Pokud na svém telefonu Android provozujete VPN, pravděpodobně to děláte proto, že chcete, aby vaše data procházení byla co nejsoukromější a nejbezpečnější. Proto chcete VPN s nejlepším dostupným nastavením. Může být obtížné poznat a pochopit, která nastavení jsou opravdu důležitá, proto jsme sepsali seznam nejlepších nastavení VPN pro Android a vysvětlili, co dělají.
Šifrování a protokol VPN
Dvě nejdůležitější nastavení, která se podílejí na zabezpečení vašeho připojení VPN, jsou protokol VPN a šifrovací algoritmus.
Nejlepší protokol VPN, který můžete použít, je OpenVPN, je to standardní protokol VPN, protože podporuje nejlepší dostupné šifrování a je to dobře vyvinutý protokol. Dva další protokoly VPN, které nabízejí ekvivalentní úrovně zabezpečení, ale dosud nebyly tak důkladně analyzovány, jsou Catapult Hydra a WireGuard. Pokud je to možné, měli byste se vyhnout protokolům VPN PPTP a L2TP, protože oba jsou staré a mají slabé zabezpečení.
Nejlepším dostupným šifrováním je v současnosti 256bitová šifra AES-GCM, ačkoli 256bitová šifra AES-CBC nabízí ekvivalentní zabezpečení při nižší rychlosti. AES je zkratka pro Advanced Encryption Standard a je to skutečná šifra používaná k šifrování dat. GCM a CBC jsou režimy provozu pro šifru, CBC lze paralelizovat nebo vícevláknové pouze tehdy, když dešifrování dat, GCM však lze paralelizovat při šifrování a dešifrování, a proto je výkon výhoda.
256-bit označuje velikost šifrovacího klíče a počet možných hodnot, které může mít. 256-bit lze také zapsat jako 2^256 nebo 2 vynásobené 256krát. Pokud by byl celkový počet možných šifrovacích klíčů zapsán celý, začínal by 1 a za ní by mělo 77 nul, Uveďte toto číslo do perspektivy, vědci se domnívají, že je to zhruba ekvivalentní počtu atomů v pozorovatelném vesmíru. I kdybyste měli vyhrazený přístup k superpočítačům po staletí, stále byste AES pravděpodobně nezlomili.
Protokol WireGuard používá k provádění svého šifrování jinou sadu šifer, ChaCha20. ChaCha20 je co do síly ekvivalentní 256bitovému AES, přičemž je ještě rychlejší při zpracování, je však také novější a méně důkladně prozkoumán.
Poslední možností šifrování je PFS nebo Perfect Forward Secrecy. PFS je nastavení, které pravidelně mění používaný šifrovací klíč. To znamená, že pokud by byl váš šifrovací klíč někdy kompromitován, byl by schopen dešifrovat pouze malé množství dat. Není důvod nepoužívat PFS, pokud je k dispozici.
Kill switch
Přepínač zabíjení VPN se používá k přerušení internetového připojení vašeho zařízení, pokud zjistí, že se odpojilo od internetu. To vás chrání před únikem všech vašich dat procházení z vaší VPN, pokud si nevšimnete, že se odpojila.
Přepínač zabíjení VPN může být užitečný pro každého, ale je zvláště užitečný pro mobilní zařízení, která mohou pravidelně přepínat sítě, což zvyšuje riziko problémů s připojením VPN.
Prevence úniku
Přepínač zabíjení VPN zabraňuje obecnému úniku dat, existuje však několik protokolů, které mají historii úniku informací, které lze použít k vaší identifikaci nebo sledování vaší aktivity. Hlavními viníky jsou IPv6, DNS a WebRTC.
IPv6 je aktualizace schématu adres IPv4 používaného k jedinečnému adresování všech zařízení na internetu. IPv4 nyní v podstatě došly dostupné IP adresy, bylo přiděleno téměř všech 4,3 miliard IPv4 adres. Proto je nutné přejít na nové schéma adresování, které má mnohem větší adresní prostor. Zavádění IPv6 je však pomalé a mnoho služeb a dokonce i poskytovatelé internetových služeb jej nepodporují.
Bohužel, pokud poskytovatel VPN nepodporuje IPv6, může to skončit ignorováním, v tom okamžiku vaše zařízení může odesílat a přijímat provoz IPv6 mimo VPN, i když jste údajně připojeni a chráněný. Správný postup je, že poskytovatel VPN buď zablokuje veškerý provoz IPv6, aby opustil vaše zařízení, nebo aby podporoval protokol IPv6 a směroval jej také přes VPN. Můžete otestovat, zda vaše adresa IPv6 uniká pomocí webů, jako je ipv6leak.com.
DNS nebo Domain Name System je protokol používaný k překladu lidsky čitelných adres URL na IP adresu serveru. Je zklamáním, že VPN mají historii umožňující únik požadavků DNS z připojení VPN. DNS je protokol ve formátu prostého textu, což znamená, že není šifrovaný. To znamená, že i když změníte preferovaný server DNS mimo server, který poskytuje váš ISP, váš ISP může stále číst a sledovat, jaké webové stránky prohlížíte prostřednictvím vašeho provozu DNS.
Všechny protokoly, které odesílají data na internet, včetně DNS, by měly být směrovány přes VPN. To umožňuje šifrování tunelu VPN, aby byla vaše data DNS chráněna před snoopingem. Můžete otestovat, zda vaše požadavky DNS unikají s weby, jako je dnsleaktest.com.
WebRTC nebo Web Real-Time Communication je rozhraní API založené na prohlížeči používané pro připojení peer-to-peer. Bohužel může uniknout vaší skutečné IP adrese druhé straně, i když používáte VPN. Blokování WebRTC je proto dobrý nápad. Některé VPN nabídnou možnost jej zablokovat, jiné ne. WebRTC můžete v případě potřeby zablokovat pomocí jiných programů, například rozšíření prohlížeče „uBlock Origin“ pro blokování reklam obsahuje nastavení pro blokování WebRTC. Můžete otestovat, zda WebRTC neuniká vaši IP adresu na webových stránkách, jako je browserleaks.com/webrtc.