PrivacyTools.io

Ein vollständiger Leitfaden zu virtuellen privaten Netzwerken (VPNs)

Ein vollständiger Leitfaden zu virtuellen privaten Netzwerken (VPNs)

Es gibt nur sehr wenige Orte, an denen ich der direkten Verbindung zum Internet wirklich vertraue. Ich mache von der Arbeit aus nicht einmal Dinge wie Online-Banking oder das Einloggen in mein Bitwarden, weil die Verbindung offen ist (nicht mit Passwort/Verschlüsselung gesichert) und damit viel anfälliger für einen Angriff von außen. Meine Verbindung zu Hause ist wahrscheinlich die sicherste, weil ich sie selbst eingerichtet habe und überwachen kann, aber selbst dann bietet das Modem, das unser Internetanbieter stellt und das zugleich als WLAN-Router dient, nicht die bestmögliche Sicherheit.

Hier kommen virtuelle private Netzwerke ins Spiel. Richtig ausgewählt und eingerichtet, sichern sie uns eine geschützte, private und oft anonyme Verbindung zum offenen Internet zu. Das heißt, wir können frei und ohne Beschränkungen surfen, frei von Überwachung. Die meisten, die das hier lesen, haben keinen ernsten Grund, Überwachung zu vermeiden, aber Menschen haben ein Recht auf Privatsphäre und sollten nicht ausspioniert werden. Selbst wenn es nur der Sysadmin des kostenlosen WLANs bei Starbucks ist. Die Frage läuft darauf hinaus, ein VPN zu wählen, das zu deinen Bedürfnissen passt. Manche bieten viele Standorte weltweit, andere wirklich gute Konditionen und tolle Jahrespreise. Ich neige dazu, die Anbieter zu bevorzugen und zu nutzen, die den besten Datenschutz, die beste Sicherheit und Anonymität bieten, auch wenn das bedeutet, ein bisschen mehr zu zahlen. Oft können die günstigeren Anbieter solche guten Preise nur deshalb bieten, weil sie ihre Server vollpacken und sich nicht “wirklich” darum kümmern, allzu privat zu sein. Schauen wir uns das also aus der Sicht von jemandem an, der erstklassige Sicherheit, spionagesicheren Datenschutz und ein hohes Maß an Anonymität braucht, indem wir einige der Anbieter durchgehen, die ich als die besten in diesen Bereichen recherchiert habe.

Idealerweise wollen wir einen Anbieter, der nicht in einem der “5-Eyes-Länder” sitzt (https://www.privacyinternational.org/press-release/51/privacy-international-launches-international-campaign-greater-transparency-around). Das bedeutet, er darf nicht in Kanada, den Vereinigten Staaten, dem Vereinigten Königreich, Australien oder Neuseeland ansässig sein, weil diese sich darauf geeinigt haben, Informationen ohne große Rückfragen untereinander zu teilen. Sie haben tendenziell Geheimdienste (wie die NSA und das GCHQ), die ein beachtliches Maß an Data-Mining und Überwachung der Personen innerhalb ihres Landes “aus Gründen der nationalen Sicherheit” betreiben. Ich würde dir außerdem raten, dich von allem fernzuhalten, was zu den “14-Eyes-Ländern” zählt, falls du dich für deine persönliche Sicherheit auf diesen Anbieter verlässt. Der Anbieter, den du wählst, sollte außerdem NICHT die Option einer dedizierten IP-Adresse anbieten. Geteilte IPs sind strikt der richtige Weg, wenn du maximale Anonymität willst, weil sie deine eingehende IP nicht heraushebt und mit der ausgehenden IP des VPNs abgleicht. Schwerer zu protokollieren/nachzuverfolgen, aber definitiv nicht unmöglich.

Auch die akzeptierten Zahlungsmethoden sind ein Punkt, den du nicht auf die leichte Schulter nehmen solltest. Du würdest offensichtlich nicht mit deinem PayPal oder deiner Kreditkarte zahlen wollen, wenn du nach umfassender Anonymität suchst. Gut gemischtes Bitcoin, das nicht auf dich zurückführt, Bargeld per Post und PaySafeCards sind allesamt Zahlungsmethoden, die als sehr anonym gelten, wenn sie richtig gemacht werden. Auch die Verschlüsselung und die vom VPN-Unternehmen angebotenen Protokolle solltest du vor einem Kauf bedenken. Du wirst beim Stöbern nach einem guten Anbieter oft den Begriff “Verschlüsselung in Militärqualität” sehen. Im Allgemeinen bedeutet das nur, dass sie AES-256 und 4096-Bit-RSA-Schlüssel einsetzen, aber zu prüfen, ob sie Perfect Forward Secrecy und gute Kurven für ECHDE-Schlüssel anbieten, ist wichtig (http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html , https://www.perfectforwardsecrecy.com/ , https://safecurves.cr.yp.to/).

Wenn du beim Stöbern etwas tiefer in die Anbieter eintauchst, solltest du dir die Serverstandorte ansehen, die sie anbieten, und prüfen, ob sie in Gerichtsbarkeiten liegen, mit denen du dich beim Verbinden wohlfühlst. Das wäre ein guter Moment, um zu prüfen, ob die Seiten, mit denen du dich verbinden möchtest, nur in bestimmten Ländern funktionieren (wie Hulu, Pandora, Netflix usw.). Genau wie ich oben bei den SSL-Zertifikaten erwähnt habe und wie du sicherstellen kannst, dass die Seite starke Standards für HTTPS umsetzt, solltest du die Seite des VPN-Anbieters prüfen, um zu sehen, welche Art von SSL sie verwenden. Wenn sie keine Wertung von A bekommen, würde ich davon abraten, sie als Anbieter zu nutzen, denn das zeigt, dass sie sich entweder klar nicht die Zeit nehmen können, ein gutes SSL-Ergebnis zu erzielen (und sei es nur fürs Marketing), oder dass sie nicht sachkundig genug sind, es zu erreichen; eine Tatsache, die darauf hindeuten könnte, dass ihr Dienst von Bergen falscher Behauptungen getragen wird. Es ist außerdem gut zu sehen, welche Art von Protokollen sie bewerben und nicht nur, welche sie unterstützen. Die meisten der guten Anbieter liefern zumindest einen Client für Windows aus und haben zusätzliche Funktionen wie Killswitches und Firewalls, um DNS-/IP-Leaks zu verhindern. Es gab jedoch ein paar Anbieter, die ich gesehen habe und die behaupteten, eine Verbindung über L2TP sei die beste Option, was sie definitiv nicht ist. Um mehr über die verschiedenen Protokolle zu lesen, kannst du dir diesen Link ansehen: https://www.ivpn.net/pptp-vs-ipsec-ikev2-vs-openvpn-vs-wireguard/

Unten findest du Bewertungen der 4 VPN-Anbieter, die ich genutzt habe und denen ich vertraue. Du kannst dir auch diesen Link zu einer Website (früher Google Doc) ansehen, die von ThatOnePrivacyGuy erstellt wurde. Sie dokumentiert weit mehr Anbieter als nur diese 3, ist aber etwas, das meine Entscheidungen gestützt hat, diese Unternehmen zu empfehlen.

IVPN

Um mit den persönlichen Bewertungen zu beginnen, habe ich mich für den VPN-Anbieter entschieden, den ich seit Anfang 2013 nutze. IVPN, ursprünglich in Malta eingetragen, aber kürzlich aufgrund sich ändernder Datenschutzgesetze nach Gibraltar umgezogen, ist deinem Datenschutz verpflichtet. Sie bieten 12 Länder und insgesamt 19 Server (Stand April 2016), was im Vergleich zu vielen anderen Anbietern ein recht kleines Netzwerk ist. Mit den Standorten, die sie gewählt haben, bin ich jedoch zufrieden. Die vollständige Liste der Standorte findest du hier: https://www.ivpn.net/status. Sie vermarkten sich auf Twitter als “IVPN is an online privacy and security service”, was für mich ein Schritt nach vorn ist gegenüber all dem Gerede über Verschlüsselung in Militärqualität und das Nicht-Protokollieren, das in der VPN-Community allzu oft kursiert. Sie geben in ihrer Datenschutzerklärung (https://www.ivpn.net/privacy) sehr klar an, welche Informationen protokolliert werden und welche nicht. Das Schöne an Verbindungen zu IVPN-Servern ist ihre Multihop-Technologie, die es dir erlaubt, dich über zwei getrennte IVPN-Server zu verbinden, bevor du das offene Internet erreichst. Das gibt dir als Nutzer mehr Anonymität, da beide Server kompromittiert werden müssten, um deine Identität zu kompromittieren; es sei denn, sie schalteten natürlich die Protokollierung ein. Ihr Verwaltungsteam hat mir außerdem mitgeteilt, dass alle VPN-Server aus dem RAM laufen, sodass alles Geschriebene nur vorübergehend ist, bevor es gelöscht wird. Als Nutzer kann ich das nicht bestätigen, aber ich vertraue ihrem Wort. Hoffentlich ist das kein fehlplatziertes Vertrauen. Die verwendeten Verschlüsselungsprotokolle sind offen in ihren Antworten auf “18 Questions to ask your VPN Service Provider” auf ihrer Support-Seite dargelegt (https://www.ivpn.net/knowledgebase/108/Answers-for-18-Questions-to-ask-your-VPN-Service-provider.html). Sie geben an, durchgängig AES-256 mit 4096-Bit-RSA-Schlüsseln zu verwenden, was sie als “Paranoid Encryption” bezeichnen. Es würde mich interessieren, was ihre Gedanken zur Post-Quanten-Kryptografie sind. Beim Durchsehen der OpenVPN-Dateien, die dem Nutzer zum Download bereitstehen, konnte ich feststellen, dass sie TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-DSS-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA für die TLS-Cipher-Suite verwenden, du kannst also beruhigt sein, dass Perfect Forward Secrecy bei IVPN tatsächlich existiert. Sie verwenden das aktuell höchstmögliche Verschlüsselungsniveau für OpenVPN (abgesehen davon, dass sie DSS und SHA1 für ältere Clients zulassen), was eine sehr gute Sache ist. Du kannst die verwendete Verschlüsselung selbst bestätigen, indem du die .ovpn-Dateien von ihrer Website herunterlädst und sie in einem Texteditor öffnest, das bestätigt aber nicht, dass dieselben Standards auch in ihren nativen Apps eingesetzt werden. Aber mal ehrlich, warum sollten sie es nicht sein?

Was Zahlung und Preise angeht, liegt IVPN mit 100 USD für ein Jahresabonnement definitiv im oberen Bereich. Aber sie bieten PayPal, Bitcoin und Bargeld per Post, sodass zwei womöglich anonyme Zahlungsmethoden bereitstehen und eine sehr einfache, sich erneuernde Methode (PayPal). Ihre Tarife geben Zugriff auf alle Server, was eine schöne Abwechslung ist gegenüber den VPN-Anbietern, die ihre Tarife nach einer ganzen Reihe verschiedener Faktoren wie Geschwindigkeit, Serverstandorten usw. aufteilen. Die Registrierung war einfach und sie verlangten nicht mehr als eine E-Mail-Adresse, ein Passwort und meine Zahlung. Das hieß, es mussten keine identifizierenden Informationen herausgegeben werden. IVPN stellt außerdem monatlich einen Warrant Canary bereit, als Art zu sagen: “Hey, wir haben keine behördlichen Schweigeanordnungen erhalten”, und einen ganzen Bereich ihrer Website, der im Grunde dem Ziel gewidmet ist, hinter einem VPN zu 100 % anonym zu sein. Ich empfehle dir, ihn dir anzusehen, ich habe einen großen Teil meines eigenen Wissens aus diesen Texten gezogen: https://www.ivpn.net/privacy-guides

Zum Abschluss noch eine Anmerkung: Ich habe sehr viel mit ihrem Verwaltungsteam über PGP-verschlüsselte E-Mail überprüft (ziemlich großartig, dass sie recht ausführliche Gespräche mit mir in verschlüsselter Form führten), sodass ich ein hohes persönliches Vertrauen zu dem Unternehmen habe. Aber dass ich ein hohes persönliches Vertrauen habe, gibt dir nicht den Freibrief, ihnen ebenfalls einen Haufen deines Vertrauens zu schenken. Du solltest deine eigene Recherche betreiben und deine eigenen Fragen stellen, um sicherzugehen, dass sie das Unternehmen sind, das zu deinen Bedürfnissen passt. Ich zolle ihnen großen Respekt für die Arbeit, die sie leisten, aber ich lege nicht alle meine Eier in einen Korb. Ich bin mit ihrem Dienst über die Jahre wirklich zufrieden gewesen, stelle aber fest, dass es in einem sehr umkämpften Markt schwierig ist, irgendeinen einzelnen VPN-Dienst an die Spitze zu setzen.

Mullvad

Diese Neufassung der Mullvad-Bewertung ist durch ernsthafte Veränderungen im Unternehmen über die letzten 2 Jahre entstanden, seit ich mit diesem Text begonnen habe.

Mullvad ist ein Anbieter, den ich jetzt als “no bullshit” bezeichne. Sie umreißen ihren Dienst, ihr Unternehmen und ihre Praktiken sehr klar auf ihrer Website, ohne jegliches “Security-Theater”-Gerede über Verschlüsselung in Militärqualität und NULL-Protokollierungspraktiken. Zunächst behauptet ihre Website: “Für maximale Sicherheit verwenden wir physische Bare-Metal-Server (keine virtuellen Server), die von uns administriert und in sorgfältig ausgewählten Rechenzentren entweder besessen oder gemietet werden.” Ich musste auch nicht herumsuchen, um an diese Information zu kommen. Sie ist sehr bequem auf ihrer Features-Seite platziert und für jeden, der ihre Website prüft, leicht zugänglich. Sie geben außerdem sehr explizit die in den Verbindungen verwendete Verschlüsselung an:

  • Unsere Datenverschlüsselung ist AES-256
  • Alle unsere OpenVPN-Server verwenden 4096-Bit-RSA-Zertifikate (mit SHA512) zur Server-Authentifizierung
  • Alle unsere OpenVPN-Server verwenden 4096-Bit-Diffie-Hellman-Parameter für den Schlüsselaustausch
  • Alle unsere OpenVPN-Server verwenden DHE für Perfect Forward Secrecy
  • OpenVPN-Re-Keying wird alle 60 Minuten durchgeführt

Ich finde, dass diese Information so unmissverständlich auf ihrer Website darzulegen, ein großes Plus für ihre Fähigkeit ist, sich durch den VPN-Bullshit zu schneiden und dem Leser einfach die Fakten zu geben. Aber damit hören sie nicht auf. Ihre Features-Seite erklärt außerdem, dass Mullvad-Konten keine deiner Informationen zur Registrierung benötigen; nicht einmal eine E-Mail-Adresse. Du füllst einfach ein CAPTCHA aus und es erzeugt dir eine Zeichenfolge, die sowohl als Benutzername als auch als Passwort für die Verbindungen dient. Dies sowie eine Fülle weiterer Informationen zu den Daten, die sie erheben und speichern und nicht erheben und speichern, liest man am besten hier: https://mullvad.net/en/help/no-logging-data-policy/

Wenn du etwas tiefer in ihre Website eintauchst, wirst du feststellen, dass sie, wie IVPN, eine Art “Privacy Guides” veröffentlichen, hier: https://mullvad.net/en/help/guides/. Auch wenn diese Leitfäden nicht so “umfassend” zu sein scheinen wie die von IVPN veröffentlichten, sind sie dennoch eine wunderbare Ressource, die auf ihrer Website gelistet ist. Sie sind außerdem einer der ersten Anbieter, die ich mir angesehen habe und die das WireGuard-Protokoll für die Verbindung unterstützen. Auch wenn es derzeit nur für Linux verfügbar ist, setzt WireGuard einige raffinierte Kryptografie ein, die über einfaches AES-256 und 4096-Bit-RSA hinausgeht, nämlich: “Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, and secure trusted constructions.” Elliptische-Kurven-Kryptografie mit VPN-Verbindungen nutzen zu können, ist wunderbar.

Ein Punkt, den ich im Blog-Bereich ihrer Website besonders interessant fand, ist ihre Arbeit an Post-Quanten-Kryptografie und die Einführung eines VPNs in der Zukunft, das der drohenden Gefahr des Quantencomputings standhalten könnte (https://mullvad.net/en/blog/2017/12/8/introducing-post-quantum-vpn-mullvads-strategy-future-problem/). Einen Anbieter zu sehen, der in die Zukunft blickt, nicht zum eigenen finanziellen Vorteil, sondern für den Datenschutz und die Sicherheit seiner Kundschaft, ist wirklich schön. Ich glaube, dass diese Arbeit, parallel zur Arbeit, die ProtonMail mit sicherer E-Mail leistet, entscheidend ist, um Technologie zu entwickeln, die die Mindestanforderungen übertrifft und darüber hinausgeht.

Cryptostorm

Zuletzt kommen wir zu einem Anbieter, mit dem ich mich erst etwa im September 2015 ernsthaft zu befassen begann. Ich war mit IVPN noch sehr zufrieden, aber mein Abonnement neigte sich dem Ende zu, was einen weiteren langwierigen Prozess bedeutete, eine Zahlungsmethode zu anonymisieren, und ich wollte sicherstellen, dass das Unternehmen, das ich weiterhin unterstützen würde, in meinen persönlichen Bewertungen aus meinem Online-”Shopping” die meisten Sterne bekommt. Ich hatte einige erstaunliche Dinge über das CS-Netzwerk gehört und wollte ausführlicher erfahren, worum es ihnen geht, als nur durch ihre Seite zu blättern, wie ich es ein paar Jahre zuvor getan hatte.

Das Erste, was dir auffällt, wenn du auf die Website von Cryptostorm gehst, ist das, was viele als ein Durcheinander wahrnehmen, dem schwer zu folgen ist, das schwer zu lesen, aber irgendwie ansprechend ist. Es ist anders als bei allen anderen Anbietern und fast unprofessionell; aber dieses Gefühl des Andersseins scheint mich näher zu ziehen. Ähnlich wie Mullvad so geradlinig und minimalistisch war, erzählt die eigentümliche Art der Cryptostorm-Website eine Geschichte von Vielfalt. Zunächst sind sie ein Unternehmen, das “irgendwie” in Island sitzt, aber alle Finanzen aus Quebec in Kanada abwickelt (sie haben keinen wirklich klaren Standort, würde das nicht eine Vorladung an sie erschweren?). Island ist ein gutes, datenschutzorientiertes Land, in dem man eingetragen sein kann (auch wenn sie nirgendwo eine zentrale Niederlassung haben), und ich habe .is-Domains immer gemocht.

Auf ihrer Website zu navigieren, um an die Informationen zu kommen, die man bei der Wahl eines Anbieters haben möchte, war ziemlich schwierig, also habe ich mich an ihren IRC gewandt, um einige meiner Fragen beantwortet zu bekommen. Mit Token-basierter Authentifizierung war ich nicht vertraut, bevor ich herumfragte und eine ausführlichere Antwort erhielt, aber nach meinem Verständnis ersetzt sie die Benutzer-/Passwort-Authentifizierung durch ein erzeugtes Token, das vor der Verwendung gehasht werden muss. Dieses Token ist zufällig; es zu hashen macht es noch zufälliger. Der Server sollte also überhaupt keine Informationen über die Nutzer haben, sofern sie mit anonymisiertem Bitcoin zahlen (was die bevorzugte Zahlungsmethode ist, die sie anbieten). Die verwendete Verschlüsselung ist auf ihrer Seite nicht klar zu finden, man muss also etwas tiefer graben und zu ihrem GitHub gehen, um die .ovpn-Konfigurationsdateien selbst zu prüfen. Folgendes wird angezeigt:

ns-cert-type server auth SHA512 cipher AES-256-CBC replay-window 128 30 tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA tls-client key-method 2 #log devnull.txt #verb 0 #mute 1

Die verwendete Verschlüsselung scheint sehr hochwertig zu sein, mit DHE für Perfect Forward Secrecy, 256-Bit-AES und SHA512. Allerdings gibt das nicht die Größe der verwendeten RSA-Schlüssel an. Nachdem ich einen der Administratoren wegen der verwendeten Verschlüsselung kontaktiert hatte, war dies die Antwort-E-Mail, die ich erhielt. Es zeigt einem wirklich die Qualität, die Cryptostorm bietet, wenn sie bereit sind, so weit zu gehen, um für ihre Kunden zu sorgen.

Eine aktuelle Entwicklung bei Cryptostorm, die das Risiko von Korrelationsangriffen oder die Möglichkeit, dass deine IP jemals geleakt, Verschlüsselungsschlüssel kompromittiert oder die Identität offengelegt wird, ernsthaft verringern würde, ist als Voodoo bekannt. Mehr über diese aufkommende Idee kannst du auf der zugehörigen GitHub-Seite hier lesen: https://github.com/cryptostorm/voodoo.network

Was einen Warrant Canary angeht, bietet Cryptostorm keinen und scheint auch keine Pläne zu haben, das zu tun. Stattdessen bieten sie einen “Privacy Seppuku Pledge” an, was ihre Art ist zu sagen, dass wir abschalten, die Server wischen, alles löschen und uns totstellen, bevor wir Informationen über unsere Kunden preisgeben.

Insgesamt bin ich vom Dienst, den Cryptostorm bietet, sehr überzeugt und sicher, dass eine Person mit einem moderaten Bedrohungsmodell durch die Nutzung ihres VPNs maximale Sicherheit, Datenschutz und Anonymität erhalten könnte. Sie sind wie der Streber vorne in der Klasse, der unglaublich klug, aber sehr schwer greifbar und zu verstehen ist. Und ich finde, das ist eine gute Sache!