vpn-encryption-image

VPN-versleuteling

Private Internet Access gebruikt OpenVPN. Deze standaard in de IT-sector is opensource en biedt u een veilige VPN-tunnel. OpenVPN heeft tal van opties wanneer het aankomt op versleuteling. Onze gebruikers kunnen kiezen welke mate van encryptie ze nodig hebben voor hun VPN-sessies. We proberen om de handigste standaardwaarden te kiezen en raden de meeste mensen aan om deze instellingen te blijven gebruiken. Toch willen we gebruikers ook informeren en geven we ze de vrijheid om hun eigen keuzes te maken.

icon-suggested-encryption Aanbevolen versleutelingsinstellingen

Standaard aanbevolen bescherming

Gegevensversleuteling: AES-128

Gegevensauthenticatie: SHA1

Handshake: RSA-2048

Alleen snelheid, geen veiligheid

Gegevensversleuteling: Geen

Gegevensauthenticatie: Geen

Handshake: ECC-256k1

Maximale bescherming

Gegevensversleuteling: AES-256

Gegevensauthenticatie: SHA256

Handshake: RSA-4096

Risicovolle activiteiten

Gegevensversleuteling: AES-128

Gegevensauthenticatie: Geen

Handshake: RSA-2048


icon-data-encryption Gegevensversleuteling:

Dit is het symmetrische cijferalgoritme waarmee al uw gegevens worden versleuteld en gedecodeerd. De symmetrische code wordt gebruikt met een kortstondige geheime sleutel die tussen u en de server wordt gedeeld. Deze geheime sleutel wordt uitgewisseld middels zogenoemdeHandshake Encryption.

AES-128

Geavanceerde versleutelingsstandaard (128-bit) in CBC modus.
Dit is de snelste versleutelingsmodus.

AES-256

Geavanceerde versleutelingsstandaard (256-bit) in CBC-modus.

Geen

Geen versleuteling. Gegevens die via uw verbinding worden verzonden, worden niet versleuteld. Uw inloggegevens worden wel versleuteld. Uw IP blijft verborgen. Dit kan een nuttige optie zijn als u zo goed mogelijke prestaties wilt terwijl alleen uw IP-adres wordt verborgen. Dit is vergelijkbaar met een SOCKS-proxy, met als voordeel dat uw gebruikersnaam en wachtwoord niet worden gelekt.


icon-data-authentication Gegevensauthenticatie:

Dit is het berichtauthenticatiealgoritme waarmee al uw gegevens worden geverifieerd. Dit is alleen bedoeld om u te beschermen tegen actieve aanvallen. Indien u zich geen zorgen maakt over actieve aanvallers, kunt u gegevensauthenticatie uitzetten.

SHA1

HMAC met Secure Hash Algorithm (160-bit).
Dit is de snelste authenticatiemodus.

SHA256

HMAC met Secure Hash Algorithm (256-bit).

Geen

Geen authenticatie. Geen van uw versleutelde gegevens worden geverifieerd. Een actieve aanvaller kan mogelijk uw gegevens aanpassen of decoderen. Een passieve aanvaller krijgt hierdoor geen kans.


icon-handshake-encryption Handshake Encryption

Met deze versleuteling wordt een veilige verbinding tot stand gebracht. Er wordt geverifieerd dat u daadwerkelijk communiceert met een VPN-server van Private Internet Access en niet wordt misleid om verbinding te maken met de server van een aanvaller. We gebruiken TLS v1.2 om deze verbinding tot stand te brengen. Al onze certificaten gebruiken SHA512 voor ondertekening.

RSA-2048

2048bit Kortstondige Diffie-Hellman (DH)-sleuteluitwisseling en 2048-bit RSA-certificaat voor verificatie dat de sleuteluitwisseling daadwerkelijk plaats heeft gevonden met een server van Private Internet Access.

RSA-3072

Zoals RSA-2048, maar met 3072-bit voor zowel sleuteluitwisseling als het certificaat.

RSA-4096

Zoals RSA-2048, maar met 4096-bit voor zowel sleuteluitwisseling als het certificaat.

ECC-256k1 icon-warning

Sleuteluitwisseling met kortstondige elliptische curve-DH en een ECDSA-certificaat voor verificatie dat de sleuteluitwisseling daadwerkelijk heeft plaatsgevonden met een server van Private Internet Access. Curve secp256k1 (256-bit) wordt voor beide gebruikt. Dit is dezelfde curve die Bitcoin gebruikt om zijn transacties te ondertekenen.

ECC-256r1 icon-warning

Zoals ECC-256k1, maar curve prime256v1 (256-bit, ook wel bekend als secp256r1) wordt gebruikt voor zowel sleuteluitwisseling als het certificaat.

ECC-521 icon-warning

Zoals ECC-256k1, maar curve secp521r1 (521-bit) wordt gebruikt voor zowel sleuteluitwisseling als het certificaat.


icon-warning Waarschuwingen

We geven in 3 situaties een waarschuwing weer:

De recente onthullingen over de NSA hebben vragen opgeroepen over bepaalde of mogelijk zelfs alle elliptische curves die worden aanbevolen door Amerikaanse normen. Het is mogelijk dat deze vorm van versleuteling achterdeurtjes bevat waarmee de NSA de versleuteling sneller kan decoderen. Er is geen bewijs dat dit geldt voor curves met ondertekening en sleuteluitwisseling en er zijn experts die dit onwaarschijnlijk achten. Daarom bieden we gebruikers wel deze optie, maar geven we een waarschuwing telkens wanneer u een instelling met een elliptische curve selecteert. We bieden ook de minder gebruikelijke curve secp256k1 aan. Deze curve wordt gebruikt door Bitcoin en is gegenereerd door Certicom (een Canadees bedrijf) in plaats van NIST (dat de andere curves genereerde) en lijkt minder ruimte te hebben om een achterdeur te verbergen.
Er zijn sterke aanwijzingen dat een RNG-generator die ECC gebruikt, een achterdeur heeft maar dat deze is niet veel gebruikt.


icon-glossary Woordenlijst

Actieve aanvallen

Bij een actieve aanval positioneren aanvallers zich 'tussen' u en de VPN-server, zodat ze gegevens kunnen aanpassen of toevoegen aan uw VPN-sessie. OpenVPN is ontworpen om beschermd te zijn tegen actieve aanvallers, mits u zowel gegevensversleuteling als gegevensauthenticatie gebruikt.

Passieve aanvallen

Bij een passieve aanval slaat een aanvaller simpelweg alle gegevens op die via het netwerk lopen. Er worden echter geen gegevens gewijzigd of toegevoegd. Een voorbeeld van een passieve aanvaller is een entiteit die met een digitaal sleepnet al het netwerkverkeer vastlegt en opslaat, zonder het verkeer te verstoren of aan te passen. Zo lang u gegevensversleuteling gebruikt, is uw OpenVPN-sessie beschermd tegen passieve aanvallers.

Kortstondige sleutels

Kortstondige sleutels (ook wel efemere sleutels genoemd) zijn coderingssleutels die willekeurig worden gegenereerd en die slechts een korte tijd worden gebruikt. Daarna worden ze weggegooid en veilig gewist. Uitwisseling van een kortstondige sleutel is het proces waarmee deze sleutels worden aangemaakt en uitgewisseld. Diffie-Hellman is een algoritme dat wordt gebruikt om deze uitwisseling uit te voeren. Het idee achter kortstondige sleutels is dat wanneer u klaar bent met het gebruik en de sleutels worden weggegooid, niemand de gegevens kan decoderen waarvoor ze zijn gebruikt - zelfs niet wanneer iemand volledige toegang heeft verkregen tot alle versleutelde gegevens en tot zowel de client als de server.