Kryptering er kjernen i VPN-teknologien. I denne guiden deler vi ut hvordan VPN-kryptering fungerer og hvordan den beskytter deg.

Veiledning for VPN-kryptering

Det som faktisk er kryptering?

Kryptering er prosessen med å kode data slik at bare de med autorisasjon kan få tilgang til dem, og forhindrer at noen andre gjør det.

Det er en prosess som innebærer erstatning av bokstaver og tall, slik at meldinger ser ut som gibberish med mindre du bruker riktig prosess for å avkode den - den prosessen er kjent som en "chiffer".

Gitt prosessorkraften til moderne datamaskiner, ville en hvilken som helst chiffer et menneske kan komme opp med være altfor lett å bryte.

Kraftige matematiske algoritmer brukes nå til å lage forskjellige metoder for kryptering, pluss de hemmelige chifferene som kreves for å dekryptere dem.

VPN-tjenester bruker kryptering for å opprette en sikker forbindelse (VPN-tunnelen) mellom enheten din og en VPN-server, slik at internettdataene dine er private fra ISP, hackere og andre tredjeparter..

I denne guiden lærer du alt om chiffer og VPN-protokoller, og finner ut hvilke som er de beste og sikreste å bruke.

Vi vil dele det hele ned på vanlig engelsk og forklare hele sjargongen på enkle ord, slik at du kan få en bedre forståelse av VPN-kryptering og alt det innebærer.

Krypteringsordliste

Skjermbilde av krypterte data på svart bakgrunn

La oss begynne med å definere noen av de viktige begrepene vi bruker når vi snakker om kryptering:

Begrep
Definisjon
algoritme Et sett med instruksjoner som må følges (av programvare) for å løse et problem. En chiffer er en algoritme for å utføre kryptering eller dekryptering.
Godkjenning En prosess for å sikre og bekrefte en brukers identitet.
Bit Forkortelse for ‘binært siffer’, det er den minste dateenheten på en datamaskin.
Blokkere En gruppe biter med fast lengde (f.eks. 64 biter)
Blokkstørrelse Maksimal lengde på en gruppe biter.
Brutalt styrkeangrep En metode for å prøve og gjette en hemmelighet ved å prøve alle mulige kombinasjoner av tegn. Det er en rå, uttømmende innsats i stedet for en mer komplisert eller strategisk. Se for deg at du ikke kan åpne hengelåsen på skapet ditt - snarere enn å prøve å huske koden, ved å tvinge den til, prøver du ganske enkelt hver kombinasjon fra 000 til 999 til den åpnes.
cipher En algoritme for å utføre kryptering og dekryptering.
kryptografi Kunsten å skrive og løse koder for å lage sikre meldinger, designet slik at bare de tiltenkte parter kan behandle og lese den.
kryptering Prosessen med å konvertere data til en kode for å forhindre uautorisert tilgang til den.
brannmur Programvare som overvåker og kontrollerer pakker med data som er innkommende eller utgående fra et nettverk. Du vil sannsynligvis være kjent med den på din stasjonære eller bærbare datamaskin, som er designet for å passe på hackere og virus.
Håndtrykk En prosess som initialiserer forbindelsen mellom to datamaskiner - som navnet antyder, det er en hilsen som fastsetter regler for kommunikasjon.
HTTPS Den står for ‘Hypertext Transfer Protocol Secure’, men ingen kaller det noensinne. Det er en sikker versjon av HTTP, protokollen som er grunnlaget for nettet, og som brukes for å sikre kommunikasjon mellom enheter og nettsteder forblir autentisert, privat og sikker.
Kernel Kjernen i et operativsystem. I en datamaskin kontrollerer den driften av datamaskinen og maskinvaren.
Nøkkel En streng med biter som brukes av en chiffer for å konvertere ‘ren tekst’ (ukryptert informasjon) til chiffertekst (kryptert informasjon), og omvendt. En nøkkel kan variere i lengde - generelt, jo lenger den er, desto lengre tid tar det å sprekke den.
Packet En pakke er en dataenhet som er dirigert mellom et opprinnelse og destinasjon i et nettverk, og som består av en topptekst, nyttelasten (dataene dine) og traileren, og vanligvis i en bestemt angitt størrelse, som samsvarer med nettverket MTU (Maximum Transmission Unit) størrelse. Når data må sendes over et nettverk, hvis det er større enn en pakke, kan det hende at det må deles opp i flere datapakker, som deretter sendes enkeltvis og dataene settes sammen på nytt på destinasjonen.
Havn Akkurat som en båt legger til ved en fysisk havn, representerer dataporter kommunikasjonens 'sluttpunkt'. All informasjon som når enheten din, gjør det via en port.
protokoll Et sett med regler som brukes til å forhandle om en forbindelse mellom en VPN-klient og en VPN-server. Noen er mer komplekse eller sikre enn andre - OpenVPN og IKEv2 er noen populære valg.

Krypteringsordliste

Nå vet vi hva begrepene betyr, det er på tide å forklare hva kryptering er og gjøre mer i dybden.

Typer av kryptering

Illustrasjon av to nøkler, den ene på toppen av den andre på en lyseblå bakgrunn

Det er to typer kryptering: symmetrisk og asymmetrisk.

Symmetrisk tastekryptering

Symmetrisk nøkkelkryptering er der bare en nøkkel brukes til å håndtere både kryptering og dekryptering av data.

Begge parter krever den samme nøkkelen for å kommunisere. Dette er den typen kryptering som brukes i VPN-teknologi.

Kraften til moderne datamaskiner betyr at tastene har måttet bli stadig lengre for å forhindre angrep fra brute-force (prøver hver kombinasjon for å finne riktig tast).

Den nåværende gullstandarden er 256-bits nøkkelen, som ikke kan brutt-tvunges, da det vil ta milliarder av år å løpe gjennom alle mulige kombinasjoner ved bruk av datamaskiner som er tilgjengelige i dag.

Asymmetrisk kryptering

Med asymmetrisk kryptografi (eller offentlig nøkkelkryptografi) bruker hver deltaker som ønsker å kommunisere sikkert programvare for å generere en offentlig nøkkel og tilsvarende privat nøkkel.

La oss som et eksempel ta to personer: Person A og Person B

Når Person A ønsker å sende en sikker melding til Person B, brukes Person B sin offentlige nøkkel i en chiffer for å konvertere ren tekstmelding til en kryptert melding.

Mens den krypterte meldingen kan reise fra A til B gjennom forskjellige andre parter (Personer C, D, E og F), vil alle som prøver å lese meldingen bare se den krypterte teksten.

Når Person B mottar den krypterte meldingen, bruker de sin private nøkkel til å dekode den krypterte meldingen tilbake til ren tekst.

Dette systemet brukes i økende grad av journalister, som for eksempel publiserer sin offentlige nøkkel i sine sosiale medieprofiler for kilder for å sende dem meldinger som bare kan dekrypteres med journalistens private nøkkel.

Det mest kjente slike systemet er Pretty Good Privacy (PGP). Det er mange forskjellige programvareverktøy som bruker OpenPGP, open source-versjonen av standarden.

Offentlig nøkkelkryptering brukes under et TLS-håndtrykk for å dele en symmetrisk nøkkel mellom klient og server på en sikker måte.

SSL & TLS

TLS / SSL er krypteringen som de fleste av oss har opplevd når du surfer på nettet på et sikkert nettsted som bruker HTTPS.

Du vet når et nettsted bruker HTTPS ved hjelp av hengelåssymbolet i nettleserens adressefelt.

Sikkerhetsprotokollen som brukes her er TLS (Transport Layer Security), som er basert på forgjengeren Secure Sockets Layer (SSL versjon 3.0).

TLS bruker en kombinasjon av offentlig nøkkel og symmetrisk kryptering for å sikre dine data.

Under TLS-håndtrykk bruker nettleseren din asymmetrisk kryptering for å kommunisere med den sikre sides server og generere en symmetrisk nøkkel.

Dette brukes deretter til å kryptere dataene som overføres mellom nettleseren og serveren.

Å generere en symmetrisk nøkkel for bruk er mye mer effektivt enn å bruke asymmetriske nøkler for all dataoverføring.

Dette er fordi asymmetrisk kryptering krever utrolig mye mer datakraft for å kryptere og dekryptere alle nødvendige data sammenlignet med å bruke en symmetrisk nøkkel.

Det kan derfor sies at symmetrisk nøkkelkryptering er den raskere krypteringsmetoden.

Selv om ovenstående er bra og genererer sikker kryptering, kan hver sikker økt generert av serveren dekrypteres med serverens private nøkkel.

Hvis den private nøkkelen noen gang skulle bli kompromittert, kan den stjålne private nøkkelen brukes til å dekryptere enhver sikker økt på den serveren, fortid eller nåtid.

For å unngå det, blir nå HTTPS- og OpenVPN-tilkoblinger ofte satt opp ved hjelp av Perfect Forward Secrecy, ved å bruke en algoritme kalt Diffie-Hellman Key Exchange som genererer den symmetriske nøkkelen.

Det kan høres forvirrende ut, men alt du virkelig trenger å forstå er at dette er den sikrere måten å gjøre ting på siden den symmetriske tasten aldri blir byttet ut over tilkoblingen, i stedet generert uavhengig av både serveren og nettleseren.

Nettleseren genererer en midlertidig privat nøkkel, og en tilsvarende offentlig nøkkel.

Den symmetriske nøkkelen for TLS-økten er basert på utdataene fra en algoritme som fungerer på en privat nøkkel på enheten (f.eks. En server), og den offentlige nøkkelen til den andre enheten (f.eks. Nettleseren din).

På grunn av de fine matematiske egenskapene til denne algoritmen og litt teknisk magi, vil nøkkelen som genereres av denne prosessen samsvare med både serveren og nettleseren..

Det betyr at hvis en tredjepart som Internett-leverandøren din eller regjeringen lagrer dine krypterte data fra tidligere økter, og den private nøkkelen ellers er kompromittert eller stjålet, vil de ikke kunne dekryptere disse dataene.

ExpressVPN er en VPN-tjeneste som bruker Perfect Forward Secrecy, og forhandler om en ny privat nøkkel hver gang du kobler til, og hvert 60. minutt mens en VPN-forbindelse brukes.

ExpressVPNs illustrasjon som demonstrerer hvordan appen bruker offentlige nøkler

Denne ExpressVPN-illustrasjonen viser hvordan VPN-appen bruker serverens offentlige nøkkel til å produsere et symmetrisk nøkkelpar ved å bruke asymmetrisk kryptering.

Nå som vi har forklart de forskjellige krypteringsmetodene som er tilgjengelige, la oss snakke om de forskjellige VPN-protokollene som er tilgjengelige.

VPN-protokoller

Hva er en VPN-protokoll?

VPN-protokoller representerer prosessene og sett med instruksjoner (eller regler) VPN-klienter stoler på for å etablere sikre forbindelser mellom en enhet og en VPN-server for å overføre data.

VPN-protokoller er dannet fra en kombinasjon av overføringsprotokoller og krypteringsstandarder.

Hvilke VPN-protokoller er for øyeblikket tilgjengelige?

Her er de viktigste VPN-tunneleringsprotokollene du trenger å vite om:

OpenVPN - Veldig sikker og rask

OpenVPN-logo

OpenVPN er bransjens gullstandard VPN-protokoll, og vi anbefaler at du bruker den når du kan.

Det er en av de mest sikre og sikre VPN-protokollene, og viktigst er åpen kildekode, noe som betyr at den er helt gjennomsiktig og fortsetter å bli offentlig testet og forbedret.

OpenVPN er veldig konfigurerbar, og selv om den ikke støttes naturlig av noen plattform, tilbyr de fleste VPN-leverandører gratis apper som støtter det.

Disse tilpassede VPN-appene er tilgjengelige på de fleste store plattformer som Microsoft Windows, Apple MacOS, Android, Linux og iOS.

Noen leverandører tilbyr også OpenVPN-konfigurasjonsfiler, noe som betyr at du kan laste ned den originale OpenVPN-klienten for plattformen din fra https://openvpn.net/ og bruke den til å koble til den valgte VPN-tjenesten.

OpenVPN fungerer både på UDP og TCP, som er typer kommunikasjonsprotokoller.

TCP (Transmission Control Protocol) er den mest brukte tilkoblingsprotokollen på internett. Dataene som sendes overføres i biter, vanligvis sammensatt av flere pakker.

TCP er designet for å levere de overførte dataene til OpenVPN-klienten i den rekkefølgen den ble sendt fra OpenVPN-serveren (f.eks. Pakker 1, 2, 3, 4 og 5 sendt fra OpenVPN mottas av OpenVPN-klienten i samme rekkefølge - 1 , 2, 3, 4, 5).

For å gjøre dette, kan TCP forsinke leveringen av pakkene den har mottatt over nettverket til OpenVPN-klienten til den har mottatt alle forventede pakker og omorganisert eventuelle uoppdaterte pakker på plass igjen.

TCP vil be om (og deretter vente på å motta) pakker som også kan ha gått tapt i overføring mellom server og klient.

Denne behandlingen og ventetiden legger til latenstid for VPN-tilkoblingen, noe som gjør tilkoblingen tregere enn UDP.

UDP (User Datagram Protocol) overfører ganske enkelt datapakker uten å kreve bekreftelse på ankomst, og UDP-pakkestørrelsene er mindre enn TCP.

Ved å bruke OpenVPN UDP resulterer den mindre pakkestørrelsen, mangelen på kontroller og omorganisering til en raskere forbindelse.

Så, som er bedre: TCP eller UDP?

Det avhenger av ønsket utfall.

Hvis du bruker en VPN for å spille, streame eller bruke VoIP-tjenester, er UDP det beste alternativet, ettersom det er raskere enn TCP.

Ulempen er at du kan oppleve noen tapte pakker, som for eksempel kan bety på en VOIP-samtale at du hører stemmen til personen du snakker med å kutte ut i en brøkdel av en annen midttale..

Du bør imidlertid bytte til TCP hvis du opplever tilkoblingsproblemer. TCP-port 443 er også nyttig for å omgå sensur, siden denne porten er standardporten for HTTPS, og det er derfor mindre sannsynlig å bli blokkert av brannmurer.

For kryptering bruker OpenVPN OpenSSL-biblioteket, som støtter en rekke chiffer.

OpenVPN-kryptering består av flere elementer: datakanal, kontrollkanal, serverautentisering og HMAC-autentisering:

  • Servergodkjenning funksjonene i det samme var som TLS eller HTTPS. OpenVPN kan bruke sertifikater for å bekrefte at serveren du snakker med er kryptografisk klarert.
  • De kontrollkanal brukes i den innledende fasen, utfører TLS-håndtrykk for å avtale krypteringsparametrene for sikker overføring av data, og autentisering av klienten til serveren.
  • De datakanal er laget som overfører informasjon mellom enheten din og OpenVPN Server. Dette laget er kryptert ved bruk av et symmetrisk krypteringsskjema for ytelse, hvis nøkkel ble oppnådd via kontrollkanalen.
  • HMAC-godkjenning brukes for å sikre at pakker som sendes ikke har blitt endret under transport av en mann-i-midten-angriper som har muligheten til å lese eller endre dataene i sanntid.

Vær oppmerksom på at noen VPN-tjenester ikke bruker noen steder i nærheten av samme krypteringsnivå på begge kanaler.

Å bruke svakere kryptering på datakanalen kan være en billig snarvei til en raskere tilkobling da bedre sikkerhet kommer på bekostning av hastigheten.

Dessverre er en VPN bare så sikker som det svakeste elementet, så du bør se etter en VPN som er så sterk som mulig i krypteringen av begge kanalene.

Vi vil gå nærmere inn på det i seksjonene nedenfor om chiffer og håndtrykk.

Nå som du vet hva den tryggeste VPN-protokollen er, bør du vite hva de andre er - pluss hvilken du skal unngå for enhver pris.

PPTP - Svak sikkerhet, unngå

Point-to-Point Tunneling Protocol (PPTP) en av de eldste VPN-protokollene som fortsatt er i bruk i dag. Den ble utviklet av et Microsoft-finansiert team og utgitt i 1999.

Til tross for at den er foreldet, har PPTP noen positive ting: den er kompatibel med stort sett alt, den trenger ikke tilleggsprogramvare som den er inkludert i moderne operativsystemer, og den er veldig rask.

Det største problemet er at det har vist seg å være usikkert og lett å sprekke (et angrep vil vanligvis ta mellom ett minutt og 24 timer).

Illustrasjon av hackere som stjeler kredittkort og identitet, med en ulåst hengelås på dataskjermen

PPTP er også enkel å blokkere fordi den er avhengig av GRE-protokollen, som lett er brannmuret.

Du bør unngå å bruke denne protokollen med mindre det er absolutt nødvendig å endre IP-adressen din av ikke-sensitive grunner. Vi anser PPTP for å være usikker.

L2TP / IPsec - Sikker, men kan være treg

Layer 2 Tunneling Protocol (LT2P) tar de beste funksjonene i både Microsofts Point-to-Point Tunneling Protocol (PPTP) og Cisco's Layer 2 Forwarding Protocol (L2F) og brukes til å lage en tunnel mellom en klientenhet og en server over nettverket.

L2TP kan håndtere autentisering, men gir ingen krypteringsfunksjoner.

Derfor implementeres L2TP vanligvis med Internet Protocol Security (IPsec) for å lage sikre pakker som gir autentisering, integritet og kryptering av data.

Dette er mer kjent som L2TP / IPsec, og data blir vanligvis kryptert ved hjelp av AES-krypteringen, som du kan lese mer om her.

Når du kobler til en VPN-server med L2TP / IPsec, brukes IPsec for å lage en sikker kontrollkanal mellom klient og server.

Pakker med data fra enhetsapplikasjonen din (som nettleseren din, for eksempel) er innkapslet av L2TP. IPSec krypterer deretter disse L2TP-dataene og sender dem til serveren, som deretter utfører omvendt prosess, dekrypterer og avkapsler dataene.

Når det gjelder hastighet, bør L2TP / IPsecs doble innkapsling (egentlig en tunnel i en tunnel) gjøre den tregere enn OpenVPN.

Imidlertid er det faktisk teoretisk raskere fordi kryptering og dekryptering foregår i kjernen, som kan behandle pakker effektivt med minimum overhead.

L2TP / IPsec anses generelt som trygt når den brukes med AES-chiffer.

Men det har kommet forslag om at protokollen er kompromittert av NSA, og at IPsec bevisst ble svekket under opprettelsen.

Det har imidlertid ikke vært noen offisiell bekreftelse på dette.

Hovedproblemet med L2TP / IPsec og bruken av dem i VPN-tjenester ligger hos de tjenestene som bruker forhåndsdelte nøkler (også kjent som en delt hemmelighet) som kan lastes ned fra VPN-tjenestens nettsteder og derfor er tilgjengelige for alle.

Selv om disse nøklene bare brukes til å autentisere forbindelsen med VPN-serverne, og selve dataene forblir kryptert via en egen nøkkel, åpner de for mulige MITM-angrep (Man in-the-middle).

Det er her angriperen utgir seg etter en VPN-server for å dekryptere trafikken og avlyttingen på tilkoblingen.

L2TP / IPsec bruker også et begrenset antall faste porter, noe som gjør det relativt enkelt å blokkere.

Til tross for disse problemene, er LT2P / IPsec et solid valg gitt at det støttes innfødt av så mange plattformer så lenge forhåndsdelte nøkler ikke brukes..

SSTP - Lukket kilde med potensielle risikoer

Secure Socket Tunneling Protocol (SSTP) er en Microsoft-eid proprietær protokoll som er basert på SSL 3.0, noe som betyr at den, som OpenVPN, kan bruke TCP-port 443.

Siden SSTP ikke er åpen kildekode, er det umulig å motbevise forslag om bakdører eller andre sårbarheter som er til stede i protokollen.

Denne risikoen oppveier langt fordelene ved dens nære integrasjon med Windows.

Et annet rødt flagg er at SSL 3.0 er sårbar for et menneske i midten angrep kjent som POODLE.

Det er ikke bekreftet om SSTP er berørt, men etter vårt syn er det ikke verdt risikoen.

IKEv2 / IPSec - Veldig raskt, sikkert og stabilt

Internet Key Exchange versjon 2 (IKEv2) er en nyere VPN-protokoll, og en annen standard med lukket kildekode utviklet i samarbeid mellom Microsoft og Cisco.

IKEv2 støttes av iOS, BlackBerry og Windows versjoner 7 og nyere.

Imidlertid er det open source-versjoner av IKEv2 utviklet for Linux som ikke har samme tillitsproblemer som den proprietære versjonen.

På samme måte som L2TP / IPsec, brukes IKEv2 sammen med IPsec når en del av en VPN-løsning, men tilbyr mer funksjonalitet.

IKEv2 / IPSec kan håndtere endring av nettverk gjennom noe som kalles MOBIKE-protokollen - nyttig for mobile brukere som er utsatt for at forbindelsen deres faller, og er raskere på grunn av at de er programmert for å utnytte båndbredden bedre..

IKEv2 / IPSec støtter også et bredere spekter av krypteringssifere enn L2TP / IPSec.

Men IKEv2 kutter det ikke når du prøver å koble deg ut fra et høyt sensurert land. Dette er fordi IKEv2 bruker spesifiserte porter som er veldig enkle for Great Firewall å blokkere.

WireGuard - Lovende ny protokoll

WireGuard-logo

Wireguard er en ny tunnelprotokoll som tar sikte på å være raskere og bedre enn den nåværende mest populære protokollen, OpenVPN.

WireGuard tar sikte på å takle problemene som ofte er forbundet med OpenVPN og IPsec: nemlig komplisert oppsett, pluss frakoblinger (uten tilleggskonfigurasjon) og de tilhørende lange tilkoblingstidene som følger.

Mens OpenVPN + OpenSSL og IPsec har en stor kodebase (~ 100 000 kodelinjer for OpenVPN og 500 000 for SSL) og IPsec (400 000 linjer med kode), som gjør det vanskelig å finne feil, veier Wireguard for tiden inn under 5 000 linjer i størrelse.

Men Wireguard er fortsatt under utvikling.

Mens Wireguard benchmarks viser at det er veldig raskt, er det problemer i implementeringen som kan gjøre det uegnet for bruk av en kommersiell VPN-leverandør.

En av dem er at den krever at en ikke-offentlig IP-adresse tilordnes hver bruker, noe som legger til et element ved å logge enhver seriøs VPN-bruker ville være ubehagelig med.

Hvorfor?

Fordi denne ikke-offentlige IP-adressen kan brukes til å identifisere deg.

Det arbeides imidlertid med å løse dette.

Det er fremdeles tidlige dager for WireGuard, og det har ennå ikke fullstendig bevist seg - imidlertid øker antall VPN-leverandører det til kundene sine bare for testformål, inkludert IVPN og AzireVPN.

Kampanje på IVPNs nettsted og snakker om implementeringen av WireGuard

VPN-protokoller gir rammen for sikker kryptering, og la oss nå finne ut hvilken rolle cifferene spiller og hvilke forskjellige forskjellige brikker som er tilgjengelige.

ciphers

En chiffer er egentlig en algoritme for kryptering og dekryptering av data. VPN-protokoller bruker en rekke chiffer, og følgende er de mest brukte:

AES

Advanced Encryption Standard (AES) er en symmetrisk nøkkelkryptering som ble opprettet av U.S. National Institute of Standards and Technology (NIST) i 2001.

Det er gullstandarden for krypteringsprotokoller på nettet, og brukes tungt av VPN-bransjen. AES regnes som en av de sikreste chifferene å bruke.

AES har en blokkstørrelse på 128 biter, noe som betyr at AES kan håndtere større filstørrelser enn andre chiffer, for eksempel Blowfish som har en 64-bit blokkstørrelse.

AES kan brukes med forskjellige nøkkellengder. Mens AES-128 fremdeles anses som sikker, foretrekkes AES-256 da den gir større beskyttelse. AES-192 er også tilgjengelig.

Illustrasjon av en banksafe på blå bakgrunn

Når du leser om ‘militær klasse’ eller ‘bankgrad’ -kryptering på en VPN-tjenestes nettsted, refererer den vanligvis til AES-256, som brukes av den amerikanske regjeringen til Top Secret-data.

Blowfish

Blowfish er en annen symmetrisk nøkkel-chiffer, designet i 1993 av den amerikanske kryptografen Bruce Schneier.

Blowfish var tidligere standardkoderen som ble brukt i OpenVPN, men har i stor grad blitt erstattet av AES-256.

Når Blowfish brukes, vil du vanligvis se den brukes med en 128-bits nøkkellengde, selv om den kan variere fra 32 biter til 448 biter.

Blowfish har noen svakheter, inkludert dets sårbarhet for ‘bursdagsangrep’, noe som betyr at den egentlig bare skal brukes som et tilbakeblikk til AES-256.

Camellia

Camellia er også en symmetrisk nøkkel-kode, og den er veldig lik AES når det gjelder sikkerhet og hastighet.

Hovedforskjellen er at Camellia ikke er sertifisert av NIST, den amerikanske organisasjonen som opprettet AES.

Selv om det er et argument for å bruke en kode som ikke er tilknyttet den amerikanske regjeringen, er den sjelden tilgjengelig i VPN-programvare, og den har heller ikke blitt testet så grundig som AES.

VPN-håndtrykk

Illustrasjon av to hender som rister

Akkurat som med å starte en sikker økt på et HTTPS-nettsted, krever sikker tilkobling til en VPN-server bruk av offentlig nøkkelkryptering (vanligvis ved bruk av RSA-kryptosystemet) via et TLS-håndtrykk.

RSA har vært grunnlaget for Internett-sikkerhet i løpet av de to siste tiårene, men dessverre ser det ut som sannsynlig at den svakere versjonen, RSA-1024, er blitt knust av NSA.

Mens de fleste VPN-tjenester har flyttet fra RSA-1024, fortsetter et mindretall å bruke det og bør derfor unngås. Se etter RSA-2048, som fremdeles anses som sikker.

Ideelt sett vil ekstra kryptering brukes til å skape perfekt fremoverhemmelighet. Dette vil typisk skje via inkludering av Diffie-Hellman (DH) eller Elliptisk kurve Diffie-Hellman (ECDH) nøkkelutveksling.

Mens ECDH kan brukes på egen hånd for å skape en sikker håndtrykk, bør DH alene unngås da det er sårbart for å bli sprukket. Dette er ikke et problem når det brukes sammen med RSA.

SHA Hash-godkjenning

Secure Hash Algorithms (SHA) brukes for å garantere integriteten til overførte data og SSL / TLS-tilkoblinger, for eksempel OpenVPN-tilkoblinger, for å sikre at informasjon ikke har blitt endret i transitt mellom kilde og destinasjon.

Sikre Hash-algoritmer fungerer ved å transformere kildedata ved å bruke den som er kjent som en hasjfunksjon, hvorved den originale kildemeldingen kjøres gjennom en algoritme og resultatet er en streng streng med tegn som ikke ligner originalen - "hash-verdien".

Det er en enveis funksjon - du kan ikke kjøre en de-hash-prosess for å bestemme den opprinnelige meldingen fra hash-verdien.

Hashing er nyttig fordi det å endre bare ett tegn i inndatakildedataene totalt vil endre hashverdien som sendes ut fra hasjfunksjonen.

En VPN-klient vil kjøre dataene som er mottatt fra serveren, kombinert med den hemmelige nøkkelen, gjennom hasjfunksjonen som ble avtalt under VPN-håndtrykk.

Hvis hashverdien klienten genererer, skiller seg fra hashverdien i meldingen, blir dataene kastet når meldingen er tuklet med.

SHA-hash-godkjenning forhindrer angrep fra midten av midten ved å kunne oppdage manipulering med et gyldig TLS-sertifikat.

Uten den kunne en hacker etterligne den legitime serveren og lure deg til å koble til en utrygg en, der aktiviteten din kan overvåkes.

Det anbefales at SHA-2 (eller høyere) skal brukes for å forbedre sikkerheten, ettersom SHA-1 har bevist svakheter som kan svekke sikkerheten.

Hva er en VPN? Forklaring Diagram

Vi har dekket mye grunn i denne guiden for kryptering, men du har fremdeles noen mer generelle spørsmål knyttet til VPN-er og protokoller som trenger svar.

Her er de vanligste spørsmålene vi hører:

Hva er den tryggeste VPN-protokollen?

OpenVPN brukt med AES-256-chiffer regnes generelt som den beste og sikreste VPN-protokollen. OpenVPN er åpen kildekode og er offentlig testet for svakheter.

OpenVPN tilbyr en god balanse mellom personvern og ytelse, og er kompatibel med mange populære plattformer. Mange kommersielle VPN-tjenester bruker OpenVPN som standard.

IKEv2 er et godt alternativ for mobile enheter, ettersom den håndterer nettverksendringer mer effektivt, og automatisk gjenoppretter nedlagte forbindelser med letthet og hastighet.

Hvordan endrer jeg VPN-protokoll?

Noen VPN-tjenester, som ExpressVPN, lar deg endre VPN-protokollen i VPN-appens innstillingsmeny.

Hvis dette er tilfelle, åpner du bare innstillingsmenyen og velger VPN-protokollen du vil bruke.

Skjermbilde av ExpressVPN-protokollinnstillingsmenyen

Hvis det ikke er valg av VPN-protokoll i den tilpassede appen, kan det hende du kan installere alternative protokoller ved å bruke manuell konfigurasjon.

NordVPN er ett eksempel på en VPN-tjeneste som kjører på OpenVPN, men tillater manuell installasjon av IKEv2.

Hvis VPN-tjenesten din støtter alternativ protokollkonfigurasjon, må du følge instruksjonene som gis på nettstedet nøye.

Krypter alle VPN-er?

VPN-er i sin natur krypterer data, men det er noen tjenester der ute som hevder å være VPN-er mens de ikke gir noen kryptering. Hola Free VPN er en av disse, og du bør unngå produkter som det for enhver pris.

VPN-nettleserutvidelser er et annet produkt å være litt på vakt mot. Nettleserutvidelser er proxy-tjenester i stedet for VPN-tjenester, og mens noen gir kryptering, andre ikke.

Nettleserutvidelsene som gir kryptering vil bare beskytte nettlesertrafikken din i nettleseren den kjører i, så du må bruke en full VPN for å kryptere alle andre apper.

Er alle VPN-er trygge å bruke?

Ja - hvis du tar det riktige valget.

Ikke alle VPN-er er trygge å bruke. Selv de som bruker de beste VPN-protokollene og sifrene kan sette personopplysningene dine i fare ved å logge dine online aktiviteter.

Du bør se etter en VPN med en personvernvennlig loggføringspolicy, så vel som en som støtter de sikreste VPN-protokollene og sifrene.

For å gjøre ting enklere for deg, hvorfor ikke ta en titt på våre høyest anbefalte VPN-er - de er de tryggeste rundt deg.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me