VPN-Verschlüsselung: Was das ist und wie es funktioniert
VPNs (Virtual Private Networks) bieten dank den verschiedenen Verschlüsselungen, Protokolle und Chiffren, die ein VPN nutzt, eine sichere Verbindung über das Internet.
Dieser Verschlüsselungstechniken stellen sicher, dass deine Online-Verbindung und die übertragenen Daten sicher vor neugierigen Augen wie von Hackern und selbst vor der Regierung sind.
Nicht jedes kommerzielle VPN skizziert die technischen Details seiner Sicherheits- und Verschlüsselungstechnologie öffentlich.
Dementsprechend ist es schwierig, zu verstehen, wie ein VPN deine Online-Verbindung schützt – auch vor unbefugten Parteien.
Nichtsdestotrotz erfährst du in diesem Artikel alle Details über VPN-Verschlüsselung auf vereinfachte Art und Weise.
Dazu zählen die Arten der Verschlüsselung, die Chiffren und Protokolle, die ein VPN nutzt, um deine Verbindung und Daten zu schützen.
Kurze Zusammenfassung
Ein VPN nutzt die Kryptografie, die die Sicherung von Informationen durch Konzepte wie Verschlüsselung und Entschlüsselung umfasst.
Die Verschlüsselung beinhaltet die Konvertierung von Klartext (lesbare Information) in einen Geheimtext oder Ciphertext (nicht lesbare Information) mittels eines Schlüssels.
Bei der Entschlüsselung ist das Gegenteil der Fall – die Umwandlung von Geheimtext in Klartext mittels eines Schlüssels.
Der Kryptografie-Prozess sieht einfach aus, aber er umfasst andere Konzepte, die ineinandergreifen, um Vertraulichkeit, Integrität, Authentifizierung und alle Sicherheitsdetails zu gewährleisten, die deine Informationen und deine Verbindung sicher machen.
Dazu zählen Verschlüsselungsalgorithmen, Verschlüsselungs-Chiffren, Handshake-Verschlüsselung, HMAC-Authentifizierung, Perfect Forward Secrecy und VPN-Protokolle.
Ohne weitere Umschweife, fangen wir an!
Gängige VPN-Verschlüsselungsalgorithmen und -techniken
Das sind die gängigsten Arten von Verschlüsselungstechniken, die VPNs nutzen, um deinen Online-Datenverkehr und deine Verbindung zu schützen:
Private Key Encryption (symmetrisch)
Bei der symmetrischen Verschlüsselung müssen beide Kommunikationspartner über denselben Schlüssel verfügen, um den Klartext zu verschlüsseln und den Ciphertext zu entschlüsseln.
Die meisten VPNs nutzen diesen Verschlüsselungsalgorithmus. Darüber hinaus wird die symmetrische Verschlüsselung von Chiffren wie AES (Advanced Encryption Standard) und Blowfish eingesetzt.
Public Key Encryption (asymmetrisch)
Die asymmetrische Verschlüsselung verwende zwei Schlüssel, einen öffentlichen und einen privaten Schlüssel (Public und Private Key). Der öffentliche Schlüssel wird genutzt, um Klartext zu verschlüsseln, allerdings kann nur der private Schlüssel den Ciphertext entschlüsseln.
Bei der asymmetrischen Verschlüsselung müssen die meisten Nutzer den öffentlichen Schlüssel besitzen, aber nur die autorisierte Partei kann den privaten Schlüssel für die Entschlüsselung haben.
Handshake-Verschlüsselung
Ein Handshake ist ein Verhandlungsprozess, der es den kommunizierenden Parteien erlaubt, sich gegenseitig zu bestätigen und sich auf die zu verwendenden Verschlüsselungsalgorithmen oder Schlüssel zu einigen.
In den meisten Fällen wird der RSA-Algorithmus (Rivest-Shamir-Adleman) bei der Handshake-Verschlüsselung verwendet. Andere VPNs nutzen auch den ECDH-Schlüsselaustausch (Elliptic-Curve Diffie-Hellman).
RSA-2048 oder höher ist schwer zu knacken und wird von den meisten Anbietern als sicher angesehen. RSA nutzt eine einfache Transformation und ist sehr langsam. Aus diesem Grund wird es für Handshakes eingesetzt und nicht zum Schutz von Daten.
ECDH (Elliptic-Curve Diffie-Hellman) ist eine Verbesserung gegenüber der DH-Handshake-Verschlüsselung (Diffie-Hellman). DH verwendet eine begrenzte Anzahl an Primzahlen, was es angreifbar macht.
Secure Hash Algorithm (SHA)
Der Secure Hash Algorithm (SHA) ist ein Hashing-Algorithmus, der verwendet wird, um Daten und SSL/TLS-Verbindungen zu authentifizieren.
Der Prozess wird durch einen eindeutigen Fingerabdruck verstärkt, der erstellt wird, um die Gültigkeit des TLS-Zertifikats zu prüfen und zu bestätigen, dass du dich mit dem richtigen VPN-Server verbindest.
Es ist wichtig zu erwähnen, dass ein digitaler Hacker ohne SHA deinen Online-Verkehr leicht zu seinem Server statt zu den Ziel-VPN-Servern umleiten kann.
Hash-Based Message Authentication Code (HMAC)
Ein Hash-Based Message Authentication Code (HMAC, Hash-basierter Nachrichtenauthentifizierungscode) ist eine Art Message Authentication Code (MAC, Nachrichtenauthentifizierungscode), der eine kryptografische Hash-Funktion und einen geheimen kryptografischen Schlüssel verbindet.
Diese Technik wird verwendet, um Datenintegrität und Authentifizierung zu prüfen, sodass sichergestellt werden kann, dass sie intakt bleiben.
Die meisten guten VPNs nutzen für maximale Sicherheit häufig die Hashing-Algorithmen SHA neben einer MAC-Authentifizierung.
Perfect Forward Secrecy (PFS)
Perfect Forward Secrecy (PFS) ist eine geschickte Verschlüsselungstechnik, die von einer Reihe an Protokollen zur Schlüsselvereinbarung (in erster Linie RSA und ECDH) eingesetzt wird, um sicherzustellen, dass die Sitzungs-Schlüssel nicht kompromittiert werden, selbst wenn der private Schlüssel eines Servers kompromittiert wurde.
PFS generiert alle paar Sekunden neue Schlüssel, die zur Ver- und Entschlüsselung verwendet werden.
Chiffren
Ein Chiffre ist ein Algorithmus, den du für Verschlüsselung oder Entschlüsselung einsetzen kannst. Der Sicherheitsstandard eines Chiffres wird von sowohl der Länge des Schlüssels (128-Bit, 192-Bit oder 256-Bit) als auch von der Stärke der Algorithmen bestimmt.
Im Allgemeinen gilt: Je länger der Schlüssel, umso stärker die Chiffre. Das erfordert allerdings auch mehr Rechenleistung.
Folglich benötigt eine stärkere Chiffre mehr Zeit für die Ver- und Entschlüsselung von Daten. Deshalb versuchen die meisten VPN-Anbieter häufig, bei der Wahl der Verschlüsselung die Sicherheitsleistung auszubalancieren.
Es gibt eine bestimmte Anzahl an Chiffren, die VPN-Anbieter häufig für Verschlüsselung und Entschlüsselung nutzen.
Diese Chiffren werden als die sichersten in der Branche angesehen – sie umfassen Advanced Encryption Standard (AES), Blowfish und Camellia.
Advanced Encryption Standard (AES)
AES ist eine Private Key-Chiffre, die eine Reihe an Schlüsseln anbietet, einschließlich 128-Bit, 192-Bit und 256-Bit. AES gilt dank der Anerkennung durch die US-Regierung und die NIST-Zertifizierung als der „Goldstandard“ der VPN-Branche.
Die AES-Chiffre bietet auch Blockchiffre-Modi: Cipher Block Chaining (CBC) und Galois/Counter Mode (GCM).
Cipher Block Chaining verstärkt den Blockchiffre-Algorithmus mit dem vorherigen Block, daher der Name Chaining.
Das macht es dementsprechend schwer zu knacken, da jeder Ciphertext-Block von der Anzahl der Klartext-Blöcke abhängt. Das verlangsamt CBC hinsichtlich der Leistung.
Galois/Counter Mode nutzt die Transformations-Methodologien für Blockchiffren, anstatt sie zu verketten. Es kombiniert außerdem Hashing, um eine authentifizierte Verschlüsselung zu gewährleisten.
Dieser Modus bietet die schnellere Leistung mit hoher Sicherheit – selbst bei Geräten mit niedriger Rechenleistung. Allerdings nutzen immer weniger VPNs GCM, seit CBC sich weithin durchgesetzt hat.
Blowfish
Blowfish identifiziert sich als die offizielle Chiffre von OpenVPN. Dieses VPN-Protokoll nutzt primär Blowfish-128, obwohl andere Stufen bis hin zu 448 unterstützt werden.
Diese Chiffre wird als sicher angesehen, aber Studien zeigen, dass es auch einige Schwachstellen gibt. Deshalb empfehlen wir diese Option nur, wenn AES 256-Bit zur Auswahl steht.
Camellia
Camellia ist eine schnelle und sichere Chiffre, die Schlüsselgrößen von 128, 192 und 256 Bit unterstützt. Allerdings ist Camellia nur ISO-IEC-zertifiziert, nicht aber von NIST.
Das bedeutet, dass die Chiffre unter VPNs nicht so beliebt ist, wie sein Gegenstück AES.
Wenn dir die starke Bindung von AES zur US-Regierung nicht zusagt, ist Camellia eine Möglichkeit, die du in Betracht ziehen solltest. Bedenke aber, dass Camellia nicht so gründlich getestet wurde, wie AES.
VPN-Verschlüsselungsprotokolle
Das VPN-Verschlüsselungsprotokoll beschreibt, wie ein VPN einen sicheren Tunnel zwischen deinem Gerät und dem Zielserver erstellt. Allerdings verwenden die VPN-Anbieter unterschiedliche Verschlüsselungsprotokolle, um deine Verbindung und deinen Online-Datenverkehr zu schützen.
Die VPN-Verschlüsselungsprotokolle variieren in den Geschwindigkeiten, Sicherheitsstandards, Mobilität und der allgemeinen Leistung. Hier sind einige der am häufigsten verwendeten VPN-Verschlüsselungsprotokolle der Branche:
- IKEv2/IPSec: Sicher, stabil und sehr schnell
- OpenVPN: Erstklassig. Sehr sicher, stabil und ziemlich schnell
- WireGuard: ist ein Neuzugang in der VPN-Branche und bietet eine eindrucksvolle Balance zwischen Sicherheit, Zuverlässigkeit und schnellen Geschwindigkeiten
- SoftEther: ist ebenfalls neu am Markt und wird als sicher, stabil und schnell angesehen
Welche sind die besten VPN-Verschlüsselungsstandards?
VPNs bieten ihren Nutzern unterschiedliche Sicherheitsstandards.
Auch wenn es schwierig ist, die besten VPN-Verschlüsselungsstandards zu bestimmen, hier sind die grundlegenden technischen Details, auf die du bei einem VPN achten solltest:
- Schlüsselaustausch-Protokolle wie RSA-2048 oder ECDH
- Verschlüsselungscode-Länge von 256-Bit
- Chiffren auf Militärstandard wie AES (GCM/CBC), Blowfish oder Camellia
- Hochleistungs-VPN-Verschlüsselungsprotokolle wie OpenVPN, WireGuard, IKEv2/IPSec und SoftEther
- SHA-2-Chiffre für HMAC-Authentifizierung
- Unterstützung für Perfect Forward Secrecy
Abschließende Zusammenfassung
Die VPN-Verschlüsselung ist ein breites Konzept und kann schwierig zu verstehen sein. Dennoch hast du mit den Grundlagen von oben jetzt ein besseres Verständnis dessen, wie VPN-Verschlüsselung funktioniert.
Hier geht es um verschiedene Verschlüsselungsalgorithmen, Chiffren, Verschlüsselungsprotokolle und andere Techniken, die von verschiedenen VPN-Anbietern für die Sicherheit verwendet werden.
Wenn du skeptisch bist, ob du dich für den richtigen sicheren VPN-Dienst entscheiden kannst, schau dir den obigen Abschnitt zum besten VPN-Verschlüsselungsstandard an.
Denke daran, dass nicht alle VPNs deine Sicherheit und Privatsphäre im Blick haben; deshalb ist eine gründliche Recherche notwendig.
Häufig gestellte Fragen
Einige Leute fanden die Antworten auf diese Fragen hilfreich
Verschlüsselt ein VPN alles?
Ja, ein VPN verschlüsselt sämtliche Informationen, die du sendest und empfängst, während du das Internet nutzt. VPNs verschleiern außerdem deine tatsächliche IP-Adresse und weisen dir eine private IP-Adresse zu, die vom VPN-Server generiert wird, den du zum jeweiligen Zeitpunkt nutzt. So kannst du das Internet durchforsten, ohne dir ständig über die Schulter schauen zu müssen.
Was ist der Verschlüsselungsalgorithmus AES 256?
AES 256 ist ein Verschlüsselungsalgorithmus, der Private Key-Chiffren mit eine Schlüssellänge von 256-Bit verwendet. AES kann auch mit anderen Schlüsselgrößen von 128 und 192 Bit genutzt werden, in puncto Sicherheitsstandards der Branche ist 256 Bit allerdings das Beste.
Kann eine VPN-Verschlüsselung geknackt werden?
Nein, die Verschlüsselung eines VPNs kann nicht geknackt werden, wenn sie richtig implementiert wurde. Seriöse VPN-Anbieter treffen Vorkehrungen, die dir erstklassige Sicherheit garantieren. Solltest du dich aber für einen schlechten VPN-Anbieter entscheiden oder falsche Sicherheitseinstellungen vornehmen, wirst du sehr wahrscheinlich anfällig gegenüber Angriffen.
Ist VPN sicherer als HTTPS?
Sowohl VPNs als auch HTTPS sind ausgezeichnet, wenn es um die Verschlüsselung deiner Daten über das Internet geht. Allerdings sind VPNs sicherer und setzen eine breite Palette an Verschlüsselungstechniken ein, um maximale Sicherheit zu erzielen. VPNs verschlüsseln außerdem alles, einschließlich deiner Browsing-Aktivität, deiner Online-Identität und mehr. HTTPS verschlüsselt nur deinen Internet-Datenverkehr.
Kann AES 256 einfach geknackt werden?
Es ist wohl unmöglich, das AES-256-Bit zu knacken. Du kannst versuchen, niedrigere Versionen der Verschlüsselung zu knacken, wie beispielsweise 128-Bit, aber es wird unendlich viele Ressourcen und Ewigkeiten brauchen, um AES-256 zu knacken, selbst mit Supercomputern. Allerdings können deine Daten oder deine Verbindung gefährdet sein, wenn die Verschlüsselung schlecht umgesetzt wurde.