Adakah VPN anda menggunakan Kerahsiaan Maju Sempurna? | VPNU

Perfect Forward Secrecy (atau hanya ‘Forward Secrecy’) adalah ciri privasi yang berharga yang dapat menjadikan sesi VPN anda lebih selamat, dan membantu mencegah penyahsulitan sejarah web anda.


Wikipedia mendefinisikan Kerahsiaan Maju sebagai:

“… harta protokol komunikasi yang selamat di mana kompromi kunci jangka panjang tidak mengganggu kunci sesi yang lalu.”

Maksudnya secara sederhana ialah:

Fikirkan penyulitan VPN seperti kombinasi kunci / kunci. Dengan kerahsiaan maju yang sempurna, setiap sesi VPN menggunakan kombo kunci / kunci yang berbeza, jadi walaupun seseorang mencuri (atau meneka) satu kunci, mereka tidak akan dapat membuka (mendekripsi) sesi VPN lain.

Perfect Forward Secrecy (PFS) adalah lompatan besar dalam teknologi privasi, dan VPN yang melaksanakannya akan jauh lebih berkesan untuk menjaga keselamatan aktiviti internet anda, dan terjamin.

Dalam artikel ini, kami akan menerangkan Kerahsiaan Terus secara terperinci, serta menunjukkan kepada anda penyedia / protokol VPN mana yang menawarkannya.

VPN Terbaik dengan Kerahsiaan Maju Sempurna

Ini adalah senarai pendek penyedia VPN yang disyorkan yang menerapkan PFS di rangkaian VPN mereka. Senarai ini tidak termasuk setiap penyedia VPN dengan kerahsiaan ke hadapan.

Seperti yang akan anda pelajari nanti, OpenVPN (apabila dikonfigurasi dengan betul) membolehkan PFS langsung keluar dari kotak. Oleh itu, mana-mana pembekal yang menggunakan OpenVPN sekurang-kurangnya berkebolehan kerahsiaan ke hadapan.

PangkatPenyedia VPN (ulasan)Dasar PembalakanHarga terbaikLaman web

1

Akses Internet Peribadisifar balak$ 3.33 / mLawati

2

VPN.acLog sambungan 1 hari$ 4.83 / mLawati

3

IPVanishlog sambungan$ 4.80 / mLawati

4

Proksi.shsifar balak$ 3.33 / mLawati

5

ExpressVPNlog sambungan$ 8.32 / mLawati

Apa itu Kerahsiaan Maju Sempurna?

Untuk mempunyai kerahsiaan maju yang sempurna (untuk VPN) setiap sesi VPN mesti menggunakan yang unik kunci (digunakan untuk mengenkripsi transmisi anda) yang tidak berasal dari sesi atau kunci sebelumnya.

Kelebihannya adalah mudah: walaupun penyerang entah bagaimana mencuri atau meneka kunci 1 sesi yang disulitkan, mereka tidak akan dapat menyahsulit mana-mana sesi VPN yang lalu atau yang akan datang, kerana kunci itu hanya akan digunakan sekali (oleh anda).

Beberapa penyedia VPN malah mengubah kunci penyulitan pada pertengahan sesi. Sebagai contoh, Akses Internet Peribadi memutar kunci setiap 60 minit, yang memastikan keselamatan anda walaupun dalam sesi VPN yang panjang (berfikir hari atau minggu).

Keperluan Kerahsiaan Maju Sempurna

Agar komunikasi VPN anda mempunyai PFS, perkara berikut mesti berlaku:

  1. Setiap sesi VPN menggunakan kunci penyulitan baru yang unik
  2. Kekunci baru tidak diperoleh daripada sesi sebelumnya

Kelebihan menggunakan PFS

Bayangkan anda menginap di hotel tetapi anda kehilangan kunci bilik anda. Meja depan menjadikan anda kunci baru, tetapi sebenarnya tidak mengubah kod kunci pada kad.

Sekarang bayangkan bahawa setiap kali anda menginap di bilik hotel seumur hidup anda, kunci bilik anda menggunakan kod kunci yang sama. Sesiapa yang menjumpai kunci yang anda turunkan akan mempunyai akses tanpa had ke setiap bilik hotel tempat anda menginap, untuk hidup. Tidak begitu selamat?

Begitulah cara VPN berfungsi tanpa kerahsiaan maju yang sempurna. Sekiranya seseorang berjaya mencuri, meneka, atau menemui kunci penyulitan anda, mereka akan mempunyai akses tanpa had ke apa sahaja penghantaran yang disulitkan menggunakan kunci itu.

Dengan kerahsiaan ke hadapan yang sempurna, setiap kunci sesi adalah unik, jadi kunci lama tidak dapat menyahsulitkan komunikasi baru anda. Pada akhir sesi VPN, anda boleh menyiarkan kunci penyulitan anda di twitter dan sama sekali tidak akan merosakkan keselamatan masa depan anda.

Bagaimana Kerahsiaan Maju Sempurna berfungsi

Tidak seperti protokol penyulitan yang lebih lemah yang bergantung pada kunci penyulitan yang sama berulang-ulang (seperti yang berasal dari kata laluan), Kerahsiaan Maju Sempurna memerlukan pelayan VPN untuk menghasilkan yang baru kunci penyulitan pada permulaan setiap sesi.

Penting juga untuk ini kunci ditukar dengan selamat (jadi lelaki di tengah tidak dapat mencuri kunci dan mendekripsi lalu lintas anda).

Kaedah pertukaran selamat ini dipanggil pertukaran kunci Diffie-Hellman (dicipta pada tahun 1976), dan dinamakan untuk penciptanya (yang baru sahaja memenangi hadiah Turing untuk pengkomputeran pada tahun 2015).

BERKAITAN: Terma enkripsi dijelaskan, termasuk Diffie-Hellman, kriptografi Asimetrik vs Simetri, dan algoritma penyulitan.

Walaupun diciptakan 40 tahun yang lalu, pertukaran Diffie-Hellman (dan varian yang lebih baru dengan prinsip yang sama) masih digunakan untuk memastikan privasi dan keselamatan untuk sambungan yang disulitkan hari ini.

Penerangan terbaik mengenai bagaimana pertukaran Diffie-Hellman berfungsi pada asasnya terdapat dalam video akademi Khan ini:

Dua peringkat sambungan VPN

Terdapat dua fasa sambungan VPN apa pun (ketika menggunakan PFS). The berjabat tangan, dan juga fasa terowong.

Jabat Tangan

Jabat tangan berlaku pada awal sesi, dan di sinilah berlaku pertukaran Diffie-Hellman. Tujuannya adalah untuk mengesahkan kedua-dua pelayan (penyedia VPN) dan pelanggan (anda) dan kemudian tukar kunci penyulitan dengan selamat yang akan digunakan untuk menyulitkan semua data semasa sesi VPN.

Sama ada atau tidak sambungan anda mempunyai PFS bergantung sepenuhnya pada cara jabat tangan dikonfigurasi.

Terowong

Fasa tunneling adalah fasa utama sambungan VPN. Setelah kunci penyulitan ditukar antara anda dan pelayan VPN (semasa berjabat tangan), kini anda dapat menggunakannya untuk mengenkripsi, mengirim, dan menyahsulitkan data yang dikirim melalui terowong VPN.

Protokol VPN mana yang mempunyai Kerahsiaan Maju yang Sempurna?

Sementara beberapa protokol VPN adalah PFS berkebolehan, sebenarnya melaksanakan kerahsiaan ke hadapan memerlukan peraturan konfigurasi khusus oleh penyedia VPN anda. Jadi hanya kerana L2TP / IPsec boleh gunakan PFS, tidak bermaksud dikonfigurasikan untuk melakukannya.

Dua protokol VPN yang paling sering digunakan dengan PFS adalah: OpenVPN dan L2TP / IPsec.

BukaVPN

OpenVPN adalah protokol VPN yang sangat kuat dan fleksibel, dan merupakan tenaga kerja di sebalik kebanyakan perisian VPN kelas pengguna di luar sana. Ini sepenuhnya dapat PFS di luar kotak, dan sebahagian besar VPN yang menawarkan sambungan OpenVPN akan menggunakan kerahsiaan ke depan secara lalai.

L2TP / IPsec

Walaupun L2TP tidak selalu menggunakan PFS, PFS berkat IKE dan IKEv2 (Internet Key Exchange) yang membolehkan pertukaran gaya Diffie-Hellman semasa berjabat tangan VPN.

Penyedia VPN yang menawarkan Kerahsiaan Maju Sempurna

Ini adalah beberapa penyedia VPN kegemaran kami yang serasi sepenuhnya dengan PFS (dengan OpenVPN dan L2TP / IPSec). Mereka bukan satu-satunya pilihan, tetapi mereka semua adalah syarikat terkenal dengan rangkaian yang kuat dan perisian yang kaya dengan ciri.

Ketika memilih VPN, kepercayaan dan reputasi adalah 2 faktor yang paling kritikal.

Akses Internet Peribadi

Akses Internet Peribadi (dikenali sebagai PIA) adalah penyedia VPN tanpa pembalakan sebenar yang berpusat di Amerika Syarikat. Mereka secara meluas dianggap sebagai salah satu penyedia VPN yang paling mesra torrent dan privasi di dunia. Tidak hairanlah perisian mereka menggunakan Perfect Forward Secrecy secara lalai.

Majukan Kerahsiaan dengan PIA

Terdapat banyak perbincangan di forum PIA, mengenai penjelasan mengenai apakah itu VPN yang didayakan PFS. Sebagaimana log penyelesaian masalah VPN pelanggan ditunjukkan dalam tangkapan skrin di bawah, PIA menjalankan mod OpenVPN dan menggunakan pertukaran Diffie-Hellman (disingkat DHE) yang menjadi asas PFS.

Akses Internet Peribadi menggunakan kerahsiaan hadapan yang sempurna

PIA menggunakan pertukaran kunci DHE (Kerahsiaan Maju Sempurna)

dan tentu saja, ada perbincangan PIA sendiri mengenai penggunaan ‘Ephemeral Keys’ mereka di halaman bantuan penyulitan mereka:

Kekunci sementara PIA dan PFS

PIA menggunakan kunci ‘sementara’ (sementara), sehingga memungkinkan Kerahsiaan Teruskan

Ciri-ciri lain:

Di luar PFS, PIA menawarkan beberapa ciri privasi & keselamatan yang terkenal. Antaranya:

  • ‘Dasar Sifar Log’ legenda mereka
  • Kekuatan penyulitan yang boleh disesuaikan dan pilihan cipher
  • Proksi SOCKS5 disertakan
  • Kelajuan / lebar jalur yang tidak terhad
  • Harga bermula dari $ 3,33 / bulan.

Baca Ulasan Akses Internet Peribadi kami untuk ciri, spesifikasi, dan analisis keselamatan penuh. Atau sampai ke bahagian yang menyeronokkan dan…

Lawati Akses Internet Peribadi


VPN.AC

VPN.ac adalah penyedia VPN pertama yang berpusat di Romania. Pasukan mereka sentiasa menginovasikan ciri keselamatan baru, termasuk menggunakan pelayan DNS peribadi sifar log (disamarkan dengan berjuta-juta pertanyaan DNS rawak), peluasan proksi selamat untuk chrome dan Firefox, dan tentu saja…kerahsiaan hadapan yang sempurna.

Kerahsiaan Maju Sempurna dengan VPN.ac

VPN.ac dengan jelas mengiklankan kemampuan Kerahsiaan Maju mereka langsung di halaman ‘Ciri-ciri’ mereka. Mereka juga mengiklankan enkripsi dan cipher suite yang sangat kuat, yang memenuhi standard industri:

VPN.ac menggunakan Kerahsiaan Maju Sempurna

Penyulitan kelas ketenteraan ditambah PFS (Kerahsiaan Maju Sempurna)

Dan sudah tentu saya dapat mengesahkan bahawa OpenVPN menggunakan pertukaran kunci Diffie-Hellman dengan melihat log sambungan dalam perisian VPN saya:

Log pertukaran VPN.ac Diffie-Hellman

TLS dengan ECDHE-RSA = Kerahsiaan Maju Sempurna

Ciri-ciri lain

VPN.ac berbangga menawarkan keselamatan yang lebih baik dan lebih kuat daripada pesaing mereka. Senarai ciri yang mengagumkan termasuk:

  • Kawalan Penyulitan Tersuai – pilih kekuatan & cipher penyulitan pilihan anda. Anda bahkan boleh menggunakan algoritma DHE canggih seperti ECC (Elliptic Curve Cryptography).
  • Pelayan DNS sifar log yang disulitkan – Jangan bimbang tentang ISP anda (atau bahkan NSA) mengintip sejarah web anda. Semua carian DNS dengan vpn.ac dienkripsi, tidak dicatat dan dikaburkan dengan berjuta-juta permintaan DNS yang dihasilkan secara rawak.
  • Pelayan P2p / Torrent Dioptimumkan – VPN.ac membolehkan bittorrent dan filesharing di semua lokasi pelayan, tetapi mereka mengesyorkan anda menggunakan pelayan yang dioptimumkan P2P mereka yang mempunyai lebar jalur yang besar, perutean paket p2p yang lebih baik, dan terletak di negara-negara yang ramah-file.

Semua rancangan termasuk kelajuan / lebar jalur tanpa had, dan polisi pembayaran balik 7 hari. Harga bermula serendah $ 4.83 / bulan.

Cuba VPN.ac Tanpa Risiko selama 7 Hari

Penggunaan bukan VPN untuk Kerahsiaan Maju Sempurna

Terdapat satu lagi bentuk trafik web yang dienkripsi yang lebih lazim daripada penggunaan VPN: lalu lintas web HTTPS / SSL.

Kami telah membincangkan https menggunakan PFS dalam artikel sebelumnya, tetapi mari kita lakukan lagi.

Tetapi izinkan saya menjelaskan satu perkara sebelum kita memulakan…

HTTPS boleh dilaksanakan dengan Kerahsiaan Maju Sempurna, tetapi malangnya biasanya tidak. Berita baiknya ialah trend mula berubah.

Kami akan melihat faedah menggunakan PFS dan HTTPS bersama-sama, tetapi mungkin kita harus bermula pada awal…

Apa itu HTTPS?

Anda mungkin sudah mengetahui bahawa laman web menggunakan protokol HTTP. Itulah sebabnya setiap alamat web bermula ‘http: // www … “.

HTTPS hanyalah bentuk protokol http yang disulitkan.

HTTPS adalah yang memungkinkan untuk membeli-belah dalam talian. Tanpa itu, sesiapa yang mengintip lalu lintas laman web boleh mencuri maklumat peribadi apa pun yang anda pindahkan ke / dari laman web, seperti:

  • log masuk / kata laluan
  • Nombor Keselamatan Sosial
  • Maklumat kad kredit

Dari segi teknikal, HTTPS adalah protokol HTTP, disulitkan dengan SSL (lama) atau TLS penggantinya. Betul… TLS, pustaka penyulitan yang sama yang digunakan dengan OpenVPN yang memungkinkan Kerahsiaan Penerusan Sempurna mungkin.

Yang menggunakan HTTPS?

Anda dapat mengenal pasti kapan laman web menggunakan https dengan ikon ‘Kunci’ di bar penyemak imbas anda, dan juga ‘https: //’ pada permulaan alamat web di bar URL penyemak imbas anda. Berikut adalah beberapa contoh:

Setiap peruncit dalam talian utama menggunakan https di keranjang belanja (untuk mendapatkan maklumat pembayaran anda) dan sering di seluruh laman web.

Kereta Amazon menggunakan https

Google menggunakan https sepenuh masa untuk mengenkripsi hasil carian anda dan melindungi privasi anda.

Google menggunakan 100% https

Bank, syarikat kad kredit dan broker dalam talian anda semua menggunakan https untuk memastikan maklumat kewangan sensitif anda selamat.

Mengapa HTTPS harus menggunakan Kerahsiaan Maju Sempurna?

Apabila anda berhenti memikirkannya, PFS mungkin lebih penting lagi untuk perdagangan dalam talian daripada pengguna VPN biasa. Tanpa PFS, laman web https hanya menggunakan kunci penyulitan peribadi yang sama berulang-ulang kali. Dari masa ke masa, ini akan menjadikan lebih mudah dan senang bagi pemerhati yang mengawasi lalu lintas laman web untuk meneka kunci peribadi yang digunakan laman web untuk berjabat tangan.

Sekiranya penyerang adakah berjaya menemui kunci, dia akan dapat menyahsulit semua transaksi masa lalu, sekarang, dan masa depan yang disulitkan dengan kunci itu. Di laman e-dagang yang popular, ini membolehkan seseorang mencuri ribuan, bahkan berjuta-juta nombor kad kredit.

Cara memeriksa sama ada laman web menggunakan Kerahsiaan Maju Sempurna

Setiap laman web yang menggunakan enkripsi https mempunyai ‘Sijil Keselamatan’ umum yang dapat diperiksa dengan mudah semasa melayari laman web tersebut untuk menentukan jenis enkripsi yang digunakan oleh sambungan.

Di Chrome, hanya memerlukan dua klik.

  1. Klik pada ikon ‘kunci’ di sebelah kiri ‘https: // …’ di bar penyemak imbas anda
  2. Klik tab ‘Connection’ di tetingkap yang muncul
Sijil Amazon SSL (HTTPS)

Sijil SSL Amazon dalam krom

Seperti yang telah kita ketahui, Diffie-Hellman Exchange (DHE) adalah bahan penting yang memungkinkan PFS dimungkinkan. Melihat gambar di atas, adakah anda fikir Amazon telah mengaktifkan Perfect Forward Secrecy?

Sebenarnya, mereka melakukan:

‘ECDHE_RSA sebagai mekanisme pertukaran utama’ bermaksud amazon menggunakan kurva elips Diffie-Hellman untuk menghantar kunci enkripsi AES 128-bit ke penyemak imbas web anda. Diffie-Hellman = Kerahsiaan Maju Sempurna.

Sayangnya semuanya tidak cerah di tanah PFS. Amazon adalah pengecualian daripada peraturan, dan sebilangan besar peruncit dalam talian dan institusi kewangan jangan gunakan Kerahsiaan Maju Sempurna!

Seperti yang dapat kita lihat dari sijil JP Morgan Chase di chase.com…

Chase tidak menggunakan Kerahsiaan Maju Sempurna

Tanpa DHE = Tiada Kerahsiaan Maju yang Sempurna

Chase tidak menggunakan pertukaran Diffie-Hellman, dan sebaliknya memilih untuk menggunakan kunci peribadi yang sama untuk mengenkripsi sesi demi sesi. Oleh kerana kuasa pengkomputeran semakin cepat dan enkripsi retak lebih cekap, ini berpotensi membuat pelanggan mereka rentan jika mereka tidak menaik taraf ke pertukaran Diffie-Hellman.

Kerahsiaan Maju Sempurna dan Pengawasan NSA

Pertimbangkan PFS dan implikasinya terhadap perlindungan dari pengawasan NSA. Dengan syarikat seperti Chase yang tidak menggunakan kerahsiaan maju yang sempurna, NSA hanya perlu meminta, meneka, atau mencuri kunci penyulitan peribadi Chase.

Setelah memilikinya, mereka dapat menyahsulit semua komunikasi yang dienkripsi masa lalu dan masa depan dari laman web itu (kita sudah tahu NSA menyimpan lalu lintas yang dienkripsi selama-lamanya).

Dengan Perfect Forward Secrecy diaktifkan, NSA akan dipaksa untuk menyahsulit setiap sesi secara berasingan, dan menemui kunci peribadi yang unik untuk setiap (tugas yang jauh lebih sukar). Ini hampir membuat anda tertanya-tanya mengapa institusi kewangan utama begitu lambat untuk menggunakan pertukaran kunci PFS gaya Diffie-Hellman …

Lebih lanjut mengenai teori ini, dan penjelasan kukuh mengenai pertukaran kunci yang disulitkan dalam video ini (panjang, jadi teruskan ke 1:15:39).

Perbincangan mengenai SSL, PFS, dan NSA bermula pada 1 jam 15 minit dalam.

Ringkasan

Sekiranya anda berjaya sejauh ini, anda harus mempunyai pemahaman yang kuat mengenai Kerahsiaan Maju Sempurna. Anda belajar bagaimana ia berfungsi, bagaimana mengenali apakah VPN atau laman web menggunakannya, dan VPN mana yang menawarkannya.

Manfaat PFS tidak boleh dilebih-lebihkan. Ini adalah kemajuan besar dalam teknologi keselamatan.

Secara ringkas:

Perfect Forward Secrecy melindungi integriti dan keselamatan semua sambungan yang dienkripsi masa lalu dan masa depan yang lain, walaupun sekiranya penyerang mempelajari kunci untuk sesi yang lalu atau sekarang.

Kerana: PFS membolehkan setiap sambungan disulitkan dengan kunci unik baru yang (hampir pasti *) tidak akan digunakan lagi oleh anda.

* Terdapat 3,4 x 1038 mungkin kunci penyulitan AES 128-bit yang unik. Oleh itu, sangat mustahil anda akan menggunakan kunci yang sama dua kali, tetapi tidak mustahil.

VPN menggunakan Kerahsiaan Maju Sempurna

Sebilangan besar VPN yang menggunakan protokol OpenVPN akan mengaktifkan PFS. Berikut adalah 5 VPN kegemaran kami yang pasti menawarkan PFS…

PangkatPenyedia VPN (ulasan)Dasar PembalakanHarga terbaikLaman web

1

Akses Internet Peribadisifar balak$ 3.33 / mLawati

2

VPN.acLog sambungan 1 hari$ 4.83 / mLawati

3

IPVanishlog sambungan$ 4.80 / mLawati

4

Proksi.shsifar balak$ 3.33 / mLawati

5

ExpressVPNlog sambungan$ 8.32 / mLawati

Artikel dan sumber tambahan:

Sekiranya anda ingin mengetahui lebih lanjut mengenai Perfect Forward Secrecy, bagaimana ia berfungsi dan bagaimana ia dilaksanakan; anda akan menikmati artikel ini.

  • Pengenalan kepada Kerahsiaan Maju yang Sempurna
  • PFS dapat menghentikan NSA mengintip laman web (tetapi tidak ada yang menggunakannya)
  • Mengapa web memerlukan PFS lebih daripada sebelumnya (EFF.org)

Jangan ragu untuk bertanya apa-apa soalan dalam komen, atau tambahkan apa sahaja yang kami terlepas. Terima kasih!

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map