Kompletny przewodnik dotyczący szyfrowania VPN

Ostatnia aktualizacja została wykonana przez Julia SJ w dniu Kwiecień 10, 2019

Najbardziej charakterystyczną cechą wirtualnej sieci prywatnej (VPN) jest szyfrowanie. Celem sieci VPN jest ukrycie użytkownika w Internecie, aby stał się niewidoczny dzięki szyfrowaniu danych. Sieci VPN są jednym z najlepszych dostępnych dziś narzędzi bezpieczeństwa i są szeroko wykorzystywane przez bardzo wielu użytkowników. Ale czy znasz wszystkie szczegóły szyfrowania VPN?

Sieć VPN szyfruje dane przesyłane między komputerem a serwerem, rozszerzając sieć prywatną w sieci publicznej. Wyklucza pośrednika, umożliwiając użytkownikowi dzielenie danych między publicznymi lub współdzielonymi sieciami, tak jakby ich komputery były bezpośrednio podłączone do sieci prywatnej. VPN nie tylko zwiększa i polepsza bezpieczeństwo, ale może być również wykorzystana do pokonania barier, poprawy funkcjonalności i lepszego ogólnego zarządzania siecią prywatną.
A VPN encrypts the dataW dobie cyber przestępczości i nielegalnej działalności w Internecie ochrona danych nigdy nie była tak ważna. Szyfrowanie w dowolnej postaci to NAJBARDZIEJ efektywna forma ochrony danych. Niezależnie od tego, czy jest używane w celu uniknięcia włamania, oszustwa, zarażenia wirusem, czy zapewnienia czystego zdrowia systemów, szyfrowanie VPN jest jednym z najlepszych sposobów odmowy dostępu do danych.

VPN są jednak używane nie tylko w celu zwiększenia bezpieczeństwa, ale mogą również służyć do uzyskiwania dostępu do treści zabronionych w danym kraju lub do ukrycia lokalizacji użytkownika. Ze względu na szerokie zastosowanie szyfrowanie VPN stało się obecnie najbardziej rozpowszechnioną formą szyfrowania ze względu na stosunkowo niski koszt i skuteczny sposób ochrony danych.

1 Jaki rodzaj szyfrowania oferuje moja sieć VPN?

Na rynku funkcjonuje wielu dostawców usług VPN udostępniających różne typy szyfrowania. Jednak przy tak wielu możliwościach i tak wielu reprezentujących mylące, a czasem fałszywe twierdzenia, może być trudno wskazać, który z nich będzie odpowiedni dla Ciebie.

Dlatego nasz kompleksowy przewodnik po szyfrowaniu VPN ma na celu pomoc w lepszym zrozumieniu tego tematu, aby pomóc Ci przeanalizować twierdzenia wygłaszane przez dostawców usług VPN. Czytaj dalej, aby dowiedzieć się więcej…

2 Co to jest szyfrowanie?

Szyfrowanie dzieli dane na bezsensowny żargon, tak aby nikt nie mógł zrozumieć, co to jest, chyba że posiada klucz do jego odszyfrowania. Para kluczy (ten sam lub unikalny klucz używany do szyfrowania i odszyfrowywania) jest zwyczajowo współdzielona między użytkownikiem początkowym i końcowym.

Standardowa definicja szyfrowania to „proces przekształcania informacji lub danych w kod, w szczególności w celu zapobiegania nieautoryzowanemu dostępowi”. Najłatwiej to opisać za pomocą analogii do zamka — jedyną osobą, która jest w stanie go otworzyć, jest posiadacz klucza.

Można to zademonstrować za pomocą poniższego przykładu. Załóżmy, że chcesz wysłać wiadomość przeznaczoną dla niewielu oczu, np. „Pies szczeka o północy”, która zostanie zaszyfrowana i będzie brzmieć: „148$%AsdjW34398J3Q(*(#q$wjklsaefQ(#$*02342kjsadf”. Informacja będzie przesłana między komputerami w postaci zaszyfrowanej i może być odczytana (odszyfrowywana) tylko przez zamierzonego odbiorcę za pomocą klucza.

3 Szyfrowanie a VPN

Bardziej szczegółowe szczegóły szyfrowania są złożone, ale można je najlepiej opisać w niżej przedstawiony sposób.

Podczas szyfrowania dane są przekształcane w szyfr za pomocą algorytmu. Udowodniono, że jest wysoce nieprawdopodobne, aby ludzie nie byli w stanie samodzielnie złamać wyrafinowany szyfr, nawet przy pomocy superkomputerów, które mogą być trudne do złamania. Jednak zaawansowane komputery szybko się uczą i potrafią rozszyfrować nowe kody w fenomenalnym tempie. Dlatego niezwykle ważne jest, aby użyć złożonego i wyrafinowanego algorytmu, który ograniczy możliwości rozszyfrowania danych.

Podczas korzystania z VPN komputery znajdujące się po obu stronach „tunelu internetowego” szyfrują i odszyfrowują dane, dane wprowadzane na jednym końcu zostają zaszyfrowane, a z drugiej strony zostają odszyfrowane za pomocą klucza. Jednak para kluczy nie jest jedynym sposobem, w jaki VPN stosuje szyfrowanie, do zabezpieczenia ruchu używane są również protokoły, które zostaną omówione bardziej szczegółowo później.

Każda sieć VPN działa inaczej, dlatego ważne jest, aby ocenić, czy poziom szyfrowania oferowany przez dostawcę usług VPN jest wystarczająco dobry, aby zapewnić bezpieczeństwo danych.

4 Jak działa połączenie internetowe i przepływ danych

Rzućmy okiem na to, jak działa Twój ruch internetowy. Wyobraź sobie, że Twoje połączenie internetowe to seria pojedynczych przewodów, przez które przechodzą Twoje dane, połączonych przez serwery.
Cyber SecurityWszystkie dane wysyłane i odbierane przez Internet przechodzą przez bezpośrednie połączenie z usługodawcą internetowym (ISP), a następnie przez szerszy internet rozchodzi się do różnych serwerów w sieci, aby dotrzeć do punktu końcowego.

Połączenie sieciowe z usługodawcą internetowym może przepływać przez łącze światłowodowe do Twojego domu lub jeśli użyjesz smartfona, przeleci falami radiowymi do nadajników 4G, dopóki nie trafi na wymiennik ISP. W Stanach Zjednoczonych, Twoim ISP (dostawcą usług internetowych) może być Verizon, w Australii, może nim być Telstra. Każdy kraj ma wielu dostawców usług internetowych do wyboru.

Twój dostawca Internetu jest Twoim punktem połączenia z Internetem. To jak drzwi do internetu — dane mogą wchodzić i wychodzić tylko przez te drzwi.

5 Szyfrowanie HTTP/HTTPS i Twój dostawca usług internetowych

Być może zauważyłeś, że niektóre witryny to „HTTP”, a niektóre to „HTTPS”. To dodatkowe „S” oznacza „secure” (bezpieczne). Gdy witryna korzysta tylko z protokołu HTTP, Twój dostawca Internetu może zobaczyć, którą stronę odwiedzasz, oraz wszystkie dane wymieniane między Tobą a witryną. Nie tylko to, ale każdy „słuchający” w dowolnym punkcie między urządzeniem a usługodawcą internetowym lub w całym Internecie może zobaczyć ten ruch.

Odwiedzanie witryny HTTP jest z natury niebezpieczne w przypadku każdej sieci Wi-Fi, której nie jesteś właścicielem lub której nie ufasz. Możliwe jest, że słuchacze w tej samej sieci widzą cały ruch, a nawet dostarczają ukierunkowany atak na urządzenie — znany jako atak typu „man-in-the-middle” (zhakowanie danych komunikacyjnych między smartfonami a publiczną siecią Wi-Fi). Atak typu „man-in-the-middle” polega na tym, że haker przechwytuje wiadomości między Tobą a Twoim rozmówcą, zmieniając je tak, by wyglądały, jak zwykła komunikacja.

Zalecamy używanie rozszerzenia przeglądarki, takiego jak HTTPS Everywhere, do blokowania czystych stron HTTP, nawet jeśli już korzystasz z VPN. Jest to szczególnie ważne w przypadku łączenia się z sieciami publicznymi, na przykład w kawiarni lub na lotnisku.

Dzięki HTTPS wszystkie dane wysyłane i odbierane między Tobą a tą witryną są szyfrowane (przez połączenie SSL/TLS, które opiszemy szczegółowo później). Ponieważ jest zaszyfrowany, oznacza to, że dane są kodowane, więc nikt oprócz Ciebie i miejsca docelowego nie może zobaczyć, co jest transmitowane.

Świetnie, prawda? Niespecjalnie. Protokół HTTPS nadal pozwala usługodawcy internetowemu (lub dowolnym słuchaczom) dowiedzieć się, którą stronę odwiedzasz i jaką ilość danych przesyłasz.

To wszystko zależy tylko od ruchu w przeglądarce, np. Chrome, Firefox, Safari itp. Aplikacje na Twoim telefonie/tablecie i oprogramowanie na laptopie także mają dostęp do internetu — z różnym stopniem bezpieczeństwa i protokołami. Przyjrzymy się temu nieco później.

6 Czym szyfrowanie VPN różni się od HTTPS?

Podstawowa sieć VPN to jeden serwer, na którym wszystko w całej serii połączeń między urządzeniem a tym serwerem jest szyfrowane (przynajmniej w teorii), włącznie z adresem strony internetowej.

Na tym poziomie dostawca usług internetowych (i dowolne urządzenia nasłuchujące) może tylko określić, że ruch jest wykonywany nakonkretnym serwerze VPN oraz ile danych przychodzących i wychodzących jest wysyłanych przez to połączenie. Nie wiedzą, co jest wysyłane, ani nie znają miejsca docelowego. Podobnie w drodze powrotnej widzą tylko ilość danych, serwer VPN i Ciebie, miejsce docelowe.

Mając to na uwadze, możesz się przekonać, że dodawana jest dodatkowa warstwa w celu zaciemniania ruchu w sieci. Jednak różne VPN używają różnych technik szyfrowania, a w niektórych krajach prawo może wymagać przestrzeganie pewnych zasad dotyczących pracy w sieci — co może oznaczać, że VPN nie jest tak bezpieczna, jak się wydaje.

Teraz zagłębimy się w ten temat, aby pomóc Ci odkryć, jak bezpieczna jest sieć VPN

7 Czy dane są szyfrowane za pomocą protokołu HTTPS na komputerach i w aplikacjach mobilnych?

Twoja przeglądarka internetowa to tylko jeden z programów, który opiera się na Internecie. Będziesz mieć więcej aplikacji zainstalowanych na komputerze i urządzeniach przenośnych, które również łączą się z Internetem. Na przykład, jeśli korzystasz z aplikacji Facebook, WhatsApp lub Uber na telefonie, wszystkie będą połączone z Internetem. Jeśli używasz iTunes, Minecraft lub VLC na swoim komputerze, są one również podłączone do Internetu. W dzisiejszych czasach większość aplikacji mobilnych i stacjonarnych wymaga dostępu do internetu.

Duże komputery stacjonarne lub mobilne regularnie wysyłają aktualizacje dotyczące luki w zabezpieczeniach sieci, ale jeśli używasz mniej wyrafinowanego oprogramowania (lub aplikacji), może to nie mieć miejsca.

8 Sposób przesyłania danych

W raporcie z roku 2015 odkryto, że dane czatu wymieniane w aplikacji OkCupid na Androida były wysyłane bez SSL/TLS — to taka sama sytuacja, jak posiadanie otwartego połączenia HTTP.

W raporcie z 2018 roku dla platform giełdowych ujawniono, że dziewięć aplikacji komputerowych (z próby 16) transmitowało nieszyfrowane dane, takie jak „hasła, saldo, portfel, dane osobowe i inne dane związane z handlem”, przez HTTP lub przez nieaktualne protokoły.

Tego rodzaju rzeczy są dość przerażające. Chociaż może być łatwo wzmocnić mechanizmy obronne przeglądarki, wzmacnianie aplikacji komputerowych lub mobilnych na poziomie aplikacji jest prawie niemożliwe.

Rozwiązaniem jest użycie bezpiecznej i zaawansowanej sieci VPN podczas korzystania z aplikacji mobilnych i stacjonarnych — pamiętaj, że nie tylko Twoja przeglądarka jest zagrożona.

9 Czy szyfrowanie VPN jest naprawdę bezpieczne?

Virtual Private Network (VPN)Typ szyfrowania, z którego korzysta VPN, ma kluczowe znaczenie dla zapewnienia, że dane, które wymieniasz, i z kim je wymieniasz, pozostają nieczytelne i prywatne.

Na przykład: „ExpressVPN używa AES (Advanced Encryption Standard) z 256-bitowymi kluczami” (poprzez ExpressVPN), podczas gdy „Astrill VPN jest zabezpieczony 256-bitowym szyfrowaniem SSL” (przez AstrillVPN).

Gdybyś był na bieżąco z najnowszymi wiadomościami o szyfrowaniu, wiedziałbyś, że protokół SSL został faktycznie zastąpiony w 2015 roku przez TLS — podobny protokół (dlaczego więc Astrill wciąż mówi SSL?).

Niektóre protokoły szyfrowania są trudne, podczas gdy inne padły — i ważne jest, aby wiedzieć, czy szyfrowanie dostarczane przez twoją sieć VPN zostało „złamane”, czy odpowiadają dzisiejszym wymogom.

Wiele usług VPN oferuje również opcję zmiany typu używanego szyfrowania. Na przykład może istnieć przycisk przełączający, który pozwala przełączać się między AES-256 lub innym typem szyfrowania — umożliwiając wybór lub bardziej aktualną usługę.

10 Co oznaczają różne poziomy szyfrowania?

Jaka jest różnica między AES-128 i AES-256? Czym jest OpenVPN? SSL-256? Co to znaczy, gdy VPN stosuje szyfrowanie na poziomie militarnym?

Zwykle, gdy mówimy o szyfrowaniu, te litery wymienione powyżej, w szczególności, gdy następują po nich cyfry, odnoszą się do standardowego algorytmu. AES, na przykład, oznacza Advanced Encryption Standard (zaawansowany standard szyfrowania). Innym razem możemy mówić o zastosowanym protokole VPN (patrz: podrozdział: Omówienie protokołów VPN).

Standardowy algorytm jest również nazywany szyfrem — złożoną matematyczną metodą szyfrowania. Jak silna jest metoda szyfrowania, zależy od siły tego algorytmu, czy ma jakieś wady lub słabe punkty, czy też inni matematycy mogą ukończyć problem szybciej niż tylko pracować metodą prób i błędów.

Na przykład, szyfr Blowfish, który przez pewien czas był popularnym algorytmem szyfrowania, okazał się mieć lukę, która wykorzystała Birthday Problem — interesujący matematyczny paradoks prawdopodobieństwa.
vpn security encryption

11 Zrozumienie liczb: szyfrowanie 128 i 256 bitów

Zauważysz, że obok większości standardów szyfrowania, na które się natkniesz znajduje się liczba – np. AES-128 lub AES-256. Ta liczba obok oznaczenia jest długością klucza służącego do odszyfrowywania danych. 128 = 2128 prób odgadnięcia klucza. To dużo. Nawet największe i najszybsze komputery na świecie nie złamały jeszcze tej długości klucza (w AES) nawet stosując brutalną siłę (inaczej ciągłe zgadywanie). W przypadku 256-bitowej AES jest to 2256 zgadywań.

Atak Brute Force to najprostszy sposób na uzyskanie dostępu do wszystkiego, co jest chronione hasłem. Korzysta z szybkiego ciągu nazw użytkowników i haseł, aby uzyskać dostęp, a najprostszym sposobem uniknięcia rozszyfrowania informacji jest użycie skomplikowanego algorytmu.

Istnieje również szyfrowanie RSA, które przy 2048 bitach byłoby w przybliżeniu równe czasowi potrzebnemu do złamania 128-bitowej AES. Jaka jest między nimi różnica? AES jest odporny na ataki Brute Force — co oznacza, że złamanie go potrwa to dłużej. Odpowiedzią jest wybór najdłuższego klucza szyfrowania.

Wiele mówi się o tym, że rządy mogą złamać dłuższe standardy szyfrowania, ponieważ matematycy próbują opracować szyfr stojący za standardem, stosując praktykę znaną jako kryptoanaliza. Ten przeciek z 2013 roku wskazuje na to, co dzieje się za kulisami w NSA w odniesieniu do praktyki.

Zasadniczo, ponieważ komputery stają się szybsze i mocniejsze (stosując prawo Moore’a, moc obliczeniowa podwaja się co dwa lata), tym bardziej prawdopodobne jest, że klucze te będą mogły zostać złamane — o ile agencje nie zdążyły już zdobyć kluczy. Pojawia się również groźba informatyki kwantowej, która będzie w stanie rozwiązać pewne problemy (takie jak ataki Brute Force) w przeciągu krótkiego czasu, któremu nie są w stanie sprostać tradycyjne superkomputery.

12 Co to jest szyfrowanie na poziomie militarnym?

Cóż, na początek musisz sprawdzić, o którym poziomie wojskowym mówi Twoja sieć VPN — i w którym roku ten szyfr został zastosowany. Na przykład rząd australijski używa trybu licznika AES z protokołem szyfrowania protokołu Cipher Block Chaining Message do transmisji wrażliwych lub niejawnych danych w sieciach bezprzewodowych — i to nawet nie w przypadku tajnych informacji w sieciach wojskowych, ale tylko w rządowych.

O ile Twoja sieć VPN nie określi, które dane wojskowe i na jakich poziomach klasyfikacji ich szyfrowanie dotyczy — i czy jest to aktualny wojskowy standard szyfrowania — najlepiej będzie potraktować informacje o „wojskowym” stopniu szyfrowania z przymrużeniem oka.

13 Jaka jest różnica między szyfrowaniem symetrycznym a asymetrycznym?

Być może słyszałeś już o tych dwóch terminach — szyfrowaniu symetrycznym i asymetrycznym (zwanym też kluczem publicznym) — przy opisywaniu algorytmów szyfrowania. Prosty sposób na zrozumienie jest następujący:

  • Symetryczny: Ten sam (prywatny) klucz używany do szyfrowania i odszyfrowywania.

Dzięki szyfrowaniu symetrycznemu bezpieczne udostępnianie tego klucza prywatnego między dwiema stronami może być trudne.

  • Asymetryczny: Unikalny (prywatny) klucz używany do szyfrowania i odszyfrowywania.

Dzięki szyfrowaniu asymetrycznemu używasz klucza publicznego osób do szyfrowania wiadomości dla nich. Tylko oni mają klucz prywatny do rozszyfrowania (odszyfrowania) wiadomości.

Dlaczego więc nie korzystać z asymetrii przez cały czas? Dlaczego AES jest symetryczny? Ponieważ szyfrowanie asymetryczne zajmuje dużo czasu — wytłumaczenie jest tak proste. W tym momencie AES z jego symetrycznością jest „wystarczająco dobry”.

Jeśli chcesz wyjaśnić matematykę, która stoi za AES, sprawdź tę kreskówkę.

14 Dostępnych jest protokołów VPN

Protokół VPN odnosi się do tego, w jaki sposób dostawca usług VPN zbudował swój produkt (lub jak chcesz zbudować własny VPN), która struktura danych wymiany jest używana i co oferuje pod względem funkcjonalności. Niektóre komercyjne sieci VPN, tak jak ExpressVPN, oferują wybór protokołu, którego chcesz użyć.

Poniżej znajduje się lista dostępnych protokołów VPN. To nie jest wyczerpująca lista, ale daje wyobrażenie o najszybszym i najszerzej stosowanych dzisiaj na rynku.

  • OpenVPN
    OpenVPN jest produktem VPN typu open source, działającym obecnie za wieloma największymi na świecie dostawcami VPN. OpenVPN jest niezłomnym protokołem w branży, ponieważ jest niezawodny, szybki, godny zaufania i działa we wszystkich systemach. Implementacje OpenVPN domyślnie uruchamiają szyfrowanie AES-256-CBC (dla nowych produktów), jednak można ustawić na DES-CBC, RC2-CBC, DES-EDE-CBC, DES-EDE3-CBC, DESX-CBC, BF-CBC, RC2-40-CBC, CAST5-CBC, RC2-64-CBC, AES-128-CBC, AES-192-CBC or AES-256-CBC (viaOpenVPN).
  • PPTP
    PPTP odnosi się do Micosoft’s Point to Point Tunneling Protocol, przestarzałej metody implementacji VPN. Szyfrowanie tego protokołu zostało złamane i jako takie nie powinno być używane, jeśli potrzebujesz wysokiego poziomu bezpieczeństwa. Niezależnie od tego protokół ten oferuje szybkie połączenia ze względu na słabe szyfrowanie i działa w systemach operacyjnych Windows/Linux/Mac dla komputerów stacjonarnych i mobilnych.
  • L2TP i IPSec
    Protokół L2TP/IPsec odnosi się do kombinacji protokołu tunelowania warstwy 2 + zabezpieczeń protokołu internetowego i działa natywnie na wszystkich komputerach i urządzeniach przenośnych z systemem Windows/Linux/Mac. Jest to kolejna implementacja podobna do OpenVPN (ale wiadomo, że jest wolniejsza w działaniu), co oznacza, że istnieje wiele różnych algorytmów szyfrowania dostępnych do wyboru, takich jak AES 256 i 3DES. 3DES jest teraz uważany za gorszy od AES dla nowych implementacji VPN.
  • SSTP
    Protokół Secure Socket Tunneling Protocol jest także produktem firmy Microsoft, więc oferuje natywne wsparcie dla stacjonarnych systemów komputerowych firmy Microsoft (nie dla mobilnych). Ten produkt jest nieco przestarzały, pojawia się głównie w zdalnym dostępie do konfiguracji Windows na Windows.
  • IKEv2
    IKEv2 to protokół używany w IPSec, który odnosi się do sposobu, w jaki wykonywane są powiązania zabezpieczeń i wymiany kluczy. Zaszyfrowany ładunek IKEv2 zaleca szyfrowanie za pomocą CBC AES-128. Podczas korzystania z protokołu IPSec, IKEv2 powinien być używany przez wycofaną usługę IKE.
  • WireGuard
    WireGuard jest nadchodzącym protokołem, który może wkrótce wyprzedzić aktualnie najczęściej wybierany protokół OpenVPN. Implementuje techniki wirtualnej sieci prywatnej, aby zapewnić mostkowane lub trasowane bezpieczne konfiguracje i oferuje lepsze opcje zabezpieczeń niż jej rywale.

15 Jaki jest najlepszy szyfr i protokół VPN?

Obecnie AES-256 jest uważany za „wystarczająco dobry”, aby być standardem szyfrowania z wyboru. Złożoność algorytmu oznacza, że nawet w przypadku wykrytych luk zajęłoby lata, aby złamać kod przy użyciu superkomputerów działających z pełną prędkością z brutalną siłą.

OpenVPN jest aktualnym liderem w obszarze protokołów VPN, chociaż w niektórych przypadkach przejście na inne protokoły mogłoby dać lepsze efekty. Chociaż podajemy szczegóły najlepszych opcji, musisz przeprowadzić rozeznanie, aby ustalić, co dla Ciebie będzie najlepsze.

Biorąc pod uwagę, że jest to zmieniający się krajobraz i rośnie moc obliczeniowa, można śmiało powiedzieć, że „najlepsza sieć VPN i protokół do użycia” w tej chwili może różnić się od tego, co będzie miało znaczenie za kilka lat.

Dlatego niezwykle ważne jest, aby być na bieżąco z najnowszymi lukami w zabezpieczeniach, aktualizacjami i problemami, mieć pewność, że jesteś na bieżąco z tym, co jest najpopularniejsze w sieci VPN oraz aby zapewnić bezpieczeństwo komputera i danych.

Julia SJ
Twórca tekstów na temat bezpieczeństwa internetowego i były programista z zamiłowaniem do podróży, muzyki techno i danych. Obecnie pasjonuje się cyberbezpieczeństwem, prywatnością i międzynarodowym prawem danych, blockchain, automatyzacją i big data (oraz kawą!).