vpn-encryption-image

VPN-Verschlüsselung

Private Internet Access verwendet OpenVPN, ein industrieübliches Open-Source-VPN, um dir einen sicheren VPN-Tunnel zur Verfügung zu stellen. OpenVPN hat viele Verschlüsselungsoptionen. Unsere Mitglieder können wählen, welche Verschlüsselungsebene sie für ihre VPN-Sitzungen möchten. Wir versuchen, die vernünftigsten Standardeinstellungen zu wählen, und die meisten Leute behalten sie dann bei. Dennoch möchten wir unsere Nutzer informieren und ihnen die Freiheit gewähren, ihre eigenene Entscheidungen zu treffen.

icon-suggested-encryption Empfohlene Verschlüsselungseinstellungen

Empfohlener Standard-Schutz

Datenverschlüsselung: AES-128

Datenauthentifizierung: SHA1

Händedruck: RSA-2048

Volle Geschwindigkeit, keine Sicherheit

Datenverschlüsselung: Keine

Datenauthentifizierung: Keine

Händedruck: ECC-256k1

Maximaler Schutz

Datenverschlüsselung: AES-256

Datenauthentifizierung: SHA256

Händedruck: RSA-4096

Ein riskantes Unterfangen

Datenverschlüsselung: AES-128

Datenauthentifizierung: Keine

Händedruck: RSA-2048


icon-data-encryption Datenverschlüsselung:

Dies ist der symmetrische Codierungssalgorithmus, mit dem alle deine Daten authentifiziert werden. Dieser symmetrische Code wird mit einem geheimen ephemeren Schlüssel verwendet, der zwischen dir und dem Server ausgetauscht wird. Dieser geheime Schlüssel wird per Handshake-Verschlüsselung ausgetauscht.

AES-128

Erweiterter Verschlüsselungsstandard (128bit) im CBC-Modus.
Für die meisten Leute ist dies der schnellste Verschlüsselungsmodus.

AES-256

Erweiterter Verschlüsselungsstandard (256-bit) im CBC-Modus.

Keine

Keine Verschlüsselung. Keiner deiner Daten werden verschlüsselt. Deine Login-Daten werden verschlüsselt. Deine IP wird nach wie vor verborgen. Dies kann eine sinnvolle Option sein, wenn du die beste Leistung und dabei nur deine IP-Adresse verbergen möchtest. Dies wäre ähnlich wie bei einem SOCKS-Proxy, aber mit dem Vorteil, dass dein Benutzername und Passwort nicht durchsickern.


icon-data-authentication Datenauthentifizierung:

Dies ist der Nachrichtenauthentifizierungsalgorithmus, mit dem alle deine Daten authentifiziert werden. Dieser wird nur verwendet, um dich vor aktiven Angriffen zu schützen. Wenn du nicht über aktive Angreifer besorgt bist, kannst du die Datenauthentifizierung deaktivieren.

SHA1

HMAC using Secure Hash Algorithm (160-bit).
This is the fastest authentication mode.

SHA256

HMAC verwendet den sicheren Hash-Algorithmus (256-bit).

Keine

Keine Authentifizierung. Keiner deiner verschlüsselten Daten werden authentifiziert. Ein aktiver Angreifer könnte theoretisch deine Daten verändern oder verschlüsseln. Damit hätten passive Angreifer keine Chancen.


icon-handshake-encryption Handshake-Verschlüsselung

Dies ist die Verschlüsselung, die verwendet wird, um eine sichere Verbindung herzustellen und sich zu vergewissern, dass Sie wirklich über einen Private Internet Access VPN-Server kommunizieren und nicht dazu verleitet werden, sich mit einem Server des Angreifers zu verbinden. Wir verwenden TLS v1.2, um diese Verbindung aufzubauen. Alle unsere Zertifikate verwenden SHA512 für die Unterzeichnung.

RSA-2048

2048bit Ephemerer Diffie-Hellman (DH) Schlüsselaustausch und 2048-bit RSA Zertifikat zur Verifizierung, dass der Schlüsselaustausch tatsächlich über einen Private Internet Access-Server gelaufen ist.

RSA-3072

Wie bei RSA-2048, aber 3072-bit sowohl für den Schlüsselaustausch und das Zertifikat.

RSA-4096

Wie bei RSA-2048, aber 4096-bit sowohl für den Schlüsselaustausch und das Zertifikat.

ECC-256k1 icon-warning

Ephemerer Elliptic Curve DH Schlüsselaustausch und ein ECDSA-Zertifikat zur Verifizierung, dass der Schlüsselaustausch tatsächlich über einen Private Internet Access-Server gelaufen ist. Kurve secp256k1 (256-bit) wird für beide verwendet. Dies ist die gleiche Kurve, die Bitcoin zur Unterzeichnung seiner Transaktionen verwendet.

ECC-256r1 icon-warning

Wie ECC-256k1, aber Kurve prime256v1 (256-bit, auch

ECC-521 icon-warning

Wie ECC-256k1, aber Kurve secp521r1 (521-bit) wird sowohl für den Schlüsselaustausch als auch das Zertifikat verwendet.


icon-warning Warnungen

Wir zeigen dir in 3 Fällen eine Warnung:

Die neuesten Enthüllungen der NSA haben Bedenken geschürt, dass bestimmte oder möglicherweise alle durch US-Normungsgremien gebilligten elliptischen Kurven evtl. Hintertüren haben, durch die die NSA sie leichter entschlüsseln kann. Es gibt keinen Beweis dafür, dass dies für Kurven mit Signatur und Schlüsselaustausch der Fall ist, und es gibt Experten, die dies als unwahrscheinlich betrachten. Deshalb geben wir den Benutzern diese Möglichkeit, jedoch mit einer Warnung, wenn Sie eine Einstellung mit elliptischer Kurve auswählen. Wir bieten auch die weniger standardmäßige Kurve secp256k1, die von Bitcoin verwendet wird und (im Gegensatz zu anderen Kurven) von Certicom (einer kanadischen Firma) statt von NIST generiert wurde, und sie scheint weniger Stellen für potentielle Hintertüren zu haben.
Es gibt starke Anzeichen dafür, dass ein Zufallszahlengenerator, der ECC verwendet, durch eine Hintertür geknackt wurde, aber nicht weitreichend verwendet wurde.


icon-glossary Glossar

Aktive Angriffe

Bei einem aktiven Angriff gelangt ein Angreifer „zwischen" dich und den VPN-Server, wo der Daten verändern oder in deine VPN-Sitzung injizieren kann. OpenVPN wurde entwickelt, damit du vor aktiven Angreifern geschützt bist, solange du sowohl Datenverschlüsselung als auch Datenauthentifizierung verwendest.

Passive Angriffe

Bei einem passiven Angriff zeichnet ein Angreifer einfach alle über das Netzwerk laufenden Daten auf, ohne sie zu modifizieren oder neue Daten zu injizieren. Ein Beispiel eines passiven Angreifers ist eine Einheit, die durch Rasterfahndung den gesamten Netzwerkverkehr erfasst und speichert, aber ihn nicht behindert oder verändert. Solange du deine Daten verschlüsselt, ist deine OpenVPN-Sitzung vor passiven Angreifern geschützt.

Ephemere Schlüssel

Ephereme Schlüssel sind Verschlüsselungsschlüssel, die zufällig erzeugt werden und nur für eine bestimmte Zeitdauer verwendet werden, wonach sie entsorgt und sicher gelöscht werden. An ephemeral key exchange is the process by which these keys are created and exchanged. Diffie-Hellman is an algorithm used to perform this exchange. Der Grundgedanke der ephemeren Schlüssel ist, dass sie entsorgt werden, wenn sie verwendet wurden, und niemand die damit verschlüsselten Daten entschlüsseln kann, sogar wenn jemand vollen Zugriff auf alle verschlüsselten Daten sowie zum Client und Server erhält.