Comment fonctionne le cryptage VPN


Cryptage symétrique ou asymétrique

Lorsque vous utilisez OpenVPN ou L2TP/IPsec, vous utiliserez en fait 2 types d’algorithmes de chiffrement différents : symétrique et asymétrique.

Cryptage symétrique

Le cryptage symétrique signifie vous utilisez la même clé Chiffrer et déchiffrer les données. Cela signifie que vous et le serveur VPN utilisez la même clé partagée. Une fois la connexion VPN établie, toutes les données seront cryptées et transmises via un protocole de cryptage symétrique.

AES et Blowfish sont des algorithmes symétriques.

L’avantage du cryptage symétrique est que Extrêmement efficace et rapideCela signifie qu’il ne nécessite pas beaucoup de puissance de traitement informatique pour chiffrer et déchiffrer les données.

Par conséquent, il est très utile pour transférer rapidement de grandes quantités de données.

De plus, le chiffrement symétrique nécessite une taille de clé plus courte pour fournir le même niveau de sécurité par rapport aux protocoles asymétriques tels que RSA. Les touches courtes signifient des calculs plus rapides et une meilleure vitesse.

Les tailles de clé symétriques typiques sont de 128, 192 et 256 bits.

La seule faiblesse du chiffrement symétrique

Le chiffrement symétrique a une faiblesse majeure.Vous avez Besoin d’un moyen de partager des clés entre deux parties échangeant des données Sécurité. Une façon de partager la clé consiste à utiliser un mot de passe, qui sera utilisé comme clé.

L’inconvénient de cette approche est que chaque session VPN utilisera la même clé (jusqu’à ce que vous changiez le mot de passe), ce qui signifie que si la clé est découverte, elle permettra à un attaquant de déchiffrer 100 % des données qui ont été chiffrées avec cette clé. .

Quelle est la solution?

Utilisez une nouvelle clé symétrique pour chaque session VPN. De cette façon, si 1 clé est compromise, elle ne révèle pas les données des sessions passées ou futures. Mais comment échanger des clés en toute sécurité sur les réseaux publics ? C’est là qu’intervient le cryptage asymétrique.

Cryptage asymétrique

Le chiffrement asymétrique est un Formes de cryptographie à clé publique Chacun de ceux qui échangent des données possède 2 clés :

A Voir  Ajoutez de la mémoire RAM au QNAP TS-EC879U-RP.

1. Clé publique (utilisée pour chiffrer les données)

2. Clé privée (utilisée pour décrypter les données)

Les services VPN utilisent le chiffrement asymétrique pour échanger de nouvelles clés de chiffrement symétriques au début de chaque session VPN.

Cela fonctionne comme ceci :

Tous ceux qui échangent des données ont 2 clés. Une clé est publique (tout le monde peut la voir) et l’autre est privée (personne ne devrait avoir cette clé sauf vous).

Vos clés publiques et privées seront différentes les unes des autres et de celles avec qui vous échangez des données.

Pour envoyer un message :

A chiffrera le message en utilisant la clé publique de B.

Cette clé publique ne peut être utilisée que pour chiffrer des messages, une fois chiffrée, elle ne peut pas être utilisée pour déchiffrer des messages.

La personne B déchiffre ensuite le message de la personne A à l’aide de sa clé privée.

La raison pour laquelle cette méthode fonctionne est que les deux clés (clé publique et clé privée) sont mathématiquement liées, de sorte que la clé privée peut être utilisée pour décrypter tous les messages cryptés avec la clé publique.

Cependant, les nombres impliqués sont si importants et l’algorithme de chiffrement est conçu de telle manière qu’il est impossible de deviner la clé privée de la clé publique.

Ce type d’échange public s’appelle un échange Clé Diffie-Hellman et forment la base du secret transmis (dont nous parlerons plus tard).

Algorithmes asymétriques

L’algorithme de chiffrement asymétrique le plus courant est RSA, qui est utilisé dans OpenVPN pour échanger des clés de session symétriques. RSA utilise généralement des clés 2048 bits ou 4096 bits. Étant donné que la clé publique est visible par tous, la clé met plus de temps à rester sécurisée.

Une clé de 2048 bits a 2 2048 combinaisons possibles, soit environ 3,23 x 10 616 combinaisons différentes !

L’inconvénient du chiffrement asymétrique est qu’il n’est ni rapide ni très efficace (car les nombres impliqués sont si importants). Par conséquent, il n’est généralement utilisé que pour échanger des clés de chiffrement symétriques (plus rapides) au début d’une session.

Attaques sur le cryptage VPN

À l’échelle mondiale, les gouvernements, les agences d’espionnage telles que la NSA et les alliances d’espionnage telles que les Five Eyes mènent des efforts massifs de déclassification. L’objectif ultime est de pouvoir récolter et décrypter 100 % du trafic VPN crypté dans le monde.

A Voir  Les 4 meilleures enceintes tourne-disque de 2022

Pour l’instant, ils sont loin de cette référence, mais les documents divulgués par Edward Snowden suggèrent que la NSA a eu un certain succès avec ses procédures de décryptage, en particulier dans le décryptage du trafic PPTP et L2TP/IPsec. Jusqu’à présent, OpenVPN semble être relativement sûr.

Il existe deux principaux types d’attaques :

Attaque active

Les attaques de cryptage actif sont généralement des attaques de l’homme du milieu et impliquent la manipulation ou la modification des données envoyées vers/depuis votre ordinateur via un tunnel VPN.

L’objectif est d’identifier des modèles basés sur des données manipulées pour faciliter le déchiffrement des données ou la découverte de clés.

La meilleure défense contre les attaques actives est l’authentification par hachage, qui vérifie l’authenticité des paquets transmis. Presque tous les principaux fournisseurs de VPN intègrent automatiquement l’authentification dans leur protocole OpenVPN.

De plus, 99,99 % des utilisateurs de VPN ne devraient pas s’inquiéter des attaques actives. Les attaques actives sont des attaques ciblées contre des utilisateurs, des services ou des ordinateurs spécifiques. Il est hautement improbable qu’un visiteur de ce site Web prenne des mesures pour susciter cet intérêt de la part d’une agence d’espionnage.

attaque passive

Les attaques passives se produisent généralement après la fin de la session VPN.

La forme la plus simple d’attaque passive est une attaque par force brute, qui essaie simplement différentes combinaisons de touches jusqu’à ce que les données soient déchiffrées avec succès.

À mesure que les ordinateurs deviennent plus rapides, les attaques par force brute deviendront plus efficaces (mais cela peut être résolu en rendant les clés VPN plus longues et plus complexes).

Les deux meilleures défenses contre les attaques passives sont :

1. Cryptage plus fort (clés plus longues. 256 bits contre 128 bits).

2. Secret de transmission parfait (chaque session utilise une clé différente).