Intego Privacy Protection utilise par défaut le standard open-source OpenVPN pour fournir un tunnel VPN sécurisé. OpenVPN a de nombreuses options en matière de chiffrement. Plusieurs niveaux de chiffrement sont disponibles. Les valeurs par défaut correspondent aux réglages les plus raisonnables, et nous recommandons de les utiliser tel quel. Ceci dit, ces réglages peuvent être adaptés en fonction des besoins. Les utilisateurs d'Intego Privacy Protection peuvent également choisir d'utiliser WireGuard® pour leurs tunnels VPN.
Paramètres de chiffrement possibles
Chiffrement des données
Authentification des données
Établissement de liaison
Mises en garde
Glossaire
Paramètres de chiffrement possibles
Paramètres recommandés par défaut
Chiffrement des données : AES-128
Établissement de liaison : RSA-2048
Pleine puissance, sans sécurité
Chiffrement des données : None
Établissement de liaison : ECC-256k1
Protection maximale
Chiffrement des données : AES-256
Établissement de liaison : RSA-4096
Chiffrement des données
Il s'agit de l'algorithme de chiffrement symétrique avec lequel toutes vos données sont chiffrées et déchiffrées. Le chiffrement symétrique est utilisé avec une clé secrète éphémère partagée entre l'ordinateur et le serveur. Cette clé secrète est échangée lors de l'établissement de la liaison.
AES-128
Advanced Encryption Standard (128 bits) en mode CBC. C'est le mode de chiffrement le plus rapide.
AES-256
Advanced Encryption Standard (256 bits) en mode CBC.
Aucun
Aucun chiffrement. Les données envoyées et reçus sont en clair. Les informations d'ouverture de session demeurent chiffrées. L'IP publique reste masquée. Ce peut être une option applicable si les performances maximales sont recherchées, tout en masquant son adresse IP publique. C'est équivalent à l'usage d'un proxy SOCKS, mais avec l'avantage de masquer le nom d'utilisateur et le mot de passe d'ouverture de session.
Authentification des données
Il s'agit de l'algorithme d'authentification des messages avec lequel toutes vos données sont authentifiées. Ceci est uniquement utilisé pour se protéger des attaques actives. S'il ne s'agit pas d'un sujet de préoccupation, l'authentification des données peut être désactivée.
SHA1
HMAC en utilisant le Secure Hash Algorithm (160 bits). C'est l'algorithme d'authentification le plus véloce.
SHA256
HMAC en utilisant le Secure Hash Algorithm (256 bits).
Aucun
Aucune authentification. Aucune donnée chiffrée n'est authentifiée. Un assaillant pourrait potentiellement modifier ou déchiffrer les données transmises. Cela n'apporte aucun avantage en cas d'interception de la communication.
Établissement de liaison
Il s'agit du chiffrement utilisé pour établir une connexion sécurisée et vérifier que la-dite connexion se fasse bien avec un serveur VPN Intego Privacy Protection, et qu'elle n'ait pas été détournée vers un serveur assaillant. Le protocole TLS v1.2 est utilisé pour établir cette connexion. Chaque connexion est signée par des certificats SHA512.
RSA-2048
Échange de clés Diffie-Hellman éphémères (DHE) 2048 bits et de certificat RSA 2048 bits pour vérifier que l'échange de clés a bien eu lieu avec un serveur Intego Privacy Protection.
RSA-3072
Comme le RSA-2048, mais sur 3072 bits pour l'échange de clés et de certificat.
RSA-4096
Comme le RSA-2048, mais sur 4096 bits pour l'échange de clés et de certificat.
ECC-256k1
Échange de clés Diffie-Hellman éphémères à base de courbes elliptiques (ECDHE - Elliptic Curve Diffie-Hellman Ephemeral) et de certificat aussi à base de courbes elliptiques (ECDSA - Elliptic Curve Digital Signature Algorithm) pour vérifier que l'échange de clés a bien eu lieu avec un serveur Intego Privacy Protection. Une courbe secp256k1 (256 bits) est utilisée pour les deux. C'est la même courbe utilisée pour signer les transactions Bitcoin.
ECC-256r1
Comme l'ECC-256k1, mais une courbe prime256v1 (256 bits, appelé aussi secp256r1) est utilisée à la fois pour l'échange de clés et le certificat.
ECC-521
Comme l'ECC-256k1, mais une courbe secp521r1 (521 bits) est utilisée à la fois pour l'échange de clés et le certificat.
Mises en garde
Une mise en garde est affichée dans les 3 cas suivants :
- Choix d'« Aucun » pour le Chiffrement des données
- Choix d'« Aucun » pour l'Authentification des données
- Choix d'une option ECC (Elliptic Curve Cryptography) pour l'Établissement de liaison
Mise en garde à propos des courbes elliptiques
Les récentes révélations à propos de la NSA ont fait craindre que certaines ou peut-être toutes les courbes elliptiques approuvées par les organismes de normalisation américains comporteraient des portes dérobées, permettant à la NSA de les déchiffrer plus facilement. Cela n'a pas été démontré pour les courbes utilisées avec la signature et l'échange de clés (°) et certains experts pensent que cela est peu probable. Néanmoins, un avertissement est prodigué à chaque fois qu'une courbe elliptique est choisie comme paramètre. La courbe secp256k1, moins standard et utilisé par Bitcoin, a été incluse. Sachant qu'elle a été générée par Certicom (une entreprise canadienne) au lieu du NIST (comme l'étaient les autres courbes), elle semble donc moins sujette à la présence de portes dérobées.
(°) Des preuves solides montrent qu'un générateur de nombres aléatoires qui utilise ECC a été compromis, bien qu'il n'ait pas été largement utilisé.
Glossaire
Attaques actives (brouillage)
Une attaque active est une attaque où un assaillant se place "entre" l'ordinateur et le serveur VPN, dans une position où il peut modifier ou injecter des données pendant la session VPN. OpenVPN a été conçu pour contrer ce type d'attaque à l'aide du chiffrement et de l'authentification des données.
Attaques passives (interception)
Une attaque passive est une attaque dans laquelle un assaillant enregistre simplement toutes les données transitant sur le réseau sans modifier ou injecter la moindre nouvelle donnée. C'est le principe des écoutes téléphoniques, où une entité enregistre et écoute tout le trafic réseau, sans interférer ni le modifier. À partir du moment où les échanges de données sont chiffrés, toute session OpenVPN est protégé contre ce type d'interception.
Clés éphémères
Les clés éphémères sont des clés de chiffrement générées de manière aléatoire et utilisées uniquement pendant un certain temps. Après quoi, elles sont supprimées et effacées de manière sécurisée. Un échange de clé éphémère est le processus par lequel ces clés sont créées et échangées. Diffie-Hellman est un algorithme utilisé pour effectuer cet échange. L'idée derrière les clés éphémères est qu'une fois utilisées puis détruites, personne ne pourra jamais reconstituer les données échangées qu'elles ont servies à chiffrer, même si un accès complet à toutes les données chiffrées sur les postes client et serveur a pu être obtenu.
Support pour Intego Privacy Protection
Base de connaissances et Support
Si vous avez encore des questions sur l'utilisation de votre logiciel Intego Privacy Protection et que aucun réponse ne se trouve dans le présent article, veuillez consulter la base de connaissances Intego Privacy Protection pour trouver les réponses aux questions les plus fréquemment posées via le lien ci-dessous :
Vous pouvez également contacter le support technique Intego en remplissant le formulaire suivant :
Commentaires