אם אתה מפעיל VPN בטלפון האנדרואיד שלך, סביר להניח שאתה עושה זאת מכיוון שאתה רוצה שנתוני הגלישה שלך יהיו פרטיים ומאובטחים ככל האפשר. ככזה אתה רוצה VPN עם ההגדרות הטובות ביותר הזמינות. זה יכול להיות קשה לדעת ולהבין אילו הגדרות חשובות באמת, אז ריכזנו רשימה של הגדרות ה-VPN הטובות ביותר עבור אנדרואיד והסברנו מה הן עושות.
הצפנה ופרוטוקול VPN
שתי ההגדרות החשובות ביותר הכרוכות בשמירה על אבטחת חיבור ה-VPN שלך הן פרוטוקול ה-VPN ואלגוריתם ההצפנה.
פרוטוקול ה-VPN הטוב ביותר שאתה יכול להשתמש בו הוא OpenVPN, זהו פרוטוקול ה-VPN הסטנדרטי מכיוון שהוא תומך בהצפנה הזמינה הטובה ביותר והוא פרוטוקול מפותח היטב. שני פרוטוקולי VPN אחרים שמציעים רמות אבטחה שוות אך עדיין לא נותחו בצורה יסודית הם Catapult Hydra ו-WireGuard. במידת האפשר, עליך להימנע מפרוטוקולי VPN PPTP ו-L2TP מכיוון ששניהם ישנים ובעלי אבטחה חלשה.
ההצפנה הטובה ביותר הזמינה כרגע היא צופן AES-GCM של 256 סיביות, אם כי צופן AES-CBC של 256 סיביות מציע אבטחה מקבילה במהירות איטית יותר. AES הוא קיצור של Advanced Encryption Standard והוא הצופן בפועל המשמש להצפנת נתונים. GCM ו-CBC הם אופני פעולה עבור הצופן, ניתן להקביל את CBC רק כאשר עם זאת, פענוח נתונים, GCM, יכול להיות מקביל בעת הצפנה ופענוח, ומכאן הביצועים יתרון.
256 סיביות מתייחס לגודל מפתח ההצפנה ולמספר הערכים האפשריים שיכולים להיות לו. ניתן לכתוב 256 סיביות גם כ-2^256 או 2 כפול 256 פעמים. אם המספר הכולל של מפתחות ההצפנה האפשריים היה כתוב במלואו, הוא יתחיל ב-1 ויש לו 77 אפסים אחריו, כדי שים את המספר הזה בפרספקטיבה, מדענים מאמינים שזה שווה ערך למספר האטומים ביקום הנצפה. גם אם הייתה לך גישה ייעודית למחשבי-על במשך מאות שנים, עדיין לא היית צפוי לשבור את AES.
פרוטוקול WireGuard משתמש בחבילת צופן אחרת, ChaCha20 כדי לבצע את ההצפנה שלו. ChaCha20 שווה ערך בעוצמתו ל-AES של 256 סיביות בעוד שהוא מהיר עוד יותר לעיבוד, עם זאת, הוא גם חדש יותר ונחקר פחות לעומק.
אפשרות הצפנה אחרונה היא PFS או Perfect Forward Secrecy. PFS היא הגדרה שמשנה באופן קבוע את מפתח ההצפנה שבו נעשה שימוש. משמעות הדבר היא שאם מפתח ההצפנה שלך נפגע אי פעם, הוא יוכל לפענח רק כמות קטנה של נתונים. אין סיבה לא להשתמש ב-PFS אם הוא זמין.
מתג כיבוי
מתג הרג VPN משמש לניתוק חיבור האינטרנט של המכשיר שלך אם הוא מזהה שהוא התנתק מהאינטרנט. זה מגן עליך מפני דליפת כל נתוני הגלישה שלך מה-VPN שלך אם אתה לא שם לב שהוא התנתק.
מתג הרג VPN יכול להיות שימושי לכולם אבל הוא שימושי במיוחד עבור מכשירים ניידים שיכולים להחליף רשתות באופן קבוע, מה שמגביר את הסיכון לבעיות בחיבור VPN.
מניעת דליפות
מתג הרג VPN מונע דליפה כללית של נתונים, עם זאת, ישנם כמה פרוטוקולים שיש להם היסטוריה של דליפת מידע שיכול לשמש כדי לזהות אותך או לעקוב אחר הפעילות שלך. האשמים העיקריים הם IPv6, DNS ו-WebRTC.
IPv6 הוא עדכון לסכימת הכתובות IPv4 המשמשת למתן מענה ייחודי לכל המכשירים באינטרנט. כעת למעשה אזלו ל-IPv4 כתובות IP זמינות, כמעט כל 4.3 מיליארד כתובות ה-IPv4 הוקצו. ככזה יש צורך לעבור לסכימת הכתובות החדשה שיש לה מרחב כתובות גדול בהרבה. אולם קליטת ה-IPv6 הייתה איטית, ושירותים רבים ואפילו ספקי שירותי אינטרנט אינם תומכים בכך.
למרבה הצער, אם ספק VPN אינו תומך ב-IPv6, הוא עלול בסופו של דבר להתעלם ממנו, ובשלב זה, המכשיר יכול לשלוח ולקבל תעבורת IPv6 מחוץ ל-VPN גם כאשר אתה כביכול מחובר ו מוּגָן. ההליך הנכון הוא שספק ה-VPN יחסום את כל תעבורת ה-IPv6 מלעזוב את המכשיר שלך או יתמוך ב-IPv6 ולנתב אותה גם דרך ה-VPN. אתה יכול לבדוק אם כתובת ה-IPv6 שלך דולפת עם אתרים כמו ipv6leak.com.
DNS או Domain Name System הוא הפרוטוקול המשמש לתרגום כתובות URL קריאות על ידי אדם לכתובת ה-IP של השרת. למרבה האכזבה, ל-VPN יש היסטוריה של מתן אפשרות לבקשות DNS לדלוף מתוך חיבור ה-VPN. DNS הוא פרוטוקול טקסט פשוט, כלומר אינו מוצפן. המשמעות היא שגם אם תשנה את שרת ה-DNS המועדף עליך, הרחק משרת ה-DNS המועדף עליך, ספק האינטרנט שלך עדיין יכול לקרוא ולעקוב אחר אתרי האינטרנט אליהם אתה גולש דרך תעבורת ה-DNS שלך.
כל הפרוטוקולים ששולחים נתונים לאינטרנט, כולל DNS, צריכים להיות מנותבים דרך ה-VPN. זה מאפשר את ההצפנה של מנהרת ה-VPN כדי להגן על נתוני ה-DNS שלך מפני חטטנות. אתה יכול לבדוק אם בקשות ה-DNS שלך דולפות עם אתרים כמו dnsleaktest.com.
WebRTC או Web Real-Time Communication הוא API מבוסס דפדפן המשמש לחיבורי עמית לעמית. למרבה הצער, זה יכול להדליף את כתובת ה-IP האמיתית שלך לצד השני, גם אם אתה משתמש ב-VPN. לכן, חסימת WebRTC היא רעיון טוב. כמה VPNs יציעו את היכולת לחסום אותו, אחרים לא. אתה יכול לחסום את WebRTC עם תוכניות אחרות במידת הצורך, לדוגמה, הרחבת הדפדפן חוסמת המודעות "uBlock Origin" כוללת הגדרה לחסימת WebRTC. אתה יכול לבדוק אם WebRTC מדליף את כתובת ה-IP שלך באתרים כמו browserleaks.com/webrtc.