vpn-encryption-image

การเข้ารหัส VPN

Private Internet Access ใช้ OpenVPN ซึ่งเป็น VPN โอเพนซอร์สคุณภาพระดับมาตรฐานอุตสาหกรรมเพื่อให้บริการท่อ VPN ที่ปลอดภัย OpenVPN นั้นมีตัวเลือกสำหรับการเข้ารหัสมากมาย ผู้ใช้ของเรานั้นสามารถเลือกระดับของการเข้ารหัสสำหรับเซสชั่น VPN ที่เขาต้องการได้ เราได้ทดลองเลือกค่าเริ่มต้นที่ดีที่สุดและเราแนะนำให้ผู้ใช้ส่วนใหญ่ใช้ตัวเลือกดังกล่าว อย่างไรก็ตาม เราอยากจะแจ้งให้ผู้ใช้งานของเราได้ทราบ และมอบอิสระในการเลือกระดับการเข้ารหัสได้ตามที่พวกเขาต้องการ

icon-suggested-encryption การตั้งค่าการเข้ารหัสที่แนะนำ

ค่าเริ่มต้นการป้องกันที่แนะนำ

การเข้ารหัสข้อมูล: AES-128

การยืนยันข้อมูล: SHA1

แบบจับมือ: RSA-2048

เร็วสูงสุด ไม่มีการป้องกัน

การเข้ารหัสข้อมูล: ไม่มี

การยืนยันข้อมูล: ไม่มี

แบบจับมือ: ECC-256k1

ป้องกันเต็มรูปแบบ

การเข้ารหัสข้อมูล: AES-256

การยืนยันข้อมูล: SHA256

แบบจับมือ: RSA-4096

ธุรกิจที่มีความเสี่ยง

การเข้ารหัสข้อมูล: AES-128

การยืนยันข้อมูล: ไม่มี

แบบจับมือ: RSA-2048


icon-data-encryption การเข้ารหัสข้อมูล:

นี่คืออัลกอริทึมการเข้ารหัสแบบสมมาตรซึ่งข้อมูลทั้งหมดของคุณจะถูกเข้ารหัสและถอดรหัส รหัสสมมาตรนั้นจะถูกใช้พร้อมกับรหัสลับแบบ ชั่วคราว ซึ่งถูกแชร์ร่วมกันระหว่างคุณและเซิร์ฟเวอร์ รหัสลับนี้จะถูกแลกเปลี่ยนด้วย การเข้ารหัสแบบจับมือ (Handshake Encryption).

ไม่มี

ไม่มีการเข้ารหัส. ข้อมูลของคุณจะไม่ถูกเข้ารหัส ข้อมูลสำหรับเข้าสู่ระบบ จะ ถูกเข้ารหัส และ IP ของคุณจะยังคงถูกซ่่อน นี่อาจจะเป็นตัวเลือกที่เหมาะสมหากคุณต้องการประสิทธิภาพสูงสุด และเพียงต้องการซ่อนไอพีแอดเดรสของคุณเท่านั้น ซึ่งจะคล้ายกับการทำงานของพร็อกซี่ SOCKS ที่เพิ่มเติมด้วยการป้องกันการรั่วไหลของชื่อผู้ใช้และรหัสผ่าน


icon-data-authentication การยืนยันข้อมูล:

นี่คืออัลกอริทึมสำหรับยืนยันข้อความ ซึ่งข้อมูลทั้งหมดของคุณจะถูกยืนยันด้วยอัลกอริทึมนี้ โดยจะมีการใช้งานเพื่อปกป้องคุณจาก การโจมตีแบบแอคทีฟ เท่านั้น หากคุณไม่ได้กังวลเกี่ยวกับผู้โจมตีเหล่านั้น คุณสามารถปิดการยืนยันข้อมูลได้

SHA1

HMAC ที่ใช้Secure Hash Algorithm (160-บิต)
นี่เป็นโหมดการยืนยันที่ เร็วที่สุด

SHA256

HMAC ที่ใช้ Secure Hash Algorithm (256-บิต)

ไม่มี

ไม่มีการยืนยัน. ข้อมูลที่เข้ารหัสของคุณจะไม่ได้รับการยืนยัน ผู้โจมตีแบบแอคทีฟ จึงสามารถแก้ไขหรือถอดรหัสข้อมูลของคุณได้ ซึ่งนี่จะไม่เปิดโอกาสให้กับผู้โจมตีแบบพาสซีฟ.


icon-handshake-encryption การเข้ารหัสแบบจับมือ

นี่คือการเข้ารหัสที่ถูกใช้เพื่อสร้างการเชื่อมต่อที่ปลอดภัย และยืนยันว่าคุณนั้นกำลังติดต่อกับเซิร์ฟเวอร์ VPN ของ Private Internet Access อยู่จริง และไม่ได้กำลังถูกหลอกให้เชื่อมต่อกับเครื่องของผู้โจมตี โดยเราใช้ TLS v1.2 เพื่อสร้างการเชื่อมต่อนี้ โดยใบรับรองทั้งหมดของเราใช้ SHA512 ในการเซ็น

RSA-2048

2048bit การแลกเปลี่ยนกุญแจชั่วคราวแบบ Diffie-Hellman (DH) และใบรับรอง 2048-บิตRSA สำหรับยืนยันว่าการแลกเปลี่ยนกุญแจเกิดขึ้นจริงในเซิร์ฟเวอร์ของ Private Internet Access

RSA-3072

เหมือน RSA-2048 แต่ใช้ 3072-บิต สำหรับการแลกเปลี่ยนกุญแจและใบรับรอง

RSA-4096

เหมือน RSA-2048 แต่ใช้ 4096-บิต สำหรับการแลกเปลี่ยนกุญแจและใบรับรอง

ECC-256k1 icon-warning

การแลกเปลี่ยนกุญแจชั่วคราว Elliptic Curve DH และใบรับรอง ECDSA สำหรับยืนยันว่าการแลกเปลี่ยนกุญแจเกิดขึ้นจริงในเซิร์ฟเวอร์ของ Private Internet Access Curve secp256k1 (256-บิต) นั้นถูกใช้งานสำหรับทั้งคู่ นี่เป็น curve เดียวกันกับที่Bitcoin ใช้เพื่อเซ็นรับรองธุรกรรมต่างๆ

ECC-256r1 icon-warning

เหมือนกับ ECC-256k1 แต่เป็น curve prime256v1 (256-บิต หรือเป็นที่รู้จักกันในชื่อ secp256r1) นั้นถูกใช้ในทั้งการแลกเปลี่ยนกุญแจและการรับรอง

ECC-521 icon-warning

เหมือนกับ ECC-256k1 แต่เป็น curve secp521r1 (521-บิต) นั้นถูกใช้ในทั้งการแลกเปลี่ยนกุญแจและการรับรอง


icon-warning คำเตือน

เราจะแสดงคำเตือนใน 3 กรณี:

การเปิดเผยในเร็วๆ นี้ของ NSA ได้ยกประเด็นด้านความปลอดภัยที่ว่า Elliptic Curves จำนวนมากหรือเป็นไปได้ว่าทั้งหมดที่ผ่านมาตรฐานของสหรัฐอเมริกาอาจจะมีวิถีทางที่ผิดกฎหมายซึ่งอนุญาตให้ NSA เจาะเข้าไปได้ง่ายขึ้น โดยยังไม่มีหลักฐานในเรื่องนี้สำหรับ Curve ที่ใช้ในการลงลายเซ็นและการแลกเปลี่ยนรหัส และผู้เชี่ยวชาญบางท่านก็มีความเห็นว่าไม่น่าจะเป็นไปได้ ดังนั้นเราจึงเพิ่มตัวเลือกให้แก่ผู้ใช้ แต่ก็แสดงคำเตือนทุกครั้งที่คุณเลือกการตั้งค่า Elliptic Curve นอกจากนี้ เรายังได้รวม standard curve secp256k1 ที่ถูกใช้งานโดยบิตคอยน์และสร้างขึ้นโดย Certicom (บริษัทสัญชาติแคนาดา) ไม่ใช่ NIST (เหมือน curves อื่นๆ) และดูเหมือนว่าจะมี ที่สำหรับซ่อนวิถีลับน้อยกว่า
มีหลักฐานที่ชัดเจนว่า ระบบสุ่มตัวเลขที่ใช้ ECC นั้นถูกใช้วิถีทางที่ผิดกฎหมาย แต่ก็ไม่ได้เป็นที่นิยมในการใช้มากนัก


icon-glossary อภิธานศัพท์

โจมตีแบบแอคทีฟ

การโจมตีแบบแอคทีฟ คือการโจมตีในรูปแบบที่ผู้โจมตีนั้นเข้าไปแทรกกลาง "ระหว่าง" คุณและเซิร์ฟเวอร์ VPN โดยอยู่ในตำแหน่งที่พวกเขาสามารถ แก้ไข หรือสอดแทรก ข้อมูลในเซสชั่น VPN ของคุณ. OpenVPN นั้นถูกออกแบบเพื่อให้ปลอดภัยจากการโจมตีแบบแอคทีฟ ตราบใดที่คุณใช้ทั้ง การเข้ารหัสข้อมูล และ การยืนยันข้อมูล.

โจมตีแบบพาสซีฟ

การโจมตีแบบพาสซีฟ คือการโจมตีในรูปแบบที่ผู้โจมตีทำการบันทึกข้อมูลที่ถูกส่งผ่านเครือข่ายทั้งหมด แต่ไม่ได้แก้ไขหรือสอดแทรกข้อมูลใหม่เข้าไป ตัวอย่างของผู้โจมตีรูปแบบนี้ก็คือหน่วยที่ทำการดักจับและเก็บข้อมูลในเครือข่ายทั้งหมด แต่ไม่ได้ยุ่งหรือแก้ไขใดๆ ตราบใดที่คุณทำ การเข้ารหัสข้อมูล เซสชั่น OpenVPN ของคุณก็จะปลอดภัยจากผู้โจมตีแบบพาสซีฟ

กุญแจชั่วคราว

กุญแจชั่วคราว คือกุญแจสำหรับเข้ารหัสที่ถูกสร้างขึ้นมาโดยการสุ่ม และจะใช้ในเวลาที่จำกัดเท่านั้น จากนั้นจะถูกลบทิ้งอย่างปลอดภัย กระบวนการแลกเปลี่ยนกุญแจชั่วคราวนั้นเป็นขั้นตอนที่กุญแจเหล่านี้จะถูกสร้างและแลกเปลี่ยน Diffie-Hellman เป็นอัลกอริทึมที่ใช้ในการทำการแลกเปลี่ยนนี้ โดยแนวคิดที่อยู่เบื้องหลังการใช้กุญแจชั่วคราวนี้ก็คือ เมื่อคุณใช้เสร็จแล้วและโยนทิ้งไป จะต้องไม่มีใครที่สามารถถอดรหัสข้อมูลที่เข้ารหัสได้ ถึงแม้ว่าพวกเขาจะหาทางเจาะจนได้สิทธิ์ในการเข้าถึงข้อมูลที่เข้ารหัสทั้งหมดทั้งบนไคลเอนต์และเซิร์ฟเวอร์ก็ตาม.