Šifrování je základem technologie VPN. V této příručce rozebíráme, jak funguje šifrování VPN a jak vás chrání.

Průvodce šifrováním VPN

Co je vlastně šifrování?

Šifrování je proces kódování dat tak, aby k nim měli přístup pouze ti s autorizací, což brání komukoli jinému.

Je to proces, který zahrnuje nahrazení písmen a číslic, takže zprávy vypadají jako bláboly, pokud na jejich dekódování nepoužijete správný proces - tento proces je známý jako „šifra“.

S ohledem na výpočetní sílu moderních počítačů by bylo jakékoli šifry, s nimiž by člověk přišel, příliš snadné rozbít.

K vytvoření různých metod šifrování se nyní používají výkonné matematické algoritmy a navíc k jejich dešifrování se používají tajné šifry..

Služby VPN používají šifrování k vytvoření bezpečného spojení (VPN tunel) mezi vaším zařízením a serverem VPN, a tím chrání vaše internetová data před poskytovatelem internetových služeb, hackery a dalšími třetími stranami..

V této příručce se dozvíte vše o šifrech a protokolech VPN a zjistíte, které z nich jsou nejlepší a nejbezpečnější k použití.

Všechno to rozdělíme na prostou angličtinu a vysvětlíme celý žargon jednoduchými slovy, abyste mohli lépe porozumět šifrování VPN a všem, co z toho plyne..

Slovník šifrování

Snímek šifrovaných dat na černém pozadí

Začněme definováním některých důležitých výrazů, které používáme při mluvení o šifrování:

Období
Definice
Algoritmus Soubor pokynů, které je třeba dodržovat (pomocí softwaru), aby se vyřešil problém. Šifra je algoritmus pro provádění šifrování nebo dešifrování.
Ověřování Proces k zajištění a potvrzení identity uživatele.
Bit Zkratka na „binární číslici“, je to nejmenší jednotka dat v počítači.
Blok Skupina bitů pevné délky (např. 64 bitů)
Velikost bloku Maximální délka skupiny bitů.
Brute Force Attack Metoda pokusu uhodnout tajemství vyzkoušením každé možné kombinace postav. Je to spíše hrubé, vyčerpávající úsilí než složitější nebo strategičtější úsilí. Představte si, že na uzamykatelném zámku nemůžete otevřít visací zámek - namísto pokusu o zapamatování kódu si vyzkoušejte brutálně všechny kombinace od 000 do 999, dokud se neotevře..
Šifra Algoritmus pro provádění šifrování a dešifrování.
Kryptografie Umění psaní a řešení kódů pro vytváření bezpečných zpráv, navržené tak, aby je mohly zpracovávat a číst pouze zamýšlené strany.
Šifrování Proces převodu dat do kódu, aby se zabránilo neoprávněnému přístupu k němu.
Firewall Software, který monitoruje a řídí pakety dat přicházejících nebo odcházejících ze sítě. Pravděpodobně budete obeznámeni s tím na vašem stolním nebo přenosném počítači, který je navržen tak, aby dával pozor na hackery a viry.
Handshake Proces, který inicializuje spojení mezi dvěma počítači - jak název napovídá, je to pozdrav, který stanoví pravidla pro komunikaci.
HTTPS Znamená to „Hypertext Transfer Protocol Secure“, ale nikdo to nikdy nenazval. Jedná se o bezpečnou verzi protokolu HTTP, protokolu, který je základem webu, a slouží k zajištění autentizace, soukromí a bezpečnosti komunikace mezi zařízeními a webovými stránkami..
Jádro Jádro operačního systému. V počítači řídí činnost počítače a jeho hardware.
Klíč Řetězec bitů používaný šifrou k převodu „prostého textu“ (nešifrovaná informace) na šifrový text (šifrovaná informace) a naopak. Délka klíče se může lišit - obecně, čím déle je, tím déle by to trvalo.
Paket Paket je jednotka dat směrovaná mezi počátkem a cílem v síti a skládá se z hlavičky, užitečného zatížení (vaše data) a přívěsu a obvykle se specifickou velikostí sady, která odpovídá MTU sítě (maximum) Přenosová jednotka) velikost. Pokud je třeba data poslat přes síť, je-li větší než paket, může být třeba rozdělit na více datových paketů, které se pak odešlou jednotlivě a data se znovu sestaví v cíli.
Přístav Stejně jako přístaviště lodí ve fyzickém přístavu představují počítačové porty „koncový bod“ komunikace. Jakékoli informace, které se dostanou k vašemu zařízení, tak dělají přes port.
Protokol Sada pravidel používaných k vyjednávání spojení mezi klientem VPN a serverem VPN. Některé jsou složitější nebo bezpečnější než jiné - OpenVPN a IKEv2 jsou některé populární volby.

Slovník šifrování

Teď víme, co tyto pojmy znamenají, je čas vysvětlit, co je šifrování a hlouběji.

Typy šifrování

Ilustrace ze dvou klíčů, jeden na druhém na světle modrém pozadí

Existují dva typy šifrování: symetrické a asymetrické.

Symetrické šifrování klíčů

Šifrování pomocí symetrického klíče je místo, kde se používá pouze jeden klíč ke zpracování šifrování i dešifrování dat.

Obě strany vyžadují ke komunikaci stejný klíč. Toto je druh šifrování používaný v technologii VPN.

Síla moderních počítačů znamená, že klíče musely být stále delší, aby zabránily útokům brutální síly (při pokusu o každou kombinaci najít správnou klávesu).

Současným zlatým standardem je 256bitový klíč, který nelze vynucovat hrubou cestou, protože by projet všemi možnými kombinacemi pomocí počítačů, které jsou dnes dostupné, trvalo miliardy let..

Asymetrické šifrování

S asymetrickou kryptografií (nebo kryptografií veřejného klíče) každý účastník, který chce bezpečně komunikovat, používá software k vytvoření veřejného klíče a odpovídajícího soukromého klíče.

Vezměme například dva lidi: osobu A a osobu B

Když chce osoba A odeslat osobě B zabezpečenou zprávu, použije se v šifře veřejný klíč osoby B k převodu zprávy ve formátu prostého textu na šifrovanou zprávu..

Zatímco šifrovaná zpráva může cestovat z bodu A do bodu B přes různé jiné strany (osoby C, D, E a F), každý, kdo se pokusí přečíst zprávu, uvidí pouze zašifrovaný text..

Když osoba B přijme zašifrovanou zprávu, použije svůj soukromý klíč k dekódování zašifrované zprávy zpět na prostý text.

Tento systém je stále častěji používán například novináři, kteří publikují svůj veřejný klíč na svých profilech sociálních médií pro zdroje, které jim zasílají zprávy, které lze dešifrovat pouze soukromým klíčem novináře.

Nejznámějším takovým systémem je Pretty Good Privacy (PGP). Existuje mnoho různých softwarových nástrojů, které používají OpenPGP, open source verzi standardu.

Šifrování veřejného klíče se používá během handshake TLS k bezpečnému sdílení symetrického klíče mezi klientem a serverem.

SSL & TLS

TLS / SSL je šifrování, které většina z nás zažila při procházení webu na zabezpečeném webu používajícím HTTPS.

Když web používá HTTPS pomocí symbolu visacího zámku v adresním řádku prohlížeče, budete vědět.

Zde se používá bezpečnostní protokol TLS (Transport Layer Security), který je založen na jeho předchůdci Secure Sockets Layer (SSL verze 3.0).

TLS používá k ochraně vašich dat kombinaci veřejného a symetrického šifrování.

Během handshake TLS váš prohlížeč používá asymetrické šifrování ke komunikaci se serverem zabezpečené stránky a bezpečně generuje symetrický klíč.

To se potom používá k šifrování dat přenášených mezi prohlížečem a serverem.

Generování symetrického klíče pro použití je mnohem efektivnější než použití asymetrických klíčů pro veškerý přenos dat.

Důvodem je, že asymetrické šifrování vyžaduje neuvěřitelné množství výpočetního výkonu pro šifrování a dešifrování všech potřebných dat ve srovnání s použitím symetrického klíče..

Lze tedy říci, že šifrování symetrickým klíčem je rychlejší metoda šifrování.

Zatímco výše uvedené je dobré a generuje bezpečné šifrování, každá zabezpečená relace generovaná serverem je dešifrovatelná soukromým klíčem serveru.

Pokud by byl tento soukromý klíč někdy ohrožen, může být odcizený soukromý klíč použit k dešifrování jakékoli zabezpečené relace na tomto serveru, minulé nebo současné.

Aby se tomu zabránilo, připojení HTTPS a OpenVPN se nyní běžně nastavují pomocí Perfect Forward Secrecy, využívající algoritmus nazvaný Diffie-Hellman Key Exchange, který generuje symetrický klíč.

Může to znít matoucí, ale vše, co opravdu potřebujete pochopit, je to, že je to bezpečnější způsob, jak postupovat o věcech, protože symetrický klíč není nikdy vyměněn přes připojení, ale je generován nezávisle serverem i webovým prohlížečem.

Prohlížeč vygeneruje dočasný soukromý klíč a odpovídající veřejný klíč.

Symetrický klíč pro relaci TLS je založen na výstupu algoritmu, který pracuje na soukromém klíči zařízení (např. Serveru) a veřejném klíči jiného zařízení (např. Prohlížeče)..

Vzhledem k fantazijním matematickým vlastnostem tohoto algoritmu a určité technické magii se klíč vygenerovaný tímto procesem bude shodovat na serveru i prohlížeči.

To znamená, že pokud třetí strana, jako je váš poskytovatel internetových služeb nebo vláda, ukládá vaše zašifrovaná data z předchozích relací a soukromý klíč je jinak ohrožen nebo odcizen, nebudou moci tato data dešifrovat.

ExpressVPN je jedna VPN služba, která používá Perfect Forward Secrecy, vyjednávání nového soukromého klíče při každém připojení a každých 60 minut, když je používáno připojení VPN.

Ukázka ExpressVPN demonstrující, jak aplikace používá veřejné klíče

Tento obrázek ExpressVPN ukazuje, jak aplikace VPN používá veřejný klíč serveru k vytvoření symetrického páru klíčů pomocí asymetrického šifrování.

Nyní, když jsme vysvětlili různé dostupné způsoby šifrování, pojďme mluvit o různých dostupných protokolech VPN.

Protokoly VPN

Co je to protokol VPN?

Protokoly VPN představují procesy a sady pokynů (nebo pravidel), na které se klienti VPN spoléhají při navazování bezpečných spojení mezi zařízením a serverem VPN za účelem přenosu dat.

Protokoly VPN jsou tvořeny kombinací přenosových protokolů a šifrovacích standardů.

Které VPN protokoly jsou aktuálně k dispozici?

Zde jsou hlavní protokoly tunelového propojení VPN, o kterých potřebujete vědět:

OpenVPN - velmi bezpečné a rychlé

Logo OpenVPN

OpenVPN je standardní VPN protokol VPN a doporučujeme jej používat kdykoli je to možné.

Je to jeden z nejbezpečnějších a nejbezpečnějších protokolů VPN, a co je důležité, je open-source, což znamená, že je zcela transparentní a stále je veřejně testováno a vylepšováno..

OpenVPN je velmi konfigurovatelný a přestože není nativně podporován žádnou platformou, většina poskytovatelů VPN nabízí bezplatné aplikace, které jej podporují.

Tyto vlastní aplikace VPN jsou k dispozici na většině hlavních platforem, jako jsou Microsoft Windows, Apple MacOS, Android, Linux a iOS.

Někteří poskytovatelé také nabízejí konfigurační soubory OpenVPN, což znamená, že si můžete stáhnout původního klienta OpenVPN pro vaši platformu z https://openvpn.net/ a použít jej k připojení k vámi vybrané službě VPN..

OpenVPN funguje na UDP i TCP, což jsou typy komunikačních protokolů.

TCP (Transmission Control Protocol) je nejpoužívanějším připojovacím protokolem na internetu. Odesílaná data jsou přenášena v blocích, obvykle složených z několika paketů.

TCP je určen k doručování přenesených dat klientovi OpenVPN v pořadí, v jakém byly odeslány ze serveru OpenVPN (např. Pakety 1, 2, 3, 4 a 5 odeslané z OpenVPN jsou přijímány klientem OpenVPN ve stejném pořadí - 1 , 2, 3, 4, 5).

Za tímto účelem může TCP zpozdit doručení paketů, které přijal po síti, klientovi OpenVPN, dokud neobdrží všechny očekávané pakety a přeskupí všechny pakety mimo pořadí zpět na místo.

TCP bude znovu vyžadovat (a pak čekat na příjem) pakety, které mohou být ztraceny při přenosu mezi serverem a klientem.

Toto zpracování a čekací doba přidává latenci k připojení VPN, takže připojení je pomalejší než UDP.

UDP (User Datagram Protocol) jednoduše vysílá datové pakety bez nutnosti potvrzení příchodu a velikost paketů UDP je menší než TCP.

Díky použití OpenVPN UDP má menší velikost paketu, nedostatek kontrol a reorganizace rychlejší připojení.

Takže, což je lepší: TCP nebo UDP?

Záleží na vašem požadovaném výsledku.

Pokud používáte VPN ke hraní, streamování nebo používání služeb VoIP, pak je vaše nejlepší sázka UDP, protože je rychlejší než TCP.

Nevýhodou je, že můžete zažít některé ztracené pakety, což může například znamenat při hovoru VOIP, že uslyšíte hlas osoby, se kterou mluvíte, aby vyřízl zlomek druhé poloviny řeči.

Pokud však máte problémy s připojením, měli byste přejít na TCP. TCP port 443 je také užitečný pro obcházení cenzury, protože tento port je výchozí port pro HTTPS, a proto je méně pravděpodobné, že bude blokován firewallem.

Pro šifrování OpenVPN používá knihovnu OpenSSL, která podporuje řadu šifrů.

Šifrování OpenVPN se skládá z několika prvků: datový kanál, řídicí kanál, ověřování serveru a ověřování HMAC:

  • Ověřování serveru stejné funkce jako TLS nebo HTTPS. OpenVPN může pomocí certifikátů ověřit, že server, se kterým hovoříte, je kryptograficky důvěryhodný.
  • řídící kanál je používán v počáteční fázi, provádí handshake TLS k dohodě o parametrech šifrování pro bezpečný přenos dat a autentizaci klienta na server.
  • datový kanál je vrstva, která přenáší informace mezi zařízením a serverem OpenVPN. Tato vrstva je šifrována pomocí schématu symetrického šifrování výkonu, jehož klíč byl získán prostřednictvím řídicího kanálu.
  • Ověřování HMAC slouží k zajištění toho, aby odesílané pakety nebyly během přepravy změněny útočníkem typu člověk-uprostřed, který má schopnost číst nebo měnit data v reálném čase.

Uvědomte si, že některé služby VPN nepoužívají nikde v blízkosti stejné úrovně šifrování na obou kanálech.

Použití slabšího šifrování na datovém kanálu může být levnou zkratkou pro rychlejší připojení, protože lepší zabezpečení přichází na úkor rychlosti.

VPN je bohužel jen tak bezpečná jako její nejslabší prvek, takže byste měli hledat VPN, která je při šifrování obou kanálů co nejsilnější.

Podrobněji se o tom podíváme v následujících oddílech o šifrách a handshakes.

Nyní, když víte, co je nejbezpečnější protokol VPN, byste měli vědět, jaké jsou ostatní - plus který z nich se má za každou cenu vyhnout.

PPTP - Slabá bezpečnost, Vyhněte se

Protokol Point-to-Point Tunneling Protocol (PPTP), jeden z nejstarších protokolů VPN, který se dodnes používá. Byl vyvinut týmem financovaným společností Microsoft a publikován v roce 1999.

Přestože je PPTP zastaralý, má několik pozitiv: je kompatibilní s téměř vším, nepotřebuje další software, protože je součástí moderních operačních systémů, a je velmi rychlý.

Hlavním problémem je to, že se ukázalo, že je nejistý a snadno se dá popraskat (útok obvykle trvá jednu minutu až 24 hodin).

Ilustrace hackerů, kteří kradou kreditní kartu a identitu, s odemčeným zámkem na obrazovce počítače

Blokování PPTP je také snadné, protože se spoléhá na protokol GRE, který je snadno firewalled.

Měli byste se vyhnout používání tohoto protokolu, pokud to není nezbytně nutné pro změnu vaší IP adresy z necitlivých důvodů. Považujeme PPTP za nezabezpečené.

L2TP / IPsec - bezpečný, ale může být pomalý

Protokol Layer 2 Tunneling Protocol (LT2P) využívá nejlepší vlastnosti protokolu Microsoft Point-to-Point Tunneling Protocol (PPTP) a protokolu Cisco Layer 2 Forwarding Protocol (L2F) a používá se k vytvoření tunelu mezi klientským zařízením a serverem v síti..

L2TP zvládne autentizaci, ale neposkytuje žádné šifrovací funkce.

Proto je protokol L2TP obvykle implementován pomocí protokolu IPsec (Internet Protocol Security) k vytvoření bezpečných paketů, které poskytují ověřování, integritu a šifrování dat.

Toto je běžně známé jako L2TP / IPsec a data jsou obvykle šifrována pomocí AES šifry, o níž si můžete přečíst více zde.

Při připojení k serveru VPN pomocí protokolu L2TP / IPsec se protokol IPsec používá k vytvoření zabezpečeného řídicího kanálu mezi klientem a serverem.

Pakety dat z aplikace zařízení (například webový prohlížeč) jsou zapouzdřeny protokolem L2TP. IPSec pak zašifruje tato data L2TP a odešle je na server, který poté provede zpětný proces, dešifruje a dekapsuluje data.

Pokud jde o rychlost, dvojí zapouzdření L2TP / IPsec (v podstatě tunel v tunelu) by jej mělo zpomalovat než OpenVPN.

Ve skutečnosti je však teoreticky rychlejší, protože šifrování a dešifrování probíhá v jádře, které dokáže efektivně zpracovávat pakety s minimální režií..

L2TP / IPsec je obecně považován za bezpečný, když je použit s AES šifrou.

Objevily se však návrhy, že protokol byl NSA kompromitován a že IPsec byl při jeho vytváření záměrně oslaben.

To však nebylo oficiálně potvrzeno.

Hlavní problém s L2TP / IPsec a jeho použití ve službách VPN spočívá v těch službách, které používají předem sdílené klíče (známé také jako sdílené tajemství), které lze stáhnout z webových stránek služeb VPN, a jsou proto dostupné všem.

Zatímco tyto klíče se používají pouze k ověření připojení k serverům VPN a data samotná zůstávají šifrována samostatným klíčem, otevírá dveře potenciálním útokům MITM (Man in-the-middle).

V tomto případě útočník zosobňuje server VPN za účelem dešifrování provozu a odposlouchávání připojení.

L2TP / IPsec také používá omezený počet pevných portů, což umožňuje relativně snadné blokování.

Navzdory těmto problémům je LT2P / IPsec spolehlivou volbou, protože je nativně podporováno tolika platformami, pokud se nepoužívají předem sdílené klíče..

SSTP - uzavřený zdroj s potenciálními riziky

Secure Socket Tunneling Protocol (SSTP) je proprietární protokol vlastněný společností Microsoft založený na SSL 3.0, což znamená, že stejně jako OpenVPN může používat TCP port 443.

Protože SSTP není open source, nelze vyloučit návrhy zadních vrát nebo jiných zranitelných míst v protokolu.

Toto riziko daleko převažuje nad výhodami jeho těsné integrace s Windows.

Dalším červeným příznakem je, že SSL 3.0 je zranitelný vůči útoku typu člověk-uprostřed, známý jako POODLE.

Nebylo potvrzeno, zda je to ovlivněno SSTP, ale podle našeho názoru to nestojí za riziko.

IKEv2 / IPSec - velmi rychlé, bezpečné a stabilní

Internet Key Exchange verze 2 (IKEv2) je novější protokol VPN a další standard uzavřeného zdroje vyvinutý ve spolupráci mezi společnostmi Microsoft a Cisco.

IKEv2 je nativně podporován iOS, BlackBerry a Windows verze 7 a novější.

Existují však otevřené verze IKEv2 pro Linux, které nenesou stejné problémy s důvěryhodností jako proprietární verze.

Podobně jako L2TP / IPsec se IKEv2 používá spolu s IPsec, když je součástí řešení VPN, ale nabízí více funkcí.

IKEv2 / IPSec zvládne změnu sítí pomocí protokolu nazývaného MOBIKE - užitečné pro mobilní uživatele, kteří jsou náchylní k výpadkům připojení, a je rychlejší díky naprogramování tak, aby lépe využívalo šířku pásma.

IKEv2 / IPSec také podporuje širší škálu šifrovacích šifrů než L2TP / IPSec.

IKEv2 to však často neřeže, když se pokoušíte připojit z vysoce cenzurované země. Důvodem je, že IKEv2 používá zadané porty, které jsou pro Firewall velmi snadné blokovat.

WireGuard - slibný nový protokol

Logo WireGuard

Wireguard je nový tunelovací protokol, jehož cílem je rychlejší a výkonnější než současný nejoblíbenější protokol, OpenVPN.

WireGuard si klade za cíl řešit problémy často spojené s OpenVPN a IPsec: zejména složité nastavení plus odpojení (bez další konfigurace) a související dlouhé doby opětovného připojení, které následují.

Zatímco OpenVPN + OpenSSL a IPsec mají velkou kódovou základnu (~ 100 000 řádků kódu pro OpenVPN a 500 000 pro SSL) a IPsec (400 000 řádků kódu), což ztěžuje hledání chyb, Wireguard v současné době váží méně než 5 000 řádků v velikost.

Wireguard je však stále ve vývoji.

Ačkoli standardy Wireguard ukazují, že je velmi rychlý, při implementaci existují problémy, které mohou způsobit, že je komerční poskytovatel VPN nevhodný..

Jednou z nich je, že vyžaduje, aby byl každému uživateli přiřazena neveřejná adresa IP, což přidává prvek protokolování, který by vážný uživatel VPN mohl být nepříjemný.

Proč?

Protože tato neveřejná adresa IP může být použita k vaší identifikaci.

Probíhá však práce na řešení tohoto problému.

WireGuard je stále na začátku, a ještě se musí plně prokázat - stále více poskytovatelů VPN ho však přidává ke svým klientům pouze pro účely testování, včetně IVPN a AzireVPN..

Propagace na webu IVPN hovoří o jeho implementaci WireGuard

Protokoly VPN poskytují rámec pro bezpečné šifrování. Nyní zjistíme, jakou roli hrají šifry a různé druhy šifer..

Šifry

Šifra je v podstatě algoritmus pro šifrování a dešifrování dat. Protokoly VPN používají různé šifry a nejčastěji se používají následující:

AES

Advanced Encryption Standard (AES) je symetrická klíčová šifra zavedená Národním institutem pro standardy a technologie USA (NIST) v roce 2001.

Je to zlatý standard pro online šifrovací protokoly a je používán v odvětví VPN. AES je považován za jeden z nejbezpečnějších šifrů k použití.

AES má velikost bloku 128 bitů, což znamená, že AES dokáže zpracovat větší velikosti souborů než jiné šifry, jako je Blowfish, který má 64bitovou velikost bloku.

AES lze použít s různou délkou klíče. Přestože je AES-128 stále považován za bezpečný, preferuje se AES-256, protože poskytuje větší ochranu. K dispozici je také AES-192.

Ilustrace bankovní trezor na modrém pozadí

Když čtete o šifrování „vojenského stupně“ nebo „bankovního stupně“ na webu služby VPN, obvykle se odkazuje na AES-256, který vláda USA používá pro přísně tajná data.

Blowfish

Blowfish je další symetrická klíčová šifra, navržená v roce 1993 americkým kryptografem Brucem Schneierem.

Blowfish bývala výchozí šifrou používanou v OpenVPN, ale do značné míry byla nahrazena AES-256.

Když se používá Blowfish, obvykle uvidíte, že se používá s 128bitovou délkou klíče, i když se může pohybovat od 32 bitů do 448 bitů.

Blowfish má některé slabiny, včetně jeho zranitelnosti vůči „narozeninovým útokům“, což znamená, že by měl být skutečně použit pouze jako náhrada za AES-256..

Kamélie

Camellia je také symetrická klíčová šifra a je velmi podobná AES, pokud jde o bezpečnost a rychlost.

Hlavní rozdíl spočívá v tom, že Camellia není certifikována NIST, americkou organizací, která vytvořila AES.

I když existuje argument pro použití šifry, která není spojena s vládou USA, je zřídkakdy k dispozici v softwaru VPN, ani nebyla tak důkladně testována jako AES..

VPN Handshake

Ilustrace dvou rukou třes

Stejně jako při zahájení zabezpečené relace na webu HTTPS vyžaduje bezpečné připojení k serveru VPN použití šifrování pomocí veřejného klíče (obvykle pomocí kryptosystému RSA) prostřednictvím handshake TLS.

RSA je základem pro internetovou bezpečnost za poslední dvě desetiletí, bohužel se však nyní zdá pravděpodobné, že slabší verze RSA-1024 byla NSA prasklá.

Zatímco většina služeb VPN se vzdálila od RSA-1024, menšina je nadále používá, a proto by se jim mělo vyhnout. Hledejte RSA-2048, která je stále považována za bezpečnou.

V ideálním případě bude použito další šifrování k vytvoření Perfect Forward Secrecy. Obvykle to bude prostřednictvím zahrnutí výměny klíčů Diffie-Hellman (DH) nebo Elliptic křivka Diffie-Hellman (ECDH)..

Zatímco ECDH lze použít samostatně k vytvoření bezpečného podání ruky, DH by se nemělo vyhnout, protože je náchylný k prasknutí. Při použití s ​​RSA to není problém.

Ověření hash SHA

Algoritmy Secure Hash (SHA) se používají k zaručení integrity přenášených dat a připojení SSL / TLS, jako jsou připojení OpenVPN, k zajištění toho, aby nedošlo ke změně informací při přenosu mezi zdrojem a cílem..

Algoritmy Secure Hash Algorithms fungují tak, že transformují zdrojová data pomocí tzv. Hašovací funkce, přičemž původní zdrojová zpráva se spouští pomocí algoritmu a výsledkem je řetězec pevné délky znaků, který nevypadá jako originál - „hash hodnota“.

Je to jednosměrná funkce - nemůžete spustit proces odstranění hašování k určení původní zprávy z hodnoty hash.

Hašování je užitečné, protože změna pouze jednoho znaku vstupních zdrojových dat zcela změní hašovací hodnotu, která je na výstupu z hašovací funkce.

Klient VPN spustí data přijatá ze serveru v kombinaci s tajným klíčem pomocí hashovací funkce dohodnuté během handshake VPN.

Pokud se hodnota hash, kterou klient vygeneruje, liší od hodnoty hash ve zprávě, budou data zahozena, protože zpráva byla narušena.

SHA hash autentizace zabraňuje útokům typu man-in-the-middle tím, že dokáže detekovat jakékoli neoprávněné zásahy do platného certifikátu TLS.

Bez něj by hacker mohl zosobnit legitimní server a přimět vás, abyste se připojili k nebezpečnému serveru, kde by mohla být sledována vaše aktivita..

Doporučuje se používat SHA-2 (nebo vyšší) ke zvýšení bezpečnosti, protože SHA-1 má prokázané nedostatky, které mohou ohrozit bezpečnost.

Co je to VPN? Vysvětlovací diagram

V tomto průvodci jsme se zabývali mnoha základy šifrování, ale stále můžete mít několik obecnějších otázek týkajících se VPN a protokolů, které vyžadují odpověď.

Zde jsou nejčastější dotazy, které slyšíme:

Co je nejbezpečnější protokol VPN?

OpenVPN používaný s šifrou AES-256 je obecně považován za nejlepší a nejbezpečnější protokol VPN. OpenVPN je open-source a byl veřejně testován na slabé stránky.

OpenVPN nabízí skvělou rovnováhu mezi soukromí a výkonem a je kompatibilní s mnoha populárními platformami. Mnoho komerčních služeb VPN používá jako výchozí OpenVPN.

IKEv2 je dobrá volba pro mobilní zařízení, protože efektivněji zpracovává změny v síti a automaticky obnovuje přerušená připojení s lehkostí a rychlostí.

Jak změním protokol VPN?

Některé služby VPN, například ExpressVPN, umožňují změnit protokol VPN v nabídce nastavení aplikace VPN.

V takovém případě jednoduše otevřete nabídku nastavení a vyberte protokol VPN, který chcete použít.

Screenshot nabídky nastavení protokolu ExpressVPN

Pokud ve vlastní aplikaci neexistuje žádný výběr protokolu VPN, možná budete moci nainstalovat alternativní protokoly pomocí ruční konfigurace.

NordVPN je jedním z příkladů služby VPN, která běží na OpenVPN, ale umožňuje ruční instalaci IKEv2.

Pokud vaše služba VPN podporuje alternativní konfiguraci protokolu, pečlivě postupujte podle pokynů na jejích webových stránkách.

Do všech sítí VPN šifrujte data?

Sítě VPN ze své podstaty šifrují data, ale tam jsou některé služby, které tvrdí, že jsou VPN, aniž by poskytovaly žádné šifrování. Hola Free VPN je jedním z nich a měli byste se vyhnout produktům, jako je to, za každou cenu.

Rozšíření prohlížeče VPN jsou dalším produktem, který je třeba mít trochu na pozoru. Rozšíření prohlížeče jsou spíše služby proxy než služby VPN, zatímco některé poskytují šifrování, jiné nikoli.

Rozšíření prohlížeče, která poskytují šifrování, chrání pouze provoz vašeho prohlížeče ve webovém prohlížeči, ve kterém běží, takže k šifrování všech ostatních aplikací budete muset použít úplnou síť VPN..

Jsou všechny VPN bezpečné pro použití?

Ano - pokud se rozhodnete správně.

Ne všechny VPN jsou bezpečné. Dokonce i ti, kteří používají nejlepší VPN protokoly a šifry, mohou své osobní údaje přihlašováním do online aktivit vystavit riziku.

Měli byste hledat VPN se zásadami ochrany osobních údajů a také protokol, který podporuje nejbezpečnější protokoly a šifry VPN..

Chcete-li vám věci usnadnit, proč byste se podívat na naše nejvyšší doporučené VPN - jsou to nejbezpečnější v okolí.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me