OpenVPN vs IKEv2 vs PPTP εναντίον L2TP / IPSec εναντίον SSTP – Ultimate Guide to VPN Encryption

Ένα εικονικό ιδιωτικό δίκτυο (VPN) κρυπτογραφεί όλα τα δεδομένα καθώς ταξιδεύει μεταξύ του υπολογιστή σας και ενός διακομιστή VPN. Σε αυτόν τον πλήρη Οδηγό κρυπτογράφησης VPN, εξετάζουμε λεπτομερώς τι είναι η κρυπτογράφηση και πώς χρησιμοποιείται στις συνδέσεις VPN.

Ίσως το πιο σημαντικό, θα εξηγήσουμε τη σειρά των όρων κρυπτογράφησης που χρησιμοποιούνται από τις υπηρεσίες VPN. Ελπίζουμε ότι μετά την ανάγνωση αυτού του εγγράφου θα έχετε μεγαλύτερη κατανόηση αυτού του πολύπλοκου θέματος και ότι θα είστε σε καλύτερη θέση να αξιολογήσετε τους ισχυρισμούς ασφαλείας που έχουν γίνει από τους παρόχους VPN.

Προκαταρκτικά

Εάν δεν είστε βέβαιοι για το τι είναι ένα VPN και τι μπορεί να κάνει για εσάς, παρακαλούμε δείτε τα VPN μας για τον Οδηγό για αρχάριους.

Στόχος μας είναι να παρουσιάσουμε τα βασικά χαρακτηριστικά της κρυπτογράφησης VPN με όσο το δυνατόν απλούστερους όρους. Παρόλο που δεν υπάρχει απομάκρυνση, από το γεγονός ότι η κρυπτογράφηση είναι ένα πολύπλοκο θέμα.

Εάν ακόμη και ο όρος κρυπτογράφηση αναγκάζει τα μάτια σας να ξεκινήσουν την υαλοποίηση, αλλά εξακολουθείτε να θέλετε να ξέρετε τι να προσέξετε σε μια καλή υπηρεσία VPN, μπορείτε να μεταβείτε κατευθείαν σε περιλήψεις.

Τι είναι η κρυπτογράφηση?

Ξεκίνα από την αρχή," είπε ο βασιλιάς, πολύ σοβαρά, "και συνεχίστε μέχρι να φτάσετε στο τέλος: στη συνέχεια σταματήστε. "

Lewis Carroll, η Αλίκη στην χώρα των θαυμάτων

Η απλούστερη αναλογία είναι ότι η κρυπτογράφηση είναι κλειδαριά. Αν έχετε το σωστό κλειδί, τότε η κλειδαριά ανοίγει εύκολα. Εάν κάποιος δεν έχει το σωστό κλειδί αλλά θέλει να έχει πρόσβαση στα περιεχόμενα ενός strongbox (δηλαδή στα δεδομένα σας) που προστατεύονται από αυτό το κλείδωμα, τότε μπορούν να προσπαθήσουν να σπάσουν το κλείδωμα.

Με τον ίδιο τρόπο που η κλειδαριά που ασφαλίζει τραπεζική θόλο είναι ισχυρότερη από αυτή που ασφαλίζει μια βαλίτσα, κάποια κρυπτογράφηση είναι ισχυρότερη από την άλλη κρυπτογράφηση.

Τα βασικά

Όταν ήσουν παιδί, έπαιξα το παιχνίδι στο οποίο δημιούργησε ένα "μυστικό μήνυμα" αντικαθιστώντας ένα γράμμα του μηνύματος με ένα άλλο; Η αντικατάσταση έγινε σύμφωνα με τον τύπο που επιλέξατε εσείς.

Ίσως, για παράδειγμα, να αντικαταστήσατε κάθε γράμμα του αρχικού μηνύματος με ένα τρία γράμματα πίσω από αυτό στο αλφάβητο. Αν κάποιος άλλος ήξερε τι είναι αυτός ο τύπος ή ήταν σε θέση να το επεξεργαστεί, τότε θα ήταν σε θέση να διαβάσει το "μυστικό σας μήνυμα".

Στη γραμματεία κρυπτογραφίας, αυτό που κάνατε ήταν να "κρυπτογραφείτε" το μήνυμα (δεδομένα) σύμφωνα με έναν πολύ απλό μαθηματικό αλγόριθμο. Οι κρυπτογράφοι αναφέρονται σε αυτόν τον αλγόριθμο ως "κρυπτογράφο". Για να το αποκρυπτογραφήσετε, χρειάζεστε το κλειδί. Αυτή είναι μια μεταβλητή παράμετρος που καθορίζει την τελική έξοδο του κρυπτογράφου. Χωρίς αυτήν την παράμετρο, είναι αδύνατο να αποκρυπτογραφηθεί ο κωδικός.

Εάν κάποιος θέλει να διαβάσει ένα κρυπτογραφημένο μήνυμα αλλά δεν έχει το κλειδί, τότε πρέπει να προσπαθήσουν να "σπάσουν" τον κρυπτογραφημένο κώδικα. Όταν η κρυπτογράφηση χρησιμοποιεί έναν απλό κρυπτογραφητή αντικατάστασης γραμμάτων, η ρωγμή είναι εύκολη. Ωστόσο, η κρυπτογράφηση μπορεί να γίνει πιο ασφαλής, καθιστώντας τον μαθηματικό αλγόριθμο πιο περίπλοκο.

Θα μπορούσατε, για παράδειγμα, να αντικαταστήσετε κάθε τρίτο γράμμα του μηνύματος με έναν αριθμό που αντιστοιχεί στο γράμμα.

Μήκος κλειδιού κρυπτογράφησης

Τα σύγχρονα ψηφιακά κρυπτογραφικά συστήματα είναι πολύ σύνθετοι αλγόριθμοι. Ακόμη και με τη βοήθεια των υπερυπολογιστών, είναι πολύ δύσκολο να σπάσουν, αν όχι αδύνατο για όλους τους πρακτικούς σκοπούς. Ο πιο σκληρός τρόπος μέτρησης της ισχύος ενός κρυπτογράφου είναι η πολυπλοκότητα του αλγορίθμου που χρησιμοποιήθηκε για τη δημιουργία του.

Όσο πιο σύνθετος είναι ο αλγόριθμος, τόσο πιο δύσκολο είναι ο κρυφός χαρακτήρας να σπάσει χρησιμοποιώντας μια επίθεση βίαιης δύναμης. Αυτή η πολύ πρωτόγονη επίθεση μορφή είναι επίσης γνωστή ως μια εξαντλητική αναζήτηση κλειδί. Βασικά περιλαμβάνει την προσπάθεια κάθε συνδυασμού δυνατών αριθμών μέχρι να βρεθεί το σωστό κλειδί.

Οι υπολογιστές εκτελούν όλους τους υπολογισμούς χρησιμοποιώντας δυαδικούς αριθμούς: μηδενικά και αυτά. Η πολυπλοκότητα ενός κρυπτογράφου εξαρτάται από το μέγεθος του κλειδιού του σε bits - τον ακατέργαστο αριθμό αυτών και τα μηδενικά απαραίτητα για την έκφραση του αλγορίθμου του, όπου κάθε μηδέν ή ένα αντιπροσωπεύεται από ένα μόνο bit.

Αυτό είναι γνωστό ως το μήκος κλειδιού και αντιπροσωπεύει επίσης την πρακτική εφικτότητα επιτυχούς επίθεσης μιας βίαιης δύναμης σε οποιοδήποτε δεδομένο κρυπτογράφο.

Ο αριθμός των δυνατών συνδυασμών (και επομένως η δυσκολία να τους ωθήσουν) τους αυξάνεται εκθετικά με το μέγεθος του κλειδιού. Χρήση του κρυπτογράφου AES (βλ. Παρακάτω):

Συνιστώσες μεγέθους κλειδιού

Για να το θέσουμε σε προοπτική:

  • Το 2011 ο ταχύτερος υπερυπολογιστής στη λέξη ήταν ο Fujitsu K. Αυτό ήταν ικανό για μέγιστη ταχύτητα Rmax 10,51 petaflops. Βάσει αυτού του αριθμού, θα χρειαζόταν Fujitsu K 1,02 x 10 ^ 18 - περίπου ένα δισεκατομμύριο δισεκατομμύρια (ένα quintillion) - χρόνια για να σπάσει ένα βασικό κλειδί AES (Advanced Encryption Standard) 128 bit. Αυτό είναι παλαιότερο από την ηλικία του σύμπαντος (13,75 δισεκατομμύρια χρόνια).
  • Ο πιο ισχυρός υπερυπολογιστής στον κόσμο τώρα (2017) είναι ο Sunway TaihuLight στην Κίνα. Το θηρίο αυτό είναι ικανό να έχει μέγιστη ταχύτητα 93.02 petaflops. Αυτό σημαίνει ότι ο πιο ισχυρός υπολογιστής στον κόσμο θα χρειαζόταν ακόμα περίπου 885 τετραπλάσια έτη για να βγάλει βίαια ένα κλειδί AES 128 bit.
  • Ο αριθμός των λειτουργιών που απαιτούνται για τη βίαιη εξαναγκασμό ενός κρυπτογράφου 256-bit είναι 3,31 x 10 ^ 56. Αυτό είναι περίπου ίσο με τον αριθμό των ατόμων στο σύμπαν!

Computer Ciphers

Ενώ το μήκος κλειδιού κρυπτογράφησης αναφέρεται στην ποσότητα των ακατέργαστων αριθμών που εμπλέκονται, τα ψηφιακά ψηφία είναι τα μαθηματικά - οι πραγματικοί τύποι ή αλγόριθμοι - που χρησιμοποιούνται για την εκτέλεση της κρυπτογράφησης. Όπως μόλις είδαμε, η βίαιη επιβολή σύγχρονων κρυπτογραφημένων υπολογιστών είναι άκρως πρακτική.

Είναι αδυναμίες (ενίοτε σκόπιμες) σε αυτούς τους αλγόριθμους κρυπτογράφησης που μπορούν να οδηγήσουν σε σπάσιμο της κρυπτογράφησης. Αυτό οφείλεται στο γεγονός ότι η έξοδος του (κακώς σχεδιασμένου) κρυπτογράφου ενδέχεται να αποκαλύψει κάποια δομή από τις αρχικές πληροφορίες πριν από την κρυπτογράφηση. Αυτό δημιουργεί ένα μειωμένο σύνολο πιθανών συνδυασμών για να δοκιμάσει, πράγμα που μειώνει ουσιαστικά το πραγματικό μήκος κλειδιού.

Ο κρυφός κώδικας Blowfish, για παράδειγμα, είναι ευάλωτος σε μια επίθεση που εκμεταλλεύεται τα μαθηματικά πίσω από το πρόβλημα των γενεθλίων στη θεωρία των πιθανοτήτων. Η μελέτη των αδυναμιών στους κρυπτογραφικούς αλγορίθμους είναι γνωστή ως κρυπτοαναίρεση.

Τα μεγαλύτερα μήκη κλειδιών αντισταθμίζουν αυτές τις αδυναμίες, καθώς αυξάνουν σημαντικά τον αριθμό των πιθανών αποτελεσμάτων.

Αντί να επιτεθεί στον ίδιο τον κρυπτογραφητή, ένας αντίπαλος μπορεί να επιτεθεί στο ίδιο το κλειδί. Αυτό μπορεί να επηρεάσει έναν συγκεκριμένο ιστότοπο ή ένα συγκεκριμένο προϊόν λογισμικού. Αλλά η ασφάλεια του αλγόριθμου κρυπτογράφησης παραμένει άθικτη και άλλα συστήματα που χρησιμοποιούν τον ίδιο αλγόριθμο αλλά έχουν μια ασφαλή γενιά κλειδιών δεν επηρεάζονται από το σπάσιμο.

Μήκος κλειδιού κρυπτογράφησης

Το πόσο ισχυρό είναι ένας κρυπτογραφητής εξαρτάται τόσο από τα μαθηματικά του ίδιου του κρυπτογράφου, όσο και από το μήκος του κλειδιού που εκφράζεται σε δυαδικά ψηφία. Για το λόγο αυτό, περιγράφονται συνήθως τα πλήκτρα κρυπτογράφησης μαζί με το μήκος κλειδιού που χρησιμοποιείται.

Έτσι, το AES-256 (ο AES κρυπτογράφος με μήκος πλήκτρου 256-bit) θεωρείται συνήθως ισχυρότερο από το AES-128. Σημειώστε ότι λέω συνήθως επειδή ασχολούμαστε με πολύ περίπλοκα μαθηματικά εδώ (δείτε τις σημειώσεις μου για το AES αργότερα).

Σημείωση Icon2 01 150X150

Είναι σημαντικό να σημειωθεί ότι μόνο το μήκος κλειδιού δεν αποτελεί καλό δείκτη της ισχύος του κρυπτογράφου. Είναι ο συνδυασμός του μήκους κλειδιού και του κρυπτογράφου που έχει σημασία. Οι κρυπτογράφοι που χρησιμοποιούνται για ασύμμετρη κρυπτογράφηση, για παράδειγμα, χρησιμοποιούν πολύ μεγαλύτερα μεγέθη κλειδιών από αυτά που χρησιμοποιούνται για συμμετρική κρυπτογράφηση για να παρέχουν την ισοδύναμη προστασία.

Σύγκριση μεγέθους κλειδιού

Αυτός ο πίνακας είναι λίγο ξεπερασμένος, καθώς δεν λαμβάνει υπόψη νεότερες επιθέσεις που έχουν ανακαλυφθεί στην RSA. Αξίζει επίσης να σημειωθεί ότι η ελλειπτική καμπύλη και οι παραλλαγές Diffie-Hellman της RSA είναι πολύ ισχυρότερες από τις παραδοσιακές. Αλλά ελπίζουμε ότι έχετε την ιδέα.

Σημείωση Icon2 01 150X150

Ένα πράγμα που πρέπει να σημειωθεί είναι ότι όσο υψηλότερο είναι το μήκος κλειδιού, τόσο περισσότερο υπολογίζεται, έτσι ώστε η απαιτούμενη περισσότερη ισχύς επεξεργασίας. Αυτό επηρεάζει την ταχύτητα με την οποία τα δεδομένα μπορούν να κρυπτογραφηθούν και να αποκρυπτογραφηθούν. Οι πάροχοι VPN και παρόμοιοι πρέπει επομένως να αποφασίσουν τον καλύτερο τρόπο για την εξισορρόπηση της ασφάλειας έναντι της πρακτικής χρηστικότητας κατά την επιλογή των συστημάτων κρυπτογράφησης.

Συζητάμε τα βασικά ψηφιακά κρυπτογραφικά που χρησιμοποιούνται από διάφορα πρωτόκολλα VPN λίγο αργότερα, αλλά τα πιο κοινά ciphers που πιθανότατα θα συναντήσετε είναι το Blowfish και το AES. Εκτός από αυτό, το RSA χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση κλειδιών κρυπτογράφησης και το SHA-1 ή το SHA-2 χρησιμοποιείται ως λειτουργία hash για τον έλεγχο ταυτότητας δεδομένων.

Ασύμμετρη κρυπτογράφησηΑσύμμετρη κρυπτογράφηση

Perfect Forward Secrecy

Το Perfect Forward Secrecy (PFS) αναφέρεται επίσης ως η χρήση εφήμερων κλειδιών κρυπτογράφησης ή απλώς Forward Secrecy (FS) από εκείνους που δυσκολεύονται να χρησιμοποιήσουν τη λέξη "τέλεια".

Η πιο σύγχρονη ασφαλής ηλεκτρονική επικοινωνία βασίζεται σε SSL / TLS. Χρησιμοποιείται από τους ιστότοπους HTTPS και το πρωτόκολλο OpenVPN. Το TLS (Security Layer Security) είναι ασύμμετρο πρωτόκολλο κρυπτογράφησης. Η χρήση ασύμμετρου κρυπτογράφου σημαίνει ότι τα δεδομένα είναι εξασφαλισμένα χρησιμοποιώντας ένα δημόσιο κλειδί, το οποίο είναι διαθέσιμο σε όλους. Μπορεί όμως να αποκρυπτογραφηθεί μόνο από έναν προοριζόμενο παραλήπτη ο οποίος κρατά το σωστό ιδιωτικό κλειδί.

Αυτό το ιδιωτικό κλειδί πρέπει να κρατηθεί μυστικό. Εάν είναι κλεμμένο ή ραγισμένο από έναν αντίπαλο, τότε αυτός ο αντίπαλος μπορεί εύκολα να παρακολουθήσει και να διαβάσει όλες τις επικοινωνίες που έχει εξασφαλίσει.

Δυστυχώς, είναι συνηθισμένο για διακομιστές ή ακόμη και για ολόκληρες εταιρείες να χρησιμοποιούν μόνο ένα ιδιωτικό κλειδί κρυπτογράφησης για να εξασφαλίσουν όλες τις επικοινωνίες. Γιατί; Επειδή είναι εύκολο. Ωστόσο, εάν το κλειδί είναι κατεστραμμένο τότε ένας εισβολέας μπορεί να έχει πρόσβαση σε όλες τις κρυπτογραφημένες επικοινωνίες μαζί του.

Αυτό το ιδιωτικό κλειδί κρυπτογράφησης, ως εκ τούτου, γίνεται ένα "κύριο κλειδί" που μπορεί να χρησιμοποιηθεί για να ξεκλειδώσετε όλες τις επικοινωνίες με ένα διακομιστή ή μια εταιρεία. Η NSA είναι γνωστό ότι εκμεταλλεύτηκε αυτή την αδυναμία προκειμένου να συλλέξει τεράστιες δεσμίδες υποτιθέμενα ασφαλών δεδομένων.

Η λύση είναι Perfect Forward Secrecy. Πρόκειται για ένα σύστημα στο οποίο δημιουργείται ένα νέο και μοναδικό ιδιωτικό κλειδί κρυπτογράφησης για κάθε συνεδρία. Είναι μια απλή ιδέα, ακόμα και αν τα μαθηματικά ανταλλαγής Diffie-Hellman είναι περίπλοκα. Αυτό σημαίνει ότι κάθε σύνοδος TLS έχει το δικό της σύνολο κλειδιών. Ως εκ τούτου, ο όρος "εφήμερα κλειδιά" - χρησιμοποιούνται μία φορά και στη συνέχεια εξαφανίζονται.

Δεν υπάρχει επομένως κανένα "βασικό κλειδί" που να μπορεί να εκμεταλλευτεί. Ακόμη και αν συμβεί μια συνεδρία, υπάρχει μόνο μια συμβιβαζόμενη περίοδος - όχι όλες οι άλλες συνεδρίες που έχει κάποιος με τον συγκεκριμένο διακομιστή ή εταιρεία!

Παρόλο που είναι ασυνήθιστο, είναι ακόμη δυνατή η ανανέωση των κλειδιών PFS μέσα σε μια περίοδο λειτουργίας (για παράδειγμα, κάθε ώρα). Αυτό περαιτέρω περιορίζει το ποσό των δεδομένων που μπορεί να παρεμποδιστεί από έναν αντίπαλο, ακόμα και αν συμβεί ένα ιδιωτικό κλειδί.

Όταν έγραψα αυτό το άρθρο σχετικά με το θέμα πριν από μερικά χρόνια, η χρήση της Perfect Forward Secrecy τόσο για τις ιστοσελίδες HTTPS όσο και για τις συνδέσεις OpenVPN ήταν σπάνια σπάνια. Ευτυχώς, αυτή η κατάσταση έχει αλλάξει κάπως. Παρόλο που δεν είναι καθολικό, η χρήση εφήμερων κλειδιών έχει αυξηθεί πολύ αργά.

Πρωτόκολλα κρυπτογράφησης VPN

Ένα πρωτόκολλο VPN είναι το σύνολο των οδηγιών (μηχανισμός) που χρησιμοποιούνται για τη διαπραγμάτευση μιας ασφαλούς κρυπτογραφημένης σύνδεσης μεταξύ δύο υπολογιστών. Ορισμένα από αυτά τα πρωτόκολλα VPN υποστηρίζονται συνήθως από εμπορικές υπηρεσίες VPN. Τα πιο αξιοσημείωτα από αυτά είναι τα PPTP, L2TP / IPSec, OpenVPN, SSTP και IKEv2.

Κοιτάζω καθένα από τα παρακάτω, αλλά το OpenVPN είναι τώρα το πρότυπο πρωτόκολλο VPN που χρησιμοποιείται από εμπορικές υπηρεσίες VPN - για καλό λόγο. Είναι πολύ ασφαλές και μπορεί να χρησιμοποιηθεί σε όλες σχεδόν τις συσκευές με δυνατότητα VPN. Ως εκ τούτου, θα αφιερώσω επιπλέον ψηφιακή μελάνη σχετικά με το OpenVPN λεπτομερώς.

PPTP

ΠΛΕΟΝΕΚΤΗΜΑΤΑ

  • Ο πελάτης έχει ενσωματωθεί σε σχεδόν όλες τις πλατφόρμες
  • Πολύ εύκολο στη ρύθμιση

CONS

  • Πολύ ανασφαλής
  • Σίγουρα διακυβεύεται από τον NSA
  • Αποκλείστηκε εύκολα

Τι είναι το PPTP?

Πρόκειται μόνο για πρωτόκολλο VPN και βασίζεται σε διάφορες μεθόδους ελέγχου ταυτότητας για την παροχή ασφάλειας. Μεταξύ των εμπορικών παρόχων VPN, αυτό είναι σχεδόν πάντοτε MS-CHAP v2. Το πρωτόκολλο κρυπτογράφησης (παρόμοιο με έναν τυπικό κρυπτογραφητή) που χρησιμοποιείται από το PPTP είναι η Microsoft Point-to-Point Encryption (MPPE).

Το πρωτόκολλο σημειακής τοποθέτησης (PPTP) αναπτύχθηκε από κοινοπραξία που ίδρυσε η Microsoft για τη δημιουργία VPN μέσω τηλεφωνικών δικτύων. Ως εκ τούτου, το PPTP είναι από καιρό το τυπικό πρωτόκολλο για εταιρικά δίκτυα VPN.

Το PPTP είναι διαθέσιμο ως πρότυπο σε σχεδόν κάθε πλατφόρμα και συσκευή που διαθέτει δυνατότητα VPN. Είναι εύκολο να εγκατασταθεί, χωρίς να χρειάζεται να εγκαταστήσετε πρόσθετο λογισμικό. Αυτό εξασφαλίζει ότι το PPTP παραμένει μια δημοφιλής επιλογή τόσο για VPN επιχειρήσεων όσο και για εμπορικές υπηρεσίες VPN.

Έχει επίσης το πλεονέκτημα ότι απαιτεί χαμηλή υπολογιστική επιβάρυνση για την υλοποίηση ... έτσι είναι γρήγορη!

Δυστυχώς, το PPTP δεν είναι ασφαλές. Καθόλου. Παρόλο που τώρα συνήθως βρήκε μόνο κλειδιά κρυπτογράφησης 128-bit, τα τελευταία χρόνια από την πρώτη του προσθήκη στο Windows 95 OSR2 το 1999, έρχονται στο φως διάφορα αδύνατα σημεία ασφαλείας.

Το πιο σοβαρό από αυτά είναι η πιθανότητα μη εγκλωβισμένης ταυτότητας MS-CHAP v2. Χρησιμοποιώντας αυτήν την εκμετάλλευση, το PPTP έχει ραγιστεί μέσα σε δύο ημέρες. Η Microsoft έχει επιδιορθώσει το ελάττωμα, αλλά έχει εκδώσει μια σύσταση για να χρησιμοποιήσει αντί για L2TP / IPsec ή SSTP.

Δεν πρέπει να αποτελεί έκπληξη το γεγονός ότι η NSA σίγουρα αποκρυπτογραφεί τις κρυπτογραφημένες επικοινωνίες PPTP ως πρότυπο. Ακόμη πιο ανησυχητικό είναι ότι η NSA συγκέντρωσε τεράστια ποσά παλαιότερων δεδομένων που ήταν κρυπτογραφημένα όταν η PPTP θεωρήθηκε ασφαλής. Μπορεί σχεδόν σίγουρα να αποκρυπτογραφήσει αυτά τα κληροδοτημένα δεδομένα.

Το PPTP απαιτεί τόσο τη θύρα TCP 1723 όσο και το πρωτόκολλο GRE. Είναι εύκολο να το firewall GRE, το οποίο καθιστά εύκολο το μπλοκάρισμα των συνδέσεων PPTP.

L2TP / IPsec

  • Συνήθως θεωρούνται ασφαλείς (αλλά βλέπετε μειονεκτήματα)
  • Εύκολη ρύθμιση
  • Διατίθεται σε όλες τις σύγχρονες πλατφόρμες
  • Ταχύτερα από το OpenVPN (ίσως)
  • Μπορεί να διακυβευτεί από την ΕΑΑ (δεν έχει αποδειχθεί)
  • Πιθανώς σκόπιμα αποδυναμωμένη από την NSA (μη-αποδεδειγμένη)
  • Μπορεί να αγωνιστεί με περιοριστικά τείχη προστασίας
  • Συχνά υλοποιούνται άσχημα

Τι είναι το L2TP και το IPsec?

Το Layer 2 Protocol Tunneling Protocol (L2TP) είναι ενσωματωμένο σε όλα σχεδόν τα σύγχρονα λειτουργικά συστήματα και τις συσκευές με δυνατότητα VPN. Επομένως είναι εξίσου εύκολη και γρήγορη η εγκατάσταση ως PPTP.

Από μόνη της, το L2TP δεν παρέχει κρυπτογράφηση ή εμπιστευτικότητα στην κίνηση που περνά μέσα από αυτό, έτσι συνήθως υλοποιείται με τη σουίτα ελέγχου ταυτότητας IPsec (L2TP / IPsec). Ακόμη και αν ένας πάροχος αναφέρεται μόνο σε L2TP ή IPsec (όπως κάνουν ορισμένοι), σχεδόν σίγουρα σημαίνει L2TP / IPSec.

Το L2TP / IPsec μπορεί να χρησιμοποιήσει είτε τους κρυπτογράφους 3DES είτε AES. Το 3DES είναι ευάλωτο στις επιθέσεις σύγκρουσης Meet-in-the-middle και Sweet32, οπότε στην πράξη είναι απίθανο να συναντήσετε αυτές τις μέρες.

Προβλήματα μπορεί να προκύψουν επειδή το πρωτόκολλο L2TP / IPSec χρησιμοποιεί μόνο έναν περιορισμένο αριθμό θυρών. Αυτό μπορεί να προκαλέσει επιπλοκές όταν χρησιμοποιείται πίσω από τείχη προστασίας NAT. Αυτή η εξάρτηση από τις σταθερές θύρες καθιστά το πρωτόκολλο αρκετά εύκολο να αποκλειστεί.

Το L2TP / IPsec ενσωματώνει δεδομένα δύο φορές, γεγονός που επιβραδύνει τα πράγματα. Αυτό αντισταθμίζεται από το γεγονός ότι η κρυπτογράφηση / αποκρυπτογράφηση συμβαίνει στον πυρήνα και το L2TP / IPsec επιτρέπει την πολλαπλή σπείρα. Το OpenVPN δεν το κάνει. Το αποτέλεσμα είναι ότι το L2TP / IPsec είναι θεωρητικά ταχύτερο από το OpenVPN.

Το L2TP / IPsec με χρήση του κρυπτογράφου AES δεν έχει σημαντικά γνωστά τρωτά σημεία και, εάν εφαρμοστεί σωστά, ενδέχεται να είναι ασφαλές. Ωστόσο, οι αποκαλύψεις του Edward Snowden έφεραν έντονη υπαινιγμό ότι το πρότυπο τίθεται σε κίνδυνο από την NSA.

Ο John Gilmore είναι ειδικός ασφαλείας και ιδρυτικό μέλος του Electronic Frontier Foundation. Εξηγεί, είναι πιθανό ότι το IPSec ήταν σκόπιμα αποδυναμωμένο κατά τη φάση σχεδιασμού του.

Ένα αναμφισβήτητα πολύ μεγαλύτερο πρόβλημα είναι ότι πολλές υπηρεσίες VPN εφαρμόζουν ανεπαρκώς το L2TP / IPsec. Συγκεκριμένα, χρησιμοποιούν προ-κοινόχρηστα κλειδιά (PSK) που μπορούν να μεταφορτωθούν ελεύθερα από τους ιστοτόπους τους.

Αυτά τα PSK χρησιμοποιούνται μόνο για τον έλεγχο ταυτότητας της σύνδεσης, οπότε ακόμα και σε περίπτωση συμβιβασμού, τα δεδομένα παραμένουν κρυπτογραφημένα με ασφάλεια χρησιμοποιώντας το AES. Ένας εισβολέας θα μπορούσε, ωστόσο, να χρησιμοποιήσει το προ-κοινόχρηστο κλειδί για να μιμηθεί έναν διακομιστή VPN. Στη συνέχεια θα μπορούσε να παρακολουθήσει κρυπτογραφημένη κίνηση ή ακόμα και να εισάγει κακόβουλα δεδομένα στη σύνδεση.

Σημείωση Icon2 01 150X150

Περίληψη

Παρά τα μεγάλα θεωρητικά ζητήματα, το L2TP / IPsec θεωρείται γενικά ότι είναι ασφαλές εάν δεν χρησιμοποιούνται εκ των προτέρων κοινόχρηστα προ-κοινόχρηστα κλειδιά. Η ενσωματωμένη συμβατότητα με πολλές συσκευές μπορεί να την κάνει πολύ καλή επιλογή.

ΠΛΕΟΝΕΚΤΗΜΑΤΑ

  • Πολύ ασφαλές
  • Πλήρως ενσωματωμένο στα Windows
  • Υποστήριξη της Microsoft
  • Μπορεί να παρακάμψει τα περισσότερα τείχη προστασίας

CONS

  • Ιδιοκτησιακό πρότυπο ιδιοκτησίας της Microsoft

Τι είναι το SSTP?

Το SSTP είναι ένας τύπος κρυπτογράφησης που χρησιμοποιεί SSL 3.0 και προσφέρει παρόμοια πλεονεκτήματα με το OpenVPN. Αυτό περιλαμβάνει τη δυνατότητα χρήσης της θύρας TCP 443 για να αποφύγει τη λογοκρισία. Η στενή ενοποίηση με τα Windows μπορεί να κάνει πιο εύκολη τη χρήση και πιο σταθερή από την OpenVPN σε αυτήν την πλατφόρμα.

Σε αντίθεση με το OpenVPN, ωστόσο, το SSTP είναι ιδιόκτητο πρότυπο που ανήκει στη Microsoft. Αυτό σημαίνει ότι ο κώδικας δεν είναι ανοικτός σε δημόσιο έλεγχο. Η ιστορία της Microsoft για συνεργασία με την NSA και οι εικασίες σχετικά με πιθανά backdoors ενσωματωμένα στο λειτουργικό σύστημα των Windows δεν εμπνέουν εμπιστοσύνη στο πρότυπο.

Το πρωτόκολλο Secure Socket Tunneling Protocol (SSTP) εισήχθη από τη Microsoft στο Windows Vista SP1. Αν και είναι τώρα διαθέσιμο για Linux, ακόμα και για Mac OS X, εξακολουθεί να είναι κυρίως μια πλατφόρμα μόνο για Windows.

Ένα άλλο πρόβλημα είναι ότι το SSL v3.0 είναι ευάλωτο σε αυτό που είναι γνωστό ως επίθεση POODLE και τώρα δεν συνιστάται. Το αν το ζήτημα αυτό επηρεάζει επίσης το SSTP είναι ασαφές, αλλά και πάλι, δεν εμπνέει εμπιστοσύνη.

Σημείωση Icon2 01 150X150

Περίληψη

Σε χαρτί, το SSTP προσφέρει πολλά από τα πλεονεκτήματα του OpenVPN. Όντας ένα ιδιόκτητο πρότυπο της Microsoft, ωστόσο, υπονομεύει άσχημα την αξιοπιστία του.

IKEv2

ΠΛΕΟΝΕΚΤΗΜΑΤΑ

  • Γρήγορα
  • Σταθερό - ειδικά όταν αλλάζετε δίκτυο ή επανασυνδέετε μετά από μια χαμένη σύνδεση στο διαδίκτυο
  • Ασφαλής (αν χρησιμοποιείται AES)
  • Εύκολη ρύθμιση (τουλάχιστον στο τέλος του χρήστη!)
  • Το πρωτόκολλο υποστηρίζεται από συσκευές BlackBerry

CONS

  • Δεν υποστηρίζεται σε πολλές πλατφόρμες
  • Η εφαρμογή του IKEv2 στο τέλος του διακομιστή είναι δύσκολη, κάτι που θα μπορούσε ενδεχομένως να οδηγήσει σε ανάπτυξη προβλημάτων
  • Εμπιστευθείτε μόνο τις υλοποιήσεις ανοιχτού κώδικα

Τι είναι το IKEv2?

Η έκδοση Internet Key Exchange 2 (IKEv2) αναπτύχθηκε από κοινού από τη Microsoft και τη Cisco. Υποστηρίζεται εγγενώς από συσκευές Windows 7+, Blackberry και iOS. Αυτός είναι ο λόγος για τον οποίο πολλές υπηρεσίες iOS VPN χρησιμοποιούν το IKEv2 αντί για το OpenVPN.

Οι ανεπτυγμένες ανεξάρτητες συμβατές εκδόσεις του IKEv2 έχουν σχεδιαστεί για Linux και άλλα λειτουργικά συστήματα. Πολλές από αυτές τις επαναλήψεις είναι ανοιχτού κώδικα. Όπως πάντα, προτείνω να είστε προσεκτικοί για οτιδήποτε αναπτύχθηκε από τη Microsoft. Ωστόσο, οι εκδόσεις ανοιχτού κώδικα του IKEv2 δεν πρέπει να έχουν προβλήματα.

Το IKEv2 είναι μέρος της σουίτας πρωτοκόλλου IPsec. Εξασφαλίζει ότι η κυκλοφορία είναι ασφαλής παραδίδοντας το χαρακτηριστικό SA (Security Association) μέσα στο IPsec και βελτιώνεται στο IKEv1 με πολλούς τρόπους. Το IKEv2 αναφέρεται επομένως ως IKEv2 / IPsec. Το IKEv1, από την άλλη πλευρά, αναφέρεται συχνά ως IPsec.

Μεταγλωττισμένο VPN Συνδεθείτε από τη Microsoft, το IKEv2 είναι ιδιαίτερα καλό στην αυτόματη αποκατάσταση μιας σύνδεσης VPN όταν οι χρήστες χάνουν προσωρινά τις συνδέσεις στο διαδίκτυο. Για παράδειγμα, κατά την είσοδο ή την έξοδο από τη σήραγγα τρένων.

Λόγω της υποστήριξής του στο πρωτόκολλο κινητικότητας και πολλαπλών λειτουργιών (MOBIKE), το IKEv2 είναι επίσης εξαιρετικά ανθεκτικό στα μεταβαλλόμενα δίκτυα. Αυτό κάνει το IKEv2 μια εξαιρετική επιλογή για τους χρήστες κινητών τηλεφώνων που αλλάζουν τακτικά μεταξύ οικιακών WiFi και κινητών συνδέσεων ή που μετακινούνται τακτικά μεταξύ hotspots.

Το IKEv2 δεν είναι τόσο κοινό όσο το L2TP / IPSec, καθώς υποστηρίζεται σε πολλές λιγότερες πλατφόρμες (αν και αυτή η κατάσταση αλλάζει γρήγορα). Ωστόσο, θεωρείται τουλάχιστον τόσο καλή όσο, αν όχι ανώτερη από την L2TP / IPsec όσον αφορά την ασφάλεια, την απόδοση (ταχύτητα), τη σταθερότητα και την ικανότητα δημιουργίας (και αποκατάστασης) μιας σύνδεσης.

OpenVPN

ΠΛΕΟΝΕΚΤΗΜΑΤΑ

  • Πολύ ασφαλές (αν χρησιμοποιείται PFS)
  • Πολύ ρυθμιζόμενο
  • Ανοιχτή πηγή
  • Μπορεί να παρακάμψει τείχη προστασίας
  • Χρειάζεται λογισμικό τρίτων κατασκευαστών

Τι είναι το OpenVPN?

Το OpenVPN είναι μια τεχνολογία ανοιχτού κώδικα που χρησιμοποιεί τη βιβλιοθήκη OpenSSL και τα πρωτόκολλα TLS, μαζί με ένα αμάλγαμα άλλων τεχνολογιών, για να παρέχει μια ισχυρή και αξιόπιστη λύση VPN. Είναι τώρα το πρότυπο πρωτόκολλο VPN που χρησιμοποιείται από εμπορικές υπηρεσίες VPN - για καλό λόγο.

Ένα από τα σημαντικότερα πλεονεκτήματα του OpenVPN είναι ότι είναι ιδιαίτερα διαμορφωμένο. Υποστηρίζεται εγγενώς από καμία πλατφόρμα, αλλά είναι διαθέσιμη στις περισσότερες πλατφόρμες μέσω λογισμικού τρίτου κατασκευαστή. Οι προσαρμοσμένοι πελάτες και εφαρμογές OpenVPN είναι συχνά διαθέσιμα από μεμονωμένους παρόχους VPN, αλλά ο βασικός κώδικας ανοιχτού κώδικα αναπτύχθηκε από το πρόγραμμα OpenVPN.

Πολλοί προγραμματιστές και συνεισφέροντες στο έργο OpenVPN εργάζονται επίσης για την OpenVPN Technologies Inc., η οποία επιβλέπει το έργο.

Το OpenVPN λειτουργεί καλύτερα σε μια θύρα UDP, αλλά μπορεί να ρυθμιστεί σε οποιαδήποτε θύρα (δείτε τις σημειώσεις αργότερα). Αυτό περιλαμβάνει τη θύρα TCP 443, η οποία χρησιμοποιείται από την κανονική επισκεψιμότητα HTTPS. Η εκτέλεση του OpenVPN μέσω της θύρας TCP 443 καθιστά δύσκολο να προσδιορίσει τις συνδέσεις VPN εκτός από το είδος των ασφαλών συνδέσεων που χρησιμοποιούνται από τις τράπεζες, τις υπηρεσίες ηλεκτρονικού ταχυδρομείου και τους διαδικτυακούς εμπόρους λιανικής πώλησης. Αυτό καθιστά το OpenVPN πολύ δύσκολο να μπλοκάρει.

Ένα άλλο πλεονέκτημα του OpenVPN είναι ότι η βιβλιοθήκη OpenSSL που χρησιμοποιείται για την κρυπτογράφηση υποστηρίζει έναν αριθμό κρυπτών. Στην πράξη, ωστόσο, μόνο οι Blowfish και AES χρησιμοποιούνται συνήθως από εμπορικές υπηρεσίες VPN. Τα συζητώ παρακάτω.

Υπό το φως των πληροφοριών που ελήφθησαν από τον Edward Snowden, φαίνεται ότι όσο χρησιμοποιείται η Perfect Forward Secrecy, τότε το OpenVPN δεν έχει παραβιαστεί ή αποδυναμωθεί από την NSA.

Ένας πρόσφατος πλήρης έλεγχος του OpenVPN είναι πλέον πλήρης, όπως και ένας άλλος χρηματοδοτούμενος από το Private Internet Access. Δεν εντοπίστηκαν σοβαρές αδυναμίες που επηρεάζουν την ιδιωτικότητα των χρηστών. Ανακαλύφθηκαν δύο ευπάθειες που καθιστούσαν τους διακομιστές OpenVPN δυνητικά ανοικτοί σε επίθεση Denial of Service (DoS), αλλά αυτές έχουν τροποποιηθεί στο OpenVPN 2.4.2.

Το OpenVPN θεωρείται συνήθως ως το πιο ασφαλές πρωτόκολλο VPN και υποστηρίζεται ευρέως σε ολόκληρη τη βιομηχανία VPN. Ως εκ τούτου, θα συζητήσω λεπτομερώς παρακάτω την κρυπτογράφηση OpenVPN.

Κρυπτογράφηση OpenVPN

Η κρυπτογράφηση OpenVPN περιλαμβάνει δύο μέρη - κρυπτογράφηση καναλιών δεδομένων και κρυπτογράφηση καναλιού ελέγχου. Η κρυπτογράφηση του καναλιού δεδομένων χρησιμοποιείται για τη διασφάλιση των δεδομένων σας. Η κρυπτογράφηση του καναλιού ελέγχου εξασφαλίζει τη σύνδεση μεταξύ του υπολογιστή σας και του διακομιστή VPN.

Οποιαδήποτε άμυνα είναι τόσο ισχυρή όσο το πιο αδύναμο σημείο της, γι 'αυτό είναι ατυχές το γεγονός ότι ορισμένοι πάροχοι VPN χρησιμοποιούν πολύ ισχυρότερη κρυπτογράφηση σε ένα κανάλι από το άλλο (συνήθως ισχυρότερο στο κανάλι ελέγχου).

Δεν είναι ασυνήθιστο, για παράδειγμα, να βλέπετε μια υπηρεσία VPN που διαφημίζεται ότι χρησιμοποιεί κρυπτογράφηση AES-256 με κρυπτογράφηση χειραψίας RSA-4096 και πιστοποίηση κατακερματισμού SHA-512. Αυτό ακούγεται πολύ εντυπωσιακό μέχρις ότου συνειδητοποιήσετε ότι αναφέρεται μόνο στην κρυπτογράφηση του καναλιού ελέγχου και όχι στο κανάλι δεδομένων, το οποίο είναι κρυπτογραφημένο με απλό Blowfish-128 με εξακρίβωση κατακερματισμού SHA1. Αυτό γίνεται μόνο για λόγους μάρκετινγκ.

Εάν χρησιμοποιείται διαφορετική κρυπτογράφηση στα κανάλια δεδομένων και ελέγχου, τότε η πραγματική ισχύς της σύνδεσης OpenVPN μετράται από την ασθενέστερη σουίτα κρυπτογράφησης που χρησιμοποιείται.

Για μέγιστη ασφάλεια, τόσο η κρυπτογράφηση δεδομένων όσο και το κανάλι ελέγχου θα πρέπει να είναι όσο το δυνατόν πιο δυνατές. Ωστόσο, όσο ισχυρότερη είναι η κρυπτογράφηση που χρησιμοποιείται, τόσο πιο αργή θα είναι η σύνδεση, γι 'αυτό και ορισμένοι πάροχοι καταγράφουν κρυπτογράφηση καναλιών δεδομένων.

Η κρυπτογράφηση του καναλιού ελέγχου καλείται επίσης κρυπτογράφηση TLS, επειδή η τεχνολογία TLS χρησιμοποιείται για την ασφαλή διαπραγμάτευση της σύνδεσης μεταξύ του υπολογιστή σας και του διακομιστή VPN. Αυτή είναι η ίδια τεχνολογία που χρησιμοποιείται από το πρόγραμμα περιήγησης για ασφαλή διαπραγμάτευση σύνδεσης σε έναν ιστοτόπο κρυπτογραφημένο με HTTPS.

  • Η κρυπτογράφηση του καναλιού ελέγχου αποτελείται από κρυπτογράφηση κρυπτογράφησης, κρυπτογράφηση χειραψίας και έλεγχο ταυτότητας κατακερματισμού.
  • Η κρυπτογράφηση καναλιών δεδομένων αποτελείται από έναν έλεγχο ταυτότητας κρυπτογράφησης και κατακερματισμού.

Οι πάροχοι VPN συχνά χρησιμοποιούν το ίδιο επίπεδο κρυπτογράφησης τόσο για τα κανάλια ελέγχου όσο και για τα κανάλια δεδομένων. Στους πίνακες ανασκοπήσεων και "φωτεινούς σηματοδότες", τα κατατάσσουμε μόνο ξεχωριστά αν χρησιμοποιούνται διαφορετικές τιμές για κάθε κανάλι.

Αν δηλώσουμε ότι ένας πάροχος χρησιμοποιεί έναν κρυπτογράφο AES-256, αυτό σημαίνει ότι χρησιμοποιείται ένας κωδικός AES-256 τόσο για τα κανάλια ελέγχου όσο και για τα κανάλια δεδομένων. *

(* Αυτό θα πρέπει να συμβαίνει τουλάχιστον. Ορισμένες κριτικές κληρονομιών δεν ανταποκρίνονται στις τρέχουσες οδηγίες μας, αλλά αυτές πρέπει να καταργηθούν εγκαίρως).

Ciphers

Το OpenVPN μπορεί να χρησιμοποιήσει έναν αριθμό κρυπτογράφων συμμετρικού κλειδιού για να εξασφαλίσει δεδομένα τόσο στα κανάλια ελέγχου όσο και στα κανάλια δεδομένων. Στην πράξη, οι μόνοι που χρησιμοποιούνται από εμπορικούς παρόχους VPN είναι οι Blowfish, AES και (πολύ σπάνια) η Camellia.

Blowfish

Το Blowfish-128 είναι ο προεπιλεγμένος κωδικός που χρησιμοποιείται από το OpenVPN. Τα μεγέθη των κλειδιών μπορεί θεωρητικά να κυμαίνονται από 32 bits έως 448 bits, αλλά η Blowfish-128 είναι η μόνη έκδοση που είναι πιθανό να συναντήσετε στην άγρια ​​φύση.

Το Blowfish θεωρείται συχνά αρκετά ασφαλές για περιστασιακούς σκοπούς, αλλά έχει γνωστές αδυναμίες. Δημιουργήθηκε από τον γνωστό κρυπτογράφο Bruce Schneier, ο οποίος δήλωσε το 2007, «σε αυτό το σημείο, εντούτοις, είμαι έκπληκτος ότι εξακολουθεί να χρησιμοποιείται».

Κατά την άποψή μας, η χρήση του Blowfish-128 είναι αποδεκτή ως δεύτερη γραμμή άμυνας στο κανάλι δεδομένων OpenVPN. Δεν πρέπει, ωστόσο, να θεωρείται ασφαλής όταν χρησιμοποιείται στο κανάλι ελέγχου.

AES

Το AES έχει γίνει το κρυπτογράφημα συμμετρικού κλειδιού "χρυσό πρότυπο" VPN σε ολόκληρο τον κλάδο. Το AES είναι πιστοποιημένο από το NIST και θεωρείται σχεδόν παγκοσμίως πολύ ασφαλές. Το AES-256 χρησιμοποιείται από την κυβέρνηση των ΗΠΑ για την προστασία των "ασφαλών" δεδομένων.

Το γεγονός ότι έχει μέγεθος μπλοκ 128 bit και όχι μέγεθος μπλοκ 64 bits του Blowfish σημαίνει επίσης ότι μπορεί να χειριστεί μεγαλύτερα αρχεία (πάνω από 4 GB) καλύτερα από το Blowfish. Εκτός αυτού, το σετ εντολών AES επωφελείται από την ενσωματωμένη επιτάχυνση υλικού στις περισσότερες πλατφόρμες.

Το AES είναι συνήθως διαθέσιμο σε μεγέθη πλήκτρων 128 bit και 256-bit (υπάρχει επίσης AES 192 bit). Το AES-128 παραμένει ασφαλές όσο γνωρίζει κάποιος. Δεδομένου όσων γνωρίζουμε τώρα για την έκταση της επίθεσης της NSA στα πρότυπα κρυπτογράφησης, ωστόσο, οι περισσότεροι ειδικοί συμφωνούν ότι το AES-256 παρέχει μεγαλύτερο περιθώριο ασφαλείας.

Ακριβώς για να εξασφαλιστεί ότι κανείς δεν βρίσκει ποτέ αυτό το θέμα πολύ εύκολο, όμως, υπάρχει κάποια συζήτηση για το θέμα αυτό. Το AES-128 έχει ισχυρότερο πρόγραμμα κλειδιών από το AES-256, το οποίο οδηγεί μερικούς εξαιρετικούς εμπειρογνώμονες για να υποστηρίξει ότι το AES-128 είναι στην πραγματικότητα ισχυρότερο από το AES-256.

Η γενική συναίνεση, ωστόσο, είναι ότι το AES-256 είναι ισχυρότερο.

Καμέλια

Το Camellia είναι ένας σύγχρονος ασφαλής κρυπτογράφος και είναι τουλάχιστον εξίσου ασφαλής και γρήγορος με τον AES. Διατίθεται σε μεγέθη κλειδιών 128, 192 και 256 bits. Χάρη στην πιστοποίηση NIST και τη χρήση της από την αμερικανική κυβέρνηση, ωστόσο, το AES χρησιμοποιείται σχεδόν πάντα αντί της Camellia.

Αλλά, όπως σας αναφέρω παρακάτω, υπάρχουν λόγοι να μην εμπιστεύεστε τα πιστοποιημένα κρυπτογραφημένα NIST. Το γεγονός ότι η Camellia είναι ένας μη-NIST κρυπτογράφος είναι ο κύριος λόγος για να την επιλέξετε μέσω του AES. Ωστόσο, αυτή η επιλογή είναι σπάνια διαθέσιμη.

Αξίζει επίσης να σημειωθεί ότι η Camellia δεν δοκιμάζεται σχεδόν εξίσου καλά ως αδυναμία, όπως η AES.

Κρυπτογράφηση χειραψίας

Για να διαπραγματευτείτε με ασφάλεια μια σύνδεση μεταξύ της συσκευής σας και ενός διακομιστή VPN, το OpenVPN χρησιμοποιεί χειραψία TLS. Αυτό επιτρέπει στον πελάτη OpenVPN και στο διακομιστή VPN να δημιουργήσει τα μυστικά κλειδιά με τα οποία επικοινωνούν.

Για να προστατεύσει αυτή τη χειραψία, το TLS συνήθως χρησιμοποιεί το κρυπτοσύστημα RSA δημόσιου κλειδιού. Αυτός είναι ένας αλγόριθμος κρυπτογράφησης και ψηφιακής υπογραφής που χρησιμοποιείται για την αναγνώριση των πιστοποιητικών TLS / SSL. Μπορεί, ωστόσο, να χρησιμοποιήσει αντ 'αυτού μια ανταλλαγή κλειδιού Diffie-Hellman ή ECDH.

RSA

Το RSA είναι ασύμμετρο σύστημα κρυπτογράφησης - ένα δημόσιο κλειδί χρησιμοποιείται για την κρυπτογράφηση των δεδομένων, αλλά ένα διαφορετικό ιδιωτικό κλειδί χρησιμοποιείται για την αποκρυπτογράφηση του. Έχει αποτελέσει τη βάση για ασφάλεια στο διαδίκτυο για τα τελευταία 20 χρόνια περίπου.

Έχει πλέον καθιερωθεί ότι το RSA με μήκος κλειδιού 1024 bits (RSA-1024) ή λιγότερο δεν είναι ασφαλές και σχεδόν σίγουρα έχει σπάσει η NSA. Κατά συνέπεια, υπήρξε μια συντονισμένη κίνηση μεταξύ των εταιρειών διαδικτύου για τη μετανάστευση από το RSA-1024.

Δυστυχώς, εξακολουθούμε να βρούμε κάποιες υπηρεσίες VPN να συνεχίζουν να χρησιμοποιούν το RSA-1024 για να προστατεύουν τις χειραψίες. Αυτό δεν είναι καλό.

Το RSA-2048 και ανώτερο εξακολουθεί να θεωρείται ασφαλές. Από μόνη της, το RSA δεν παρέχει τέλεια εμπιστευτική μυστικότητα (PFS). Αυτό μπορεί, ωστόσο, να υλοποιηθεί με τη συμπερίληψη μιας ανταλλαγής κλειδιών Diffie-Hellman (DH) ή ελλειπτικής καμπύλης Diffie-Hellman (ECDH) στην κρυπτογραφική σουίτα.

Σε αυτή την περίπτωση, η δύναμη του κλειδιού DH ή ECDH δεν έχει σημασία, καθώς χρησιμοποιείται μόνο για την παροχή μυστικής προωθημένης μυστικότητας. Η σύνδεση ασφαλίζεται με RSA.

Επειδή μπορεί να προκαλέσει σύγχυση, θα παρατηρήσω επίσης ότι το κρυπτοσύστημα RSA δεν έχει καμία σχέση με την απογοητευμένη αμερικανική τεχνολογία RSA Security LLC. Αυτή η εταιρεία σκόπιμα αποδυνάμωσε τα κυριότερα προϊόντα κρυπτογράφησης BSAFE, αφού δωροδοκήθηκαν 10 εκατομμύρια δολάρια από την NSA.

Diffie-Hellman και ECDH

Μια εναλλακτική (rival) κρυπτογράφηση χειραψίας που χρησιμοποιείται μερικές φορές από το OpenVPN είναι η ανταλλαγή κρυπτογραφικού κλειδιού Diffie-Hellman (DH). Αυτό συνήθως έχει μήκος κλειδιού 2048-bit ή 4096-bit. Σημειώστε ότι οτιδήποτε λιγότερο από το DH-2048 θα πρέπει να αποφεύγεται λόγω της ευαισθησίας στην επίθεση logjam.

Το κύριο πλεονέκτημα μιας χειραψίας Diffie-Hellman πάνω από το RSA είναι ότι παρέχει εγγενώς μυστική μπροστινή μυστικότητα. Όπως έχει ήδη αναφερθεί, όμως, η απλή προσθήκη μιας ανταλλαγής πλήκτρων DH σε μια χειραψία RSA επιτυγχάνει ένα παρόμοιο τέλος.

Ο Diffie-Hellman προκάλεσε τεράστια διαμάχη για την επαναχρησιμοποίηση ενός περιορισμένου συνόλου πρώτων αριθμών. Αυτό το καθιστά ευάλωτο στο να σπάσει ένας ισχυρός αντίπαλος, όπως ο NSA. Το Diffie-Hellman από μόνο του, επομένως, δεν κάνει για ασφαλή κρυπτογράφηση χειραψίας. Είναι εντάξει, ωστόσο, όταν χρησιμοποιείται ως τμήμα μιας σουίτας κρυπτογράφησης RSA.

Η ελλειπτική καμπύλη Diffie-Hellman (ECDH) είναι μια νεότερη μορφή κρυπτογραφίας που δεν είναι ευάλωτη σε αυτήν την επίθεση. Αυτό συμβαίνει επειδή χρησιμοποιεί τις ιδιότητες ενός συγκεκριμένου τύπου αλγεβρικής καμπύλης αντί για μεγάλους πρώτους αριθμούς για την κρυπτογράφηση των συνδέσεων.

Το ECDH μπορεί να χρησιμοποιηθεί ως μέρος μιας χειραψίας RSA για την παροχή μυστικής μπροστινής μυστικότητας ή μπορεί κρυφά να κρυπτογραφήσει μια χειραψία από μόνη της (με υπογραφή ECDSA). Αυτό παρέχει επίσης PFS.

Το μήκος του κλειδιού ECDH ξεκινά από τα 384-bit. Αυτό θεωρείται ασφαλές, αλλά όταν χρησιμοποιείται μόνη της για να εξασφαλίσει μια χειραψία TLS, όσο μακρύτερα τόσο καλύτερα (από την άποψη της ασφάλειας, έτσι κι αλλιώς).

Έλεγχος ταυτότητας Hash SHA

Αυτό αναφέρεται επίσης ως κωδικός επαλήθευσης ταυτότητας δεδομένων ή κώδικας επαλήθευσης αλληλογραφίας (HMAC).

Ο αλγόριθμος ασφαλούς κατακερματισμού (SHA) είναι μια κρυπτογραφική λειτουργία κατακερματισμού που χρησιμοποιείται (μεταξύ άλλων) για τον έλεγχο ταυτότητας δεδομένων και συνδέσεων SSL / TLS. Αυτό περιλαμβάνει συνδέσεις OpenVPN.

Δημιουργεί ένα μοναδικό αποτύπωμα ενός έγκυρου πιστοποιητικού TLS, το οποίο μπορεί να επικυρωθεί από οποιοδήποτε πρόγραμμα-πελάτη OpenVPN. Ακόμα και η ελάχιστη αλλαγή είναι ανιχνεύσιμη. Εάν το πιστοποιητικό παραβιαστεί, αυτό θα εντοπιστεί αμέσως και η σύνδεση θα απορριφθεί.

Αυτό είναι σημαντικό στην παρεμπόδιση μιας επίθεσης του ανθρώπου στη μέση (MitM), όπου ένας αντίπαλος προσπαθεί να εκτρέψει τη σύνδεση OpenVPN σε έναν από τους δικούς του διακομιστές αντί στον παροχέα VPN. Θα μπορούσε να το κάνει αυτό, για παράδειγμα, χάρη στον δρομολογητή σας.

Αν ένας αντίπαλος μπορεί να σπάσει το hash του γνήσιου πιστοποιητικού TLS του παροχέα σας, μπορεί να αντιστρέψει το hash για να δημιουργήσει ένα πλαστό πιστοποιητικό. Το λογισμικό Open VPN θα επαληθεύσει τη σύνδεση ως γνήσια.

Είναι το SHA Secure?

Όταν χρησιμοποιείται για την προστασία των ιστότοπων HTTPS, το SHA-1 σπάει. Αυτό είναι γνωστό εδώ και αρκετό καιρό. Οι ιστότοποι SHA-1 μπορούν να βρεθούν ακόμα, αλλά καταργούνται. Τα περισσότερα προγράμματα περιήγησης θα εκδώσουν τώρα μια προειδοποίηση όταν προσπαθείτε να συνδεθείτε σε έναν ιστότοπο που είναι ασφαλισμένος με SHA-1.

Οι SHA-2 και SHA-3 λειτουργίες hash τώρα συνιστώνται και είναι ασφαλείς. Το SHA-2 περιλαμβάνει SHA-256, SHA-384 και SHA-512. Ωστόσο…

Το OpenVPN χρησιμοποιεί μόνο SHA για HMAC. Δεν νομίζω ότι είναι χρήσιμο να αναφερθούμε εδώ, αλλά η εξακρίβωση της κατακερματισμού SHA είναι μέρος του αλγορίθμου HMAC. Η επίθεση του HMAC που είναι ενσωματωμένη στο SHA-1 είναι πολύ πιο δύσκολη από την απλή επίθεση στη συνάρτηση κατακερματισμού SHA-1.

Με άλλα λόγια, το HMAC SHA-1 όπως χρησιμοποιείται από το OpenVPN θεωρείται ασφαλές και υπάρχει Μαθηματική απόδειξη αυτού. Φυσικά, τα HMAC SHA-2 και HMAC SHA-3 είναι ακόμα ασφαλέστερα! Πράγματι, ο πρόσφατος έλεγχος OpenVPN αναγνωρίζει ότι το HMAC SHA-1 είναι ασφαλές, αλλά συνιστά τη μετάβαση σε HMAC SHA-2 ή HMAC SHA-3.

Σημειώσεις

NIST

AES, RSA, SHA-1 και SHA-2 αναπτύχθηκαν και / ή πιστοποιήθηκαν από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) των Ηνωμένων Πολιτειών. Πρόκειται για ένα σώμα το οποίο με δική του αποδοχή συνεργάζεται στενά με την NSA στην ανάπτυξη των κρυπτογραφημάτων της.

Δεδομένου ότι γνωρίζουμε τώρα τις συστηματικές προσπάθειες της NSA να αποδυναμώσει ή να δημιουργήσει backdoors σε διεθνή πρότυπα κρυπτογράφησης, υπάρχει κάθε λόγο να αμφισβητηθεί η ακεραιότητα των αλγορίθμων NIST.

Το NIST, βέβαια, αντικρούει έντονα τέτοιους ισχυρισμούς:

"Το NIST δεν θα εξασθενούσε σκόπιμα ένα κρυπτογραφικό πρότυπο."

Έχει επίσης καλέσει τη συμμετοχή του κοινού σε μια σειρά προτεινόμενων προτεινόμενων προτύπων κρυπτογράφησης, σε μια κίνηση που αποσκοπεί στην ενίσχυση της εμπιστοσύνης του κοινού.

Ωστόσο, οι New York Times κατηγόρησαν την NSA για την καταστρατήγηση των προτύπων κρυπτογράφησης που έχουν εγκριθεί από το NIST, είτε με την εισαγωγή μη ανιχνεύσιμων παρασκηνίων είτε με την ανατροπή της διαδικασίας δημόσιας ανάπτυξης για την αποδυνάμωση των αλγορίθμων.

Αυτή η δυσπιστία ενισχύθηκε περαιτέρω όταν η RSA Security (τμήμα της EMC) ενημέρωσε τους πελάτες να σταματήσουν να χρησιμοποιούν έναν αλγόριθμο κρυπτογράφησης ο οποίος σύμφωνα με πληροφορίες περιέχει ένα ελάττωμα που σχεδιάστηκε από την NSA. Αυτός ο αλγόριθμος είχε επίσης εγκριθεί από την NIST.

Επιπλέον, ο Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator) είναι ένα πρότυπο κρυπτογράφησης που κατασκευάστηκε από την NIST. Είναι γνωστό ότι είναι ανασφαλές εδώ και χρόνια.

Το 2006, το Τεχνολογικό Πανεπιστήμιο του Αϊντχόβεν στις Κάτω Χώρες σημείωσε ότι μια επίθεση εναντίον του ήταν αρκετά εύκολη για να ξεκινήσει σε "ένα συνηθισμένο υπολογιστή". Οι μηχανικοί της Microsoft υπέδειξαν επίσης ένα ύποπτο backdoor στον αλγόριθμο.

Παρά τις ανησυχίες αυτές, όπου η NIST οδηγεί, η βιομηχανία ακολουθεί. Η Microsoft, η Cisco, η Symantec και η RSA περιλαμβάνουν όλοι τον αλγόριθμο στις κρυπτογραφικές βιβλιοθήκες του προϊόντος τους. Αυτό συμβαίνει σε μεγάλο βαθμό επειδή η συμμόρφωση με τα πρότυπα NIST αποτελεί προϋπόθεση για τη λήψη κρατικών συμβάσεων στις ΗΠΑ.

Τα πιστοποιημένα κρυπτογραφικά πρότυπα της NIST είναι σχεδόν παντού παγκοσμίως, σε όλους τους τομείς της βιομηχανίας και των επιχειρήσεων που βασίζονται στην προστασία της ιδιωτικής ζωής. Αυτό κάνει όλη την κατάσταση μάλλον ψύξη.

Ίσως ακριβώς επειδή βασίζονται σε αυτά τα πρότυπα, οι εμπειρογνώμονες της κρυπτογράφησης δεν είναι πρόθυμοι να αντιμετωπίσουν το πρόβλημα.

AES-CBC vs AES-GCM

Μέχρι πρόσφατα, ο μόνος κωδικός AES που πιθανότατα συναντήσατε στον κόσμο VPN ήταν ο AES-CBC (Cipher Block Chaining). Αυτό αναφέρεται στη λειτουργία μπλοκ κρυπτογράφησης, ένα σύνθετο θέμα που δεν αξίζει πραγματικά να εισέλθει εδώ. Παρόλο που η CBC μπορεί θεωρητικά να έχει κάποια ευπάθεια, η γενική συναίνεση είναι ότι η ΚΤΚ είναι ασφαλής. Η CBC συνιστάται πράγματι στο εγχειρίδιο του OpenVPN.

Το OpenVPN υποστηρίζει τώρα επίσης το AES-GCM (Galios / Counter Mode).

  • Το GCM παρέχει έλεγχο ταυτότητας, καταργώντας την ανάγκη για λειτουργία καταστροφής HMAC SHA.
  • Είναι επίσης ελαφρώς ταχύτερη από τη CBC επειδή χρησιμοποιεί επιτάχυνση υλικού (με σπειρώματα σε πολλούς πυρήνες επεξεργαστών).

Το AES-CBC παραμένει ο πιο συνηθισμένος τρόπος γενικής χρήσης, αλλά τώρα αρχίζουμε να αντιμετωπίζουμε το AES-GCM "στην άγρια ​​φύση." Δεδομένων των πλεονεκτημάτων της GCM, αυτή η τάση είναι πιθανό να συνεχιστεί. Από κρυπτογραφική άποψη, τόσο η AES-CBC όσο και η AES-GCM είναι πολύ ασφαλείς.

OpenVPN UDP έναντι OpenVPN TCP

Το OpenVPN μπορεί να τρέξει μέσω TCP (πρωτόκολλο ελέγχου μετάδοσης) ή UDP (User Datagram Protocol).

  • TCP = αξιόπιστο. Κάθε φορά που ένας υπολογιστής στέλνει ένα πακέτο δικτύου χρησιμοποιώντας το TCP, περιμένει να επιβεβαιώσει ότι το πακέτο έχει φτάσει πριν από την αποστολή του επόμενου πακέτου. Αν δεν ληφθεί επιβεβαίωση, θα ξαναστείλει το πακέτο. Αυτό είναι γνωστό ως διόρθωση σφαλμάτων. Υπάρχει "εγγυημένη παράδοση" όλων των δεδομένων, αλλά μπορεί να είναι αρκετά αργή.
  • UDP = γρήγορη. Χρησιμοποιώντας το UDP, δεν γίνεται τέτοια διόρθωση σφάλματος. Τα πακέτα αποστέλλονται και λαμβάνονται απλώς χωρίς επιβεβαιώσεις ή επαναλήψεις. Αυτό καθιστά το UDP πολύ πιο γρήγορα από το TCP, αλλά λιγότερο αξιόπιστο.

Εάν δοθεί η επιλογή, σας προτείνω να χρησιμοποιήσετε το γρηγορότερο πρωτόκολλο UDP, εκτός και αν αντιμετωπίσετε προβλήματα σύνδεσης. Αυτή είναι η προεπιλεγμένη στρατηγική που υιοθετήθηκε από τους περισσότερους παρόχους VPN.

Καταπολέμηση λογοκρισίας με το OpenVPN στη θύρα TCP 443

Ένα από τα μεγάλα πλεονεκτήματα του OpenVPN είναι ότι μπορεί να εκτελεστεί σε οποιαδήποτε θύρα, συμπεριλαμβανομένης της θύρας TCP 443. Αυτή είναι η θύρα που χρησιμοποιείται από το HTTPS, το κρυπτογραφημένο πρωτόκολλο που ασφαλίζει όλους τους ασφαλείς ιστότοπους.

Χωρίς HTTPS, δεν θα ήταν δυνατή καμία μορφή ηλεκτρονικού εμπορίου, όπως αγορές ή τραπεζικές συναλλαγές. Επομένως, είναι πολύ σπάνιο να αποκλειστεί αυτή η θύρα.

Ως μπόνους, η κυκλοφορία VPN στη θύρα TCP 443 μπορεί να δρομολογηθεί μέσα στην κρυπτογράφηση TLS με τον ίδιο τρόπο που χρησιμοποιείται από το HTTPS. Αυτό καθιστά πολύ πιο δύσκολο να εντοπιστεί χρησιμοποιώντας προηγμένες τεχνικές επιθεώρησης Deep Packet. Επομένως, η θύρα TCP 443 είναι η προτιμώμενη θύρα για την αποφυγή δεσμών VPN.

Πολλοί πάροχοι VPN προσφέρουν τη δυνατότητα να αλλάξουν τον αριθμό θύρας που χρησιμοποιεί το OpenVPN χρησιμοποιώντας το προσαρμοσμένο λογισμικό τους.

Ακόμη και αν δεν συμβαίνει αυτό, πολλοί πάροχοι VPN υποστηρίζουν πραγματικά το OpenVPN χρησιμοποιώντας τη θύρα TCP 443 σε επίπεδο διακομιστή. Μπορείτε να μεταβείτε σε αυτήν με μια απλή επεξεργασία στο αρχείο διαμόρφωσης OpenVPN (.ovpn). Ως εκ τούτου, αξίζει να ζητήσετε από τον πάροχο VPN σας σχετικά με αυτό.

Αξίζει να σημειωθεί ότι οι μηχανικοί δικτύων αντιπαθούν αυτή την τακτική, καθώς το TCP μέσω TCP είναι πολύ αναποτελεσματικό. Όμως, όταν πρόκειται να νικήσουμε τη λογοκρισία, λειτουργεί συχνά.

Το SSTP χρησιμοποιεί τη θύρα TCP 443 από προεπιλογή.

Περιλήψεις

Πρωτόκολλα VPN

  • PPTP είναι πολύ επισφαλής και θα πρέπει να αποφεύγεται. Ενώ η ευκολία εγκατάστασης και η συμβατότητα μεταξύ των πλατφορμών είναι ελκυστικά, το L2TP / IPsec έχει τα ίδια πλεονεκτήματα και είναι πολύ πιο ασφαλές.
  • L2TP / IPsec είναι μια καλή λύση VPN για μη κρίσιμη χρήση. Αυτό ισχύει ιδιαίτερα στις παλαιότερες συσκευές που δεν υποστηρίζουν το OpenVPN. Έχει, εντούτοις, σοβαρό κίνδυνο από την NSA.
  • SSTP προσφέρει τα περισσότερα από τα πλεονεκτήματα του OpenVPN, αλλά είναι πρωτίστως μόνο ένα πρωτόκολλο των Windows. Αυτό σημαίνει ότι είναι καλύτερα ενσωματωμένο στο λειτουργικό σύστημα, αλλά υποστηρίζεται ανεπαρκώς από παρόχους VPN χάρη σε αυτόν τον περιορισμό. Εκτός από αυτό, η ιδιόκτητη φύση του και το γεγονός ότι δημιουργήθηκε από τη Microsoft σημαίνει ότι εγώ, για ένα, δεν το εμπιστεύομαι.
  • IKEv2 είναι ένα πολύ καλό (ασφαλές και γρήγορο) πρωτόκολλο. Συγκεκριμένα, οι χρήστες κινητής τηλεφωνίας ενδέχεται να προτιμούν το OpenVPN, λόγω της βελτιωμένης δυνατότητάς του να επανασυνδεθεί όταν διακόπτεται η σύνδεση στο διαδίκτυο. Για τους χρήστες Blackberry, είναι σχεδόν η μόνη διαθέσιμη επιλογή. Χρησιμοποιήστε εκδόσεις ανοιχτού κώδικα όπου είναι δυνατόν.
  • OpenVPN είναι το συνιστώμενο πρωτόκολλο VPN στις περισσότερες περιπτώσεις. Είναι γρήγορο, αξιόπιστο, ασφαλές και ανοιχτό. Δεν έχει πραγματικά μειονεκτήματα, per se., Αλλά για να είναι πραγματικά ασφαλής, είναι σημαντικό να εφαρμόζεται καλά. Αυτό σημαίνει ισχυρή κρυπτογράφηση με Perfect Forward Secrecy.

Κρυπτογράφηση OpenVPN

Όταν πρόκειται για κρυπτογράφηση, ο διάβολος βρίσκεται στις λεπτομέρειες. Είναι σύνηθες να βλέπει κανείς ότι οι πάροχοι VPN λένε ότι χρησιμοποιούν κρυπτογράφηση AES OpenVPN "εξαιρετικά ισχυρό 256-bit", αλλά αυτό δεν μας λέει στην πραγματικότητα. Το AES-256 είναι πράγματι ένας ισχυρός κρυπτογράφος, αλλά αν άλλες πτυχές της σουίτας κρυπτογράφησης που χρησιμοποιούνται είναι αδύναμες, τότε τα δεδομένα σας δεν θα είναι ασφαλή.

  • Κρυπτογράφημα - αυτό προστατεύει τα πραγματικά δεδομένα σας. Το AES-256 είναι πλέον το βιομηχανικό πρότυπο και συνιστάται.
  • Χειραψία - αυτό ασφαλίζει τη σύνδεσή σας με το διακομιστή VPN. RSA-2048 + ή ECDH-384 + είναι ασφαλή. Σημαντικά είναι οι χειραψίες του RSA-1024 και του Diffie-Hellman δεν.
  • Έλεγχος ταυτότητας Hash - δημιουργεί ένα μοναδικό δακτυλικό αποτύπωμα, το οποίο χρησιμοποιείται για την επικύρωση δεδομένων και πιστοποιητικών TLS (δηλαδή, για να ελέγξετε ότι ο διακομιστής με τον οποίο συνδέεστε είναι αυτός που νομίζετε ότι συνδέεστε). Το HMAC SHA-1 είναι εντελώς λεπτό, αλλά τα HMAC SHA-2 (SHA-256, SHA-384 και SHA-512) και HMAC SHA-3 είναι ακόμα πιο ασφαλή! Σημειώστε ότι ο έλεγχος ταυτότητας κατακερματισμού δεν απαιτείται εάν χρησιμοποιείται ο κρυπτογράφος AES-GCM.
  • Perfect Forward Secrecy (PFS) - αυτό εξασφαλίζει ότι δημιουργούνται νέα κλειδιά κρυπτογράφησης για κάθε σύνοδο. Το OpenVPN δεν πρέπει να θεωρείται ασφαλές εκτός εάν εφαρμοστεί το PFS. Αυτό μπορεί να γίνει είτε με την εισαγωγή ανταλλαγής κλειδιών Diffie-Hellman ή ECDH σε χειραψία RSA είτε με χειραψία DH ή ECDH.
  • Η κρυπτογράφηση είναι εξίσου ασφαλής με το πιο αδύναμο σημείο της. Αυτό σημαίνει ότι οι ρυθμίσεις κρυπτογράφησης πρέπει να είναι ισχυρές τόσο στα δεδομένα όσο και στα κανάλια ελέγχου.
  • Χρησιμοποιώντας τα μεγαλύτερα μήκη μπιτ για τα πλήκτρα και τα πλήκτρα είναι σχεδόν πάντα πιο ασφαλές, αλλά αυτό συμβαίνει με κόστος σε ταχύτητα.

Το OpenVPN θα διαπραγματεύεται κρυφά μεταξύ πελάτη και διακομιστή κατά βούληση. Εάν δεν έχουν οριστεί πολύ συγκεκριμένες παράμετροι, το OpenVPN ενδέχεται να προεπιλέξει τις αδύναμες ρυθμίσεις. Τουλάχιστον, το OpenVPN θα έχει προεπιλεγμένη κρυπτογράφηση Blowfish-128, χειραψία RSA-1024 χωρίς PFS και εξακρίβωση HashAC SHA-1 Hash.

συμπέρασμα

Ας ελπίσουμε ότι τώρα έχετε καλύτερη κατανόηση του τι κάνει για μια ασφαλή σύνδεση VPN. Όταν πρόκειται για τη σωστή διαμόρφωση ενός VPN, ωστόσο, η κρυπτογράφηση είναι μόνο η μισή ιστορία. Το άλλο μισό εξασφαλίζει ότι δεν εισέρχεται ή δεν εξέρχεται κυκλοφορία από τον υπολογιστή εκτός σύνδεσης VPN.

Για να μάθετε περισσότερα σχετικά με αυτό, ανατρέξτε στον πλήρη Οδηγό μας για διαρροές IP.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me