ההצפנה היא בלב ליבו של טכנולוגיית ה- VPN. במדריך זה אנו מפרקים כיצד הצפנת VPN עובדת ואיך היא מגינה עליכם.

מדריך להצפנת VPN

מה בעצם הוא הצפנה?

הצפנה היא תהליך קידוד נתונים כך שרק בעלי הרשאה יכולים לגשת אליהם, ומונע מאף אחד אחר לעשות זאת.

זהו תהליך שכולל החלפת אותיות ומספרים, הגורם להודעות להיראות כמו ג'יבריש, אלא אם כן אתה מיישם את התהליך הנכון כדי לפענח אותו - תהליך זה ידוע כ"צופן "..

בהתחשב בכוח העיבוד של מחשבים מודרניים, כל קידוד שאדם יכול לבוא איתו יהיה קל מדי לשבור.

כעת משתמשים באלגוריתמים מתמטיים רבי עוצמה ליצירת שיטות שונות להצפנה, בנוסף לצ'פרים הסודיים הנדרשים לפענוח אותם..

שירותי VPN משתמשים בהצפנה כדי ליצור חיבור מאובטח (מנהרת ה- VPN) בין המכשיר שלך לשרת VPN, תוך שמירה על נתוני האינטרנט שלך פרטיים מהספק שירותי האינטרנט שלך, מהאקרים וכל צד שלישי מגניב אחר..

במדריך זה תלמד הכל על צ'יפים ופרוטוקולי VPN, ותגלה אילו מהם הם הטובים והבטוחים ביותר לשימוש.

אנו נפרק את הכל לאנגלית ונסביר את כל הז'רגון במונחים פשוטים כך שתוכלו להבין טוב יותר את הצפנת ה- VPN ואת כל מה שיש בזה..

מילון מונחים של הצפנה

צילום מסך של נתונים מוצפנים על רקע שחור

נתחיל בהגדרת חלק מהמונחים החשובים שאנו משתמשים בהם כשמדברים על הצפנה:

טווח
הגדרה
אלגוריתם קבוצה של הוראות שצריכות להתקיים (על ידי תוכנה) על מנת לפתור בעיה. צופן הוא אלגוריתם לביצוע הצפנה או פענוח.
אימות תהליך להבטיח ולאשר את זהותו של המשתמש.
קצת קיצור של 'ספרה בינארית', זו יחידת הנתונים הקטנה ביותר במחשב.
חסום קבוצה של ביטים באורך קבוע (למשל 64 סיביות)
גודל חסום האורך המרבי של קבוצת ביטים.
התקפה בכוח אלים שיטה לנסות ולנחש סוד על ידי ניסיון כל שילוב תווים אפשרי. זה מאמץ גס וממצה ולא מאמץ או אסטרטגי יותר. תאר לעצמך שאתה לא יכול לפתוח את המנעול במנעולן שלך - במקום לנסות לזכור את הקוד, על ידי אילוץ אכזרי אותו אתה פשוט מנסה כל שילוב בין 000 עד 999 עד שהוא ייפתח.
צופן אלגוריתם לביצוע הצפנה ופענוח.
קריפטוגרפיה אומנות כתיבת ופתרון קודים ליצירת העברת הודעות מאובטחת, שתוכננה כך שרק הצדדים המיועדים יוכלו לעבד אותם ולקרוא אותה.
הצפנה תהליך המרת נתונים לקוד על מנת למנוע גישה בלתי מורשית אליו.
חומת אש תוכנה המנטרת ושולטת בחבילות נתונים הנכנסות או יוצאות מרשת. סביר להניח שאתה מכיר את זה במחשב השולחני או הנייד שלך, שנועד להיזהר מהאקרים וירוסים.
לחיצת ידיים תהליך שמאתחל את החיבור בין שני מחשבים - כמו ששמו מרמז, זו ברכה שקובעת את כללי התקשורת.
HTTPS זה אומר 'Hypertext Transfer Protocol Secure', אך איש מעולם לא קורא לזה. זוהי גרסה מאובטחת של HTTP, הפרוטוקול המהווה את היסוד של האינטרנט ומשמש להבטיח שתקשורת בין מכשירים ואתרים תישאר מאומתת, פרטית ומאובטחת..
ליבה ליבה של מערכת הפעלה. במחשב הוא שולט על פעולת המחשב והחומרה שלו.
מפתח מחרוזת ביטים המשמשים את הצופן כדי להמיר 'טקסט רגיל' (מידע שאינו מוצפן) לקודקסטקסט (מידע מוצפן), ולהיפך. מפתח יכול להשתנות באורכו - בדרך כלל, ככל שהוא ארוך יותר, כך ייקח לפצח אותו זמן רב יותר.
מנה מנה היא יחידת נתונים המנותבת בין מוצא ויעד ברשת, ומורכבת מכותרת ראש, מטען המשא (הנתונים שלך) והטריילר, ובדרך כלל בגודל מוגדר ספציפי, התואם לרשת MTU (מקסימום גודל שידור). כאשר יש לשלוח נתונים דרך רשת, אם הם גדולים מחבילה, ייתכן שיהיה צורך להתפרק לחבילות נתונים מרובות, אשר לאחר מכן נשלחים בנפרד והנתונים מחדש מחדש ביעד.
נמל ממש כמו שסירה עגינה בנמל פיזי, נמלי מחשוב מייצגים את 'נקודת הקצה' של התקשורת. כל מידע שמגיע למכשיר שלך עושה זאת דרך יציאה.
נוהל מערכת כללים המשמשת לניהול משא ומתן על קשר בין לקוח VPN לשרת VPN. חלקם מורכבים יותר או בטוחים מאחרים - OpenVPN ו- IKEv2 הם כמה אפשרויות פופולריות.

מילון מונחים של הצפנה

כעת אנו יודעים מה המשמעות של המונחים, הגיע הזמן להסביר מהי הצפנה ועושה יותר לעומק.

סוגי הצפנה

איור של שני מפתחות, אחד על גבי השני על רקע תכלת

ישנם שני סוגים של הצפנה: סימטרי וא-סימטרי.

קידוד סימטרי

הצפנה של מפתח סימטרי היא המקום בו רק מפתח אחד משמש לטיפול בהצפנה וגם בפענוח נתונים.

לשני הצדדים נדרש אותו מפתח לתקשורת. זהו סוג ההצפנה המשמשת בטכנולוגיית VPN.

כוחם של מחשבים מודרניים פירושו שהמפתחות נאלצו להתארך יותר ויותר בכדי למנוע התקפות כוח סוער (לנסות כל שילוב למצוא את המפתח הנכון).

תקן הזהב הנוכחי הוא מקש 256 סיביות, שלא ניתן לאכוף אותו בצורה ברורה, שכן היה לוקח מיליארדי שנים לעבור על כל השילובים האפשריים באמצעות מחשבים הקיימים כיום..

הצפנה אסימטרית

בעזרת קריפטוגרפיה אסימטרית (או קריפטוגרפיה של מפתח ציבורי), כל משתתף שרוצה לתקשר בצורה מאובטחת משתמש בתוכנה כדי ליצור מפתח ציבורי ומפתח פרטי מתאים..

כדוגמה, ניקח שני אנשים: אדם A ואדם B

כאשר אדם A רוצה לשלוח הודעה מאובטחת לאדם B, המפתח הציבורי של אדם B משמש בצופן כדי להמיר את הודעת הטקסט הפשוטה להודעה מוצפנת..

בעוד שההודעה המוצפנת עשויה לנוע מ- A ל- B דרך גורמים שונים אחרים (אנשים C, D, E ו- F), כל מי שמנסה לקרוא את ההודעה יראה רק את הטקסט המוצפן.

כאשר אדם B מקבל את ההודעה המוצפנת, הם משתמשים במפתח הפרטי שלהם כדי לפענח את ההודעה המוצפנת בחזרה לטקסט רגיל.

מערכת זו משמשת יותר ויותר על ידי עיתונאים, למשל, המפרסמים את המפתח הציבורי שלהם בפרופילי המדיה החברתית שלהם למקורות כדי לשלוח להם הודעות שניתן לפענח רק באמצעות המפתח הפרטי של העיתונאי..

המערכת הידועה ביותר כזו היא Pretty Good Privacy (PGP). ישנם המון כלי תוכנה שונים המשתמשים ב- OpenPGP, גרסת הקוד הפתוח של התקן.

קידוד מפתח ציבורי משמש במהלך לחיצת יד TLS על מנת לשתף באופן מאובטח מפתח סימטרי בין לקוח לשרת..

SSL & TLS

TLS / SSL הוא ההצפנה שרובנו חווינו בעת הגלישה באינטרנט באתר מאובטח המשתמש ב- HTTPS.

תוכלו לדעת מתי אתר משתמש ב- HTTPS בסמל הנעילה בסרגל הכתובות של הדפדפן.

פרוטוקול האבטחה הנמצא בשימוש כאן הוא TLS (Transport Layer Security), המבוסס על שכבת Sockets Sure קודמתה (גרסת SSL גרסה 3.0).

TLS משתמש בשילוב של קידוד מפתח ציבורי וסימטרי כדי להגן על הנתונים שלך.

במהלך לחיצת היד של TLS, הדפדפן שלך משתמש בהצפנה א-סימטרית כדי לתקשר עם שרת הדף המאובטח ולייצר באופן מאובטח מפתח סימטרי..

לאחר מכן משתמשים בהן להצפנת הנתונים המועברים בין הדפדפן לשרת.

ייצור מפתח סימטרי לשימוש יעיל בהרבה מאשר שימוש במפתחות אסימטריים לכל העברת הנתונים.

הסיבה לכך היא שהצפנה א-סימטרית דורשת כמות מדהימה של כוח מחשוב כדי להצפין ולפענח את כל הנתונים הדרושים בהשוואה לשימוש במפתח סימטרי..

לכן ניתן לומר כי הצפנת מפתחות סימטרית היא שיטת ההצפנה המהירה יותר.

אמנם האמור לעיל טוב ומייצר הצפנה מאובטחת, אך כל הפעלה מאובטחת הנוצרת על ידי השרת ניתנת לפענוח באמצעות המפתח הפרטי של השרת..

אם אי פעם היה נפגע מפתח זה, ניתן להשתמש במפתח הפרטי הגנוב כדי לפענח כל הפעלה מאובטחת באותו שרת, בעבר או בהווה..

כדי להימנע מכך, כיום נקבעים בדרך כלל חיבורי HTTPS ו- OpenVPN באמצעות סודיות פרפוד קדימה, תוך שימוש באלגוריתם בשם Diffie-Hellman Key Exchange שמייצר את המפתח הסימטרי..

זה אולי נשמע מבלבל, אבל כל מה שאתה באמת צריך להבין זה שזו הדרך הבטוחה יותר לעשות דברים שכן המפתח הסימטרי לעולם לא מחליף אותו מעבר לחיבור, אלא נוצר באופן עצמאי על ידי השרת וגם של דפדפן האינטרנט..

הדפדפן מייצר מפתח פרטי זמני, ומפתח ציבורי מתאים.

המפתח הסימטרי להפעלת TLS מבוסס על הפלט של אלגוריתם הפועל על מפתח פרטי של המכשיר (למשל שרת), והמפתח הציבורי של המכשיר האחר (למשל הדפדפן שלך).

בשל המאפיינים המתמטיים המהודרים של אלגוריתם זה וכמה קסמים טכניים המפתח שנוצר בתהליך זה יתאים הן לשרת והן לדפדפן.

המשמעות היא שאם צד שלישי כמו ספק שירותי האינטרנט שלך או הממשלה מאחסנת את הנתונים המוצפנים שלך מההפעלות הקודמות, והמפתח הפרטי אחר נפגע או נגנב, הם לא יוכלו לפענח נתונים אלה.

ExpressVPN הוא שירות VPN אחד שמשתמש בסודיות מושלמת של פורוורד, משא ומתן על מפתח פרטי חדש בכל פעם שאתה מתחבר, וכל 60 דקות תוך כדי חיבור VPN..

ההמחשה של ExpressVPN מדגימה כיצד האפליקציה משתמשת במפתחות ציבוריים

איור ExpressVPN זה מראה כיצד אפליקציית VPN משתמשת במפתח הציבורי של השרת כדי לייצר צמד מפתחות סימטרי, באמצעות הצפנה אסימטרית.

כעת, לאחר שהסברנו את שיטות ההצפנה השונות, בואו לדבר על הפרוטוקולים השונים של VPN הזמינים..

פרוטוקולי VPN

מהו פרוטוקול VPN?

פרוטוקולי VPN מייצגים את התהליכים וקבוצות ההוראות (או הכללים) לקוחות VPN מסתמכים על יצירת חיבורים מאובטחים בין התקן לשרת VPN על מנת להעביר נתונים.

פרוטוקולי VPN נוצרים משילוב של פרוטוקולי שידור ותקני הצפנה.

אילו פרוטוקולי VPN זמינים כעת?

להלן הפרוטוקולים של מנהור VPN שאתה צריך לדעת עליהם:

OpenVPN - מאובטח ומהיר מאוד

לוגו OpenVPN

OpenVPN הוא פרוטוקול ה- VPN הרגיל מזהב בתעשייה ואנו ממליצים להשתמש בו בכל עת שתוכלו.

זהו אחד מפרוטוקולי ה- VPN הבטוחים והבטוחים ביותר, וחשוב מכך שהוא קוד פתוח, מה שאומר שהוא שקוף לחלוטין וממשיך להיבדק באופן ציבורי ומשופר..

OpenVPN ניתן להגדרה מאוד ולמרות שהיא אינה נתמכת באופן טבעי על ידי פלטפורמה כלשהי, רוב ספקי ה- VPN מציעים אפליקציות בחינם התומכות בה.

אפליקציות VPN מותאמות אישית אלה זמינות ברוב הפלטפורמות העיקריות כמו Microsoft Windows, Apple MacOS, Android, Linux ו- iOS.

ספקים מסוימים מציעים גם קבצי תצורה של OpenVPN, כלומר אתה יכול להוריד את לקוח OpenVPN המקורי עבור הפלטפורמה שלך מ https://openvpn.net/ ולהשתמש בו כדי להתחבר לשירות ה- VPN שבחרת..

OpenVPN עובד גם על UDP וגם על TCP, שהם סוגים של פרוטוקולי תקשורת.

TCP (פרוטוקול בקרת שידור) הוא פרוטוקול החיבור המשמש ביותר באינטרנט. הנתונים שנשלחים מועברים בגזרים, המורכבים בדרך כלל מכמה מנות.

TCP נועד למסור את הנתונים שהועברו ללקוח OpenVPN בסדר שנשלח משרת OpenVPN (למשל חבילות 1, 2, 3, 4 ו- 5 שנשלחו מ OpenVPN מתקבלות על ידי לקוח OpenVPN באותה הסדר - 1 , 2, 3, 4, 5).

לשם כך, TCP יכולה לעכב את מסירת החבילות שקיבלה דרך הרשת ללקוח OpenVPN עד שקיבלה את כל המנות הצפויות וסידור מחדש של כל מנות שלא בהזמנה חזרה למקומן..

TCP תבקש מחדש (ואז תחכה לקבל) מנות שעלולות לאיבוד גם בהעברה בין שרת ולקוח.

זמן עיבוד וזמן המתנה זה מוסיף חביון לחיבור ה- VPN, מה שהופך את החיבור לאיטי יותר מ- UDP.

UDP (Protocol Protocol Protocol) פשוט משדר מנות נתונים מבלי לדרוש אישור הגעה, וגדלי המנות של UDP הם קטנים יותר מ- TCP.

על ידי שימוש ב- OpenVPN UDP, גודל המנות הקטן יותר, היעדר בדיקות וארגון מחדש מביא לחיבור מהיר יותר.

אז מה עדיף: TCP או UDP?

זה תלוי בתוצאה הרצויה לך.

אם אתה משתמש ב- VPN כדי לשחק, להזרים או להשתמש בשירותי VoIP, UDP הוא הדבר הטוב ביותר שלך, מכיוון שהוא מהיר יותר מ- TCP.

החיסרון הוא שאתה עלול להיתקל במנות שאבדו, שאולי למשל פירושו בשיחת VOIP אתה שומע את קולו של האדם שאתה מדבר איתו לחתוך במשך שבריר מאמצע הדיבור השני.

עם זאת, עליך לעבור ל- TCP אם אתה נתקל בבעיות חיבור. יציאת TCP 443 שימושית גם לעקיפת צנזורה, שכן יציאה זו היא יציאת ברירת המחדל של HTTPS, ולכן פחות סביר להיחסם על ידי חומות אש.

לצורך הצפנה, OpenVPN משתמש בספריית OpenSSL, התומכת במגוון צופים.

קידוד OpenVPN מורכב מכמה אלמנטים: ערוץ נתונים, ערוץ בקרה, אימות שרת ואימות HMAC:

  • אימות שרת פונקציות זהות היו ל- TLS או HTTPS. OpenVPN יכול להשתמש באישורים כדי לאמת שהשרת שאתה מדבר איתו מהימן באופן קריפטוגרפי.
  • ה ערוץ בקרה משמש בשלב הראשוני, מבצע את לחיצת היד TLS כדי להסכים על פרמטרי ההצפנה להעברת נתונים בצורה מאובטחת, ואימות הלקוח לשרת.
  • ה ערוץ נתונים היא השכבה שמעבירה מידע בין המכשיר שלך לשרת OpenVPN. שכבה זו מוצפנת באמצעות תכנית הצפנה סימטרית לביצועים, שהמפתח עבורה הושג באמצעות ערוץ הבקרה.
  • אימות HMAC משמש להבטיח שחבילות שנשלחו לא שונו במעבר על ידי תוקף איש אמצע שיש לו את היכולת לקרוא או לשנות את הנתונים בזמן אמת.

שימו לב ששירותי VPN מסוימים אינם משתמשים בשום מקום קרוב לאותה רמת הצפנה בשני הערוצים.

שימוש בהצפנה חלשה יותר בערוץ הנתונים יכול להיות קיצור דרך זול לחיבור מהיר יותר מכיוון שאבטחה טובה יותר באה על חשבון המהירות.

למרבה הצער, VPN הוא רק מאובטח כמו האלמנט החלש ביותר שלו, ולכן עליך לחפש VPN חזק ככל האפשר בהצפנה שלו לשני הערוצים..

נפרט על כך יותר בפרקים להלן על צופים ולחיצות יד.

כעת, כשאתם יודעים מה פרוטוקול ה- VPN הבטוח ביותר, עליכם לדעת מה הם האחרים - בתוספת מאיזה אחד להימנע בכל מחיר.

PPTP - אבטחה חלשה, הימנע

פרוטוקול המנהרות נקודה לנקודה (PPTP) - אחד מפרוטוקולי ה- VPN העתיקים ביותר שנמצאים בשימוש כיום. זה פותח על ידי צוות במימון מיקרוסופט ופורסם בשנת 1999.

למרות היותה מיושנת, ל- PPTP יש כמה חיוביות: היא תואמת לכל דבר כמעט, היא אינה זקוקה לתוכנה נוספת כפי שהיא כלולה במערכות הפעלה מודרניות, והיא מהירה מאוד.

הבעיה העיקרית היא שהוכח שהיא לא בטוחה וקלה לפיצוח (התקפה תארך בדרך כלל בין דקה ל -24 שעות).

איור של האקרים שגונבים כרטיס אשראי וזהות, עם מנעול לא נעול על מסך המחשב

PPTP הוא גם פשוט לחסימה שכן הוא מסתמך על פרוטוקול GRE, אשר ניתן בקלות לחומת אש.

עליך להימנע משימוש בפרוטוקול זה אלא אם כן הכרחי לחלוטין לשנות את כתובת ה- IP שלך מסיבות לא רגישות. אנו רואים את PPTP כלא בטוח.

L2TP / IPsec - מאובטח, אך יכול להיות איטי

פרוטוקול מנהרה של שכבה 2 (LT2P) לוקח את התכונות הטובות ביותר של פרוטוקול מנהרת נקודה לנקודה של מיקרוסופט (PPTP) וגם פרוטוקול שכבה 2 של Cisco של סיסקו (L2F) ומשמש ליצירת מנהרה בין התקן לקוח לשרת ברשת..

L2TP יכול להתמודד עם אימות, אך אינו מספק יכולות הצפנה.

לפיכך, L2TP מיושם בדרך כלל באמצעות Internet Protocol Security (IPsec) ליצירת מנות מאובטחות המספקות אימות, שלמות והצפנת נתונים..

זה ידוע יותר בשם L2TP / IPsec, ונתונים מוצפנים בדרך כלל באמצעות צופן AES, עליו תוכלו לקרוא עוד אודותיו.

בעת חיבור לשרת VPN עם L2TP / IPsec, IPsec משמש ליצירת ערוץ בקרה מאובטח בין לקוח לשרת..

חבילות נתונים מיישום המכשיר שלך (כמו דפדפן האינטרנט שלך למשל) מכוסות על ידי L2TP. לאחר מכן, IPSec מצפין את נתוני L2TP זה ושולח אותם לשרת, אשר לאחר מכן מבצע את התהליך ההפוך, מפענח ומפסל את הנתונים..

מבחינת המהירות, ההקפאה הכפולה של L2TP / IPsec (בעצם מנהרה בתוך מנהרה) אמורה להפוך אותה לאיטית יותר מ- OpenVPN.

עם זאת, זה למעשה מהיר יותר באופן תיאורטי מכיוון שההצפנה והפענוח מתרחשים בגרעין, שיכולים לעבד מנות ביעילות עם מינימום תקורה..

L2TP / IPsec נחשב בדרך כלל לבטוח כאשר הוא משמש עם הצופן AES.

אבל היו הצעות לפיהם הפרוטוקול נפגע על ידי ה- NSA, וכי ה- IPsec נחלש במכוון במהלך הקמתו..

עם זאת לא הייתה שום אישור רשמי לכך.

הבעיה העיקרית עם L2TP / IPsec והשימוש בה בשירותי VPN נעוצה בשירותים המשתמשים במפתחות משותפים מראש (הידועים גם כסוד משותף) הניתנים להורדה מאתרי שירות VPN ולכן הם זמינים לכל אחד.

בעוד שמפתחות אלה משמשים רק לאימות החיבור עם שרתי VPN, והנתונים עצמם נותרים מוצפנים באמצעות מפתח נפרד, הם אכן פותחים את הדלת להתקפות MITM (אדם באמצע) פוטנציאליים..

זה המקום בו התוקף מתחזה לשרת VPN על מנת לפענח את התנועה ואת מצותת החיבור.

L2TP / IPsec משתמש גם במספר מוגבל של יציאות קבועות, מה שמקל יחסית על החסימה.

למרות בעיות אלה, LT2P / IPsec הוא בחירה איתנה בהינתן שהוא נתמך באופן טבעי על ידי כל כך הרבה פלטפורמות כל עוד לא משתמשים במפתחות משותפים מראש.

SSTP - מקור סגור עם סיכונים פוטנציאליים

פרוטוקול מנהלי Socket Tunneling (SSTP) הוא פרוטוקול קנייני בבעלות של מיקרוסופט, שמבוסס על SSL 3.0, כלומר, כמו OpenVPN, הוא יכול להשתמש ביציאת TCP 443.

מכיוון ש- SSTP אינו קוד פתוח, אי אפשר להפריך הצעות לדלתות אחוריות או פגיעויות אחרות הקיימות בפרוטוקול..

סיכון זה עולה בהרבה על כל היתרונות מהשילוב ההדוק שלו עם Windows.

דגל אדום נוסף הוא ש- SSL 3.0 חשוף להתקפה של אדם באמצע המכונה POODLE.

לא אושר אם SSTP מושפע, אך לדעתנו לא כדאי להסתכן.

IKEv2 / IPSec - מהיר מאוד, מאובטח ויציב

גרסת 2 של Internet Key Exchange (IKEv2) היא פרוטוקול VPN חדש יותר, ותקן אחר עם קוד סגור שפותח בשיתוף פעולה בין מיקרוסופט וסיסקו..

IKEv2 נתמך באופן טבעי על ידי iOS, BlackBerry, ו- Windows גרסאות 7 ואילך.

עם זאת, קיימות גרסאות קוד פתוח של IKEv2 שפותחו עבור לינוקס שאינן נושאות את אותן בעיות אמון כמו הגרסה הקניינית..

בדומה ל- L2TP / IPsec, IKEv2 משמש לצד IPsec כאשר הוא חלק מפיתרון VPN, אך מציע פונקציונליות רבה יותר.

IKEv2 / IPSec יכול להתמודד עם החלפת רשתות דרך משהו שנקרא פרוטוקול MOBIKE - שימושי למשתמשים ניידים המועדים לנפילת החיבור שלהם, ומהיר יותר בגלל התוכנות לשימוש טוב יותר ברוחב הפס..

IKEv2 / IPSec תומך גם במגוון רחב יותר של צופני הצפנה מאשר L2TP / IPSec.

עם זאת, IKEv2 לעתים קרובות לא יחתוך אותו כשאתה מנסה להתחבר לארץ מצונזרת מאוד. הסיבה לכך היא ש- IKEv2 משתמש ביציאות מוגדרות שקל מאוד לחסום את חומת האש הגדולה.

WireGuard - פרוטוקול חדש מבטיח

לוגו של WireGuard

Wireguard הוא פרוטוקול מנהור חדש שמטרתו להיות מהיר יותר וביצועים גבוהים יותר מהפרוטוקול הנוכחי הפופולרי ביותר, OpenVPN.

WireGuard שואפת להתמודד עם הבעיות הקשורות לעיתים קרובות ל- OpenVPN ו- IPsec: כלומר הגדרה מורכבת, בנוסף ניתוקים (ללא תצורה נוספת) וזמני החיבור הארוך המשויכים הבאים..

בעוד של OpenVPN + OpenSSL ו- IPsec יש בסיס קוד גדול (~ 100,000 שורות קוד עבור OpenVPN ו- 500,000 עבור SSL) ו- IPsec (400,000 שורות קוד), מה שמקשה על איתור באגים, Wireguard שוקל כיום בפחות מ- 5,000 שורות בפנים גודל.

אבל Wireguard עדיין בפיתוח.

בעוד שמדדי Wireguard מראים שזה מהיר מאוד, ישנם בעיות ביישום שעלולות להפוך אותו לא מתאים לשימוש על ידי ספק VPN מסחרי..

אחת מהן היא שהיא מחייבת להקצות כתובת IP לא ציבורית לכל משתמש, מה שמוסיף אלמנט של רישום לכל משתמש VPN רציני לא יהיה בנוח עם.

למה?

מכיוון שניתן להשתמש בכתובת IP שאינה ציבורית זו לזיהויך.

עם זאת, עובדים על מנת לטפל בכך.

עדיין מדובר בימים הראשונים של WireGuard, והיא טרם הוכיחה את עצמה במלואה - עם זאת, מספר גדל והולך של ספקי VPN מוסיפים את זה ללקוחותיהם למטרות בדיקה בלבד, כולל IVPN ו- AzireVPN.

קידום באתר IVPN ומדבר על יישום ה- WireGuard

פרוטוקולי VPN מספקים את המסגרת להצפנה מאובטחת, כעת נגלה לאיזה תפקיד מצפנים ומגוון הצפרנים הזמינים.

צ'יפים

צופן הוא למעשה אלגוריתם להצפנה ופענוח נתונים. פרוטוקולי VPN משתמשים במגוון צופרים, וההוראות הבאות הן הנפוצות ביותר:

AES

תקן ההצפנה המתקדם (AES) הוא קידוד מפתח סימטרי שהוקם על ידי המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST) בשנת 2001.

זהו תקן הזהב לפרוטוקולי הצפנה מקוונים, ומשמש בכבדות על ידי תעשיית ה- VPN. AES נחשב לאחד הצפנים הבטוחים ביותר לשימוש.

ל- AES גודל חסימת של 128 סיביות, כלומר AES יכולה להתמודד עם גדלי קבצים גדולים יותר מאשר צ'יפים אחרים, כמו Blowfish עם גודל בלוק של 64 סיביות..

ניתן להשתמש ב- AES באורכי מפתח משתנים. בעוד AES-128 עדיין נחשב לבטוח, עדיף AES-256 מכיוון שהוא מעניק הגנה רבה יותר. AES-192 זמין גם.

איור של כספת בבנק על רקע כחול

כשאתה קורא על הצפנה 'בדרגה צבאית' או 'ציון בנקאי' באתר שירות VPN, בדרך כלל זה מתייחס ל- AES-256, המשמשת את ממשלת ארה"ב לנתוני Top Secret..

דבורה

Blowfish הוא עוד קידוד מפתח סימטרי, שתוכנן בשנת 1993 על ידי הקריפטוגרף האמריקני ברוס שנייר.

Blowfish היה בעבר הצופן המהווה ברירת מחדל בשימוש ב- OpenVPN, אך הוחלף ברובו על ידי AES-256.

כשמשתמשים ב Blowfish, תראה בדרך כלל שהיא משמשת באורך מפתח של 128 סיביות, אם כי היא יכולה לנוע בין 32 סיביות ל 448 סיביות..

ל- Blowfish יש כמה חולשות, כולל הפגיעות שלה ב'התקפות יום הולדת ', מה שאומר שהוא באמת אמור לשמש רק כנופל חזרה ל- AES-256.

קמליה

קמליה היא גם צופן מפתח סימטרי, והיא דומה מאוד ל- AES מבחינת אבטחה ומהירות.

ההבדל העיקרי הוא שקמליה אינה מוסמכת על ידי NIST, הארגון האמריקני שיצר את AES.

אמנם יש ויכוח לשימוש בצופן שאינו קשור לממשלת ארה"ב, אך לעתים נדירות הוא זמין בתוכנת VPN, והוא גם לא נבדק בצורה יסודית כמו AES.

לחיצת יד של VPN

איור של שתי ידיים רועדות

ממש כמו עם התחלת הפעלה מאובטחת באתר HTTPS, חיבור מאובטח לשרת VPN דורש שימוש בהצפנה של מפתח ציבורי (בדרך כלל באמצעות הקריפטו-סיסטם RSA) באמצעות לחיצת יד TLS..

RSA היה הבסיס לאבטחת האינטרנט בשני העשורים האחרונים, אך למרבה הצער, נראה כי כעת הגרסה החלשה יותר, RSA-1024, נפרצה על ידי ה- NSA.

בעוד שרוב שירותי ה- VPN התרחקו מ- RSA-1024, מיעוט ממשיך להשתמש בו ולכן יש להימנע ממנו. חפש את RSA-2048, שעדיין נחשב מאובטח.

באופן אידיאלי ישמש קידוד נוסף ליצירת סודיות מושלמת. בדרך כלל זה יהיה באמצעות הכללת חילופי מקשים של דיפי-הלמן (DH) או עקומת אליפטית דיפי-הלמן (ECDH).

אמנם ניתן להשתמש ב- ECDH בכוחות עצמו ליצירת לחיצת יד מאובטחת, אך יש להימנע מ- DH בלבד מכיוון שהוא פגיע לפיצוח. אין זה בעיה בעת השימוש ב- RSA.

אימות SHA Hash

אלגוריתמים מאובטחים של Hash (SHA) משמשים להבטיח שלמות הנתונים המועברים וחיבורי SSL / TLS, כמו חיבורי OpenVPN, כדי להבטיח שלא השתנה מידע במעבר בין מקור ליעד..

אלגוריתמי אבטחה מאובטחים פועלים על ידי שינוי נתוני מקור בעזרת מה שמכונה פונקציית hash, לפיה הודעת המקור המקורית מופעלת באמצעות אלגוריתם והתוצאה היא מחרוזת באורך קבוע של תווים שנראים לא כמו המקור - "ערך ה- hash".

זוהי פונקציה חד כיוונית - אינך יכול להריץ תהליך דה-חשיש כדי לקבוע את ההודעה המקורית מערך ה- hash.

Hashing הוא שימושי מכיוון ששינוי תו אחד בלבד של נתוני מקור הקלט ישנה לחלוטין את ערך ה- hash שיוצא מפונקציית ה- hash.

לקוח VPN ינהל את הנתונים שהתקבלו מהשרת, בשילוב עם המפתח הסודי, דרך פונקציית ה- hash שהוסכם במהלך לחיצת היד של VPN..

אם ערך ה- hash שהלקוח מייצר שונה מערך ה- hash בהודעה, הנתונים יושלכו ככל שההודעה טופלה בה.

אימות hash של SHA מונע התקפות של איש באמצע על ידי יכולת לאתר כל חבלה בתעודת TLS תקפה.

בלעדיו האקר יכול להתחזות לשרת הלגיטימי ולהערים אותך להתחבר לאינטרנט לא בטוח, שם ניתן יהיה לעקוב אחר הפעילות שלך.

מומלץ להשתמש ב- SHA-2 (ומעלה) כדי לשפר את האבטחה, שכן ל- SHA-1 יש חולשות מוכחות שיכולות לסכן את האבטחה..

מה זה VPN? תרשים הסבר

כיסינו הרבה אדמה במדריך זה להצפנה, אך ייתכן שעדיין יש לך כמה שאלות כלליות יותר הקשורות ל- VPN ופרוטוקולים שצריכים לענות..

להלן השאלות הנפוצות ביותר שאנו שומעים:

מהו פרוטוקול ה- VPN הבטוח ביותר?

OpenVPN המשמש עם קידוד AES-256 נחשב בדרך כלל לפרוטוקול ה- VPN הטוב והבטוח ביותר. OpenVPN הוא קוד פתוח ונבדק בציבור לגבי חולשות.

OpenVPN מציע איזון נהדר בין פרטיות לביצועים, והוא תואם לפלטפורמות פופולריות רבות. שירותי VPN מסחריים רבים משתמשים ב- OpenVPN כברירת מחדל.

IKEv2 היא אפשרות טובה למכשירים ניידים מכיוון שהיא מטפלת בשינויי רשת בצורה יעילה יותר, ומשחזרת אוטומטית חיבורים שנשמטו בקלות ובמהירות..

כיצד אוכל לשנות פרוטוקול VPN?

שירותי VPN מסוימים, כמו ExpressVPN, מאפשרים לך לשנות את פרוטוקול ה- VPN בתפריט ההגדרות של אפליקציית VPN.

אם זה המקרה, פשוט פתח את תפריט ההגדרות ובחר בפרוטוקול VPN בו תרצה להשתמש.

צילום מסך של תפריט ההגדרות של פרוטוקול ExpressVPN

אם אין בחירה בפרוטוקול VPN ביישום המותאם אישית, יתכן שתוכל להתקין פרוטוקולים חלופיים באמצעות תצורה ידנית.

NordVPN הוא דוגמה אחת לשירות VPN הפועל ב- OpenVPN אך מאפשר התקנה ידנית של IKEv2.

אם שירות ה- VPN שלך תומך בתצורת פרוטוקול אלטרנטיבית, הקפד לבצע בקפידה אחר ההוראות המופיעות באתר שלו.

האם כל ה- VPN מצפין נתונים?

VPN מעצם טיבם מצפין נתונים, אך ישנם שירותים מסוימים בחוץ הטוענים שהם VPN ואינם מספקים קידוד. VPN בחינם של Hola הוא אחד מאלה, וכדאי להימנע ממוצרים כאלה בכל מחיר.

תוספי דפדפן VPN הם מוצר אחר שיש להיזהר ממנו מעט. תוספי דפדפן הם שירותי פרוקסי ולא שירותי VPN, ואילו חלקם מספקים הצפנה אחרים אינם עושים זאת.

תוספי הדפדפן שמספקים הצפנה יגנו רק על תנועת הדפדפן שלך בדפדפן האינטרנט בו הוא פועל, כך שתצטרך להשתמש ב- VPN מלא כדי להצפין את כל היישומים האחרים שלך..

האם כל VPNs בטוח לשימוש?

כן - אם אתה עושה את הבחירה הנכונה.

לא כל VPNs בטוחים לשימוש. אפילו אלה המשתמשים בפרוטוקולים והצפנים של VPN הטובים ביותר עלולים לסכן את הנתונים האישיים שלך על ידי רישום הפעילויות המקוונות שלך.

עליך לחפש VPN עם מדיניות רישום ידידותית לפרטיות, וכן אחד התומך בפרוטוקולים והצפנים של VPN הבטוחים ביותר..

כדי להקל עליכם, מדוע שלא תסתכלו על ה- VPNs הגבוהים ביותר המומלצים שלנו - הם הבטוחים ביותר בסביבה.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me