vpn-encryption-image

VPN 암호화

Private Internet Access는 오픈 소스, 업계 표준 OpenVPN을 사용해서 VPN 터널을 제공합니다. OpenVPN은 암호화와 관련된 많은 옵션을 갖고 있습니다. 사용자는 본인의 VPN 세션에서 원하는 암호화 수준을 선택할 수 있습니다. 당사는 가장 합리적인 기본값을 선택해서 대부분의 사용자에게 추천합니다. 하지만 사용자들은 본인의 선택을 할 수 있는 자유가 있음을 알려드립니다.

icon-suggested-encryption 추천 암호화 설정

기본 권장 보호

데이터 암호화: AES-128

데이터 인증: SHA1

핸드셰이크: RSA-2048

속도 중시 안전 방치

데이터 암호화: 없음

데이터 인증: 없음

핸드셰이크: ECC-256k1

최대 보호

데이터 암호화: AES-256

데이터 인증: SHA256

핸드셰이크: RSA-4096

위험한 비즈니스

데이터 암호화: AES-128

데이터 인증: 없음

핸드셰이크: RSA-2048


icon-data-encryption 데이터 암호화:

대칭형 암호화 알고리듬으로서 이를 사용해 사용자의 모든 데이터를 암호화 및 해독합니다. 대칭형 암호화는 사용자 및 서버 사이에 공유되는 임시 비밀 키를 사용합니다. 이 비밀 키는 핸드셰이크 암호화로 교환됩니다.

AES-128

CBC 모드에서의 고급 암호화 표준 (128 비트).
이 모드는 가장 빠른 암호화 모드입니다.

AES-256

CBC 모드에서의 고급 암호화 표준(256 비트).

없음

암호화 없음. 모든 데이터는 암호화되지 않습니다. 로그인 정보는 암호화됩니다. IP는 여전히 은폐됩니다. IP 주소만 숨기면서 최상의 성능을 원할 경우 유용한 옵션입니다. SOCKS 프록시와 비슷하지만 사용자 이름 및 비밀번호를 유출하지 않는 장점이 있습니다.


icon-data-authentication 데이터 인증:

메시지 인증 알고리듬으로서 이를 사용해 사용자의 모든 데이터를 인증합니다. 이는 적극적 공격으로부터 사용자를 보호할 때만 사용됩니다. 적극적 공격에 대한 우려가 없으면 데이터 인증을 해제할 수 있습니다.

SHA1

보안 해시 알고리듬(160 비트)을 사용하는 HMAC.
이 모드는 가장 빠른 인증 모드입니다.

SHA256

보안 해시 알고리듬(256 비트)를 사용하는 HMAC

없음

인증 없음. 암호화된 데이터는 인증되지 않습니다. 적극적 공격자는 잠재적으로 사용자의 데이터를 수정 또는 해독할 수 있습니다. 소극적 공격자에게는 해당 사항이 없습니다.


icon-handshake-encryption 핸드셰이크 암호화

이것은 보안 연결을 수립할 때 사용되는 암호화로서 사용자가 정말로 Private Internet Access VPN 서버와 통신하고 있으며 공격자의 서버로 연결이 유도되고 있지 않음을 확인합니다. 당사는 TLS v1.2를 사용해서 이 연결을 수립합니다. 당사의 모든 인증서는 서명에 SHA512를 사용합니다.

RSA-2048

2048bit 임시 디피-헬만(DH) 키 교환 및 Private Internet Access 서버와 정말로 키 교환이 발생했는지 확인하는 2048 비트 RSA 인증서.

RSA-3072

RSA-2048과 같지만 키 교환 및 인증서의 경우 3072 비트.

RSA-4096

RSA-2048과 같지만 키 교환 및 인증서의 경우 4096 비트.

ECC-256k1 icon-warning

임시 타원곡선 DH 키 교환 및 Private Internet Access 서버와 정말로 키 교환이 발생했는지 확인하는 ECDSA 인증서. secp256k1 (256 비트) 곡선은 두 경우 모두에 사용됨. 이것은 비트코인이 거래 서명에 사용하는 것과 같은 곡선입니다.

ECC-256r1 icon-warning

ECC-256k1과 같지만 prime256v1 (256 비트 곡선, 키 교환 및 인증서 모두에 사용되는 secp256r1)이라고도 알려짐.

ECC-521 icon-warning

ECC-256k1과 같지만 키 교환 및 인증서 모두에 사용되는 secp521r1 (521 비트).


icon-warning 경고

당사는 다음 세 가지 경우에 경고를 표시합니다.

최근 NSA에 관한 새로운 사실들은 미국의 표준 기관들이 인정한 타원곡선의 일부 또는 전부에 NSA의 해킹을 더 용이하게 하는 백도어가 있을 수 있다는 우려를 제기합니다. 서명 및 키 교환에 사용된 곡선에 이와 관련된 증거는 없으므로 많은 전문가가 그 가능성을 부정합니다. 그래서 당사는 이 옵션을 사용자에게 제공하지만 사용자가 타원곡선 설정을 선택할 경우 언제나 경고를 표시합니다. 또한 비트코인이 사용하고 다른 곡선들과 달리 NIST가 아닌 Certicom(캐나다 회사)이 개발한, 덜 표준적인 곡선인 secp256k1도 포함되어 있는데 백도어를 숨길 장소가 더 적은 것으로 보입니다.
ECC를 사용하는 난수 생성기에 백도어가 있었다는 강력한 증거가 있지만 널리 사용되지는 않았습니다.


icon-glossary 용어

적극적 공격

적극적 공격은 공격자가 사용자의 VPN 세션에 데이터를 수정 또는 삽입할 수 있는 위치인, 사용자와 VPN 서버 '사이'에 개입한 공격입니다. OpenVPN은 사용자가 데이터 암호데이터 인증 모두를 사용하는 한 적극적 공격으로부터 보호하도록 만들어졌습니다.

소극적 공격

소극적 공격은 공격자가 네트워크를 통과하는 모든 데이터를 단순히 기록만 하고 데이터를 수정하거나 새로운 데이터를 삽입하지 않는 공격입니다. 소극적 공격자의 예로 모든 네트워크 트래픽에 대해 저인망식 획득 및 저장을 하지만 개입하거나 수정하지 않는 단체를 들 수 있습니다. 사용자가 데이터 인증을 사용하는 한 소극적 공격자들에 대해 OpenVPN 세션은 안전합니다.

임시 키

임시 키는 무작위로 생성되어 일정 시간 동안만 사용되고 그 후에는 버려지고 안전하게 삭제되는 암호화 키입니다. 임시 키 교환은 이 키들이 생성 및 교환되는 과정입니다. 디피-헬만(Diffie-Hellman)은 이 교환을 수행하는 데 사용되는 알고리듬입니다. 임시 키는 사용 후 버리면 암호화된 데이터, 클라이언트, 서버 모두에 완전한 액세스 권한을 획득하더라도 이를 사용해 암호화된 데이터를 아무도 해독할 수 없다는 생각에 바탕을 둡니다.