Το εικονικό ιδιωτικό δίκτυο είναι μια υπηρεσία που σας επιτρέπει να συνδεθείτε σε διακομιστές οπουδήποτε στον κόσμο, προσποιούμενοι ότι βρίσκεστε κάπου αλλού και διασφαλίζοντας τη σύνδεσή σας. Πώς λειτουργεί όμως η VPN κρυπτογράφηση; Ακολουθεί ο τρόπος με τον οποίο διατηρεί τη σύνδεσή σας ασφαλή.
Πρωτόκολλα VPN
Για να κατανοήσουμε την κρυπτογράφηση VPN, πρέπει πρώτα να εξετάσουμε τα πρωτόκολλα VPN. Πρόκειται για προγράμματα που διέπουν τον τρόπο με τον οποίο ένα VPN επικοινωνεί με άλλες οντότητες στο δίκτυο, όπως διακομιστές ή τοποθεσίες – χρησιμοποιεί τον όρο “πρωτόκολλο” με την ίδια έννοια που σημαίνει “σύνολο κανόνων”.
Υπάρχουν διάφορα πρωτόκολλα από τα οποία μπορείτε να επιλέξετε, συμπεριλαμβανομένων ορισμένων που αναπτύχθηκαν από τους ίδιους τους παρόχους VPN, όπως το Nordlynx της NordVPN ή το Lightway της ExpressVPN. Τα πιο αξιόπιστα που δεν είναι συνδεδεμένα με ένα συγκεκριμένο VPN είναι πιθανώς το δοκιμασμένο OpenVPN και το σχετικά νεοεισερχόμενο WireGuard.
Η επιλογή του πρωτοκόλλου καθορίζει πολλά πράγματα: για παράδειγμα, το WireGuard είναι πολύ πιο γρήγορο από τα περισσότερα άλλα πρωτόκολλα, ενώ το OpenVPN θεωρείται από τα πιο ασφαλή. Αυτό οφείλεται σε διάφορους παράγοντες, αλλά σε αυτή την περίπτωση είναι ενδιαφέρον, καθώς το πρωτόκολλο καθορίζει επίσης τον τύπο κρυπτογράφησης που μπορείτε να χρησιμοποιήσετε στη σήραγγα VPN σας.
Τα βασικά της κρυπτογράφησης
Όταν κρυπτογραφείτε πληροφορίες, αυτές μετατρέπονται σε ασυναρτησίες με τη χρήση ενός αλγορίθμου που συνήθως κρυπτογραφεί τις πληροφορίες περισσότερες από μία φορές. Για παράδειγμα, όταν ήσασταν παιδί, πιθανόν να δημιουργήσατε ένα μυστικό μήνυμα αντικαθιστώντας τα γράμματα του αλφαβήτου με αριθμούς, έτσι ώστε το όνομα του φίλου σας Αλ να γίνει 1-12.
Ένας αλγόριθμος κάνει το ίδιο, αλλά το προχωρά μερικές χιλιάδες βήματα παραπέρα, αντικαθιστώντας τα γράμματα με σύμβολα τα οποία στη συνέχεια αντικαθίστανται ξανά και ξανά και ξανά. Ο μόνος τρόπος για να ξεκλειδώσετε αυτό το χάος και να το ξανακάνετε αναγνώσιμο είναι να χρησιμοποιήσετε ένα λεγόμενο κλειδί.
Σε αυτή την περίπτωση, ένα “κλειδί” είναι ένα κομμάτι δεδομένων που μπορεί να ξεκλειδώσει κρυπτογραφημένες πληροφορίες. Είναι δελεαστικό να το σκεφτείτε ως κωδικό πρόσβασης, αλλά είναι κάτι περισσότερο από αυτό: είναι συνήθως μια μακρά σειρά γραμμάτων, αριθμών και συμβόλων που δείχνουν στον αλγόριθμο ότι είστε εξουσιοδοτημένοι να αποκρυπτογραφήσετε τις πληροφορίες.
Συμμετρική κρυπτογράφηση
Με τις ίδιες τις πληροφορίες ασφαλείς, υπάρχει, φυσικά, το ερώτημα τι θα κάνετε με το κλειδί, καθώς αυτή είναι η αδυναμία κάθε κρυπτογράφησης: αν έχετε το κλειδί, μπορείτε να ξεκλειδώσετε ό,τι προστατεύει. Ο πιο βασικός τρόπος χειρισμού των κλειδιών είναι η συμμετρική κρυπτογράφηση, γνωστή και ως κρυπτογράφηση με κοινόχρηστο κλειδί. Στην περίπτωση εσάς και του φίλου σας Al από προηγουμένως, απλώς είπατε στον Al πώς λειτουργεί το σύστημα, πράγμα που σημαίνει ότι και οι δύο είχατε το κλειδί, όσο προφανές κι αν ήταν.
Σε πιο σύνθετα συστήματα, η συμμετρική κρυπτογράφηση λειτουργεί πάνω κάτω με τον ίδιο τρόπο: το κλειδί που χρησιμοποιείται για την κρυπτογράφηση πληροφοριών το κατέχουν και τα δύο μέρη. Στην περίπτωση ενός VPN, η εφαρμογή ή ο πελάτης σας κρυπτογραφεί τα δεδομένα σας με ένα κλειδί που κατέχει επίσης ο διακομιστής VPN στον οποίο συνδεθήκατε, οπότε μπορεί απλώς να αποκρυπτογραφήσει τις πληροφορίες καθώς εισέρχονται.
AES και Blowfish
Οι πιο συνηθισμένοι τύποι συμμετρικής κρυπτογράφησης, που ονομάζονται κρυπτογραφήματα, είναι το Advanced Encryption Standard (AES) και το Blowfish. Το AES αναπτύχθηκε από την κυβέρνηση των ΗΠΑ και είναι η στρατιωτικής ποιότητας κρυπτογράφηση για την οποία πολλές εταιρείες θέλουν να καυχιούνται. Το Blowfish αναπτύχθηκε ως κρυπτογράφηση ανοικτού κώδικα, αλλά υπάρχει μεγάλη συζήτηση σχετικά με το πόσο ασφαλής είναι.
Ανεξάρτητα από το ποιο χρησιμοποιείτε, η ισχύς του εξαρτάται σε μεγάλο βαθμό από το πόσα bits έχει, ουσιαστικά από το πόσο μεγάλο είναι το απόσπασμα κώδικα που χρησιμεύει ως κλειδί. Όσο μεγαλύτερο τόσο το καλύτερο, οπότε ο AES-256 (δηλαδή 256 bits) είναι πιο ασφαλής από τον AES-128. Ο AES-256 είναι ίσως η πιο συνηθισμένη και επίσης ασφαλής παραλλαγή, οπότε σας συνιστούμε να επιμείνετε σε αυτήν στις περισσότερες περιπτώσεις.
Κλειδιά μετάδοσης
Φυσικά, υπάρχει ένα προφανές ελάττωμα σε όλα τα παραπάνω: αν και τα δύο μέρη στην ανταλλαγή έχουν και τα δύο το μη ασφαλές κλειδί, ένας έξυπνος χειριστής θα μπορούσε να υποκλέψει με κάποιο τρόπο το κλειδί και στη συνέχεια να αποκρυπτογραφήσει τις πληροφορίες για τον εαυτό του. Υπάρχουν διάφοροι τρόποι για να γίνει αυτό, όπως η πλαστοπροσωπία ενός ενδιάμεσου κόμβου του δικτύου ή άλλες μορφές υποκλοπής.
Για να αποτρέψετε αυτό το ενδεχόμενο, πρέπει να κρυπτογραφήσετε με κάποιο τρόπο τα κοινά κλειδιά που αποστέλλονται. Τώρα, θα μπορούσατε να το κάνετε αυτό χρησιμοποιώντας ακόμα περισσότερα κοινά κλειδιά, αλλά αυτό θα πρόσθετε απλώς ένα βήμα για οποιονδήποτε ακούει. Πολύ καλύτερα, αντίθετα, να εισαγάγετε ένα νέο είδος κρυπτογράφησης, χρησιμοποιώντας κρυπτογράφηση δημόσιου κλειδιού.
Το “δημόσιο κλειδί” είναι ένας όρος που προκαλεί σύγχυση, επειδή το “δημόσιο” και το “ασφαλές” είναι σχεδόν αντώνυμα. Ωστόσο, το δημόσιο κλειδί είναι μόνο το μισό της εξίσωσης. Ενώ σε ένα σύστημα κοινού κλειδιού, τόσο ο αποστολέας όσο και ο παραλήπτης έχουν τα ίδια κλειδιά, σε ένα σύστημα δημόσιου κλειδιού, μόνο το μισό του αποστολέα είναι δημόσιο, ενώ το μισό του παραλήπτη είναι μυστικό και γνωστό μόνο σε αυτόν.
Αυτός είναι στην πραγματικότητα ένας έξυπνος τρόπος επίλυσης του προβλήματος: ενώ τα πραγματικά δεδομένα αποστέλλονται με κοινά κλειδιά, τα οποία είναι μυστικά αλλά μπορούν εύκολα να υποκλαπούν, μεταδίδετε τα ίδια τα κλειδιά χρησιμοποιώντας ένα ανοιχτό σύστημα που προστατεύεται από την πλευρά του παραλήπτη. Με αυτόν τον τρόπο, τα δεδομένα μπορούν να μεταδίδονται λίγο-πολύ ελεύθερα, αλλά με ασφάλεια από παρεμβολές ή κατασκοπεία.
Ασφάλεια επιπέδου μεταφοράς
Ο τρόπος με τον οποίο λειτουργεί η διανομή και ο έλεγχος των δημόσιων κλειδιών είναι μέσω της πιστοποίησης, δηλαδή ουσιαστικά μέσω ενός τρίτου μέρους που βεβαιώνει για εσάς ότι το κλειδί που αποστέλλεται είναι γνήσιο. Ο πιο συνηθισμένος τρόπος για να γίνει αυτό είναι η χρήση του πρωτοκόλλου Transport Security Layer, ενός τρόπου με τον οποίο οι υπολογιστές επικοινωνούν μεταξύ τους με ασφάλεια στο διαδίκτυο.
Το TLS χρησιμοποιείται σε όλων των ειδών τις εφαρμογές: συχνά, όταν συνδέεστε σε έναν ιστότοπο ή μια άλλη υπηρεσία, ο κωδικός πρόσβασής σας ελέγχεται διπλά μέσω του TLS. Το ίδιο το TLS χρησιμοποιεί επίσης κρυπτογράφηση για την ασφάλεια των πληροφοριών, συχνά χρησιμοποιώντας ένα απλούστερο κρυπτογράφημα που ονομάζεται RSA.
Οι αλυσίδες του RSA είναι πολύ μεγαλύτερες (συνήθως στην περιοχή των 1024 bit ή ακόμα μεγαλύτερες) από αυτές που χρησιμοποιούνται από τον AES ή το Blowfish, αλλά επειδή δεν κρυπτογραφεί τις πληροφορίες πολλές φορές, δεν θεωρείται το ίδιο ασφαλής. Ως εκ τούτου, χρησιμοποιείται καλύτερα για την αποστολή κλειδιών μέσω του διαδικτύου, καθώς αποκρυπτογραφεί πιο γρήγορα, καθώς είναι απλούστερη, αλλά είναι μάλλον καλύτερο να μην χρησιμοποιείται για την πραγματική κίνηση VPN.
Κάνοντας ένα Hash of It
Εκτός από το RSA, το TLS έχει ένα ακόμη τέχνασμα στο μανίκι του, και συγκεκριμένα το hashing. Σε αυτή την περίπτωση, το hashing είναι μια πρόσθετη μορφή ελέγχου ότι ένα αίτημα ανάκτησης ενός κοινόχρηστου κλειδιού είναι νόμιμο. Λειτουργεί ως δικλείδα ασφαλείας σε περίπτωση που ένας επιτιθέμενος ανακαλύψει πώς να πλαστογραφήσει ένα πιστοποιητικό.
Υπάρχουν διάφοροι τύποι αλγορίθμων κατακερματισμού: ο πιο συχνά χρησιμοποιούμενος είναι ο SHA, και πιο συγκεκριμένα ο SHA-2. Ωστόσο, υπάρχουν διάφοροι υπότυποι αυτού του κρυπτογραφήματος, οπότε συχνά θα συναντήσετε ονοματολογία όπως SHA-256 ή SHA-512.
Δεδομένου ότι το βήμα του κατακερματισμού είναι μια μορφή διπλού ελέγχου για το αν όλα είναι εντάξει πριν προχωρήσετε στην αποκρυπτογράφηση, δεν το χρησιμοποιεί κάθε VPN. Ωστόσο, τα περισσότερα πρωτόκολλα το επιτρέπουν και πολλοί πάροχοι θα σας πουν με περηφάνια ότι το χρησιμοποιούν.
Layers πάνω σε Layers
Το τελικό αποτέλεσμα είναι μια σούπα από κατακερματισμούς, αλγόριθμους και κλειδιά που πιθανώς κάνουν το μυαλό να σαστίζει, αλλά το αποτέλεσμα είναι ότι ένα καλό VPN θα σας προστατεύσει μερικές φορές: πρώτα, η πραγματική σύνδεση κρυπτογραφείται με AES ή Blowfish και στη συνέχεια τα κλειδιά που ξεκλειδώνουν αυτή την κρυπτογράφηση προστατεύονται ξανά, συχνά περισσότερες από μία φορές.
Όλα τα καλύτερα VPN εκεί έξω ακολουθούν αυτό το σχέδιο και σας συνιστούμε να ελέγξετε ξανά ότι το VPN της επιλογής σας κάνει το ίδιο. Αρκετά συχνά, τα VPN προσφέρουν αυτές τις πληροφορίες στο διαφημιστικό τους υλικό, ώστε να μπορείτε να δείτε και μόνοι σας πώς λειτουργεί.
