Как на самом деле работает шифрование VPN: AES-256, рукопожатие и туннелирование без тумана
Как на самом деле работает шифрование VPN: AES-256, рукопожатие и туннелирование без тумана
Большинство объяснений VPN-шифрования ограничиваются успокаивающим слоганом: «ваш трафик защищён шифрованием военного уровня AES-256». Это почти ничего не говорит о том, что на самом деле происходит с вашими данными. Самое интересное — то, что пропускает едва ли не каждая конкурирующая статья — это первый шаг любого защищённого соединения, когда два компьютера, которые никогда друг друга не видели, договариваются о секретном ключе, в то время как враждебная сеть следит за каждым переданным байтом.
Эта статья прослеживает один-единственный пакет ваших данных на протяжении всего жизненного цикла: рукопожатие, обмен ключами, симметричное шифрование, которое выполняет основную работу, туннелирование, упаковывающее всё воедино, и расшифровку на другом конце. Попутно мы объясним, чем на самом деле является AES-256, почему выражение «военного уровня» — это маркетинг, а не техническая характеристика, и где именно начинается и заканчивается ваша защита. Без увиливаний и без нагнетания страха.
Два вида криптографии и почему VPN нужны оба
Прежде чем проследить путь пакета, вам нужна одна базовая мысль: существуют два принципиально разных семейства шифрования, и VPN использует каждое из них для своей задачи.
Симметричное шифрование использует один общий ключ и для запирания, и для отпирания. Один и тот же секрет шифрует данные и расшифровывает их. Оно чрезвычайно быстрое — современные процессоры шифруют симметричные данные со скоростью в гигабайты в секунду благодаря специальным инструкциям AES (чипы Intel и AMD поставляются с аппаратным ускорением AES-NI примерно с 2010 года). Подвох очевиден: обеим сторонам нужен один и тот же ключ, а просто так передать секретный ключ через ненадёжную сеть, где слушают перехватчики, нельзя.
Асимметричное шифрование (криптография с открытым ключом) использует математически связанную пару ключей: открытый ключ, который может знать кто угодно, и закрытый ключ, остающийся в тайне. То, что заперто одним, можно отпереть только другим. Это изящно решает проблему распространения ключей — открытым ключом можно делиться в открытую, — но оно гораздо медленнее и непрактично для шифрования непрерывного потока трафика.
Изящный приём, лежащий в основе каждого VPN (и каждого сайта на HTTPS), состоит в их сочетании: использовать медленную асимметричную математику один раз, в самом начале, исключительно для того, чтобы договориться о быстром симметричном ключе. Затем тяжёлую машинерию отбрасывают и позволяют быстрому шифру выполнять всю основную работу. Эту начальную переговорную фазу называют рукопожатием.
Шаг 1: Рукопожатие и обмен ключами
Когда ваше VPN-приложение подключается, ваше устройство и VPN-сервер выполняют рукопожатие, прежде чем будет защищён хоть один байт вашего сёрфинга. Цель узкая и конкретная: получить на обеих машинах идентичный симметричный ключ, который не смог бы вычислить ни один наблюдатель, и подтвердить, что сервер именно тот, за кого себя выдаёт.
Сначала идёт аутентификация. Сервер предъявляет сертификат, содержащий его открытый ключ, а ваш клиент проверяет цифровую подпись, чтобы убедиться, что общается с настоящим сервером, а не с самозванцем, проводящим атаку «человек посередине» (machine-in-the-middle). Именно здесь обычно вступают в дело подписи RSA или ECDSA.
Затем наступает согласование ключа, и этот шаг стоит понять. Современные VPN используют Диффи-Хеллмана, почти всегда его эллиптическую разновидность ECDH. Диффи-Хеллман — замечательный образец математики: обе стороны обмениваются открытыми значениями в открытом виде, каждая комбинирует открытое значение другой стороны со своим собственным закрытым секретом и — благодаря лежащей в основе теории чисел — обе независимо приходят к одному и тому же общему секрету. Перехватчик, который записал всё переданное по проводу, всё равно не может вывести этот секрет, потому что закрытые половины никуда не путешествуют.
Вся цель рукопожатия — изготовить общий секрет на виду у всех: ключ, который оба конца вычисляют одинаково, но который ни один наблюдатель не может восстановить из трафика, прошедшего у него на глазах.
Из этого общего секрета обе стороны выводят симметричные сеансовые ключи, которые будут шифровать ваш настоящий трафик. Затратный шаг с открытым ключом на этом завершён. В WireGuard этот обмен построен на Curve25519; в OpenVPN и IKEv2/IPsec он согласуется как часть рукопожатия TLS или IKE. Конкретные названия различаются, но схема у всех них одинакова.
Шаг 2: Что на самом деле представляет собой AES-256
Имея на руках общий симметричный ключ, VPN переключается на свой рабочий шифр — чаще всего это AES, Advanced Encryption Standard (продвинутый стандарт шифрования). AES был стандартизирован Национальным институтом стандартов и технологий США (NIST) в 2001 году и выбран в ходе открытого публичного конкурса; алгоритм-победитель изначально назывался Rijndael и был разработан бельгийскими криптографами Йоаном Дейменом и Винсентом Рейменом.
Вот что маркетинг объясняет редко. AES — это блочный шифр: он шифрует данные фиксированными блоками по 128 бит (по 16 байт за раз). «256» относится к длине ключа — 256 бит, — а не к размеру блока. AES прогоняет каждый блок через несколько раундов подстановки, перестановки и перемешивания: AES-128 использует 10 раундов, AES-192 — 12, а AES-256 — 14 раундов. Больше раундов и более длинный ключ означают больший запас безопасности при небольшой потере производительности.
Размер блока: 128 бит, одинаковый для всех вариантов AES.
Длина ключа: 128, 192 или 256 бит — это единственное, к чему относится цифра.
Раунды: 10 / 12 / 14 соответственно — больше проходов преобразования для более длинных ключей.
Режим имеет значение: «голому» AES нужен режим работы (например, GCM или CBC), чтобы безопасно шифровать потоки; VPN использует аутентифицированный режим, а не голое блочное шифрование.
«Шифрование военного уровня»: разоблачаем ярлык
«Шифрование военного уровня» — это маркетинговое выражение, а не техническая сертификация. Нет органа по стандартам, который штампует ПО как «военного уровня». Под этим продавцы подразумевают, что AES-256 одобрен Агентством национальной безопасности США для защиты секретной информации вплоть до уровня TOP SECRET (совершенно секретно) — и это правда, но то же руководство АНБ одобряет и AES-128 для данных уровня SECRET. Оба — это AES; оба считаются безопасными.
Честная версия такова: и AES-128, и AES-256, насколько известно публичному криптоанализу, фактически невзламываемы методом полного перебора. У 128-битного ключа 2^128 возможных значений — примерно 340 ундециллионов. Даже если бы вы захватили все компьютеры на Земле, вы не подобрали бы перебором ни один ключ AES-128 раньше, чем погаснет Солнце. Пространство ключей AES-256 в 2^256 — не «вдвое» сильнее; оно снова астрономически больше, но вы и так уже были за пределами практической атаки. Реальная разница между AES-128 и AES-256 против полного перебора для всех практических целей равна нулю — оба недосягаемы.
Тогда зачем предпочитать AES-256? Отчасти ради запаса против будущих достижений криптоанализа, отчасти потому, что квантовые вычисления (подробнее об этом ниже) теоретически вдвое уменьшают эффективную стойкость ключа, оставляя AES-256 с более комфортным буфером. Но если VPN вас защищает, то не из-за разницы между 128 и 256 битами. Это из-за всего того, что вокруг шифра — рукопожатия, управления ключами, реализации. Безупречный шифр со сломанным рукопожатием не защищает ничего.
Шаг 3: Туннелирование — упаковка пакета
Теперь сами данные. Допустим, вы запрашиваете веб-страницу. Ваше устройство собирает обычный IP-пакет: заголовок с адресом назначения и полезную нагрузку с вашим запросом. Без VPN этот пакет идёт через сеть вашего интернет-провайдера с видимым адресом назначения — а зачастую и содержимым.
С VPN происходит инкапсуляция. VPN-клиент берёт ваш исходный пакет целиком — вместе с заголовком — и шифрует его в нечитаемый блок данных с помощью симметричного сеансового ключа. Затем он заворачивает этот блок внутрь нового внешнего пакета. Заголовок внешнего пакета сообщает внешнему миру только одно: это трафик, идущий к VPN-серверу. Ваш исходный адрес назначения запечатан внутри зашифрованной полезной нагрузки.
Это и есть «туннель». Это не физическая труба; это конструкция вроде матрёшки, где ваш настоящий пакет становится зашифрованным грузом нового. Любой, кто наблюдает за вашей локальной сетью — ваш провайдер, кто-то в той же кофейне на одном Wi-Fi, сетевой оператор, — видит зашифрованные пакеты, идущие к IP-адресу VPN-сервера, и ничего о том, что внутри и куда они в конечном счёте направляются.
Исходный пакет: ваш настоящий адрес назначения + ваши данные — видны без VPN.
Зашифрованная полезная нагрузка: весь этот пакет, перемешанный сеансовым ключом.
Новый внешний заголовок: адресован только VPN-серверу — всё, что может прочитать перехватчик.
Итог: наблюдатели узнают, что вы пользуетесь VPN и сколько данных проходит, но не их содержимое и не конечный адрес назначения.
Шаг 4: Расшифровка на сервере и обратный путь
Завёрнутый пакет достигает VPN-сервера. У сервера есть соответствующий симметричный сеансовый ключ, поэтому он расшифровывает внешнюю полезную нагрузку, восстанавливает ваш исходный пакет и читает его настоящий адрес назначения. Затем он переправляет этот запрос дальше в большой интернет от вашего имени — но теперь запрос выглядит исходящим с IP-адреса сервера, а не вашего. Именно поэтому VPN меняет ваше видимое местоположение.
Сайт отвечает VPN-серверу. Сервер шифрует этот ответ тем же сеансовым ключом, инкапсулирует его и отправляет обратно через туннель на ваше устройство, которое его расшифровывает. Каждый обмен в обе стороны повторяет это: зашифровать, инкапсулировать, передать, деинкапсулировать, расшифровать. Поскольку симметричный шифр аппаратно ускорен, это добавляет лишь небольшие накладные расходы — задержка, которую вы замечаете, — это в основном физический крюк, который проделывает ваш трафик через сервер, а не математика.
Дело не только в секретности: целостность и аутентификация
Шифрование скрывает ваши данные, но само по себе не доказывает, что данные пришли без изменений. Изощрённый злоумышленник иногда может переворачивать биты в шифротексте, чтобы испортить или подменить открытый текст, даже не расшифровывая его. Безопасные VPN защищаются от этого проверками целостности и аутентификации, а не одной лишь конфиденциальностью.
Более старые конструкции навешивают отдельный HMAC (код аутентификации сообщения на основе хеша): криптографическую метку, вычисленную по пакету, чтобы получатель мог обнаружить любое вмешательство. Современные конструкции используют шифры AEAD — Authenticated Encryption with Associated Data (аутентифицированное шифрование со связанными данными), — которые объединяют шифрование и целостность в одну операцию. AES-GCM и ChaCha20-Poly1305 — две доминирующие конструкции AEAD. Если изменить хотя бы один бит AEAD-пакета в пути, проверка метки аутентификации не пройдёт, и пакет будет отброшен, а не принят на веру.
ChaCha20-Poly1305 заслуживает упоминания, потому что WireGuard использует его исключительно, и он применяется по умолчанию на устройствах без аппаратного ускорения AES — многие телефоны и маломощные процессоры выполняют ChaCha20 быстрее и с более постоянным временем, чем AES. Он не слабее AES; это другой, столь же уважаемый современный шифр, разработанный Дэниелом Дж. Бернштейном.
Совершенная прямая секретность: почему украденный ключ — не мастер-ключ
Вот свойство, отделяющее серьёзные конфигурации VPN от небрежных: совершенная прямая секретность (PFS, perfect forward secrecy). Сеансовые ключи, выведенные во время рукопожатия, эфемерны — временны, генерируются заново для каждого сеанса, периодически сменяются, а затем уничтожаются. Они никогда не записываются на диск как долговременные секреты.
Следствие важно. Предположим, противник записывает сегодня весь ваш зашифрованный трафик и сохраняет его, а спустя годы взламывает VPN-сервер и крадёт его долговременный закрытый ключ. При прямой секретности этот украденный ключ не расшифровывает задним числом ваши прошлые сеансы, потому что настоящие сеансовые ключи были эфемерны и исчезли — их вообще нельзя было вывести из одного долговременного ключа. Каждый сеанс запечатан в своём собственном моменте. Именно поэтому рукопожатие использует эфемерный Диффи-Хеллман (часто записывается как ECDHE, последняя E — за «ephemeral», эфемерный), а не повторно использует статический ключ.
Где заканчивается шифрование: выходной узел имеет значение
Распространённое заблуждение в том, что VPN шифрует ваш трафик на всём пути до сайта. Это не так. Шифрование VPN защищает участок между вашим устройством и VPN-сервером — и точка. Как только сервер расшифровал ваш пакет и переправил его к настоящему адресату, ваши данные продолжают путь по публичному интернету под той защитой, какую обеспечивает этот адресат.
Вот почему HTTPS по-прежнему важен даже с VPN. Если вы заходите на сайт с https://, этот трафик несёт собственное независимое сквозное шифрование TLS, поэтому он остаётся защищён и после выхода из VPN. Но если вы отправляете что-то по обычному http://, оно покидает VPN-сервер в открытом виде и читаемо для любого между сервером и адресатом. VPN смещает того, кто может видеть ваш незашифрованный выходной трафик, — от вашего локального провайдера к VPN-провайдеру и последующей сети, — но он не делает открытый текст волшебным образом безопасным. Выбирайте провайдера, которому вы готовы доверить эту позицию, и продолжайте пользоваться HTTPS.
Распространённые мифы, исправленные
«AES-256 невзламываем». Ни одна серьёзная система не невзламываема навсегда, и атаки в любом случае редко нацелены на сам шифр — они нацелены на слабые ключи, ошибочные реализации, утёкшие учётные данные или на человека, пользующегося программой. Математика — самое прочное звено; всё вокруг неё мягче.
«Его просто взломают перебором». Перебор 128-битного ключа не медленный — он физически невозможен. Цифры превосходят бюджет энергии и времени наблюдаемой Вселенной. Реальные взломы происходят от обхода шифра, а не от его одоления.
«Квантовые компьютеры мгновенно сломают мой VPN». Это самое раздутое утверждение. Алгоритм Гровера теоретически мог бы вдвое уменьшить эффективную стойкость симметричного ключа, снизив AES-256 до всё ещё комфортного запаса в ~128 бит. Большую долгосрочную тревогу вызывает асимметричное рукопожатие (RSA/ECDH), которому угрожает алгоритм Шора, — поэтому отрасль переходит к постквантовому обмену ключами. Но сегодня не существует квантового компьютера, способного на это, а «собери сейчас, расшифруй потом» — это будущий риск, а не нынешний взлом.
«Чем больше битов, тем безопаснее». За определённым порогом длина ключа перестаёт иметь значение против перебора. Дизайн протокола, прямая секретность и чистая реализация определяют реальную безопасность куда сильнее, чем 128 против 256.
Практический вывод
Если убрать слоганы, шифрование VPN — это чистый, хорошо изученный конвейер: рукопожатие с открытым ключом запускает общий симметричный ключ, этот ключ управляет быстрым аутентифицированным шифром вроде AES-GCM или ChaCha20-Poly1305, ваши пакеты инкапсулируются внутри зашифрованных внешних пакетов, а эфемерные ключи гарантируют, что сегодняшние секреты останутся секретными, даже если завтра сервер будет взломан.
Шифр (AES-128 против AES-256) редко бывает решающим фактором — оба далеко за пределами перебора.
Отдавайте приоритет современному протоколу (WireGuard или хорошо настроенный OpenVPN/IKEv2), аутентифицированному шифрованию AEAD и совершенной прямой секретности.
Помните, что шифрование заканчивается на VPN-сервере — продолжайте пользоваться HTTPS для настоящей сквозной защиты.
Относитесь к «военному уровню» и «невзламываемости» как к маркетинговому шуму; судите о VPN по его реализации, обращению с ключами и доверию, которое вы оказываете его оператору.
Часто задаваемые вопросы
«Шифрование военного уровня» — это реальность или просто маркетинг?
Это маркетинг. Никакой официальной сертификации «военного уровня» не существует. Обычно это выражение отсылает к AES-256, который АНБ США действительно одобряет для секретных данных вплоть до уровня TOP SECRET, — но АНБ одобряет и AES-128 для данных уровня SECRET. Шифр реален и силён; ярлык — лишь продающий термин, обёрнутый вокруг него.
Что такое шифрование AES-256, если объяснить просто?
AES-256 — это Advanced Encryption Standard с 256-битным ключом. Это блочный шифр, который перемешивает данные кусками по 128 бит через 14 раундов математических преобразований. «256» относится только к длине ключа, а не к размеру блока, и это один из самых проанализированных и доверенных шифров в сегодняшнем использовании.
Что на самом деле происходит во время рукопожатия VPN?
Рукопожатие VPN аутентифицирует сервер (через сертификат и цифровую подпись) и выполняет обмен ключами — обычно эллиптический Диффи-Хеллман, — так что обе стороны независимо вычисляют один и тот же секретный симметричный ключ, ни разу не передавая его по сети. Затем этот симметричный ключ шифрует весь ваш настоящий трафик, превращая медленную математику с открытым ключом в одноразовый этап настройки.
Как работает туннелирование VPN?
Туннелирование VPN, или инкапсуляция, берёт ваш исходный пакет данных, полностью его шифрует и заворачивает внутрь нового внешнего пакета, адресованного только VPN-серверу. Наблюдатели в вашей локальной сети видят зашифрованный трафик, идущий к серверу, и ничего о его содержимом или настоящем адресе назначения. Сервер разворачивает и расшифровывает его, а затем переправляет к реальному адресату.
AES-256 лучше AES-128 для VPN?
На практике разница против атак полным перебором ничтожна — оба вычислительно невозможно взломать, поскольку даже пространство ключей AES-128 в 2^128 превосходит любую реалистичную вычислительную мощь. AES-256 даёт больший запас безопасности и лучший буфер против будущих квантовых достижений, но реальная безопасность VPN зависит куда больше от дизайна протокола, прямой секретности и качества реализации, чем от размера ключа.
Что такое совершенная прямая секретность и почему это важно?
Совершенная прямая секретность означает, что каждый сеанс использует временные, эфемерные ключи, которые генерируются заново, а затем уничтожаются. Если злоумышленник позже украдёт долговременный закрытый ключ VPN-сервера, он всё равно не сможет расшифровать ваши прошлые записанные сеансы, потому что тех сеансовых ключей больше не существует и их вообще нельзя было вывести из одного долговременного ключа. Это защищает вашу историю от будущей компрометации.
Шифрует ли VPN мой трафик на всём пути до сайта?
Нет. Шифрование VPN защищает только участок между вашим устройством и VPN-сервером. Как только сервер расшифровывает ваш трафик и переправляет его дальше, защита зависит от адресата — сайты на HTTPS остаются зашифрованными от конца до конца, но трафик по обычному HTTP покидает VPN-сервер в читаемом открытом виде. Поэтому вам стоит продолжать пользоваться HTTPS даже с VPN.
