Ключ vpn что это
Перейти к содержимому

Ключ vpn что это

  • автор:

VPN: ключи, шифрование, hmac, key exchange

До того как мы приступим непосредственно к внедрению IPsec VPN, поговорим о технологиях, на которые он будет опираться, предоставляя защиту трафику: ключи, шифрование, аутентификация пакетов, обмен ключами, методы аутентификации пользователей и устройств.

Ключи

Ключи используются в таких критически важных функциях VPN как: шифрование, проверка целостности пакета, аутентификация.

Ключи бывают двух видов – симметричные и асимметричные.

Симметричный ключ, это единый ключ, который используется для защиты информации. Алгоритм шифрования использует его и для шифрования, и для дешифрования, что делает подобные алгоритмы быстрыми, но менее криптостойкими. К таким алгоритмам относятся DES, 3DES, AES, RC4 и другие.

Устройства на двух концах VPN сессии должны знать о симметричном ключе, который будет использоваться в процессе перед тем, как защищать какую-либо информацию, что может быть достигнуто следующими путями:

  • pre-shared ключи – обмен ключами, что называется, out-of-band
  • с использованием защищенного соединения (catch-22 ситуация) – чтобы установить безопасное подключение вам нужны ключи, а чтобы получить ключи вам нужно безопасное соединение 🙂

Асимметричные ключи – это уже пара ключей, состоящая из открытых (public) и закрытых (private) ключей. Закрытый ключ, в отличии от открытого, держится в секрете и не сообщается никому другому. За формирование пары ключей отвечает специальный алгоритм.

В процессе шифрования между маршрутизаторами R1 и R2 устройства создают пару ключей, обмениваются открытыми ключами. R1 отправляет открытый ключ на R2, R2, используя его, шифрует информацию, которую следует отправить на R1, затем R1, используя закрытый ключ, расшифровывает полученную информацию. Даже если злодей получил открытый ключ расшифровать полезную нагрузку он все равно будет не в состоянии.

Примерами могут служить такие алгоритмы как RSA, DSA, DH.

Шифрование

Есть процесс трансформации информации в такую форму, из которой ее невозможно было бы обратно извлечь без знания ключа или ключей, которые использовались в процессе трансформации.

Процесс шифрования описывает какие ключи (симметричные или ассиметричные) будут использоваться. Не смотря на то, что устройства используют отдельные модули для разгрузки CPU, процесс шифрования ассиметричными ключами намного более требователен к ресурсам.

Алгоритмы шифрования DES/3DES и AES

DES/3DES изначально разработанный IBM алгоритм Lucifer, который в процессе модификаций превратился в стандарт. DES – блочный алгоритм шифрования с эффективной длинной ключа в 56 бит.

Из-за низкой криптостойкости на смену ему в 1999 был создан 3DES, суть которого состоит в том, что информация трижды прогоняется через алгоритм DES тремя разными 56ю битовыми ключами (результирующая эффективная длина ключа – 168 бит).

Преимуществами DES/3DES являются быстрая скорость шифрования и дешифрования, простота реализации алгоритмов с ПО и железе, однако на данный момент существую алгоритмы новее, которые и быстрее и безопаснее чем 3DES. AES, как пример.

AES (Advanced Encryption Standard) – так же является симметричным блочным шифром, поддерживающим длину ключа в 128, 192 и 256 бит. Является более щадящим к ресурсам чем тот же 3DES.

Аутентификация пакетов

Используется с целью проверки подлинности пакетов, а так же отвечает за аутентификацию источника информации.

Осуществляется это с помощью HMAC (Hashing Message Authentication Codes) функций, которые являются подмножеством хэш-функций. HMAC функции используют симметричный общий ключ, для создания определённого значения – fingerprint, чтобы исключить ситуацию когда злодей перехватывает пакет и с помощью одного лишь MD5 пытается подписать изменённую информацию.

Происходит это следующим образом:

  1. Источник берет информацию, ключ, известный получателю, и прогоняет все это дело через HMAC функцию.
  2. Выхлоп HMAC и есть цифровая подпись пакета – fingerprint (в IPsec VPN это называется Integrity Checksum Value – ICV).
  3. Источник отправляет информацию и fingerprint получателю.
  4. Получатель производит те же действия с информацией, что и отправитель в пункте 1.
  5. Если fingerprint полученный в процессе выполнения пункта 3 и fingerprint полученный в процессе выполнения пункта 4 совпадают, то все хорошо.

Примерами HMAC функций являются MD5 и SHA.

Применяется это повсеместно в протоколах динамической маршрутизации, ведь мало кому хочется, чтобы злодей нарушил связность, обновив таблицу маршрутизации неверной информацией, или того хуже объявил себя маршрутом по умолчанию.

Меня всегда интересовал другой вопрос – зачем проверять уже зашифрованное сообщение?

Как оказалось HMAC алгоритмы используют во много раз меньше ресурсов, из-за чего вызвать отказ в обслуживании с помощью «левых» пакетов, заставляя оборудование их расшифровывать будет значительно труднее. Поясню на примере:

Если в процессе сверки на стадии 4 выяснится что fingerprint не соответствует зашифрованному пакету, то и расшифровывать его не надо.

Обмен общим HMAC ключом

Понятное дело, нельзя отправить этот ключ открытым текстом, так как теряется весь смысл HMAC. Опять же, можно использовать out-of-band обмен или обмен ключами по уже зашифрованному каналу.

HMAC fingerprint и NAT/PAT

Помните, в предыдущей статье, мы говорили о проблемах преодоления NAT/PAT IPsec протоколами AH и ESP? Информация, которая может изменится в процессе трансляции (IP, TTL, TOS поля, номера портов) просто не включается в алгоритм формирования HMAC fingerprint.

Обмен ключами

Помните дилемму? Чтобы начать обмен информацией по зашифрованному каналу, надо сначала обменяться ключами для создания зашифрованного канала и ключи, желательно, передать в сохранности. Читай – не обычным текстом. Сделать это можно с помощью:

  • Pre-shared key
  • Один из вариантов решения проблемы – использовать заранее оговоренные ключи и передать их администраторам другого узла по телефону или почте, или же вбить руками самому тем или иным образом.
  • Уже существующих безопасных соединений
  • Сходить на железку по SSH.
  • Зашифровать ключ с помощью ассиметричных алгоритмов шифрования.

Но тут встает другая проблема – жадные до ресурсов ассиметричные алгоритмы шифрования при передаче большого объема траффика позволят устройству обрабатывать потом в разы меньший поток, чем при использовании симметричных, по этому… мы будем использовать ассиметричные алгоритмы шифрования для того, чтобы обмениваться симметричными ключами 🙂

Алгоритм Diffie-Hellman (DH)

DH обычно не используется для шифрования данных, однако, как указано выше, используется различными реализациями VPN для обмена общими ключами через сети с низким уровнем доверия (интернет).

Как он работает:

  1. Каждое из двух устройств рассказывает информацию, которая поможет им создать собственные пары открытых и закрытых ключей. Этот шаг важен потому, что DH поддерживает разные длины ключей, который называются DH groups. Как только устройства на обоих концах согласовали длину ключа создаются пары открытых и закрытых ключей.
  2. Каждое из устройств обменивается открытыми ключами с соседом.
  3. Каждое из устройств берет свой закрытый ключ и открытый ключ соседа и запускает алгоритм DH.
  4. Фишка алгоритма в том, что не смотря на то, что информация различается на обоих концах результат будет одинаков.
  5. Теперь можно зашифровать симметричных ключ с помощью ключа, полученного в процессе работы алгоритма DH и отправить его соседу не беспокоясь о том, что он может быть расшифрован 3ей стороной.
  6. Когда принимающая сторона получила симметричный ключ в целостности и сохранности и расшифровала его с помощью алгоритма DH можно начинать обмен данными, с использованием быстрых симметричных алгоритмов шифрования.

Некоторые DH группы и длина ключа:

  • DH 1 – 768 бит
  • DH 2 – 1024 бит
  • DH 5 – 1536 бит
  • DH 14 – 2048 бит
  • DH 15 – 3072 бит

Одно из преимуществ ассиметричных алгоритмов состоит в том, что закрытый ключ никогда не передается по сети, по этому злодей, даже получив доступ к открытому ключу будет не в состоянии расшифровать передаваемую информацию. Однако такая передача уязвима к атакам типа «человек посередине» («man in the middle»).

К примеру, R1 хочет передать зашифрованный симметричный ключ R2, однако вместо R2 на предложение инициировать обмен ключами по алгоритму DH отвечает злоумышленник. Другими словами помимо обеспечения безопасности передачи по алгоритму DH необходимо еще каким-то образом ответит на вопрос – «является ли R2 тем, за кого он себя выдает»?

Аутентификация устройств встречается и в l2l и в remote access VPN. Осуществляется либо с помощью pre-shared ключей, либо с помощью цифровых сертификатов.

Аутентификация пользователей свойственна именно remote access VPN-ам, обычно используется совместно с аутентификацией устройств. Осуществляется с помощью pre-shared (обычный пароль) ключей и сервисам подобным OTP (one time password).

Аутентификация устройств: pre-shared симметричные ключи

Наиболее простой и часто встречающийся случай когда устройства проводят аутентификацию друг друга с помощью pre-shared ключей, обмен которыми был произведен заранее, out-of-band. Процесс аутентификации использует либо алгоритм шифрования, либо HMAC функцию.

И в том и в другом случае берется какой-то набор сведений об устройствах (IP, hostname, serial no. + pre-shared key), прогоняется через алгоритм шифрования или HMAC функцию и отправляется соседу. Сосед расшифровывает или прогоняется через HMAC и сравнивается с fingerprint. Если все совпадает, то факт соседства можно считать установленным.

Аутентификация устройств: pre-shared асимметричные ключи

С ассиметричными ключами так же имеет место обмен out-of-band, только вместо pre-shared ключей соседи будут меняться открытыми ключами. В конечном итоге маршрутизаторы-соседи R1 и R2 будут иметь следующий набор:

R1: R1 public key, R1 private key, R2 public key

R2: R2 public key, R2 private key, R1 public key

Далее, к примеру, R1 берет информацию о себе, R1 private key и шифруя это, передает в последствии in-band на R2, где R2 расшифровывает информацию с использованием R1 public key.

Еще одним методом аутентификации является аутентификация с использованием цифровых сертификатов. Я на нем подробно останавливаться не буду.

Что такое VPN-протоколы и какие они бывают

В тексте рассказываем, что такое VPN-протоколы, какие решения доступны на рынке и что лучше использовать.

Изображение записи

Что такое VPN

VPN (Virtual Private Network) — это один из способов подключения к сети, когда между устройством и удаленным хостом создается защищенное соединение.

По мере того, как компании переносят свои данные и приложения в облако, потребность в виртуальной частной сети (VPN) становится скорее необходимостью, чем опцией. В том числе из-за того, что мошенники стали целенаправленно атаковать российские компании. А последние — использовать разные способы для повышения безопасности своей инфраструктуры.

Сценарии использования VPN

  • Удаленный доступ. Сотрудники компаний используют VPN для удаленной работы с корпоративными ресурсами.
  • Транспортные тоннели. Между разными сегментами сети можно построить канал для передачи данных. Например, соединить офис в Москве и Санкт-Петербурге.

Что такое VPN-протокол

Протоколы VPN — это специальные правила, определяющие порядок работы виртуальной частной сети. Они отвечают за процессы аутентификации устройств, способы передачи данных, безопасность используемых алгоритмов и приватность соединения.

VPN-протокол состоит из туннелирования и шифрования. Протокол туннелирования создает соединение между вашим устройством и VPN-сервером, а протокол шифрования — шифрует данные, чтобы никто не смог перехватить или подделать их.

Как работают VPN-протоколы

  1. Пользователь выбирает сервер в сервисе VPN и подключается к нему со своего устройства.
  2. VPN-сервис создает зашифрованный туннель между клиентом и сервером. В нем шифрует передаваемые данные с помощью протокола.
  3. VPN-сервер получает и расшифровывает трафик. Для этого он использует специальные ключи шифрования.
  4. VPN-сервер заменяет информацию о пользователе на свою и перенаправляет на целевой сайт клиентский запрос, с которым нужно установить соединение.
  5. VPN-сервер получает ответ, шифрует и перенаправляет его пользователю. Для расшифровки данных VPN-клиент и сервер используют специальные ключи шифрования.

Виды VPN-протоколов

Даже у самых надежных VPN-протоколов есть свои плюсы и минусы — невозможно точно остановиться на одном варианте. Некоторые из них быстрее, другие более безопасны, а третьи проще в настройке. Поэтому перед выбором VPN-протокола важно определить свои личные потребности.

PPTP

PPTP (Point-to-Point Tunneling Protocol) — один из первых VPN-протоколов. Компания Microsoft разработала его для коммутируемых сетей в Windows 95 и Windows NT. Примитивное шифрование делает его сверхбыстрым, но из-за этого страдает безопасность в интернете. К сожалению, он не дожил до наших дней и в настоящее время считается устаревшим.

PPTP использует протокол MPPE (Microsoft Point-to-Point Encryption) с ключами длиной до 128 бит. Для аутентификации он может использовать либо MS-CHAPv1, либо MS-CHAPv2. Совокупность этих факторов делает его открытым к разным атакам: от перебора до подмены битов.

Низкоуровневое шифрование делает PPTP одним из самых быстрых VPN-протоколов. Шифрование обычно замедляет скорость соединения, но у PPTP он слишком мал, чтобы вызвать значительную разницу.

SSTP

SSTP (Secure Socket Tunneling Protocol) — еще один протокол от Microsoft, который впервые появился в Windows Vista. Его изначально рассматривали как преемника PPTP и L2TP, поэтому SSTP можно найти в более поздних версиях Windows. По уровню безопасности он практически не уступает OpenVPN и способен обходить межсетевые экраны.

SSTP использует SSL-протокол, инкапсулирует пакеты данных по HTTPS и поддерживает шифрование AES-256. Дополнительно может подключаться к TCP-порту 443, что делает его трудноблокируемым протоколом. Сам протокол подвержен TCP meltdown, когда один протокол накладывается поверх другого. Например, более медленное внешнее соединение заставляет верхний уровень ставить в очередь больше повторных передач, чем способен обработать нижний уровень. Это приводит к задержкам и проблемам с передачей данных.

Относительно скорости SSTP работает быстрее других протоколов. Однако он требует большей пропускной способности и мощного процессора.

IPsec

IPsec VPN — это набор протоколов, который защищает соединение между устройствами на уровне IP. Существует два режима работы IPsec: туннельный и транспортный.

Туннельный режим. IPsec VPN шифрует исходный IP-пакет и инкапсулирует его в новый заголовок. Туннель прокладывается между парой шлюзов — например, двумя маршрутизаторами или маршрутизатором и межсетевым экраном. Аутентификация выполняется на обоих концах соединения, путем добавления к пакету заголовка. В транспортном режиме шифруется только полезная нагрузка IP-пакета без начального заголовка.

Туннельный режим обычно безопаснее транспортного, поскольку шифрует не только полезную нагрузку, но и весь IP-пакет.

Транспортный режим. Он отличается от туннельного методом инкапсуляции: шифрует только данные, а заголовок IP оставляет без изменений. Поэтому транспортный режим менее безопасный.

Ядро IPSec базируется на трех протоколах:

  • Authentication Header (AH) обеспечивает аутентификацию и поддерживает целостность данных,
  • ESP или Encapsulating Security Payload отвечает за шифрование трафика,
  • ISAKMP или Internet Security Association and Key Management Protocol отвечает за обмен ключами и аутентификацию конечных хостов.
L2TP/IPsec

L2TP (Layer 2 Tunneling Protocol) появился в 1999 году как преемник PPTP. Для этого Microsoft и Cisco объединили два протокола — PPTP и L2F (Layer 2 Forwarding). Однако L2TP не шифрует данные, поэтому эту функцию выполняет IPSec.

L2TP обеспечивает нулевую защиту, поскольку не может защитить полезную нагрузку данных. IPSec же поддерживает шифр AES-256 и, как правило, считается безопасным. Поэтому L2TP инкапсулирует часть трафика, как обычное PPTP-соединение, а вторую обеспечивает IPSec.

L2TP/IPSec использует только три порта (UDP 500/4500 и ESP IP Protocol 50), поэтому брандмауэры смогут довольно просто его заблокировать. По сравнению с другими протоколами, у L2TP/IPsec средняя скорость передачи данных. Однако эта связка довольно ресурсоемкая, поэтому требует хорошее интернет-соединение и неплохие вычислительные мощности.

IPsec/IKEv2

IKEv2 (Internet Key Exchange) разработан Microsoft и Cisco в качестве преемника IKEv1. Как и предыдущий протокол, IKEv2 использует IPSec для шифрования. Протокол популярен среди мобильных пользователей, поскольку отлично справляется с установкой повторного соединения. Несмотря на то, что его разработала компания Microsoft, есть версия IKEv2 с открытым исходным кодом.

Протокол поддерживает несколько алгоритмов шифрования с 256-разрядными ключами: AES, Camellia, 3DES и ChaCha20. А также функцию MOBIKE, которая позволяет пользователям не терять соединение при переключении сетей, и процесс аутентификации на основе сертификатов. Но у протокола есть недостаток: IKEv2 подвержен атаке «человек посередине» из-за IPSec.

IKEv2 работает через UDP-протокол, что обеспечивает низкую задержку и высокую скорость. Эффективный обмен сообщениями типа «запрос-ответ» также играет важную роль. Кроме того, IKEv2 менее требователен к процессору, чем OpenVPN.

OpenVPN

OpenVPN (Open-Source Virtual Private Network) — золотой стандарт в области VPN-протоколов. У него высокая скорость подключения и совместимость с большинством портов. Работает протокол на всех основных платформах, включая Windows, macOS, Linux, Android и iOS. Также есть большое комьюнити, в котором разрабатывают собственные решения на базе OpenVPN.

С точки зрения безопасности OpenVPN опирается на библиотеку OpenSSL и поддерживает разные алгоритмы шифрования: AES, Blowfish и другие. У него есть несколько портов, поэтому VPN-трафик можно замаскировать под обычный браузер.

В плане скорости протокол занимает промежуточное место. Он быстрее, чем L2TP/IPSec, но медленнее, чем PPTP и WireGuard. Однако скорость всегда зависит от устройства и параметров конфигурации. К примеру, его можно увеличить за счет функции раздельного туннелирования или уменьшить с помощью обфускации или двойного шифрования.

В чем разница между UDP и TCP?

OpenVPN использует два протокола: TCP и UDP. Мы о них уже рассказывали, а сейчас подробнее разберем, чем они отличаются.

UDP и TCP устроены по-разному. Например, TCP медленнее, чем UPD. При этом он надежнее из-за контроля передачи пакетов, тогда как UDP может их потерять при передаче. Все потому, что вместо повторной передачи пакетов, как у TCP, он отправляет следующий. Если вам нужен VPN для видеосвязи — используйте UDP, если для серфинга сайтов — TCP.

WireGuard

Протокол появился в 2018 году и успел завоевать большую популярность. Он использует шифр ChaCha20, описанный в RFC 7539, и имеет около четырех тысяч строк кода, что значительно упрощает и ускоряет аудит безопасности. Основной минус: он не умеет динамически назначать IP-адреса пользователям, подключенным к серверу. Поэтому статический IP должен храниться на том же сервере.

WireGuard — самый быстрый по сравнению с другими VPN-протоколами, поскольку не использует туннелирование по TCP в принципе. Linux-системы обеспечивают наилучшую работу протокола с помощью интеграции в модуль ядра.

Lightway

Компании ExpressTechnologies разработала протокол LightWay в качестве аналога Wireguard, но с упором на безопасность и высокую скорость. Его используют как сервис ExpressVPN.

При создании протокола разработчики использовали библиотеку wolfSSL — ее часто можно найти в системах умных домов. Сам по себе LightWay неплохой вариант с точки зрения безопасности. Он передает ключи шифрования через алгоритм Диффи-Хеллмана с применением эллиптических кривых (ECDH) и использует динамическую выдачу IP-адресов для приватности пользователей. В протоколе всего две тысячи строк кода, что облегчает специалистам аудит безопасности. А для любителей «покопаться» есть открытый исходный код.

Lightway занимает лидирующие позиции по скорости передачи данных. В большинстве случае — через UDP вместе с DTLS-протоколом для безопасной передачи датаграмм. При этом можно его использовать в связке TCP и TLS.

SoftEther

SoftEther — многопротокольная VPN-система с открытым исходным кодом. Она поддерживает разные протоколы: SSL, L2TP/IPsec, OpenVPN, MSST и другие. Среди основных функций SoftEther VPN — обход NAT. Его удобно использовать для запуска VPN-серверов на компьютерах с шлюзами, маршрутизаторами и межсетевыми экранами.

SoftEther VPN состоит из трех основных элементов:

  • VPN-сервер для запросов VPN-клиентов. Он принимает внушительное количество VPN-протоколов, включая OpenVPN, L2TP, L2TPv3, IPSec и SSTP.
  • VPN-клиент для подключения VPN-сервера. Необязательно использовать клиент от SoftEther, чтобы подключиться к VPN, — это можно сделать с помощью других клиентов и протоколов. Однако он дает определенные преимущества и удобства.
  • ПО SoftEther VPN bridge. Поддерживает функциональность для пользователей или компаний.

Какой VPN-протокол лучше

Я рассмотрел самые популярные протоколы, чтобы определить их сильные и слабые стороны. В критерии оценивания входят алгоритмы шифрования, сжатие данных, а также особенности самих протоколов и их передачи данных. Скорость работы специально не учитывал, поскольку для каждого соединения она индивидуальная. Например, скорость OpenVPN зависит от размера буфера отправки и приема.

Протокол Безопасность, шифрование Стабильность подключения Совместимость с устройствами
Lightway Высокая, ECDH + wolfSSL Средняя Большинство ОС, т.к. внедрен в ExpressVPN
OpenVPN Высокая, 160/256-бит, TLS с DES, RC2, DESX, BF, CAST, AES Высокая Широкая поддержка ПК и мобильных устройств. Надежные алгоритмы шифрования. Требуется ПО сторонних производителей
PPTP Низкая, 128-бит, MPPE с RSA RC4 Высокая Уверенная поддержка Windows ПК. Слабая безопасность. Полезен для контента с географическими ограничениями
SSTP Высокая, AES 256-бит Средняя Уверенная поддержка Windows. Работает на некоторых дистрибутивах Linux
IPsec/L2TP Высокая, 256-бит, AES или 3DES через IPSec Средняя Поддержка разных устройств и платформ.
IPsec/IKEv2 Высокая, 256-бит, Blowfish, Camellia, 3DES, ChaCha20, AES Высокая Ограниченная поддержка платформ, за исключением Windows. Подходит для мобильных устройств
WireGuard Высокая, ChaCha20, Curve25519, HKDF, BLAKE2, SipHash24 Средняя, но бывают проблемы Поддерживает весь спектр ОС
SoftEther Высокая, 256-бит, можно использовать другие протоколы поверх Высокая Поддержка нескольких десктопных и мобильных ОС. Нет нативных операционных систем. Подходит для мобильных устройств
Совсем небезопасен Наблюдаются проблемы с безопасностью Безопасен Высокий уровень безопасности
PPTP
— устаревший,- легко взломать.
L2TP/IPSec
+ считается безопасным в совокупности с AES- уязвим для атак человек посередине
IKEv2/IPSec
+ быстрый+ хорошо работает на мобильных устройствах- закрытый исходный код
OpenVPN
+ высокая скорость+ золотой стандарт/крайне универсален+ открытый исходный код
SSTP
— уязвим для атаки «человек посередине» на SSLv3- имеет закрытый исходный код
WireGuard
+ открытый исходный код+ высокая скорость и безопасность
SoftEther
+ высокая скорость- требуется ручная настройка

Степень безопасности VPN-протоколов.

У каждого VPN-протокола есть свои преимущества и недостатки с точки зрения безопасности, скорости и простоты использования. Рассмотрим, для каких задач их лучше использовать.

  • Обеспечение безопасности. OpenVPN защищает данные пользователей и поддерживает быструю скорость работы. Однако с последним бывают проблемы.
  • Улучшение пользовательского опыта. WireGuard, как и OpenVPN, подходит для повседневной работы с VPN.
  • Организация кроссплатформенности. Способность IKEv2/IPSec к быстрому подключению делает его отличным решением для мобильных телефонов.
  • Кастомизация VPN. L2TP/IPSec подходит для ручной настройки VPN. Он обеспечивает относительную безопасность и скорость, но уступает более новым решениям.
  • Разработка собственных решений. PPTP прост в настройке, поэтому его стоит рассмотреть, если хотите запустить домашний VPN-сервер. SoftEther поддерживает другие варианты протоколов и открыт для различных экспериментов.
  • Ускорение работы VPN. Lightway отличается высокой скоростью и имеет самую маленькую кодовую базу среди всех VPN-протоколов.

VPN-шифрование (всё что нужно знать)

Для некоторых людей VPN-шифрование — это буквально находка. В принципе, несложно понять почему. Оно помогает вам защитить данные в интернете от киберпреступников и злоупотреблений со стороны правительства и/или провайдеров.

Но вы когда-нибудь задавались вопросом о том, как на самом деле устроено VPN-шифрование? Если вам интересно, то вы оказались в самом подходящем месте. Сегодня мы обсудим ключи шифрования, типы алгоритмов, типы VPN-шифров, VPN-протоколы шифрования и многое другое.

Что такое VPN-шифрование?

По сути, шифрование является способом преобразования данных из читаемого формата в закодированный, нечитаемый формат при помощи алгоритма. Предполагаемый кодированный формат может быть расшифрован только с помощью подходящего ключа для расшифровки.

Если углубиться, то VPN-шифрование можно описать как средство шифрования данных из простого текста (например, ваш интернет-трафик) таким образом, чтобы все остальные не могли его прочитать. Особенно те, кто пытается контролировать вас (например, интернет-провайдер).

Почему VPN-шифрование — это важно?

Во-первых, VPN-шифрование позволяет защитить конфиденциальные данные (например, номера кредитных карт, данные банковского счёта и пароли от учётных записей) от киберпреступников, так как они не смогут подслушивать ваше интернет-соединение, например, при использовании общедоступного Wi-Fi.

Кроме того, VPN-шифрование гарантирует, что правительство, провайдер и рекламодатели не смогут контролировать ваши действия в интернете.

  • Так правительство не сможет навязать вам цензуру или подвергнуть вашу жизнь опасности. Как минимум, у вас не возникнет проблем в странах Ближнего Востока, где многие действия в интернете считаются противозаконными.
  • Это также позволит вам избежать уведомлений DMCA, огромных штрафов и даже тюремного заключения за скачивание торрентов.
  • VPN-шифрование не позволяет провайдеру регулировать пропускную способность, поскольку он не будет видеть, что именно вы делаете в интернете.

Шифрование также не подпустит к вам рекламодателей. Поэтому вероятность получить спам с “персонализированной” рекламой будет значительно ниже, а провайдер не сможет продать ваши онлайн-данные рекламодателям.

Как устроено VPN-шифрование?

Это процесс защиты данных при помощи туннеля между VPN-клиентом и VPN-сервером. VPN-шифрование позволяет вам скрыть свои данные в интернете от посторонних глаз и рук.

Проще говоря, когда вы запускаете VPN-клиент и подключаетесь к VPN-серверу, ваши запросы шифруются перед отправкой на сервер.

Затем они расшифровываются сервером и пересылаются в открытый интернет. Полученные в ответ запрашиваемые данные снова шифруются на сервере, который затем пересылает их на ваше устройство. На вашем устройстве VPN-клиент расшифровывает данные и вы можете их просматривать.

How does a VPN work diagram

Тем не менее, чтобы лучше понять, как в частности работает VPN-шифрование, вам нужно иметь в виду следующее:

  • Ключи шифрования
  • Алгоритмы шифрования
  • Типы шифров VPN-шифрования
  • Протоколы VPN-шифрования
  • Подтверждение связи TLS-handshake
  • Аутентификация HMAC
  • Совершенная прямая секретность

Что такое ключи шифрования?

Ключ VPN-шифрования — это случайная строка битов, используемая для шифрования и расшифровки данных. Каждый ключ шифрования уникален. Длина ключа шифрования исчисляется в битах — как правило, чем длиннее ключ, тем выше уровень шифрования.

Размер ключей шифрования может сильно варьироваться. Например, они могут быть 1-битными, допускающими только две возможные комбинации, или 256-битными, что позволяет в общей сложности 10^77 комбинаций.

Чтобы вы лучше понимали, что это значит, даже Sunway TaihuLight (один из мощнейших суперкомпьютеров, если не самый мощный в мире) потребуется около 885 квадриллионов лет, чтобы подобрать 128-битный ключ шифрования.

В процессе шифрования/расшифровки используются два типа ключей шифрования — закрытый ключ и открытый ключ. Они математически связаны, так как любая информация, зашифрованная с помощью открытого ключа, может быть расшифрована только с помощью связанного с ним закрытого ключа.

Кроме того, открытый ключ обычно находится в публичном доступе, в то время как закрытый ключ (как предполагает его название) остаётся конфиденциальным и известен только владельцу ключа.

Типы алгоритмов шифрования

Когда дело доходит до типов VPN-шифрования, важно различать типы алгоритмов шифрования и типы шифров. Сейчас мы говорим именно о типах алгоритмов, а типы шифров рассмотрим следующем разделе.

Encryption Algorithms

Как правило, алгоритмы шифрования обычно подразделяются на две категории:

  • Симметричное шифрование — алгоритм симметричного шифрования основан на идентичных Открытом и Закрытом ключах. Следовательно, этот алгоритм считается самым быстрым. Одним из примеров симметричного шифрования является шифр AES-шифрования.
  • Асимметричное шифрование — этот тип алгоритма (также известный как криптография с открытым ключом) использует разные ключи для процедур шифрования и расшифровки. Хотя это может быть удобно, это также очень рискованно, поскольку закрытый невозможно восстановить, если он будет утерян. Хорошим примером асимметричного шифрования является протокол RSA (Rivest-Shamir-Adleman).

Что такое шифры VPN-шифрования?

Шифр шифрования — это алгоритм, который используется для выполнения процедуры шифрования и расшифровки. В отличие от ключей шифрования, которые по факту не могут быть взломаны, шифры шифрования имеют свои недостатки, которые позволяют взломать шифрование.

К счастью, такого рода проблем безопасности легко избежать, если использовать сложный шифр вместе с сильным ключом шифрования.

Прежде чем мы обсудим типы VPN-шифров, которые предлагают VPN-Сервисы, давайте запомним вот что — название шифра VPN-шифрования обычно указывается вместе с длиной ключа (например, AES-128).

Также стоит отметить, что когда люди говорят об алгоритмах VPN-шифрования, в большинстве случаев они имеют в виду шифры. Их часто путают с симметричными и асимметричные алгоритмами, о которых говорилось выше. Итак, если кто-то рассказывает об алгоритме Blowfish, то имейте в виду, что речь на самом деле идёт о шифре Blowfish. То же касается и случаев, когда люди в целом говорят о VPN-шифровании — чаще всего, они имеют в виду доступные типы шифров.

Далее мы расскажем об основных типах шифров, которые обычно используют поставщики VPN-услуг:

  • Шифр Blowfish — Blowfish обычно предполагает 128-битный ключ. Хотя это довольно безопасный шифр, многие интернет-пользователи сомневаются в нём. Причиной тому является высказывание разработчика шифра (Брюс Шнайер) о Blowfish в интервью от 2007 года: “Однако я поражён, что он до сих пор пользуется популярностью”.
  • Шифр Twofish — преемник Blowfish. Основное отличие заключается в том, что Twofish имеет 128-битный размер блока вместо 64-битного, как у Blowfish. Это означает, что он не настолько подвержен атакам «дней рождения». Брюс Шнайер также рекомендует использовать Twofish вместо Blowfish.
  • Шифр AES — AES может иметь 128-битные, 192-битные и 256-битные ключи. AES пользуется большой популярностью среди пользователей VPN благодаря своей сертификации NIST и тому, что правительство США также использует этот шифр.
  • Шифр Camellia — некоторые убеждены, что Camellia так же хорош, как AES. Он довольно быстрый и поддерживает 128-битные, 192-битные и 256-битные ключи. Однако поскольку его пока досконально не тестировали на потенциальные уязвимости, а также из-за отсутствия сертификатов, пользователи чаще выбирают AES.
  • Шифр 3DES (также известный как TDEA/Triple DEA) — это стандарт тройного шифрования данных (DES, Data Encryption Standard). Он медленнее Blowfish и поддерживает только 56-битные, 112-битные и 168-битные ключи. Кроме того, как и Blowfish, он имеет 64-битный размер блока, что делает его восприимчивым к атакам “дней рождения”. Также важно учесть, что этот шифр официально выведен из обращения. Его запретят использовать после 2023 года.
  • Шифр MPPE — MPPE расшифровывается как Microsoft Point-to-Point Encryption. Этот шифр часто используется для PPTP-подключений и модемных подключений по телефонной линии. Шифр поддерживает 40-битные, 56-битные и 128-битные ключи.

Шифр RSA — ещё один алгоритм, который можно использовать для безопасной онлайн-коммуникации. Мы решили не добавлять его в список, потому как большинство VPN-Сервисов используют RSA только для установки соединения или так называемого “рукопожатия”, поскольку шифр относительно медленный. Как правило, из-за этого RSA обычно не используется для прямого шифрования пользовательских данных. Стоит отметить, что 1024-битный ключ RSA больше не считается безопасным, а эксперты по безопасности советуют использовать 2048-битный или 4096-битный ключи.

Что такое “рукопожатие” в шифровании?

“Рукопожатие” представляет собой автоматическую коммуникацию между двумя устройствами связи. В основном этот термин описывает процесс установки ключей шифрования между VPN-клиентом и VPN-сервером, которые используются для связи (в данном случае шифрования и расшифровки). В процессе рукопожатия (обычно TLS/SSL) клиент и сервер:

  • Генерируют ключи шифрования.
  • Выбирают VPN-протокол.
  • Подбирают соответствующие алгоритмы шифрования.
  • Аутентифицируют друг друга при помощи цифровых сертификатов.

Как мы уже упоминали выше, для рукопожатий в шифровании обычно используется RSA. Тем не менее, VPN-Сервис также может использовать протокол согласования ключей ECDH (протокол Диффи-Хеллмана на эллиптических кривых) или DH (протокол Диффи-Хеллмана). Чаще используется ECDH, так как DH обычно повторно использует ограниченный набор простых чисел, что делает его более уязвимым перед АНБ.

Что PFS — «совершенная прямая секретность»?

Совершенная прямая секретность (Perfect Forward Secrecy, Forward Secrecy) — это функция различных протоколов согласования ключей (обычно комбинации RSA и DH/ECDH), которая гарантирует, что ключи сеанса не будут скомпрометированы. Даже если что-то случится с закрытым ключом сервера, к которому вы подключаетесь

Если вам интересно узнать об этом подробнее, то мы подготовили полное руководство на эту тему.

Что такое HMAC-аутентификация?

HMAC или код проверки подлинности сообщений, использующий хеш-функции, — это код аутентификации сообщений (MAC). Он используется для проверки целостности данных и аутентификации сообщения, а также подтверждения, что оно не было изменено третьими лицами.

VPN-Сервисы обычно используют шифр SHA-2 (Secure Hash Algorithm 2) для проверки подлинности HMAC, поскольку он поддерживает 224-, 256-, 384- и 512-битные хеш-значения. Это делает его гораздо более безопасным, нежели SHA-1.

Что такое VPN-протоколы шифрования?

Вкратце, VPN-протокол представляет собой набор инструкций, которые используются при установке безопасного соединения между двумя устройствами. В этом случае двумя защищёнными устройствами будут устройство с запущенным VPN-клиентом и VPN-сервером, к которому вы подключаетесь.

VPN protocol

Обычно поставщики VPN-услуг используют несколько типов VPN-протоколов при установке защищённых подключений. Более ответственные Сервисы позволят вам выбирать, какой протокол использовать при подключении к VPN-серверу.

На момент написания статьи самыми популярными VPN-протоколами являются:

  • PPTP — относительно быстрый VPN-протокол шифрования. Основная проблема заключается в том, что он плохо защищён, не говоря уже о том, что его наверняка давно взломало АНБ.
  • L2TP/IPSec — сам по себе L2TP не обеспечивает шифрование, поэтому он всегда идёт в связке с IPSec. В такой комбинации получается достаточно защищённый протокол (особенно если вместе с ним используется шифр AES). Некоторые утверждали, что АНБ взломала и ослабила этот протокол шифрования, однако никаких доказательств этому найдено не было.
  • IPSec — набор безопасных сетевых протоколов, который используется для шифрования пакетов данных, пересылаемых по IP-сети. Он отличается высокой безопасностью, и при этом может шифровать трафик даже без ведома приложения в точке назначения. В сфере VPN IPSec часто используется наряду с L2TP и IKEv2.
  • IKEv2 — относительно быстрый, стабильный и безопасный протокол (если используется шифр наподобие AES). Тем не менее, IKEv2 может быть трудно внедрить на стороне VPN-сервера, поэтому неопытный поставщик VPN-услуг может допустить ошибки, которые приведут к проблемам в безопасности.
  • OpenVPN — очень безопасный и настраиваемый протокол с открытым исходным кодом. Единственным недостатком, похоже, является тот факт, что его комбинация с сильными шифрами может замедлить скорость интернета.
  • SoftEther — несмотря на относительно молодой возраст, этот протокол быстро набрал популярность среди пользователей VPN. Отчасти благодаря тому, что он очень безопасный, стабильный и на удивление быстрый.
  • SSTP — этот протокол часто сравнивают с OpenVPN, так как он использует SSL 3.0. Это позволяет ему обходить цензуру с помощью порта 443 (порт для HTTPS-трафика). Несмотря на это, SSTP не так популярен, как OpenVPN, потому что его исходный код закрыт.
  • Wireguard — новый VPN-протокол с открытым исходным кодом. Он использует только один криптографический набор, поэтому в данном случае меньше вероятность пробелов в безопасности. Единственной проблемой на данный момент является то, что протокол всё ещё в разработке, и его необходимо тестировать. Несмотря на это, уже есть VPN-Сервисы, которые начали использовать Wireguard.

Если стоит вопрос о безопасности, то самым защищённым стандартом является OpenVPN. Но это далеко не единственный вариант. SoftEther считается очень хорошей альтернативой, которая часто работает намного быстрее OpenVPN и при этом предлагает достойный уровень безопасности

Если вы хотите узнать больше о каждом VPN-протоколе, то можете воспользоваться нашим полным руководством на эту тему.

Какое VPN-шифрование лучше?

Сложно дать какой-то конкретный ответ на этот вопрос. “Лучшее шифрование” для вас будет зависеть от того, насколько вы хотите защитить свои данные в интернете и трафик.

Если хотите быть уверены в наилучшем уровне безопасности, то вот на что следует обратить внимание:

  • Длинный ключ шифрования, не менее 128 бит.
  • Надёжные протоколы обмена ключами (вроде ECDH или RSA-2048).
  • Сильные VPN-шифры (вроде AES, Twofish или Camellia).
  • Мощные протоколы VPN-шифрования (OpenVPN, SoftEther и IKEv2).
  • Шифр SHA-2 для HMAC-аутентификации (в идеале 256-, 384-или 512-битный).
  • Функция совершенной прямой секретности (PFS)

Как протестировать VPN-шифрование

Наверняка из-за технических сложностей VPN-шифрования вам может показаться, что протестировать правильную работу шифрования будет ещё сложнее. На самом деле, это вовсе не так.

Ниже приведено несколько шагов для быстрой и простой проверки VPN-шифрования:

  1. Установите Wireshark — инструмент, который позволяет отслеживать состояние VPN-шифрования.
  2. Запустите Wireshark, а затем запустите VPN-клиент и подключитесь к серверу.
  3. Выберите WiFi или Ethernet в качестве сетевого интерфейса, который необходимо отслеживать.
  4. Начните отслеживание.
  5. В опции “Протокол” укажите “OpenVPN”. Если хотите, то можете выбрать другой протокол VPN-шифрования.
  6. Теперь щёлкните правой кнопкой мыши по OpenVPN и выберите поток UDP или TCP.
  7. Если поток отображается в виде неразберихи, значит VPN-шифрование работает правильно.

Если вам нужны методы дополнительной проверки, то выполните следующие действия:

  1. Установите Glasswire.
  2. Запустите его при подключении к VPN-серверу.
  3. Начните пользоваться интернетом и скачайте какие-нибудь файлы.
  4. Теперь перейдите во вкладку “Использование”.
  5. Выберите раздел “Приложение”.
  6. Найдите используемый VPN и проверьте состояние шифрования VPN.

Чтобы получить максимально точный результат, используйте оба метода.

Все ли VPN-Сервисы предлагают шифрование данных?

Не совсем. Бесплатные VPN как русская рулетка. Они могут обещать шифрование, но на деле вообще не защищают ваши данные.

Более того, даже если бесплатные VPN действительно предлагают шифрование, то используются, как правило, самые слабые шифры, короткие ключи шифрования и менее защищённые протоколы VPN-шифрования, вроде PPTP и L2TP. Если помните, выше мы уже упоминали, что у них как таковых нет шифрования и поэтому их следует использовать вместе с IPSec).

При этом следует учитывать ещё кое-что. Эксперты по безопасности утверждают, что зачастую бесплатные сервисы плохо настраивают VPN-шифрование. И вероятность стать жертвой взлома или киберпреступников у пользователей бесплатных VPN намного выше.

В общем, если вам нужна реальная безопасность в интернет, то лучше воспользоваться проверенным платным VPN-Сервисом.

“Может ли VPN-шифрование замедлять скорость работы интернета?”

Есть большая вероятность этого. Все зависит от того, насколько сильное используется VPN-шифрование. Например, протокол OpenVPN с AES-256 может замедлять интернет, поскольку потребляет много вычислительной мощности процессора.

Smart DNS Speed

При этом нельзя утверждать наверняка, что вы обязательно будете испытывать неудобства в виде замедления интернета. Часто этого не происходит вообще или едва заметно (например, потери могут достигать 1-2 Мбит/с).

Если вы хотите получить больше информации по этой теме, то можете ознакомиться с этим руководством, посвящённым скорости VPN.

Ищете надёжный VPN-Сервис?

Тогда у нас для вас есть отличное предложение. CactusVPN предлагает высококачественные VPN-услуги, среди которых шифрование на военном уровне, круглосуточная поддержку, функция Kill Switch, более 30 высокоскоростных серверов с неограниченной пропускной способностью, а также до шести VPN-протоколов на выбор. Более того, мы не записываем ваши данные, и наш Сервис работает на нескольких платформах.

CactusVPN

И если вы захотите попробовать другие способы разблокировки веб-сайтов, мы также предлагаем услугу Smart DNS, которая открывает доступ к более 300 сайтов. Кроме всего прочего, все наши VPN-серверы дополняются прокси-серверами.

Специальное предложение! Получите CactusVPN за 3.5$ в месяц!

И как только вы станете клиентом CactusVPN, у вас будет 30-дневная гарантия возврата денег.

В завершение

VPN-шифрование данных используется для защиты пользовательского трафика и информации. Это защищает пользователя от сбора данных провайдером, нападок киберпреступников и правительственной слежки.

Работает это следующим образом: VPN-клиент сначала шифрует запросы на подключение и отправляет их на VPN-сервер, который расшифровывает их и пересылает в интернет. Затем полученные данные шифруются VPN-сервером и отправляются VPN-клиенту, который затем расшифровывает полученную информацию для вас.

Многое зависит от того, как работает VPN-шифрование, какой используется тип алгоритма шифрования и шифра, какой тип шифрования используется для аутентификации, какие используются протоколы обмена ключами и в целом — какой используется VPN-протокол.

Вам необходимо выбрать VPN-Сервис, который предлагает различные протоколы, включая OpenVPN, IKEv2 и SoftEther. Желательно чтобы в нём также использовались шифры вроде AES и Camilla, шифрование аутентификации было как минимум 256-битным, а шифрование рукопожатия не хуже RSA-2048.

Ключ vpn что это

Icon Hamburger Icon Hamburger

Icon Google Plus

Windows icon fill

Android icon fill

Linux icon fill

Jack, a Real Ass | августа 14, 2018
Шифрование VPN | Что нужно знать, чтобы себя обезопасить

Хорошо, признаю. Меня зовут Джек Третий. И в моей жизни наступил поворотный момент. Видишь ли, мне стало известно, что кто-то до сих пор не верит в силу VPN. Пожевывая сахарок, найденный между диванными подушками, я спрашивал себя: неужели моя миссия обеспечить каждому конфиденциальность провалена? И тут я понял, что никогда не уделял достаточно времени, чтобы рассказать, как именно работает VPN. Ничего удивительного, что у тебя остаются сомнения! Не зная, как работают сети VPN, разве можно понять, чем они так хороши? Тебе повезло. Я провел целую ночь за написанием этого руководства по шифрованию, которое поймет даже годовалый ребенок. (По крайней мере, я сделал все возможное. Я же не волшебник, а обычный мультяшный осел.)

Что такое шифрование VPN?

Разжевываю, как обещал. «Шифрование» — это профессиональный синоним для слова «запутывание». Шифруя данные, ты просто превращаешь их перед отправкой в Интернет в непонятную мешанину. Но непонятная мешанина — не особо полезная вещь. Поэтому данные приводятся в порядок, когда достигают точки назначения, и нужный получатель может их прочитать. Вот, собственно, и описание того, как работают сервисы VPN. Но уйти домой мне пока не разрешают, поэтому давай поговорим подробнее. Скажем, ты в аэропорту. Ты опоздал на рейс, засидевшись в Starbucks. Чувства ответственности тебе явно не хватает, и ты решаешь подключиться к общедоступной сети Wi-Fi, чтобы оставить жалобу на странице аэропорта в Facebook. Если ты забыл включить VPN, любой в этой сети сможет отслеживать каждое твое действие и увидеть введенный тобой текст. В том числе, вероятно, твой ужасный пароль для Facebook и поисковый запрос «как привлечь внимание самочки» (и мне не стыдно — у ослов тоже есть потребности). Пойдем дальше. Ты решаешь забронировать билет на следующий рейс при помощи телефона, потому что избегаешь общения с живыми людьми. Поздравляю: всю эту информацию тоже может увидеть любой желающий. Включая данные твоей кредитной карты. Общедоступную сеть Wi-Fi можно сравнить с нудистским пляжем. Если хочешь — добро пожаловать. Но будь готов раздеться и выставить на всеобщее обозрение все недостатки, которые так тщательно пытался скрыть. Если, конечно, ты не используешь VPN, что позволит наслаждаться солнцем и морем, прикрыв невзрачные детали.

VPN: базовые понятия

  • Протокол VPN — это технология, которую VPN-провайдер использует для передачи и шифрования данных. Большинство провайдеров VPN предлагают несколько протоколов, самые популярные — PPTP, OpenVPN, L2TP/IPSec и IKEv2/IPSec. Вот статья, в которой о протоколах VPN рассказано даже больше, чем тебе бы хотелось знать.
  • Ключ шифрования VPN — это сверхнадежный пароль, используемый для шифрования и расшифровки данных. Он известен только твоему ПК (или другому устройству) и серверу VPN. Длина ключа измеряется в битах (бинарный код состоит из единиц и нулей) и может быть разной. Но размер — не главное, как, возможно, говорила твоя первая девушка (ну, возможно).
  • Алгоритм шифрования, шифр — конкретный способ шифрования, используемый VPN-провайдером. Некоторые алгоритмы более надежны, но снижают скорость. Другие работают быстрее, но не дают такой защиты. Некоторые же (например, используемый HMA!) просто идеальны. И если ты не можешь доверять предвзятому мнению персонажа с логотипа, то кому вообще ты можешь верить?

Как работает шифрование VPN?

Как я уже говорил, VPN шифрует твои данные, а получатель, которому ты их отправишь, их расшифровывает. Это так называемое «сквозное шифрование». Знаешь, у этих парней, сидящих за компьютерами, плохо получается придумывать названия. Тысячу раз мы сравнивали VPN с «туннелем». Но технически это скорее «чудо-блендер». VPN мелко шинкует твои данные, доставляет эту горячую смесь, куда тебе угодно, и использует чудо-блендер, чтобы провернуть этот фарш назад и превратить его во что-то вразумительное.

Хочешь увидеть, как выглядит зашифрованное сообщение? Загляни на любой сайт онлайн-шифрования. Я использовал encode-decode.com, чтобы сгенерировать какую-то безумную абракадабру при помощи AES-256. Вот что получилось.

Использующая алгоритм шифрования программа превращает незашифрованные данные (или обычный текст) в код, который не прочитает ни один человек. Одновременно программа генерирует длинный ряд чисел, который служит уникальным ключом для расшифровки твоих данных. Если ты используешь VPN, этот ключ получат только те, с кем ты хочешь связаться. Они прочитают данные. Остальным не повезло.

Уже запутался? Сочувствую, но дальше будет только хуже.

Ключи шифрования VPN

Давай поговорим на языке метафор.

Представим, что ты не закрыл окно и в дом залез кот. Во-первых, поздравляю. Теперь тебе есть с кем поговорить. Во-вторых, домашняя сигнализация сойдет с ума, потому что она понимает, что внутри кто-то лишний. Слушать рев сирены не слишком приятно, но ты забыл PIN-код и не можешь выключить ее. К счастью, мама его помнит. Ты обещаешь вести себя хорошо, она дает тебе PIN-код, сигнализация выключается. Кризис преодолен.

Большая часть PIN-кодов состоит всего из четырех цифр. Представим, что они чуть длиннее. Скажем, из 256 цифр. Теперь представим, что ты не слабый человек, а совершенная, бесчувственная машина. И к тебе домой попал не кот, а пакет зашифрованных данных. Наконец, вместо мамы представим отправителя пакета. Вуаля. Вот так и работают ключи шифрования.

Обычно службы VPN используют 128-битные или 256-битные ключи. Это дает более 2¹²⁸ или 2²⁵⁶ возможных комбинаций, что делает попытки подобрать ключ бессмысленными чуть более чем полностью. Конечно, чем длиннее ключ шифрования, тем сложнее его взломать. Но и разблокировка данных на ПК занимает все больше времени, даже если правильная комбинация известна. Простой пример: некоторые алгоритмы поддерживают 2048-битные или 4096-битные ключи. Количество возможных комбинаций достигает 2⁴⁰⁹⁶. Такие ключи настолько длинны (а файлы настолько велики), что твой компьютер захочет бросить работу и отправиться на небесное пастбище к моим праотцам.

Какой алгоритм шифрования VPN лучше всех?

Алгоритмы шифрования можно разделить на две категории.

  1. Симметричное шифрование: ты и получатель используете одинаковый ключ шифрования, который нужно отправить с одной стороны на другую, чтобы расшифровать данные. Но при этом увидеть код может кто угодно, поэтому такой подход менее «безопасен» и более «неудобен».
  2. Асимметричное шифрование: указанная проблема с безопасностью решается за счет предоставления отправителю и получателю двух отдельных ключей — открытого (для шифрования данных) и закрытого (для расшифровки). Обмениваться с кем-то конфиденциальным кодом не нужно. Совсем. Ты используешь открытый код получателя, чтобы зашифровать данные, а расшифровать их можно только с помощью его закрытого ключа.

AES (Advanced Encryption Standard) и Blowfish — популярные алгоритмы симметричного шифрования, обычно используемые со 128-битными или 256-битными ключами. Технически их взлом не является невозможным, но они не требовательны к ресурсам и обеспечивают высокую скорость работы, что делает их лучшим выбором, если только ты не отправляешь коды запуска баллистических ракет или спойлеры по «Игре престолов». С другой стороны, асимметричное шифрование (например, RSA) с 2048-битными или 4096-битными ключами снижает скорость работы, но является намного более надежным. Но никто не заставляет выбирать что-то одно. Можно пользоваться лучшими качествами обоих вариантов, используя сначала асимметричное шифрование, а потом переключаясь на более короткие симметричные ключи.

Какое шифрование VPN надежнее всех?

Дело в том, что многие сервисы уже шифруют твои данные. Например, используя что-нибудь вроде протокола TLS (Transport Layer Security). Для защиты данных протокол TLS использует симметричную криптографию. Заметить его просто: адрес сайтов, использующих этот протокол, начинается с «https://», а не «http://». TLS достаточно, чтобы справиться с фишингом, посторонними и другими мелочами, но этому протоколу не защитить тебя от чужих глаз в общедоступных сетях Wi-Fi. Или от слежки со стороны государственных органов. Вот почему тебе нужно сквозное шифрование.

Сквозное шифрование — это применение асимметричного алгоритма. Возможно, ты еще не забыл, что именно эту технологию используют сервисы VPN. Что бы ты ни отправил с его помощью, увидеть данные сможете только ты и их получатель. Даже Большой Брат не сможет понять, что ты отправил. Так что если ты планируешь государственный переворот, это подходящий способ поделиться планом действий с братьями по подполью.

И все же самым безопасным и быстрым способом шифрования данных считается стандарт AES. Поэтому HMA! его и использует. Если тебе еще не слишком скучно, взгляни на сравнение протоколов VPN, чтобы оценить все преимущества и недостатки технологий VPN.

Как узнать, какое шифрование использует служба VPN?

Отличный вопрос, дружок. Все просто. Перейди на сайт своего провайдера VPN и поищи кое-какую информацию. Не ограничивайся рекламными текстами. Загляни в раздел часто задаваемых вопросов и на страницу поддержки. Там ты и найдешь самую полезную информацию, хотя ее внешний вид вряд ли тебя воодушевит.

Как я уже говорил, HMA! использует 256-битное шифрование AES, допускающее 115 792 089 237 316 195 423 570 985 008 687 907 853 269 984 665 640 564 039 457 584 007 913 129 639 936 возможных комбинаций. Говорят, самомнения мне не занимать. Но даже я признаю свое бессилие: такой код не взломать, даже имея все суперкомпьютеры мира в своем распоряжении. Если тебе нравится защита такого уровня, купи ее. Моя коллекция плащей сама себя не пополнит.

Если честно, мне все равно, каким сервисом VPN ты будешь пользоваться, если он в состоянии защитить твою конфиденциальность. В конце концов, это главное.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *