خرید vpn

رمزگذاری Vpn

انواع رمزگذاری های وی پی ان

رمزگذاری حتی به اسم هم چیز ساده ای نیست. در واقع  زمانی می تواند قابل درک باشد که ترمینولوژی(لغت شناسی) مربوط به آن را درک کنیم و بتوانیم پروسه ی امنیت را تخصصی توضیح دهیم. اگراین کلمات را شرح ندهیم فرآیند رمزگذاری می تواند به شدت گیج کننده باشد.( وضعیتی را تصور کنید که یک ارائه دهنده ی وی پی ان برای شرح قابلیت های سرویس خود به رمزگذاری آن اشاره کند. اگر شما با لغات مربوط به رمزگذاری آشنا نباشید نمی توانید ارزیابی درستی داشته باشید) ، پس بهتر است ابتدا در مورد اصطلاح های این پروسه صحبت کنیم تا بهتر به درک درستی از این مسئله برسیم. در این مقاله راهنمایی برای شفاف سازی در زمینه ی رمزگذاری VPN می باشد و در بخش هایی از آن به توضیحاتی در مورد تفاوت PPTP در مقابل L2TP ،  OpenVPN در مقابل SSTP  و IKEv2 پرداخته می شود.

پروتکل VPN

پروتکل VPN مجموعه ای از دستورات (مکانیسم های) کاربردی برای اتصال امن و رمزگذاری شده بین دو کامپیوتر است. ما نگاهی به پروتکل های رمزگذاری VPN های مختلف داشته و در مقالات خود PPTP ، L2TP ، OpenVPN ، SSTP  و IKEv2 را با هم مقایسه می کنیم که با مقاله ی پراکسی بهتر است یا vpn این پروسه را شروع کردیم. به یاد داشته باشید که پروتکل فیلتر شکن از رمزگذاری و روش های احراز هویت مستقل بوده و هر پروتکل روش های جداگانه ای دارد. به طور مثال پروتکل PPTP از شیوه های رمزگذاری MS-CHAP v2 که بسیار ناامن است استفاده می کند، در حالیکه پروتکل L2TP اغلب از شیوه های احراز هویت IPSec استفاده می نماید برای همین هم شما کلمه ی IPsec را در کنار L2TP می بینید. در حقیقت، حتی اگر ارائه دهنده ای در مورد پروتکل خاصی LT2P یا IPSec با به تنهایی بنویسد منظورش همان عبارت L2TP/IPSec می باشد.

OpenVPN در حال حاضر پروتکل فیلتر شکن استاندارد برای استفاده در صنعت سرویس های VPN است و برای استاندارد بودن نیز دلایل زیادی وجود دارد.  این پروتکل بسیار امن است، می تواند برای تمامی دستگاه هایی که VPN دارند استفاده شود ( به استثنای دستگاه هایی که از سیستم عامل بلک بری بهره می برند اما بدون شک Openvpn برای این سیستم عامل نیز برنامه هایی خواهد داشت). بنابرین بهتر است در صورت امکان از  OpenVPN استفاده شود و اگر در صورت استفاده از این پروتکل نیز نگران هستید بقیه ی مقاله را دنبال کنید. OpenVPN از کتابخانه گسترده ی رمزگذاری OpenSSL بهره می برد، همچنین تحت عنوان پروتکل SSLv3/TLS نیز شناخته می شود. ارائه دهندگان SSTP مکانیسمی برای حمل ترافیک PPP یا L2TP از طریق کانال SSLv3 ارائه می دهند. به لطف استفاده ی این پروتکل از SSL، بسیاری از مواردی در OpenVPN وارد می شود قابل به کار بردن در SSTP نیز هستند.

انواع رمزگذاری های Vpn

RSA Handshake

  • عمل RSA: به عنوان کلید رمزگذاری شناخته شده است.

به منظور حفظ امنیت در اتصال VPN SSL یعنی پروتکل های Openvpn و SSTP ، معمولا از کلیدهای رمزنگاری نامتقارن و عمومی RSA استفاده می کنند ( منظور از نامتقارن این است که کلیدهای عمومی برای رمزگذاری اطلاعات به کار برده می شوند ولی برای رمزگشایی آن از کلیدهای خصوصی مختلف استفاده می شود). RSA به عنوان الگوریتم امضای دیجیتالی و رمزگذاری عمل کرده و برای شناسایی TLS/SSL به کار برده می شود و طی ۲۰ سال گذشته پایه و اساس امنیت در اینترنت می باشد. با این حال، در سال ۲۰۱۰ نشان داده شد که کلیدهای اختصاصی رمزگذاری ۱۰۲۴ بیتی می توانند توسط NSA شکست پذیر باشند. این موجب شد که شرکت گوگل در سال ۲۰۱۳ تمام گواهی های SSL خود را به کلیدهای ۲۰۴۸ بیتی ارتقا دهد و حرکت بزرگی در زمینه فناوری امنیت داشته باشد . اگر دقت کرده باشید درگاه های پرداخت ایرانی نیز در این دوره ی زمانی تغییراتی داشته اند به طوری قابلیت پرداخت های آنلان برای مرورگر های قدیمی و نسخه های پایین از آن ها گرفته شده است که دلیل آن همین سبک رمزگذاری آن هاست. کلیدهای رمزگذاری ۲۰۴۸ بیتی RSA به نظر امن می رسند؛ اگرچه رمزگذاری های ۳۰۷۲ و ۴۰۹۶ بیتی نیز دیده می شود. RSA-2048 بیتی در حال حاضر استاندارد ارائه دهندگان تجاری وی پی ان می باشد.

پروتکل RSA Handshake

Handshake جایگزین یا رقیبی است که توسط OpenVPN جایگزین شده و کلیدهای رمزگذاری Diffie-Hellman می باشد، ولی این رمزگذاری اخیرا توسط سازمان آژانس امنیت ملی آمریکا (NSA) آسیب پذیر شناخته شده است. رمزنگاری جدیدتری با نام Elliptic curve Diffie-Hellman) ECDH) به حملات سایبری آسیب پذیر نیست و در آن به جای اعداد از یک سری منحنی های جبری استفاده می شود. یکی از مزیت های Diffie-Hellman به RSA این است که اجازه ی Perfect Forward Secrecy ) PFS) را می دهد. ( PFS در واقع راهکاری است که عمر مفید کوتاه کلید رمزگذاری را تضمین می کند و این بدان معناست که حتی اگر مهاجمان از این آسیب پذیری به کلید رمزگذاری دست یابند، موفق به رمزگشایی تمامی اطلاعات نخواهند شد) ، این بدین معناست که حالت اتصال SSL شامل مجموعه ای از کلیدهای جدید رمزگذاری می باشد بنابرین هر مجموعه ای زودگذر بوده و ممکن است بزودی الگوریتم دیگری جایگزین آن شود. این باعث می شود که کار هکر ها سخت تر شود و مدام کلیدهای جدیدی را رها کنند و سراغ نسخه ی جدید آن بروند. به هرحال RSA اجازه ی PFS را نمی دهد و به همین دلیل OpenVPN از آن استفاده نمی کند و این باعث می شود از نظر NSA همچنان ایمن باشد.

به دلیل اینکه این موضوع موجب سردرگمی می شود، ما باید به یاد داشته باشیم که رمزگذاری RSA که زمانی گل سرسبد و فلگ شیپ اصلی سازمان رمزنگاری BSAFE بوده است، پس از اینکه امنیتش زیر سوال رفت پیشنهاد رشوه ی ۱۰ میلیون دلاری به سازمان NSA داد که افشا نشود ولی این اتفاق رخ نداد .

احراز هویت ترکیبی SHA

الگوریتم ترکیبی SHA  یک تابع رمزگذاری برای احراز هویت اتصال SSL می باشد که در پروتکل هایی مانند OpenVPN به کار می رود. این الگوریتم برای گواهی SSL نوعی اثرانگشت ایجاد می کند که توسط کلاینت های openvpn تایید می شوند. اگر کوچک ترین تغییری در این الگوریتم ایجاد شود تشخیص داده شده و اتصال رد می شود. جلوگیری از حملات سایبری Man-in-the-middle ) MitM) خیلی مهم است که در آن تلاش می شود به جای اتصال به OpenVPN ارائه دهندگان VPN به سرورهای ICT منحرف کند و این کار را با هک روتر انجام می دهند. اگر هکرها بتوانند به SSL واقعی نفوذ کرده و به آن آسیب بزنند می توانند گواهی جعلی ایجاد کرده و باعث شوند نرم افزار VPN آن را تایید کنند. نسخه ی رایج SHA که در اینترنت استفاده می شود SHA-1)16 بیتی) است که مبنای ۲۸ درصد از گواهینامه های دیجیتالی بوده و متاسفانه بسیار شکننده است.

رمزگذاری

شنیده می شود که تا سال ۲۰۱۷ شرکت های مایکروسافت، موزیلا و گوگل اعلام کرده اند دیگر اتصال SHA-1 SSL را نخواهند پذیرفت. اگرچه صفحات جدید نوشته اند که ممکن است قبل از سال ۲۰۱۷ SHA-1 برکنار شود. در ماه آگوست سال جاری NIST اعلام کرده که SHA-3 استاندارد جدید بوده و از سال ۲۰۱۰ پس از SHA-2 کار خود را آغاز کرد. اگرچه حملات موفقیت آمیزی علیه SHA-2 ثبت نشده است ولی به دلیل شباهت فناوری الگوریتم آن به نسخه اول، SHA-3 به ۲ ترجیح داده می شود. بنابرین  OpenVPN  فقط از SHA-1  و SHA-2 پشتیبانی می کند. احتمالا SHA-1 هنوز امن است اگرچه هنوز کسی نظر NSA درباره ی آن را نمی داند. پس از بحث مفصل با  یکی از ارائه دهندگان فیلتر شکن اکنون می دانیم که تا زمانی که پکیج احراز هویت فعال باشد، استفاده از HMAC SHA1 برای احراز هویت OpenVPN ضعیف نیست، چزا که HMAC SHA1 نسبت به SHA1 آسیب پذیری کمتری دارد ( به عنوان مثال برای رسیدن به هش ها باید ابتدا HMAC شکسته شود و اثبات ریاضی این موضوع نیز در دسترس می باشد).

رمزگذاری زمان بر است

رمزگذاری و رمزگشایی داده ها مدت زمان طی شدن پروسه ی پردازنده را بالا برده و همچنین میزان داده هایی که در اینترنت رد و بدل می شود را زیاد می کند. این بدین معناست که رمزگذاری استفاده شده توسط شما و ارائه دهنده VPN شما سرعت اتصال شما به اینترنت را کندتر می کند. معمولا با رمزگذاری سرعت فرق چندانی نمی کند اما گاهی می تواند تفاوت فاحشی ایجاد کند. این به ویژه در مورد فروشنده های کوچکی که با پهنای باند محدود کاربران زیادی دارند اتفاق می افتد.

مسدود کردن حالت Cipher (رمز گذاری شده)

هنگام بررسی توضیحات فروشنده های وی پی ان در مورد سیستم رمزگذاری مورد استفاده شان ( یا هنگام بررسی فایل پیکربندی OpenVPN) ممکن است با عبارت “CBC cipher block mode” مواجه شوید که پس از مدل رمز گذاری نوشته می شود. مثل AES-256-CBC

این به حالت مسدود کردن رمزگذاری اپراتور گفته می شود و بسیار پیچیده و فنی است. خوشبختانه CBC فقط رمزگذاری هایی را بلاک می کند که از نظر تجاری توسط ارائه دهندگان پشتیبانی می شود. برای مشاهده لیست کامل cipher هایی که توسط OpenVPN حمایت می شوند در بخش Command prompt یا Terminal window مربوط برنامه “openvpn –show-ciphers” را وارد نماید. اگرچه از نظر تئوری CBC آسیب پذیر است ولی معمولا امن می باشد. بنابرین توصیه ما این است که فعال بودن آن خوب است و بهتر است آن را بلاک نکنید و چون بعید است ارائه دهنده ی یک برنامه به ارگان های جاسوسی اجازه مسدود کردن رمزهای شما را بدهد پس لازم نیست نگران باشید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *