Шифрование — это преобразование данных в вид, который невозможно прочитать без специального ключа. Даже если кто-то перехватит зашифрованные данные, без ключа они будут выглядеть как случайный набор символов.

Два основных подхода к шифрованию

Симметричное шифрование

Один и тот же ключ используется и для шифрования, и для расшифровки. Это быстро и эффективно для больших объёмов данных — именно поэтому симметричное шифрование (например, алгоритм AES-256) используется для основного потока трафика в VPN и HTTPS-соединениях.

Проблема симметричного шифрования — сам ключ нужно как-то безопасно передать второй стороне, не дав перехватить его по пути.

Асимметричное шифрование

Использует пару ключей: публичный (можно свободно передавать кому угодно) и приватный (хранится в секрете). Данные, зашифрованные публичным ключом, может расшифровать только владелец соответствующего приватного ключа.

Это решает проблему передачи ключа — но асимметричное шифрование значительно медленнее симметричного, поэтому на практике его используют только для первоначального «рукопожатия», а не для всего объёма трафика.

Как это сочетается на практике

Типичная схема: устройства сначала используют асимметричное шифрование, чтобы безопасно согласовать общий секретный ключ (это и есть TLS-хендшейк), а затем весь дальнейший обмен данными идёт через быстрое симметричное шифрование с этим согласованным ключом. Лучшее из обоих подходов — безопасность передачи ключа и скорость самого шифрования.

Что такое TLS-хендшейк

TLS (Transport Layer Security) — протокол, который обеспечивает защищённое соединение в интернете, в том числе тот самый значок замка в адресной строке браузера. Упрощённо процесс выглядит так:

  1. Устройство и сервер обмениваются публичными ключами и договариваются о параметрах шифрования
  2. С помощью асимметричного шифрования они безопасно согласовывают общий секретный ключ, не передавая его в открытом виде
  3. Дальнейшее общение идёт через быстрое симметричное шифрование этим согласованным ключом

Весь процесс занимает доли секунды и происходит незаметно для пользователя при каждом заходе на защищённый (HTTPS) сайт.

Причём тут VPN

VPN-протоколы используют похожие принципы шифрования, но применяют их не к отдельному соединению с одним сайтом, а ко всему трафику устройства целиком, создавая единый защищённый туннель до VPN-сервера. Внутри этого туннеля уже проходит весь остальной трафик — включая тот, что и без VPN был бы защищён через HTTPS, и тот, что не был бы.

Почему длина ключа имеет значение

«256» в названии AES-256 означает длину ключа в битах. Чем длиннее ключ, тем больше вычислительных ресурсов потребовалось бы для перебора всех вариантов методом грубой силы — на практике AES-256 считается устойчивым к таким атакам при текущем уровне доступных вычислительных мощностей.

Надёжное шифрование по умолчанию

RuSurf VPN использует современные протоколы шифрования — 3 дня бесплатно, без сложных настроек.

Попробовать бесплатно →

Похожие материалы