Private Internet Access verwendet den Open Source-Industriestandard OpenVPN, um Ihnen standardmäßig einen sicheren VPN-Tunnel zur Verfügung zu stellen. OpenVPN hat viele Optionen für die Verschlüsselung. Unsere Benutzer können wählen, welche Verschlüsselungsstufe sie für ihre VPN-Sitzungen wünschen. Wir versuchen, die vernünftigsten Standardeinstellungen auszuwählen, und wir empfehlen den meisten Personen, sich daran zu halten. Dennoch möchten wir unsere Benutzer informieren und ihnen die Freiheit geben, ihre eigene Wahl zu treffen. Private Internet Access-Benutzer können sich auch dafür entscheiden, WireGuard® für ihre VPN-Tunnel zu verwenden.
Datenverschlüsselung: AES-128
Datenauthentifizierung: SHA1
Händedruck: RSA-2048
Datenverschlüsselung: Keine
Datenauthentifizierung: Keine
Händedruck: ECC-256k1
Datenverschlüsselung: AES-256
Datenauthentifizierung: SHA256
Händedruck: RSA-4096
Datenverschlüsselung: AES-128
Datenauthentifizierung: Keine
Händedruck: RSA-2048
Dies ist der symmetrische Codierungssalgorithmus, mit dem alle deine Daten authentifiziert werden. Dieser symmetrische Code wird mit einem geheimen ephemeren Schlüssel verwendet, der zwischen dir und dem Server ausgetauscht wird. Dieser geheime Schlüssel wird per Handshake-Verschlüsselung ausgetauscht.
Erweiterter Verschlüsselungsstandard (128bit) im CBC-Modus.
Für die meisten Leute ist dies der schnellste Verschlüsselungsmodus.
Erweiterter Verschlüsselungsstandard (256-bit) im CBC-Modus.
Keine Verschlüsselung. Keiner deiner Daten werden verschlüsselt. Deine Login-Daten werden verschlüsselt. Deine IP wird nach wie vor verborgen. Dies kann eine sinnvolle Option sein, wenn du die beste Leistung und dabei nur deine IP-Adresse verbergen möchtest. Dies wäre ähnlich wie bei einem SOCKS-Proxy, aber mit dem Vorteil, dass dein Benutzername und Passwort nicht durchsickern.
Dies ist der Nachrichtenauthentifizierungsalgorithmus, mit dem alle deine Daten authentifiziert werden. Dieser wird nur verwendet, um dich vor aktiven Angriffen zu schützen. Wenn du nicht über aktive Angreifer besorgt bist, kannst du die Datenauthentifizierung deaktivieren.
HMAC using Secure Hash Algorithm (160-bit).
This is the fastest authentication mode.
HMAC verwendet den sicheren Hash-Algorithmus (256-bit).
Keine Authentifizierung. Keiner deiner verschlüsselten Daten werden authentifiziert. Ein aktiver Angreifer könnte theoretisch deine Daten verändern oder verschlüsseln. Damit hätten passive Angreifer keine Chancen.
Dies ist die Verschlüsselung, die verwendet wird, um eine sichere Verbindung herzustellen und sich zu vergewissern, dass Sie wirklich über einen Private Internet Access VPN-Server kommunizieren und nicht dazu verleitet werden, sich mit einem Server des Angreifers zu verbinden. Wir verwenden TLS v1.2, um diese Verbindung aufzubauen. Alle unsere Zertifikate verwenden SHA512 für die Unterzeichnung.
2048bit Ephemerer Diffie-Hellman (DH) Schlüsselaustausch und 2048-bit RSA Zertifikat zur Verifizierung, dass der Schlüsselaustausch tatsächlich über einen Private Internet Access-Server gelaufen ist.
Wie bei RSA-2048, aber 3072-bit sowohl für den Schlüsselaustausch und das Zertifikat.
Wie bei RSA-2048, aber 4096-bit sowohl für den Schlüsselaustausch und das Zertifikat.
Ephemerer Elliptic Curve DH Schlüsselaustausch und ein ECDSA-Zertifikat zur Verifizierung, dass der Schlüsselaustausch tatsächlich über einen Private Internet Access-Server gelaufen ist. Kurve secp256k1 (256-bit) wird für beide verwendet. Dies ist die gleiche Kurve, die Bitcoin zur Unterzeichnung seiner Transaktionen verwendet.
Wir zeigen dir in 3 Fällen eine Warnung:
Die neuesten Enthüllungen der NSA haben Bedenken geschürt, dass bestimmte oder möglicherweise alle durch US-Normungsgremien gebilligten elliptischen Kurven evtl. Hintertüren haben, durch die die NSA sie leichter entschlüsseln kann. Es gibt keinen Beweis dafür, dass dies für Kurven mit Signatur und Schlüsselaustausch der Fall ist†, und es gibt Experten, die dies als unwahrscheinlich betrachten. Deshalb geben wir den Benutzern diese Möglichkeit, jedoch mit einer Warnung, wenn Sie eine Einstellung mit elliptischer Kurve auswählen. Wir bieten auch die weniger standardmäßige Kurve secp256k1, die von Bitcoin verwendet wird und (im Gegensatz zu anderen Kurven) von Certicom (einer kanadischen Firma) statt von NIST generiert wurde, und sie scheint weniger Stellen für potentielle Hintertüren zu haben.
†
Es gibt starke Anzeichen dafür, dass ein Zufallszahlengenerator, der ECC verwendet, durch eine Hintertür geknackt wurde, aber nicht weitreichend verwendet wurde.
Bei einem aktiven Angriff gelangt ein Angreifer „zwischen" dich und den VPN-Server, wo der Daten verändern oder in deine VPN-Sitzung injizieren kann. OpenVPN wurde entwickelt, damit du vor aktiven Angreifern geschützt bist, solange du sowohl Datenverschlüsselung als auch Datenauthentifizierung verwendest.
Bei einem passiven Angriff zeichnet ein Angreifer einfach alle über das Netzwerk laufenden Daten auf, ohne sie zu modifizieren oder neue Daten zu injizieren. Ein Beispiel eines passiven Angreifers ist eine Einheit, die durch Rasterfahndung den gesamten Netzwerkverkehr erfasst und speichert, aber ihn nicht behindert oder verändert. Solange du deine Daten verschlüsselt, ist deine OpenVPN-Sitzung vor passiven Angreifern geschützt.
Ephereme Schlüssel sind Verschlüsselungsschlüssel, die zufällig erzeugt werden und nur für eine bestimmte Zeitdauer verwendet werden, wonach sie entsorgt und sicher gelöscht werden. An ephemeral key exchange is the process by which these keys are created and exchanged. Diffie-Hellman is an algorithm used to perform this exchange. Der Grundgedanke der ephemeren Schlüssel ist, dass sie entsorgt werden, wenn sie verwendet wurden, und niemand die damit verschlüsselten Daten entschlüsseln kann, sogar wenn jemand vollen Zugriff auf alle verschlüsselten Daten sowie zum Client und Server erhält.