VPN Şifreleme: Nedir ve Nasıl Çalışır

Justin Oyaro

By Justin Oyaro . 14 Mayıs 2022

Cybersecurity Expert

Miklos Zoltan

Fact-Checked this

Sanal Özel Ağlar (Virtual Private Network/VPN), kullandıkları çeşitli güvenlik özellikleri, şifreleme ve protokoller sayesinde, internet üzerinde güvenli bir bağlantı sağlarlar.

Bu şifreleme teknikleriyle online bağlantınızın ve hareket hâlindeki verilerinizin hacker ve hatta hükûmetlerin bile meraklı gözlerinden uzak kalmasını sağlar.

Ticari VPN’ler arasında, güvenlik ve şifreleme teknolojisinin tam olarak ne olduğunu açıkça belirtmeyen markalar vardır.

Bu yüzden, VPN’lerin online bağlantınızı yetkisiz kişilerden nasıl koruduğunu anlamanız zaman zaman zor olabilir.

Biz bu yazımızda, şifrelemeyle ilgili bütün ayrıntıları, kolaylıkla anlayabileceğiniz bir şekilde size ulaştıracağız.

Bu bilgiler arasında, bir VPN’in bağlantı ve verilerinizi güvende tutmada kullandığı şifreleme ve protokoller bulunur.

Özet

VPN’ler, şifreleme ve şifre çözme gibi kavramlarla bilgiyi koruma alanını inceleyen kriptografi bilimini kullanır.

Encryption, yani şifreleme, düz metini (okunabilir bilgi) bir anahtar yardımıyla şifreli metne (okunamaz bilgi) dönüştürmektir. Decryption, yani şifreyi çözme ise şifreli metni bir anahtar yardımıyla düz metne dönüştürmektir.

Kriptografi işlemi ilk bakışta basit görünebilse de gizlilik, bütünlük, doğrulama ve bilgi ile bağlantınızı güvende tutan diğer tüm güvenlik ayrıntılarının da bulunduğu birçok farklı kavramı içerir.

Bunların arasında şifreleme algoritmaları, şifreleme kriptoları, tokalaşma şifrelemesi, HMAC doğrulama, Mükemmel İletme Gizliliği ve VPN protokolleri vardır.

Şimdi sözü fazla uzatmadan, bunlar nelermiş öğrenelim.

Yaygın VPN şifreleme algoritmaları ve teknikleri

İşte VPN’lerin online trafik ve bağlantınızı korumada kullandıkları en yaygın şifreleme teknikleri:

Özel anahtar şifrelemesi (Simetrik)

Simetrik şifreleme; düz metni şifrelemek ve şifreli metnin şifresini çözmek için iletişimdeki iki tarafın da aynı şifreye sahip olmasını zorunlu kılar.
Çoğu VPN bu şifreleme algoritmasını kullanmaktadır. Dahası, simetrik şifreleme Gelişmiş Şifreleme Standardı (AES) ve Blowfish gibi şifreleyicilerde kullanılır.

Açık anahtar şifrelemesi (Asimetrik)

Asimetrik şifreleme açık ve özel olmak üzere iki anahtardan oluşur. Açık anahtar, düz metni şifrelemede kulanılır. Şifreli metni ise yalnızca özel anahtar açabilir.

Asimetrik şifrelemede birçok kullanıcı ortak anahtara sahip olabilirken şifreyi çözmeye yarayan özel anahtar yalnızca yetkili kişilerde bulunur.

Tokalaşma şifrelemesi

Tokalaşma, iletişime geçen tarafların birbirlerini tanıyıp hangi şifreleme algoritması ya da anahtarını seçeceklerini belirlemelerini sağlayan bir anlaşma işlemidir.

Tokalaşma şifrelemesi için genellikle Rivest-Shamir-Adleman (RSA) algoritması kullanılır. Bazı VPN’ler ayrıca Elliptic-curve Diffie-Hellman (ECDH) anahtar takasını da kullanabilir.

RSA-2048 ve üzerini kırması çok zordur ve birçok sağlayıcı tarafından güvenli olarak kabul edilir. RSA çok basit seviyede bir dönüştürme kullanır ve oldukça yavaştır. Bu sebeple, verileri güvende tutmak için değil, yalnızca tokalaşmalarda kullanılır.

Elliptic curve Diffie-Hellman (ECDH), Diffie-Hellman (DH) tokalaşma şifrelemesinin gelişmiş versiyonudur. DH az sayıdaki bir asal sayı setini tekrar tekrar kullandığından açık verebilir.

Secure Hash Algorithm (SHA)

Güvenli Karma Algoritma (Secure Hash Algorithm/SHA), verileri ve SSL/TLS bağlantıları doğrulamada kullanılan karma bir algoritmadır.

Bu işlemde, doğru VPN sunucusuna bağlandığınızdan emin olmak için TLS sertifikasının geçerliliğini kontrol etmek amacıyla eşi olmayan bir parmak izi oluşturulur.

SHA kullanılmıyorsa hacker’lar online trafiğinizi VPN sunucuları yerine kendi sunucularına rahatlıkla yönlendirebilirdi.

Hash-Based Message Authentication Code (HMAC)

Karma Tabanlı Mesaj Doğrulama Kodu (Hash-Based Message Authentication Code/HMAC), kriptografik karma fonksiyonunu gizli bir kriptografik anahtarla birleştiren bir tür Mesaj Doğrulama Kodu’dur (MAC).

Bu teknik, verinin olması gerektiği gibi kalması için bütünlüğü ve doğrulamasını kontrol etmede kullanılır.

En iyi VPN’ler mümkün olan en sağlam güvenlik için SHA karma algoritmasıyla HMAC doğrulamasını birlikte kullanır.

Perfect Forward Secrecy (PFS)

Mükemmel İletme Gizliliği (Perfect Forward Secrecy/PFS), bir sunucunun özel anahtarı ele geçirilse bile oturum anahtarlarının güvende kalmasını sağlayan ve bir dizi anahtar anlaşma protokolü tarafından kullanılan (genelde RSA ve ECDH) bir şifreleme tekniğidir.

PFS her birkaç saniyede bir, şifreleme ve şifre çözme için yeni anahtarlar oluşturur.

Cipher

Cipher, şifreleme veya şifre çözme için kullanılabilen bir algoritmadır. Bir cipher’ın güvenlik standardı hem anahtar uzunluğu (128-bit, 192-bit veya 256-bit) hem de algoritmanın gücüyle belirlenir.

Genelde bir anahtar ne kadar uzunsa cipher da o kadar güçlü olur. Ancak bunun için daha fazla işlemci gücü gerekir.

Buna ek olarak, daha güçlü bir cipher’ın verileri şifreleyip çözmesi için daha fazla zaman gerekir. Çoğu VPN sağlayıcı, cipher seçimi yaparken güvenlik ile performansı dengelemeye çalışır.

VPN sağlayıcılarının şifreleme ve şifre çözmede tercih ettikleri birkaç cipher bulunur.

Bu cipher’lar sektörün en güçlüleri olarak kabul edilir. Bunlar Advanced Encryption Standard (AES), Blowfish ve Camellia’dır.

Advanced Encryption Standard (AES)

Gelişmiş Şifreleme Standardı (AES) 128-bit, 192-bit ve 256-bit olmak üzere farklı anahtarlar sunan bir özel anahtar cipher’ıdır. ABD hükûmetinin onayı ve NIST sertifikasıyla VPN sektöründe “altın standart” olarak kabul edilir.

AES ayrıca Cipher Block Chaining (CBC) ve Galois/Counter Mode (GCM) şeklinde blok cipher modlarına da sahiptir.

Cipher Block Chaining, blok cipher algoritmasını bir önceki blokla güçlendirir. Chaining (zincirleme) adını da zaten bu yüzden almıştır.

Her bir cipher metin bloku, düz metin bloklarının sayısına bağlı olduğu için zincirleme sayesinde kırılması çok zor bir hâle gelir. Ancak bu işlem, CBC’yi performans açısından yavaşlatır.

Galois/Counter Mode blok cipher’larında zincirleme yerine dönüştürme metodolojisini kullanır. Ayrıca şifrelemeyi doğrulamak için hashing sisteminden de faydalanır.

Bu mod, düşük işlemci gücüne sahip cihazlarda bile çok daha hızlı bir performans verir. Ancak VPN’lerin çoğu CBC’yi kullanır çünkü GCM moduna göre daha genelgeçerdir.

Blowfish

Blowfish, OpenVPN’in resmî cipher’ıdır. OpenVPN öncelikle Blowfish-128’i kullansa da 448’e kadar destek vermektedir.

Bu cipher güvenli olarak kabul edilir lakin bazı çalışmalar, çeşitli açıklarının olduğunu ortaya çıkarmıştır. Bu yüzden, Blowfish’i yalnızca 256-bit AES’in kullanılamadığı zamanlarda önermekteyiz.

Camellia

Camellia 128, 192 ve 256 bit anahtar büyüklüklerini destekleyen hızlı ve güvenli bir cipher’dır. Gelgelelim, Camellia’nın yalnızca ISO-IEC sertifikası vardır ve NIST sertifikası bulunmaz.

Bu yüzden bu cipher, AES gibi VPN’lerin gözdesi değildir.

Eğer AES’in ABD devletiyle olan yakın ilişkisi hoşunuza gitmiyorsa Camellia iyi bir seçenektir. Ancak unutmayın ki Camellia, AES gibi kapsamlı testlerden geçmiş değildir.

VPN Şifreleme Protokolleri

Bir VPN şifreleme protokolü, VPN’in cihazınız ile hedef sunucu arasında nasıl bir güvenli tünel oluşturacağını belirler. VPN sağlayıcıları, bağlantınızı ve online trafiğinizi korumak için farklı şifreleme protokolleri kullanırlar.

VPN şifreleme protokolleri hız, güvenlik standardı, hareket kabiliyeti ve genel performansa göre değişiklik gösterebilir. İşte VPN sektöründe en fazla kullanılan şifreleme protokolleri:

  • IKEv2/IPSec: Güvenli, stabil ve çok hızlı
  • OpenVPN: Sınıfının en iyisi. Çok güvenli, stabil ve oldukça hızlı
  • WireGuard: VPN sektörüne gireli çok olmasa da güvenlik, stabilite ve hız konusunda çok iyi bir denge sağlıyor
  • SoftEther: Piyasaya yeni giren protokollerden bir diğeri. Güvenli, stabil ve hızlı olarak kabul edilir

En iyi VPN Şifreleme Standartları Hangileri?

Her VPN, kullanıcısına için farklı güvenlik standartları sunar.

En iyi VPN şifrelemesi sorusuna cevap bulmak pek kolay değildir. Bir VPN’in teknik detaylarına bakarken şunlara dikkat edebilirsiniz:

  • RSA-2048 veya ECDH gibi anahtar değişim protokolleri
  • 256-bit şifreleme anahtarı uzunluğu
  • AES (GCM/CBC), Blowfish veya Camellia gibi askerî düzeyde cipher’lar
  • OpenVPN, WireGuard, IKEv2/IPSec ve SoftEther gibi yüksek performanslı VPN şifreleme protokolleri
  • HMAC doğrulaması için SHA-2 cipher’ı
  • Perfect Forward Secrecy desteği

Sonuç

VPN şifrelemesi geniş bir kavramdır ve anlaması zor olabilir. Yukarıdaki temel bilgilerle VPN şifrelemesinin nasıl çalıştığını daha iyi anlayabileceğinizi düşünüyoruz.

Bu bilgiler arasında çeşitli şifreleme algoritmaları, cipher’lar, şifreleme protokolleri ve VPN sağlayıcılarının güvenlik için kullandıkları diğer teknikler bulunur.

Eğer güvenli bir VPN sağlayıcı bulmakta zorluk çekiyorsanız yukarıdaki en iyi VPN şifreleme standartları kısmını okuyabilirsiniz.

Her VPN’in güvenlik ve gizliliğinize gerekli önemi göstermeyeceğini unutmayın. Bu yüzden bir VPN almadan önce araştırma yapmanız tavsiye edilir.

Sıkça Sorulan Sorular

Şu soruların cevapları işinize yarayabilir.

Bir VPN her şeyi şifreler mi?

Evet, VPN'ler siz interneti kullanırken aldığınız ve gönderdiğiniz her bilgiyi şifreler. VPN'ler ayrıca gerçek IP adresinizi de maskeler ve size, kullandığınız VPN sunucusunun oluşturduğu özel IP adresini atar. Bu sayede internette gizliliğinizi dert etmeden gönül rahatlığıyla gezebilirsiniz.


AES 256 şifreleme algoritması nedir?

AES 256, 256-bit anahtar uzunluğuna sahip özel bir anahtar cipher'ını kullanan bir şifreleme algoritmasıdır. AES ayrıca 128 ve 192 uzunluklarına da sahiptir ama 256-bit, güvenlik açısından en sağlamı olarak kabul edilir.


VPN şifrelemesi kırılabilir mi?

Hayır. Doğru uygulanmış VPN şifrelemeleri kırılamaz. Seçkin VPN sağlayıcıları size üst düzey güvenlik sağlamak için her türlü önlemleri alır. Ancak kötü bir VPN seçer ya da VPN'in güvenlik ayarlarını yanlış şekilde değiştirirseniz saldırılara maruz kalabilirsiniz.


VPN, HTTPS'den güvenli midir?

VPN de HTTPS de internetteki verilerinizi şifrelemede çok iyi bir iş çıkarır. Ancak VPN'ler daha güvenlidir ve mümkün olan en iyi güvenliği sağlamak için çeşitli şifreleme tekniklerini kullanırlar. Ayrıca VPN'ler tarayıcı etkinliği, online kimlik vb. dâhil olmak üzere her şeyi şifrelerken HTTPS yalnızca web trafiğinizi şifreler.


AES 256 kolaylıkla kırılabilir mi?

AES-256 bit şifrelemeyi kırmak neredeyse imkânsız olarak görülür. Bu şifrelemenin 128-bit gibi daha düşük versiyonlarını kırmak belki mümkün olabilir ama AES-256'yı kırmak için aşırı güçlü bilgisayarlarla bile çok çok uzun bir süre ve kaynak gerekir. Tabii yanlış uygulanan bir şifrelemeyle bilgi ve bağlantılarınız tehlikeye girebilir.


Leave a Comment