vpn-encryption-image

VPN Şifrelemesi

Private Internet Access, size güvenli bir VPN tünel hizmeti sunmak için kullanılan açık kaynaklı sektör standardında OpenVPN kullanmaktadır. Şifreleme söz konusu olduğunda OpenVPN’in bir çok seçeneği bulunur. Kullanıcılarımız VPN oturumlarında istedikleri şifreleme seviyesini seçme olanağına da sahiptirler. En makul varsayılanları seçmeye gayret ediyor ve çoğu kişiye de bunları bırakmamalarını öneriyoruz. Bununla birlikte, kullanıcılarımızı bilgilendirmeyi ve onlara kendi tercihlerini yapmaları için özgürlük vermeyi seviyoruz.

icon-suggested-encryption Önerilen Şifreleme Ayarları

Varsayılan Önerilen Koruma

Veri şifreleme: AES-128

Veri doğrulama: SHA1

Handshake: RSA-2048

Tamamen Hızlı Güvenlik Yok

Veri şifreleme: Yok

Veri doğrulama: Yok

Handshake: ECC-256k1

Maksimum Koruma

Veri şifreleme: AES-256

Veri doğrulama: SHA256

Handshake: RSA-4096

Riskli İş

Veri şifreleme: AES-128

Veri doğrulama: Yok

Handshake: RSA-2048


icon-data-encryption Veri şifreleme:

Bu verilerinizin tamamının şifrelenmesi ve şifresinin çözülmesinde kullanılan bakışımlı şifre algoritmasıdır. Bakışımlı şifre, siz ve sunucu arasında paylaşılan bir geçici gizli anahtar ile birlikte kullanılır. Gizli anahtarın Tokalaşma Şifrelemesi ile birlikte alışverişi yapılır.

AES-128

Gelişmiş Şifreleme Standardı (128-bit); CBC modunda.
Bu, fastest şifreleme modudur.

AES-256

İleri Şifreleme Standardı (256-bit) CBC modu.

Yok

Şifreleme Yok. Verilerinizin hiçbirisi şifrelenmeyecektir. Oturum açma bilgilerinin şifrelen-ecektir. IP adresiniz yine de gizlenecektir. Yalnızca IP adresinizi gizlerken en iyi performansı elde etmek istiyorsanız bu seçenek en uygunu olabilir. Bu SOCKS proxy benzeri gibidir ancak kullanıcı adınız ve parolanızın sızdırılmama avantajına sahiptir.


icon-data-authentication Veri doğrulama:

Bu verilerinizin tamamının doğrulamasının yapılmasında kullanılan mesaj doğrulama algoritmasıdır. Bu yalnızca sizi aktif saldırılardan korumak için kullanılır. Aktif saldırı düzenleyenlerden endişeniz yoksa Veri Doğrulamasını kapatabilirsiniz.

SHA1

HMAC kullanan Güvenli Hash Algoritması (160-bit).
Bu, fastest doğrulama modudur.

SHA256

Güvenli Karma Algoritması kullanan HMAC (256-bit).

Yok

Kimlik Doğrulama Yok. Şifrelenmiş verilerinizin hiçbirisi doğrulanmayacaktır. Herhangi bir aktif saldırı düzenleyici potansiyel olarak verilerinizi değiştirebilir veya şifrelerini çözebilir. Bu durum herhangi bir pasif saldırı düzenleyiciye herhangi bir fırsat sunmayacaktır.


icon-handshake-encryption Tokalaşma Şifrelemesi

Bu şifreleme sizin, güvenli bir bağlantı kurmanız ve kandırılarak herhangi bir saldırı düzenleyenin sunucusuna bağlanmadığınızı, gerçekten Private Internet Access VPN sunucuyla konuştuğunuzu doğrulamanız için kullanılır. Bu bağlantıyı kurmak için TLS v1.2 kullanıyoruz. Tüm sertifikalarımız imza için SHA512 kullanır.

RSA-2048

2048bit Ephemeral Diffie-Hellman (DH) anahtar alışverişi ve 2048-bit RSA sertifikası, anahtar alışverişinin gerçekten de Private Internet Access sunucusunda olduğunu doğrular.

RSA-3072

RSA-2048 gibi ancak hem anahtar alışverişi hem de sertifika için 3072-bit.

RSA-4096

RSA-2048 gibi ancak hem anahtar alışverişi hem de sertifika için 4096-bit.

ECC-256k1 icon-warning

Geçici Eliptik Eğrisi DH anahtar alışverişi ve Private Internet Accesssuncusunda gerçekten bir anahtar alışverişi gerçekleştiğine dair bir ECDSA doğrulama sertifikası. Her ikisi için de secp256k1 (256-bit) eğrisi kullanılır. Bu Bitcoin’in işlemlerini imzalamak için kullandığı eğrinin aynısıdır.

ECC-256r1 icon-warning

ECC-256k1 gibi ancak hem anahtar alışverişi hem de sertifika için prime256v1 (256-bit, ayrıca secp256r1 olarak da bilinir) eğrisi kullanılır.

ECC-521 icon-warning

ECC-256k1 gibi ancak hem anahtar alışverişi hem de sertifika için secp521r1 (521-bit) eğrisi kullanılır.


icon-warning Uyarılar

3 durumda uyarı gösteririz:

NSA’in ortaya koyduğu son keşifler, ABD’de bulunan standart kuruluşları tarafından kabul gören bazı veya muhtemelen tüm Eliptik Eğrilerin, NSA’e onları daha kolayca kırabilmelerine imkan sağlayan arka kapıları olabileceği yönünde endişeleri gündeme getirmiştir. İmzalama ve anahtar değişiminde kullanılan eğriler için bunun söz konusu olduğuna yönelik herhangi bir kanıt bulunmuyor ve bunun olasılık dışı olduğunu düşünen uzmanlar da mevcut. Bu nedenle kullanıcılara seçenek veriyoruz ancak ne zaman Eliptik Eğri ayarı seçtiğinizde bir uyarı görüntülenir. Ayrıca Bitcoin’in kullandığı ve NIST (diğer eğrilerin olduğu gibi) yerine Certicom (bir Kanada şirketi) tarafından oluşturulan daha az standart olan bir eğri olan ve bir arka kapının saklanması için daha az yere sahip gibi görünen ve daha az standart bir eğri secp256k1 de dahil ettik.
ECC kullanan rastgele sayı oluşturucunun arka kapı oluşturduğu yönünde güçlü bir kanıt bulunmakta ancak bu yaygın kullanılmamaktadır.


icon-glossary Sözlük

Aktif Saldırılar

Aktif saldırı, saldırıyı düzenleyenin siz ve VPN sunucusu “arasında”, sizin VPN oturumunuzdaki verileri değiştirebildiği veya içeriye veri enjekte ettiği bir konuma girdiği bir saldırıdır. OpenVPN, hem veri şifreleme hem de veri doğrulama kullandığınız sürece aktif saldırı düzenleyenlere karşı güvenli olması amacıyla tasarlanmıştır.

Pasif Saldırılar

Pasif saldırı, basitçe anlatmak gerekirse ağ üzerinden aktarılan tüm verileri kaydettiği ancak herhangi bir değişiklik veya yeni veri enjeksiyonu yapmadığı saldırılardır. Pasif saldırı gerçekleştirene bir örnek vermek gerekirse, herhangi bir müdahalede veya değiştirmede bulunmadan ağ kuşatma yakalaması ve tüm ağ trafiğinin muhafazasını yapan bir kuruluş verilebilir. Veri şifreleme kullandığınız sürece OpenVPN oturumunuz pasif saldırı gerçekleştirenlere karşı güvenlidir.

Geçici Anahtarlar

Geçici Anahtarlar rastgele oluşturulan ve yalnızca belirli bir süreliğine kullanılan ve sonrasında atılarak güvenli bir şekilde silinen şifreleme anahtarlarıdır. Geçici anahtar alışverişi bu anahtarların oluşturulduğu ve alışverişinin yapıldığı süreçtir. Diffie-Hellman bu alışverişi gerçekleştirmek için kullanılan bir algoritmadır. Geçici anahtarların ardındaki fikir bunları kullanıp attığınızda, sonuçta tüm şifrelenmiş verilere ve hem istemciye hem de sunucuya tam erişim sağlasalar dahi artık kimsenin şifreleme için kullanılan verilerin şifresini çözemeyecek olmasıdır.