虚拟专用网(VPN)的最重要功能也许是能够对计算机与VPN提供商的服务器之间发送的数据进行加密的能力.
VPN的加密不仅可以保护您的个人和企业数据,还可以保护您的在线活动免遭窥视.
在本文中,我将详细介绍加密。我将介绍什么是加密,它如何工作以及最佳的VPN提供商如何使用它来保护其客户的IP地址和数据免遭暴露.
到本文末尾,您将比梦know以求的知识更多地了解加密,并且您将更好地准备应对VPN提供商的促销要求.
什么是加密?
加密 是转换的过程 纯文本 (可读信息)成 密文 (无法读取的信息).
解密 是转变的过程 密文 回到 纯文本 以便再次理解.
还记得您和您的朋友在小学时如何使用“秘密密码”发送笔记吗?现代加密技术与此类似,只是解密的难度远胜过“ A = 1,B = 2”等。.
现代加密技术使用秘密密钥来“加密”用户的数据,以使任何不拥有该密钥的人都无法读取该数据,从而阻止外部人员读取您的个人信息.
为了 编码 明文或 解码 密文 密钥 是必需的。两个键都使用 密码, 这是一种应用于明文以创建和解码密文的算法.
银行,信用卡处理商,商人和其他公司使用加密技术来保护敏感信息,例如信用卡号码,订单信息和其他敏感数据,以防外界人窥探.
但是,出于本文的目的,我们将集中讨论 VPN提供商 用于保护用户的信息(例如其网络访问量,下载的文件和访问的服务),以防止那些希望了解自己的个人情况的人.
VPN通过加密的“隧道”路由您的Internet连接,从而防止任何外部人员(例如Internet服务提供商,执法机构或黑客)监视您的IP地址,您的在线旅行及其关联的敏感个人和企业信息.
的 加密通道 被恰当地命名,因为它的工作原理很像地铁或公路隧道.
例如,虽然您可能知道地铁在您的脚下,但您不知道有多少火车通过隧道,每辆车有多少辆,有多少名乘客乘坐,去过哪里或在哪里要去.
VPN连接充当虚拟的“隧道”,可保护您的在线旅行不受任何外部人员的侵扰,并防止他们知道您的工作状况.
加密如何运作
在本文的前面,我提供了有关加密如何工作的简单解释。.
当然,用于保护21世纪数据的现代加密方法并非如此简单,但其过程类似.
如果您使用的加密方式像字母或数字替换一样简单(例如您在小学时使用的加密方式),那么解密就很容易.
现代加密基于复杂的数学 算法 进行加密和解密 许多 更复杂.
当前使用的加密密钥有两种主要类型:对称和非对称.
对称密钥算法(私钥)
- 优点:快
- 缺点:比不对称安全性低
一种 对称密钥算法 对明文数据源的加密和对所得密文的解密均使用相同的加密密钥.
共享信息的双方需要就用于加密和解密数据的特定密码(密钥)达成一致。这使事情变得简单,因为参与方只需要交换一次密钥.
对称密钥(也称为 私钥)通常用在一次性情况下,每次都会创建一个新密钥。诸如Apple Pay或Android Pay之类的支付解决方案使用一次性令牌形式的一次性对称密钥算法来保护付款.
对称密钥算法是 快点 而不是非对称密钥,因为只涉及一个密钥。但是,这也是一个缺点,因为 任何获得钥匙的局外人 可以轻松解密各方发送和接收的所有加密信息.
截取是完全可能的,因为用户需要提前通过 未加密的频道, 例如电话,电子邮件或短信,所有这些都以自己的方式不安全.
对于需要与多方共享数据的用户而言,该过程也是一个麻烦。这是由于要求与各方一起使用唯一密钥。当然,您可以对所有用户使用相同的密钥,但是每个人都可以解密其他人的数据.
非对称密钥算法(公共密钥)
- 优点:比对称更安全
- 缺点:慢
一个 非对称密钥算法 用途 不同 用于明文加密和解密所得密文的密钥。该过程同时使用公钥和私钥.
的 公钥 习惯于 加密 数据,以及 私钥 习惯于 解密 数据。仅数据的预期接收者知道私钥。使用公钥加密的任何消息只能通过使用相应的私钥解密.
我将使用Apple的iMessage服务来解释非对称加密的工作原理.
您要举行家庭团聚,并且想做奶奶的双巧克力可口可乐蛋糕,但您没有食谱。因此,您拿起iPad并向妈妈的iPhone发送消息.
当您和您的妈妈设置iPad时,您打开了iMessage。这是一种端到端的加密消息传递服务,其功能类似于SMS消息传递服务,但可以保护您的消息免遭(与我一起说)窥视.
在iPad上,iMessage应用程序创建了一个私钥,用于解密在iPad上收到的数据.
在您妈妈的iPhone上,iMessage应用程序创建了一个(不同的)私钥,用于解密她在iPhone上收到的数据.
在这两种情况下,私钥都是特定设备所独有的-iPad的私钥是一个,妈妈的iPhone私钥是一个.
该应用程序还指示Apple的服务器创建唯一的 上市 每个用户的密钥,存储在这些服务器上.
当您向妈妈发送消息时,您的设备将从Apple的服务器中检索您母亲的公钥,并使用她的公钥。 上市 关键 加密 您传出的消息,甚至还没有离开您的手机.
点击发送后,Apple的服务器会将加密的邮件转发到母亲的iPhone上, 私人的 键 解密 你的信息.
当您的妈妈答复时,将再次执行该过程,但相反。这次,您妈妈使用以下方式对您发来的邮件进行加密: 您的 公钥(从Apple的服务器中检索),然后使用 您的 私钥.
这使得非对称加密 更安全 而不是对称密码,因为它消除了共享单个密钥的需要.
但是,由于非对称加密过程在数学上比对称加密复杂,因此增加了计算开销,因此加密/解密过程 需要更长的时间, 稍微减慢传输.
VPN使用非对称加密来交换对称会话密钥,然后将其用于其余会话。由于我上面提到的计算开销,通常在使用VPN时,您会发现连接速度较正常的ISP连接慢.
加密密钥长度
任何加密的强度取决于加密密钥的 位大小. 通常,密钥越长,加密越强.
基本上,密钥长度越长,密钥构成的可能性就越大,这使得蛮力尝试得出密钥正确值的难度更大。.
的 位大小 密钥的含义是指用来表示算法的一和零(二进制)的数量。这被称为 密钥长度. 这两个术语可以互换,尽管“密钥长度”是更流行的术语.
下表显示了可能的加密密钥组合如何随着密钥大小的增加而呈指数增加:
| 密钥大小 | 可能的键排列 |
| 1位 | 2 |
| 2位 | 4 |
| 8位 | 256 |
| 16位 | 65536 |
| 64位 | 4.2 x 10 ^ 9 |
| 128位 | 3.4 x 1 ^ 38 |
| 192位 | 6.2 X 10 ^ 57 |
| 256位 | 1.1 x 10 ^ 77 |
1位是单个二进制数字,提供两种排列方式,开(1)或关(0); 2位提供两个二进制数字(00、01、10、11),提供四个排列,依此类推。在上表中,包含128位以下的密钥大小仅用于演示目的,因为任何小于128位的密钥都将很容易破解。.
随着密钥大小的增加,可能的组合数量和密码的复杂性均增加。这也会影响黑客对密钥进行暴力攻击的成功率.
一种 蛮力攻击 是指攻击者遍历所有可能的密码或密钥排列,直到找到正确的密码或密钥。即使使用超级计算机,现代加密也可能需要数年的时间才能破解。.
世界上第二快的超级计算机,Sunway TaihuLight,每秒能够达到93 petaflops,比个人计算机快几百万倍。.
ScramBox计算出,Sunway TaihuLight的需求量将达到27,337,893万亿兆兆(, 4 万亿分之一秒的时间来破解AES 256位密钥,这是最强大的现代加密密码之一(我将在下一部分中进行讨论).
那是世界上最快的超级计算机之一。要使一台高性能计算机破解AES-256,将需要27万亿亿亿亿亿美元 兆 年份.
我是否可以提醒您,宇宙只有150亿年的历史?即使是对生命,宇宙和一切的答案,也不需要花费那么长时间来计算.
可以说,黑客将等待很长一段时间才能访问您的银行帐户,而且没有人有时间这样做–因此,您可以放心,您的数据经过AES-256加密后是安全的.
加密密码器-它们是什么?
正如我们在上一节中所看到的,加密密钥长度是加密中涉及的原始数字的实际数量.
现在,我们来看看 密码, 这是用于执行加密的实际算法(或一系列步骤)。 VPN协议利用这些密码来加密您的数据。 (我将在下一节中讨论协议。)
虽然强行使用现代计算机密码基本上是没有用的,但有时设计不佳的密码存在一些弱点,黑客可以利用它破解相关的加密.
幸运的是,更长的密钥长度可以通过增加可能的组合数量来帮助弥补这些弱点.
但是,仅密钥长度并不能准确表明密码强度. 重要的是密码复杂度和密钥长度的结合.
在实际应用中,必须在安全性和可用性之间找到平衡,因为密钥长度越长,所需的计算越多,反过来,所需的处理能力也就越大。.
当今使用最广泛的密码是AES.
AES
美国国家标准技术研究院(NIST)于2002年成立AES。AES代表“高级加密标准”,它是电子数据加密的规范.
AES由3个分组密码组成:AES-128,AES-192和AES-256。每个人分别使用128位,192位和256位密钥对数据进行加密和解密.
由于AES是 对称密码, 它使用相同的密钥进行数据的加密和解密,因此发送方和接收方都必须知道并使用相同的秘密密钥.
该算法定义了特定数量的 数据转换 对存储在数组中的数据执行。数据转换的数量由密钥长度决定,密钥长度为:128位的10次转换,192位的12次转换和256位密钥的14次转换。这被称为多态.
例如,假设我们使用的是一个简单的字母移位密码。 A等于B,则B = C,C = D,D = E,依此类推。在第一个转换中,将A设置为等于B;然后在第二个转换中,A最终等于C;第三次,A等于D;等等.
因此,如果您使用的是执行10次转换的AES-128,则A等于K.
当然,AES密码是 远 比简单的字母移位密码更复杂,因此最终结果将比A等于K更加复杂且难以解密.
自从2002年建立以来,针对AES加密标准的攻击已有大量研究。.
但是,事实证明,AES是一种 可靠的防御. 只有任何一次攻击 是 成功是由于黑客利用了实施或管理相关的弱点。 (换句话说,是安装过程中的人为错误。)
完善的前向保密
完善的前向保密 (PFS),也称为“转发保密性”,是一种使用密码的系统,其中为每个密码生成一组新的且唯一的(或“短暂的”)私有加密密钥 会议.
TechTerms将会话定义为“两个系统之间的有限通信时间。”用简单的英语来说,通常是指用户登录网站到注销或关闭浏览器之间的时间量。.
每个会话都有其自己的密钥,这些密钥将被再次使用.
完善的前向保密功能消除了黑客利用恒定的“主密钥”的能力,例如用户网站帐户本身的密钥。即使密钥被黑客入侵, 只有那个单一会话受到损害, 而其他所有会话均保持安全.
PFS是保护单个会话(尤其是HTTPS网站和OpenVPN连接)的绝佳方法。搜索巨头Google于2011年11月宣布,它将使用PFS保护Gmail会话以及Search,Docs和Google的安全+.
到目前为止,我们学到了什么-加密
加密 是算法将可读的纯文本转换为不可读的密文的过程,并且 解密 是算法将密文变回纯文本的过程.
密钥算法有两种:对称算法和非对称算法. 对称的 密钥算法仅使用私钥,虽然速度很快,但安全性较低,而 不对称 关键算法的使用 私人的 和 上市 按键,放慢速度,但使其更加安全.
加密 密码 是有关如何转换(加密)数据(A = K,B = L等)的指令算法,加密密钥指示将转换数据多少次.
加密 键 是确定密码算法输出的信息,指定明文信息到密文的转换。密钥的位数越高,加密级别越高.
VPN加密
在本节中,我将解释虚拟专用网(VPN)如何使用加密保护您的在线活动及其相关的个人和与业务相关的数据.
此外,我还将分享有关提供商使用的各种VPN加密协议的信息,说明其工作方式,并说明每种协议的优缺点。.
VPN软件会对从您的计算机传递到提供商的VPN服务器的所有数据进行加密。该加密的“隧道”使您的IP地址和在线旅行都不受第三方保护.
什么是协议?
一种 VPN协议 是机制或“指令集”(或简化为方法) 创建并维护加密的连接 在用户的计算机或其他连接的设备与VPN提供商的服务器之间.
VPN协议使用加密算法来保护您的数据免遭窥视.
使用VPN协议时,已连接的设备会遵循该协议的一组说明,告诉设备如何加密和解密在它与VPN服务器之间发送和接收的数据.
商业VPN提供商使用各种类型的安全协议,它们各有优缺点。大多数VPN协议都提供了自己的内置加密算法,尽管并非所有协议都适用,我将在稍后解释.
协议如何工作?
每个VPN协议都有各自的优点和缺点以及独特的功能.
例如,OpenVPN允许用户使用用户数据报协议(UDP)或传输控制协议(TCP)进行连接,而IKEv2特别擅长重新连接失去Internet连接的用户.
但是,在它们构成的事物中,有4个是最重要的考虑因素:密码,传输层协议,握手加密和SHA身份验证。我将在以下各节中讨论每一个.
讲完这些之后,我将介绍当今VPN行业中最普遍的协议。其中包括:OpenVPN,L2TP / IPSec,IKEv2,SSTP和PPTP.
大多数协议都在其配置中进行了设置,但是OpenVPN脱颖而出,因为它具有很高的可配置性,因此在本节中以它为例进行说明.
密码
如前所述,协议使用称为“密码”的算法来执行数据的加密和解密。密码是加密/解密数据所遵循的一系列步骤.
流行的VPN协议(例如OpenVPN)可以灵活地使用多个对称密钥密码来保护控制通道和数据通道上的数据.
控制通道 加密保护您的计算机或设备与VPN提供商的服务器之间的连接. 数据通道 加密可保护双方相互传输的实际数据.
商业提供商用来保护其通信安全的最常见协议是AES,Blowfish和(在较小程度上)山茶花.
AES
我在上一节中提到AES时,考虑到它的受欢迎程度,我认为在本文的这一部分中重新访问它很重要.
可以说AES是当今使用的最常见的对称密钥密码,甚至美国政府也使用AES-256来保护其数据。 AES被认为是非常安全的,并且获得了美国国家标准技术研究所的认证。.
AES提供3种不同的位密钥大小-AES-128,AES-192和AES-256。 AES-128和AES-256最常用。 AES-256是这两种选择中最强的一种,尽管据专家所知,AES-128仍然是安全的.
河豚
国际知名的安全技术专家Bruce Schneier开发了Blowfish-128,这是OpenVPN使用的默认密码。对称密钥块没有专利权,并且没有使用费,并且不需要使用许可.
虽然Blowfish密钥的大小范围为32到448位,但用户通常使用128位密钥大小来保护数据.
河豚足够安全,可以随意使用。但是,它确实有其缺点。密码的某些实现中存在错误。但是,参考(基本)版本不包含该错误.
茶花
尽管Camellia是一种安全的现代密码,但美国国家标准技术研究院(National Institute of Standards and Technology)尚未对其进行认证,并且尚未像AES一样经过弱点测试.
茶花的密钥大小为128、192和256位。三菱电机和NTT共同开发了适用于硬件和软件实现的密码.
传输层协议:TCP和UDP
传输控制协议(TCP)和用户数据报协议(UDP)是传输层协议。传输层协议处理 端到端通信服务 适用于互联网上的应用程序.
TCP协议
传输控制协议(TCP)提供可靠且有序但缓慢的通信.
如果使用TCP发送消息,文件或其他类型的信息,则发送者可以确信该信息将通过以下方式传递给接收者: 没有腐败 (数据中的错误)和 按适当顺序. 这对于传输文件和发送消息尤为重要.
TCP以“流”形式发送数据,没有任何内容指示每个数据包的开始或结束位置,因此它确实给设备带来了更大的压力,因为需要更多的处理能力来确保正确接收数据.
如果TCP数据流的某些部分确实以错误的顺序到达,则在可以按照正确的顺序组合数据之前,将自动发送对数据的重发请求作为处理的一部分。这导致 更高的处理开销.
TCP在万维网上用于HTTP访问(查看网页),电子邮件,文件传输和其他操作.
UDP协议
用户数据报协议(UDP)提供了更快但更不可靠的通信.
如果使用UDP来发送信息,则在知道该信息将完全将其发送给发送方的情况下,发送方将无法保证安全;如果确实在发送方将其发送给发送方,则该发送方的顺序可能不正确。另外,当它到达时,数据可能已损坏,因为UDP提供了 没有错误纠正 完全没有.
这意味着,如果您向重要的其他人发送严重的单字短信,例如:
“找到了一个美丽的天堂。是你的,女孩。克里斯”
然后它可能会像这样到达:
“找到了一个漂亮的女孩。是天堂克里斯,你的”.
因此,绝对不是下载文件或发送和接收其他信息(例如短信)的最佳协议,这些协议需要正确的顺序.
UDP更多 轻巧的 比TCP,因为它不支持跟踪连接,消息排序或其他处理器密集型操作。 UDP无关紧要,它只是按照接收到的顺序(是否有错)获取信息.
UDP单独发送数据包,如果它们全部到达,它们可能会乱序到达.
UDP用于域名系统(DNS),流媒体应用程序(例如Netflix)和在线多人游戏.
握手加密
在设备与VPN提供商的服务器之间建立连接时,该过程会使用 传输层安全性(TLS)握手 建立用于两者通信的密钥.
这个“握手” 验证 您正在连接到VPN提供商的服务器,而不是攻击者的“欺骗”服务器.
TLS通常使用RSA公钥密码系统来保护握手,并使用非对称加密和数字签名算法来识别TLS / SSL证书。但是,有时它也使用ECDH或Diffie-Hellman密钥交换.
RSA
RSA(Rivest–Shamir–Adleman)是一种非对称加密系统,使用公共密钥对数据进行加密,同时使用不同的私有密钥对数据进行解密。该系统已用于保护互联网上的通信安全超过二十年.
RSA可以具有各种密钥长度,但是最受欢迎的是1024位(RSA-1024)和2048位(RSA-2048).
一支专家团队能够在2023年破解RSA-1024。这导致通过互联网开展业务的公司逐渐远离使用RSA-1024的趋势。.
可悲的是,某些VPN提供商仍使用RSA-1024来保护客户端/服务器握手。在决定使用VPN提供商之前,请务必与提供商确认,以确保他们不再使用RSA-1024保护握手.
RSA-2048及更高版本被认为是安全的, 据尚未破解(据任何人所知).
但是,单独使用它是不明智的,因为它不提供完善的前向保密性。在密码套件中包含Diffie-Hellman(DH)或椭圆曲线Diffie-Hellman(ECDH)密钥交换可以解决此问题,使其符合PFS规范.
Diffie-Hellman(DH)和椭圆曲线Diffie-Hellman(ECDH)
VPN协议还可以使用另一种类型的握手加密,称为Diffie-Hellman加密密钥交换.
该密钥通常使用2048位或4096位密钥长度。 (避免使用小于2048的值,否则它很容易受到logjam攻击。)
Diffie-Hellman相对于RSA的主要优势在于 本机提供完善的前向保密性 保护. 但是,可以通过向其添加DH密钥交换来改进RSA握手,从而提供类似的保护.
安全专家批评Diffie-Hellman重用了少量的质数。这使它容易受到资源有限的方(例如NSA)的破解。但是,将其用作RSA密码设置的一部分时,可以创建安全的握手.
椭圆曲线Diffie-Hellman(ECDH) 是一种较新的加密形式,没有Diffie-Hellman所具有的漏洞。 ECDH使用特定类型的代数曲线来代替原始Diffie-Hellman使用的质数.
ECDH也可以与RSA握手结合使用,以提供完善的前向保密性。此外,它可以自行安全地加密握手,并为PFS提供椭圆曲线数字签名算法(ECDSA)签名.
ECDH密钥长度从384位开始。虽然这被认为是安全的,但是当涉及到自己加密握手时,时间越长越好.
SHA认证
安全哈希算法(SHA) 是一种加密哈希函数,可用于验证连接,包括SSL / TLS和数据连接.
基本上,SHA用于创建 唯一支票值 用于数字数据。接收设备使用校验值来确认数据的完整性.
一个简单的示例是,文件或消息的校验值在一端是否为“ 456AHD”,在接收时也为“ 456AHD” –在这种情况下,接收方可以确信没有人篡改数据方式.
因此,如果您从母亲那里收到消息“您是最好的孩子”,SHA会向您保证,这不是黑客的手法,而您的妈妈确实确实认为您是最好的孩子.
OpenVPN连接属于可以使用SHA进行身份验证的连接.
SHA根据有效的TLS证书创建唯一的指纹。证书可以由OpenVPN客户端验证。如果有人更改了证书,即使是最小的证书,SHA都会检测到它并拒绝连接.
SHA有助于防止诸如中间人攻击之类的攻击,其中一方试图将VPN连接从提供商的VPN服务器转移到黑客自己制造的服务器上.
SHA共有3个级别,随着级别的提高其安全性也随之提高:SHA-1,SHA-2和SHA-3.
尽管SHA-2和SHA-3哈希函数仍然被认为是安全的,但是SHA-1在用于保护网站时很容易破坏。由于受SHA-1保护的网站仍然很流行,因此大多数现代浏览器在连接到SHA-1“安全”网站时都会向您发出警告。.
到目前为止,我们学到了什么-VPN加密
一种 VPN协议 是用于在两个设备(例如用户的移动设备或计算机以及VPN服务的服务器)之间创建和维护加密连接的一组指令.
协议使用称为“密码,来执行数据的加密和解密。最好将密码描述为要加密和解密正在发送和接收的数据的一系列步骤。商业VPN提供商通常使用 AES 和河豚密码以确保其通信安全.
传输层协议 管理互联网应用程序的设备到设备通信服务。传输控制协议(TCP)是一种纠错协议,最适合用于下载文件和发送消息。用户数据报协议(UDP)速度更快,但不包含错误纠正功能,最适合用于流式传输内容,例如Netflix或其他视频和音乐提供商的内容.
的 传输层安全性(TLS)握手 建立使两个设备通信所需的秘密密钥。 TLS通常使用RSA公钥密码系统来保护握手,但也可以使用ECDH或Diffie-Hellman密钥交换.
安全哈希算法(SHA) 是用于验证连接的加密哈希函数.
VPN协议
在本节中,我将讨论OpenVPN,L2TP / IPSec,IKEv2,SSTP和PPTP.
这些是当今最常用的协议。我将解释它们是什么以及它们如何工作。通常,我们将按照最佳协议的顺序(从最坏的顺序开始)进行讨论,因为它们已在上面的第一句话中列出。但是,我们将为最后保存最好的:OpenVPN.
由于OpenVPN可以说是行业标准,因此在讨论它时将详细介绍。但是,请放心,我不会跳过其他协议的细节,因为它们仍在大量使用中.
L2TP / IPSec
优点:
- 被认为是最安全的
- 易于安装和使用
- 货源充足
- 通常比OpenVPN快
缺点:
- 国家安全局可能会破坏
- 实施有时不正确
大多数操作系统和支持VPN的设备都内置了第2层隧道协议(L2TP)。这使设置变得容易。 L2TP通常与IPSec(Internet协议安全)身份验证/加密程序包结合使用,因为L2TP本身不提供任何加密.
尽管通常使用AES,但L2TP / IPsec可以同时使用3DES和AES密码,因为已发现3DES易受Sweet32和中间相遇攻击.
L2TP / IPSec使用UDP进行初始的加密密钥交换(握手)和数据传输.
尽管此协议由于将数据封装两次而比其他协议要慢一些,但由于该协议允许多线程以及在内核级别进行加密/解密,因此该速度有所降低.
从理论上讲,该协议可以提供比OpenVPN更好的性能.
尽管L2TP / IPSec没有已知的重大安全漏洞,爱德华·斯诺登和安全专家John Gilmore均表示,IPSec IETF标准委员会上的IPSec被“不是NSA雇员,但与NSA有着长期联系的人”故意削弱了。在设计阶段,因此受到了NSA的损害.
遗憾的是,某些VPN提供商无法使用其网站上可用的预共享密钥(PSK)正确实施L2TP / IPSec。这使攻击者有可能使用预共享密钥来模拟VPN服务器,从而允许他们窃听或插入恶意数据。.
尽管L2TP / IPSec可能会受到安全漏洞的影响,但如果实施得当,则被认为是安全的。它与大多数操作系统和设备的兼容性是绝对的优势.
IKEv2
优点:
- 快速稳定
- 与AES一起使用时安全
- 易于设置
缺点:
- 在某些平台上不可用
Internet密钥交换版本2(IKEv2)最初是由Cisco和Microsoft之间的合作伙伴关系开发的。 Windows 7及更高版本,iOS和BlackBerry设备支持该协议.
除了IKEv2的正式版本外,还为其他操作系统开发了兼容的开源版本。.
由于IKEv2只是一个隧道协议,因此它需要与身份验证套件(例如IPSec)配对才能成为实际的安全VPN协议.
IKEv2可以使用多种加密算法,包括AES,Blowfish,3DES和山茶花.
IKEv2使用UDP进行初始(和加密)密钥交换和数据传输.
IKEv2是定期在蜂窝和本地Wi-Fi连接之间切换的智能手机用户的一种选择,因为该协议非常适合在用户断开连接后自动重新连接并重新获得Internet连接.
尽管IKEv2并不像其他协议那样流行,但由于它在更少的平台上受支持,但是它的性能,安全性和自动重新建立连接的能力使其成为可用的有效选项。.
SSTP
优点:
- 完全集成到Windows中
- 通常可以在防火墙下建立隧道
缺点:
- 专有Microsoft协议
- 对Windows以外的平台的支持有限
安全套接字隧道协议(SSTP)是Microsoft专有的协议标准,因此与Windows紧密集成。该协议可用于Windows,macOS,Linux和BSD设备。自Windows Vista SP1发行以来,SSTP已可用于Windows安装.
Microsoft开发了用于远程客户端访问的协议,因此,它与站点到站点VPN隧道不兼容.
SSTP加密使用SSL 3.0,因此它提供与OpenVPN相似的功能和优点,包括能够使用TCP端口443避免阻塞.
SSTP并不是一个开放标准,因此也没有受到公众审查的担忧。微软先前与国家安全局(NSA)的合作令人担忧,并且NSA官员已承认与微软合作开发Windows 7。.
SSTP通过在TCP端口443上使用SSL / TLS,确实能够在大多数防火墙下进行隧道传输。这对于那些被限制过于严格的防火墙所吸引的用户而言,SSTP可能是一个有吸引力的选择.
PPTP
优点:
- 流行的客户端,内置在大多数平台中
- 易于设置
- 低计算开销使其速度更快!
缺点:
- 非常不安全
- 它被国家安全局(NSA)破坏了
- 易于检测和阻止
由Microsoft领导的联盟在1995年创建了点对点隧道协议(PPTP),以通过拨号连接创建VPN。它与Windows 95集成在一起.
该协议很快成为企业VPN网络的标准。直到今天,它仍然是用于商业VPN服务的流行协议。但是,多年来,随着VPN技术的改进,PPTP逐渐被淘汰.
PPTP使用128位加密密钥,因此与其他协议相比,它需要较低的计算开销,因此比许多其他协议更快.
但是,PPTP不像其他协议那样安全,并且面临众多安全漏洞。尽管微软已修补了许多漏洞,但这家位于雷德蒙德的公司建议使用SSTP或L2TP / IPsec代替.
PPTP使用Microsoft点对点加密协议(MPPE)加密其有效负载。 MPPE使用RSA RC4加密算法,最多可使用128位会话密钥.
人们普遍认为,国家安全局(NSA)可以轻松解密PPTP加密的信息,并且从认为PPTP安全的那段时间开始收集了大量数据.
不建议将PPTP用于像中国这样的众所周知的政府禁止VPN使用的国家.
PPTP同时使用易受阻止的TCP端口1723和GRE协议,使诸如中国防火墙等工具可以轻松检测和阻止该协议.
我强烈建议用户尽可能避免使用PPTP,仅在没有其他兼容协议的情况下使用它.
开放VPN
优点:
- 相当安全
- 在大多数平台上可用
- 开源的
- 轻松绕过防火墙封锁
- 高度可定制
缺点:
- 需要第三方软件
OpenVPN可以说是当今最流行的VPN协议。大多数商业VPN提供商都支持它。 OpenVPN是一种免费的VPN协议,也是开放源代码,其256位加密使其成为目前最安全的协议之一.
OpenVPN是高度可配置的。尽管该协议不受任何流行的设备平台的本地支持,但大多数情况下都可以通过以下方式使用该协议: 第三方软件.
使其成为流行选择的OpenVPN的一项特殊功能是它可以设置为 在任何端口上运行.
最值得注意的端口是HTTPS流量使用的TCP端口443。由于端口443用于银行,在线零售商和其他对安全性较高的用户的安全连接,因此阻塞端口443将对所述银行和其他对安全性较高的用户的操作造成破坏.
因此,像中国这样的限制性国家在不危害业务的前提下将难以阻止OpenVPN.
如果速度是最重要的考虑因素,则可以将OpenVPN设置为使用UDP,请考虑以何种方式将其作为有效选项和/或用于何种使用率。如果错误校正是最重要的因素,则可以设置为TCP.
OpenVPN用于加密连接的OpenSSL库 支持多种密码, 尽管AES和Blowfish是最常见的.
OpenVPN加密如何工作
如前所述,OpenVPN加密由两部分组成:控制通道加密和数据通道加密.
控制通道加密 保护您的计算机或设备与VPN提供商的服务器之间建立的连接.
数据通道加密 确保双方正在发送和接收的实际数据.
遗憾的是,某些VPN提供商在其中一个通道(通常是数据通道)上使用了较弱的加密,这使您的数据处于危险之中.
OpenVPN连接的安全性强度仅与所使用的最弱的加密一样强.
为了确保最大的安全性,两个通道都应使用最强的加密。但是,更强的加密会降低VPN的连接速度,这就是为什么某些提供商对数据通道使用较弱的加密的原因-这对您而言最重要的是速度或安全性.
如果可能,请始终对您正在考虑的任何VPN供应商进行研究,以确保其对OpenVPN连接使用最安全的方法.
控制通道的加密使用传输层安全性(TLS)技术来安全地协商从您的设备到VPN服务器的连接。浏览器使用TLS提供与启用HTTPS的网站的安全连接.
结论
只要VPN提供商在其服务器和应用程序中正确实施了OpenVPN,就我的拙见,该协议就是周围最安全的VPN协议.
2023年对OpenVPN的审核显示 没有严重的漏洞 那会影响用户的隐私。尽管有一些漏洞使OpenVPN服务器容易遭受拒绝服务(DoS)攻击,但最新版本的OpenVPN填补了这些漏洞.
由于OpenVPN的一流保护,灵活性以及VPN行业的普遍认可,我强烈建议您尽可能使用OpenVPN协议.
总结一下
让我们看一下本文所涵盖的主要思想。这是一条漫长而曲折的道路,但我们走到了尽头.
加密
加密是最简单的形式,它是将可读文本(纯文本)转换为不可读文本(密文)的过程,只有拥有“秘密代码”(密码)才能将文本解扰为可读格式,该文本才可读.
加密密码是用于对数据进行加密的指令的算法,而加密密钥是确定密码(即密文)输出的信息。 VPN协议利用这些密码来加密您的数据.
VPN使用加密的隧道使您的Internet连接处于秘密状态。这样可以防止任何第三方(例如您的ISP或政府)监视和记录您的在线活动.
VPN加密协议
您的VPN提供商使用加密协议来保护您的Internet连接.
有多种类型的加密协议可用于保护VPN连接,每种都有各自的优缺点。 4个最重要的考虑因素是使用的密码(例如AES或Blowfish),传输层协议,握手加密和SHA身份验证.
传输层协议处理应用程序的端到端(设备到设备)通信服务,例如互联网上使用的那些服务.
握手加密是用于在您的设备和VPN提供商的服务器之间建立连接的过程。此“握手”确认您连接的是真实的VPN服务器,而不是黑客的“欺骗”服务器.
SHA身份验证是一种加密哈希函数,可用于验证连接.
通讯协定
L2TP / IPSec
第2层隧道协议(L2TP)在大多数台式机和移动操作系统上可用。 L2TP易于使用,并且通常与IPSec加密软件包一起使用,因为它本身不包含任何加密。它的速度可媲美OpenVPN和IKEv2.
IKEv2
Windows 7及更高版本,iOS和BlackBerry平台都本机支持此协议。 IKEv2是智能手机使用的不错选择,因为它可以在用户丢失并重新获得互联网连接后自动重新连接到互联网.
SSTP
SSTP与Windows紧密集成,也可用于macOS,Linux和BSD平台。它与站点到站点VPN隧道不兼容。它仅支持用户身份验证,不支持设备身份验证,使其仅可用于远程客户端访问,例如当员工远程登录公司服务器时.
PPTP
虽然PPTP已经存在了很长时间,并且可以在大多数平台上使用,但是它并不安全。但是,由于PPTP的加密开销是所有协议中最低的,因此PPTP是最快的.
开放VPN
在我们研究过的所有协议中,OpenVPN提供了最佳的全方位保护与速度之比。它是快速,安全,可靠和开源的。尽管它不是任何设备平台所固有的,但仍有许多第三方选项可用.
对于位于中国等过度限制国家/地区的VPN用户,OpenVPN是一个特别好的选择。尽管中国的防火墙可以阻止许多VPN协议,但针对OpenVPN的攻击平均值却不高.
收盘时
阅读本文之后,您现在应该对加密有了更好的了解,以及VPN如何使用加密来保护您的在线连接和相关活动.
如您所读,虽然每个VPN协议都有其优点和缺点,但在正确配置后,它们都至少提供了一定程度的保护。 OpenVPN是全方位保护,兼容性和速度的最佳选择.
考虑使用VPN提供商时,请确保他们将OpenVPN作为协议选项提供,以便为您的在线个人和商业活动提供最佳保护.
我强烈建议ExpressVPN作为一种选择,因为它们除了提供出色的连接速度,全局服务器覆盖范围,隐私保护和客户服务外,还提供OpenVPN保护。.
ExpressVPN还为几乎所有现代连接平台提供支持OpenVPN的应用程序.
有关更多信息,请访问ExpressVPN网站。.
“ VPN & “ Internet Security”(由Mike MacKenzie授予CC的2.0授权)