virtuální privátní síť (VPN) šifruje všechna data při cestování mezi počítačem a serverem VPN. V tomto úplném průvodci šifrováním VPN se podrobně podíváme na to, co je šifrování a jak se používá v připojeních VPN.
snad nejdůležitější je vysvětlit řadu šifrovacích termínů používaných službami VPN. Doufáme, že po přečtení této příručky budete lépe rozumět tomuto složitému tématu a že budete lépe schopni posoudit bezpečnostní nároky poskytovatelů VPN.
- předběžné informace
- Co Je Šifrování?
- základy
- Délka šifrovacího klíče
- počítačové šifry
- Délka šifrovacího klíče
- Perfect Forward Secrecy
- šifrovací protokoly VPN
- PPTP
- PROS
- nevýhody
- co je PPTP?
- L2TP / IPsec
- PROS
- nevýhody
- co je L2TP a IPsec?
- SSTP
- PROS
- nevýhody
- co je to SSTP?
- IKEv2
- PROS
- nevýhody
- co je IKEv2?
- OpenVPN
- PROS
- co je OpenVPN?
- šifrování OpenVPN
- šifry
- Blowfish
- AES
- Camellia
- šifrování Handshake
- RSA
- Diffie-Hellman a ECDH
- SHA hash Authentication
- je SHA bezpečná?
- poznámky
- NIST
- AES-CBC vs AES-GCM
- OpenVPN UDP vs. OpenVPN TCP
- porazit cenzuru s OpenVPN na TCP portu 443
- shrnutí
- protokoly VPN
- šifrování OpenVPN
- závěr
předběžné informace
pokud si nejste jisti, co je VPN a co pro vás může udělat, podívejte se na naše VPN pro průvodce pro začátečníky.
Naším cílem je představit Klíčové vlastnosti šifrování VPN co nejjednodušším způsobem. Ačkoli se nedá uniknout, ze skutečnosti, že šifrování je složitý předmět.
pokud i termín šifrování způsobí, že se vaše oči začnou zasklívat, ale přesto chcete vědět, na co si dát pozor v dobré službě VPN, můžete přejít přímo na shrnutí pomocí obsahu.
Co Je Šifrování?
„začněte na začátku,“ řekl Král velmi vážně ,“ a pokračujte, dokud nedorazíte na konec: pak zastavte.“
Lewis Carroll, Alenka v říši divů
nejjednodušší analogie je, že šifrování je zámek. Pokud máte správný klíč, zámek se snadno otevře. Pokud někdo nemá správný klíč, ale chce získat přístup k obsahu strongboxu (tj.
stejným způsobem, že zámek zajišťující bankovní trezor je silnější než zámek zajišťující kufr, je některé šifrování silnější než jiné šifrování.
pokud chcete VPN s nejsilnějším šifrováním, podívejte se na náš nejbezpečnější seznam VPN pro více informací.
základy
když jste byli dítě, Hráli jste někdy hru, ve které jste vytvořili „tajnou zprávu“nahrazením jednoho písmene zprávy jiným? Náhrada byla provedena podle vzorce, který jste vybrali.
můžete například nahradit každé písmeno původní zprávy jedním třemi písmeny za ním v abecedě. Kdyby někdo jiný věděl, co je tento vzorec, nebo to dokázal vyřešit, pak by si mohli přečíst vaši „tajnou zprávu“.“
v kryptografickém žargonu jste dělali „šifrování“ zprávy (dat) podle velmi jednoduchého matematického algoritmu. Kryptografové označují tento vzorec jako „šifru“.“Chcete-li jej dešifrovat, potřebujete klíč. Jedná se o proměnný parametr, který určuje konečný výstup šifry. Bez tohoto parametru není možné dešifrovat šifru.
pokud někdo chce číst šifrovanou zprávu, ale nemá klíč, musí se pokusit šifru „rozlousknout“. Když šifrování používá jednoduchou šifru substituce písmen, praskání je snadné. Šifrování může být bezpečnější, nicméně tím, že matematický algoritmus (šifra) složitější.
můžete například nahradit každé třetí písmeno zprávy číslem odpovídajícím písmenu.
Délka šifrovacího klíče
moderní počítačové šifry jsou velmi složité algoritmy. I s pomocí superpočítačů je velmi obtížné prasknout, ne-li nemožné pro všechny praktické účely. Nejhrubší způsob, jak měřit sílu šifry, je složitost algoritmu použitého k jeho vytvoření.
čím složitější je algoritmus, tím těžší je šifra prolomit pomocí toho, čemu říkáme útok hrubou silou.
útok hrubou silou pokud je velmi primitivní forma útoku (známá také jako vyčerpávající vyhledávání klíčů), znamená to v podstatě vyzkoušet každou možnou kombinaci čísel, dokud není nalezen správný klíč.
počítače provádějí všechny výpočty pomocí binárních čísel: nuly a jedničky. Složitost šifry závisí na její velikosti klíče v bitech – surovém počtu jedniček a nul nezbytných k vyjádření jejího algoritmu, kde každá nula nebo jedna je reprezentována jedním bitem.
Toto je známé jako délka klíče a také představuje praktickou proveditelnost úspěšného provedení útoku hrubou silou na jakoukoli danou šifru.
počet možných kombinací (a proto je obtížné je hrubou silou) se exponenciálně zvyšuje s velikostí klíče. Použití šifry AES (viz dále):
dát to do perspektivy:
- v roce 2011 byl nejrychlejším superpočítačem ve Wordu Fujitsu K. to bylo schopné maximální rychlosti Rmax 10, 51 petaflops. Na základě tohoto čísla by trvalo Fujitsu k 1, 02 x 10^18-přibližně jednu miliardu miliard (jeden kvintilion) – let, než by silou prolomil 128bitový klíč AES (Advanced Encryption Standard). To je starší než věk vesmíru (13,75 miliardy let).
- nejvýkonnějším superpočítačem na světě (2017) je Sunway TaihuLight v Číně. Toto zvíře je schopné maximální rychlosti 93,02 petaflops. To znamená, že nejvýkonnější počítač na světě by stále trval asi 885 kvadrilionů let, aby hrubou silou 128bitového klíče AES.
- počet operací potřebných pro hrubou sílu 256bitové šifry je 3,31 x 10^56. To se zhruba rovná počtu atomů ve vesmíru!
počítačové šifry
zatímco délka šifrovacího klíče odkazuje na množství použitých surových čísel, šifry jsou matematika-skutečné vzorce nebo algoritmy-používané k provádění šifrování. Jak jsme právě viděli, hrubé vynucení moderních počítačových šifer je divoce nepraktické.
právě slabiny (někdy záměrné) v těchto šifrovacích algoritmech mohou vést k přerušení šifrování. Je to proto, že výstup (špatně navržené) šifry může ještě před šifrováním odhalit nějakou strukturu z původních informací. Tím se vytvoří snížená sada možných kombinací, které lze vyzkoušet, což ve skutečnosti snižuje efektivní délku klíče.
například šifra Blowfish je zranitelná útokem, který využívá matematiku za narozeninovým problémem v teorii pravděpodobnosti. Studium slabých stránek v kryptografických algoritmech je známé jako kryptoanalýza.
delší délky klíčů kompenzují takové nedostatky, protože výrazně zvyšují počet možných výsledků.
namísto útoku na samotnou šifru může protivník zaútočit na samotný klíč. To může ovlivnit konkrétní web nebo určitý softwarový produkt. Ale bezpečnost šifrovacího algoritmu je stále neporušená, a jiné systémy, které používají stejný algoritmus, ale mají bezpečnou generaci klíčů, nejsou přerušením ovlivněny.
Délka šifrovacího klíče
jak silná je šifra, závisí jak na matematice samotné šifry, tak na její délce klíče vyjádřené v bitech. Z tohoto důvodu jsou šifry obvykle popsány spolu s použitou délkou klíče.
takže AES-256 (šifra AES s 256bitovou délkou klíče) je obvykle považována za silnější než AES-128. Všimněte si, že říkám obvykle proto, že se zde zabýváme velmi složitou matematikou (viz mé poznámky k AES později).
je důležité si uvědomit, že samotná délka klíče není dobrým ukazatelem síly šifry. Záleží na kombinaci délky klíče a šifry. Například šifry používané pro asymetrické šifrování používají mnohem delší velikosti klíčů než ty, které se používají pro symetrické šifrování, aby poskytly ekvivalentní ochranu.
tato tabulka je trochu zastaralá, protože nebere v úvahu novější útoky, které byly objeveny na RSA. Je také třeba poznamenat, že eliptická křivka a varianty RSA Diffie-Hellman jsou mnohem silnější než tradiční. Ale doufejme, dostanete nápad.
jedna věc, kterou je třeba poznamenat, je, že čím vyšší je délka klíče, tím více se jedná o výpočet, takže je zapotřebí více výpočetního výkonu. To má vliv na rychlost, s jakou mohou být data šifrována a dešifrována. Poskytovatelé VPN a podobně se proto musí rozhodnout, jak nejlépe vyvážit bezpečnost vs. praktickou použitelnost při výběru šifrovacích schémat. Existují někteří poskytovatelé VPN, kterým se podařilo tuto jemnou rovnováhu dobře dosáhnout. Další informace naleznete v našem průvodci rychlými VPN.
o hlavních šifrách používaných různými protokoly VPN diskutujeme o něco později, ale nejběžnější šifry, se kterými se pravděpodobně setkáte, jsou Blowfish a AES. Kromě toho se RSA používá k šifrování a dešifrování klíčů šifry a SHA-1 nebo SHA-2 se používá jako hašovací funkce pro autentizaci dat.
asymetrické šifrování
Perfect Forward Secrecy
Perfect Forward Secrecy (PFS) je také označováno jako použití pomíjivých šifrovacích klíčů, nebo jen Forward Secrecy (FS)těmi, kteří nejsou spokojeni s použitím slova “ perfect.“
většina moderních zabezpečených online komunikací spoléhá na SSL / TLS. Používá se webovými stránkami HTTPS a protokolem OpenVPN. TLS (Transport Layer Security) je asymetrický šifrovací protokol. Použití asymetrické šifry znamená, že data jsou zabezpečena pomocí veřejného klíče, který je zpřístupněn všem. Dešifrovat jej však může pouze zamýšlený příjemce, který má správný soukromý klíč.
tento soukromý klíč musí být utajen. Pokud je protivník ukraden nebo popraskán, pak může tento protivník snadno zachytit a přečíst jakoukoli komunikaci, kterou zajišťuje.
bohužel je běžné, že servery nebo dokonce celé společnosti používají k zabezpečení veškeré komunikace pouze jeden soukromý šifrovací klíč. Proč? Protože je to snadné. Pokud je však tento klíč ohrožen, útočník má přístup ke všem komunikacím šifrovaným s ním.
tento soukromý šifrovací klíč se proto stává „hlavním klíčem“, který lze použít k odemknutí veškeré komunikace se serverem nebo společností. Je známo, že NSA využila tuto slabost, aby shromáždila obrovské množství údajně bezpečných dat.
řešení je perfektní dopředu utajení. Jedná se o systém, při kterém je pro každou relaci generován nový a jedinečný soukromý šifrovací klíč. Je to jednoduchý nápad, i když Diffie-Hellman exchange matematika je složitá. To znamená, že každá relace TLS má vlastní sadu klíčů. Proto termín “ pomíjivé klíče – – používají se jednou a pak zmizí.
neexistuje tedy žádný „hlavní klíč“, který by mohl být zneužit. I když je relace ohrožena, je to jen ta relace, která je ohrožena – ne všechny ostatní relace, které má někdo s tímto serverem nebo společností!
ačkoli neobvyklé, je dokonce možné obnovit PFS klíče v rámci relace (například každou hodinu). To dále omezuje množství dat, která mohou být zachycena protivníkem, i když je ohrožen soukromý klíč.
když jsem před několika lety napsal tento článek na toto téma, použití dokonalého dopředného utajení pro webové stránky HTTPS i připojení OpenVPN bylo žalostně vzácné. Naštěstí se tato situace poněkud změnila. Ačkoli v žádném případě univerzální, používání pomíjivých klíčů se v poslední době výrazně zvýšilo.
šifrovací protokoly VPN
protokol VPN je sada instrukcí (mechanismu) používaných k vyjednávání bezpečného šifrovaného spojení mezi dvěma počítači. Řada takových protokolů VPN je běžně podporována komerčními službami VPN. Nejpozoruhodnější z nich jsou PPTP, L2TP/IPSec, OpenVPN, SSTP a IKEv2.
podívám se na každou z nich níže, ale OpenVPN je nyní průmyslovým standardním protokolem VPN používaným komerčními službami VPN-z dobrého důvodu. Je velmi bezpečný a lze jej použít na téměř všech zařízeních podporujících VPN. Proto utratím další digitální inkoust, který podrobně diskutuje o OpenVPN.
PPTP
PROS
- klient vestavěný do téměř všech platforem
- velmi snadné nastavení
nevýhody
- velmi nejistý
- rozhodně ohrožen NSA
- snadno blokován
co je PPTP?
jedná se pouze o protokol VPN a pro zajištění bezpečnosti se spoléhá na různé metody ověřování. Mezi komerčními poskytovateli VPN je to téměř vždy MS-CHAP v2. Šifrovací protokol (podobný standardní šifře) používaný PPTP je Microsoft Point-to-Point Encryption (MPPE).
Point-to-Point Tunneling Protocol (PPTP) byl vyvinut konsorciem založeným společností Microsoft pro vytváření VPN přes vytáčené sítě. PPTP je proto již dlouho standardním protokolem pro firemní sítě VPN.
PPTP je standardně k dispozici na téměř každé platformě a zařízení s podporou VPN. Je snadné jej nastavit, aniž byste museli instalovat další software. Tím je zajištěno, že PPTP zůstává oblíbenou volbou jak pro obchodní VPN, tak pro komerční VPN služby.
má také tu výhodu, že vyžaduje nízkou výpočetní režii k implementaci… takže je to rychlé!
PPTP bohužel není bezpečný. Vůbec. Ačkoli se nyní obvykle vyskytuje pouze pomocí 128bitových šifrovacích klíčů, v letech, kdy byl poprvé dodáván s Windows 95 OSR2 v roce 1999, vyšlo najevo několik bezpečnostních chyb.
nejzávažnější z nich je možnost nezapouzdřené autentizace MS-CHAP v2. Pomocí tohoto zneužití byl PPTP prasklý během dvou dnů. Microsoft chybu opravil, ale sám vydal doporučení použít místo toho L2TP / IPsec nebo SSTP.
není žádným překvapením, že NSA téměř jistě dešifruje šifrovanou komunikaci PPTP jako standard. Ještě znepokojivější je, že NSA shromáždila obrovské množství starších dat, která byla šifrována zpět, když byl PPTP považován za bezpečný. To může téměř jistě dešifrovat i tato starší data.
PPTP vyžaduje TCP port 1723 i protokol GRE. Je snadné firewall GRE, což usnadňuje blokování připojení PPTP.
L2TP / IPsec
PROS
- obvykle považován za bezpečný
- snadné nastavení
- k dispozici na všech moderních platformách
- rychleji než OpenVPN (možná)
nevýhody
- mohou být ohroženy NSA (neprokázané)
- pravděpodobně úmyslně oslabené NSA (neprokázané)
- může bojovat s restriktivními firewally
- často implementovány špatně
co je L2TP a IPsec?
Layer 2 Tunneling Protocol (L2TP)je zabudován do téměř všech moderních operačních systémů a zařízení schopných VPN. Je proto stejně snadné a rychlé nastavení jako PPTP.
L2TP sám o sobě neposkytuje žádné šifrování ani důvěrnost provozu, který jím prochází, takže je obvykle implementován pomocí sady ověřování IPsec (L2TP/IPsec). I když poskytovatel odkazuje pouze na L2TP nebo IPsec (jako někteří), téměř jistě ve skutečnosti znamená L2TP / IPSec.
L2TP / IPsec může používat 3DES nebo AES šifry. 3DES je náchylný ke srážkovým útokům Meet-in-the-middle a Sweet32, takže v praxi je nepravděpodobné, že se s ním v těchto dnech setkáte.
problémy mohou nastat, protože protokol L2TP / IPSec používá pouze omezený počet portů. To může způsobit komplikace při použití za firewally Nat. Toto spoléhání se na pevné porty také usnadňuje blokování protokolu.
L2TP / IPsec zapouzdřuje data dvakrát, což zpomaluje věci dolů. To je kompenzováno skutečností, že v jádře dochází k šifrování/dešifrování a L2TP / IPsec umožňuje multi-threading. OpenVPN ne. Výsledkem je, že L2TP/IPsec je teoreticky rychlejší než OpenVPN.
L2TP / IPsec pomocí šifry AES nemá žádné významné známé zranitelnosti a pokud je správně implementován, může být stále bezpečný. Odhalení Edwarda Snowdena však silně naznačilo, že norma je ohrožena NSA.
John Gilmore je bezpečnostní specialista a zakládající člen Nadace Electronic Frontier Foundation. Vysvětluje, že je pravděpodobné, že IPSec byl během fáze návrhu úmyslně oslaben.
pravděpodobně mnohem větším problémem je, že mnoho služeb VPN implementuje L2TP/IPsec špatně. Konkrétně používají předem sdílené klíče (PSK), které lze volně stáhnout z jejich webových stránek.
tyto PSK se používají pouze k ověření připojení, takže i v případě ohrožení zůstávají data bezpečně šifrována pomocí AES. Útočník by však mohl použít předem sdílený klíč k zosobnění serveru VPN. Mohl by pak odposlouchávat šifrovaný provoz nebo dokonce vkládat škodlivá data do připojení.
shrnutí
navzdory některým převážně teoretickým problémům je L2TP / IPsec obecně považován za bezpečný, pokud se nepoužívají otevřeně publikované předem sdílené klíče. Jeho vestavěná kompatibilita s mnoha zařízeními může být velmi dobrou volbou.
SSTP
PROS
- velmi bezpečné
- zcela integrován do systému Windows
- podpora společnosti Microsoft
- může obejít většinu firewallů
nevýhody
- proprietární standard vlastněný společností Microsoft
co je to SSTP?
SSTP je typ šifrování, který používá SSL 3.0 a nabízí podobné výhody jako OpenVPN. To zahrnuje schopnost používat TCP port 443 k vyhýbání se cenzuře. Těsná integrace s Windows může usnadnit používání a stabilnější než OpenVPN na této platformě.
na rozdíl od OpenVPN je však SSTP proprietárním standardem vlastněným společností Microsoft. To znamená, že kodex není přístupný veřejné kontrole. Historie spolupráce Microsoftu s NSA a spekulace o možných zadních dveřích zabudovaných do operačního systému Windows nevzbuzují důvěru ve standard.
Secure Socket Tunneling Protocol (SSTP) byl představen společností Microsoft v systému Windows Vista SP1. Ačkoli je nyní k dispozici pro Linux VPN, a dokonce i Mac OS X, je to stále především platforma pouze pro Windows.
dalším problémem je, že SSL v3. 0 je zranitelný vůči tomu, co je známé jako útok pudla, a proto se nedoporučuje. Zda se tento problém týká také SSTP, není jasné, ale opět jen stěží vzbuzuje důvěru.
shrnutí
na papíře nabízí SSTP mnoho výhod OpenVPN. Být proprietárním standardem společnosti Microsoft však vážně podkopává její důvěryhodnost.
IKEv2
PROS
- rychlé
- stabilní-zejména při přepínání sítě nebo opětovném připojení po ztraceném připojení k internetu
- bezpečné (pokud se používá AES)
- snadné nastavení (alespoň na konci uživatele!)
- protokol je podporován na zařízeních Blackberry
nevýhody
- není podporováno na mnoha platformách
- implementace IKEv2 na konci serveru je složitá,což je něco, co by mohlo potenciálně vést k vývoji problémů
- důvěřujte pouze implementacím s otevřeným zdrojovým kódem
co je IKEv2?
Internet Key Exchange verze 2 (IKEv2) byl společně vyvinut společností Microsoft a Cisco. Je nativně podporován zařízeními Windows 7+, Blackberry a iOS. To je důvod, proč mnoho služeb iOS VPN používá IKEv2 místo OpenVPN.
nezávisle vyvinuté kompatibilní verze IKEv2 byly vyvinuty pro Linux a další operační systémy. Mnoho z těchto iterací je open source. Jako vždy doporučuji mít na pozoru před čímkoli vyvinutým společností Microsoft. Open source verze IKEv2 by však neměly mít žádné problémy.
IKEv2 je součástí sady protokolů IPsec. Zajišťuje bezpečnost provozu předáním atributu SA (Security Association) v rámci IPsec a zlepšuje IKEv1 mnoha způsoby. IKEv2 je tedy někdy označován jako IKEv2 / IPsec. IKEv1, na druhé straně, je často označován jednoduše jako IPsec.
IKEv2, přezdívaný VPN Connect od společnosti Microsoft, je obzvláště dobrý v automatickém obnovení připojení VPN, když uživatelé dočasně ztratí připojení k internetu. Například při vjezdu nebo opuštění vlakového tunelu.
díky své podpoře protokolu Mobility a Multihoming (MOBIKE) je IKEv2 také vysoce odolný vůči měnícím se sítím. Díky tomu je IKEv2 skvělou volbou pro uživatele mobilních telefonů, kteří pravidelně přepínají mezi domácím WiFi a mobilním připojením, nebo kteří se pravidelně pohybují mezi hotspoty.
IKEv2 není tak běžný jako L2TP/IPSec, protože je podporován na mnohem méně platformách (i když se tato situace rychle mění). Je však považován za přinejmenším stejně dobrý jako, pokud není lepší než L2TP / IPsec, pokud jde o bezpečnost, výkon (rychlost), stabilitu a schopnost navázat (a obnovit) spojení.
OpenVPN
PROS
- velmi bezpečné (pokud se používá PFS)
- vysoce konfigurovatelný
- Open-source
- může obejít brány firewall
- potřebuje software třetích stran
co je OpenVPN?
OpenVPN je open-source technologie, která využívá knihovnu OpenSSL a protokoly TLS spolu s amalgámem dalších technologií k zajištění silného a spolehlivého řešení VPN. Nyní je to průmyslový standardní protokol VPN používaný komerčními službami VPN-z dobrého důvodu.
jednou z hlavních předností OpenVPN je, že je vysoce konfigurovatelný. Je nativně podporován žádnou platformou, ale je k dispozici na většině platforem prostřednictvím softwaru třetích stran. Vlastní klienti a aplikace OpenVPN jsou často k dispozici od jednotlivých poskytovatelů VPN, ale základní otevřený zdrojový kód je vyvíjen projektem OpenVPN.
mnoho vývojářů a přispěvatelů do projektu OpenVPN také pracuje pro OpenVPN Technologies Inc., který na projekt dohlíží.
OpenVPN běží nejlépe na portu UDP, ale lze jej nastavit na libovolný port (viz poznámky později). To zahrnuje TCP port 443, který je používán běžným provozem HTTPS. Spuštění OpenVPN přes TCP port 443 ztěžuje rozeznání připojení VPN kromě druhu zabezpečených připojení používaných bankami, e-mailovými službami a online prodejci. Díky tomu je OpenVPN velmi obtížné blokovat.
další výhodou OpenVPN je, že knihovna OpenSSL používaná k šifrování podporuje řadu šifer. V praxi však komerční služby VPN běžně používají pouze Blowfish a AES. Diskutuji o nich níže.
ve světle informací získaných od Edwarda Snowdena se zdá, že dokud je použito dokonalé dopředné utajení, OpenVPN Nebyla NSA ohrožena nebo oslabena.
nedávný crowdsourced audit OpenVPN je nyní dokončen, stejně jako další financovaný soukromým přístupem k internetu. Nebyly objeveny žádné závažné chyby zabezpečení, které by ovlivňovaly soukromí uživatelů. Bylo objeveno několik zranitelností, díky nimž byly servery OpenVPN potenciálně otevřeny útoku Denial of Service (DoS), ale tyto byly opraveny v OpenVPN 2.4.2.
OpenVPN je obvykle považován za nejbezpečnější dostupný protokol VPN a je široce podporován v celém odvětví VPN. Budu proto podrobně diskutovat o šifrování OpenVPN níže.
šifrování OpenVPN
šifrování OpenVPN se skládá ze dvou částí-šifrování datových kanálů a šifrování řídicích kanálů. Šifrování datových kanálů se používá k zabezpečení vašich dat. Šifrování řídicího kanálu zajišťuje spojení mezi počítačem a serverem VPN.
jakákoli obrana je pouze tak silná jako její nejslabší bod, takže je nešťastné, že někteří poskytovatelé VPN používají na jednom kanálu mnohem silnější šifrování než druhý (obvykle silnější na řídicím kanálu).
není například neobvyklé, že služba VPN je inzerována jako šifra AES-256 s šifrováním podání ruky RSA-4096 a autentizací hash SHA-512. Zní to velmi působivě, dokud si neuvědomíte, že se týká pouze šifrování řídicího kanálu a nikoli datového kanálu, který je šifrován pouhým Blowfish-128 s ověřením hashe SHA1. To se provádí pouze z marketingových důvodů.
pokud se na datových a řídicích kanálech používá jiné šifrování, pak je skutečná síla připojení OpenVPN měřena použitou slabší šifrovací sadou.
pro maximální zabezpečení by mělo být šifrování dat i řídicích kanálů co nejsilnější. Čím silnější je však použité šifrování, tím pomalejší bude připojení, a proto někteří poskytovatelé omezují šifrování datových kanálů.
šifrování řídicího kanálu se také nazývá šifrování TLS, protože TLS je technologie používaná k bezpečnému vyjednávání spojení mezi počítačem a serverem VPN. Jedná se o stejnou technologii, kterou používá váš prohlížeč k bezpečnému sjednání připojení k webu šifrovanému HTTPS.
- šifrování řídicího kanálu se skládá z šifry, šifrování handshake a autentizace hash.
- šifrování datových kanálů se skládá z ověření šifry a hash.
poskytovatelé VPN často používají stejnou úroveň šifrování pro řídicí i datové kanály. V našich recenzích a tabulkách „semafor“ je uvádíme samostatně, pouze pokud jsou pro každý kanál použity různé hodnoty.
pokud uvedeme, že poskytovatel používá šifru AES-256, znamená to, že šifra AES-256 se používá jak pro řídicí, tak pro datové kanály.*
(*mělo by tomu tak být alespoň. Některé starší recenze nesplňují naše současné pokyny, ale ty by měly být postupně ukončeny).
šifry
OpenVPN může používat řadu šifer se symetrickým klíčem k zabezpečení dat na řídicích i datových kanálech. V praxi jsou jediné, které Komerční poskytovatelé VPN používají, Blowfish, AES a (velmi zřídka) kamélie.
Blowfish
Blowfish-128 je výchozí šifra používaná OpenVPN. Velikost klíčů se teoreticky může pohybovat od 32 bitů do 448 bitů, ale Blowfish-128 je jediná verze, se kterou se pravděpodobně setkáte ve volné přírodě.
Blowfish je často považován za dostatečně bezpečný pro příležitostné účely, ale má známé slabiny. Byl vytvořen renomovaným kryptografem Bruce Schneierem, který v roce 2007 řekl: „v tuto chvíli jsem ohromen, že se stále používá.“
podle našeho názoru je použití Blowfish-128 přijatelné jako druhá obranná linie na datovém kanálu OpenVPN. Při použití na řídicím kanálu by však nemělo být považováno za bezpečné.
AES
AES se stala celoplošnou šifrou „zlatého standardu“ symetrického klíče VPN. AES je certifikován NIST a je téměř všeobecně považován za velmi bezpečný. AES-256 používá americká vláda k ochraně „bezpečných“ dat.
skutečnost, že má 128bitovou velikost bloku spíše než 64bitovou velikost bloku Blowfish, také znamená, že dokáže zpracovat větší soubory (přes 4 GB) lépe než Blowfish. Kromě toho instrukční sada AES těží z vestavěné hardwarové akcelerace na většině platforem.
AES je obvykle k dispozici ve 128bitových a 256bitových velikostech klíčů (existuje také 192bitový AES). AES-128 zůstává bezpečný, pokud si to někdo uvědomuje. Vzhledem k tomu, co nyní víme o rozsahu útoku NSA na šifrovací standardy, se však většina odborníků shoduje, že AES-256 poskytuje vyšší bezpečnostní rezervu.
jen proto, aby se zajistilo, že nikdo nikdy nebude považovat toto téma za příliš snadné, existuje určitá debata o této otázce. AES-128 má silnější plán klíčů než AES-256, což vede některé velmi významné odborníky k tvrzení, že AES-128 je ve skutečnosti silnější než AES-256.
obecná shoda však je, že AES-256 je silnější.
Camellia
Camellia je moderní bezpečná šifra a je přinejmenším stejně bezpečná a rychlá jako AES. Je k dispozici ve velikostech klíčů 128, 192 a 256 bitů. Díky certifikaci NIST a jejímu použití vládou USA se však AES téměř vždy používá místo kamélie.
ale jak diskutuji níže, existují důvody, proč nedůvěřovat šifrám certifikovaným NIST. Skutečnost, že kamélie je non-NIST šifra, je hlavním důvodem, proč si ji vybrat nad AES. Tato možnost je však k dispozici jen zřídka.
je také třeba poznamenat, že kamélie není zdaleka tak dobře testována na slabost jako AES.
šifrování Handshake
aby bylo možné bezpečně vyjednat spojení mezi vaším zařízením a serverem VPN, OpenVPN používá handshake TLS. To umožňuje klientovi OpenVPN a serveru VPN vytvořit tajné klíče, se kterými komunikují.
k ochraně tohoto handshake používá TLS obvykle kryptografický systém RSA s veřejným klíčem. Jedná se o algoritmus šifrování a digitálního podpisu používaný k identifikaci certifikátů TLS / SSL. Může však místo toho použít také výměnu klíčů Diffie-Hellman nebo ECDH.
RSA
RSA je asymetrický šifrovací systém – k šifrování dat se používá veřejný klíč, ale k jeho dešifrování se používá jiný soukromý klíč. To bylo základem pro bezpečnost na internetu za posledních 20 let nebo tak nějak.
nyní je dobře známo, že RSA s délkou klíče 1024 bitů (RSA-1024) nebo méně není bezpečná a NSA téměř jistě praskla. V důsledku toho došlo ke společnému pohybu mezi internetovými společnostmi k migraci z RSA-1024.
bohužel stále najdeme některé služby VPN, které nadále používají RSA-1024 k ochraně handshakes. To není dobré.
RSA-2048 a vyšší je stále považován za bezpečný. RSA sama o sobě neposkytuje dokonalé dopředné tajemství (PFS). To však může být implementováno zahrnutím výměny klíčů Diffie-Hellman (DH) nebo eliptické křivky Diffie-Hellman (ECDH) do své šifrovací sady.
v tomto případě nezáleží na síle klíče DH nebo ECDH, protože se používá pouze k zajištění dokonalého dopředného utajení. Připojení je zabezpečeno pomocí RSA.
protože to může způsobit zmatek, poznamenám také, že kryptosystém RSA nemá nic společného s zneuctěnou americkou technologickou firmou RSA Security LLC. Tato společnost úmyslně oslabila své vlajkové šifrovací produkty BSAFE poté, co byla NSA podplatena 10 miliony dolarů.
Diffie-Hellman a ECDH
alternativní (konkurenční) šifrování handshake, které je někdy používáno OpenVPN, je kryptografická výměna klíčů Diffie-Hellman (DH). To má obvykle délku klíče 2048 bitů nebo 4096 bitů. Všimněte si, že cokoli menšího než DH-2048 by se mělo vyhnout kvůli náchylnosti k útoku logjam.
hlavní výhodou Diffie-Hellman handshake nad RSA je to, že nativně poskytuje dokonalé dopředné tajemství. Jak již bylo uvedeno, pouhé přidání výměny klíčů DH k podání ruky RSA dosáhne podobného konce.
Diffie-Hellman vyvolal obrovský spor ohledně jeho opětovného použití omezené množiny prvočísel. Díky tomu je zranitelná tím, že ji rozbije silný protivník, jako je NSA. Diffie-Hellman sám o sobě proto nevytváří bezpečné šifrování handshake. Je to v pořádku, nicméně, při použití jako součást RSA šifrovací sady.
eliptická křivka Diffie-Hellman (ECDH) je novější forma kryptografie, která není náchylná k tomuto útoku. Je to proto, že používá vlastnosti určitého typu algebraické křivky namísto velkých prvočísel k šifrování připojení.
ECDH může být použit jako součást RSA handshake k zajištění dokonalého dopředného utajení, nebo může bezpečně šifrovat handshake sám (s podpisem ECDSA). To také poskytuje PFS.
délka klíče ECDH začíná na 384 bitech. To je považováno za bezpečné, ale pokud je použito samo o sobě k zabezpečení handshake TLS, čím déle, tím lépe (z hlediska bezpečnosti).
SHA hash Authentication
Toto je také označováno jako ověřování dat nebo hash message authentication code (HMAC).
Secure Hash Algorithm (SHA) je kryptografická hashovací funkce používaná (mimo jiné) k ověření dat a připojení SSL/TLS. To zahrnuje připojení OpenVPN.
vytváří jedinečný otisk platného certifikátu TLS, který může být ověřen jakýmkoli klientem OpenVPN. I ta nejmenší změna je zjistitelná. Pokud je s certifikátem manipulováno, bude to okamžitě detekováno a připojení odmítnuto.
to je důležité pro zabránění útoku Man-in-the-middle (MitM), kdy se protivník pokusí přesměrovat vaše připojení OpenVPN na jeden ze svých vlastních serverů místo vašeho poskytovatele VPN. Mohlo by to udělat například hackováním routeru.
pokud protivník může prolomit hash pravého certifikátu TLS vašeho poskytovatele, může obrátit hash a vytvořit padělaný certifikát. Váš otevřený software VPN by pak autentizoval připojení jako pravé.
je SHA bezpečná?
při použití k ochraně webových stránek HTTPS je SHA-1 přerušena. To je již nějakou dobu známo. Webové stránky SHA-1 lze stále najít, ale jsou postupně vyřazovány. Většina prohlížečů nyní vydá varování při pokusu o připojení k webu zabezpečenému pomocí SHA-1.
hašovací funkce SHA-2 a SHA-3 jsou nyní doporučovány a jsou bezpečné. SHA-2 zahrnuje SHA-256, SHA-384 a SHA-512. Nicméně …
OpenVPN používá pouze SHA pro HMAC. Nemyslím si, že je užitečné jít do příliš mnoha detailů, ale autentizace SHA hash je součástí algoritmu HMAC. Útok na HMAC vložený do SHA-1 je mnohem těžší než jen útok na samotnou hašovací funkci SHA-1.
jinými slovy, HMAC SHA-1 používaný OpenVPN je považován za bezpečný a existuje matematický důkaz. HMAC SHA-2 a HMAC SHA-3 jsou samozřejmě ještě bezpečnější! Nedávný audit OpenVPN skutečně uznává, že HMAC SHA-1 je Bezpečný, ale místo toho doporučuje přechod na HMAC SHA-2 nebo HMAC SHA-3.
poznámky
NIST
AES, RSA, SHA-1 a SHA-2 byly vyvinuty a / nebo certifikovány Národním institutem pro standardy a technologie Spojených států (NIST). Jedná se o orgán, který svým vlastním přijetím úzce spolupracuje s NSA při vývoji svých šifer.
vzhledem k tomu, co nyní víme o systematickém úsilí NSA oslabit nebo vybudovat zadní vrátka do mezinárodních šifrovacích standardů, existuje každý důvod zpochybňovat integritu algoritmů NIST.
NIST samozřejmě takové tvrzení důrazně vyvrací:
“ NIST by záměrně neoslabil kryptografický standard.“
rovněž vyzvala veřejnost k účasti na řadě připravovaných navrhovaných šifrovacích standardů, což je krok, který má posílit důvěru veřejnosti.
New York Times však obvinil NSA z obcházení šifrovacích standardů schválených NIST zavedením nezjistitelných zadních dveří nebo podvracením procesu veřejného vývoje s cílem oslabit algoritmy.
tato nedůvěra byla dále posílena, když RSA Security (divize EMC) soukromě řekla zákazníkům, aby přestali používat šifrovací algoritmus, který údajně obsahuje chybu vytvořenou NSA. Tento algoritmus byl také schválen NIST.
Dual_ec_drbg (Dual Eliptic Curve Deterministic Random Bit Generator) je šifrovací standard navržený společností NIST. Je známo, že je nejistá po celá léta.
v roce 2006 Eindhoven University of Technology v Nizozemsku poznamenal, že útok proti němu bylo snadné spustit na “ obyčejném PC.“Inženýři společnosti Microsoft také označili podezřelé zadní vrátka v algoritmu.
navzdory těmto obavám, kde NIST vede, následuje průmysl. Microsoft, Cisco, Symantec a RSA zahrnují algoritmus v kryptografických knihovnách svého produktu. To je z velké části proto, že dodržování norem NIST je předpokladem pro získání vládních zakázek USA.
kryptografické standardy certifikované NIST jsou do značné míry všudypřítomné po celém světě ve všech oblastech průmyslu a podnikání, které se spoléhají na soukromí. Celá situace je tak spíše mrazivá.
možná právě proto, že se tolik spoléhá na tyto standardy, odborníci na kryptografii nebyli ochotni čelit problému.
AES-CBC vs AES-GCM
až do nedávné doby byla jedinou šifrou AES, se kterou jste se pravděpodobně setkali ve světě VPN, AES-CBC (Cipher Block Chaining). To se týká režimu blokové šifry, složitého předmětu,který zde opravdu nestojí za to. Ačkoli CBC může teoreticky mít některé zranitelnosti, obecná shoda je, že CBC je bezpečná. CBC je skutečně doporučeno v příručce OpenVPN.
OpenVPN nyní také podporuje AES-GCM (režim Galios/Counter).
- GCM poskytuje autentizaci a odstraňuje potřebu hashovací funkce HMAC SHA.
- je také o něco rychlejší než CBC, protože používá hardwarovou akceleraci (navléknutím do více procesorových jader).
AES-CBC zůstává nejběžnějším režimem v obecném použití, ale nyní se začínáme setkávat s AES-GCM “ ve volné přírodě.“Vzhledem k výhodám GCM bude tento trend pravděpodobně pokračovat. Z kryptografického hlediska jsou tho9, AES-CBC i AES-GCM velmi bezpečné.
OpenVPN UDP vs. OpenVPN TCP
OpenVPN může běžet přes TCP (Transmission Control Protocol) nebo UDP (User Datagram Protocol).
- TCP = spolehlivý. Kdykoli počítač odešle síťový paket pomocí protokolu TCP, čeká na potvrzení, že paket dorazil před odesláním dalšího paketu. Pokud není přijato žádné potvrzení, odešle paket znovu. Toto je známé jako oprava chyb. Existuje“ zaručené doručení “ všech dat, ale může to být docela pomalé.
- UDP = rychle. Při použití UDP se taková oprava chyb neprovádí. Pakety jsou jednoduše odesílány a přijímány bez potvrzení nebo opakování. Díky tomu je UDP mnohem rychlejší než TCP, ale méně spolehlivý.
pokud máte na výběr, doporučuji použít rychlejší protokol UDP, pokud se neobjeví problémy s připojením. Toto je výchozí strategie přijatá většinou poskytovatelů VPN.
porazit cenzuru s OpenVPN na TCP portu 443
jednou z velkých výhod OpenVPN je, že může být spuštěn přes jakýkoli port, včetně TCP portu 443. Toto je port používaný protokolem HTTPS, šifrovaným protokolem, který zajišťuje všechny zabezpečené webové stránky.
bez HTTPS by nebyla možná žádná forma online obchodu, jako je nakupování nebo bankovnictví. Je proto velmi vzácné, aby byl tento port zablokován.
jako bonus může být provoz VPN na portu TCP 443 směrován uvnitř šifrování TLS stejným způsobem, jaký používá HTTPS. Díky tomu je mnohem těžší zjistit pomocí pokročilých technik hluboké kontroly paketů. TCP port 443 je proto oblíbeným portem pro vyhýbání se blokům VPN.
mnoho poskytovatelů VPN nabízí možnost Změnit číslo portu používané OpenVPN pomocí vlastního softwaru.
i když vaše ne, mnoho poskytovatelů VPN skutečně podporuje OpenVPN pomocí portu TCP 443 na úrovni serveru. Můžete na něj přepnout jednoduchou úpravou konfigurace OpenVPN (.ovpn). Proto stojí za to se na to zeptat svého poskytovatele VPN.
stojí za zmínku, že síťoví inženýři nemají rádi tuto taktiku, protože TCP přes TCP je velmi neefektivní. Pokud jde o porážku cenzury, často to však funguje.
SSTP používá TCP port 443 ve výchozím nastavení.
shrnutí
protokoly VPN
- PPTP je velmi nejistá a je třeba se jí vyhnout. Zatímco jeho snadné nastavení a kompatibilita mezi platformami jsou atraktivní, L2TP / IPsec má stejné výhody a je mnohem bezpečnější.
- L2TP / IPsec je dobré řešení VPN pro nekritické použití. To platí zejména pro starší zařízení, která nepodporují OpenVPN. NSA ji však vážně ohrozila.
- SSTP nabízí většinu výhod OpenVPN, ale je primárně pouze protokolem Windows. To znamená, že je lépe integrován do operačního systému, ale díky tomuto omezení je poskytovatelé VPN špatně podporováni. Kromě toho jeho proprietární povaha a skutečnost, že je vytvořena společností Microsoft, znamenají, že jí nevěřím.
- IKEv2 je velmi dobrý (bezpečný a rychlý) protokol. Zejména mobilní uživatelé mohou dokonce upřednostňovat OpenVPN kvůli jeho vylepšené schopnosti znovu se připojit při přerušení připojení k internetu. Pro uživatele Blackberry je to do značné míry jediná dostupná možnost. Pokud je to možné, použijte verze s otevřeným zdrojovým kódem.
- OpenVPN je ve většině případů doporučeným protokolem VPN. Je to rychlé, spolehlivé, bezpečné a open source. Nemá žádné skutečné nevýhody, per se., ale aby byla skutečně bezpečná, je důležité, aby byla implementována dobře. To znamená silné šifrování s dokonalým utajením vpřed.
šifrování OpenVPN
pokud jde o šifrování, ďábel je v detailu. Je běžné, že poskytovatelé VPN říkají, že používají“ ultra silné 256bitové “ šifrování AES OpenVPN, ale ve skutečnosti nám to moc neříká. AES-256 je skutečně silná šifra, ale pokud jsou jiné aspekty použité šifrovací sady slabé, vaše data nebudou bezpečná.
- Cipher-to chrání vaše aktuální data. AES-256 je nyní průmyslovým standardem a doporučuje se.
- Handshake-tím je zajištěno připojení k serveru VPN. RSA-2048+ nebo ECDH-384+ jsou bezpečné. Důležité RSA-1024 a Diffie-Hellman handshakes nejsou.
- hash authentication-vytvoří jedinečný otisk prstu, který se používá k ověření dat a certifikátů TLS (tj. HMAC SHA-1 je naprosto v pořádku, ale HMAC SHA-2 (SHA-256, SHA-384 a SHA-512) a HMAC SHA-3 jsou ještě bezpečnější! Všimněte si, že ověřování hash není vyžadováno, pokud je použita šifra AES-GCM.
- Perfect Forward Secrecy (PFS) – tím je zajištěno vytvoření nových šifrovacích klíčů pro každou relaci. OpenVPN by nemělo být považováno za bezpečné, pokud není implementováno PFS. To lze provést buď zahrnutím výměny klíčů Diffie-Hellman nebo ECDH do podání ruky RSA, nebo DH nebo ECDH handshake.
- šifrování je pouze tak bezpečné jako jeho nejslabší místo. To znamená, že nastavení šifrování by mělo být silné jak na datových, tak na řídicích kanálech.
- použití vyšších bitových délek pro šifry a klíče je téměř vždy bezpečnější, ale to přichází za cenu rychlosti.
OpenVPN bude sjednávat šifry mezi klientem a serverem dle libosti. Pokud nejsou definovány velmi specifické parametry, OpenVPN může výchozí slabé nastavení. Minimálně, OpenVPN bude výchozí pro Blowfish-128 cipher, RSA-1024 handshake bez PFS, a HMAC SHA-1 hash autentizace.
závěr
doufejme, že nyní máte lepší pochopení toho, co dělá pro bezpečné připojení VPN. Pokud však jde o správnou konfiguraci VPN, šifrování je pouze polovina příběhu. Druhá polovina zajišťuje, že žádný provoz nevstoupí nebo neopustí Váš počítač mimo připojení VPN.
Chcete-li se o tom dozvědět více, podívejte se na našeho úplného průvodce únikem IP.