Private Internet Access ใช้ OpenVPN ซึ่งเป็น VPN โอเพนซอร์สคุณภาพระดับมาตรฐานอุตสาหกรรมเพื่อให้บริการท่อ VPN ที่ปลอดภัยโดยค่าเริ่มต้น OpenVPN นั้นมีตัวเลือกสำหรับการเข้ารหัสมากมาย ผู้ใช้ของเรานั้นสามารถเลือกระดับของการเข้ารหัสสำหรับเซสชั่น VPN ที่เขาต้องการได้ เราได้ทดลองเลือกค่าเริ่มต้นที่ดีที่สุดและเราแนะนำให้ผู้ใช้ส่วนใหญ่ใช้ตัวเลือกดังกล่าว อย่างไรก็ตาม เราอยากจะแจ้งให้ผู้ใช้งานของเราได้ทราบ และมอบอิสระในการเลือกระดับการเข้ารหัสได้ตามที่พวกเขาต้องการ ผู้ใช้ Private Internet Access สามารถเลือกว่าจะใช้ WireGuard® เป็นท่อ VPN ได้
การเข้ารหัสข้อมูล: AES-128
การยืนยันข้อมูล: SHA1
แบบจับมือ: RSA-2048
การเข้ารหัสข้อมูล: ไม่มี
การยืนยันข้อมูล: ไม่มี
แบบจับมือ: ECC-256k1
การเข้ารหัสข้อมูล: AES-256
การยืนยันข้อมูล: SHA256
แบบจับมือ: RSA-4096
การเข้ารหัสข้อมูล: AES-128
การยืนยันข้อมูล: ไม่มี
แบบจับมือ: RSA-2048
นี่คืออัลกอริทึมการเข้ารหัสแบบสมมาตรซึ่งข้อมูลทั้งหมดของคุณจะถูกเข้ารหัสและถอดรหัส รหัสสมมาตรนั้นจะถูกใช้พร้อมกับรหัสลับแบบ ชั่วคราว ซึ่งถูกแชร์ร่วมกันระหว่างคุณและเซิร์ฟเวอร์ รหัสลับนี้จะถูกแลกเปลี่ยนด้วย การเข้ารหัสแบบจับมือ (Handshake Encryption).
Advanced Encryption Standard (128- บิต) ในโหมด CBC
นี่เป็นวิธีการเข้ารหัสที่ เร็วที่สุด
Advanced Encryption Standard (256-บิต) ในโหมด CBC
ไม่มีการเข้ารหัส. ข้อมูลของคุณจะไม่ถูกเข้ารหัส ข้อมูลสำหรับเข้าสู่ระบบ จะ ถูกเข้ารหัส และ IP ของคุณจะยังคงถูกซ่่อน นี่อาจจะเป็นตัวเลือกที่เหมาะสมหากคุณต้องการประสิทธิภาพสูงสุด และเพียงต้องการซ่อนไอพีแอดเดรสของคุณเท่านั้น ซึ่งจะคล้ายกับการทำงานของพร็อกซี่ SOCKS ที่เพิ่มเติมด้วยการป้องกันการรั่วไหลของชื่อผู้ใช้และรหัสผ่าน
นี่คืออัลกอริทึมสำหรับยืนยันข้อความ ซึ่งข้อมูลทั้งหมดของคุณจะถูกยืนยันด้วยอัลกอริทึมนี้ โดยจะมีการใช้งานเพื่อปกป้องคุณจาก การโจมตีแบบแอคทีฟ เท่านั้น หากคุณไม่ได้กังวลเกี่ยวกับผู้โจมตีเหล่านั้น คุณสามารถปิดการยืนยันข้อมูลได้
HMAC ที่ใช้Secure Hash Algorithm (160-บิต)
นี่เป็นโหมดการยืนยันที่ เร็วที่สุด
HMAC ที่ใช้ Secure Hash Algorithm (256-บิต)
ไม่มีการยืนยัน. ข้อมูลที่เข้ารหัสของคุณจะไม่ได้รับการยืนยัน ผู้โจมตีแบบแอคทีฟ จึงสามารถแก้ไขหรือถอดรหัสข้อมูลของคุณได้ ซึ่งนี่จะไม่เปิดโอกาสให้กับผู้โจมตีแบบพาสซีฟ.
นี่คือการเข้ารหัสที่ถูกใช้เพื่อสร้างการเชื่อมต่อที่ปลอดภัย และยืนยันว่าคุณนั้นกำลังติดต่อกับเซิร์ฟเวอร์ VPN ของ Private Internet Access อยู่จริง และไม่ได้กำลังถูกหลอกให้เชื่อมต่อกับเครื่องของผู้โจมตี โดยเราใช้ TLS v1.2 เพื่อสร้างการเชื่อมต่อนี้ โดยใบรับรองทั้งหมดของเราใช้ SHA512 ในการเซ็น
2048bit การแลกเปลี่ยนกุญแจชั่วคราวแบบ Diffie-Hellman (DH) และใบรับรอง 2048-บิตRSA สำหรับยืนยันว่าการแลกเปลี่ยนกุญแจเกิดขึ้นจริงในเซิร์ฟเวอร์ของ Private Internet Access
เหมือน RSA-2048 แต่ใช้ 3072-บิต สำหรับการแลกเปลี่ยนกุญแจและใบรับรอง
เหมือน RSA-2048 แต่ใช้ 4096-บิต สำหรับการแลกเปลี่ยนกุญแจและใบรับรอง
การแลกเปลี่ยนกุญแจชั่วคราว Elliptic Curve DH และใบรับรอง ECDSA สำหรับยืนยันว่าการแลกเปลี่ยนกุญแจเกิดขึ้นจริงในเซิร์ฟเวอร์ของ Private Internet Access Curve secp256k1 (256-บิต) นั้นถูกใช้งานสำหรับทั้งคู่ นี่เป็น curve เดียวกันกับที่Bitcoin ใช้เพื่อเซ็นรับรองธุรกรรมต่างๆ
เราจะแสดงคำเตือนใน 3 กรณี:
การเปิดเผยในเร็วๆ นี้ของ NSA ได้ยกประเด็นด้านความปลอดภัยที่ว่า Elliptic Curves จำนวนมากหรือเป็นไปได้ว่าทั้งหมดที่ผ่านมาตรฐานของสหรัฐอเมริกาอาจจะมีวิถีทางที่ผิดกฎหมายซึ่งอนุญาตให้ NSA เจาะเข้าไปได้ง่ายขึ้น โดยยังไม่มีหลักฐานในเรื่องนี้สำหรับ Curve ที่ใช้ในการลงลายเซ็นและการแลกเปลี่ยนรหัส † และผู้เชี่ยวชาญบางท่านก็มีความเห็นว่าไม่น่าจะเป็นไปได้ ดังนั้นเราจึงเพิ่มตัวเลือกให้แก่ผู้ใช้ แต่ก็แสดงคำเตือนทุกครั้งที่คุณเลือกการตั้งค่า Elliptic Curve นอกจากนี้ เรายังได้รวม standard curve secp256k1 ที่ถูกใช้งานโดยบิตคอยน์และสร้างขึ้นโดย Certicom (บริษัทสัญชาติแคนาดา) ไม่ใช่ NIST (เหมือน curves อื่นๆ) และดูเหมือนว่าจะมี ที่สำหรับซ่อนวิถีลับน้อยกว่า
†
มีหลักฐานที่ชัดเจนว่า ระบบสุ่มตัวเลขที่ใช้ ECC นั้นถูกใช้วิถีทางที่ผิดกฎหมาย แต่ก็ไม่ได้เป็นที่นิยมในการใช้มากนัก
การโจมตีแบบแอคทีฟ คือการโจมตีในรูปแบบที่ผู้โจมตีนั้นเข้าไปแทรกกลาง "ระหว่าง" คุณและเซิร์ฟเวอร์ VPN โดยอยู่ในตำแหน่งที่พวกเขาสามารถ แก้ไข หรือสอดแทรก ข้อมูลในเซสชั่น VPN ของคุณ. OpenVPN นั้นถูกออกแบบเพื่อให้ปลอดภัยจากการโจมตีแบบแอคทีฟ ตราบใดที่คุณใช้ทั้ง การเข้ารหัสข้อมูล และ การยืนยันข้อมูล.
การโจมตีแบบพาสซีฟ คือการโจมตีในรูปแบบที่ผู้โจมตีทำการบันทึกข้อมูลที่ถูกส่งผ่านเครือข่ายทั้งหมด แต่ไม่ได้แก้ไขหรือสอดแทรกข้อมูลใหม่เข้าไป ตัวอย่างของผู้โจมตีรูปแบบนี้ก็คือหน่วยที่ทำการดักจับและเก็บข้อมูลในเครือข่ายทั้งหมด แต่ไม่ได้ยุ่งหรือแก้ไขใดๆ ตราบใดที่คุณทำ การเข้ารหัสข้อมูล เซสชั่น OpenVPN ของคุณก็จะปลอดภัยจากผู้โจมตีแบบพาสซีฟ
กุญแจชั่วคราว คือกุญแจสำหรับเข้ารหัสที่ถูกสร้างขึ้นมาโดยการสุ่ม และจะใช้ในเวลาที่จำกัดเท่านั้น จากนั้นจะถูกลบทิ้งอย่างปลอดภัย กระบวนการแลกเปลี่ยนกุญแจชั่วคราวนั้นเป็นขั้นตอนที่กุญแจเหล่านี้จะถูกสร้างและแลกเปลี่ยน Diffie-Hellman เป็นอัลกอริทึมที่ใช้ในการทำการแลกเปลี่ยนนี้ โดยแนวคิดที่อยู่เบื้องหลังการใช้กุญแจชั่วคราวนี้ก็คือ เมื่อคุณใช้เสร็จแล้วและโยนทิ้งไป จะต้องไม่มีใครที่สามารถถอดรหัสข้อมูลที่เข้ารหัสได้ ถึงแม้ว่าพวกเขาจะหาทางเจาะจนได้สิทธิ์ในการเข้าถึงข้อมูลที่เข้ารหัสทั้งหมดทั้งบนไคลเอนต์และเซิร์ฟเวอร์ก็ตาม.