vpn-encryption-image

VPN-kryptering

Private Internet Access bruger OpenVPN, der er en open source, industristandard VPN, til at give dig en sikker VPN-tunnel. OpenVPN har mange muligheder, når det kommer til kryptering. Vores brugere har mulighed for at vælge, hvilket niveau af kryptering, de ønsker på deres VPN-sessioner. Vi forsøger at vælge de mest rimelige standarder og vi anbefaler de fleste mennesker holde sig til dem. Dog vil vi gerne informere vores brugere og give dem friheden til selv at vælge.

icon-suggested-encryption Foreslåede krypteringsindstillinger

Standard anbefalet beskyttelse

Datakryptering: AES-128

Data-autentificering: SHA1

Håndtryk: RSA-2048

Kun fart uden sikkerhed

Datakryptering: Ingen

Data-autentificering: Ingen

Håndtryk: ECC-256k1

Maksimal beskyttelse

Datakryptering: AES-256

Data-autentificering: SHA256

Håndtryk: RSA-4096

Farlig forretning

Datakryptering: AES-128

Data-autentificering: Ingen

Håndtryk: RSA-2048


icon-data-encryption Datakryptering:

Dette er den symmetriske chifferalgoritme hvormed alle dine data krypteres og dekrypteres. Den symmetriske cipher bruges sammen med en flygtig og hemmelig nøgle der deles mellem dig og serveren. Denne hemmelige nøgle udveksles med Handshake-kryptering.

AES-128

Avanceret krypteringsstandard (128-bit) i CBC-tilstand.
Dette er den hurtigste krypteringstilstand.>

AES-256

Avanceret krypteringsstandard (256-bit) i CBC-tilstand.

Ingen

Ingen kryptering. Ingen af dine data vil blive krypterede. Dine login-oplysninger vil blive krypterede. Din IP-adresse vil stadig være skjult. Dette kan være en farbar vej, hvis du vil have den bedste ydelse muligt, mens du kun skjuler din IP-adresse. Dette ville svare til en SOCKS-proxy, men med fordelen af at du ikke lækker dit brugernavn og kodeord.


icon-data-authentication Data-autentificering:

Det er beskeden fra autentificeringsalgoritmen, hvormed alle dine data godkendes. Dette bruges kun til at beskytte dig mod aktive angreb. Hvis du ikke er bekymret om aktive angreb, kan du deaktivere data-autentificering.

SHA1

HMAC bruger Secure Hash Algorithm (160-bit).
Dette er den hurtigste autentificeringstilstand.

SHA256

HMAC ved hjælp af Sikker hash-algoritme (256-bit).

Ingen

Ingen autentificering. Ingen af dine krypterede data vil blive autentificerede. En aktiv hacker kan potentielt ændre eller dekryptere dine data. Dette ville ikke give nogen muligheder for en passiv hacker.


icon-handshake-encryption Handshake-kryptering

Denne kryptering anvendes til at etablere en sikker forbindelse, og bekræfte, at du er virkelig taler med Privat Internet Access' VPN-server og ikke bliver lokket til at forbinde til en hackers server. Vi bruger TLS v1.2 for at oprette denne forbindelse. Alle vores certifkater bruger SHA512 til underskrift.

RSA-2048

2048bit Flygtig Diffie-Hellman (DH) nøgleudveksling og 2048-bit -certifikat for kontrol af, at nøgleudvekslingen virkelig skete med en Private Internet Access-server.

RSA-3072

Som RSA-2048, men 3072-bit for både nøgleudveksling og certifikat.

RSA-4096

Som RSA-2048, men 4096-bit for både nøgleudveksling og certifikat.

ECC-256k1 icon-warning

Flygtig elliptisk kurve DH nøgleudveksling og et ECDSA-certifikat for kontrol af, at nøgleudvekslingen virkelig skete med en Private Internet Access-server. Kurven secp256k1 (256-bit) bruges for begge. Dette er den samme kurve som Bitcoin bruger til at underskrive deres transaktioner.

ECC-256r1 icon-warning

Som ECC-256k1, men kurve prime256v1 (256-bit, også kendt som secp256r1) bruges til både nøgleudveksling og certifikat.

ECC-521 icon-warning

Som ECC-256k1, men kurve secp521r1 (521-bit) bruges til både nøgleudveksling og certifikat.


icon-warning Advarsler

Vi viser advarsler i 3 tilfælde:

De seneste NSA-afsløringer har udtrykt bekymring, om at visse eller muligvis alle elliptiske kurver godkendt af de amerikanske standardiseringsorganer kan have bagdøre der gør det lettere for NSA at knække dem. Der er ingen beviser for dette for kurver der bruges med undertegnelse og nøgleudveksling og der er eksperter, der mener, at dette er usandsynligt. Vi giver derfor brugerne mulighed for, men viser en advarsel, at vælge en elliptisk kurve-indstilling. Vi inkluderer også den mindre almindelige kurve secp256k1, som Bitcoin bruger, og som blev genereret af Certicom (en canadisk virksomhed) i stedet for NIST (som de andre kurver var), og som ser ud til at have færre steder at gemme en bagdør.
Der er stærke beviser for, at en tilfældig talgenerator, som bruger ECC blev knækket via en bagdør men dette blev ikke brugt alment.


icon-glossary Ordliste

Aktive angreb

Et aktivt angreb er et, hvor en hacker kommer "mellem" dig og VPN-serveren, i en position, hvor de kan ændre eller indsætte data til din VPN-session. OpenVPN er designet til at være sikret mod aktive angribere, så længe du bruger både data-kryptering and data-autentificering.

Passive angreb

Et passivt angreb er et, hvor en hacker simpelthen registrerer alle data, der passerer over netværket, men ikke ændrer eller tilfører nye data. Et eksempel på en passiv angriber er en enhed, der udfører dragnet capture og lagring af al netværkstrafik, men ikke forstyrrer eller ændre den. Så længe du bruger data-kryptering er din OpenVPN-session sikret mod passive angreb.

Flygtige nøgler

Flygtige nøgler er krypteringsnøgler, der genereres tilfældigt og kun anvendes i en vis mængde tid, hvorefter de kasseres og slettes på sikker vis. En flygtig nøgle-udveksling er processen, hvor disse nøgler skabes og udveksles. Diffie-Hellman er en algoritme anvendt til at udføre denne udveksling. Ideen bag flygtige nøgler er, at når du er færdig med at bruge dem, og de smides væk, vil ingen nogensinde kunne dekryptere de data, som de blev brugt til at kryptere, selv om de i sidste ende får fuld adgang til alle de krypterede data og både klienten og serveren.