A Private Internet Access usa o OpenVPN padrão de código aberto para fornecer um túnel VPN seguro por padrão. O OpenVPN tem muitas opções quando se trata de criptografia. Nossos usuários podem escolher o nível de criptografia que desejam em suas sessões de VPN. Tentamos escolher os padrões mais razoáveis e recomendamos que a maioria das pessoas os mantenham. Dito isso, gostamos de informar nossos usuários, dando a liberdade para que façam suas próprias escolhas. Os usuários da Private Internet Access também podem decidir usar o WireGuard® em seus túneis VPN.
Criptografia de dados: AES-128
Autenticação de dados: SHA1
Handshake: RSA-2048
Criptografia de dados: Nenhum
Autenticação de dados: Nenhum
Handshake: ECC-256k1
Criptografia de dados: AES-256
Autenticação de dados: SHA256
Handshake: RSA-4096
Criptografia de dados: AES-128
Autenticação de dados: Nenhum
Handshake: RSA-2048
Este é o algoritmo de criptografia simétrica com o qual todos seus dados são criptografados e descriptografados. A criptografia simétrica é usada como uma chave secreta efêmeracompartilhada entre você e o servidor. Esta chave secreta é trocada por uma Criptografia Handshake.
Padrão de Criptografia Avançada (128-bit) no modo CBC.
Esse é o modo de criptografia mais rápido.
Padrão de Criptografia Avançada (256 bits) no modo CBC.
Sem criptografia. Nenhum de seus dados serão criptografados. Seus detalhes de login serão criptografados. Seu IP ainda ficará oculto. Isso poderá ser uma opção viável se você quiser o melhor desempenho possível, enquanto oculta apenas seu endereço de IP. Isso seria similar a um proxy SOCKS, mas com o benefício do não vazamento de seu nome de usuário e senha.
Este é o algoritmo de autenticação de mensagem com o qual todos os seus dados são autenticados. Ele só é usado para o proteger contra ataques ativos. Se não está preocupado com invasores ativos, você pode desativar a Autenticação de Dados.
HMAC usando Algoritmo de Hash Seguro (160 bits).
Esse é o modo de autenticação mais rápido.
HMAC usando Algoritmo de Hash Seguro (256 bits)
Sem autenticação. Nenhum de seus dados criptografados serão autenticados. Um invasor ativo poderia potencialmente modificar ou descriptografar seus dados. Isso não daria nenhuma oportunidade a um invasor passivo.
Esta é a criptografia usada para estabelecer uma conexão segura e verificar se você está realmente falando com um servidor VPN da Private Internet Access e não está sendo enganado com uma conexão a um servidor de um invasor. Usamos um protocolo TLS v1.2 para estabelecer esta conexão. Todos os nossos certificados usam SHA512 para assinatura.
2048bit A troca de chaves efêmeras Diffie-Hellman (DH) e um certificado de 2048 bits RSA para a confirmação de que a troca de chaves realmente aconteceu com um servidor da Private Internet Access.
Como o RSA-2048, mas 3072 bits tanto para a troca de chaves quanto para o certificado.
Como o RSA-2048, mas 4096 bits tanto para a troca de chaves quanto para o certificado.
Troca de chaves efêmeras Curva Elíptica DH e um certificado ECDSA para confirmação de que a troca de chaves realmente aconteceu com um servidor da Private Internet Access. A curva secp256k1 (256 bits) é usada por ambos. Essa é a mesma curva que a Bitcoinusa para assinar suas transações.
Exibimos um aviso em 3 situações:
Recentes divulgações da NSA (Agência de Segurança Nacional) manifestaram a preocupação com o fato de que certas ou possivelmente todas as Curvas Elípticas aprovadas pelos órgãos de normatização dos EUA podem ter backdoors, permitindo que a NSA as descubra facilmente. Não há prova disso para as curvas usadas para assinatura e troca de chaves† e há especialistas que acreditam que isso seja improvável. Por essa razão, damos aos usuários a opção, mas exibimos sempre um aviso após a seleção de uma configuração de Curva Elíptica. Também incluímos a curva menos usual secp256k1, utilizada pela Bitcoin e gerada pela Certicom (uma empresa canadense), em vez do NIST (como as outras curvas), e que parece possuir menos lugares para ocultação de uma backdoor.
†
Há uma forte evidência de que um gerador de números aleatório que utiliza ECC tenha entrado pela backdoor, porém não foi muito utilizado.
Um ataque ativo ocorre quando um invasor fica “entre” você e o servidor VPN, em uma posição onde pode modificar ou injetar dados em sua sessão de VPN. O OpenVPN foi desenvolvido para ser seguro contra invasores ativos, desde que você esteja usando tanto uma criptografia de dados quanto uma autenticação de dados.
Um ataque passivo ocorre quando um invasor simplesmente registra todos os dados que passam pela rede, mas não modifica ou injeta nenhum dado. Um exemplo de um invasor passivo é uma entidade que captura e armazena todo o tráfego de rede, mas não interfere nele, nem o modifica. Se você estiver usando criptografia de dados, sua sessão de OpenVPN estará protegida conta invasores passivos.
Chaves efêmeras são chaves de criptografia geradas aleatoriamente e utilizadas apenas por um certo tempo, sendo depois descartadas e apagadas com segurança. Uma troca de chaves efêmeras é o processo pelo qual essas chaves são criadas e trocadas. Diffie-Hellman é um algoritmo usado para executar essa troca. A ideia por trás das chaves efêmeras é que assim que você para de usá-las, elas são descartadas. Ninguém mais será capaz de descriptografar os dados criptografados por elas, mesmo após um eventual acesso completo a todos os dados criptografados, ao cliente e ao servidor.