Private Internet Access, size güvenli bir VPN tüneli hizmeti sunmak için varsayılan olarak endüstri standardı ve açık kaynaklı OpenVPN'yi kullanmaktadır. Şifreleme söz konusu olduğunda OpenVPN’nin birçok seçeneği bulunur. Kullanıcılarımız VPN oturumlarında istedikleri şifreleme seviyesini seçme olanağına da sahiptirler. En makul varsayılanları seçmeye gayret ediyor ve çoğu kişiye de bunları bırakmamalarını öneriyoruz. Bununla birlikte, kullanıcılarımızı bilgilendirmeyi ve onlara kendi tercihlerini yapmaları için özgürlük vermeyi seviyoruz. Private Internet Access kullanıcıları, dilerlerse VPN tünelleri için WireGuard® kullanmayı da tercih edebilirler.
Veri şifreleme: AES-128
Veri doğrulama: SHA1
Handshake: RSA-2048
Veri şifreleme: Yok
Veri doğrulama: Yok
Handshake: ECC-256k1
Veri şifreleme: AES-256
Veri doğrulama: SHA256
Handshake: RSA-4096
Veri şifreleme: AES-128
Veri doğrulama: Yok
Handshake: RSA-2048
Bu verilerinizin tamamının şifrelenmesi ve şifresinin çözülmesinde kullanılan bakışımlı şifre algoritmasıdır. Bakışımlı şifre, siz ve sunucu arasında paylaşılan bir geçici gizli anahtar ile birlikte kullanılır. Gizli anahtarın Tokalaşma Şifrelemesi ile birlikte alışverişi yapılır.
Gelişmiş Şifreleme Standardı (128-bit); CBC modunda.
Bu, fastest şifreleme modudur.
İleri Şifreleme Standardı (256-bit) CBC modu.
Şifreleme Yok. Verilerinizin hiçbirisi şifrelenmeyecektir. Oturum açma bilgilerinin şifrelen-ecektir. IP adresiniz yine de gizlenecektir. Yalnızca IP adresinizi gizlerken en iyi performansı elde etmek istiyorsanız bu seçenek en uygunu olabilir. Bu SOCKS proxy benzeri gibidir ancak kullanıcı adınız ve parolanızın sızdırılmama avantajına sahiptir.
Bu verilerinizin tamamının doğrulamasının yapılmasında kullanılan mesaj doğrulama algoritmasıdır. Bu yalnızca sizi aktif saldırılardan korumak için kullanılır. Aktif saldırı düzenleyenlerden endişeniz yoksa Veri Doğrulamasını kapatabilirsiniz.
HMAC kullanan Güvenli Hash Algoritması (160-bit).
Bu, fastest doğrulama modudur.
Güvenli Karma Algoritması kullanan HMAC (256-bit).
Kimlik Doğrulama Yok. Şifrelenmiş verilerinizin hiçbirisi doğrulanmayacaktır. Herhangi bir aktif saldırı düzenleyici potansiyel olarak verilerinizi değiştirebilir veya şifrelerini çözebilir. Bu durum herhangi bir pasif saldırı düzenleyiciye herhangi bir fırsat sunmayacaktır.
Bu şifreleme sizin, güvenli bir bağlantı kurmanız ve kandırılarak herhangi bir saldırı düzenleyenin sunucusuna bağlanmadığınızı, gerçekten Private Internet Access VPN sunucuyla konuştuğunuzu doğrulamanız için kullanılır. Bu bağlantıyı kurmak için TLS v1.2 kullanıyoruz. Tüm sertifikalarımız imza için SHA512 kullanır.
2048bit Ephemeral Diffie-Hellman (DH) anahtar alışverişi ve 2048-bit RSA sertifikası, anahtar alışverişinin gerçekten de Private Internet Access sunucusunda olduğunu doğrular.
RSA-2048 gibi ancak hem anahtar alışverişi hem de sertifika için 3072-bit.
RSA-2048 gibi ancak hem anahtar alışverişi hem de sertifika için 4096-bit.
Geçici Eliptik Eğrisi DH anahtar alışverişi ve Private Internet Accesssuncusunda gerçekten bir anahtar alışverişi gerçekleştiğine dair bir ECDSA doğrulama sertifikası. Her ikisi için de secp256k1 (256-bit) eğrisi kullanılır. Bu Bitcoin’in işlemlerini imzalamak için kullandığı eğrinin aynısıdır.
3 durumda uyarı gösteririz:
NSA’in ortaya koyduğu son keşifler, ABD’de bulunan standart kuruluşları tarafından kabul gören bazı veya muhtemelen tüm Eliptik Eğrilerin, NSA’e onları daha kolayca kırabilmelerine imkan sağlayan arka kapıları olabileceği yönünde endişeleri gündeme getirmiştir. İmzalama ve anahtar değişiminde† kullanılan eğriler için bunun söz konusu olduğuna yönelik herhangi bir kanıt bulunmuyor ve bunun olasılık dışı olduğunu düşünen uzmanlar da mevcut. Bu nedenle kullanıcılara seçenek veriyoruz ancak ne zaman Eliptik Eğri ayarı seçtiğinizde bir uyarı görüntülenir. Ayrıca Bitcoin’in kullandığı ve NIST (diğer eğrilerin olduğu gibi) yerine Certicom (bir Kanada şirketi) tarafından oluşturulan daha az standart olan bir eğri olan ve bir arka kapının saklanması için daha az yere sahip gibi görünen ve daha az standart bir eğri secp256k1 de dahil ettik.
†
ECC kullanan rastgele sayı oluşturucunun arka kapı oluşturduğu yönünde güçlü bir kanıt bulunmakta ancak bu yaygın kullanılmamaktadır.
Aktif saldırı, saldırıyı düzenleyenin siz ve VPN sunucusu “arasında”, sizin VPN oturumunuzdaki verileri değiştirebildiği veya içeriye veri enjekte ettiği bir konuma girdiği bir saldırıdır. OpenVPN, hem veri şifreleme hem de veri doğrulama kullandığınız sürece aktif saldırı düzenleyenlere karşı güvenli olması amacıyla tasarlanmıştır.
Pasif saldırı, basitçe anlatmak gerekirse ağ üzerinden aktarılan tüm verileri kaydettiği ancak herhangi bir değişiklik veya yeni veri enjeksiyonu yapmadığı saldırılardır. Pasif saldırı gerçekleştirene bir örnek vermek gerekirse, herhangi bir müdahalede veya değiştirmede bulunmadan ağ kuşatma yakalaması ve tüm ağ trafiğinin muhafazasını yapan bir kuruluş verilebilir. Veri şifreleme kullandığınız sürece OpenVPN oturumunuz pasif saldırı gerçekleştirenlere karşı güvenlidir.
Geçici Anahtarlar rastgele oluşturulan ve yalnızca belirli bir süreliğine kullanılan ve sonrasında atılarak güvenli bir şekilde silinen şifreleme anahtarlarıdır. Geçici anahtar alışverişi bu anahtarların oluşturulduğu ve alışverişinin yapıldığı süreçtir. Diffie-Hellman bu alışverişi gerçekleştirmek için kullanılan bir algoritmadır. Geçici anahtarların ardındaki fikir bunları kullanıp attığınızda, sonuçta tüm şifrelenmiş verilere ve hem istemciye hem de sunucuya tam erişim sağlasalar dahi artık kimsenin şifreleme için kullanılan verilerin şifresini çözemeyecek olmasıdır.