Private Internet Access korzysta z OpenVPN, otwartego oprogramowania stanowiącego branżowy standard pragnąc zapewnić użytkownikom bezpieczny co do zasady tunel VPN. OpenVPN ma wiele opcji szyfrowania. Nasi użytkownicy mogą wybrać poziom szyfrowania swoich sesji w VPN. Staramy się wybierać najbardziej odpowiednie wartości domyślne i zalecamy ich stosowanie większości użytkowników. Mimo to dostarczamy informacji naszym użytkownikom i dajemy im swobodę wyboru. Użytkownicy Private Internet Access mogą również zdecydować się na używanie WireGuard® w swoich tunelach VPN.
Szyfrowanie danych AES-128
Uwierzytelnianie danych SHA1
uzgadnianie RSA-2048
Szyfrowanie danych Brak
Uwierzytelnianie danych Brak
uzgadnianie ECC-256k1
Szyfrowanie danych AES-256
Uwierzytelnianie danych SHA256
uzgadnianie RSA-4096
Szyfrowanie danych AES-128
Uwierzytelnianie danych Brak
uzgadnianie RSA-2048
Jest to algorytm symetryczny szyfr, który wszystkie Twoje dane są zaszyfrowane i rozszyfrowane. Symetryczny szyfr stosowany jest zefemerycznejtajnego klucza dzielonego między Tobą a serwerem. Ten klucz jest wymieniane zHandshake Szyfrowanie.
Advanced Encryption Standard (algorytm AES) (128-bitowy) w trybie CBC.
To najszybszy tryb szyfrowania.
Advanced Encryption Standard (256-bitowy) w trybie CBC.
Brak szyfrowania. Żadne dane nie będą szyfrowane. Twoje dane logowaniabędą szyfrowane. Twój adres IP pozostanie ukryty. To może być realna opcja, jeśli zależy ci na najwyższej osiągalnej wydajności i ukryciu jedynie adresu IP. Byłoby to działanie przypominające serwer proxy SOCKS, z tą korzystną różnicą, że twoja nazwa użytkownika i hasło nie wyciekałoby na zewnątrz.
Jest to algorytm uwierzytelniania wiadomości, z którym wszystkie Twoje dane są uwierzytelnione. Służy tylko do ochrony przed aktywnymi atakami. Jeżeli nie obawiasz się działań o aktywnych napastników, możesz wyłączyć uwierzytelnianie danych.
Kod HMAC z użyciem funkcji skrótu SHA (256-bitowy).
Brak uwierzytelniania.
Brak uwierzytelniania zaszyfrowanych danych. Aktywny atakujący mógłby potencjalnie zmienić lub odszyfrować twoje dane. Ta opcja nie daje żadnych szans
Ta metoda szyfrowania służy do ustanowienia bezpiecznego połączenia i sprawdzenia, czy w istocie masz połączenie z serwerem VPN firmy Private Internet Access, czy nie zostałe(a)ś podstępnie połączony(a) z serwerem hakera. Korzystamy z protokołu TLS v1.2 do nawiązania połączenia. Wszystkie nasze certyfikaty używają algorytmu SHA512do logowania.
2048bit Klucze ulotne Diffiego-Hellmana (DH) wymiana kluczy i 2048bit RSA certyfikat uwierzytelniania stwierdzający, że naprawdę doszło do wymiany kluczy z serwerem firmy Private Internet Access.
Podobnie RSA-2048, ale 3072-bitowy zarówno do wymiany kluczy, jak i certyfikatu.
Podobnie RSA-2048, ale 3096-bitowy zarówno do wymiany kluczy, jak i certyfikatu.
Ulotna Krzywa eliptyczna DH wymiana kluczy i ECDSA certyfikat uwierzytelniania stwierdzający, że naprawdę doszło do wymiany kluczy z serwerem firmy Private Internet Access. Krzywa secp256k1 (256-bitowy) jest używana w obu przypadkach. Jest to ta sama krzywa, której używa Bitcoin do podpisywania swoich transakcji.
Wyświetlamy ostrzeżenie w 3 przypadkach:
Niedawne ujawnione przez NSA informacje wzbudziły obawy, że część a może nawet wszystkie krzywe eliptyczne zatwierdzone przez amerykańskie organizacje normalizacyjne mogą mieć luki w zabezpieczeniach umożliwiające NSA ich złamanie w łatwy sposób. Nie ma na to dowodu, jeśli chodzi o krzywe używane do podpisywania i wymiany kluczy†,a część ekspertów uważa, że jest to mało prawdopodobne. Dlatego też dajemy użytkownikom możliwość korzystania z krzywych eliptycznych, ale pokazujemy ostrzeżenie przy każdym wyborze tej opcji ustawień. Dodaliśmy też mniej powszechnie używaną krzywą secp256k1, z której korzysta Bitcoin; została ona wygenerowana przez kanadyjską firmę Certicom, a nie przez NIST [Narodowy Instytut Standaryzacji i Technologii USA] (jak pozostałe krzywe); wydaje się też, że jest w niej mniej miejsc na ukrycie luki.
†
Istnieją mocne dowody na to, że generator liczb losowych, który wykorzystuje ECC został miał właśnie celowo utworzoną lukę, ale to nie był on powszechnie stosowany.
Aktywny atak to sytuacja, w której atakujący dostaje się „pomiędzy“ ciebie a serwer VPN, w pozycji, w której może zmienić lub wprowadzić dane do twojej sesji VPN. Pakiet OpenVPN został zaprojektowany tak, aby zapewniał zabezpieczenie przed aktywnymi atakującymi, pod warunkiem, że użytkownik używa zarówno szyfrowania danychi uwierzytelniania danych.
Z biernym atakiem mamy do czynienia wtedy, gdy atakujący po prostu rejestruje wszystkie dane przechodzące przez sieć, ale ich nie zmienia ani nie wprowadza nowych danych. Przykładem biernego atakującego jest osoba , który przeprowadza obławę i przechowuje cały ruch sieciowy, ale go nie zakłóca ani nie zmienia. Jeżeli używasz szyfrowania danychtwoja sesja w OpenVPN jest zabezpieczona przed biernymi atakami.
Klucze ulotne to klucze szyfrujące, które są generowane losowo i używane wyłącznie przez pewien czas, po upływie którego są one porzucane i bezpiecznie usuwane. Wymiana kluczy ulotnych to proces, w ramach którego następuje utworzenie i wymiana tych kluczy. protokół Diffiego-Hellmana to algorytm używany do przeprowadzenia tej wymiany. Koncepcja kluczy efemerycznych zasadza się na tym, że po ich wykorzystaniu, zostają wyrzucone i nikt nigdy nie będzie w stanie odszyfrować danych, które zostały zaszyfrowane przy ich pomocy, nawet jeśli kiedyś uzyska pełny dostęp do wszystkich zaszyfrowanych danych oraz dostęp zarówno do klient, jak i serwera.