Kui kasutate oma Android-telefonis VPN-i, teete seda tõenäoliselt seetõttu, et soovite, et teie sirvimisandmed oleksid võimalikult privaatsed ja turvalised. Sellisena soovite VPN-i parimate saadaolevate sätetega. Võib olla raske teada ja mõista, millised seaded on tõesti olulised, seetõttu oleme koostanud Androidi parimate VPN-seadete loendi ja selgitanud, mida need teevad.
Krüpteerimine ja VPN-protokoll
Kaks kõige olulisemat seadet VPN-ühenduse turvalisena hoidmiseks on VPN-protokoll ja krüpteerimisalgoritm.
Parim VPN-protokoll, mida saate kasutada, on OpenVPN, see on standardne VPN-protokoll, kuna see toetab parimat saadaolevat krüptimist ja on hästi arenenud protokoll. Kaks teist VPN-protokolli, mis pakuvad samaväärset turbetaset, kuid mida pole veel nii põhjalikult analüüsitud, on Catapult Hydra ja WireGuard. Võimaluse korral peaksite vältima VPN-protokolle PPTP ja L2TP, kuna need on mõlemad vanad ja nõrga turvalisusega.
Parim hetkel saadaolev krüpteering on 256-bitine AES-GCM šifr, kuigi 256-bitine AES-CBC šifr pakub samaväärset turvalisust ka aeglasema kiirusega. AES on lühend sõnadest Advanced Encryption Standard ja see on tegelik šifr, mida kasutatakse andmete krüptimiseks. GCM ja CBC on šifri töörežiimid, CBC-d saab paralleelselt või mitme lõimega ühendada ainult siis, kui andmete dekrüpteerimisel saab GCM-i aga krüptimisel ja dekrüpteerimisel paralleelstada, seega ka jõudlus eelis.
256-bitine viitab krüpteerimisvõtme suurusele ja sellel olevate võimalike väärtuste arvule. 256-bitise saab kirjutada ka kui 2^256 või 2, mis on korrutatud iseendaga 256 korda. Kui võimalike krüpteerimisvõtmete koguarv kirjutada välja täismahus, algaks see 1-ga ja selle järel oleks 77 nulli. Kui panna see arv perspektiivi, usuvad teadlased, et see on ligikaudu võrdne vaadeldava universumi aatomite arvuga. Isegi kui teil oleks olnud sajandeid pühendatud juurdepääs superarvutitele, poleks tõenäoline, et te AES-i rikkuda.
WireGuardi protokoll kasutab krüptimiseks teistsugust šifrikomplekti ChaCha20. ChaCha20 on tugevuselt võrdväärne 256-bitise AES-iga, olles samal ajal isegi kiiremini töödeldav, kuid see on ka uuem ja vähem põhjalikult uuritud.
Üks viimane krüpteerimisvõimalus on PFS või Perfect Forward Secrecy. PFS on seade, mis muudab regulaarselt kasutatavat krüpteerimisvõtit. See tähendab, et kui teie krüpteerimisvõti oleks kunagi ohustatud, suudab see dekrüpteerida vaid väikese hulga andmeid. Pole põhjust mitte kasutada PFS-i, kui see on saadaval.
Tapmise lüliti
VPN-i tapmislülitit kasutatakse teie seadme Interneti-ühenduse katkestamiseks, kui see tuvastab Interneti-ühenduse katkemise. See kaitseb teid kõigi teie sirvimisandmete lekkimise eest VPN-ist, kui te ei märka, et see on katkenud.
VPN-i tapmislüliti võib olla kasulik kõigile, kuid see on eriti kasulik mobiilseadmete jaoks, mis saavad regulaarselt võrke vahetada, mis suurendab VPN-ühenduse probleemide ohtu.
Lekke vältimine
VPN-i tapmislüliti hoiab ära üldise andmelekete, kuid mõned protokollid on lekkinud teavet, mida saab kasutada teie tuvastamiseks või teie tegevuse jälgimiseks. Peamised süüdlased on IPv6, DNS ja WebRTC.
IPv6 on uuendus IPv4 aadressiskeemile, mida kasutatakse kõigi Internetis olevate seadmete kordumatuks adresseerimiseks. IPv4-l on nüüd sisuliselt saadaolevad IP-aadressid otsa, peaaegu kõik 4,3 miljardit IPv4-aadressi on määratud. Seetõttu on vaja üle minna uuele adresseerimisskeemile, millel on palju suurem aadressiruum. IPv6 kasutuselevõtt on aga olnud aeglane ning paljud teenused ja isegi Interneti-teenuse pakkujad seda ei toeta.
Kahjuks, kui VPN-i pakkuja IPv6-d ei toeta, võivad nad seda kahjuks ignoreerida, misjärel teie seade võib saata ja vastu võtta IPv6-liiklust väljaspool VPN-i isegi siis, kui olete väidetavalt ühendatud ja kaitstud. Õige toiming on see, et VPN-i pakkuja blokeerib kogu IPv6-liikluse teie seadmest lahkumise või toetab IPv6-d ja suunab selle ka VPN-i kaudu. Saate testida, kas teie IPv6-aadress lekib selliste saitidega nagu ipv6leak.com.
DNS või domeeninimesüsteem on protokoll, mida kasutatakse inimesele loetavate URL-ide tõlkimiseks serveri IP-aadressiks. Pettumust valmistav on see, et VPN-id on varem lubanud DNS-i päringutel VPN-ühendusest välja lekkida. DNS on lihttekstiprotokoll, mis tähendab, et see pole krüptitud. See tähendab, et isegi kui muudate eelistatud DNS-serverit oma Interneti-teenuse pakkujast eemal, saab teie Interneti-teenuse pakkuja ikkagi lugeda ja jälgida, milliseid veebisaite te oma DNS-liikluse kaudu sirvite.
Kõik protokollid, mis saadavad andmeid Internetti, sealhulgas DNS, tuleks suunata VPN-i kaudu. See võimaldab VPN-tunneli krüptimist kaitsta teie DNS-i andmeid nuhkimise eest. Saate testida, kas teie DNS-päringud lekivad selliste veebisaitidega nagu dnsleaktest.com.
WebRTC ehk Web Real-Time Communication on brauseripõhine API, mida kasutatakse peer-to-peer ühenduste jaoks. Kahjuks võib see teie tegeliku IP-aadressi teisele osapoolele lekkida, isegi kui kasutate VPN-i. Seetõttu on WebRTC blokeerimine hea mõte. Mõned VPN-id pakuvad võimalust seda blokeerida, teised mitte. Vajadusel saate WebRTC-d blokeerida teiste programmidega, näiteks sisaldab reklaame blokeeriv brauserilaiend "uBlock Origin" seadistust WebRTC blokeerimiseks. Saate testida, kas WebRTC lekib teie IP-aadressi sellistel veebisaitidel nagu browserleaks.com/webrtc.