电脑好用的梯子

一个虚拟私人网络（VPN）在你的电脑和 VPN 服务器之间传输的所有数据都会加密。 在本完整 VPN 加密指南中，我们将详细介绍什么是加密，以及如何在 VPN 连接中使用加密。

也许最重要的是，我们将解释下列机构使用的一系列加密术语VPN服务. 我们希望，在阅读完本指南后，你能对这一复杂的问题有更深入的了解，并能更好地评估 VPN 提供商声称的安全性。

电脑好用的梯子

如果您不清楚什么是 VPN 以及 VPN 能为您做什么，请查看我们的VPN 入门指南.

我们的目的是用尽可能简单的语言介绍 VPN 加密的主要特点。 尽管加密是一门复杂的学科，但这是无法回避的事实。

none

电脑好用的梯子

国王严肃地说："从头开始，直到结束，然后停下来；

刘易斯-卡罗尔《爱丽丝梦游仙境

最简单的比喻是，加密就是一把锁。 如果你有正确的钥匙，那么这把锁就很容易打开。 如果有人没有正确的钥匙，但想访问受这把锁保护的保险箱中的内容（也就是你的数据），那么他们可以尝试撬开这把锁。

就像银行金库的锁比手提箱的锁更坚固一样，某些加密技术也比其他加密技术更坚固。

如果您需要加密能力最强的 VPN，请查看我们的最安全的 VPN 列表欲了解更多信息。

电脑好用的梯子

当你还是个孩子的时候，你是否玩过这样的游戏：通过将信息中的一个字母替换成另一个字母，从而创造出一条秘密信息？ 这种替换是根据你选定的公式进行的。

none

用密码学的行话来说，你所做的就是按照一种非常简单的数学算法对信息（数据）进行加密。 密码学家把这个公式称为 "密码"，要想解密，就需要密钥。 这是一个可变参数，决定了密码的最终输出。 没有这个参数，密码就无法解密。

none

例如，您可以用与字母相对应的数字代替信息中的每三个字母。

电脑好用的梯子

现代计算机密码是非常复杂的算法。 即使在超级计算机的帮助下，这些密码也很难破解，甚至不可能达到所有实际目的。 衡量密码强度的最简单方法就是看创建密码所用算法的复杂程度。

算法越复杂，密码就越难用我们所说的 "蛮力攻击 "破解。

蛮力攻击是一种非常原始的攻击方式（也称为穷举密钥搜索），基本上是尝试所有可能的数字组合，直到找到正确的密钥。

计算机使用二进制数（0 和 1）进行所有计算。 密码的复杂度取决于其密钥的比特大小，即表达算法所需的 1 和 0 的原始数量，其中每个 0 或 1 用一个比特表示。

这就是所谓的密钥长度，也代表了对任何给定密码成功实施暴力破解的实际可行性。

随着密钥大小的增加，可能的组合数（以及暴力破解的难度）也呈指数增长。 使用AES 密码(见后）：

从这个角度来看：

• 2011 年，世界上速度最快的超级计算机是富士通 K，其 Rmax 峰值速度为 10.51 petaflops。 根据这一数字，富士通 K 需要 1.02 x 10^18 年（约十亿亿年）才能强行破解 128 位 AES（高级加密标准）密钥。 这比宇宙的年龄（137.5 亿年）还要长。
• 目前（2017 年）世界上最强大的超级计算机是中国的 "双威太湖之光"。 这台巨兽的峰值速度可达 93.02 petaflops。 这意味着，世界上最强大的计算机仍然需要约 885 夸亿年的时间才能逼出 128 位 AES 密钥。
• 暴力破解 256 位密码所需的运算次数为 3.31 x 10^56。 这大致相当于宇宙中原子的数量！

电脑好用的梯子

加密密钥长度指的是所涉及的原始数据的数量，而密码则是用于执行加密的数学--实际公式或算法。 正如我们刚刚看到的，蛮力破解现代计算机密码是非常不切实际的。

正是这些密码算法中的弱点（有时是故意的）导致加密被破解。 这是因为（设计不佳的）密码的输出仍可能显示出加密前原始信息的某些结构。 这就减少了可尝试的可能组合，从而实际上降低了有效密钥的长度。

例如，Blowfish 密码很容易受到利用概率论中生日问题背后数学的攻击。 对密码算法弱点的研究被称为密码分析。

较长的密钥长度可以弥补这些缺陷，因为它们大大增加了可能出现的结果数量。

对手可以攻击密钥本身，而不是攻击密码本身。 这可能会影响到某个网站或某些软件产品。 但密码算法的安全性仍然完好无损，其他使用相同算法但安全生成密钥的系统不会受到破解的影响。

电脑好用的梯子

密码的强度取决于密码本身的数学特性以及以比特为单位的密钥长度。 因此，在描述密码时通常会同时说明所使用的密钥长度。

因此，AES-256（密钥长度为 256 位的 AES 密码）通常被认为比 AES-128 更强。 请注意，我说的是通常因为我们要处理的是非常复杂的数学问题（见我稍后关于 AES 的说明）。

需要注意的是，仅凭密钥长度并不能很好地衡量密码的强度。 关键在于密钥长度和密码的组合。 用于非对称加密例如，使用比对称加密更长的密钥大小来提供同等的保护。

这个表格有点过时，因为它没有考虑到针对 RSA 发现的新攻击。 值得注意的是，RSA 的椭圆曲线和 Diffie-Hellman 变体要比传统变体强得多。 但愿你能明白这一点。

需要注意的一点是，密钥长度越高，涉及的计算量就越大，因此需要的处理能力就越强。 这会影响数据加密和解密的速度。 因此，VPN 提供商等在选择加密方案时，必须决定如何在安全性与实际可用性之间取得最佳平衡。 有些 VPN 提供商已经在这两者之间取得了很好的平衡。 更多信息，请查看我们的快速 VPN 指南.

我们稍后会讨论各种 VPN 协议使用的主要密码，但你可能会遇到的最常见密码是 Blowfish 和 AES。 除此之外还有none和解密密码的密钥，并使用 SHA-1 或 SHA-2 作为散列函数来验证数据。

非对称加密

电脑好用的梯子

none

noneHTTPSnoneOpenVPN协议. TLS（传输层安全）是一种非对称加密协议。 使用非对称密码意味着数据使用公开密钥进行加密，公开密钥对所有人开放。 但是，只有持有正确私钥的预期接收者才能解密。

这把私人密钥必须保密。 如果它被对手窃取或破解，那么对手就可以轻易截获并读取用它作保的任何通信。

遗憾的是，服务器甚至整个公司通常只使用一个私人加密密钥来确保所有通信的安全。 为什么呢？ 因为简单。 但是，如果该密钥被泄露，攻击者就可以访问用它加密的所有通信。

因此，这把私人加密密钥就成了一把万能钥匙，可以用来解锁与服务器或公司的所有通信。 众所周知，美国国家安全局曾利用这一弱点收集了大量所谓的安全数据。

解决方案是完美前向保密。 这是一种为每次会话生成新的唯一私人加密密钥的系统。 尽管 Diffie-Hellman 交换数学很复杂，但这是一个简单的想法。 这意味着每个 TLS 会话都有自己的密钥集。 因此，我们称之为 "短暂密钥"--使用一次就会消失。

none只有而不是任何人与该服务器或公司之间的所有其他会话！

在一个会话内（例如每小时）刷新 PFS 密钥虽然并不常见，但也是可能的。 这就进一步限制了对手可以截获的数据量，即使私钥被泄露也是如此。

几年前我写这篇文章的时候，在 HTTPS 网站和 OpenVPN 连接中使用完美前向保密协议的情况非常罕见。 幸运的是，这种情况已经有所改变。 虽然短暂密钥的使用并不普遍，但近来已大大增加。

电脑好用的梯子

VPN 协议是用于协商两台计算机之间安全加密连接的一套指令（机制）。 商业 VPN 服务通常支持多种此类 VPN 协议。 其中最著名的有 PPTP、L2TP/IPSec、OpenVPN、SSTP 和 IKEv2。

我将在下文逐一介绍这些协议，但 OpenVPN 现在是商业 VPN 服务使用的行业标准 VPN 协议，这是有道理的。 它非常安全，几乎可以在所有支持 VPN 的设备上使用。 因此，我将花更多的笔墨详细讨论 OpenVPN。

电脑好用的梯子

电脑好用的梯子

• 几乎所有平台都内置了客户端
• 非常容易安装

电脑好用的梯子

• 非常不安全
• 肯定是国家安全局泄露的
• none

电脑好用的梯子

它只是一个 VPN 协议，依靠各种认证方法来提供安全性。 PPTP 使用的加密协议（类似于标准密码）是 Microsoft 点对点加密（MPPE）。

点对点隧道协议(PPTP）是由微软成立的一个联盟开发的，用于在拨号网络上创建 VPN。 因此，PPTP 长期以来一直是企业 VPN 网络的标准协议。

PPTP 是几乎所有支持 VPN 的平台和设备的标准配置。 它易于设置，无需安装其他软件。 这确保 PPTP 仍然是企业 VPN 和商业 VPN 服务的热门选择。

它的优势还在于实现时所需的计算开销较低......因此速度很快！

遗憾的是，PPTP 并不安全。 根本不安全。 虽然现在通常只使用 128 位加密密钥，但自 1999 年首次与 Windows 95 OSR2 捆绑使用以来的几年中，已经发现了许多安全漏洞。

其中最严重的是可能存在未封装的 MS-CHAP v2 身份验证。 利用这一漏洞，PPTP 在两天内就被破解了。 微软已经修补了这一漏洞，但自己也发布了使用 L2TP/IPsec 或 SSTP 的建议。

美国国家安全局几乎肯定会把 PPTP 加密通信解密作为标准配置，这一点不足为奇。 更令人担忧的是，在 PPTP 被认为是安全的时候，美国国家安全局就收集了大量加密的旧数据。 几乎可以肯定，它也能解密这些传统数据。

PPTP 需要 TCP 端口 1723 和 GRE 协议。 GRE 很容易被防火墙拦截，因此也很容易阻止 PPTP 连接。

电脑好用的梯子

电脑好用的梯子

• 通常被认为是安全的
• 易于设置
• 适用于所有现代平台
• 比 OpenVPN 更快（也许）

电脑好用的梯子

• 五月份被美国国家安全局入侵（未经证实）
• 可能被美国国家安全局故意削弱（未经证实）
• 与限制性防火墙斗争
• 通常执行不力

电脑好用的梯子

几乎所有现代操作系统和支持 VPN 的设备都内置了第二层隧道协议（L2TP）。 因此，它的设置与 PPTP 一样简单快捷。

noneIPsec 验证套件(L2TP/IPsec）。 即使提供商只提及 L2TP 或 IPsec（有些提供商就是这样做的），实际上也几乎肯定是指 L2TP/IPSec。

L2TP/IPsec 可以使用 3DES 或 AES 密码。 3DES 容易受到 "中间见面 "和 "Sweet32 碰撞 "攻击，因此目前在实践中不太可能使用。

由于 L2TP/IPSec 协议只使用数量有限的端口，因此可能会出现问题。 当在 NAT 防火墙后面使用时，这可能会造成复杂问题。 对固定端口的依赖也使得该协议很容易被屏蔽。

L2TP/IPsec 对数据进行了两次封装，因此会降低运行速度。 但加密/解密是在内核中进行的，而且 L2TP/IPsec 允许多线程运行，这就抵消了这一影响。 OpenVPN 则不允许。 结果是，L2TP/IPsec 是理论上比 OpenVPN 更快。

使用 AES 密码的 L2TP/IPsec 没有已知的重大漏洞，如果实施得当，可能仍然是安全的。 然而，爱德华-斯诺登的爆料强烈暗示该标准已被美国国家安全局攻破。

约翰-吉尔摩是一位安全专家，也是电子前沿基金会的创始成员。 他解释说IPSec 被故意削弱在设计阶段。

none预共享密钥(PSK) ，可从其网站上免费下载。

这些预共享密钥仅用于验证连接，因此即使遭到破坏，数据仍会使用 AES 进行安全加密。 不过，攻击者可以使用预共享密钥冒充 VPN 服务器。 这样它就可以窃听加密流量，甚至将恶意数据注入连接。

摘要

尽管存在一些理论上的问题，但如果不使用公开发布的预共享密钥，L2TP/IPsec 通常被认为是安全的。 它与许多设备的内置兼容性使其成为一个非常不错的选择。

电脑好用的梯子

电脑好用的梯子

• 非常安全
• 完全集成到 Windows 中
• 微软支持
• 可绕过大多数防火墙

电脑好用的梯子

• 微软拥有的专利标准

电脑好用的梯子

SSTP 是一种使用 SSL 3.0 的加密方式，具有与 OpenVPN 类似的优势。 这包括使用 TCP 端口 443 逃避审查的能力。 与 Windows 的紧密集成使其在该平台上比 OpenVPN 更易于使用，也更稳定。

不过，与 OpenVPN 不同，SSTP 是微软公司拥有的专有标准。 这意味着其代码不对公众开放。 微软与美国国家安全局合作的历史，以及对 Windows 操作系统可能内置后门的猜测，都不会让人对该标准产生信心。

安全套接字隧道协议(SSTP) 是微软在 Windows Vista SP1 中引入的。 尽管它现在可用于电脑好用的梯子none

另一个问题是 SSL v3.0 容易受到所谓的POODLE 攻击因此不建议使用。 这个问题是否也会影响 SSTP 还不清楚，但同样很难让人产生信心。

摘要

从纸面上看，SSTP 具有 OpenVPN 的许多优点。 不过，作为微软的专有标准，它的可信度大打折扣。

电脑好用的梯子

电脑好用的梯子

• 快速
• 稳定--尤其是在切换网络或网络连接中断后重新连接时
• 安全（如果使用 AES）
• 易于设置（至少在用户端是如此）
• 黑莓设备支持协议

电脑好用的梯子

• 许多平台不支持
• 在服务器端实施 IKEv2 是一件棘手的事情，有可能导致开发过程中出现问题。
• 只信任开源实施

电脑好用的梯子

none苹果网服务使用 IKEv2 而不是 OpenVPN。

针对 Linux 和其他操作系统独立开发了 IKEv2 兼容版本。 其中许多迭代版本都是开源的。 一如既往，我建议对微软开发的任何东西都保持警惕。 不过，IKEv2 的开源版本应该没有问题。

IKEv2 是 IPsec 协议套件的一部分。 它通过在 IPsec 中传递 SA（安全协会）属性来确保通信安全，并在许多方面改进了 IKEv1。 因此，IKEv2 有时被称为 IKEv2/IPsec。 另一方面，IKEv1 通常被简称为 IPsec。

IKEv2 被微软称为 VPN Connect，特别擅长在用户暂时失去互联网连接时自动重建 VPN 连接。 例如，在进出火车隧道时。

由于 IKEv2 支持移动性和多归属（MOBIKE）协议，它对网络变化的适应能力也很强。 这使得 IKEv2 成为经常在家庭 WiFi 和移动连接之间切换或经常在热点之间移动的手机用户的最佳选择。

IKEv2 并不像 L2TP/IPSec 那样普遍，因为支持它的平台较少（尽管这种情况正在迅速改变）。 不过，就安全性、性能（速度）、稳定性和建立（和重新建立）连接的能力而言，IKEv2 被认为至少与 L2TP/IPsec 不相上下，甚至更胜一筹。

电脑好用的梯子

电脑好用的梯子

• none
• 高度可配置
• 开放源代码
• 可绕过防火墙
• 需要第三方软件

电脑好用的梯子

淘宝网是一种开放源码技术，它使用 OpenSSL 库和 TLS 协议以及其他技术，提供强大可靠的 VPN 解决方案。 它现在是商业 VPN 服务使用的行业标准 VPN 协议，这是有道理的。

OpenVPN 的主要优势之一是可配置性强。 它不受任何平台的原生支持，但可通过第三方软件在大多数平台上使用。 定制 OpenVPN 客户端和应用程序通常可从个别 VPN 提供商处获得，但核心开源代码是由OpenVPN 项目.

OpenVPN 项目的许多开发人员和贡献者也为负责该项目的 OpenVPN 技术公司工作。

OpenVPN 最适合在 UDP 端口上运行，但也可以设置为在任何端口上运行（见后面的注释）。 这包括普通 HTTPS 流量使用的 TCP 443 端口。 通过 TCP 443 端口运行 OpenVPN，很难将 VPN 连接与银行、电子邮件服务和在线零售商使用的安全连接区分开来。 这使得 OpenVPN 很难被封杀。

OpenVPN 的另一个优势是，用于提供加密的 OpenSSL 库支持多种密码。 但实际上，商业 VPN 服务通常只使用 Blowfish 和 AES。 下面我将讨论这两种加密方式。

根据从爱德华-斯诺登那里获得的信息，似乎只要使用 "完美前向保密"，OpenVPN 就不会被美国国家安全局破坏或削弱。

最近对 OpenVPN 进行的众包审计已经完成，由 Private Internet Access 资助的另一项审计也已完成。 没有发现影响用户隐私的严重漏洞。 发现的几个漏洞使 OpenVPN 服务器有可能受到拒绝服务（DoS）攻击，但这些漏洞已在 OpenVPN 2.4.2 中得到修补。

OpenVPN 通常被认为是最安全的 VPN 协议，在 VPN 行业得到广泛支持。 因此，我将在下文中详细讨论 OpenVPN 的加密问题。

电脑好用的梯子

OpenVPN 加密包括两部分--数据通道加密和控制通道加密。 数据通道加密用于保护数据安全。 控制通道加密用于确保计算机与 VPN 服务器之间的连接安全。

任何防御的强度都取决于其最薄弱的地方，因此很遗憾，一些 VPN 提供商在一个通道上使用的加密强度远远高于另一个通道（通常在控制通道上更强）。

例如，经常可以看到 VPN 服务宣传使用 AES-256 密码、RSA-4096 握手加密和 SHA-512 哈希验证。 这听起来令人印象深刻，直到你意识到它只有指的是控制信道加密，而不是数据信道，数据信道仅使用 Blowfish-128 和 SHA1 哈希验证进行加密。 这样做只是为了营销。

如果数据通道和控制通道使用了不同的加密方式，那么 OpenVPN 连接的真正强度将由所使用的较弱加密套件来衡量。

为获得最大的安全性，数据和控制信道加密都应尽可能强大。 不过，使用的加密越强，连接速度就越慢，这就是为什么有些供应商在数据通道加密上不惜工本的原因。

控制信道加密也称为 TLS 加密，因为红绿灯是用于安全协商计算机与 VPN 服务器之间连接的技术。 这与浏览器用于安全协商连接 HTTPS 加密网站的技术相同。

• none
• none

VPN 提供商通常对控制通道和数据通道使用相同的加密级别。 在我们的评论和 "红绿灯 "表中，只有在每个通道使用不同数值时，我们才会将它们分别列出。

如果我们说提供商使用 AES-256 密码，这意味着控制和数据通道都使用 AES-256 密码*。

这应至少是这样。 一些传统的审查不符合我们目前的指导方针，但这些审查应该会逐渐被淘汰）。

电脑好用的梯子

OpenVPN 可以使用多种对称密钥密码以确保控制和数据通道上的数据安全。 实际上，商业 VPN 提供商使用的加密算法只有 Blowfish、AES 和 Camellia（很少使用）。

电脑好用的梯子

Blowfish-128 是 OpenVPN 使用的默认密码。 理论上，密钥大小可以从 32 位到 448 位不等，但 Blowfish-128 是你在野外可能遇到的唯一版本。

河豚 通常被认为足够安全，但也有已知的弱点。 它是由著名密码学家布鲁斯-施耐尔（Bruce Schneier）创建的，他在 2007 年说："在这一点上，我很惊讶它还在被使用；

我们认为，在 OpenVPN 数据通道上使用 Blowfish-128 作为第二道防线是可以接受的。 但是，在控制信道上使用 Blowfish-128 就不应该被认为是安全的。

电脑好用的梯子

AES已成为 VPN 行业的黄金标准对称密钥密码。 AES 是通过 NIST 认证并几乎被普遍认为非常安全。 AES-256 被美国政府用于保护安全数据。

事实上，它具有 128 位none而不是 Blowfish 的 64 位数据块大小，这也意味着 AES 比 Blowfish 更好地处理大文件（超过 4 GB）。 除此之外，AES 指令集还能在大多数平台上进行内置硬件加速。

AES 通常有 128 位和 256 位密钥大小（也有 192 位 AES）。 就目前所知，AES-128 仍然是安全的。 不过，鉴于我们现在了解到的美国国家安全局对加密标准的攻击程度，大多数专家都认为 AES-256 提供了更高的安全系数。

不过，为了确保没有人会觉得这个问题太简单，我们还是对这个问题进行了一些讨论。 AES-128 具有更强的关键日程表因此，一些知名专家认为 AES-128 实际上比 AES-256 更强。

但普遍认为 AES-256 更强。

电脑好用的梯子

Camellia 是一种现代安全密码，其安全性和快速性至少不亚于 AES。 它的密钥大小有 128、192 和 256 位。 不过，由于获得了 NIST 认证并被美国政府使用，AES 几乎总是被用来代替 Camellia。

但正如我在下文所讨论的，我们有理由不信任 NIST 认证的密码。 山茶花密码是一种非 NIST 密码，这是与 AES 相比选择山茶花密码的主要原因。 不过，这种选择很少见。

值得注意的是，Camellia 的弱点测试远不及 AES。

电脑好用的梯子

为了安全地协商设备与 VPN 服务器之间的连接，OpenVPN 使用一个TLS 握手none

为了保护这种握手，TLS 通常使用 RSA公钥密码系统. 这是一种加密和数字签名算法，用于识别TLS/SSL 证书. 不过，它也可以使用 Diffie-Hellman 或 ECDH 密钥交换来代替。

电脑好用的梯子

none

现在已经公认，密钥长度为 1024 位（RSA-1024）或更少的 RSA 不安全，而且几乎肯定已被美国国家安全局破解。 因此，互联网公司一致决定不再使用 RSA-1024。

遗憾的是，我们仍然发现一些 VPN 服务继续使用 RSA-1024 来保护握手。 这可不是什么好事。

RSA-2048 及更高版本是none

在这种情况下，DH 或 ECDH 密钥的强度并不重要，因为使用的是只有以提供完美前向保密。 连接使用 RSA 加密。

因为可能会引起混淆，所以我还要指出，RSA 密码系统与声名狼藉的美国科技公司 RSA Security LLC 没有任何关系。 这家公司被刻意削弱其旗舰产品 BSAFE 加密产品在被受贿#@#  million by the NSA.#@#

电脑好用的梯子

OpenVPN 有时使用的另一种（对手）握手加密是 Diffie-Hellman 密钥交换。 其密钥长度通常为 2048 位或 4096 位。 需要注意的是，由于容易受到 Logjam 攻击，应避免使用小于 DH-2048 的密钥长度。

与 RSA 相比，Diffie-Hellman 握手的主要优势在于它本身提供了完美的前向保密性。 不过，如前所述，在 RSA 握手中加入 DH 密钥交换也能达到类似目的。

迪菲-赫尔曼因重复使用有限的一组素数而引起巨大争议。 这使得它很容易被强大的对手破解、如美国国家安全局. 因此，仅靠 Diffie-Hellman 本身并不能实现安全的握手加密。 不过，当它作为 RSA 密码套件的一部分使用时，就没有问题了。

椭圆曲线 Diffie-Hellman (ECDH) 是一种较新的加密技术，不容易受到这种攻击。 这是因为它使用了一种特殊代数曲线的特性，而不是大素数来加密连接。

none

none

电脑好用的梯子

这也被称为数据验证或哈希信息验证码（HMAC）。

安全哈希算法(SHA) 是一种加密哈希函数（除其他外），用于验证数据和 SSL/TLS 连接。 这包括 OpenVPN 连接。

它会创建一个有效 TLS 证书的唯一指纹，任何 OpenVPN 客户端都可以对其进行验证。 即使是最微小的变化也能被检测到。 如果证书被篡改，将立即被检测到并拒绝连接。

这对于防止中间人（MitM）攻击非常重要，在这种攻击中，对手会试图将你的 OpenVPN 连接转移到它自己的服务器上，而不是你的 VPN 提供商。 例如，黑客可以通过入侵你的路由器来做到这一点。

如果对手可以破解你的供应商的真正 TLS 证书的散列值，它就可以反向散列值来创建一个伪造的证书。 然后，您的开放式 VPN 软件就会将该连接认证为真实连接。

电脑好用的梯子

当用于保护 HTTPS 网站时，SHA-1 会被破解。 人们知道这一点已经有一段时间了。 现在仍能找到 SHA-1 网站，但已被逐步淘汰。 现在，当您尝试连接到使用 SHA-1 加密的网站时，大多数浏览器都会发出警告。

现在推荐使用 SHA-2 和 SHA-3 哈希函数，它们是安全的。 SHA-2 包括 SHA-256、SHA-384 和 SHA-512。 不过...

OpenVPN 仅在 HMAC 中使用 SHA。 我认为在此不做过多赘述，但 SHA 哈希验证是 HMAC 算法的一部分。 攻击嵌入 SHA-1 的 HMAC 比攻击 SHA-1 散列函数本身要难得多。

换句话说，OpenVPN 使用的 HMAC SHA-1 被认为是安全的，并且有数学证明。 当然，HMAC SHA-2 和 HMAC SHA-3 甚至是更多安全！ 事实上，最近的 OpenVPN 审计承认 HMAC SHA-1 是安全的，但建议改用 HMAC SHA-2 或 HMAC SHA-3。

电脑好用的梯子

电脑好用的梯子

AES、RSA、SHA-1 和 SHA-2 均由美国开发和/或认证。美国国家标准与技术研究院(NIST）。 该机构自己也承认，它在开发密码方面与美国国家安全局密切合作。

鉴于我们现在了解到的美国国家安全局有计划地削弱或在国际加密标准中设置后门的行为，我们完全有理由质疑 NIST 算法的完整性。

none

"NIST 不会故意削弱密码标准。"

它还邀请公众参与一些即将提出的加密标准，此举旨在增强公众信心。

这纽约时报none

当 RSA 安全公司（EMC 的一个部门）私下告诉客户停止使用一种加密算法时，这种不信任进一步加深，据说这种算法含有 NSA 设计的一个缺陷。 这种算法还得到了 NIST 的认可。

此外，Dual_EC_DRBG（双椭圆曲线确定性随机比特生成器）是由 NIST 设计的一种加密标准。 多年来，人们一直认为它不安全。

2006 年，荷兰埃因霍温理工大学（Eindhoven University of Technology）指出，在一台普通 PC 上就能轻松发起对它的攻击。

尽管存在这些顾虑，但 NIST 在哪里，业界就跟进到哪里。 微软、思科、赛门铁克和 RSA 都在其产品的密码库中加入了该算法。 这在很大程度上是因为符合 NIST 标准是获得美国政府合同的先决条件。

NIST 认证的加密标准在全球几乎无处不在，遍及所有依赖隐私的行业和业务领域。 这使得整个情况令人不寒而栗。

也许正是因为如此依赖这些标准，密码学专家们一直不愿正视这个问题。

电脑好用的梯子

直到最近，你在 VPN 领域可能遇到的唯一一种 AES 密码是 AES-CBC（密码块链）。 这是指块状密码模式，是一个复杂的问题，不值得在此赘述。 虽然 CBC可以理论上有一些脆弱性none

OpenVPN 现在还支持 AES-GCM（Galios/计数器模式）。

• GCM 提供身份验证功能，无需使用 HMAC SHA 散列函数。
• 由于使用了硬件加速（通过多处理器内核的线程），它的速度也比 CBC 稍快。

AES-CBC 仍是最常用的加密模式，但我们现在已经开始在野外使用 AES-GCM，鉴于 GCM 的优势，这种趋势很可能会继续下去。 不过，从密码学的角度来看，AES-CBC 和 AES-GCM 都非常安全。

电脑好用的梯子

OpenVPN 可以通过TCP（传输控制协议）或 UDP（用户数据报协议）.

• none
• UDP = 快速。 使用 UDP 时，不执行此类纠错。 数据包只需发送和接收，无需确认或重试。 这使得 UDP 比 TCP 快得多，但可靠性较低。

none

电脑好用的梯子

OpenVPN 的一大优势是可以通过任何端口运行，包括 TCP 443 端口。 这是 HTTPS 使用的端口，HTTPS 是一种加密协议，可确保所有安全网站的安全。

没有 HTTPS，购物或银行业务等任何形式的在线商务都不可能实现。 因此，该端口很少被屏蔽。

另外，TCP 443 端口上的 VPN 流量可在 TLS 加密内路由，与 HTTPS 使用的方式相同。 这使得很多使用先进的深度数据包检测技术。 因此，TCP 443 端口是躲避 VPN 屏蔽的首选端口。

许多 VPN 提供商提供使用其定制软件更改 OpenVPN 所用端口号的功能。

none

值得注意的是，网络工程师不喜欢这种策略，因为 TCP 上的 TCP 非常效率低. 然而，当涉及到击败审查制度时，它往往会奏效。

SSTP 默认使用 TCP 端口 443。

电脑好用的梯子

电脑好用的梯子

• PPTP非常不安全，应避免使用。 虽然 L2TP/IPsec 易于设置和跨平台兼容性很有吸引力，但它也有同样的优点，而且更安全。
• L2TP/IPsec是一种适用于非关键用途的 VPN 解决方案。 在不支持 OpenVPN 的传统设备上尤其如此。 不过，它已被美国国家安全局严重破坏。
• SSTP具有 OpenVPN 的大部分优点，但主要是 Windows 协议。 这确实意味着它能更好地集成到操作系统中，但由于这一限制，VPN 提供商对它的支持很差。 除此之外，它的专有性质和由微软创建的事实意味着我不信任它。
• IKEv2是一个非常好（安全、快速）的协议。 与 OpenVPN 相比，移动用户可能更喜欢它，因为它能在互联网连接中断时提高重新连接的能力。 对于黑莓手机用户来说，这几乎是唯一的选择。 尽可能使用开源版本。
• 淘宝网是大多数情况下推荐使用的 VPN 协议。 它快速、可靠、安全、开源。 它本身没有真正的缺点，但要做到真正安全，就必须很好地执行它。 这就意味着要采用完美前向保密的强加密技术。

电脑好用的梯子

说到加密，细节决定成败。 我们经常看到 VPN 提供商说他们使用了超强的 256 位 AES OpenVPN 加密技术，但实际上这并不能说明什么。 AES-256 的确是一种很强的密码，但如果所使用的加密套件的其他方面很弱，那么你的数据就不会安全。

• 密码- 这可以保护您的实际数据。 AES-256 是目前的行业标准，建议使用。
• 握手none不.
• 哈希验证- 创建一个唯一的指纹，用于验证数据和 TLS 证书（即检查您所连接的服务器是否真的是您所认为的服务器）。 HMAC SHA-1 绝对没问题，但 HMAC SHA-2（SHA-256、SHA-384 和 SHA-512）和 HMAC SHA-3 甚至更好。更多none不如果使用 AES-GCM 密码，则需要使用
• 完美的前向保密性(PFS) - 这可确保为每个会话创建新的加密密钥。 除非实施了 PFS，否则 OpenVPN 不应被认为是安全的。 这可以通过在 RSA 握手中加入 Diffie-Hellman 或 ECDH 密钥交换，或 DH 或 ECDH 握手来实现。
• none两个数据和控制通道。
• 使用比特长度更高的密码和密钥几乎总是更安全，但这需要在速度上付出代价。

OpenVPN 会在客户端和服务器之间随意协商密码。 除非定义了非常具体的参数，否则 OpenVPN 可能会默认采用较弱的设置。 至少，OpenVPN 会默认使用 Blowfish-128 密码、RSA-1024 握手（无 PFS）和 HMAC SHA-1 哈希验证。

电脑好用的梯子

希望你现在对安全 VPN 连接的构成有了更好的了解。 然而，在正确配置 VPN 时，加密只是成功的一半。 另一半是确保没有任何流量在 VPN 连接之外进入或离开你的电脑。

要了解更多信息，请查看我们的IP 泄露完全指南.