vpn-encryption-image

Cifrado de la VPN

Private Internet Access usa OpenVPN, el estándar industrial de código abierto para proporcionarte un túnel VPN seguro. OpenVPN tiene muchas opciones cuando se trata de cifrado. Nuestros usuarios pueden escoger el nivel de cifrado que deseen en sus sesiones de VPN. Tratamos de escoger los valores predefinidos más razonables y recomendamos que la mayoría de las personas se apeguen a ellos. Dicho esto, queremos informar a nuestros usuarios y darles la libertad de tomar sus propias decisiones.

icon-suggested-encryption Configuración de encriptación sugerida

Protección predefinida recomendada

Cifrado de datos: AES-128

Autenticación de datos: SHA1

Apretón de manos: RSA-2048

Toda la velocidad sin seguridad

Cifrado de datos: Nada

Autenticación de datos: Nada

Apretón de manos: ECC-256k1

Protección máxima

Cifrado de datos: AES-256

Autenticación de datos: SHA256

Apretón de manos: RSA-4096

Negocios riesgosos

Cifrado de datos: AES-128

Autenticación de datos: Nada

Apretón de manos: RSA-2048


icon-data-encryption Cifrado de datos:

Este es el algoritmo de cifrado simétrico con el que se cifran y descifran todos tus datos. El cifrado simétrico se usa con una clave secreta efímera compartida entre tú y el servidor. Esta clave secreta es intercambiada con el Cifrado de Apretón de manos.

AES-128

Estándar de Cifrado avanzado de (128 bits) en modo CBC.
.

AES-256

Estándar de cifrado avanzado de (256 bits) en modo CBC.

Nada

Sin cifrado. Ningún dato será cifrado. Los detalles de tu inicio de sesión serán cifrados. Tu IP seguirá estando oculta. Esto puede ser una opción viable si quieres el mejor rendimiento posible ocultando solamente tu dirección IP. Esto puede ser similar a un proxy SOCKS, pero con el beneficio de no dejar que haya una fuga de tu nombre de usuario ni tu contraseña.


icon-data-authentication Autenticación de datos:

Este es el algoritmo de autenticación de mensajes con el que se autentican tus datos. Esto solo se usa para protegerte de ataques activos. Si no te preocupan los atacantes activos puedes desactivar la Autenticación de datos.

SHA1

HMAC usando el Algoritmo Hash seguro (160 bits).
Este es el modo de autenticación más rápido.

SHA256

HMAC usando el Algoritmo Hash seguro de 256 bits).

Nada

Sin autenticación. Ningún dato cifrado será autenticado. Potencialmente, un atacante activo puede modificar o descifrar tus datos. Esto no le dará ninguna oportunidad a un atacante pasivo.


icon-handshake-encryption Cifrado de Apretón de manos

Este es el cifrado que se usa para establecer una conexión segura y para verificar que realmente está hablando con un servidor VPN de Private Internet Access y no estás siendo engañado con suna conexión al servidor de un atacante. Usamos TLS v1.2 para establecer esta conexión. Todos nuestros certificados usan SHA512 para iniciar sesión.

RSA-2048

2048bit Intercambio de clave efímera Diffie-Hellman (DH) y certificado RSA de 2048 bits para verificar que el intercambio de clave ocurrió realmente con un servidor de Private Internet Access.

RSA-3072

Como el RSA-2048, pero con 3072 bits para el intercambio de la clave y el certificado.

RSA-4096

Como el RSA-2048 pero con 4096 bits para el intercambio de la clave y el certificado.

ECC-256k1 icon-warning

Intercambio de clave efímera Curva elíptica DH y un certificado ECDSA para verificar que el intercambio de clave ocurrió realmente con un servidor de Private Internet Access. En ambos se usa la Curva de secp256k1 (256 bits). Esta es la misma curva que usa Bitcoin para firmar sus transacciones.

ECC-256r1 icon-warning

Como el ECC-256k1, pero se usa la curva de prime256v1 (256 bits , también conocida como secp256r1), para el intercambio de la clave y el certificado.

ECC-521 icon-warning

Como el ECC-256k1, pero se usa la curva secp521r1 (521 bits) para el intercambio de la clave y el certificado.


icon-warning Advertencias

Mostraremos una advertencia en tres casos:

Las recientes revelaciones de la NSA han generado preocupación acerca de que ciertas o todas las Curvas elípticas avaladas por las organizaciones de estándares de los EE.UU. pueden tener puertas traseras que permiten que la NSA las viole más fácilmente. No hay pruebas de esto para curvas usadas en los inicios de sesión y en el intercambio de la clave y hay expertos que piensan que esto es poco probable. Por lo tanto les damos a los usuarios la opción, pero mostramos una advertencia siempre que selecciones una configuración de Curva elíptica. También incluimos la curva menos estándar, secp256k1, que es la que usa Bitcoin y que fue genera|da por Certicom (una compañía canadiense) en vez de NIST (como eran las demás curvas) y parece que tiene menos lugares dónde esconder una puerta trasera.
Hay fuertes evidencias de que
un generador de números aleatorios que usa ECC tenía puerta trasera, pero no era usado ampliamente.


icon-glossary Glosario

Ataques activos

Un ataque activo es cuando un atacante se mete "entre" tú y el servidor de VPN, en una posición donde puede modificar o inyectar datos en tu sesión VPN. OpenVPN se diseñó para ser seguro en contra de atacantes activos siempre que uses cifrado de datos y autenticación de datos.

Ataques pasivos

Un ataque pasivo es cuando un atacante registra todos los datos que pasan por la red, pero no modifica ni inyecta datos nuevos. Un ejemplo de un atacante pasivo es una entidad que realiza una captura y almacenamiento de todo el tráfico en la red, pero no interfiere con ella ni la modifica. Siempre que estés usando cifrado de datos tu sesión de OpenVPN estará segura contra atacantes pasivos.

Claves efímeras

Las claves efímeras son claves de cifrado que se generan aleatoriamente y solo se usan durante cierto tiempo, después del cual son desechadas y borradas de forma segura. Un intercambio de clave efímera es el proceso mediante el cual se crean e intercambian estas claves. Diffie-Hellman es un algoritmo usado para realizar este intercambio. La idea detrás de las claves efímeras es que una vez que termines de usarlas y sean desechadas, nadie podrá descifrar los datos que se cifraron con ellas, aun si eventualmente tuvieran acceso a todos los datos encriptados y al cliente y al servidor.