Enkripsi adalah di tengah-tengah teknologi VPN. Dalam panduan ini, kita dapat memecahkan bagaimana penyulitan VPN berfungsi dan bagaimana ia melindungi anda.

Panduan untuk Penyulitan VPN

Apa sebenarnya penyulitan?

Penyulitan adalah proses pengekodan data supaya hanya mereka yang mempunyai kebenaran dapat mengaksesnya, menghalang orang lain daripada berbuat demikian.

Ini adalah satu proses yang melibatkan penggantian huruf dan nombor, membuat mesej kelihatan seperti membosankan melainkan jika anda menggunakan proses yang betul untuk membacanya - proses itu dikenali sebagai 'cipher'.

Memandangkan kekuatan pemprosesan komputer moden, apa-apa cipher yang boleh dihasilkan oleh manusia akan menjadi terlalu mudah untuk dipecahkan.

Algoritma matematik yang kuat kini digunakan untuk mencipta kaedah penyulitan yang berbeza, ditambah dengan ciphers rahsia yang diperlukan untuk menyahsulit mereka.

Perkhidmatan VPN menggunakan penyulitan untuk membuat sambungan selamat (terowong VPN) antara peranti anda dan pelayan VPN, menjaga data internet anda secara peribadi dari ISP, penggodam, dan mana-mana pihak ketiga yang lain.

Dalam panduan ini, anda akan mempelajari semua tentang protokol ciphers dan VPN, dan mengetahui yang mana yang terbaik dan paling selamat digunakan.

Kami akan memecahkan semuanya ke dalam bahasa Inggeris dengan jelas dan menerangkan semua istilah dalam istilah mudah supaya anda dapat memahami lebih baik penyulitan VPN dan semua yang diperlukannya.

Glosari Penyulitan

Tangkapan skrin data yang disulitkan pada latar belakang hitam

Mari kita mulakan dengan menentukan beberapa istilah penting yang kita gunakan ketika membicarakan enkripsi:

Terma
Definisi
Algoritma Satu set arahan yang perlu diikuti (oleh perisian) untuk menyelesaikan masalah. Cip adalah algoritma untuk melakukan penyulitan atau penyahsulitan.
Pengesahan Proses untuk memastikan dan mengesahkan identiti pengguna.
Bit Pendek untuk 'digit binari', ia adalah unit terkecil data dalam komputer.
Blok Sekumpulan bit panjang tetap (mis. 64 bit)
Saiz Blok Panjang maksimum sekumpulan bit.
Serangan Angkatan Brute Satu kaedah untuk mencuba dan meneka rahsia dengan mencuba setiap gabungan kombinasi aksara. Ia adalah satu usaha yang kasar, lengkap daripada yang lebih rumit atau strategik. Bayangkan anda tidak boleh membuka padlock pada loker anda - bukannya cuba mengingati kod itu, dengan kasar memaksa anda hanya cuba setiap kombinasi dari 000 hingga 999 sehingga ia membuka.
Cipher Algoritma untuk melakukan penyulitan dan penyahsulitan.
Kriptografi Seni penulisan dan penyelesaian kod untuk mewujudkan pemesejan yang selamat, direka supaya hanya pihak-pihak yang dimaksudkan dapat memproses dan membacanya.
Penyulitan Proses menukar data ke dalam kod untuk menghalang akses yang tidak dibenarkan kepadanya.
Firewall Perisian yang memantau dan mengawal paket data masuk atau keluar dari rangkaian. Anda mungkin sudah biasa dengan komputer desktop atau komputer riba, yang direka untuk memerhatikan penggodam dan virus.
Handshake Proses yang memulakan sambungan antara dua komputer - seperti namanya, adalah ucapan yang menetapkan peraturan untuk komunikasi.
HTTPS Ini bermaksud 'Hypertext Transfer Protocol Secure', tetapi tidak ada yang menyebutnya. Ia versi HTTP yang selamat, protokol yang merupakan asas web, dan digunakan untuk memastikan komunikasi antara peranti dan laman web tetap disahkan, peribadi, dan selamat.
Kernel Inti sistem operasi. Dalam komputer, ia mengawal operasi komputer dan perkakasannya.
Kunci Rentetan bit yang digunakan oleh cipher untuk menukarkan 'teks biasa' (maklumat yang tidak diskriptif) ke dalam ciphertext (maklumat yang disulitkan), dan sebaliknya. Kekunci boleh bervariasi panjang - pada umumnya, semakin lama, semakin lama ia akan mengambil masa untuk memecahkannya.
Paket Satu paket adalah satu unit data yang dihantarkan di antara asal dan destinasi di rangkaian, dan terdiri daripada header, muatan (data anda), dan treler, dan biasanya dari saiz set khusus, yang sesuai dengan rangkaian MTU (Maksimum Unit Penghantaran). Apabila data perlu dihantar melalui rangkaian, jika ia lebih besar daripada satu paket, ia mungkin perlu dipecahkan kepada banyak paket data, yang kemudiannya dihantar secara individu dan data disusun semula di destinasi.
Pelabuhan Sama seperti dok kapal di pelabuhan fizikal, pelabuhan pengkomputeran mewakili 'titik akhir' komunikasi. Sebarang maklumat yang sampai ke peranti anda melakukannya melalui port.
Protokol Satu set peraturan yang digunakan untuk merundingkan sambungan antara klien VPN dan pelayan VPN. Ada yang lebih kompleks atau selamat daripada yang lain - OpenVPN dan IKEv2 adalah beberapa pilihan yang popular.

Glosari Penyulitan

Sekarang kita tahu apa maksud istilah, sudah tiba masanya untuk menjelaskan apa penyulitan dan dilakukan dengan lebih mendalam.

Jenis Penyulitan

Ilustrasi dua kekunci, satu di atas yang lain pada latar belakang biru pucat

Terdapat dua jenis enkripsi: simetri dan asimetrik.

Penyulitan kunci simetri

Penyulitan utama simetri adalah di mana hanya satu kunci yang digunakan untuk mengendalikan penyulitan dan penyahsulitan data.

Kedua-dua pihak memerlukan kunci yang sama untuk berkomunikasi. Inilah jenis penyulitan yang digunakan dalam teknologi VPN.

Kuasa komputer moden bermakna bahawa kunci telah menjadi semakin panjang untuk mencegah serangan kekerasan brute (mencuba setiap kombinasi untuk mencari kunci yang betul).

Standard emas semasa adalah kunci 256-bit, yang tidak boleh dipaksakan kasar kerana ia memerlukan berbilion-bilion tahun untuk menjalankan semua kombinasi yang mungkin menggunakan komputer yang tersedia hari ini.

Penyulitan Asimetri

Dengan kriptografi asimetri (atau kriptografi kunci awam), setiap peserta yang ingin berkomunikasi dengan selamat menggunakan perisian untuk menjana kunci awam dan kunci persendirian yang sepadan.

Sebagai contoh, mari kita ambil dua orang: Person A dan Person B

Apabila Orang A mahu menghantar mesej selamat kepada Person B, kunci awam Person B digunakan dalam cipher untuk menukarkan mesej teks biasa ke dalam mesej yang disulitkan.

Walaupun mesej yang disulitkan mungkin bergerak dari A ke B melalui pelbagai pihak lain (Orang C, D, E, dan F), siapa saja yang cuba membaca mesej itu hanya akan melihat teks yang disulitkan.

Apabila Person B menerima mesej yang disulitkan, mereka menggunakan kekunci persendirian mereka untuk menyahkod mesej yang disulitkan ke dalam teks biasa.

Sistem ini semakin banyak digunakan oleh para wartawan, misalnya, yang menerbitkan kunci awam mereka pada profil media sosial mereka untuk sumber untuk menghantar mesej yang hanya dapat diekripsi dengan kunci privat wartawan.

Sistem yang paling terkenal adalah Pretty Good Privacy (PGP). Terdapat banyak alat perisian yang berbeza yang menggunakan OpenPGP, versi sumber terbuka standard.

Penyulitan kunci awam digunakan semasa jabat tangan TLS untuk selamat berkongsi kunci simetri antara pelanggan dan pelayan.

SSL & TLS

TLS / SSL adalah penyulitan yang kebanyakan kita alami semasa melayari web di laman web selamat yang menggunakan HTTPS.

Anda akan tahu apabila tapak web menggunakan HTTPS dengan simbol padlock dalam bar alamat penyemak imbas.

Protokol keselamatan yang digunakan di sini ialah TLS (Transport Layer Security), yang berdasarkan kepada lapisan Penyokong Soket Secure (SSL Version 3.0).

TLS menggunakan kombinasi kunci awam dan penyulitan simetrik untuk melindungi data anda.

Semasa jabat tangan TLS, penyemak imbas anda menggunakan penyulitan asimetrik untuk berkomunikasi dengan pelayan halaman selamat dan selamat menjana kunci simetri.

Ini kemudian digunakan untuk menyulitkan data yang dipindahkan antara penyemak imbas anda dan pelayan.

Menjana kunci simetri untuk digunakan jauh lebih cekap daripada menggunakan kekunci asimetrik untuk semua pemindahan data.

Ini adalah kerana penyulitan asimetrik memerlukan sejumlah besar kuasa pengkomputeran untuk menyulitkan dan menyahsulit semua data yang diperlukan jika dibandingkan dengan menggunakan kekunci simetri.

Oleh itu, boleh dikatakan bahawa penyulitan kunci simetrik adalah kaedah penyulitan yang lebih cepat.

Walaupun di atas adalah baik dan menjana penyulitan yang selamat, setiap sesi selamat yang dijana oleh pelayan tidak dapat dikembalikan dengan kunci peribadi pelayan.

Sekiranya kunci persendirian itu pernah dikompromikan, kunci peribadi yang dicuri kemudiannya boleh digunakan untuk menyahsulit mana-mana sesi selamat pada pelayan, masa lalu atau sekarang.

Untuk mengelakkannya, sambungan HTTPS dan OpenVPN kini lazim ditubuhkan menggunakan Kerahsiaan Sempurna Untuk Maju, menggunakan algoritma yang dikenali sebagai Diffie-Hellman Key Exchange yang menghasilkan kunci simetri.

Ia mungkin terdengar membingungkan, tetapi yang anda benar-benar perlu difahami ialah ini adalah cara yang lebih selamat untuk melakukan perkara-perkara seperti kekunci simetri tidak pernah ditukar melalui sambungan, sebaliknya dihasilkan secara bebas oleh pelayan dan penyemak imbas web.

Penyemak imbas menjana kunci peribadi sementara, dan kunci awam yang sepadan.

Kunci simetri untuk sesi TLS didasarkan pada output algoritma yang beroperasi pada kunci peribadi peranti (mis. Pelayan), dan kunci awam peranti lain (cth. Penyemak imbas anda).

Oleh kerana sifat-sifat matematik mewah algoritma ini dan beberapa sihir teknikal, kunci yang dihasilkan oleh proses ini akan sepadan dengan kedua-dua pelayan dan penyemak imbas.

Itu bermakna jika pihak ketiga seperti ISP atau kerajaan menyimpan data anda yang disulitkan dari sesi terdahulu, dan kunci persendirian sebaliknya dikompromikan atau dicuri, mereka tidak akan dapat mendekripsi data tersebut.

ExpressVPN adalah satu perkhidmatan VPN yang menggunakan Kerahsiaan Perfect Forward, merundingkan kunci peribadi baru setiap kali anda menyambungkan, dan setiap 60 minit semasa sambungan VPN sedang digunakan.

Ilustrasi ExpressVPN menunjukkan bagaimana aplikasi menggunakan kunci publik

Ilustrasi ExpressVPN menunjukkan bagaimana aplikasi VPN menggunakan kunci awam pelayan untuk menghasilkan pasangan kunci simetri, menggunakan enkripsi asimetri.

Sekarang kita telah menjelaskan kaedah penyulitan yang berbeza yang ada, mari kita bercakap tentang protokol VPN yang berbeza yang tersedia.

Protokol VPN

Apa itu protokol VPN?

Protokol VPN mewakili proses dan set arahan (atau peraturan) pelanggan VPN bergantung kepada untuk mewujudkan sambungan selamat antara peranti dan pelayan VPN untuk menghantar data.

Protokol VPN terbentuk daripada gabungan protokol penghantaran dan piawaian penyulitan.

Protokol VPN yang tersedia pada masa ini?

Berikut adalah protokol terowong utama VPN yang perlu anda ketahui mengenai:

OpenVPN - Sangat Selamat dan Cepat

Logo OpenVPN

OpenVPN adalah protokol standard VPN emas industri dan kami mengesyorkan anda menggunakannya apabila anda boleh.

Ia adalah salah satu protokol VPN yang paling selamat dan selamat, dan yang penting ialah sumber terbuka, yang bermaksud ia benar-benar telus dan terus diuji dan ditingkatkan secara terbuka..

OpenVPN sangat boleh dikonfigurasikan dan, sementara ia tidak disokong secara asli oleh mana-mana platform, kebanyakan pembekal VPN menawarkan aplikasi percuma yang menyokongnya.

Aplikasi VPN tersuai ini tersedia di kebanyakan platform utama seperti Microsoft Windows, Apple MacOS, Android, Linux, dan iOS.

Sesetengah penyedia juga menawarkan fail konfigurasi OpenVPN, bermakna anda boleh memuat turun klien OpenVPN asal untuk platform anda dari https://openvpn.net/ dan menggunakannya untuk menyambung ke perkhidmatan VPN yang anda pilih.

OpenVPN berfungsi pada kedua-dua UDP dan TCP, yang merupakan jenis protokol komunikasi.

TCP (Protokol Kawalan Penghantaran) adalah protokol sambungan yang paling digunakan di internet. Data yang dihantar dipindahkan dalam ketulan, biasanya terdiri daripada beberapa paket.

TCP direka untuk menghantar data yang dipindahkan kepada klien OpenVPN dalam perintah yang dihantar dari pelayan OpenVPN (contohnya paket 1, 2, 3, 4, dan 5 dihantar dari OpenVPN diterima oleh klien OpenVPN dalam susunan yang sama - 1 , 2, 3, 4, 5).

Untuk melakukan ini, TCP boleh melambatkan penghantaran paket yang telah diterima melalui rangkaian ke Klien OpenVPN sehingga ia telah menerima semua paket yang dijangka dan menyusun semula paket-paket yang keluar dari pesanan kembali ke tempatnya.

TCP akan meminta semula (dan kemudian menunggu untuk menerima) paket yang mungkin telah hilang dalam penghantaran antara pelayan dan klien juga.

Masa pemprosesan dan tunggu ini menambah latensi kepada sambungan VPN, menjadikan sambungan lebih perlahan daripada UDP.

UDP (Protokol Pengguna Datagram) hanya menghantar paket data tanpa memerlukan pengesahan ketibaan, dan saiz paket UDP lebih kecil daripada TCP.

Dengan menggunakan OpenVPN UDP, saiz paket yang lebih kecil, kekurangan pemeriksaan, dan penyusunan semula menghasilkan sambungan yang lebih cepat.

Jadi, yang lebih baik: TCP atau UDP?

Ia bergantung kepada hasil yang anda inginkan.

Jika anda menggunakan VPN untuk permainan, aliran, atau menggunakan perkhidmatan VoIP, maka UDP adalah taruhan terbaik anda, kerana ia lebih cepat daripada TCP.

Kelemahannya adalah bahawa anda mungkin mengalami beberapa paket yang hilang, yang mungkin bermaksud pada panggilan VOIP anda mendengar suara orang yang anda sedang bercakap untuk memotong untuk pecahan pertengahan pertuturan kedua.

Walau bagaimanapun, anda perlu bertukar kepada TCP jika anda mengalami masalah sambungan. Pelabuhan TCP 443 juga berguna untuk memintas penapisan, kerana pelabuhan ini adalah pelabuhan lalai untuk HTTPS, dan begitu juga cenderung untuk disekat oleh firewall.

Untuk penyulitan, OpenVPN menggunakan perpustakaan OpenSSL, yang menyokong pelbagai ciphers.

Penyulitan OpenVPN terdiri daripada beberapa elemen: saluran data, saluran kawalan, pengesahan pelayan, dan pengesahan HMAC:

  • Pengesahan pelayan fungsi yang sama adalah seperti TLS atau HTTPS. OpenVPN boleh menggunakan sijil untuk mengesahkan bahawa pelayan yang anda bercakap adalah dipercayai oleh cryptographically.
  • The saluran kawalan digunakan pada fasa awal, melaksanakan jabat tangan TLS untuk menyetujui parameter penyulitan untuk menghantar data dengan selamat, dan mengesahkan klien ke pelayan.
  • The saluran data adalah lapisan yang menghantar maklumat antara peranti anda dan Server OpenVPN. Lapisan ini dienkripsi menggunakan skema penyulitan simetri untuk prestasi, kunci yang diperoleh melalui saluran kawalan.
  • Pengesahan HMAC digunakan untuk memastikan paket-paket yang dihantar tidak diubah dalam transit oleh penyerang lelaki-dalam-tengah yang mempunyai keupayaan untuk membaca atau mengubah data dalam masa nyata.

Perlu diketahui bahawa beberapa perkhidmatan VPN tidak menggunakan mana-mana berhampiran tahap enkripsi sama pada kedua-dua saluran.

Menggunakan penyulitan yang lemah pada saluran data boleh menjadi jalan pintas murah kepada sambungan yang lebih cepat kerana keselamatan yang lebih baik datang dengan mengorbankan kelajuan.

Malangnya, VPN hanya selamat sebagai unsur yang paling lemah, jadi anda perlu mencari VPN yang setinggi mungkin dalam penyulitan kedua-dua saluran.

Kami akan masuk ke dalam lebih terperinci mengenai perkara itu di bahagian bawah di atas ciphers dan handshakes.

Sekarang anda tahu apa protokol VPN paling selamat adalah, anda harus tahu apa yang lain - tambah mana yang harus dielakkan pada semua kos.

PPTP - Keselamatan lemah, Elakkan

Protokol Terowong Titik Ke Titik (PPTP) merupakan salah satu protokol VPN tertua yang masih digunakan hari ini. Ia dibangunkan oleh pasukan yang dibiayai Microsoft dan diterbitkan pada tahun 1999.

Walaupun sudah usang, PPTP mempunyai beberapa perkara positif: ia serasi dengan segala-galanya yang cukup banyak, ia tidak memerlukan perisian tambahan kerana ia termasuk dalam sistem operasi moden, dan ia sangat cepat.

Masalah utama adalah bahawa ia terbukti tidak selamat dan mudah retak (serangan biasanya akan mengambil masa antara satu minit dan 24 jam).

Ilustrasi penggodam mencuri kad kredit dan identiti, dengan gembok terkunci pada skrin komputer

PPTP juga mudah untuk disekat kerana ia bergantung kepada protokol GRE, yang mudah dipecat.

Anda harus mengelak daripada menggunakan protokol ini melainkan semestinya perlu mengubah alamat IP anda untuk sebab-sebab yang tidak sensitif. Kami menganggap PPTP tidak selamat.

L2TP / IPsec - Selamat, Tetapi Boleh Perlahan

Protokol Terowong 2 Lapisan (LT2P) mengambil ciri-ciri terbaik dari Protokol Tunneling Titik ke Titik (PPTP) Microsoft dan Protokol Pemajuan Lapisan 2 (L2F) Cisco dan digunakan untuk membuat terowong antara peranti klien dan pelayan melalui rangkaian.

L2TP boleh mengendalikan pengesahan, tetapi tidak memberikan keupayaan penyulitan.

Oleh itu, L2TP biasanya dilaksanakan dengan Internet Protocol Security (IPsec) untuk membuat paket selamat yang menyediakan pengesahan, integriti, dan penyulitan data.

Ini lebih dikenali sebagai L2TP / IPsec, dan data biasanya disulitkan menggunakan cipher AES, yang boleh anda baca lebih lanjut di sini.

Apabila menyambung ke pelayan VPN dengan L2TP / IPsec, IPsec digunakan untuk membuat saluran kawalan selamat antara klien dan pelayan.

Packet data dari aplikasi peranti anda (seperti penyemak imbas web anda, contohnya) disematkan oleh L2TP. IPSec kemudian menyulitkan data L2TP ini dan menghantarnya ke pelayan, yang kemudiannya melakukan proses terbalik, menyahsulit dan menghancurkan data.

Dari segi kelajuan, enkapsulasi ganda L2TP / IPsec (pada dasarnya terowong dalam terowong) harus membuatnya lebih lambat daripada OpenVPN.

Walau bagaimanapun, ia sebenarnya secara teoritis lebih cepat kerana penyulitan dan penyahsulitan berlaku di kernel, yang boleh memproses paket dengan cekap dengan overhead minimum.

L2TP / IPsec umumnya dianggap selamat apabila digunakan dengan cipher AES.

Tetapi terdapat cadangan bahawa protokol itu telah dikompromi oleh NSA, dan bahawa IPsec sengaja lemah semasa penciptaannya.

Belum ada pengesahan rasmi tentang ini.

Masalah utama dengan L2TP / IPsec dan penggunaannya dalam perkhidmatan VPN terletak pada perkhidmatan yang menggunakan kunci pra-kongsi (juga dikenali sebagai rahsia kongsi) yang boleh dimuat turun dari laman web perkhidmatan VPN dan oleh itu tersedia kepada sesiapa sahaja.

Walaupun kunci ini hanya digunakan untuk mengesahkan sambungan dengan pelayan VPN, dan data itu sendiri masih disulitkan melalui kunci yang berasingan, ia membuka pintu kepada kemungkinan serangan MITM (Man in-the-middle).

Di sinilah penyerang menyamar sebagai pelayan VPN untuk menyahsulit lalu lintas dan mendengarkan sambungan pada sambungan.

L2TP / IPsec juga menggunakan bilangan tetap port tetap, yang menjadikan ia agak mudah untuk disekat.

Walaupun isu-isu ini, LT2P / IPsec adalah pilihan pepejal memandangkan ia disokong secara asli oleh begitu banyak platform selagi kunci pra-kongsi tidak digunakan.

SSTP - Sumber Tertutup dengan Risiko Potensi

Secure Tunnel Protocol (SSTP) adalah protokol proprietari milik Microsoft yang berdasarkan SSL 3.0, yang bermaksud, seperti OpenVPN, ia boleh menggunakan port TCP 443.

Oleh kerana SSTP bukan sumber terbuka, adalah mustahil untuk membantah cadangan backdoors atau kelemahan lain yang ada dalam protokol.

Risiko ini jauh melebihi manfaat daripada integrasi rapat dengan Windows.

Satu lagi bendera merah adalah bahawa SSL 3.0 terdedah kepada serangan lelaki-dalam-tengah yang dikenali sebagai POODLE.

Ia belum disahkan sama ada SSTP terjejas, tetapi pada pandangan kami, ia tidak berbaloi.

IKEv2 / IPSec - Sangat Cepat, Selamat, dan Stabil

Internet Key Exchange versi 2 (IKEv2) adalah protokol VPN yang lebih baru, dan satu lagi standard sumber tertutup dibangunkan dengan kerjasama antara Microsoft dan Cisco.

IKEv2 secara asalnya disokong oleh iOS, BlackBerry, dan versi Windows 7 dan kemudian.

Walau bagaimanapun, terdapat versi sumber terbuka IKEv2 yang dibangunkan untuk Linux yang tidak membawa isu kepercayaan yang sama seperti versi proprietari.

Begitu juga dengan L2TP / IPsec, IKEv2 digunakan bersama IPsec apabila sebahagian daripada penyelesaian VPN, tetapi menawarkan lebih banyak fungsi.

IKEv2 / IPSec boleh mengendalikan penukaran rangkaian melalui sesuatu yang dipanggil protokol MOBIKE - berguna untuk pengguna mudah alih yang terdedah kepada sambungan mereka menjatuhkan, dan lebih cepat kerana diprogramkan untuk menggunakan lebar jalur yang lebih baik.

IKEv2 / IPSec juga menyokong rangkaian ciphers penyulitan yang lebih luas daripada L2TP / IPSec.

IKEv2 sering tidak akan memotongnya apabila anda cuba menyambungkan negara yang sangat disensor. Ini kerana IKEv2 menggunakan pelabuhan tertentu yang sangat mudah untuk Great Firewall untuk menyekat.

WireGuard - Menjanjikan Protokol Baru

Logo WireGuard

Wireguard adalah protokol terowong baru yang bertujuan untuk menjadi lebih cepat dan berprestasi tinggi daripada protokol yang paling popular saat ini, OpenVPN.

WireGuard bertujuan untuk menangani isu-isu yang sering dikaitkan dengan OpenVPN dan IPsec: iaitu persediaan yang rumit, ditambah pemotongan (tanpa konfigurasi tambahan) dan masa penyambungan lama yang berkaitan yang mengikuti.

Sedangkan OpenVPN + OpenSSL dan IPsec mempunyai kod yang besar (~ 100,000 baris kod untuk OpenVPN dan 500,000 untuk SSL) dan IPsec (400,000 baris kod), yang menjadikannya sukar untuk mencari pepijat, Penyelia saat ini beratnya kurang dari 5,000 baris saiz.

Tetapi Wireguard masih dalam pembangunan.

Walaupun penanda aras Wireguard menunjukkan bahawa ia sangat cepat, terdapat isu dalam pelaksanaan yang mungkin tidak sesuai untuk digunakan oleh penyedia VPN komersial.

Salah satunya ialah ia memerlukan alamat IP bukan awam yang ditugaskan kepada setiap pengguna, yang menambah elemen pembalakan mana-mana pengguna VPN yang serius akan tidak selesa dengan.

Kenapa?

Oleh kerana alamat IP bukan awam ini boleh digunakan untuk mengenal pasti anda.

Kerja sedang dijalankan untuk menangani masalah ini.

Masih hari-hari awal untuk WireGuard, dan masih belum membuktikan sepenuhnya - bagaimanapun, semakin banyak penyedia VPN menambahnya kepada pelanggan mereka untuk tujuan ujian sahaja, termasuk IVPN dan AzireVPN.

Promosi di laman web IVPN bercakap mengenai pelaksanaan WireGuardnya

Protokol VPN menyediakan rangka kerja untuk penyulitan selamat, kini mari kita mengetahui apa peranan ciphers peranan dan jenis ciphers tersedia.

Ciphers

Cipher adalah pada dasarnya merupakan algoritma untuk menyulitkan dan mendekripsi data. Protokol VPN menggunakan pelbagai cipher, dan berikut adalah yang paling biasa digunakan:

AES

Standard Penyulitan Lanjutan (AES) adalah kunci simpul simetri yang ditubuhkan oleh Institut Teknologi dan Piawaian Kebangsaan A.S. (NIST) pada tahun 2001.

Ia adalah standard emas untuk protokol penyulitan dalam talian, dan digunakan dengan banyaknya oleh industri VPN. AES dianggap sebagai ciphers paling selamat untuk digunakan.

AES mempunyai saiz blok 128 bits, yang bermaksud AES boleh mengendalikan saiz fail yang lebih besar daripada ciphers lain, seperti Blowfish yang mempunyai saiz blok 64-bit.

AES boleh digunakan dengan pelbagai panjang kunci. Walaupun AES-128 masih dianggap selamat, AES-256 lebih disukai kerana ia memberikan perlindungan yang lebih besar. AES-192 juga boleh didapati.

Ilustrasi bank selamat pada latar belakang biru

Apabila anda membaca tentang enkripsi 'gred tentera' atau 'gred bank' pada laman web perkhidmatan VPN, ia secara amnya merujuk kepada AES-256, yang digunakan oleh kerajaan AS untuk data Rahsia Teratas.

Blowfish

Blowfish adalah satu lagi cipher simetrik, yang direka pada tahun 1993 oleh cryptographer Amerika Bruce Schneier.

Blowfish digunakan sebagai cipher lalai yang digunakan dalam OpenVPN, tetapi sebahagian besarnya telah digantikan oleh AES-256.

Apabila Blowfish digunakan, anda biasanya akan melihat ia digunakan dengan panjang kunci 128 bit, walaupun ia boleh berkisar dari 32 bit hingga 448 bit.

Blowfish mempunyai beberapa kelemahan, termasuk kerentanannya untuk 'serangan ulang tahun', yang bermaksud bahawa ia benar-benar hanya boleh digunakan sebagai sandaran kepada AES-256.

Camellia

Camellia juga merupakan cipher simetrik, dan ia sangat serupa dengan AES dari segi keselamatan dan kelajuan.

Perbezaan utama ialah Camellia tidak disahkan oleh NIST, organisasi AS yang mencipta AES.

Walaupun terdapat hujah untuk menggunakan cip yang tidak dikaitkan dengan kerajaan AS, ia jarang terdapat dalam perisian VPN, ataupun ia telah diuji dengan teliti sebagai AES.

VPN Handshake

Ilustrasi dua tangan berjabat

Sama seperti memulakan sesi selamat di laman web HTTPS, dengan selamat menyambung ke pelayan VPN memerlukan penggunaan penyulitan kunci awam (biasanya menggunakan cryptosystem RSA) melalui jabat tangan TLS.

RSA telah menjadi asas untuk keselamatan internet selama dua dekad yang lalu tetapi malangnya, kini kelihatannya mungkin versi lemah, RSA-1024, telah retak oleh NSA.

Walaupun kebanyakan perkhidmatan VPN telah berpindah dari RSA-1024, minoriti terus menggunakannya dan oleh itu harus dielakkan. Cari RSA-2048, yang masih dianggap selamat.

Sebaiknya penyulitan tambahan akan digunakan untuk membuat Kerahsiaan Terus Ke Hadapan. Lazimnya ini akan dilakukan menerusi kemasukan pertukaran utama Diffie-Hellman (DH) atau lengkungan Elliptic Diffie-Hellman (ECDH).

Walaupun ECDH boleh digunakan dengan sendirinya untuk mewujudkan jabat tangan yang selamat, DH sahaja harus dielakkan kerana ia terdedah kepada retak. Ini bukan isu apabila digunakan dengan RSA.

Pengesahan SHA Hash

Secure Hash Algorithms (SHA) digunakan untuk menjamin integriti data yang dihantar dan sambungan SSL / TLS, seperti sambungan OpenVPN, untuk memastikan maklumat tersebut tidak diubah dalam transit antara sumber dan destinasi.

Algoritma Hash Secure berfungsi dengan mengubah data sumber menggunakan fungsi yang dikenali sebagai fungsi hash, di mana mesej sumber asal dijalankan melalui algoritma dan hasilnya adalah rentetan tetap aksara yang tidak kelihatan seperti asal - "hash value".

Ini adalah satu cara berfungsi - anda tidak boleh menjalankan proses de-hash untuk menentukan mesej asal dari nilai hash.

Hashing berguna kerana menukar hanya satu aksara data sumber input sepenuhnya akan mengubah nilai hash yang dihasilkan dari fungsi hash.

Pelanggan VPN akan menjalankan data yang diterima dari pelayan, digabungkan dengan kunci rahsia, melalui fungsi hash yang dipersetujui semasa jabat tangan VPN.

Jika nilai hash yang dihasilkan oleh klien berbeza daripada nilai hash dalam mesej, data akan dibuang sebagai mesej telah dirosakkan.

Pengesahan hash SHA menghalang serangan orang-dalam-tengah dengan dapat mengesan sebarang gangguan dengan sijil TLS yang sah.

Tanpa itu seorang penggodam boleh meniru pelayan yang sah dan menipu anda untuk menyambung ke yang tidak selamat, di mana aktiviti anda dapat dipantau.

Adalah disyorkan supaya SHA-2 (atau lebih tinggi) digunakan, untuk meningkatkan keselamatan, kerana SHA-1 telah membuktikan kelemahan yang dapat menjejaskan keselamatan.

Apakah itu VPN? Rajah Penjelasan

Kami telah membahas banyak perkara dalam panduan ini untuk penyulitan, tetapi anda mungkin masih mempunyai beberapa soalan yang lebih umum yang berkaitan dengan VPN dan protokol yang memerlukan menjawab.

Inilah soalan paling biasa yang kita dengar:

Apakah Protokol VPN yang Safest?

OpenVPN yang digunakan dengan cipher AES-256 biasanya dianggap sebagai protokol VPN terbaik dan paling selamat. OpenVPN adalah sumber terbuka dan telah diuji secara umum untuk kelemahan.

OpenVPN menawarkan keseimbangan antara privasi dan prestasi, dan serasi dengan banyak platform yang popular. Banyak perkhidmatan VPN komersial menggunakan OpenVPN sebagai lalai.

IKEv2 adalah pilihan yang baik untuk peranti mudah alih kerana ia mengendalikan perubahan rangkaian dengan lebih berkesan, secara automatik mengembalikan sambungan yang jatuh dengan mudah dan laju.

Bagaimana saya Tukar Protokol VPN?

Beberapa perkhidmatan VPN, seperti ExpressVPN, membolehkan anda mengubah protokol VPN dalam menu tetapan aplikasi VPN.

Jika ini berlaku, buka menu tetapan dan pilih protokol VPN yang anda ingin gunakan.

Tangkapan skrin tetapan tetapan protokol ExpressVPN

Jika tiada pemilihan protokol VPN dalam aplikasi tersuai, anda mungkin boleh memasang protokol alternatif menggunakan konfigurasi manual.

NordVPN adalah satu contoh perkhidmatan VPN yang berjalan pada OpenVPN tetapi membolehkan pemasangan manual IKEv2.

Jika perkhidmatan VPN anda menyokong konfigurasi protokol alternatif pastikan anda mematuhi arahan yang diberikan di laman webnya dengan teliti.

Adakah Semua VPN Menyulitkan Data?

VPN dengan data encrypt sifat mereka yang sebenarnya, tetapi ada beberapa perkhidmatan di luar sana yang mendakwa sebagai VPN semasa tidak menyediakan penyulitan. Hola Free VPN adalah salah satu daripada ini, dan anda harus mengelakkan produk seperti itu di semua kos.

Sambungan penyemak imbas VPN adalah produk lain untuk menjadi sedikit waspada. Pelanjutan penyemak imbas adalah perkhidmatan proksi dan bukannya perkhidmatan VPN, dan sementara ada yang menyediakan penyulitan yang lain tidak.

Pelanjutan penyemak imbas yang menyediakan penyulitan hanya akan melindungi lalu lintas penyemak imbas anda dalam pelayar web yang dijalankan, jadi anda perlu menggunakan VPN penuh untuk menyulitkan semua aplikasi anda yang lain.

Adakah Semua VPN Selamat Digunakan?

Ya - jika anda membuat pilihan yang tepat.

Tidak semua VPN selamat digunakan. Malah mereka yang menggunakan protokol VPN dan ciphers terbaik boleh meletakkan data peribadi anda secara berisiko dengan melayari aktiviti dalam talian anda.

Anda harus mencari VPN dengan dasar pembalakan yang mesra privasi, dan juga satu yang menyokong protokol VPN selamat dan ciphers.

Untuk membuat perkara lebih mudah untuk anda, mengapa tidak melihat VPN disyorkan yang tertinggi - mereka adalah yang paling selamat.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me