Private Internet Access usa OpenVPN, el estándar industrial de código abierto para proporcionarle un túnel VPN seguro, de forma predeterminada. OpenVPN tiene muchas opciones de cifrado. Nuestros usuarios pueden escoger el nivel de cifrado que deseen en sus sesiones de VPN. Tratamos de escoger los valores predefinidos más razonables y recomendamos que la mayoría de las personas se ciñan a ellos. Dicho esto, queremos informar a nuestros usuarios y darles la libertad de tomar sus propias decisiones. Los usuarios de Private Internet Access también pueden elegir usar WireGuard® para sus túneles VPN.
Configuración de encriptación sugerida
Cifrado de datos: AES-128
Autenticación de datos: SHA1
Apretón de manos: RSA-2048
Cifrado de datos: Nada
Autenticación de datos: Nada
Apretón de manos: ECC-256k1
Cifrado de datos: AES-256
Autenticación de datos: SHA256
Apretón de manos: RSA-4096
Cifrado de datos: AES-128
Autenticación de datos: Nada
Apretón de manos: RSA-2048
Cifrado de datos:
Este es el algoritmo de cifrado simétrico con el que se cifran y descifran todos tus datos. El cifrado simétrico se usa con una clave secreta efímera compartida entre tú y el servidor. Esta clave secreta es intercambiada con el Cifrado de Apretón de manos.
Estándar de Cifrado avanzado de (128 bits) en modo CBC.
más rápido.
Estándar de cifrado avanzado de (256 bits) en modo CBC.
Sin cifrado. Ningún dato será cifrado. Los detalles de tu inicio de sesión serán cifrados. Tu IP seguirá estando oculta. Esto puede ser una opción viable si quieres el mejor rendimiento posible ocultando solamente tu dirección IP. Esto puede ser similar a un proxy SOCKS, pero con el beneficio de no dejar que haya una fuga de tu nombre de usuario ni tu contraseña.
Autenticación de datos:
Este es el algoritmo de autenticación de mensajes con el que se autentican tus datos. Esto solo se usa para protegerte de ataques activos. Si no te preocupan los atacantes activos puedes desactivar la Autenticación de datos.
HMAC usando el Algoritmo Hash seguro (160 bits).
Este es el modo de autenticación más rápido.
HMAC usando el Algoritmo Hash seguro de 256 bits).
Sin autenticación. Ningún dato cifrado será autenticado. Potencialmente, un atacante activo puede modificar o descifrar tus datos. Esto no le dará ninguna oportunidad a un atacante pasivo.
Cifrado de Apretón de manos
Este es el cifrado que se usa para establecer una conexión segura y para verificar que realmente está hablando con un servidor VPN de Private Internet Access y no estás siendo engañado con suna conexión al servidor de un atacante. Usamos TLS v1.2 para establecer esta conexión. Todos nuestros certificados usan SHA512 para iniciar sesión.
2048bit Intercambio de clave efímera Diffie-Hellman (DH) y certificado RSA de 2048 bits para verificar que el intercambio de clave ocurrió realmente con un servidor de Private Internet Access.
Como el RSA-2048, pero con 3072 bits para el intercambio de la clave y el certificado.
Como el RSA-2048 pero con 4096 bits para el intercambio de la clave y el certificado.
Intercambio de clave efímera Curva elíptica DH y un certificado ECDSA para verificar que el intercambio de clave ocurrió realmente con un servidor de Private Internet Access. En ambos se usa la Curva de secp256k1 (256 bits). Esta es la misma curva que usa Bitcoin para firmar sus transacciones.
Como el ECC-256k1, pero se usa la curva de prime256v1 (256 bits , también conocida como secp256r1), para el intercambio de la clave y el certificado.
Como el ECC-256k1, pero se usa la curva secp521r1 (521 bits) para el intercambio de la clave y el certificado.
Advertencias
Mostraremos una advertencia en tres casos:
Las recientes revelaciones de la NSA han generado preocupación acerca de que ciertas o todas las Curvas elípticas avaladas por las organizaciones de estándares de los EE.UU. pueden tener puertas traseras que permiten que la NSA las viole más fácilmente. No hay pruebas de esto para curvas usadas en los inicios de sesión y en el intercambio de la clave† y hay expertos que piensan que esto es poco probable. Por lo tanto les damos a los usuarios la opción, pero mostramos una advertencia siempre que selecciones una configuración de Curva elíptica. También incluimos la curva menos estándar, secp256k1, que es la que usa Bitcoin y que fue genera|da por Certicom (una compañía canadiense) en vez de NIST (como eran las demás curvas) y parece que tiene menos lugares dónde esconder una puerta trasera.
†
Hay fuertes evidencias de que un generador de números aleatorios que usa ECC tenía puerta trasera, pero no era usado ampliamente.
Glosario
Un ataque activo es cuando un atacante se mete "entre" tú y el servidor de VPN, en una posición donde puede modificar o inyectar datos en tu sesión VPN. OpenVPN se diseñó para ser seguro en contra de atacantes activos siempre que uses cifrado de datos y autenticación de datos.
Un ataque pasivo es cuando un atacante registra todos los datos que pasan por la red, pero no modifica ni inyecta datos nuevos. Un ejemplo de un atacante pasivo es una entidad que realiza una captura y almacenamiento de todo el tráfico en la red, pero no interfiere con ella ni la modifica. Siempre que estés usando cifrado de datos tu sesión de OpenVPN estará segura contra atacantes pasivos.
Las claves efímeras son claves de cifrado que se generan aleatoriamente y solo se usan durante cierto tiempo, después del cual son desechadas y borradas de forma segura. Un intercambio de clave efímera es el proceso mediante el cual se crean e intercambian estas claves. Diffie-Hellman es un algoritmo usado para realizar este intercambio. La idea detrás de las claves efímeras es que una vez que termines de usarlas y sean desechadas, nadie podrá descifrar los datos que se cifraron con ellas, aun si eventualmente tuvieran acceso a todos los datos encriptados y al cliente y al servidor.
Private Internet Access tiene más de 10 años de experiencia liderando la industria de las VPN. Con una estricta política de no registros, una infraestructura de servidores de clase mundial y un software transparente de código abierto, PIA le da la máxima prioridad a tu privacidad, seguridad y libertad en línea.
