VPN-versleuteling: wat is het en hoe werkt het

Justin Oyaro

By Justin Oyaro . 8 december 2023

Cybersecurity Expert

Miklos Zoltan

Fact-Checked this

Virtuele privé netwerken (VPN’s) bieden een veilige verbinding via internet, dankzij de verschillende versleutelingen, protocollen en ciphers die een VPN gebruikt.

Deze versleutelingstechnieken zorgen ervoor dat je online verbinding en gegevens onderweg veilig zijn voor nieuwsgierige ogen zoals hackers en zelfs de overheid.

Niet elke commerciële VPN geeft openlijk de technische details van zijn beveiligings- en versleutelingstechnologie weer.

Dit maakt het dus lastig om te begrijpen hoe een VPN je online verbinding beschermt tegen onbevoegde partijen.

In dit artikel leer je op een vereenvoudigde manier alles over VPN-versleuteling.

Dit omvat de soorten versleuteling, coderingen en de protocollen die een VPN gebruikt om je verbinding en gegevens veilig te houden.

Korte samenvatting

Een VPN implementeert het gebruik van cryptografie, waaronder het beveiligen van informatie met behulp van concepten zoals encryptie en decryptie.

Encryptie omvat het omzetten van platte tekst (leesbare informatie) naar ciphertext (onleesbare informatie) met behulp van een sleutel. Decryptie is het omgekeerde – het omzetten van ciphertext naar platte tekst met behulp van een sleutel.

Het cryptografieproces ziet er eenvoudig uit, maar het gaat om andere concepten die met elkaar verweven zijn om vertrouwelijkheid, integriteit, authenticatie en alle beveiligingsgegevens die je informatie en verbinding beveiligen te garanderen.

Deze omvatten versleutelingsalgoritmen, versleutelingscodes, handdrukversleuteling, HMAC-verificatie, Perfect Forward Secrecy en VPN-protocollen.

Laten we beginnen!

Algemene VPN-versleutelingsalgoritmen en -technieken

Hier zijn de meest voorkomende soorten versleutelingstechnieken die VPN’s gebruiken om je online verkeer en verbinding te beveiligen:

Privésleutelversleuteling (symmetrisch)

Symmetrische versleuteling dicteert beide communicerende partijen om dezelfde sleutel te hebben om de platte tekst te versleutelen en de versleutelde tekst te ontcijferen.

De meeste VPN’s gebruiken dit versleutelingsalgoritme. Bovendien wordt symmetrische versleuteling gebruikt door ciphers zoals Advanced Encryption Standard (AES) en Blowfish.

Openbare sleutel encryptie (asymmetrisch)

Asymmetrische versleuteling gebruikt twee sleutels, een openbare en een privésleutel. De openbare sleutel wordt gebruikt om platte tekst te versleutelen, maar alleen de private sleutel kan de versleuteling ontcijferen.

Asymmetrische encryptie vereist dat de meeste gebruikers de publieke sleutel hebben, maar alleen de bevoegde partij kan de private sleutel voor decryptie hebben.

Handdrukversleuteling

Een handdruk is een onderhandelingsproces dat communicerende partijen in staat stelt elkaar te erkennen en het eens te worden over welke encryptie-algoritmen of sleutels te gebruiken.

In de meeste gevallen wordt het Rivest-Shamir-Adleman (RSA) algoritme gebruikt voor handdrukversleuteling. Andere VPN’s gebruiken ook de Elliptic-curve Diffie-Hellman (ECDH) sleuteluitwisseling.

RSA-2048 of hoger is moeilijk te breken en wordt door de meeste providers als veilig beschouwd. RSA maakt gebruik van een eenvoudige transformatie en is erg traag. Om deze reden wordt het gebruikt voor handshakes en niet voor het beveiligen van gegevens.

Elliptic-curve Diffie-Hellman (ECDH) is een verbetering ten opzichte van de Diffie-Hellman (DH) handshake-encryptie. DH hergebruikt een beperkte set priemgetallen, waardoor het kwetsbaar is.

Secure Hash Algorithm (SHA)

Het Secure Hash Algorithm (SHA) is een hashing-algoritme dat wordt gebruikt om gegevens en SSL/TLS-verbindingen te verifiëren.

Het proces wordt versterkt door een unieke vingerafdruk die wordt gemaakt om de geldigheid van het TLS-certificaat te controleren als bevestiging dat je verbinding maakt met de juiste VPN-server.

Het is essentieel om te vermelden dat zonder SHA een digitale hacker gemakkelijk je online verkeer naar hun server kan omleiden in plaats van de bestemmingsservers van de VPN.

Hash-Based Message Authentication Code (HMAC)

Hash-Based Message Authentication Code (HMAC) is een type van Message Authentication Code (MAC) dat een cryptografische hash-functie koppelt aan een geheime cryptografische sleutel.

De techniek wordt gebruikt om de gegevensintegriteit en authenticatie te controleren om ervoor te zorgen dat deze intact blijft.

De meeste goede VPN’s gebruiken vaak de hashing-algoritmen SHA naast HMAC-authenticatie voor maximale veiligheid.

Perfect forward secrecy (PFS)

Perfect Forward Secrecy (PFS) is een handige versleutelingstechniek die wordt gebruikt door een reeks sleutelovereenkomstenprotocollen (voornamelijk RSA en ECDH) om ervoor te zorgen dat sessiesleutels ongecompromitteerd blijven, zelfs als de privésleutel van een server gecompromitteerd is.

PFS genereert om de paar seconden nieuwe sleutels die worden gebruikt voor versleuteling en decryptie.

Ciphers

Een versleuteling is een algoritme dat je kunt gebruiken voor versleuteling of decryptie. De beveiligingsstandaard van een cipher wordt bepaald door zowel de sleutellengte (128-bits, 192-bits of 256-bits) als de sterkte van de algoritmen.

Over het algemeen geldt: hoe langer de sleutellengte, hoe sterker de versleuteling. Maar dit vereist ook meer processorkracht.

Bijgevolg zal een sterkere cipher meer tijd nodig hebben om gegevens te versleutelen en te decoderen. Daarom proberen de meeste VPN-aanbieders vaak een evenwicht te vinden tussen de beveiligingsprestaties wanneer ze een keuze maken voor een cipher.

Er is een select aantal versleutelingen die VPN-providers vaak gebruiken voor versleuteling en decryptie.
Deze versleutelingen worden beschouwd als de veiligste in de industrie, en ze omvatten Advanced Encryption Standard (AES), Blowfish en Camellia.

Advanced Encryption Standard (AES)

AES is een private sleutelcipher die een reeks sleutels biedt, waaronder 128-bits, 192-bits en 256-bits. AES staat bekend als de ‘gouden standaard’ van de VPN-industrie, dankzij de erkenning van de Amerikaanse overheid en de certificering door NIST.

De AES cipher biedt ook blok cipher modes; de Cipher Block Chaining (CBC) en Galois/Counter Mode (GCM).

Cipher Block Chaining versterkt het blokcijferalgoritme met het voorgaande blok, vandaar de naam chaining.

Dit maakt het dus moeilijk om te kraken, omdat elk versleutelde tekstblok afhankelijk is van het aantal platte tekstblokken. Dit maakt de CBC langzamer wat betreft prestaties.

Galois/Counter Mode gebruikt de transformatiemethodieken voor blokcoderingen in plaats van ze te ketenen. Het combineert ook hashing om geverifieerde versleuteling te garanderen.

Deze modus levert snellere prestaties met een hoge beveiliging, zelfs in apparaten met een lage processorkracht. Minder VPN’s maken echter gebruik van GCM aangezien CBC algemeen aanvaard is.

Blowfish

Blowfish staat bekend als de officiële cipher van OpenVPN. Dit VPN-protocol maakt hoofdzakelijk gebruik van Blowfish-128, maar ondersteunt andere niveaus oplopend tot 448.

Deze cipher wordt als veilig beschouwd, maar studies suggereren dat het enkele zwakke punten heeft. Daarom raden we deze optie alleen aan als de 256-bits AES geen optie is.

Camellia

Camellia is een snelle en veilige cipher die sleutelgroottes van 128, 192 en 256 bits ondersteunt. Camellia is echter alleen gecertificeerd door de ISO-IEC, maar niet door NIST.

Dit betekent dat de cipher niet populair is onder VPN’s zoals zijn tegenhanger AES.

Als je de sterke banden van AES met de Amerikaanse overheid niets vindt, is Camellia een optie om te overwegen. Maar houd er rekening mee dat Camellia niet zo grondig is getest als AES.

VPN-versleutelingsprotocollen

Het VPN-versleutelingsprotocol beschrijft hoe een VPN een veilige tunnel tussen je apparaat en de doelserver creëert. Dat gezegd hebbende gebruiken VPN-providers verschillende versleutelingsprotocollen om je verbinding en online verkeer te beveiligen.

De VPN-versleutelingsprotocollen variëren in snelheid, beveiligingsstandaarden, mobiliteit en algemene prestaties. Hier zijn enkele van de meest gebruikte VPN-versleutelingsprotocollen in de branche:

  • IKEv2/IPSec: veilig, stabiel en zeer snel
  • OpenVPN: de beste in zijn klasse. Zeer veilig, stabiel en redelijk snel
  • WireGuard: is een recente toevoeging aan de VPN-industrie en biedt een indrukwekkende balans van veiligheid, betrouwbaarheid en hoge snelheden
  • SoftEther: is ook nieuw op de markt en wordt beschouwd als veilig, stabiel en snel

Wat zijn de beste VPN-versleutelingsstandaarden?

Verschillende VPN’s bieden verschillende beveiligingsstandaarden aan hun gebruikers.

Hoewel het een moeilijke keuze is om te bepalen wat de beste versleutelingsstandaarden voor VPN’s zijn, zijn hier de technische basisdetails om in een VPN te zoeken:

  • Sleuteluitwisselingsprotocollen zoals RSA-2048 of ECDH
  • Encryptiesleutel van 256-bit
  • Ciphers van militaire kwaliteit zoals AES (GCM/CBC), Blowfish of Camellia
  • Hoogwaardige VPN-versleutelingsprotocollen zoals OpenVPN, WireGuard, IKEv2/IPSec en SoftEther
  • SHA-2-codering voor HMAC-verificatie
  • Ondersteunt Perfect Forward Secrecy

Conclusie

VPN-versleuteling is een breed concept en kan lastig te begrijpen zijn. Desalniettemin heb je nu met bovenstaande basisprincipes een beter begrip van hoe VPN-versleuteling werkt.

Dit betreft verschillende versleutelingsalgoritmen, coderingen, versleutelingsprotocollen en andere technieken die door verschillende VPN-providers voor beveiliging worden gebruikt.

Als je sceptisch bent over het nemen van de juiste beveiligde VPN, controleer dan het bovenstaande gedeelte over de beste VPN-versleutelingsstandaard.

Vergeet niet dat niet alle VPN’s je veiligheid en privacy centraal stellen; daarom is een grondig onderzoek noodzakelijk.

Veelgestelde vragen

Sommige mensen vonden de antwoorden op deze vragen nuttig

Versleutelt een VPN alles?

Ja, een VPN versleutelt elk stukje informatie dat je verstuurt en ontvangt tijdens je gebruik van het internet. VPN's maskeren ook je werkelijke IP-adres en wijzen je een privé IP-adres toe dat wordt gegenereerd vanaf de VPN-server die je op dat moment gebruikt. Zodoende kun je online browsen zonder over je schouder te kijken.


Wat is het AES 256 encryptie-algoritme?

AES 256 is een encryptie-algoritme dat gebruik maakt van een private sleutelcipher met een sleutellengte van 256-bits. AES kan ook andere sleutelgroottes van 128 en 192 gebruiken, maar 256 wordt beschouwd als de beste wat betreft beveiligingsnormen in de industrie.


Kan VPN-versleuteling worden verbroken?

Nee. VPN-versleuteling kan niet worden verbroken wanneer correct geïmplementeerd. Betrouwbare VPN-providers nemen voorzorgsmaatregelen die ervoor zorgen dat je topklasse beveiliging krijgt. Als je echter een slechte VPN-provider kiest of de beveiligingsinstellingen van een VPN verkeerd aanpast, dan zul je waarschijnlijk kwetsbaar worden voor aanvallen.


Is een VPN veiliger dan HTTPS?

Zowel VPN's als HTTPS zijn uitstekend in het versleutelen van je gegevens via internet. VPN's zijn echter veiliger en maken gebruik van een breed scala aan versleutelingstechnieken om een maximale beveiliging te bereiken. VPN's versleutelen ook alles, inclusief je browse-activiteit, online identiteit en meer. HTTPS versleutelt alleen je webverkeer.


Kun je gemakkelijk AES 256 kraken?

Het is misschien wel onmogelijk om de AES-256 bit te kraken. Je kunt proberen om lagere versies van de encryptie te kraken, zoals 128-bits, maar het zal eindeloze resources vereisen en eeuwen duren om AES-256 te kraken, zelfs met supercomputers. Je informatie of verbinding kan echter in gevaar komen wanneer deze slecht wordt geïmplementeerd.


Leave a Comment