wireguard ist ein neues Tunneling-Protokoll, das schneller und leistungsfähiger sein soll als das derzeit beliebteste Protokoll, OpenVPN.

WireGuard zielt darauf ab, die häufig mit OpenVPN und IPsec verbundenen Probleme zu lösen: komplizierte Einrichtung plus Verbindungsabbrüche (ohne zusätzliche Konfiguration) und die damit verbundenen langen Wiederverbindungszeiten.

Während OpenVPN + OpenSSL und IPsec eine große Codebasis (~ 100.000 Codezeilen für OpenVPN und 500.000 Codezeilen für SSL) und IPsec (400.000 Codezeilen) haben, was das Auffinden von Fehlern erschwert, wiegt Wireguard derzeit weniger als 5.000 Zeilen Größe.

Wireguard befindet sich jedoch noch in der Entwicklung.

Während Wireguard-Benchmarks zeigen, dass es sehr schnell ist, gibt es Probleme bei der Implementierung, die es möglicherweise für die Verwendung durch einen kommerziellen VPN-Anbieter ungeeignet machen.

Einer davon ist, dass jedem Benutzer eine nicht öffentliche IP-Adresse zugewiesen werden muss, wodurch ein Element zum Protokollieren eines seriösen VPN-Benutzers hinzugefügt wird, mit dem es unangenehm wäre.

Warum?

Weil diese nicht öffentliche IP-Adresse verwendet werden kann, um Sie zu identifizieren.

Es wird jedoch daran gearbeitet, dies zu beheben.

WireGuard steht noch am Anfang und hat sich noch nicht vollständig bewährt. Immer mehr VPN-Anbieter bieten es jedoch nur zu Testzwecken an, einschließlich IVPN und AzireVPN.

Promotion auf der IVPN-Website über die Implementierung von WireGuard

VPN-Protokolle bilden den Rahmen für die sichere Verschlüsselung. Lassen Sie uns nun herausfinden, welche Rolle Verschlüsselungen spielen und welche Verschlüsselungsarten verfügbar sind.

Chiffren

Eine Chiffre ist im Wesentlichen ein Algorithmus zum Ver- und Entschlüsseln von Daten. VPN-Protokolle verwenden eine Vielzahl von Chiffren, und die folgenden werden am häufigsten verwendet:

AES

Der Advanced Encryption Standard (AES) ist eine Verschlüsselung mit symmetrischem Schlüssel, die 2001 vom US-amerikanischen National Institute of Standards and Technology (NIST) eingeführt wurde.

Es ist der Goldstandard für Online-Verschlüsselungsprotokolle und wird von der VPN-Industrie stark genutzt. AES gilt als eine der sichersten Verschlüsselungen.

AES hat eine Blockgröße von 128 Bit, was bedeutet, dass AES größere Dateien verarbeiten kann als andere Verschlüsselungen, z. B. Blowfish mit einer 64-Bit-Blockgröße.

AES kann mit unterschiedlichen Schlüssellängen verwendet werden. Während AES-128 immer noch als sicher gilt, wird AES-256 bevorzugt, da es einen besseren Schutz bietet. AES-192 ist ebenfalls verfügbar.

Illustration eines Banksafes auf einem blauen Hintergrund

Wenn Sie auf der Website eines VPN-Dienstes Informationen zur Verschlüsselung nach Militär- oder Bankstandard lesen, bezieht sich dies im Allgemeinen auf AES-256, das von der US-Regierung für streng geheime Daten verwendet wird.

Kugelfisch

Blowfish ist eine weitere symmetrische Verschlüsselung, die 1993 vom amerikanischen Kryptographen Bruce Schneier entworfen wurde.

Blowfish war früher die Standardverschlüsselung in OpenVPN, wurde jedoch weitgehend durch AES-256 ersetzt.

Wenn Blowfish verwendet wird, wird es normalerweise mit einer Schlüssellänge von 128 Bit verwendet, obwohl es zwischen 32 Bit und 448 Bit liegen kann.

Blowfish hat einige Schwächen, einschließlich seiner Anfälligkeit für Geburtstagsangriffe, was bedeutet, dass es eigentlich nur als Ersatz für AES-256 verwendet werden sollte.

Kamelie

Camellia ist auch eine Verschlüsselung mit symmetrischen Schlüsseln und in Bezug auf Sicherheit und Geschwindigkeit AES sehr ähnlich.

Der Hauptunterschied besteht darin, dass Camellia nicht von NIST, der US-amerikanischen Organisation, die AES gegründet hat, zertifiziert ist.

Es gibt zwar ein Argument für die Verwendung einer Verschlüsselung, die nicht mit der US-Regierung in Verbindung steht, sie ist jedoch in VPN-Software selten verfügbar und wurde noch nicht so gründlich getestet wie AES.

VPN-Handshake

Illustration von zwei Handrütteln

Genau wie beim Initiieren einer sicheren Sitzung auf einer HTTPS-Website ist für die sichere Verbindung mit einem VPN-Server die Verwendung einer Verschlüsselung mit öffentlichem Schlüssel (normalerweise mit dem RSA-Kryptosystem) über einen TLS-Handshake erforderlich.

RSA war in den letzten zwei Jahrzehnten die Grundlage für die Internetsicherheit, aber leider scheint es jetzt wahrscheinlich, dass die schwächere Version, RSA-1024, von der NSA geknackt wurde.

Während die meisten VPN-Dienste von RSA-1024 abgewichen sind, wird es von einer Minderheit weiterhin verwendet und sollte daher vermieden werden. Suchen Sie nach RSA-2048, das immer noch als sicher gilt.

Idealerweise wird eine zusätzliche Verschlüsselung verwendet, um Perfect Forward Secrecy zu erstellen. In der Regel erfolgt dies über die Einbeziehung des Diffie-Hellman-Schlüsselaustauschs (DH) oder des Diffie-Hellman-Schlüsselaustauschs (ECDH) mit elliptischer Kurve.

Während ECDH alleine verwendet werden kann, um einen sicheren Handshake zu erstellen, sollte DH alleine vermieden werden, da es anfällig für Risse ist. Bei Verwendung mit RSA ist dies kein Problem.

SHA-Hash-Authentifizierung

Secure Hash-Algorithmen (SHA) werden verwendet, um die Integrität der übertragenen Daten und SSL / TLS-Verbindungen wie OpenVPN-Verbindungen zu gewährleisten und sicherzustellen, dass die Informationen während der Übertragung zwischen Quelle und Ziel nicht geändert wurden.

Sichere Hash-Algorithmen transformieren Quelldaten mithilfe einer so genannten Hash-Funktion. Dabei wird die ursprüngliche Quellnachricht durch einen Algorithmus geleitet. Das Ergebnis ist eine Zeichenfolge mit fester Länge, die dem Original nicht ähnelt - der „Hash-Wert“..

Dies ist eine Einwegfunktion. Sie können keinen De-Hash-Prozess ausführen, um die ursprüngliche Nachricht anhand des Hash-Werts zu ermitteln.

Hashing ist nützlich, da durch das Ändern nur eines Zeichens der Eingabequelldaten der von der Hash-Funktion ausgegebene Hash-Wert vollständig geändert wird.

Ein VPN-Client führt die vom Server empfangenen Daten zusammen mit dem geheimen Schlüssel über die beim VPN-Handshake vereinbarte Hash-Funktion aus.

Wenn der vom Client generierte Hash-Wert vom Hash-Wert in der Nachricht abweicht, werden die Daten verworfen, da die Nachricht manipuliert wurde.

Die SHA-Hash-Authentifizierung verhindert Man-in-the-Middle-Angriffe, indem sie Manipulationen an einem gültigen TLS-Zertifikat erkennt.

Ohne sie könnte sich ein Hacker als legitimer Server ausgeben und Sie dazu verleiten, eine Verbindung zu einem unsicheren Server herzustellen, auf dem Ihre Aktivitäten überwacht werden könnten.

Es wird empfohlen, SHA-2 (oder höher) zu verwenden, um die Sicherheit zu verbessern, da SHA-1 nachweislich Schwachstellen aufweist, die die Sicherheit gefährden können.

Was ist ein VPN? Erklärungsdiagramm

In diesem Leitfaden zur Verschlüsselung haben wir eine ganze Reihe von Themen behandelt. Möglicherweise haben Sie jedoch noch einige allgemeinere Fragen zu VPNs und Protokollen, die beantwortet werden müssen.

Hier sind die häufigsten Fragen, die wir hören:

Was ist das sicherste VPN-Protokoll??

OpenVPN, das mit AES-256-Verschlüsselung verwendet wird, wird allgemein als das beste und sicherste VPN-Protokoll angesehen. OpenVPN ist Open Source und wurde öffentlich auf Schwachstellen getestet.

OpenVPN bietet ein ausgewogenes Verhältnis zwischen Datenschutz und Leistung und ist mit vielen gängigen Plattformen kompatibel. Viele kommerzielle VPN-Dienste verwenden standardmäßig OpenVPN.

IKEv2 ist eine gute Option für mobile Geräte, da es Netzwerkänderungen effizienter verarbeitet und unterbrochene Verbindungen mühelos und schnell automatisch wiederherstellt.

Wie ändere ich das VPN-Protokoll??

Bei einigen VPN-Diensten wie ExpressVPN können Sie das VPN-Protokoll im Einstellungsmenü der VPN-App ändern.

In diesem Fall öffnen Sie einfach das Einstellungsmenü und wählen das VPN-Protokoll aus, das Sie verwenden möchten.

Screenshot des ExpressVPN-Protokolleinstellungsmenüs

Wenn in der benutzerdefinierten App keine VPN-Protokollauswahl vorhanden ist, können Sie möglicherweise alternative Protokolle mithilfe manueller Konfiguration installieren.

NordVPN ist ein Beispiel für einen VPN-Dienst, der unter OpenVPN ausgeführt wird, jedoch die manuelle Installation von IKEv2 ermöglicht.

Wenn Ihr VPN-Dienst eine alternative Protokollkonfiguration unterstützt, befolgen Sie die Anweisungen auf seiner Website sorgfältig.

Verschlüsseln alle VPNs Daten??

VPNs verschlüsseln von Natur aus Daten, aber es gibt einige Dienste, die behaupten, VPNs zu sein, ohne Verschlüsselung bereitzustellen. Hola Free VPN ist eines davon, und Sie sollten solche Produkte unbedingt vermeiden.

VPN-Browsererweiterungen sind ein weiteres Produkt, vor dem man sich ein wenig hüten sollte. Browsererweiterungen sind Proxy-Dienste und keine VPN-Dienste. Einige bieten Verschlüsselung an, andere nicht.

Die Browsererweiterungen, die Verschlüsselung bereitstellen, schützen nur den Browserverkehr in dem Webbrowser, in dem sie ausgeführt werden. Sie müssen also ein vollständiges VPN verwenden, um alle Ihre anderen Apps zu verschlüsseln.

Sind alle VPNs sicher zu bedienen??

Ja - wenn Sie die richtige Wahl treffen.

Nicht alle VPNs sind sicher zu bedienen. Selbst diejenigen, die die besten VPN-Protokolle und -Verschlüsselungen verwenden, können Ihre persönlichen Daten gefährden, indem Sie Ihre Online-Aktivitäten protokollieren.

Sie sollten nach einem VPN mit einer datenschutzfreundlichen Protokollierungsrichtlinie sowie einer suchen, die die sichersten VPN-Protokolle und -Verschlüsselungen unterstützt.

Schauen Sie sich unsere empfohlenen VPNs an - sie sind die sichersten, die es gibt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me