Шифрование — это преобразование данных в вид, который невозможно прочитать без специального ключа. Даже если кто-то перехватит зашифрованные данные, без ключа они будут выглядеть как случайный набор символов.
Два основных подхода к шифрованию
Симметричное шифрование
Один и тот же ключ используется и для шифрования, и для расшифровки. Это быстро и эффективно для больших объёмов данных — именно поэтому симметричное шифрование (например, алгоритм AES-256) используется для основного потока трафика в VPN и HTTPS-соединениях.
Проблема симметричного шифрования — сам ключ нужно как-то безопасно передать второй стороне, не дав перехватить его по пути.
Асимметричное шифрование
Использует пару ключей: публичный (можно свободно передавать кому угодно) и приватный (хранится в секрете). Данные, зашифрованные публичным ключом, может расшифровать только владелец соответствующего приватного ключа.
Это решает проблему передачи ключа — но асимметричное шифрование значительно медленнее симметричного, поэтому на практике его используют только для первоначального «рукопожатия», а не для всего объёма трафика.
Типичная схема: устройства сначала используют асимметричное шифрование, чтобы безопасно согласовать общий секретный ключ (это и есть TLS-хендшейк), а затем весь дальнейший обмен данными идёт через быстрое симметричное шифрование с этим согласованным ключом. Лучшее из обоих подходов — безопасность передачи ключа и скорость самого шифрования.
Что такое TLS-хендшейк
TLS (Transport Layer Security) — протокол, который обеспечивает защищённое соединение в интернете, в том числе тот самый значок замка в адресной строке браузера. Упрощённо процесс выглядит так:
- Устройство и сервер обмениваются публичными ключами и договариваются о параметрах шифрования
- С помощью асимметричного шифрования они безопасно согласовывают общий секретный ключ, не передавая его в открытом виде
- Дальнейшее общение идёт через быстрое симметричное шифрование этим согласованным ключом
Весь процесс занимает доли секунды и происходит незаметно для пользователя при каждом заходе на защищённый (HTTPS) сайт.
Причём тут VPN
VPN-протоколы используют похожие принципы шифрования, но применяют их не к отдельному соединению с одним сайтом, а ко всему трафику устройства целиком, создавая единый защищённый туннель до VPN-сервера. Внутри этого туннеля уже проходит весь остальной трафик — включая тот, что и без VPN был бы защищён через HTTPS, и тот, что не был бы.
Почему длина ключа имеет значение
«256» в названии AES-256 означает длину ключа в битах. Чем длиннее ключ, тем больше вычислительных ресурсов потребовалось бы для перебора всех вариантов методом грубой силы — на практике AES-256 считается устойчивым к таким атакам при текущем уровне доступных вычислительных мощностей.
Надёжное шифрование по умолчанию
RuSurf VPN использует современные протоколы шифрования — 3 дня бесплатно, без сложных настроек.
Попробовать бесплатно →