Šifriranje je v središču tehnologije VPN. V tem priročniku razberemo, kako deluje šifriranje VPN in kako vas ščiti.

Vodnik za šifriranje VPN

Kaj je pravzaprav šifriranje?

Šifriranje je postopek kodiranja podatkov, tako da do njega lahko dostopajo samo tisti, ki imajo pooblastilo, in preprečujejo, da bi kdo drug to storil.

To je postopek, ki vključuje nadomeščanje črk in številk, zaradi česar sporočila izgledajo brezhibno, razen če za dekodiranje uporabite pravilen postopek - ta postopek je znan kot "šifra".

Glede na procesno moč sodobnih računalnikov bi bilo katerokoli šifro, ki bi jo človek zasnoval, preveč enostavno razbiti.

Zdaj se uporabljajo močni matematični algoritmi za ustvarjanje različnih načinov šifriranja in skrivne šifre, potrebne za njihovo dešifriranje.

Storitve VPN uporabljajo šifriranje za ustvarjanje varne povezave (tunel VPN) med vašo napravo in strežnikom VPN, pri čemer internetni podatki ostanejo zasebni od ponudnika internetnih storitev, hekerjev in drugih tretjih oseb.

V tem priročniku boste izvedeli vse o šifrih in protokolih VPN ter ugotovili, kateri so najboljši in najvarnejši za uporabo.

Vse bomo razčlenili na navaden angleški jezik in razložili ves žargon na enostaven način, tako da boste lahko bolje razumeli šifriranje VPN in vsega, kar vključuje.

Šifrirni glosar

Posnetek zaslona šifriranih podatkov na črnem ozadju

Začnimo z opredelitvijo nekaterih pomembnih izrazov, ki jih uporabljamo, ko govorimo o šifriranju:

Izraz
Opredelitev
Algoritem Nabor navodil, ki jih morate upoštevati (programska oprema), da rešite težavo. Šifra je algoritem za izvajanje šifriranja ali dešifriranja.
Preverjanje pristnosti Postopek za zagotovitev in potrditev identitete uporabnika.
Bit Kratko za 'binarna številka', je najmanjša enota podatkov v računalniku.
Blok Skupina bitov fiksne dolžine (npr. 64 bitov)
Velikost bloka Največja dolžina skupine bitov.
Brute Force Attack Metoda, s katero lahko uganite skrivnost, tako da preizkusite vsako možno kombinacijo znakov. Gre za grobo, izčrpno prizadevanje in ne za bolj zapleteno ali strateško. Predstavljajte si, da ne morete odpreti ključavnice na omarici - namesto da bi si kodo zapomnili, tako da jo s silovitim prisiljenjem preprosto preizkusite v vsaki kombinaciji od 000 do 999, dokler se ne odpre.
Šifra Algoritem za izvajanje šifriranja in dešifriranja.
Kriptografija Umetnost pisanja in reševanja kod je ustvarjanje varnih sporočil, zasnovanih tako, da jih lahko obdelajo in preberejo samo predvidene stranke.
Šifriranje Postopek pretvorbe podatkov v kodo, da se prepreči nepooblaščen dostop do njih.
Požarni zid Programska oprema, ki spremlja in nadzoruje pakete podatkov, ki prihajajo ali odhajajo iz omrežja. Verjetno boste seznanjeni s tistim na namizju ali prenosnem računalniku, ki je zasnovan tako, da pazi na hekerje in viruse.
Rokovanje Postopek, ki inicializira povezavo med dvema računalnikoma - kot kaže ime, je to pozdrav, ki določa pravila za komunikacijo.
HTTPS Pomeni "Hypertext Transfer Protocol Secure", vendar tega nihče nikoli ne kliče. To je varna različica HTTP, protokola, ki je temelj spleta, in se uporablja za zagotavljanje, da komunikacija med napravami in spletnimi mesti ostane avtentična, zasebna in varna.
Jedro Jedro operacijskega sistema. V računalniku nadzoruje delovanje računalnika in njegove strojne opreme.
Ključ Niz bitov, ki jih šifrant uporablja za pretvorbo „navadnega besedila“ (nekodificirane informacije) v šifrantekst (šifrirane informacije), in obratno. Ključ se lahko razlikuje po dolžini - na splošno dlje kot traja, dlje časa bo trajalo, da ga zlomimo.
Paket Paket je enota podatkov, ki se v omrežju usmerja med izvorno in namembno postajo in je sestavljena iz glave, koristnega tovora (vaši podatki) in priklopnika in običajno z določeno velikostjo, ki ustreza omrežju MTU (največ Velikost prenosne enote). Kadar je treba podatke poslati po omrežju, če je večji od paketa, ga bo morda treba razdeliti na več podatkovnih paketov, ki jih nato pošljete posamično in podatke ponovno sestavite na namembnem mestu.
Pristanišče Tako kot pristanišča čolna na fizičnem pristanišču, tudi računalniška vrata predstavljajo "končno točko" komunikacije. Vse informacije, ki prispejo do vaše naprave, to storijo prek vrat.
Protokol Nabor pravil, ki se uporabljajo za pogajanja o povezavi med odjemalcem VPN in strežnikom VPN. Nekateri so bolj zapleteni ali varni kot drugi - OpenVPN in IKEv2 sta priljubljeni izbiri.

Šifrirni glosar

Zdaj vemo, kaj pomenijo izrazi, čas je, da razložimo, kaj je šifriranje in kaj bolj poglobljeno.

Vrste šifriranja

Ilustracija dveh tipk, ena na drugi na bledo modrem ozadju

Obstajata dve vrsti šifriranja: simetrična in asimetrična.

Šifriranje s simetričnim ključem

Šifriranje s šifričnimi ključi se uporablja samo en ključ za obdelavo šifriranja in dešifriranja podatkov.

Obe strani zahtevata isti ključ za komunikacijo. To je vrsta šifriranja, ki se uporablja v tehnologiji VPN.

Moč sodobnih računalnikov pomeni, da so morali tipke postajati vedno daljše, da preprečijo napade silovitih napadov (vsaka kombinacija poskuša najti pravo tipko).

Trenutni zlati standard je 256-bitni ključ, ki ga ni mogoče izsiliti na silo, saj bi skozi vse možne kombinacije, ki so na voljo danes, potrebovali več milijard let..

Asimetrična šifriranje

Z asimetrično kriptografijo (ali kriptografijo z javnim ključem) vsak udeleženec, ki želi varno komunicirati, uporablja programsko opremo za ustvarjanje javnega ključa in ustreznega zasebnega ključa.

Kot primer vzemimo dve osebi: osebo A in osebo B

Ko želi oseba A varno sporočilo poslati osebi B, javni ključ osebe B uporabi v šifru za pretvorbo navadnega besedilnega sporočila v šifrirano sporočilo.

Medtem ko lahko šifrirano sporočilo potuje od A do B prek drugih strani (osebe C, D, E in F), bo vsak, ki poskuša prebrati sporočilo, videl samo šifrirano besedilo.

Ko oseba B prejme šifrirano sporočilo, uporabi svoj zasebni ključ za dekodiranje šifriranega sporočila v navadno besedilo.

Ta sistem vse pogosteje uporabljajo na primer novinarji, ki na svojih socialnih medijskih profilih objavljajo javni ključ za vire, ki jim pošiljajo sporočila, ki jih je mogoče dešifrirati le z novinarjevim zasebnim ključem.

Najbolj znan tak sistem je Pretty Good Privacy (PGP). Obstaja veliko različnih programskih orodij, ki uporabljajo OpenPGP, odprtokodno različico standarda.

Šifriranje z javnim ključem se uporablja med stiskanjem TLS-a za varno skupno rabo simetričnega ključa med odjemalcem in strežnikom.

SSL & TLS

TLS / SSL je šifriranje, ki smo ga doživeli večina med brskanjem po spletu na varnem spletnem mestu, ki uporablja HTTPS.

Vedeli boste, kdaj spletno mesto uporablja HTTPS s simbolom ključavnice v naslovni vrstici brskalnika.

Tukaj je uporabljen varnostni protokol TLS (Transport Layer Security), ki temelji na predhodnem sloju varnih vtičnic (SSL različica 3.0).

Za zaščito vaših podatkov TLS uporablja kombinacijo šifriranja z javnim ključem in simetričnega šifriranja.

Med rokovanjem s TLS-om vaš brskalnik uporablja asimetrično šifriranje za komunikacijo s strežnikom varne strani in varno generiranje simetričnega ključa.

Nato se uporablja za šifriranje podatkov, ki se prenašajo med brskalnikom in strežnikom.

Ustvarjanje simetričnega ključa za uporabo je veliko bolj učinkovito kot uporaba asimetričnih tipk za ves prenos podatkov.

To je zato, ker asimetrično šifriranje zahteva neverjetno veliko več računalniške moči za šifriranje in dešifriranje vseh potrebnih podatkov v primerjavi z uporabo simetričnega ključa.

Zato lahko rečemo, da je simetrično šifriranje ključ hitrejši način šifriranja.

Čeprav je zgoraj navedeno dobro in ustvarja varno šifriranje, je vsaka varna seja, ki jo ustvari strežnik, mogoče dešifrirati z zasebnim ključem strežnika.

Če bi bil ta zasebni ključ kdaj ogrožen, lahko ukradeni zasebni ključ uporabimo za dešifriranje vsake varne seje na tem strežniku, pretekle ali sedanje.

Da bi se temu izognili, se povezave HTTPS in OpenVPN zdaj običajno vzpostavijo z uporabo Perfect Forward Secrecy in uporabljajo algoritem imenovan Diffie-Hellman Key Exchange, ki ustvari simetrični ključ.

Morda se sliši zmedeno, toda vse, kar morate resnično razumeti, je, da je to bolj varen način, da se stvari lotijo, saj se simetrični ključ nikoli ne izmenjuje prek povezave, temveč ga samodejno ustvari strežnik in spletni brskalnik.

Brskalnik ustvari začasni zasebni ključ in ustrezen javni ključ.

Simetrični ključ za sejo TLS temelji na izhodu algoritma, ki deluje na zasebnem ključu naprave (npr. Strežniku), in na javnem ključu druge naprave (npr. Brskalnika).

Zaradi domišljijskih matematičnih lastnosti tega algoritma in nekaj tehnične magije se bo ključ, ustvarjen s tem postopkom, ujemal tako na strežniku kot brskalniku.

To pomeni, da če tretja oseba, na primer vaš ponudnik internetnih storitev ali vlada, shranjuje vaše šifrirane podatke iz prejšnjih sej, zasebni ključ pa je drugače ogrožen ali ukraden, jih ne bo mogel dešifrirati.

ExpressVPN je ena storitev VPN, ki uporablja Perfect Forward Secret, pogajanja o novem zasebnem ključu vsakič, ko se povežete, in vsakih 60 minut, ko se uporablja VPN povezava..

ExpressVPN prikazuje, kako aplikacija uporablja javne ključe

Ta slika ExpressVPN prikazuje, kako aplikacija VPN uporablja strežniški javni ključ za izdelavo simetričnega para ključev z asimetričnim šifriranjem.

Zdaj, ko smo razložili različne načine šifriranja, ki so na voljo, govorimo o različnih protokolih VPN, ki so na voljo.

VPN protokoli

Kaj je protokol VPN?

VPN protokoli predstavljajo procese in niza navodil (ali pravil) VPN odjemalci se za prenos podatkov zanašajo na vzpostavitev varnih povezav med napravo in strežnikom VPN..

VPN protokoli so oblikovani iz kombinacije prenosnih protokolov in šifrirnih standardov.

Kateri protokoli VPN so trenutno na voljo?

Tu so glavni protokoli za tuneliranje VPN, o katerih morate vedeti:

OpenVPN - zelo varen in hiter

Logotip OpenVPN

OpenVPN je industrijski zlati standardni VPN protokol in priporočamo, da ga uporabljate kadar koli lahko.

Gre za enega najvarnejših in najvarnejših protokolov VPN, kar je še posebej pomembno, odprtokodnega, kar pomeni, da je popolnoma pregleden in še naprej javno preizkušen in izboljšan.

OpenVPN je zelo nastavljiv in čeprav ga lokalno ne podpira nobena platforma, večina ponudnikov VPN ponuja brezplačne aplikacije, ki ga podpirajo.

Te prilagojene aplikacije VPN so na voljo na večini glavnih platform, kot so Microsoft Windows, Apple MacOS, Android, Linux in iOS.

Nekateri ponudniki ponujajo tudi konfiguracijske datoteke OpenVPN, kar pomeni, da lahko izvirni odjemalec OpenVPN za svojo platformo prenesete s https://openvpn.net/ in ga uporabite za povezavo z izbrano storitvijo VPN.

OpenVPN deluje tako UDP kot TCP, ki sta tipa komunikacijskih protokolov.

TCP (Transmission Control Protocol) je najpogosteje uporabljen protokol za povezavo na internetu. Podatki, ki se pošiljajo, se prenašajo v koščkih, običajno sestavljenih iz več paketov.

TCP je zasnovan za pošiljanje prenesenih podatkov odjemalcu OpenVPN v vrstnem redu, kot je bil poslan s strežnika OpenVPN (npr. Pakete 1, 2, 3, 4 in 5, poslani z OpenVPN, odjemalec OpenVPN prejme v istem vrstnem redu - 1 , 2, 3, 4, 5).

To lahko stori tako, da TCP odloži dostavo paketov, ki jih je prejel prek omrežja, odjemalcu OpenVPN, dokler ne prejme vseh pričakovanih paketov in preuredi vse pakete, ki niso bili naročeni, na svoje mesto..

TCP bo ponovno zahteval (in nato čakal na prejem) paketov, ki so se morda izgubili tudi pri prenosu med strežnikom in odjemalcem.

Ta obdelava in čakalni čas dodaja zamudo v VPN povezavo, zaradi česar je povezava počasnejša kot UDP.

UDP (User Datagram Protocol) preprosto prenaša podatkovne pakete, ne da bi potrebovali potrditev prihoda, velikosti paketa UDP so manjše od TCP.

Z uporabo OpenVPN UDP manjša velikost paketa, pomanjkanje pregledov in reorganizacija vodi do hitrejše povezave.

Torej, kar je bolje: TCP ali UDP?

Odvisno je od vašega želenega izida.

Če za igranje, pretakanje ali uporabo VoIP storitev uporabljate VPN, je najboljša stava UDP, saj je hitrejši od TCP.

Slaba stran je, da lahko pride do izgubljenih paketov, kar lahko na primer pomeni, da med klicem VOIP slišite glas osebe, ki jo pogovarjate, da se izreže za delček drugega govora.

Če pa imate težave s povezavo, preklopite na TCP. TCP vrata 443 so uporabna tudi za obisk cenzure, saj so ta vrata privzeta vrata za HTTPS, zato je manj verjetno, da jih bodo blokirali požarni zidovi.

Za šifriranje OpenVPN uporablja knjižnico OpenSSL, ki podpira vrsto šifrantov.

Šifriranje OpenVPN je sestavljeno iz več elementov: podatkovni kanal, nadzorni kanal, overjanje strežnika in overjanje HMAC:

  • Preverjanje pristnosti strežnika funkcije v istem je bil kot TLS ali HTTPS. OpenVPN lahko s certifikati preveri, ali je strežnik, s katerim govorite, kriptografsko zaupan.
  • The nadzorni kanal se v začetni fazi izvaja s stiskanjem TLS, da se dogovori o šifrirnih parametrih za varen prenos podatkov in pristnosti odjemalca na strežnik.
  • The podatkovni kanal je plast, ki prenaša informacije med vašo napravo in strežnikom OpenVPN. Ta plast je šifrirana z uporabo simetrične sheme šifriranja za delovanje, ključ za to je bil pridobljen prek nadzornega kanala.
  • HMAC overjanje se uporablja za zagotovitev, da napadalec, ki ga pošljejo, ni spremenil med prevozom napadalec človek v sredini, ki ima možnost branja ali spreminjanja podatkov v realnem času.

Zavedajte se, da nekatere storitve VPN ne uporabljajo nikjer blizu enake stopnje šifriranja na obeh kanalih.

Uporaba šibkejše šifriranja na podatkovnem kanalu je lahko poceni bližnjica do hitrejše povezave, saj boljša varnost prihaja na račun hitrosti.

Žal je VPN varen le kot najšibkejši element, zato bi morali poiskati VPN, ki je čim bolj močan pri šifriranju obeh kanalov..

Podrobneje bomo o tem podrobneje poročali v spodnjih razdelkih o šifrih in stiskanju rok.

Zdaj ko veste, kaj je najvarnejši protokol VPN, bi morali vedeti, kaj so drugi - plus kateri se morate za vsako ceno izogniti.

PPTP - Šibka varnost, Izogibajte se

Protokol tuneliranja od točke do točke (PPTP) je eden najstarejših protokolov VPN, ki se še danes uporablja. Razvila ga je ekipa, ki ga financira Microsoft, in objavila leta 1999.

Kljub zastarelosti ima PPTP nekaj pozitivnih: združljiv je s skoraj vsem, ne potrebuje dodatne programske opreme, kot je vključena v sodobne operacijske sisteme, in je zelo hiter.

Glavna težava je v tem, da je dokazano, da ni varen in ga je enostavno razbiti (napad običajno traja od ene minute do 24 ur).

Ilustracija hekerjev, ki kradejo kreditno kartico in identiteto, z odklenjenim omarico na računalniškem zaslonu

Tudi PPTP je preprost za blokiranje, saj se opira na protokol GRE, ki ga je enostavno zazidati.

Izogibajte se uporabi tega protokola, razen če je nujno potrebno, da spremenite svoj IP naslov iz neobčutljivih razlogov. PPTP menimo, da ni varen.

L2TP / IPsec - varen, vendar lahko počasen

Protokol tuneliranja nivoja 2 (LT2P) ima najboljše lastnosti Microsoftovega protokola za tuneliranje od točke do točke (PPTP) in Ciscovega protokola za posredovanje nivoja 2 (L2F) in se uporablja za ustvarjanje tunela med odjemalsko napravo in strežnikom prek omrežja..

L2TP lahko obravnava avtentikacijo, vendar ne ponuja nobenih šifrirnih zmogljivosti.

Zato se L2TP običajno izvaja z varnostjo internetnega protokola (IPsec), da ustvari varne pakete, ki zagotavljajo avtentikacijo, integriteto in šifriranje podatkov.

To je bolj znano kot L2TP / IPsec, podatki pa so ponavadi šifrirani z AES šifrom, o čemer si lahko več preberete tukaj.

Pri povezovanju s strežnikom VPN z L2TP / IPsec se IPsec uporablja za ustvarjanje varnega nadzornega kanala med odjemalcem in strežnikom.

Pakete podatkov iz aplikacije vaše naprave (na primer spletnega brskalnika) vsebuje L2TP. IPSec nato šifrira te podatke L2TP in jih pošlje strežniku, ki nato izvede obratni postopek, dešifrira in dekapsulira podatke.

Glede na hitrost bi morala dvojna enkapsulacija L2TP / IPsec (v bistvu tunel znotraj tunela) potekati počasneje kot OpenVPN.

Vendar je dejansko teoretično hitrejše, ker šifriranje in dešifriranje potekata v jedru, ki lahko pakete učinkovito obdela z minimalnimi stroški.

L2TP / IPsec se na splošno šteje za varno, kadar se uporablja s šifro AES.

Vendar pa obstajajo predlogi, da je NSA protokol ogrozila in da je IPsec namerno oslabel med ustvarjanjem.

Uradnega potrdila o tem še ni bilo.

Glavna težava L2TP / IPsec in njegove uporabe v storitvah VPN je v tistih storitvah, ki uporabljajo vnaprej deljene ključe (znane tudi kot skupna skrivnost), ki jih je mogoče prenesti s spletnih strani storitev VPN in so zato dostopne vsem.

Medtem ko se ti ključi uporabljajo samo za preverjanje pristnosti povezave s strežniki VPN, sami podatki pa ostanejo šifrirani prek ločenega ključa, vendar odpirajo vrata možnim MITM (Man in the middle) napadom.

Tu napadalec predstavi strežnik VPN, da bi dešifriral promet in prisluškoval povezavi.

L2TP / IPsec uporablja tudi omejeno število fiksnih vrat, kar omogoča razmeroma enostavno blokiranje.

Kljub tem težavam je LT2P / IPsec dobra izbira, saj ga izvorno podpira toliko platform, dokler se ne uporabljajo ključi v skupni rabi.

SSTP - zaprt vir s potencialnimi tveganji

Secure Socket Tunneling Protocol (SSTP) je Microsoftov lastniški protokol, ki temelji na SSL 3.0, kar pomeni, da lahko kot OpenVPN uporablja TCP vrata 443.

Ker SSTP ni odprtokodnega, ni mogoče ovreči predlogov zalednikov ali drugih ranljivosti, prisotnih v protokolu.

To tveganje močno odtehta koristi od tesne integracije z Windows.

Druga rdeča zastava je, da je SSL 3.0 ranljiv za napad človeka v sredini, znan kot POODLE.

Ni potrjeno, ali je prizadet SSTP, vendar po našem mnenju ni vredno tveganja.

IKEv2 / IPSec - zelo hiter, varen in stabilen

Različica 2 za internetno izmenjavo ključev (IKEv2) je novejši protokol VPN in še en standard zaprtega vira, razvit v sodelovanju med Microsoftom in Cisco.

IKEv2 izvirno podpirajo iOS, BlackBerry in Windows različice 7 in novejše.

Vendar obstajajo odprtokodne različice IKEv2, razvite za Linux, ki nimajo enakih težav s zaupanjem kot lastniška različica.

Podobno kot L2TP / IPsec se IKEv2 uporablja poleg IPsec, kadar je del rešitve VPN, vendar ponuja več funkcionalnosti.

IKEv2 / IPSec lahko ureja spreminjanje omrežij s pomočjo protokola MOBIKE - uporabnega za mobilne uporabnike, ki so nagnjeni k prekinitvi povezave, in je hitrejši, ker je programiran za boljšo uporabo pasovne širine.

IKEv2 / IPSec podpira tudi širši obseg šifrirnih šifrantov kot L2TP / IPSec.

IKEv2 pa ga pogosto ne bo presekal, ko se poskušate povezati iz močno cenzurirane države. To je zato, ker IKEv2 uporablja določena vrata, ki jih Great Firewall blokira.

WireGuard - Obljubljajoč nov protokol

WireGuard Logotip

Wireguard je nov protokol za tuneliranje, katerega cilj je biti hitrejši in učinkovitejši od trenutno najbolj priljubljenega protokola, OpenVPN.

Namen WireGuarda je odpraviti težave, ki so pogosto povezane z OpenVPN in IPsec: in sicer zapleteno namestitev, plus prekinitve povezave (brez dodatne konfiguracije) in s tem povezane dolge čase ponovne povezave, ki sledijo.

Medtem ko imata OpenVPN + OpenSSL in IPsec veliko kodno bazo (~ 100.000 vrstic kode za OpenVPN in 500.000 za SSL) in IPsec (400.000 vrstic kode), zaradi česar je težko najti hrošče, trenutno Wireguard tehta manj kot 5000 vrstic v velikost.

Toda Wireguard je še vedno v razvoju.

Medtem ko merila Wireguard kažejo, da gre zelo hitro, pri izvajanju obstajajo težave, zaradi katerih komercialni ponudnik VPN morda ne bo primeren..

Ena izmed njih je, da zahteva, da se vsakemu uporabniku dodeli nejavni naslov IP, kar doda element beleženja katerega koli resnega uporabnika VPN, kar bi bilo neprijetno z.

Zakaj?

Ker lahko ta nejavni naslov IP uporabite za identifikacijo.

Vendar se še vedno loteva reševanja tega vprašanja.

Za WireGuard so še zgodnji dnevi in ​​se je še moral v celoti dokazati - vse več ponudnikov VPN pa jih svojim strankam dodaja samo v testne namene, vključno z IVPN in AzireVPN.

Promocija na spletni strani IVPN govori o njeni implementaciji WireGuard

VPN protokoli zagotavljajo okvir za varno šifriranje, zdaj pa poiščimo, kakšne vloge igrajo šifri in katere vrste šifrantov so na voljo.

Šifre

Šifra je v bistvu algoritem za šifriranje in dešifriranje podatkov. VPN protokoli uporabljajo različne šifre, najpogosteje pa se uporabljajo naslednji:

AES

Napredni šifrirni standard (AES) je šifriran ključ simetričnega ključa, ki ga je leta 2001 ustanovil ameriški Nacionalni inštitut za standarde in tehnologijo (NIST)..

To je zlati standard za spletne protokole za šifriranje in ga industrija VPN močno uporablja. AES velja za eno najvarnejših šifer za uporabo.

AES ima velikost bloka 128 bitov, kar pomeni, da lahko AES prenese večje velikosti datotek kot druge šifre, na primer Blowfish, ki ima 64-bitno velikost bloka.

AES se lahko uporablja z različnimi dolžinami tipk. Čeprav AES-128 še vedno velja za varno, je prednost AES-256, saj omogoča večjo zaščito. Na voljo je tudi AES-192.

Slika bančnega sefa na modrem ozadju

Ko na spletnem mestu storitve VPN berete o šifriranju "vojaške ocene" ali "bančne ocene", se na splošno nanaša na AES-256, ki ga ameriška vlada uporablja za podatke Top Secret.

Blowfish

Blowfish je še en šifrirni ključ, ki ga je leta 1993 zasnoval ameriški kriptograf Bruce Schneier.

Blowfish je bil privzeti šifrant, ki se uporablja v OpenVPN, vendar ga je v veliki meri nadomestil AES-256.

Ko uporabljate Blowfish, ga boste običajno videli z 128-bitno dolžino tipke, čeprav se lahko giblje od 32 do 448 bitov.

Blowfish ima nekaj pomanjkljivosti, vključno z njegovo občutljivostjo za napade na rojstni dan, kar pomeni, da bi ga bilo treba uporabiti le kot rezervno orodje AES-256.

Camellia

Camellia je tudi šifra s simetričnim ključem in je po varnosti in hitrosti zelo podobna AES.

Glavna razlika je v tem, da Camellia ni certificirana pri NIST, ameriški organizaciji, ki je ustanovila AES.

Čeprav obstaja argument za uporabo šifre, ki ni povezan z ameriško vlado, je le ta redko na voljo v programski opremi VPN, niti ni bil tako temeljito preizkušen kot AES.

VPN Rokovanje

Ilustracija dveh rok, ki se treseta

Tako kot pri zagonu varne seje na spletnem mestu HTTPS, varna povezava s strežnikom VPN zahteva uporabo šifriranja z javnim ključem (običajno z uporabo kriptosistema RSA) prek stiskanja TLS.

RSA je bila osnova za internetno varnost v zadnjih dveh desetletjih, a žal se zdi, da je NSA zrušila šibkejšo različico, RSA-1024.

Medtem ko se je večina storitev VPN oddaljila od RSA-1024, jih manjšina še naprej uporablja, zato se je treba temu izogibati. Poiščite RSA-2048, ki še vedno velja za varno.

V idealnem primeru bo dodatna šifriranje uporabljeno za ustvarjanje Perfect Forward Secrecy. Običajno bo to z vključitvijo Diffie-Hellman (DH) ali Eliptične krivulje Diffie-Hellman (ECDH) izmenjava ključev.

Medtem ko se ECDH lahko uporablja samo za ustvarjanje varnega stiskanja roke, se je treba izogibati samemu DH, saj je izpostavljen razpokam. Pri uporabi z RSA to ni vprašanje.

SHA Hash overjanje

Algoritmi varnih lopov (SHA) se uporabljajo za zagotavljanje celovitosti poslanih podatkov in povezav SSL / TLS, kot so povezave OpenVPN, da se zagotovi, da se informacije med prehodom med izvorom in namembnim krajem niso spremenile..

Algoritmi varnih Hash delujejo s preoblikovanjem izvornih podatkov s pomočjo tega, kar je znano kot hash funkcija, pri čemer se prvotno izvorno sporočilo izvaja skozi algoritem, rezultat pa je niz znakov s fiksno dolžino, ki ni videti kot original - "hash value".

To je enosmerna funkcija - ne morete zagnati postopka razhoda, da bi določili izvirno sporočilo iz vrednosti hash.

Hashing je uporaben, ker bo sprememba samo enega znaka vhodnih podatkov v celoti spremenila vrednost hash-ja, ki se izpelje iz hash funkcije.

Odjemalec VPN bo sprožil podatke, prejete od strežnika, v kombinaciji s skrivnim ključem, preko funkcije hash, dogovorjene med stiskanjem VPN-ja..

Če se vrednost hash, ki jo odjemalec ustvari, razlikuje od vrednosti hash v sporočilu, bodo podatki zavrženi, ko je bilo sporočilo poseženo..

Preverjanje pristnosti hash-SHA preprečuje napade človeka v sredini, tako da lahko odkrijejo vsakršno poseganje z veljavnim certifikatom TLS.

Brez tega bi heker lahko predstavljal zakoniti strežnik in vas nategnil, da se povežete z nevarnim, kjer bi lahko spremljali svojo dejavnost.

Priporočljivo je, da se za izboljšanje varnosti uporablja SHA-2 (ali višje), saj ima SHA-1 dokazane pomanjkljivosti, ki lahko ogrozijo varnost.

Kaj je VPN? Pojasnjevalni diagram

V tem priročniku za šifriranje smo prekrili veliko temeljev, vendar boste morda še vedno imeli nekaj splošnejših vprašanj, povezanih z VPN-ji in protokoli, na katere je treba odgovoriti.

Tu so najpogostejša vprašanja, ki jih slišimo:

Kaj je najvarnejši protokol VPN?

OpenVPN, ki se uporablja s šifro AES-256, na splošno velja za najboljši in najvarnejši protokol VPN. OpenVPN je open-source in je bil javno preizkušen glede pomanjkljivosti.

OpenVPN ponuja odlično ravnovesje med zasebnostjo in zmogljivostjo ter je združljiv s številnimi priljubljenimi platformami. Mnoge komercialne storitve VPN kot privzeto uporabljajo OpenVPN.

IKEv2 je dobra možnost za mobilne naprave, saj učinkoviteje upravlja z omrežnimi spremembami in samodejno obnavlja prekinjene povezave z lahkoto in hitrostjo.

Kako spremenim protokol VPN?

Nekatere storitve VPN, kot je ExpressVPN, omogočajo spreminjanje protokola VPN v meniju nastavitev aplikacije VPN.

V tem primeru preprosto odprite meni z nastavitvami in izberite protokol VPN, ki ga želite uporabiti.

Posnetek zaslona v meniju za nastavitve protokola ExpressVPN

Če v aplikaciji po meri ni izbranega protokola VPN, boste morda lahko namestili alternativne protokole z ročno konfiguracijo.

NordVPN je en primer storitve VPN, ki deluje na OpenVPN, vendar omogoča ročno namestitev IKEv2.

Če vaša storitev VPN podpira alternativno konfiguracijo protokola, se prepričajte, da natančno upoštevate navodila na svojem spletnem mestu.

Vsi VPN-ji šifrirajo podatke?

VPN-ji po svoji naravi šifrirajo podatke, vendar obstajajo nekatere storitve, ki trdijo, da so VPN, medtem ko ne širirajo. Hola Free VPN je eden od teh, zato se morate izogibati izdelkom, kot je to, za vsako ceno.

Razširitve brskalnikov VPN so še en izdelek, na katerega je treba biti malce previden. Razširitve brskalnika so proxy storitve, ne pa storitve VPN, medtem ko nekatere ponujajo šifriranje, druge pa ne.

Razširitve brskalnika, ki omogočajo šifriranje, bodo zaščitile samo promet vašega brskalnika v spletnem brskalniku, v katerem se izvaja, zato boste morali za šifriranje vseh ostalih aplikacij uporabiti celoten VPN.

Ali so vsi VPN-ji varni za uporabo?

Da - če se pravilno odločite.

Niso vsi VPN-ji varni za uporabo. Tudi tisti, ki uporabljajo najboljše protokole in šifre VPN, lahko vaše osebne podatke ogrozijo z beleženjem spletnih dejavnosti.

Iščite VPN s pravilnikom o prijavi za prijavo, ki je prijazen zasebnosti, in tistega, ki podpira najvarnejše protokole in šifre VPN..

Da bi si olajšali stvari, zakaj si ne bi ogledali naših najvišjih priporočenih VPN-jev - so najbolj varni okoli.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me