Může být VPN napadena? Detailní pohled na tuto problematiku

Podíváme se na specifikace VPN a na případné chyby zabezpečení otevírající dveře pro hackery.

Co je VPN?

Virtual Private Network (VPN) umožňuje vytvořit bezpečný virtuální tunel přes Internet do jiné sítě nebo zařízení. Pokud přistupujete k internetu z tohoto virtuálního tunelu, je pro jiné obtížné – včetně vašeho poskytovatele internetových služeb – aby sledovali vaše aktivity procházení.

VPN také pomáhají maskovat vaši polohu kdekoli na světě a odemknout geograficky omezené služby. VPN chrání důvěrnost (data zůstává tajná) a integritu (data zůstává nezměněná) zpráv při přenosu přes veřejný internet.

Vytvoření jednoho z těchto bezpečných připojení je poměrně snadné. Uživatel se nejprve připojí k internetu prostřednictvím poskytovatele a poté iniciuje připojení k VPN serveru pomocí klienta (lokálně nainstalovaného). Server VPN načte požadované webové stránky prostřednictvím zabezpečeného tunelu, čímž udržuje uživatelská data bezpečná a soukromá.

Jak funguje VPN šifrování?

Protokol VPN je dohodnutý soubor pravidel pro přenos a šifrování dat. Většina poskytovatelů VPN poskytuje uživatelům možnost volby z několika protokolů VPN. Mezi nejpoužívanější protokoly patří: protokol Point to Point Tunneling Protocol (PPTP), protokol Layer Two Tunneling Protocol (L2TP), protokol IPSec a OpenVPN (SSL/TLS).

Abychom plně porozuměli, jak VPN chrání vaše soukromí, musíme se ponořit do vědy o šifrování. VPN používá techniku ​​známou jako „šifrování“, aby vaše čitelná data (plaintext) byla zcela nečitelná (šifrový text) pro kteroukoli osobou, která ji zachycuje při přenosu přes internet. Algoritmus nebo šifra určuje, jak probíhá proces šifrování a dešifrování ve VPN protokolech.  Protokoly VPN využívají tyto kryptografické algoritmy k zastírání dat, aby vaše aktivity procházení byly soukromé a důvěrné.

Každý z těchto VPN protokolů má své silné a slabé stránky v závislosti na implementovaném kryptografickém algoritmu. Někteří poskytovatelé VPN dávají uživatelům možnost volby z různých šifer. Algoritmus nebo šifra mohou být založeny na libovolné z těchto tří klasifikací: symetrický, asymetrický a hashovací algoritmus.

Symetrické šifrování používá jeden klíč k uzamčení (šifrování) a další k odemknutí (dešifrování) dat. Asymetrické šifrování používá dva klíče, jeden pro uzamčení (šifrování) a druhý pro odemknutí (dešifrování) dat.  Níže uvedená tabulka představuje souhrnné porovnání symetrického a asymetrického šifrování.

Atribut Symetrický Asymetrický
Klíče Jeden klíč je sdílen mezi více entitami Jedna entita má veřejný klíč, druhá má soukromý klíč
Klíčová výměna Vyžaduje bezpečný mechanismus pro odesílání a přijímání klíčů Soukromý klíč je majitelem uchováván v tajnosti, zatímco veřejný klíč je k dispozici všem
Rychlost Méně složitější a rychlejší Složitější a pomalejší
Síla Jednodušší na prolomení Těžší na prolomení
Škálovatelnost Dobrá škálovatelnost Lepší škálovatelnost
Použití Hromadné šifrování, tj. všeho Pouze distribuce klíčů a digitální podpisy
Nabízena bezpečnostní služba Důvěrnost Důvěrnost, ověřování a neodmítnutí
Příklady DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 and RC6 RSA, ECC, DSA, and Diffie-Hellman

Asymetrická kryptografie je řešením omezení, která jsou součástí symetrické kryptografie (jak je uvedeno v tabulce výše). Whitfield Diffie a Martin Hellman byli mezi první skupinou, která se rozhodla řešit tyto nedostatky vyvíjením asymetrického algoritmu nazvaného Diffie-Hellman.

Je to populární kryptografický algoritmus, který je základem mnoha VPN protokolů, včetně protokolů HTTPS, SSH, IPsec a OpenVPN. Tento algoritmus umožňuje dvěma stranám, které se nikdy nesetkaly, vyjednat tajný klíč i při komunikaci prostřednictvím nezajištěného veřejného kanálu, jako je internet.

Hashing je jednosměrné (nezvratné) šifrování, které slouží k ochraně integrity přenášených dat. Většina VPN protokolů používá algoritmy hashování k ověření pravosti zpráv odesílaných prostřednictvím VPN. Příklady zahrnují MD5, SHA-1 a SHA-2. Avšak jak MD5, tak i SHA-1 již nejsou považovány za bezpečné.

VPN mohou být napadnuty, ale je to těžké. Šance na napadení bez VPN jsou výrazně větší než s VPN.

Může se někdo nabourat do VPN?

VPN zůstávají jedním z nejúčinnějších prostředků k zachování soukromí online. Nicméně je důležité si uvědomit, že téměř vše může být hacknuto, zvláště pokud jste cíl s vysokou hodnotou a váš protivník má dostatek času, prostředků a zdrojů. Dobrou zprávou je, že většina uživatelů nepatří do kategorie s „vysokou hodnotou“, a proto je nepravděpodobné, že budou napadeni.

Hackování do připojení VPN zahrnuje buď rušení šifrování využitím známých zranitelností, nebo krádež klíče. Kryptografické útoky jsou využívány hackery a kryptoanalyzátory k obnovení dat z jejich šifrovaných verzí bez klíče. Nicméně prolomení šifrování je výpočetně a časově náročné a může trvat řadu let.

Většina úsilí je obvykle zaměřena na krádež klíčů, což je mnohem jednodušší než prolomení šifrování. To je obvyklým postupem špionážních agentur, když jsou konfrontovány s takovými výzvami. Jejich úspěch není v matematice, nýbrž kombinací technického triku, výpočetní síly, podvádění, soudních příkazů a zákulisního přesvědčování. Matematika za šifrováním je neuvěřitelně silná a výpočetně složitá.

Stávající chyby zabezpečení VPN

Předchozí odhalení Edwarda Snowdena a bezpečnostních vědců prokázaly, že americká špionážní agentura (NSA) prolomila šifrování velkého množství internetového provozu, včetně VPN. Snowdenovy dokumenty ukazují, že infrastruktura NSA pro dešifrování VPN zahrnuje zachycování šifrovaného provozu a přenos některých dat do výkonných počítačů, které pak vrátí klíč.

Výzkumní pracovníci v oblasti bezpečnosti Alex Halderman a Nadia Heninger také představili přesvědčivý výzkum naznačující, že NSA skutečně vyvinula schopnost dešifrovat velké množství přenosů HTTPS, SSH a VPN v útoku známém jako Logjam na implementacích algoritmu Diffie-Hellman.

Jejich úspěch byl založen na využití slabosti při implementaci algoritmu Diffie-Hellman. Hlavní příčinou této slabosti je, že šifrovací software používá ve své implementaci standardizované primární číslo. Výzkumní pracovnici odhadli, že by postavení výkonného počítače, který by dokázal polomit jediný 1024 bitový Diffie-Hellmanův primát, trvalo přibližně rok a několik 100 milionů dolarů (což je v rámci ročního rozpočtu NSA).

Bohužel se stalo, že v běžných aplikacích šifrování, jako je například VPN, se běžně používá jen několik prvočíselných čísel (méně než 1024 bitů), čímž je ještě jednodušší na prolomení. Podle Bruce Schneiera „matematika je dobrá, ale matematika nemá žádnou agenturu. Kód má agenturu a kód byl zkorumpován”.

Měli byste stále používat VPN?

Výzkumný tým doporučuje poskytovatelům služeb použití 2048bitových nebo více Diffie-Hellman klíčů a také publikuje průvodce nasazením pro TLS. IETF také doporučuje používat nejnovější revize protokolů, které vyžadují delší počáteční čísla.

Špióni mohou být schopni spouštět primery běžně používané v klíčích Diffie-Hellman až do délky 1024 bitů (asi 309 číslic). 2048-bitové klíče bude pro ně budou obtížné, což znamená, že nebudou schopni dešifrovat data zajištěná pomocí těchto klíčů po velmi dlouhou dobu.

Přestože špionážní agentury vyvíjejí nástroje proti VPN a jiným protokolům šifrování, které jsou používány k zašifrovanému provozu, uživatelé jsou stále mnohem lépe chráněni, než kdyby komunikovali nešifrovaným způsobem. Počítač může být ohrožen, což stojí čas i peníze – a je to nákladné. Čím jste méně jste zřejmí, tím jste bezpečnější.

Podle Edwarda Snowdena „šifrování funguje. Správně implementované silné kryptografické systémy jsou jednou z mála věcí, na které se můžete spolehnout. “ Pokud je to možné, vyvarujte se VPN, které jsou primárně založeny na algoritmech hash MD5 nebo SHA-1 a protokolech PPTP nebo L2TP / IPSec.  Zvolte ty, které podporují aktuální verze OpenVPN (jež je považováno za velmi bezpečné) a SHA-2.Pokud si nejste jisti, který algoritmus vaše VPN používá, podívejte se do dokumentace VPN nebo kontaktujte podporu.

VPN je vaším přítelem. Důvěřujte šifrování, důvěřujte matematice. Maximalizujte její použití a snažte se zajistit, aby i váš koncový bod byl chráněn. Takto můžete zůstat v bezpečí i před možným prolomením šifrovaných spojení.

Bylo to užitečné? Sdílejte to!