Private Internet Access utilizza il VPN standard OpenVPN per fornirti automaticamente un tunnel VPN sicuro. OpenVPN offre diverse opzioni relative alla codifica. I nostri utenti possono scegliere il livello di codifica preferito per le loro sessioni VPN. Abbiamo scelto le impostazioni predefinite più comuni e consigliamo agli utenti di utilizzarle. Ciononostante, offriamo agli utenti la libertà di fare le proprie scelte. Gli utenti Private Internet Access possono anche scegliere di usare WireGuard® per il proprio tunnel VPN.
Codifica dati: AES-128
Autenticazione dati: SHA1
Handshake: RSA-2048
Codifica dati: Nessuna
Autenticazione dati: Nessuna
Handshake: ECC-256k1
Codifica dati: AES-256
Autenticazione dati: SHA256
Handshake: RSA-4096
Codifica dati: AES-128
Autenticazione dati: Nessuna
Handshake: RSA-2048
Questo è l'algoritmo di crittografia simmetrica utilizzato per criptare e decriptare tutti i tuoi dati. La crittografia simmetrica è usata con una chiave segreta effimera condivisa tra te e il server. Questa chiave segreta viene scambiata con Codifica Handshake.
Advanced Encryption Standard (128-bit) in modalità CBC.
Questo è il metodo di codifica più veloce.
Advanced Encryption Standard (256-bit) in modalità CBC.
Nessuna codifica. Nessun dato sarà codificato. I tuoi dati d'accesso sarannocodificati. Il tuo indirizzo IP rimarrà nascosto. Questa potrebbe essere un'opzione utile se desideri le migliori prestazioni possibili nascondendo al tempo stesso il tuo indirizzo IP. Ciò è simile ad un SOCKS proxy ma col vantaggio della sicurezza dei tuoi dati d'accesso.
Questo è l'algoritmo di autenticazione del messaggio con il quale vengono autenticati tutti i tuoi dati. Viene utilizzato solamente per proteggerti da attacchi attivi. Se credi di non doverti difendere da attacchi attivi, puoi disattivare l'autenticazione dati.
HMAC che utilizzaSecure Hash Algorithm (160-bit).
Questo è il metodo di autenticazione più veloce.
HMAC con l'uso di Secure Hash Algorithm (256-bit).
Nessuna autenticazione. Nessun dato codificato sarà autenticato. Un attacco attivo potrebbe modificare o decodificare i tuoi dati. Ciò non potrebbe offire alcuna opportunità di attacchi passivi.
Questa è la codifica utilizzata per stabilire una connessione sicura e verificare di essere in comunicazione con un server di Private Internet Access VPN piuttosto che con il server di un hacker. Utilizziamo TLS v1.2 per stabilire questa connessione. Tutti i nostri certificati utilizzano SHA512 per l'accesso.
2048bit Scambio di chiavi effimere Diffie-Hellman (DH) e certificato RSA 2048-bit per verificare che lo scambio di chiavi sia veramente avvenuto su un server di Private Internet Access.
Come RSA-2048 ma con 3072-bit sia per lo scambio di chiavi che per la certificazione.
Come RSA-2048 ma con 4096-bit sia per lo scambio di chiavi che per la certificazione.
Scambio di chiavi con curva ellittica effimera DH e un certificato ECDSA per verificare che lo scambio di chiavi sia veramente avvenuto su un server di Private Internet Access. La curva secp256k1 (256-bit) è usata per entrambi. Si tratta della stessa curva usata per le transazioni di Bitcoin.
Mostriamo un avviso in 3 casi:
Le recenti rivelazioni da parte della National Security Agency (NSA) hanno sollevato preoccupazioni sul fatto che alcune, o forse tutte le curve ellittiche sostenute da enti statunitensi possano avere dei backdoor che consentono all'NSA di attaccarle più facilmente, ma non esiste alcuna prova in merito alle curve usate con scambio di accesso e chiavi † e alcuni esperti sostengono che ciò sia improbabile. Per questo motivo, offriamo agli utenti questa opzione ma mostriamo un avviso ogni volta che scelgono impostazioni delle curve ellittiche. Inoltre abbiamo incluso la curva meno standard secp256k1, quella utilizzata da Bitcoin, creata dalla compagnia canadese Certicom piuttosto che da NIST (come per le altre curve) e pare che offra meno posti in cui nascondere un backdoor.
†
Esistono prove concrete che un generatore di numeri casuali che utilizza ECC abbia un backdoor ma che non sia ampiamente utilizzato.
Durante un attacco attivo, l'hacker si introduce "tra" te e il server VPN, una posizione che gli consente di modificare o intromettere dati nella tua sessione sul VPN. OpenVPN è stato creato per combattere gli attacchi attivi, è sufficiente che usiate entrambi la codifica dati e l'autenticazione dati.
Durante un attacco passivo, l'hacker registra solamente i dati che vengono trasferiti sulla rete, senza modificarli o senza introdurre nuovi dati. Un esempio di attacco passivo è quello in cui un'entità catturi e archivi dati di traffico di rete ma non vi interferisce o effettua modifiche. Finché utilizzi la codifica dati, la tua sessione su OpenVPN è al sicuro contro gli attacchi passivi.
Le chiavi effimere sono chiavi di codifica generate casualmente ed utilizzate solo per un certo periodo di tempo, dopo il quale vengono eliminate e cancellate in maniera sicura. Lo scambio di chiavi effimere è la procedura di creazione e di scambio di questi dati.Diffie-Hellman è un algoritmo utilizzato per effettuare questo scambio. Poiche le chiavi effimere vengono gettate dopo l'uso e i dati eliminati definitivamente, ciò impedisce a chiunque di decodificare i dati effettuati per la codifica, anche nel caso in cui riescano ad avere l'accesso completo ai dati codificati nonché al client e al server.