Šifrovanie je v centre technológie VPN. V tejto príručke uvádzame, ako funguje šifrovanie VPN a ako vás chráni.

Sprievodca šifrovaním VPN

Čo je to vlastne šifrovanie?

Šifrovanie je proces kódovania údajov tak, aby k nim mali prístup iba tí, ktorí majú oprávnenie, čím bráni komukoľvek inému.

Je to proces, ktorý spočíva v nahradení písmen a číslic, vďaka čomu správy vyzerajú ako blbosť, pokiaľ na ich dekódovanie nepoužijete správny proces - tento proces sa nazýva „šifra“.

Vzhľadom na výpočtovú silu moderných počítačov by bolo akékoľvek šifry, ktoré by človek mohol prísť, príliš ľahké rozbiť.

Na vytvorenie rôznych metód šifrovania sa teraz používajú výkonné matematické algoritmy a tajné šifry potrebné na ich dešifrovanie..

Služby VPN používajú šifrovanie na vytvorenie bezpečného spojenia (tunela VPN) medzi zariadením a serverom VPN, čím chránia vaše internetové údaje v tajnosti od vášho poskytovateľa internetových služieb, hackerov a akýchkoľvek ďalších snooping tretích strán..

V tejto príručke sa dozviete všetko o šifroch a protokoloch VPN a zistíte, ktoré sú najlepšie a najbezpečnejšie na použitie..

Všetko rozdelíme na jednoduchú angličtinu a vysvetlíme jednoduchý žargón, aby ste lepšie porozumeli šifrovaniu VPN a všetkému, čo z toho vyplýva..

Slovník šifrovania

Snímka obrazovky šifrovaných údajov na čiernom pozadí

Začnime definovaním niektorých dôležitých výrazov, ktoré používame pri hovorení o šifrovaní:

termín
definícia
algoritmus Súbor pokynov, ktoré je potrebné dodržiavať (softvérom), aby sa vyriešil problém. Šifra je algoritmus na vykonávanie šifrovania alebo dešifrovania.
Overenie Proces na zabezpečenie a potvrdenie totožnosti používateľa.
Trocha Skratka pre „binárnu číslicu“ je najmenšou jednotkou údajov v počítači.
blok Skupina bitov s pevnou dĺžkou (napr. 64 bitov)
Veľkosť bloku Maximálna dĺžka skupiny bitov.
Útok hrubou silou Metóda, ktorá sa snaží uhádnuť tajomstvo vyskúšaním každej možnej kombinácie znakov. Je to skôr hrubé, vyčerpávajúce úsilie ako zložitejšie alebo strategické úsilie. Predstavte si, že nemôžete otvoriť zámok na uzamykateľnej skrinke - namiesto toho, aby ste sa snažili zapamätať si kód, vynútením kódu si ho jednoducho vyskúšajte od 000 do 999, kým sa neotvorí.
šifra Algoritmus na vykonávanie šifrovania a dešifrovania.
Cryptography Umenie písania a riešenia kódov na vytváranie bezpečných správ, navrhnuté tak, aby ich mohli spracovávať a čítať iba zamýšľané strany.
šifrovanie Proces konverzie údajov do kódu s cieľom zabrániť neoprávnenému prístupu k nemu.
POŽARNE dvere Softvér, ktorý monitoruje a riadi pakety údajov prichádzajúcich alebo odchádzajúcich zo siete. Pravdepodobne budete oboznámení s tým na vašom stolnom alebo prenosnom počítači, ktorý je navrhnutý tak, aby dával pozor na hackerov a vírusy.
podanie ruky Proces, ktorý inicializuje spojenie medzi dvoma počítačmi - ako naznačuje jeho názov, je to pozdrav, ktorý stanovuje pravidlá pre komunikáciu.
HTTPS Je to skratka „Hypertext Transfer Protocol Secure“, ale nikto to nikdy nenazval. Je to bezpečná verzia protokolu HTTP, protokolu, ktorý je základom webu, a používa sa na zabezpečenie autentifikácie, súkromia a bezpečnosti komunikácie medzi zariadeniami a webovými stránkami..
jadro Jadro operačného systému. V počítači riadi činnosť počítača a jeho hardvér.
kľúč Reťazec bitov, ktorý používa šifra na konverziu „obyčajného textu“ (nešifrovaná informácia) na šifrový text (šifrovaná informácia) a naopak. Dĺžka kľúča sa môže líšiť - vo všeobecnosti, čím dlhšie je, tým dlhšie bude trvať.
balíček Paket je jednotka dát smerovaná medzi počiatočným a cieľovým miestom v sieti a skladá sa z hlavičky, užitočného zaťaženia (vaše údaje) a prívesu a zvyčajne so špecifickou veľkosťou súboru, ktorá zodpovedá MTU siete (maximum) Prenosová jednotka) veľkosť. Ak je potrebné odoslať údaje cez sieť, ak sú väčšie ako paket, možno bude potrebné rozčleniť ich do viacerých dátových paketov, ktoré sa potom odošlú jednotlivo a údaje sa znova zostavia v cieľovom mieste..
prístav Podobne ako prístavisko lodí vo fyzickom prístave, počítačové prístavy predstavujú „koncový bod“ komunikácie. Akékoľvek informácie, ktoré sa dostanú k vášmu zariadeniu, sa zobrazujú prostredníctvom portu.
Protokol Sada pravidiel používaných na dojednanie spojenia medzi klientom VPN a serverom VPN. Niektoré sú zložitejšie alebo bezpečnejšie ako iné - OpenVPN a IKEv2 sú niektoré populárne voľby.

Slovník šifrovania

Teraz vieme, čo tieto výrazy znamenajú, je čas vysvetliť, čo je šifrovanie a čo do hĺbky.

Typy šifrovania

Ilustrácia dvoch kľúčov, jeden nad druhým na bledomodrom pozadí

Existujú dva typy šifrovania: symetrické a asymetrické.

Symetrické šifrovanie kľúčov

Šifrovanie pomocou symetrického kľúča je miesto, kde sa na manipuláciu so šifrovaním aj dešifrovaním údajov používa iba jeden kľúč.

Obe strany vyžadujú na komunikáciu ten istý kľúč. Toto je druh šifrovania používaného v technológii VPN.

Sila moderných počítačov znamená, že kľúče museli byť stále dlhšie, aby zabránili útokom hrubou silou (pri každej kombinácii sa snaží nájsť ten správny kľúč).

Súčasný zlatý štandard je 256-bitový kľúč, ktorý nemožno vynútiť hrubou depresiou, pretože behom všetkých dostupných kombinácií pri použití počítačov, ktoré sú dnes k dispozícii, by to trvalo miliardy rokov..

Asymetrické šifrovanie

S asymetrickou kryptografiou (alebo kryptografiou s verejným kľúčom) každý účastník, ktorý chce bezpečne komunikovať, používa softvér na vygenerovanie verejného kľúča a zodpovedajúceho súkromného kľúča..

Zoberme si napríklad dvoch ľudí: osobu A a osobu B

Ak chce osoba A poslať bezpečnú správu osobe B, použije sa v šifre verejný kľúč osoby B na konverziu správy vo formáte obyčajného textu na šifrovanú správu..

Kým zašifrovaná správa môže cestovať z A do B cez rôzne iné strany (osoby C, D, E a F), každý, kto sa pokúsi správu prečítať, uvidí iba zašifrovaný text..

Keď osoba B prijme šifrovanú správu, použije svoj súkromný kľúč na dekódovanie zašifrovanej správy späť na obyčajný text.

Tento systém čoraz viac používajú novinári, ktorí napríklad zverejňujú svoj verejný kľúč na svojich profiloch sociálnych médií, aby im posielali správy, ktoré je možné dešifrovať iba súkromným kľúčom novinárov..

Najznámejším takýmto systémom je Pretty Good Privacy (PGP). Existuje veľa rôznych softvérových nástrojov, ktoré používajú OpenPGP, verziu s otvoreným zdrojovým kódom normy.

Šifrovanie pomocou verejného kľúča sa používa počas výmeny TLS na bezpečné zdieľanie symetrického kľúča medzi klientom a serverom..

SSL & TLS

TLS / SSL je šifrovanie, ktoré väčšina z nás zažila pri prehliadaní webu na zabezpečenej webovej stránke používajúcej protokol HTTPS.

Keď web používa HTTPS pomocou symbolu visiaceho zámku na paneli s adresou prehliadača, budete vedieť.

Tu sa používa bezpečnostný protokol TLS (Transport Layer Security), ktorý je založený na jeho predchádzajúcej vrstve Secure Sockets Layer (SSL Version 3.0)..

TLS používa na ochranu vašich údajov kombináciu verejného kľúča a symetrického šifrovania.

Počas komunikácie s TLS váš prehliadač používa asymetrické šifrovanie na komunikáciu so serverom zabezpečenej stránky a na bezpečné vygenerovanie symetrického kľúča..

To sa potom používa na šifrovanie údajov prenášaných medzi prehliadačom a serverom.

Vytvorenie symetrického kľúča na použitie je omnoho efektívnejšie ako použitie asymetrických kľúčov na prenos všetkých údajov.

Dôvodom je, že asymetrické šifrovanie vyžaduje neuveriteľné množstvo výpočtového výkonu na šifrovanie a dešifrovanie všetkých potrebných údajov v porovnaní s použitím symetrického kľúča..

Dá sa teda povedať, že symetrické šifrovanie kľúča je rýchlejšia metóda šifrovania.

Aj keď vyššie uvedené je dobré a generuje bezpečné šifrovanie, každú bezpečnú reláciu vygenerovanú serverom je možné dešifrovať súkromným kľúčom servera..

Ak by bol tento súkromný kľúč niekedy ohrozený, odcudzený súkromný kľúč sa potom môže použiť na dešifrovanie akejkoľvek zabezpečenej relácie na tomto serveri, minulosti alebo súčasnosti..

Aby sa tomu zabránilo, pripojenia HTTPS a OpenVPN sa teraz bežne vytvárajú pomocou Perfect Forward Secrecy, používajúc algoritmus nazývaný Diffie-Hellman Key Exchange, ktorý generuje symetrický kľúč.

Môže to znieť mätúce, ale všetko, čo skutočne potrebujete pochopiť, je to, že toto je bezpečnejší spôsob, ako ísť o veciach, pretože symetrický kľúč sa nikdy nevymieňa počas pripojenia, namiesto toho ho vygeneruje nezávisle server aj webový prehľadávač..

Prehliadač vygeneruje dočasný súkromný kľúč a zodpovedajúci verejný kľúč.

Symetrický kľúč pre reláciu TLS je založený na výstupe algoritmu, ktorý pracuje na súkromnom kľúči zariadenia (napr. Server) a verejnom kľúči druhého zariadenia (napr. Vášho prehliadača)..

Vzhľadom na fantastické matematické vlastnosti tohto algoritmu a určitú technickú mágiu sa kľúč vygenerovaný týmto procesom zhoduje na serveri aj v prehliadači..

To znamená, že ak tretia strana, napríklad poskytovateľ internetových služieb alebo vláda, ukladá vaše zašifrované údaje z predchádzajúcich relácií a súkromný kľúč je inak kompromitovaný alebo odcudzený, nebudú môcť tieto údaje dešifrovať..

ExpressVPN je jedna služba VPN, ktorá používa technológiu Perfect Forward Secrecy a rokuje o novom súkromnom kľúči vždy, keď sa pripájate, a každých 60 minút, keď sa používa pripojenie VPN..

Prezentácia ExpressVPN ukazuje, ako aplikácia používa verejné kľúče

Tento obrázok ExpressVPN ukazuje, ako aplikácia VPN používa verejný kľúč servera na vytvorenie symetrického páru kľúčov pomocou asymetrického šifrovania..

Teraz, keď sme vysvetlili rôzne dostupné spôsoby šifrovania, hovorme o rôznych dostupných protokoloch VPN.

Protokoly VPN

Čo je to protokol VPN?

Protokoly VPN predstavujú procesy a súbory pokynov (alebo pravidiel), na ktoré sa klienti VPN spoliehajú pri vytváraní bezpečných spojení medzi zariadením a serverom VPN za účelom prenosu údajov.

Protokoly VPN sú tvorené kombináciou prenosových protokolov a šifrovacích štandardov.

Ktoré protokoly VPN sú momentálne k dispozícii?

Tu sú hlavné protokoly tunelového prepojenia VPN, o ktorých potrebujete vedieť:

OpenVPN - veľmi bezpečné a rýchle

Logo OpenVPN

OpenVPN je štandardný štandardný protokol VPN VPN a odporúčame vám ho používať kedykoľvek je to možné.

Je to jeden z najbezpečnejších a najbezpečnejších protokolov VPN a čo je najdôležitejšie, je otvorený zdroj, čo znamená, že je úplne transparentný a naďalej sa verejne testuje a vylepšuje..

OpenVPN je veľmi konfigurovateľný a hoci nie je natívne podporovaný žiadnou platformou, väčšina poskytovateľov VPN ponúka bezplatné aplikácie, ktoré ho podporujú..

Tieto vlastné aplikácie VPN sú k dispozícii na väčšine hlavných platforiem, ako sú Microsoft Windows, Apple MacOS, Android, Linux a iOS.

Niektorí poskytovatelia tiež ponúkajú konfiguračné súbory OpenVPN, čo znamená, že si môžete stiahnuť originálneho klienta OpenVPN pre svoju platformu z https://openvpn.net/ a použiť ho na pripojenie k vybranej službe VPN..

OpenVPN funguje na UDP aj TCP, čo sú typy komunikačných protokolov.

TCP (Transmission Control Protocol) je najpoužívanejší protokol pripojenia na internete. Dáta, ktoré sa odosielajú, sa prenášajú v blokoch, zvyčajne pozostávajúcich z niekoľkých paketov.

TCP je určený na doručovanie prenesených údajov klientovi OpenVPN v poradí, v akom boli odoslané zo servera OpenVPN (napr. Pakety 1, 2, 3, 4 a 5 odoslané z OpenVPN sú prijímané klientom OpenVPN v rovnakom poradí - 1 , 2, 3, 4, 5).

Za týmto účelom môže TCP oneskoriť doručovanie paketov, ktoré prijal v sieti, klientovi OpenVPN, až kým neprijme všetky očakávané pakety a znovu usporiada všetky pakety mimo objednávky..

TCP znova požiada (a potom čaká na prijatie) pakety, ktoré sa mohli stratiť pri prenose medzi serverom a klientom.

Toto spracovanie a čas čakania zvyšujú latenciu pripojenia VPN, takže pripojenie je pomalšie ako UDP.

UDP (User Datagram Protocol) jednoducho vysiela dátové pakety bez potreby potvrdenia príchodu a veľkosť paketov UDP je menšia ako TCP.

Použitím OpenVPN UDP, menšia veľkosť paketu, nedostatok kontrol a reorganizácia vedie k rýchlejšiemu pripojeniu.

Takže, čo je lepšie: TCP alebo UDP?

Závisí to od vášho želaného výsledku.

Ak používate sieť VPN na hranie, streamovanie alebo používanie služieb VoIP, potom je vaša najlepšia stávka UDP, pretože je rýchlejšia ako TCP.

Nevýhodou je, že sa môžu vyskytnúť niektoré stratené pakety, čo by napríklad mohlo znamenať, že pri hovore VOIP budete počuť hlas osoby, s ktorou hovoríte, aby vyrezal zlomok druhej polovice hovoru.

Ak však máte problémy s pripojením, mali by ste prejsť na TCP. TCP port 443 je tiež užitočný na obídenie cenzúry, pretože tento port je predvolený port pre HTTPS, a preto je menej pravdepodobné, že bude blokovaný bránami firewall..

Na šifrovanie OpenVPN používa knižnicu OpenSSL, ktorá podporuje celý rad šifrov.

Šifrovanie OpenVPN pozostáva z niekoľkých prvkov: dátový kanál, riadiaci kanál, autentifikácia servera a autentifikácia HMAC:

  • Autentifikácia servera rovnaké funkcie ako TLS alebo HTTPS. OpenVPN môže používať certifikáty na overenie, že server, s ktorým hovoríte, je kryptograficky dôveryhodný.
  • riadiaci kanál sa používa v počiatočnej fáze, pričom sa vykonáva TLS handshake na dohodnutie parametrov šifrovania na bezpečný prenos údajov a autentifikácia klienta na server.
  • dátový kanál je vrstva, ktorá prenáša informácie medzi zariadením a serverom OpenVPN. Táto vrstva je šifrovaná pomocou symetrickej šifrovacej schémy výkonu, kľúč, pre ktorý bol získaný prostredníctvom riadiaceho kanála.
  • Autentifikácia HMAC sa používa na zabezpečenie toho, aby odosielané pakety neboli pri tranzite zmenené útočníkom typu človek v strede, ktorý má schopnosť čítať alebo meniť údaje v reálnom čase.

Upozorňujeme, že niektoré služby VPN nepoužívajú kdekoľvek v blízkosti rovnakej úrovne šifrovania na oboch kanáloch.

Použitie slabšieho šifrovania na dátovom kanáli môže byť lacnou skratkou rýchlejšieho pripojenia, pretože lepšia bezpečnosť prichádza na úkor rýchlosti.

VPN je bohužiaľ len taká bezpečná ako jej najslabší prvok, takže by ste mali hľadať VPN, ktorá je pri šifrovaní oboch kanálov čo najsilnejšia..

Bližšie sa k tomu pozrieme v sekciách nižšie o šifrách a handshake.

Teraz, keď viete, čo je najbezpečnejší protokol VPN, mali by ste vedieť, aké sú ostatné - a ktorý z nich sa má vyhnúť za každú cenu.

PPTP - Slabá bezpečnosť, Vyhnite sa

Protokol Point-to-Point Tunneling Protocol (PPTP), jeden z najstarších protokolov VPN, ktorý sa v súčasnosti používa. Bol vyvinutý tímom financovaným spoločnosťou Microsoft a uverejnený v roku 1999.

Napriek tomu, že PPTP je zastaralý, má niekoľko pozitív: je kompatibilný s takmer všetkým, nepotrebuje ďalší softvér, pretože je súčasťou moderných operačných systémov, a je veľmi rýchly.

Hlavným problémom je to, že sa ukázalo, že je neistý a ľahko rozlúskateľný (útok zvyčajne trvá jednu minútu až 24 hodín)..

Ilustrácia hackerov, ktorí kradnú kreditnú kartu a totožnosť, s odomknutým visiacim zámkom na obrazovke počítača

Blokovanie protokolu PPTP je tiež jednoduché, pretože sa spolieha na protokol GRE, ktorý je ľahko firewall.

Mali by ste sa vyhnúť používaniu tohto protokolu, pokiaľ to nie je absolútne nevyhnutné na zmenu adresy IP z dôvodov, ktoré nie sú citlivé. PPTP považujeme za neistú.

L2TP / IPsec - bezpečný, ale môže byť pomalý

Protokol vrstvy 2 (Tunneling Protocol) (LT2P) preberá najlepšie vlastnosti protokolu Microsoft Point-to-Point Tunneling Protocol (PPTP) a protokolu Cisco Layer 2 Forwarding Protocol (L2F) a používa sa na vytvorenie tunela medzi klientskym zariadením a serverom v sieti..

L2TP dokáže spracovať autentizáciu, ale neposkytuje žiadne šifrovacie schopnosti.

Preto sa protokol L2TP zvyčajne implementuje pomocou protokolu IPsec (Internet Protocol Security) na vytváranie bezpečných paketov, ktoré poskytujú autentifikáciu, integritu a šifrovanie údajov..

Toto je častejšie známe ako L2TP / IPsec a údaje sú zvyčajne šifrované pomocou AES šifry, o ktorej si môžete prečítať viac tu.

Pri pripájaní k serveru VPN pomocou protokolu L2TP / IPsec sa protokol IPsec používa na vytvorenie zabezpečeného riadiaceho kanála medzi klientom a serverom.

Balíky dát z vašej aplikácie prístroja (napríklad webový prehliadač) sú zapuzdrené protokolom L2TP. IPSec potom šifruje tieto údaje L2TP a odošle ich na server, ktorý potom vykoná spätný proces, dešifruje a dekapsuluje údaje.

Z hľadiska rýchlosti by dvojité zapuzdrenie L2TP / IPsec (v podstate tunel v tuneli) malo spôsobiť, že je pomalšie ako OpenVPN..

Je to však teoreticky rýchlejšie, pretože šifrovanie a dešifrovanie prebieha v jadre, ktoré dokáže efektívne spracovávať pakety s minimálnymi režijnými nákladmi..

L2TP / IPsec sa všeobecne považuje za bezpečný, ak sa používa s šifrou AES.

Existujú však návrhy, že NSA tento protokol ohrozil a že protokol IPsec bol pri jeho vytvorení úmyselne oslabený..

Toto však nebolo oficiálne potvrdené.

Hlavný problém s L2TP / IPsec a jeho použitím v službách VPN spočíva v službách, ktoré používajú vopred zdieľané kľúče (známe tiež ako zdieľané tajomstvo), ktoré je možné stiahnuť z webových stránok služieb VPN, a preto sú dostupné pre všetkých.

Aj keď sa tieto kľúče používajú iba na autentifikáciu spojenia so servermi VPN a samotné údaje zostávajú šifrované samostatným kľúčom, otvárajú sa dvere potenciálnym útokom MITM (Man in-the-middle).

Tu útočník zosobňuje server VPN s cieľom dešifrovať prenos a odpočúvať pripojenie.

L2TP / IPsec tiež používa obmedzený počet pevných portov, čo umožňuje relatívne ľahké blokovanie.

Napriek týmto problémom je LT2P / IPsec spoľahlivá voľba, pretože je natívne podporovaná toľkými platformami, pokiaľ sa nepoužívajú zdieľané kľúče..

SSTP - uzavretý zdroj s potenciálnymi rizikami

Protokol Secure Socket Tunneling Protocol (SSTP) je patentovaný protokol spoločnosti Microsoft, ktorý je založený na protokole SSL 3.0, čo znamená, že podobne ako OpenVPN môže používať port TCP 443.

Pretože SSTP nie je open-source, nie je možné vyvrátiť návrhy zadných dverí alebo iných zraniteľných miest v protokole..

Toto riziko ďaleko prevyšuje všetky výhody jeho úzkej integrácie s Windows.

Ďalšou červenou vlajkou je, že SSL 3.0 je zraniteľný voči útoku typu človek v strede známym ako POODLE.

Nebolo potvrdené, či sa to týka SSTP, ale podľa nášho názoru to nestojí za riziko.

IKEv2 / IPSec - veľmi rýchly, bezpečný a stabilný

Internet Key Exchange version 2 (IKEv2) je novší protokol VPN a ďalší štandard s uzavretým zdrojom vyvinutý v spolupráci medzi spoločnosťami Microsoft a Cisco.

IKEv2 je natívne podporovaný systémami iOS, BlackBerry a Windows verzie 7 a novších.

Existujú však verzie IKEv2 s otvoreným zdrojovým kódom vyvinuté pre Linux, ktoré nenesú rovnaké problémy s dôverou ako vlastnícka verzia..

Podobne ako L2TP / IPsec sa IKEv2 používa spolu s IPsec, keď je súčasťou riešenia VPN, ale ponúka viac funkcií.

IKEv2 / IPSec zvláda zmenu sietí pomocou protokolu nazývaného MOBIKE protokol - užitočné pre mobilných používateľov, ktorí sú náchylní na prerušenie spojenia, a je rýchlejší vďaka naprogramovaniu na lepšie využitie šírky pásma..

IKEv2 / IPSec tiež podporuje širšiu škálu šifrovacích šifrov ako L2TP / IPSec.

IKEv2 to však často neodstráni, keď sa snažíte pripojiť z vysoko cenzurovanej krajiny. Dôvodom je, že IKEv2 používa zadané porty, ktoré je pre Firewall veľmi ľahké blokovať.

WireGuard - sľubný nový protokol

Logo WireGuard

Wireguard je nový tunelový protokol, ktorého cieľom je rýchlejšia a výkonnejšia ako súčasný najpopulárnejší protokol OpenVPN..

Cieľom programu WireGuard je riešiť problémy, ktoré sú často spojené s OpenVPN a IPsec: konkrétne komplikované nastavenie plus odpojenia (bez ďalšej konfigurácie) a súvisiace dlhé doby opätovného pripojenia, ktoré nasledujú.

Zatiaľ čo OpenVPN + OpenSSL a IPsec majú veľkú kódovú základňu (~ 100 000 riadkov kódu pre OpenVPN a 500 000 pre SSL) a IPsec (400 000 riadkov kódu), čo sťažuje hľadanie chýb, Wireguard v súčasnosti váži menej ako 5 000 riadkov v veľkosť.

Wireguard je však stále vo vývoji.

Aj keď ukazovatele Wireguard ukazujú, že je veľmi rýchly, pri implementácii existujú problémy, ktoré môžu spôsobiť, že je komerčný poskytovateľ VPN nevhodný..

Jedným z nich je to, že vyžaduje, aby bol každému užívateľovi pridelená neverejná adresa IP, čo by pridávalo prvok protokolovania, ktorý by bol vážnym používateľom VPN nepríjemný..

prečo?

Pretože táto neverejná adresa IP sa môže použiť na vašu identifikáciu.

Pracuje sa na riešení tohto problému.

Program WireGuard je stále na začiatku a ešte sa musí úplne preukázať - stále viac poskytovateľov VPN ho však pridáva svojim klientom iba na testovacie účely vrátane IVPN a AzireVPN..

Propagácia na webovej stránke IVPN hovorí o jej implementácii WireGuard

Protokoly VPN poskytujú rámec pre bezpečné šifrovanie. Teraz zistime, akú úlohu hrajú šifry a aké druhy šifrov sú k dispozícii..

šifry

Šifra je v podstate algoritmus na šifrovanie a dešifrovanie údajov. Protokoly VPN používajú rôzne šifry a najbežnejšie sa používajú tieto protokoly:

AES

Advanced Encryption Standard (AES) je symetrická kľúčová šifra založená Národným ústavom pre normy a technológie USA (NIST) v roku 2001.

Je to zlatý štandard pre online šifrovacie protokoly a priemysel VPN ho vo veľkej miere používa. AES sa považuje za jeden z najbezpečnejších šifrov na použitie.

AES má veľkosť bloku 128 bitov, čo znamená, že AES dokáže spracovať väčšie veľkosti súborov ako iné šifry, ako napríklad Blowfish, ktorý má 64-bitovú veľkosť bloku.

AES je možné používať s rôznymi dĺžkami kľúčov. Aj keď je AES-128 stále považovaný za bezpečný, uprednostňuje sa AES-256, pretože poskytuje väčšiu ochranu. K dispozícii je tiež AES-192.

Ilustrácie banky trezor na modrom pozadí

Keď čítate o šifrovaní „vojenského stupňa“ alebo „bankového stupňa“ na webovej stránke služby VPN, zvyčajne sa odkazuje na AES-256, ktorú vláda USA používa pre tajné údaje.

Blowfish

Blowfish je ďalšia šifra so symetrickým kľúčom, ktorú navrhol v roku 1993 americký kryptograf Bruce Schneier..

Blowfish bola predvolená šifra používaná v OpenVPN, ale bola do značnej miery nahradená AES-256.

Ak sa používa Blowfish, zvyčajne sa používa s 128-bitovou dĺžkou kľúča, hoci sa môže pohybovať od 32 bitov do 448 bitov.

Blowfish má určité slabiny, vrátane zraniteľnosti voči „narodeninovým útokom“, čo znamená, že by sa mal skutočne použiť iba ako náhrada za AES-256..

kamélie

Camellia je tiež symetrická kľúčová šifra a je veľmi podobná AES, pokiaľ ide o bezpečnosť a rýchlosť..

Hlavný rozdiel spočíva v tom, že Camellia nie je certifikovaná NIST, americkou organizáciou, ktorá vytvorila AES.

Aj keď existuje argument na použitie šifry, ktorá nie je spojená s vládou USA, je zriedkavo k dispozícii v softvéri VPN, ani nebola dôkladne testovaná ako AES..

VPN Handshake

Ilustrácie dvoch rúk trasúcimi sa rukami

Rovnako ako pri začatí zabezpečenej relácie na webovej stránke HTTPS, bezpečné pripojenie k serveru VPN vyžaduje použitie šifrovania verejným kľúčom (zvyčajne pomocou kryptografického systému RSA) prostredníctvom handshake TLS..

RSA je základom pre internetovú bezpečnosť za posledné dve desaťročia, bohužiaľ sa však teraz zdá pravdepodobné, že NSA praskla slabšia verzia RSA-1024..

Zatiaľ čo väčšina služieb VPN sa vzdialila od RSA-1024, menšina ich naďalej používa, a preto by sa im malo vyhnúť. Vyhľadajte RSA-2048, ktorý sa stále považuje za bezpečný.

V ideálnom prípade sa na vytvorenie Perfect Forward Secrecy použije ďalšie šifrovanie. Zvyčajne sa to uskutoční zahrnutím výmeny kľúčov Diffie-Hellman (DH) alebo Elliptic curve Diffie-Hellman (ECDH)..

Aj keď ECDH možno použiť samostatne na vytvorenie bezpečného potrasenia rukou, nemalo by dôjsť k samotnému DH, pretože je náchylné na prasknutie. Pri použití s ​​RSA to nie je problém.

Autentifikácia pomocou SHA hash

Algoritmy Secure Hash (SHA) sa používajú na zaručenie integrity prenášaných údajov a spojení SSL / TLS, ako sú pripojenia OpenVPN, aby sa zabezpečilo, že pri prenose informácií medzi zdrojom a miestom určenia nedošlo k zmene informácií..

Algoritmy Secure Hash pracujú tak, že transformujú zdrojové údaje pomocou funkcie, ktorá je známa ako hashova funkcia, pričom pôvodná zdrojová správa sa spracuje algoritmom a výsledkom je reťazec s pevnou dĺžkou znakov, ktorý nevyzerá nič ako originál - „hash hodnota“.

Je to jednosmerná funkcia - nemôžete spustiť proces hashovania na určenie pôvodnej správy z hodnoty hash.

Hašovanie je užitočné, pretože zmena iba jedného znaku vstupných zdrojových údajov úplne zmení hodnotu hash, ktorá je na výstupe z funkcie hash..

Klient VPN spustí dáta prijaté zo servera v kombinácii so skrytým kľúčom prostredníctvom funkcie hash dohodnutej počas nadviazania spojenia VPN.

Ak sa hodnota hash, ktorú klient vygeneruje, líši od hodnoty hash v správe, údaje sa zahodia, pretože správa bola sfalšovaná.

Overovanie totožnosti SHA hash zabraňuje útokom typu človek v strede tým, že dokáže zistiť akékoľvek neoprávnené zásahy do platného certifikátu TLS.

Bez neho by hacker mohol zosobniť legitímny server a prinútiť vás, aby ste sa pripojili k nebezpečnému serveru, kde by mohla byť sledovaná vaša aktivita..

Odporúča sa použiť SHA-2 (alebo vyšší) na zvýšenie bezpečnosti, pretože SHA-1 má slabé stránky, ktoré môžu ohroziť bezpečnosť..

Čo je to VPN? Vysvetľovacia schéma

V tejto príručke sme sa zaoberali mnohými dôvodmi šifrovania, ale stále môžete mať nejaké všeobecnejšie otázky týkajúce sa sietí VPN a protokolov, ktoré si vyžadujú odpoveď..

Tu sú najčastejšie otázky, ktoré počujeme:

Čo je najbezpečnejší protokol VPN?

OpenVPN používaný s šifrou AES-256 sa všeobecne považuje za najlepší a najbezpečnejší protokol VPN. OpenVPN je open-source a bol verejne testovaný na slabé stránky.

OpenVPN ponúka veľkú rovnováhu medzi súkromím a výkonom a je kompatibilný s mnohými populárnymi platformami. Mnoho komerčných služieb VPN používa štandardne OpenVPN.

IKEv2 je dobrá voľba pre mobilné zariadenia, pretože efektívnejšie zvláda zmeny siete a automaticky obnovuje prerušené pripojenia s ľahkosťou a rýchlosťou.

Ako zmením protokol VPN?

Niektoré služby VPN, napríklad ExpressVPN, vám umožňujú zmeniť protokol VPN v ponuke nastavení aplikácie VPN.

V takom prípade jednoducho otvorte ponuku nastavení a vyberte protokol VPN, ktorý chcete použiť.

Snímka obrazovky ponuky nastavení protokolu ExpressVPN

Ak v rámci vlastnej aplikácie neexistuje výber protokolu VPN, je možné, že budete môcť nainštalovať alternatívne protokoly pomocou manuálnej konfigurácie.

NordVPN je jedným z príkladov služby VPN, ktorá beží na OpenVPN, ale umožňuje manuálnu inštaláciu IKEv2.

Ak vaša služba VPN podporuje alternatívnu konfiguráciu protokolu, postupujte podľa pokynov uvedených na jej webovej stránke.

Do všetkých sietí VPN šifrujú údaje?

VPN síce svojou podstatou šifrujú dáta, ale existujú aj niektoré služby, ktoré tvrdia, že sú VPN, pričom neposkytujú šifrovanie. Hola Free VPN je jedným z nich a vy by ste sa za každú cenu mali vyhýbať produktom, ako je to.

Rozšírenia prehľadávača VPN sú ďalším produktom, ktorý treba trochu obozrieť. Rozšírenia prehľadávača sú služby proxy skôr ako služby VPN, zatiaľ čo niektoré poskytujú šifrovanie, iné nie.

Rozšírenia prehľadávača, ktoré poskytujú šifrovanie, chránia iba prevádzku vášho prehliadača vo webovom prehliadači, v ktorom je spustený, takže na šifrovanie všetkých ostatných aplikácií budete musieť použiť úplnú sieť VPN..

Sú všetky VPN bezpečné na používanie?

Áno - ak urobíte správne rozhodnutie.

Nie všetky VPN sú bezpečné na používanie. Dokonca aj tí, ktorí používajú najlepšie protokoly VPN a šifry, môžu svoje osobné údaje prihlásiť prihlásením do online aktivít.

Mali by ste hľadať sieť VPN so zásadami ochrany osobných údajov a protokolom, ktorý podporuje najbezpečnejšie protokoly a šifry VPN..

Aby sme vám veci uľahčili, prečo by ste sa nemali pozrieť na naše najvyššie odporúčané VPN - sú to najbezpečnejšie v okolí.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me