Ett VPN-protokoll är den uppsättning instruktioner som din VPN-app använder för att konfigurera, säkra och styra din anslutning till en VPN-server. OpenVPN är ett VPN-protokoll som inte har några kända svagheter och är effektivt för att kringgå vissa metoder för onlinecensur. OpenVPN har också fördelen att det stöds på ett stort urval av plattformar och enheter.
Det finns implementeringar av OpenVPN med stängd källkod, men det finns också en kostnadsfri Community Edition med öppen källkod.
I den här artikeln tar vi en djupgående titt på hur OpenVPN fungerar, hur det skyddar Proton VPN-gemenskapen och hur det står sig i jämförelse med andra VPN-protokoll. Den här artikeln är mest till hjälp om du redan förstår hur ett VPN fungerar.
- Hur skyddar OpenVPN mig?
- OpenVPN-kanaler
- Kan OpenVPN kringgå VPN-censur?
- Har OpenVPN granskats?
- OpenVPN vs. WireGuard®
Lär dig mer om hur en VPN fungerar
OpenVPN lanserades ursprungligen 2001 och börjar visa sin ålder när det gäller hastighet, prestanda och effektivitet. Det anses dock fortfarande allmänt vara säkert, en uppfattning som stärktes av dokument som släpptes av NSA-visselblåsaren Edward Snowden 2013.
Dessa indikerade starkt att, så länge du inte använder i förväg delade nycklar(nytt fönster), var OpenVPN det enda allmänt använda VPN-protokollet vid den tidpunkten som NSA inte kunde knäcka. WireGuard®, ett nyare och säkrare VPN-protokoll, hade ännu inte utvecklats under 2013. Även om WireGuard är snabbare, lättare och mer effektivt, kan det inte matcha OpenVPN:s beprövade historik.
Fördelar med OpenVPN:
- Öppen källkod
- Beprövad säkerhet
- Kan köras över UDP eller TCP
- Stöds i stor utsträckning
Nackdelar med OpenVPN:
- Prestandan kan för närvarande inte matcha WireGuards (även om arbete pågår för att förbättra detta)
- Relativt stor och komplex kodbas
Proton VPN har stöd för OpenVPN i alla våra appar:
- Windows
- macOS
- Android
- Android TV (via Smart Protocol)
- iOS och iPadOS
- Linux-app och CLI
- Chrome OS
Hur skyddar OpenVPN mig?
OpenVPN använder flera kryptografiska tekniker för att skydda dina data och har inga kända sårbarheter. De tekniker som används av de flesta moderna implementeringar av OpenVPN (inklusive Proton VPN:s) är:
AES
Advanced Encryption Standard (AES) är ett symmetriskt chiffer som används för att kryptera och avkryptera de data som överförs via din VPN-anslutning.
Det är certifierat av National Institute of Standards and Technology(nytt fönster) (NIST) och används av USA:s regering för att skydda sekretessbelagda data. AES har en maximal nyckelstorlek på 256 bitar (AES-256), och USA:s regering anser att AES-256 är tillräckligt för att skydda ”topphemlig” information(nytt fönster).
När det används som en del av OpenVPN:s krypteringssvit kan AES användas i lägena AES-CBC (Cipher Block Chaining) eller AES-GCM (Galois/Counter Mode). För att lära dig hur Proton VPN fungerar behöver du bara känna till AES-GCM
Även om det är lika säkert är det modernare AES-GCM ett chiffer för autentiserad kryptering med tillhörande data(nytt fönster) (AEAD) som kan autentisera data utöver att säkra dem. HMAC SHA (se nedan) krävs fortfarande för ått autentisera TLS-anslutningen, men AES-GCM är effektivare (och därför snabbare) på att autentisera data än SHA.
RSA
OpenVPN förlitar sig på AES för att skydda dina data, men för att skicka dem över VPN-anslutningen tillämpar OpenVPN öppen nyckelkryptografi(nytt fönster). Detta kryptografiska system använder ett asymmetriskt nyckelutbyte, där dina data krypteras med din avsedda mottagares öppet delade offentliga nyckel. Dessa data kan sedan endast avkrypteras med din mottagares hemliga privata nyckel, .
Asymmetrisk nyckelkryptering är effektiv för att skicka data hemligt över internet, men den är långsam jämfört med symmetriska krypteringssystem som AES. Det är därför den främst används i VPN-tjänster för att autentisera anslutningar mellan VPN-klienten och VPN-servern. OpenVPN använder RSA-kryptosystemet(nytt fönster) för detta.
RSA-nyckellängder kan vara av nästan vilken storlek som helst, men en nyckel på 4096 bitar är tillräckligt säker utan att medföra en hög beräkningskostnad som är slösaktig och gör din anslutning långsammare.
DHE
Ett Diffie–Hellman-nyckelutbyte(nytt fönster) (DHE) kan användas för ått säkra TLS-nyckelutbytet på liknande sätt som RSA, förutom med bonusen att det också ger framåtsekretess(nytt fönster). Framåtsekretess säkerställer att nya nycklar används för varje session så att även om en session på något sätt skulle avslöjas, påverkas inga andra sessioner. Framåtsekretess säkerställer att angripare inte kan avkryptera historiska VPN-sessioner med en enda avslöjad nyckel.
Eftersom DHE återanvänder en begränsad uppsättning primtal kan det dock vara sårbart för logjam-attacker(nytt fönster). Detta problem är mycket mindre bekymmersamt om tillräckligt stora nyckelstorlekar används, men att använda det för att säkra TLS-nyckelutbyten förblir kontroversiellt.
På grund av detta använder Proton VPN DHE-stöd i OpenVPN-krypteringssviten för att erbjuda framåtsekretess, men inte för att säkra själva nyckelutbytet.
HMAC SHA
OpenVPN använder HMAC SHA för att validera de TLS-certifikat som används i TLS-nyckelutbytet. Detta skyddar mot man-in-the-middle-attacker.
SHA-familjen(nytt fönster) av kryptografiska hashfunktioner(nytt fönster) används för att autentisera data. När dessa komplexa matematiska funktioner utförs på en uppsättning data skapas ett unikt fingeravtryck. Om bara en enda bit av dessa data ändras, ändras även SHA-fingeravtrycket.
SHA-1 (en 160-bitars hashfunktion) är känd för att vara sårbar för kollisionsattacker(nytt fönster), men SHA-2 anses fortfarande vara säker. Ännu viktigare är att OpenVPN ändå bara använder SHA för att beräkna värden för hashmeddelande-autentiseringskod(nytt fönster) (HMAC). Dessa är mycket svårare att attackera än SHA-algoritmen i sig, till den grad att till och med SHA-1 fortfarande anses vara tillräckligt säkert för HMAC(nytt fönster).
OpenVPN-kanaler
OpenVPN använder två separata kanaler för att överföra data säkert mellan din enhet och VPN-servern.

Datakanalen
Innan dina data skickas genom VPN-tunneln krypterar OpenVPN dem med ett symmetriskt chiffer.
Proton VPN använder upp till AES-256 i GCM-läge för att verifiera data.
Kontrollkanalen
När data har krypterats kan de skickas genom VPN-tunneln. Kontrollkanalen upprättar en TLS-anslutning mellan VPN-klienten och VPN-servern. Detta säkras med ett symmetriskt chiffer men med ett asymmetriskt nyckelutbyte.
Proton VPN använder upp till AES-256-GCM för sitt symmetriska chiffer, med RSA-4096- och HMAC SHA-384-hashautentisering för att verifiera TLS-certifikaten. Krypteringssviten vi använder inkluderar även ett Diffie-Hellman-nyckelutbyte (DHE) för att erbjuda framåtriktad sekretess.
Kan OpenVPN kringgå VPN-censur?
En av de stora fördelarna med OpenVPN är att det kan köras över både överföringsprotokollen UDP och TCP, vilka är de två huvudprotokoll som hanterar hur data skickas över internet. UDP är snabbare, medan TCP är mer pålitligt, men den främsta fördelen med denna flexibilitet är att TCP är användbart för att kringgå censur från regeringar och andra organisationer.
Lär dig mer om skillnaden mellan UDP och TCP
TCP-port 443 används av HTTPS(nytt fönster), den krypteringsstandard som säkrar webben. Detta gör det svårt att blockera OpenVPN när det körs över TCP-port 443 utan att blockera all HTTPS-trafik, vilket gör OpenVPN användbart för att kringgå VPN-blockeringar på låg nivå.
Mer avancerade former av djup paketinspektion kan dock enkelt upptäcka skillnaden mellan HTTPS- och VPN-paket.
Lär dig mer om djup paketinspektion
Har OpenVPN granskats?
Efter en crowdfunding-kampanj granskades OpenVPN 2.4 oberoende(nytt fönster) av OSTIF och QuarksLab under 2016. Resultaten var mycket positiva och den enda kritiska/allvarliga sårbarhet som upptäcktes gällde sårbarhet för överbelastningsattacker (denial of service) och påverkade inte användarnas säkerhet. Detta problem åtgärdades också snabbt.
Men 2016 är ganska länge sedan nu, och OpenVPN 2.6.1 är den senaste versionen i skrivande stund.
OpenVPN vs. WireGuard
Det nyare WireGuard-protokollet är säkert, snabbt och effektivt, vilket är anledningen till att Proton VPN nu använder det som vårt standard-VPN-protokoll. OpenVPN:s förmåga att köras över TCP förblir en fördel jämfört med vanlig WireGuard, men Proton VPN har nu utvecklat en implementering av WireGuard som också körs över TCP.
WireGuard utgör också grunden för vårt Stealth-obfuskeringsprotokoll, vilket är mycket mer effektivt för att kringgå censurblockeringar än att köra OpenVPN över TCP.
Det faktum att OpenVPN:s säkerhet fortfarande är mer beprövad än WireGuards kan fortfarande tilltala vissa, men det finns få skäl att välja det framför WireGuard, såvida inte din nuvarande enhet saknar stöd för WireGuard.
Slutgiltiga tankar
Under många år var OpenVPN i praktiken standard-VPN-protokollet, och på grund av detta har det fortfarande mycket gott stöd på routrar och andra internetkompatibla enheter. Det är fortfarande mycket säkert men erbjuder få fördelar jämfört med det mer moderna WireGuard (särskilt Proton VPN:s anpassade implementeringar av det nyare protokollet).







