VPN Şifreleme: Nedir ve Nasıl Çalışır

Yaygın VPN şifreleme algoritmaları ve teknikleri

İşte VPN’lerin online trafik ve bağlantınızı korumada kullandıkları en yaygın şifreleme teknikleri:

Özel anahtar şifrelemesi (Simetrik)

Simetrik şifreleme; düz metni şifrelemek ve şifreli metnin şifresini çözmek için iletişimdeki iki tarafın da aynı şifreye sahip olmasını zorunlu kılar.
Çoğu VPN bu şifreleme algoritmasını kullanmaktadır. Dahası, simetrik şifreleme Gelişmiş Şifreleme Standardı (AES) ve Blowfish gibi şifreleyicilerde kullanılır.

Açık anahtar şifrelemesi (Asimetrik)

Asimetrik şifreleme açık ve özel olmak üzere iki anahtardan oluşur. Açık anahtar, düz metni şifrelemede kulanılır. Şifreli metni ise yalnızca özel anahtar açabilir.

Asimetrik şifrelemede birçok kullanıcı ortak anahtara sahip olabilirken şifreyi çözmeye yarayan özel anahtar yalnızca yetkili kişilerde bulunur.

Tokalaşma şifrelemesi

Tokalaşma, iletişime geçen tarafların birbirlerini tanıyıp hangi şifreleme algoritması ya da anahtarını seçeceklerini belirlemelerini sağlayan bir anlaşma işlemidir.

Tokalaşma şifrelemesi için genellikle Rivest-Shamir-Adleman (RSA) algoritması kullanılır. Bazı VPN’ler ayrıca Elliptic-curve Diffie-Hellman (ECDH) anahtar takasını da kullanabilir.

RSA-2048 ve üzerini kırması çok zordur ve birçok sağlayıcı tarafından güvenli olarak kabul edilir. RSA çok basit seviyede bir dönüştürme kullanır ve oldukça yavaştır. Bu sebeple, verileri güvende tutmak için değil, yalnızca tokalaşmalarda kullanılır.

Elliptic curve Diffie-Hellman (ECDH), Diffie-Hellman (DH) tokalaşma şifrelemesinin gelişmiş versiyonudur. DH az sayıdaki bir asal sayı setini tekrar tekrar kullandığından açık verebilir.

Secure Hash Algorithm (SHA)

Güvenli Karma Algoritma (Secure Hash Algorithm/SHA), verileri ve SSL/TLS bağlantıları doğrulamada kullanılan karma bir algoritmadır.

Bu işlemde, doğru VPN sunucusuna bağlandığınızdan emin olmak için TLS sertifikasının geçerliliğini kontrol etmek amacıyla eşi olmayan bir parmak izi oluşturulur.

SHA kullanılmıyorsa hacker’lar online trafiğinizi VPN sunucuları yerine kendi sunucularına rahatlıkla yönlendirebilirdi.

Hash-Based Message Authentication Code (HMAC)

Karma Tabanlı Mesaj Doğrulama Kodu (Hash-Based Message Authentication Code/HMAC), kriptografik karma fonksiyonunu gizli bir kriptografik anahtarla birleştiren bir tür Mesaj Doğrulama Kodu’dur (MAC).

Bu teknik, verinin olması gerektiği gibi kalması için bütünlüğü ve doğrulamasını kontrol etmede kullanılır.

En iyi VPN’ler mümkün olan en sağlam güvenlik için SHA karma algoritmasıyla HMAC doğrulamasını birlikte kullanır.

Perfect Forward Secrecy (PFS)

Mükemmel İletme Gizliliği (Perfect Forward Secrecy/PFS), bir sunucunun özel anahtarı ele geçirilse bile oturum anahtarlarının güvende kalmasını sağlayan ve bir dizi anahtar anlaşma protokolü tarafından kullanılan (genelde RSA ve ECDH) bir şifreleme tekniğidir.

PFS her birkaç saniyede bir, şifreleme ve şifre çözme için yeni anahtarlar oluşturur.

Cipher

Cipher, şifreleme veya şifre çözme için kullanılabilen bir algoritmadır. Bir cipher’ın güvenlik standardı hem anahtar uzunluğu (128-bit, 192-bit veya 256-bit) hem de algoritmanın gücüyle belirlenir.

Genelde bir anahtar ne kadar uzunsa cipher da o kadar güçlü olur. Ancak bunun için daha fazla işlemci gücü gerekir.

Buna ek olarak, daha güçlü bir cipher’ın verileri şifreleyip çözmesi için daha fazla zaman gerekir. Çoğu VPN sağlayıcı, cipher seçimi yaparken güvenlik ile performansı dengelemeye çalışır.

VPN sağlayıcılarının şifreleme ve şifre çözmede tercih ettikleri birkaç cipher bulunur.

Bu cipher’lar sektörün en güçlüleri olarak kabul edilir. Bunlar Advanced Encryption Standard (AES), Blowfish ve Camellia’dır.

Advanced Encryption Standard (AES)

Gelişmiş Şifreleme Standardı (AES) 128-bit, 192-bit ve 256-bit olmak üzere farklı anahtarlar sunan bir özel anahtar cipher’ıdır. ABD hükûmetinin onayı ve NIST sertifikasıyla VPN sektöründe “altın standart” olarak kabul edilir.

AES ayrıca Cipher Block Chaining (CBC) ve Galois/Counter Mode (GCM) şeklinde blok cipher modlarına da sahiptir.

Cipher Block Chaining, blok cipher algoritmasını bir önceki blokla güçlendirir. Chaining (zincirleme) adını da zaten bu yüzden almıştır.

Her bir cipher metin bloku, düz metin bloklarının sayısına bağlı olduğu için zincirleme sayesinde kırılması çok zor bir hâle gelir. Ancak bu işlem, CBC’yi performans açısından yavaşlatır.

Galois/Counter Mode blok cipher’larında zincirleme yerine dönüştürme metodolojisini kullanır. Ayrıca şifrelemeyi doğrulamak için hashing sisteminden de faydalanır.

Bu mod, düşük işlemci gücüne sahip cihazlarda bile çok daha hızlı bir performans verir. Ancak VPN’lerin çoğu CBC’yi kullanır çünkü GCM moduna göre daha genelgeçerdir.

Blowfish

Blowfish, OpenVPN’in resmî cipher’ıdır. OpenVPN öncelikle Blowfish-128’i kullansa da 448’e kadar destek vermektedir.

Bu cipher güvenli olarak kabul edilir lakin bazı çalışmalar, çeşitli açıklarının olduğunu ortaya çıkarmıştır. Bu yüzden, Blowfish’i yalnızca 256-bit AES’in kullanılamadığı zamanlarda önermekteyiz.

Camellia

Camellia 128, 192 ve 256 bit anahtar büyüklüklerini destekleyen hızlı ve güvenli bir cipher’dır. Gelgelelim, Camellia’nın yalnızca ISO-IEC sertifikası vardır ve NIST sertifikası bulunmaz.

Bu yüzden bu cipher, AES gibi VPN’lerin gözdesi değildir.

Eğer AES’in ABD devletiyle olan yakın ilişkisi hoşunuza gitmiyorsa Camellia iyi bir seçenektir. Ancak unutmayın ki Camellia, AES gibi kapsamlı testlerden geçmiş değildir.

VPN Şifreleme Protokolleri

Bir VPN şifreleme protokolü, VPN’in cihazınız ile hedef sunucu arasında nasıl bir güvenli tünel oluşturacağını belirler. VPN sağlayıcıları, bağlantınızı ve online trafiğinizi korumak için farklı şifreleme protokolleri kullanırlar.

VPN şifreleme protokolleri hız, güvenlik standardı, hareket kabiliyeti ve genel performansa göre değişiklik gösterebilir. İşte VPN sektöründe en fazla kullanılan şifreleme protokolleri:

• IKEv2/IPSec: Güvenli, stabil ve çok hızlı
• OpenVPN: Sınıfının en iyisi. Çok güvenli, stabil ve oldukça hızlı
• WireGuard: VPN sektörüne gireli çok olmasa da güvenlik, stabilite ve hız konusunda çok iyi bir denge sağlıyor
• SoftEther: Piyasaya yeni giren protokollerden bir diğeri. Güvenli, stabil ve hızlı olarak kabul edilir

En iyi VPN Şifreleme Standartları Hangileri?

Her VPN, kullanıcısına için farklı güvenlik standartları sunar.

En iyi VPN şifrelemesi sorusuna cevap bulmak pek kolay değildir. Bir VPN’in teknik detaylarına bakarken şunlara dikkat edebilirsiniz:

• RSA-2048 veya ECDH gibi anahtar değişim protokolleri
• 256-bit şifreleme anahtarı uzunluğu
• AES (GCM/CBC), Blowfish veya Camellia gibi askerî düzeyde cipher’lar
• OpenVPN, WireGuard, IKEv2/IPSec ve SoftEther gibi yüksek performanslı VPN şifreleme protokolleri
• HMAC doğrulaması için SHA-2 cipher’ı
• Perfect Forward Secrecy desteği

Sonuç

VPN şifrelemesi geniş bir kavramdır ve anlaması zor olabilir. Yukarıdaki temel bilgilerle VPN şifrelemesinin nasıl çalıştığını daha iyi anlayabileceğinizi düşünüyoruz.

Bu bilgiler arasında çeşitli şifreleme algoritmaları, cipher’lar, şifreleme protokolleri ve VPN sağlayıcılarının güvenlik için kullandıkları diğer teknikler bulunur.

Eğer güvenli bir VPN sağlayıcı bulmakta zorluk çekiyorsanız yukarıdaki en iyi VPN şifreleme standartları kısmını okuyabilirsiniz.

Her VPN’in güvenlik ve gizliliğinize gerekli önemi göstermeyeceğini unutmayın. Bu yüzden bir VPN almadan önce araştırma yapmanız tavsiye edilir.