رمزگذاری VPN چگونه کار می کند

شبکه های خصوصی مجازی (به طور خلاصه VPN) از تکنیکی به نام “رمزگذاری” استفاده می کنند تا داده های منتقل شده شما توسط هر شخصی که آن را رهگیری می کند کاملاً قابل خواندن نباشد.


در حالی که ریاضیات رمزگذاری بسیار پیچیده است ، به لطف دسترسی و سازگاری گسترده نرم افزار VPN ، در واقع استفاده و بهره مندی از رمزگذاری بسیار ساده است..

در این مقاله ، در مورد این موارد خواهید آموخت:

  • رمزگذاری VPN چیست و چگونه کار می کند
  • دو نوع رمزنگاری رمزنگاری (متقارن و نامتقارن)
  • قدرت رمزگذاری و مبادله سرعت / ایمنی
  • جوانب مثبت / منفی رمزگذاری های مختلف رمزگذاری
  • بهترین تنظیمات رمزگذاری برای نرم افزار VPN شما
  • چگونه رمزگذاری “حمله شده” است و چگونه می توانید از خود دفاع کنید
  • NSA ، و برداشت گسترده داده ها
  • رازداری کامل به جلو (آنچه در آن است ، و چرا شما می خواهید VPN که آن را ارائه می دهد).

مبانی رمزگذاری VPN

هدف رمزگذاری رمزگذاری داده های شما است به گونه ای که فقط گیرنده مورد نظر شما قادر به رمزگشایی (رمزگشایی) اطلاعات باشد. قرن ها پیش ، کدها ساده بودند زیرا رایانه ها وجود ندارند. برخی از کدها حتی به سادگی جایگزین کردن 1 حرف برای حرف دیگر (a = z b = x c = f) و غیره بودند. این نقشه از 1 حرف = برخی از نامه های دیگر به عنوان کلید. این اطلاعات مخفی است که برای شکستن کد لازم است. رمزگذاری VPN از همان مفهوم استفاده می کند ، اما در مقیاس بسیار قوی تر و پیچیده تر.

رایانه ها به ما این امکان را می دهند که در کسری از ثانیه ، عملیات ریاضی بسیار پیچیده ای را انجام دهیم. با استفاده از یک راز کلید با استفاده از تریلیون بر ارزش های مختلف ممکن ، یک VPN می تواند داده های شما را رمزگذاری کند (رمزگذاری کند) به گونه ای که رمزگشایی از نظر ریاضی غیرممکن باشد ، بدون اینکه بدانید کلید شما قبلاً آن را رمزگذاری کرده اید.

بدون کلید صحیح ، داده های شما فقط به نظر می رسد (با نام رمزگذاری متن). به عنوان مثال ، من از ابزار رمزگذاری پیام رایگان در aesencryption.net برای رمزگذاری پیام استفاده کردم:

“روباه قهوه ای سریع روی سگ تنبل پرید”

که به متن متن تبدیل شد …

“7KvDGFhsOp + 75keAU0TzcW2vj8VUDeUEBxIrMCL5bMYNmPwsEFQsL2NCVO54rP7L”

مثال رمزگذاری AES

اگر کلید (در این حالت “vpn”) را حتی با یک کاراکتر واحد تغییر دهید ، کل متن متن تغییر خواهد کرد.

درک شرایط رمزگذاری مشترک

بیایید به رایج ترین اصطلاحات در هنگام رمزگذاری VPN نگاه کنیم. متأسفانه ارائه دهندگان VPN حتی در اسناد راهنمایی خود از اصطلاحات تا حدودی پیشرفته ای استفاده می کنند ، با فرض اینکه مشترکان از قبل بدانند منظورشان چیست. بدیهی است که همیشه اینگونه نیست. این مرور کلی باید درک بهتری از مهمترین مفاهیم به شما بدهد.

پروتکل VPN

پروتکل VPN چارچوب انتقال داده و رمزگذاری است که توسط ارائه دهنده VPN شما استفاده می شود. بیشتر VPN ها دسترسی به چندین پروتکل از جمله PPTP ، L2TP / IPsec و OpenVPN را ارائه می دهند.

برخی پروتکل ها (مانند OpenVPN) بسیار انعطاف پذیر هستند و گزینه های مختلفی را در مورد حمل و نقل و رمزگذاری امکان پذیر می کنند. به عنوان مثال ، OpenVPN از كتابخانه رمزگذاری كامل OpenSSL پشتیبانی می كند كه به بیش از 10 رمزگذار رمزنگاری منحصر به فرد (الگوریتم) دسترسی می دهد..

برای کسب اطلاعات بیشتر در مورد پروتکل های VPN ، به راهنمای کامل پروتکل VPN ما مراجعه کنید: PPTP در مقابل L2TP در مقابل SSTP در مقابل OpenVPN که جوانب و منافع هر یک را به شما یاد می دهد و چه موقع پروتکل های خاص را انتخاب کنید. برای اکثر کاربران ، OpenVPN بهترین انتخاب همه جانبه است (تا زمانی که دستگاه شما از آن پشتیبانی کند).

کلید

کلید مانند رمز عبور فوق العاده قوی است که فقط توسط شما (به هر حال رایانه شما) و سرور VPN شناخته شده است. از این کلید برای رمزگذاری و رمزگشایی داده های ارسال شده یا دریافتی استفاده می شود.

طول کلیدی

کلیدهای کریتوگرافی در طول های مختلفی قرار دارند. به طور کلی ، قاعده این است: هر چه کلید طولانی تر باشد ، رمزگذاری قوی تر است. طول کلید در “بیت” اندازه گیری می شود. آ بیت یک واحد واحد کد باینری است (که فقط از 1 و 0 تشکیل شده است). طول کلیدهای رایج شامل 128 بیتی یا 256 بیتی است.

یک کلید 128 بیتی از 128 رقم باینری تشکیل شده است. از آنجا که هر بیت می تواند دو مقدار ممکن (1 یا 0) داشته باشد ، پس یک کلید 128 بیتی می تواند 2 داشته باشد128 ترکیبات احتمالی (تقریباً 3/4 10 10)38). اگر یک رایانه رایانه بتواند 1 میلیارد کلید در ثانیه را چک کند ، باز هم بیش از 10 طول خواهد کشید22 سال برای چک کردن هر کلید ممکن است.

به عبارت دیگر ، حتی یک قدرت رمزگذاری با امنیت متوسط ​​مانند AES-128 بسیار قوی است.

دستی RSA

این لرزش در ابتدای جلسه OpenVPN اتفاق می افتد. RSA یک روش رمزنگاری با کلید عمومی است که به شما امکان می دهد هر بار راه اندازی یک اتصال رمزگذاری شده با سرور VPN ایمن باشید..

این تکنیک باعث می شود هر بار که به VPN خود وصل شوید ، از یک کلید منحصر به فرد جدید استفاده کنید. بدون آن ، شما مجبورید از همان کلید بارها و بارها استفاده کنید (ایمن نیست) یا قبل از هر جلسه از طریق ایمیل یا روش دیگری (غیر عملی) یک کلید جدید دریافت کنید.

در مورد رمزگذاری نامتقارن بیشتر درباره RSA بحث خواهیم کرد ، اما اساساً این تکنیکی است که از ریاضیات بسیار پیچیده ای استفاده می کند تا به دو نفر (یا رایانه) اجازه دهد که بطور علنی کلیدهای مخفی را به صورت عمومی تبادل کنند ، بدون اینکه کسی دیگر بتواند کلید را به سرقت ببرد..

حداقل قدرت توصیه شده کلید برای دستی RSA 2048 بیتی است. چند ارائه دهنده VPN (مانند دسترسی به اینترنت خصوصی) در واقع کلیدهایی با قدرت 4096 بیتی ارائه می دهند.

رمزگذاری رمزگذاری / الگوریتم

رمزگذاری یا الگوریتم روشی خاص است که توسط آن ارائه دهنده VPN داده های شما را رمزگذاری می کند. هر رمزنگاری جوانب مثبت و منفی خود را دارد. به عنوان مثال ، برخی از رمزگذارها حملات شناخته شده کمتری (ضعف) دارند اما کندتر هستند. برخی دیگر با اندازه پرونده های بیش از 1 گیگابایت مبارزه می کنند.

برخی از ارائه دهندگان VPN گزینه های مختلف رمزگذاری را ارائه می دهند. متداولترین رمزگذارهای OpenVPN در دسترس هستند:

  1. AES (استاندارد رمزگذاری پیشرفته. به طور معمول با عنوان رمز Rijndael شناخته می شود)
  2. دمیدن (رمزگذار قدیمی ، اما سریع ایجاد شده توسط کارشناس امنیتی بروس اشنیر)

AES امن ترین گزینه ای است که به طور گسترده در دسترس است. تقریباً هر ارائه دهنده VPN رمزهای AES-128 و / یا AES-256 بیتی را ارائه می دهد.

احراز هویت SHA Hash

بیشتر سرویس های VPN همچنین قابلیت دسترسی دارند تصدیق کردن پیام های ارسال شده از طریق VPN. این کار با استفاده از هش SHA (Secure Hash Algorithm) برای امضای هر بسته داده انجام می شود.

Hash یک کارکرد یک طرفه است که برای محاسبه امضای بی نظیر برای هر بسته داده استفاده می شود. یک عملکرد یک طرفه به معنی محاسبه هش یک پیام بسیار آسان است ، اما بازآفرینی پیام اصلی از یک هش تقریباً غیرممکن است.

سپس امضای hashe به همراه داده های رمزگذاری شده منتقل می شوند. پس از دریافت و رمزگشایی داده ها ، VPN دوباره آن را هش می کند و هش جدید را با هشی که با پیام ارسال شده است مقایسه می کنید. اگر مطابقت داشته باشند ، داده ها معتبر هستند.

این محافظت در برابر حملات “فعال” است که ممکن است تلاش برای رهگیری ارتباطات شما و تزریق داده های مختلف باشد. زیرا مهاجم چنین چیزی را ندارد کلید برای رمزگذاری داده های تزریق شده ، هش ها مطابقت ندارند.

یکی دیگر از ویژگی های هشی کردن که آن را بسیار مفید می کند ، این است که به سادگی تغییر 1 کاراکتر در پیام ورودی ، به طور چشمگیری امضای هش حاصل شده را تغییر می دهد. مثالهای زیر را مقایسه کنید ، تنها تفاوت حروف بزرگ:

هش-مثال-1 هش-مثال-2

الگوریتم هاش

2 الگوریتم هش اصلی وجود دارد که توسط VPN ها برای امضا و تأیید اعتبار داده های خود استفاده می شود:

  • SHA-1 – این سریعترین روش تأیید اعتبار است اما اکنون نسبتاً آسیب پذیر تلقی می شود. یکی از محققان هزینه شکستن یک هش تک را 2.77 میلیون دلار تخمین زده است. بعید است کسی هزینه این نوع پول را برای آشفتگی با داده های VPN شما خرج کند ، مگر اینکه شما یک مشکل ساز واقعی باشید.
  • SHA-2 – این استاندارد رمزنگاری فعلی است ، و در واقع تعدادی از الگوریتم های مختلف هش را شامل می شود. محبوب ترین آن SHA-256 است. این روش نسبت به SHA-1 ایمن تر است (اگر بسیار محتاط هستید) اما کمی آهسته تر ، بنابراین استفاده از این الگوریتم احتمالاً سرعت VPN شما را کندتر می کند مگر اینکه در یک ماشین خیلی سریع باشید.

تقارن در مقابل رمزگذاری نامتقارن

هنگامی که از OpenVPN یا L2TP / IPsec استفاده می کنید ، در واقع از 2 نوع مختلف الگوریتم رمزگذاری استفاده خواهید کرد: متقارن و نامتقارن. برای یک آغازگر سریع ، می توانید این ویدیو را توضیح دهید که هریک را توضیح می دهد:

رمزگذاری متقارن

رمزگذاری متقارن یعنی شما از همین استفاده می کنید کلید به رمزگذاری و رمزگشایی داده. این بدان معنی است که شما و سرور VPN از همان کلید مشترک استفاده می کنید. پس از برقراری اتصال VPN ، تمام داده ها از طریق پروتکل های رمزگذاری متقارن رمزگذاری و منتقل می شوند.

AES و دمیدن هر دو الگوریتم متقارن هستند.

مزیت رمزگذاری متقارن این است که بسیار کارآمد و سریع است. این بدان معنی است که برای رمزگذاری و رمزگشایی داده ها به قدرت پردازش رایانه زیادی احتیاج ندارید. در نتیجه ، برای انتقال سریع مقدار زیادی از داده ها بسیار مفید است.

علاوه بر این ، رمزنگاری متقارن برای تأمین همان میزان امنیت در مقایسه با پروتکل نامتقارن مانند RSA ، به اندازه کلیدهای بسیار کوتاهتر نیاز دارد. کلیدهای کوتاه به معنی محاسبه سریعتر و سرعت بهتر است.

اندازه کلید متقارن معمولی 128 ، 192 و 256 بیت است.

یکی از ضعف های رمزگذاری متقارن

رمزگذاری متقارن دارای یک ضعف بزرگ است. شما به روشی نیاز دارید تا بتوانید بین دو طرف تبادل اطلاعات را به صورت ایمن به اشتراک بگذارید. یک روش برای به اشتراک گذاشتن کلید استفاده از یک رمز عبور است که به عنوان کلید عمل می کند.

نقطه ضعف این روش این است که هر جلسه VPN از همان کلید استفاده می کند (تا اینکه رمز خود را تغییر ندادید) به این معنی که اگر این کلید تاکنون کشف شده باشد ، به یک مهاجم امکان می دهد تا 100٪ داده های رمزگذاری شده با آن کلید را رمزگشایی کند..

راه حل?

با اطمینان یک کلید متقارن جدید برای هر جلسه VPN مبادله کنید. به این ترتیب ، اگر 1 کلید به خطر بیفتد ، داده های جلسات گذشته یا آینده را به خطر نمی اندازد. اما چگونه می توانید کلید را با اطمینان از طریق شبکه عمومی تبادل کنید؟ اینجاست رمزگذاری نامتقارن جلو می آید.

رمزگذاری نامتقارن

رمزگذاری نامتقارن نوعی از است رمزنگاری کلید عمومی که در آن هر شخص در حال تبادل داده 2 کلید دارد:

  1. یک کلید عمومی (برای رمزگذاری داده ها استفاده می شود)
  2. یک کلید خصوصی (برای رمزگشایی داده ها)

خدمات VPN از رمزگذاری نامتقارن برای تبادل کلید رمزنگاری متقارن جدید در شروع هر جلسه VPN استفاده می کنند.

روش کار این است:

هر شخص در حال تبادل داده 2 کلید دارد. یک کلید عمومی است (همه می توانند آن را ببینند) و دیگری خصوصی است (کسی نباید این کلید را داشته باشد اما شما). کلیدهای عمومی و خصوصی شما با یکدیگر متفاوت خواهد بود ، و همچنین با کلیدهای عمومی و خصوصی شخصی که با آنها مبادله داده می کنید متفاوت است.

برای ارسال پیام:

شخص A پیام را با شخص B رمزگذاری می کند کلید عمومی.

این کلید عمومی فقط می تواند مورد استفاده قرار گیرد رمزگذاری پیام ، پس از رمزگذاری ، نمی توان از آن استفاده کرد رمزگشایی پیام.

سپس شخص B از آنها استفاده می کند کلید خصوصی به رمزگشایی پیام شخص A.

دلیل کار این روش به این دلیل است که دو کلید (عمومی و خصوصی) از لحاظ ریاضی به گونه ای مرتبط هستند که می توان از کلید خصوصی برای رمزگشایی تمام پیام های رمزگذاری شده با کلید عمومی استفاده کرد. با این حال تعداد موجود بسیار زیاد است و الگوریتم رمزگذاری به گونه ای طراحی شده است که حدس زدن کلید خصوصی بر اساس کلید عمومی غیرممکن است..

این نوع مبادله عمومی به عنوان مبادله کلید Diffie-Hellman شناخته می شود و مبنای رازداری رو به جلو است (که بعدا در مورد آن صحبت خواهیم کرد).

الگوریتم های نامتقارن

رایج ترین الگوریتم رمزگذاری نامتقارن RSA است که برای دستیابی به OpenVPN برای تبادل کلیدهای جلسه متقارن استفاده می شود. RSA معمولاً از کلیدهای 2048 بیتی یا 4096 بیتی استفاده می کند. از آنجا که کلید عمومی برای همه قابل مشاهده است ، برای اطمینان از این کلیدها باید خیلی طولانی تر شود.

اگر نمی دانید یک کلید 2048 بیتی چه مدت است ، اینجا ریاضی است:

یک کلید 2048 بیتی 2 دارد2048 ترکیبات احتمالی ، که تقریباً 3.23 x 10 است616 ترکیبات مختلف.

چرا رمزگذاری نامتقارن فقط برای دست زدن به VPN استفاده می شود

ضرر رمزگذاری نامتقارن بسیار سریع یا کارآمد نیست (زیرا تعداد درگیرها بسیار زیاد است). در نتیجه ، معمولاً فقط در شروع جلسه برای تبادل کلیدهای رمزگذاری متقارن (خیلی سریعتر) استفاده می شود.

حمله به رمزگذاری VPN

در سراسر جهان ، تلاش های گسترده ای برای رمزگشایی توسط دولت ها ، سازمان های جاسوسی (مانند NSA) و اتحاد جاسوسی (مانند اتحاد پنج چشم) انجام می شود. هدف نهایی امکان برداشت و رمزگشایی 100٪ از ترافیک رمزگذاری شده VPN در جهان است.

در حال حاضر ، آنها هیچ جا در نزدیکی این معیار نیستند ، اما اسناد منتشر شده اسنودن نشان می دهد که NSA با برنامه های رمزگشایی خود ، به خصوص در رابطه با رمزگشایی ترافیک PPTP و L2TP / IPsec ، موفقیت قابل قبولی دارد. تاکنون ، به نظر می رسد OpenVPN نسبتاً ناخوشایند است.

دو دسته اصلی از حملات وجود دارد:

حملات فعال

حملات فعال بر روی رمزگذاری عموماً حملات شخصی در وسط است که شامل دستکاری یا تغییر داده های ارسال شده از طریق تونل VPN به رایانه شما است. هدف ، شناسایی الگوهای مبتنی بر داده های دستکاری شده است که کار رمزگشایی داده ها یا حدس زدن کلید مخفی را آسان تر می کند.

بهترین دفاع در برابر حملات فعال ، تأیید هویت است ، که می تواند صحت بسته های داده منتقل شده را تأیید کند. تقریباً تمام ارائه دهندگان اصلی VPN به طور خودکار احراز هویت را در پروتکل های OpenVPN خود ایجاد می کنند.

علاوه بر این ، حملات فعال نباید نگران کننده 99.99٪ از مردم VPN استفاده کننده باشد. حمله فعال یک حمله هدفمند علیه یک کاربر خاص یا سرویس یا رایانه است. بسیار بعید است که بازدید کنندگان این سایت برای ایجاد آن سطح مورد علاقه یک آژانس جاسوسی ، اقدامی انجام دهند.

حملات منفعل

حمله غیرفعال معمولاً پس از پایان جلسه VPN رخ می دهد. NSA مقادیر زیادی از داده های رمزگذاری شده را در سرورهای خود ذخیره می کند تا زمانی که رمزگشایی شود.

ساده ترین شکل یک حمله غیرفعال ، یک حمله بی رحمانه است ، که به سادگی ترکیبات کلیدی مختلف را امتحان می کند تا اینکه فرد موفق به رمزگشایی داده ها شود. با سریعتر شدن رایانه ها ، حملات نیروی بی رحم بیشتر و کارآمد تر می شوند (اما با ساختن کلیدهای VPN طولانی تر و طولانی تر می شود)..

دو دفاع برتر در برابر حملات منفعل عبارتند از:

  1. رمزگذاری قوی تر (کلیدهای طولانی تر. 256 بیتی در مقابل 128 بیت).
  2. رازداری کامل Forward Forward (از کلیدهای مختلف برای هر جلسه استفاده کنید).

چه تنظیمات رمزگذاری VPN باید استفاده کنید?

ما غالباً در مورد اینکه از چه الگوریتمی ، قدرت رمزگذاری و نحوه تأیید اعتبار استفاده می شود ، سؤال می شود. امیدوارم این موارد برای شما روشن شود.

قانون شماره 1 – در صورت امکان از OpenVPN استفاده کنید

شواهد زیادی وجود دارد مبنی بر اینکه PPTP و L2TP / IPSec در برابر شواهد رمزگشایی NSA آسیب پذیر یا کاملاً به خطر می افتند. از طرف دیگر ، شواهد بسیار کمی وجود دارد که نشان می دهد NSA موفق به شکستن رمزگذاری AES (محبوب ترین الگوریتم مورد استفاده در OpenVPN) است..

حتی بهتر ، OpenVPN پروتکل ساخته شده در بیشتر رایانه های شخصی VPN دسک تاپ و برنامه های تلفن همراه است (که ممکن است اکثر مردم برای اتصال به سرویس VPN خود تصمیم بگیرند) بنابراین یک تغییر خوب وجود دارد که شما قبلاً از OpenVPN استفاده می کنید.

قانون شماره 2 – احتمالاً نیازی به رمزگذاری 256 بیتی ندارید (اما به هر حال احساس راحتی کنید که از آن استفاده کنید).

AES-128 هنوز هم امن در نظر گرفته شده است و بطور منظم توسط كسب و كارها و دولتها برای ارتباطات ایمن مورد استفاده قرار می گیرد. بسیار بعید است که کسی به طور خاص رمزگشایی داده های شما را هدف قرار دهد ، یا اینکه NSA به آنچه که شما واقعاً آنلاین انجام می دهید علاقه مند باشد..

از آنجا که AES-128 به طور قابل توجهی سریعتر از AES-256 است ، بیشتر کاربران بهتر است رمزگذاری 128 بیتی را انتخاب کنند (اگر می خواهید سرعت خود را به حداکثر برسانید).

اگر با این حال ، شما به طور کلی نگران نگه داشتن اطلاعات خود در حد امکان (تا حد امکان) هستید ، قطعاً از رمزگذاری 256 بیتی استفاده کنید.

قانون شماره 3 – AES از Blowfish مطمئن تر است (تا آنجا که می دانیم)

دو الگوریتم متداول ارائه شده توسط ارائه دهندگان اصلی VPN AES (با طعم های 128-256 بیتی) و CBC Blowfish هستند. Blowfish دارای آسیب پذیری های شناخته شده ای است ، و حتی سازنده آن (Bruce Schneier) توصیه می کند از جانشینان خود (Twofish یا Threefish) استفاده کنید ، اما هیچ یک از algo شاهد پذیرش زیادی در بین ارائه دهندگان اصلی نیست..

یکی از مضرات AES این است که یک استاندارد NIST است که با برکت NSA به تصویب رسید (حداقل تا حدی). آیا این بدان معنی است که یک ضعف پنهان فقط برای آنها شناخته شده است؟ احتمالاً نه ، اما ممکن است. NSA ظاهراً در گذشته سعی در تضعیف عمد استانداردهای رمزنگاری کرده است.

افکار اضافی

پیشنهاد اصلی من این است. اگر می خواهید سرعت های خود را به حداکثر برسانید (در حالی که هنوز هم امنیت محکم دارید) پس از آن AES-128 را انتخاب کنید. اگر امنیت از نظر سرعت بیشتر برای شما مهم است ، به سراغ AES-256 بروید.

اگر مطمئن نیستید از کدام الگوریتم از VPN استفاده می کند ، اسناد راهنمایی آنها را بررسی کنید یا فقط از پشتیبانی بخواهید.

شما همیشه باید تأیید هویت SHA را فعال کنید (بیشتر VPN ها به شما امکان نمی دهند که به هر حال آن را غیرفعال کنید). سربار سرعت / محاسباتی در مقایسه با مزایای امنیتی تأیید هویت داده ها حداقل است.

اگر می خواهید کنترل بیشتری داشته باشید ، ارائه دهنده VPN را انتخاب کنید که تنظیمات رمزگذاری بیشتری را ارائه می دهد. دسترسی به اینترنت خصوصی یکی از بهترین مواردی است که ما پیدا کرده ایم و به شما می دهد کنترل قدرت رمزگذاری ، دست زدن و روش احراز هویت را کنترل کنید.

تنظیمات رمزگذاری دسترسی خصوصی به اینترنت

تنظیمات رمزگذاری PIA (مخلوط خوبی از امن ، اما سریع).

رازداری کامل جلو

پنهان کاری کامل Forward Forward (PFS) همچنین به عنوان ‘Forward Secrey known شناخته می شود و روشی برای ارتباطات ایمن است که در آن هر جلسه از کلید دیگری استفاده می شود و رمزگشایی یا مصالحه یک جلسه باعث افزایش آسیب پذیری دیگر نمی شود..

برای استفاده از VPN از PFS ، دو چیز باید صادق باشند:

  1. هر جلسه VPN باید از یک کلید رمزگذاری منحصر به فرد استفاده کند
  2. کلید جدید نباید از کلیدهای قبلی گرفته شود (بلکه در عوض به طور تصادفی تولید می شود).

کلید اصلی (PEN در نظر گرفته شده) برای PFS ، تبادل کلید Diffie-Hellman است که در بخش زیر نامتقارن (کلید عمومی) در این مقاله قبلاً بحث کردیم. این روش تبادل کلید به شما و سرور VPN اجازه می دهد تا هر بار که به یک سرور VPN وصل می شوید ، کلید جلسه جدید را به راحتی تبادل کنید..

PFS به طور فزاینده ای با اتصالات وب ایمن HTTPS نیز مورد استفاده قرار می گیرد. گوگل اولین کسی بود که این استاندارد را پذیرفت ، اما صدها وب سایت اکنون از این درخواست پیروی کرده اند.

در گذشته ، اگر یک کلید رمزگذاری وب سایت ها شکسته می شد ، تمام داده های ارسالی به / از آن سایت آسیب پذیر خواهند بود. اکنون ، هر جلسه بازدید یا جلسه وب سایت با یک کلید جدید و منحصر به فرد رمزگذاری شده است.

چگونگی بررسی رازداری کامل Forward Forward

برای دیدن اینکه آیا بانک ، کارت اعتباری یا وب سایت جستجو مورد علاقه شما از اسرار کامل رو به جلو استفاده می کند ، به سادگی روی نماد “قفل” در سمت چپ url در نوار مرورگر خود کلیک کنید:

Torguard از امنیت کاملی برای جلو استفاده می کند

گواهی SSL Torguard

سپس بر روی فلش در بالا سمت راست کلیک کنید ، و اگر پنجره ای را با اطلاعات بیشتر در اختیار شما قرار می دهد ، کلیک کنید. شما در جستجوی یک خط در جزئیات فنی هستید که می گوید “ECDHE” به معنی تبادل منحنی بیضوی Hellie Exchange. مبادله DH برای PFS لازم است. به عنوان مثال ، اینجا Torguard است:

رازداری کامل Torguard ECDHE به جلو

Torguard از PFS استفاده می کند

از طرف دیگر ، بانک مرکزی آمریکا (Yikes!).

BOA راز کامل رو به جلو

بانک آمریکایی از رازداری کامل رو به جلو استفاده نمی کند

گواهینامه های وب سایت هایی را که بیشتر از آنها استفاده می کنید بررسی کنید. اگر آنها از PFS استفاده نمی کنند ، به آنها بگویید که شما نگران هستید. در این روز و سن ، هیچ بهانه ای برای مؤسسات مهم مالی وجود ندارد که از اجرای جدیدترین استانداردهای رمزگذاری جلوگیری کنند.

خلاصه و افکار نهایی

اگر این مورد را تا کنون خوانده اید ، اکنون باید درک درستی از نحوه رمزگذاری و رمزگشایی ، تفاوت بین رمزگذاری متقارن و نامتقارن و نحوه همکاری آنها برای ایجاد یک تونل VPN امن داشته باشید..

به طور خلاصه ، نکات اصلی این مقاله ذکر شده است:

  • رمزگذاری مبتنی بر توابع ریاضی است که داده ها را به روشهایی تحریف می کنند که بدون داشتن راز ، معکوس کردن آنها دشوار است کلید برای رمزگذاری داده ها در وهله اول استفاده می شود.
  • OpenVPN و IPsec از رمزنگاری نامتقارن و متقارن برای انتقال داده استفاده می کنند. “Handshake” از رمزگذاری نامتقارن برای به اشتراک گذاشتن کلید رمزنگاری متقارن منحصر به فرد برای جلسه استفاده می کند. سپس داده های مربوط به آن جلسه با کلید متقارن رمزگذاری می شوند. رمزگذاری متقارن بسیار سریعتر و کارآمدتر از نامتقارن است.
  • رمزگذاری AES 128 بیتی باید برای اکثر کاربران به اندازه کافی قوی باشد ، و ترکیبی مناسب از امنیت و سرعت است. اگر به حداکثر امنیت مطلق احتیاج دارید ، پس از آن رمزگذاری 256 بیتی را انتخاب کنید.
  • تأیید هویت SHA برای تأیید اینکه داده های VPN ورودی / خروجی شما تغییر یافته یا دستکاری نشده است استفاده می شود. این مانع از حملات “فعال” می شود.
  • رازداری کامل Forward Forward برای رمزگذاری هر جلسه VPN از یک کلید متقارن منحصر به فرد استفاده می کند. این بدان معنی است که یک مهاجم مجبور است هر جلسه را جداگانه رمزگشایی کند ، و رمزگشایی یک نفر آنها را قادر به رمزگشایی جلسات قبلی یا بعدی VPN نمی کند. بیشتر خدمات اصلی VPN به طور پیش فرض PFS سازگار است (در صورت استفاده از OpenVPN).

با تشکر از خواندن ، و لطفا هر گونه سؤال را در نظرات بگذارید. ما تمام تلاش خود را خواهیم کرد تا به آنها پاسخ دهیم.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map