vpn-encryption-image

Codifica VPN

Private Internet Access utilizza il VPN standard OpenVPN per fornirti un tunnel VPN sicuro. OpenVPN offre diverse opzioni relative alla codifica. I nostri utenti possono scegliere il livello di codifica preferito per le loro sessioni VPN. Abbiamo scelto le impostazioni predefinite più comuni e consigliamo agli utenti di utilizzarle. Ciononostante, offriamo agli utenti la libertà di fare le proprie scelte.

icon-suggested-encryption Impostazioni di crittografia raccomandate

Protezione consigliata predefinita

Codifica dati: AES-128

Autenticazione dati: SHA1

Handshake: RSA-2048

Tutta velocità nessuna sicurezza

Codifica dati: Nessuna

Autenticazione dati: Nessuna

Handshake: ECC-256k1

Massima protezione

Codifica dati: AES-256

Autenticazione dati: SHA256

Handshake: RSA-4096

Affare rischioso

Codifica dati: AES-128

Autenticazione dati: Nessuna

Handshake: RSA-2048


icon-data-encryption Codifica dati:

Questo è l'algoritmo di crittografia simmetrica utilizzato per criptare e decriptare tutti i tuoi dati. La crittografia simmetrica è usata con una chiave segreta effimera condivisa tra te e il server. Questa chiave segreta viene scambiata con Codifica Handshake.

AES-128

Advanced Encryption Standard (128-bit) in modalità CBC.
Questo è il metodo di codifica più veloce.

AES-256

Advanced Encryption Standard (256-bit) in modalità CBC.

Nessuna

Nessuna codifica. Nessun dato sarà codificato. I tuoi dati d'accesso sarannocodificati. Il tuo indirizzo IP rimarrà nascosto. Questa potrebbe essere un'opzione utile se desideri le migliori prestazioni possibili nascondendo al tempo stesso il tuo indirizzo IP. Ciò è simile ad un SOCKS proxy ma col vantaggio della sicurezza dei tuoi dati d'accesso.


icon-data-authentication Autenticazione dati:

Questo è l'algoritmo di autenticazione del messaggio con il quale vengono autenticati tutti i tuoi dati. Viene utilizzato solamente per proteggerti da attacchi attivi. Se credi di non doverti difendere da attacchi attivi, puoi disattivare l'autenticazione dati.

SHA1

HMAC che utilizzaSecure Hash Algorithm (160-bit).
Questo è il metodo di autenticazione più veloce.

SHA256

HMAC con l'uso di Secure Hash Algorithm (256-bit).

Nessuna

Nessuna autenticazione. Nessun dato codificato sarà autenticato. Un attacco attivo potrebbe modificare o decodificare i tuoi dati. Ciò non potrebbe offire alcuna opportunità di attacchi passivi.


icon-handshake-encryption Codifica handshake

Questa è la codifica utilizzata per stabilire una connessione sicura e verificare di essere in comunicazione con un server di Private Internet Access VPN piuttosto che con il server di un hacker. Utilizziamo TLS v1.2 per stabilire questa connessione. Tutti i nostri certificati utilizzano SHA512 per l'accesso.

RSA-2048

2048bit Scambio di chiavi effimere Diffie-Hellman (DH) e certificato RSA 2048-bit per verificare che lo scambio di chiavi sia veramente avvenuto su un server di Private Internet Access.

RSA-3072

Come RSA-2048 ma con 3072-bit sia per lo scambio di chiavi che per la certificazione.

RSA-4096

Come RSA-2048 ma con 4096-bit sia per lo scambio di chiavi che per la certificazione.

ECC-256k1 icon-warning

Scambio di chiavi con curva ellittica effimera DH e un certificato ECDSA per verificare che lo scambio di chiavi sia veramente avvenuto su un server di Private Internet Access. La curva secp256k1 (256-bit) è usata per entrambi. Si tratta della stessa curva usata per le transazioni di Bitcoin.

ECC-256r1 icon-warning

Come ECC-256k1 ma con curva prime256v1 (256-bit, conosciuta anche come secp256r1), usata sia per lo scambio di chiavi che per la certificazione.

ECC-521 icon-warning

Come ECC-256k1 ma con curva secp521r1 (521-bit usata sia per lo scambio di chiavi che per la certificazione.


icon-warning Avvisi

Mostriamo un avviso in 3 casi:

Le recenti rivelazioni da parte della National Security Agency (NSA) hanno sollevato preoccupazioni sul fatto che alcune, o forse tutte le curve ellittiche sostenute da enti statunitensi possano avere dei backdoor che consentono all'NSA di attaccarle più facilmente, ma non esiste alcuna prova in merito alle curve usate con scambio di accesso e chiavi e alcuni esperti sostengono che ciò sia improbabile. Per questo motivo, offriamo agli utenti questa opzione ma mostriamo un avviso ogni volta che scelgono impostazioni delle curve ellittiche. Inoltre abbiamo incluso la curva meno standard secp256k1, quella utilizzata da Bitcoin, creata dalla compagnia canadese Certicom piuttosto che da NIST (come per le altre curve) e pare che offra meno posti in cui nascondere un backdoor.
Esistono prove concrete che un generatore di numeri casuali che utilizza ECC abbia un backdoor ma che non sia ampiamente utilizzato.


icon-glossary Glossario

Attacchi attivi

Durante un attacco attivo, l'hacker si introduce "tra" te e il server VPN, una posizione che gli consente di modificare o intromettere dati nella tua sessione sul VPN. OpenVPN è stato creato per combattere gli attacchi attivi, è sufficiente che usiate entrambi la codifica dati e l'autenticazione dati.

Attacchi passivi

Durante un attacco passivo, l'hacker registra solamente i dati che vengono trasferiti sulla rete, senza modificarli o senza introdurre nuovi dati. Un esempio di attacco passivo è quello in cui un'entità catturi e archivi dati di traffico di rete ma non vi interferisce o effettua modifiche. Finché utilizzi la codifica dati, la tua sessione su OpenVPN è al sicuro contro gli attacchi passivi.

Chiavi effimere

Le chiavi effimere sono chiavi di codifica generate casualmente ed utilizzate solo per un certo periodo di tempo, dopo il quale vengono eliminate e cancellate in maniera sicura. Lo scambio di chiavi effimere è la procedura di creazione e di scambio di questi dati.Diffie-Hellman è un algoritmo utilizzato per effettuare questo scambio. Poiche le chiavi effimere vengono gettate dopo l'uso e i dati eliminati definitivamente, ciò impedisce a chiunque di decodificare i dati effettuati per la codifica, anche nel caso in cui riescano ad avere l'accesso completo ai dati codificati nonché al client e al server.