我心中有一个与 VPN 相关的小问题。众所周知,VPN 通过使用私钥或公钥的服务器进行连接,以共享加密隧道。
我的问题是,如果不幸我的电子邮箱和 VPN 密码被泄露,黑客知道我的用户名和密码,那么他就会瞄准我。如果他有上述我的凭证,他能看到我发送到服务器的数据吗?我的意思是他知道我的用户名和密码,所以黑客可以拦截我的连接并使用我所连接的 VPN 用户名和密码解密吗?如果没有,那么我很好奇 VPN 如何分配加密密钥,VPN 是否为我分别连接的每个设备分配密钥,还是为我的所有设备分配相同的密钥(我的意思是,如果我所有的设备都使用相同的 ID 和密码登录?
编辑:电子邮件和密码是与服务器交换信息的加密密钥还是在建立连接时随机分配的?
答案1
这取决于很多关于 VPN 使用的协议。即使只计算那些被认为“或多或少是标准”的协议,你也会得到十几个。几乎所有的企业 VPN 系统都使用自己的专有协议。如果包括各种商业 VPN 应用程序,那就更多了。
然而,几乎所有现代数据加密协议都会为每个连接生成一个新的“会话”密钥。您的密码不是由于各种原因,被用作实际密钥。
还,最多如今,现代数据加密协议提供了所谓的“前向保密”。这基本上意味着每个连接都使用 DH 密钥交换(或类似方法)来派生会话密钥,从而确保即使客户端或服务器的长期凭据泄露,也无法使用它们以某种方式“解密”先前捕获的连接。
例如,SSH 提供前向保密性,TLS(使用 ECDHE)也是如此,WireGuard、OpenVPN(在其通常的 TLS 模式下)或 IPSec(如果操作正确)也是如此。即使有人可以从外部监视 SSH 连接,知道您或服务器的密钥对他们来说仍然毫无意义。
然而,情况并非总是如此。例如,在旧的 PPTP MPPE 协议中,几乎每个人都只是使用 MSCHAP 身份验证以方便使用,并且在 MSCHAP 中,密钥是从您的密码派生出来的。(但 PEAP 不会出现这种情况。)因此,如果您使用 PPTP和攻击者可以窥探您的(加密)数据包,他们很可能可以轻松解密。
当我们谈论便宜的“Netflix 每月 1 美元”类型的 VPN 应用时,其中一些确实不错,但你真的必须始终期待最坏的情况。