Mật mã học hiện đại

Tại NymVPN, chúng tôi tập trung vào việc bảo mật dữ liệu của bạn với những công cụ mã hóa mạnh mẽ và tiên tiến nhất. Chúng tôi đã lựa chọn kỹ lưỡng các giao thức này để đảm bảo kết nối VPN của bạn là riêng tư, nhanh chóng và đáng tin cậy.

11 phút Đọc

1. Curve25519: Strong Foundations for Secure Encryption

Tâm điểm của các giao thức NymVPN là Curve25519, một đường cong ellip tiêu chuẩn trong ngành được công nhận về tính bảo mật mạnh mẽ và hiệu suất tối ưu. Chúng tôi sử dụng các thuật toán tiên tiến X25519 và Ed25519, được xây dựng trên Curve25519, để đảm bảo tạo và quản lý khóa mạnh mẽ.

Trao đổi khóa một cách an toàn: Với X25519, chỉ có thiết bị của bạn và máy chủ proxy được chỉ định mới có thể tạo ra khóa mã hóa chia sẻ,do đó có thể ngăn chặn hiệu quả việc truy cập trái phép.
Xác minh tính xác thực: Với các chữ ký số Ed25519, chúng tôi xác minh các kết nối, đảm bảo chỉ thiết lập các kết nối đáng tin cậy và xác thực.
Tốc độ và hiệu suất tối ưu: Các lựa chọn mật mã của chúng tôi giảm thiểu tác động đến hiệu suất, mang đến cho bạn trải nghiệm nhanh chóng, liền mạch.

Curve25519 là một đường cong ellip được nhiều công ty hàng đầu trong lĩnh vực an ninh mạng và quyền riêng tư áp dụng. Nó cung cấp bảo mật 256-bit và được thiết kế để chống lại các cuộc tấn công tinh vi, bao gồm cả các lỗ hổng kênh phụ như các cuộc tấn công thời gian, khiến nó an toàn và bền bỉ. Được tối ưu hóa cho tính toán hiệu quả, Curve25519 đảm bảo hiệu suất nhanh mà không làm giảm độ mạnh, điều này rất cần thiết cho các ứng dụng thời gian thực như VPN. Được phát triển bởi chuyên gia mật mã Daniel J. Bernstein, nó được các công ty công nghệ và tổ chức bảo mật hàng đầu trên toàn thế giới tin tưởng và sử dụng.

X25519: Thỏa thuận khóa nâng cao cho bảo mật tối ưu

X25519 là một triển khai của giao thức thỏa thuận khóa Curve25519, được thiết kế đặc biệt cho các cuộc trao đổi khóa Elip-Curve Diffie-Hellman (ECDH). Công nghệ này hỗ trợ thiết lập phiên nhanh chóng và an toàn, cho phép các thiết bị chấp thuận về các bí mật chia sẻ ngay cả qua các kênh không an toàn, điều này rất quan trọng cho các VPN vì nó đảm bảo rằng chỉ bạn và node proxy NymVPN được chỉ định mới có khóa mã hóa cho phiên của bạn. X25519 được công nhận là một tiêu chuẩn mật mã và được áp dụng rộng rãi trong cả các dự án mã nguồn mở và sản phẩm thương mại.

Ed25519: Chữ ký số bạn có thể tin tưởng

Ed25519 là một hệ thống ký công khai dựa trên Curve25519, được thiết kế đặc biệt cho các chữ ký số xác minh tính xác thực và toàn vẹn. Trong NymVPN, Ed25519 được sử dụng để ký kết nối thứ cấp với mạng, chẳng hạn như yêu cầu bắt tay hoặc yêu cầu zk-Nyms. Điều này đảm bảo rằng tính xác thực của kết nối và ngăn chặn sự xâm phạm của kẻ mạo danh hoặc bên trung gian. Cung cấp mức độ bảo mật tương đương với mã hóa đối xứng 128 bit, Ed25519 có khả năng chống lại các cuộc tấn công mật mã tương đối cao. Hiệu quả tính toán của nó cho phép tạo và xác minh chữ ký nhanh chóng, ngăn chặn việc giả mạo và đảm bảo rằng các kết nối là xác thực và bắt nguồn từ các nguồn đáng tin cậy.

2.AES, ChaCha-Poly và BLAKE: Mã hóa dữ liệu mạnh mẽ với NymVPN

Các kết nối qua NymVPN chọn giao thức mixnet ẩn danh được bảo vệ bằng mã hóa AES và ChaCha20. Nếu bạn chọn chế độ VPN WireGuard, kết nối của bạn sẽ được bảo vệ bằng ChaCha20.

Tiêu chuẩn mã hóa nâng cao (AES)

AES là một tiêu chuẩn mã hóa đáng tin cậy được sử dụng phổ biến, nổi tiếng với độ bảo mật và hiệu suất vượt trội, khiến nó trở thành tiêu chuẩn vàng để bảo vệ dữ liệu nhạy cảm trên nhiều ứng dụng khác nhau. NymVPN sử dụng tiêu chuẩn này ở hai chế độ—AES-GCM-SIV và AES-CTR—để bảo vệ hiệu quả dữ liệu nhạy cảm của bạn.

AES-GCM-SIV: Mã hóa xác thực mạnh mẽ với bảo vệ chống phát lại

AES-GCM-SIV là phiên bản nâng cao của AES kết hợp giữa mã hóa và xác thực, sử dụng khóa 256-bit để tăng cường bảo mật. Nó đảm bảo tính toàn vẹn của dữ liệu bằng cách bảo vệ và xác thực các tin nhắn, chỉ cho phép người nhận dự định giải mã chúng và phát hiện bất kỳ hành vi giả mạo nào. Việc sử dụng Vector Khởi Tạo Tổng Hợp (SIV) ngăn chặn các cuộc tấn công phát lại, bảo mật chống lại các tin nhắn bị chặn. AES-GCM-SIV mang lại hiệu suất cao và lý tưởng cho các ứng dụng thời gian thực như VPN. Thiết kế cũng giảm thiểu các lỗ hổng sử dụng lại khóa, tăng cường bảo mật trong các tình huống gặp khó khăn trong việc xoay vòng khóa.

AES-CTR: Mã hóa Nhanh và Linh hoạt

AES-CTR biến đổi AES thành một mã hóa luồng, cho phép mã hóa và giải mã nhanh chóng thông qua một bộ đếm liên tục tăng. Điều này giúp AES phù hợp cho các ứng dụng yêu cầu độ trễ thấp. Để đảm bảo tính toàn vẹn, chúng tôi kết hợp AES-CTR với một hàm băm mạnh mẽ, xác minh rằng dữ liệu vẫn không bị thay đổi trong quá trình truyền tải và bảo vệ chống lại nguy cơ giả mạo hoặc hỏng hóc.

ChaCha20-Poly1305

ChaCha20-Poly1305 là một chương trình mã hóa tiên tiến kết hợp giữa mật mã ChaCha20 tốc độ cao với cơ chế xác thực Poly1305. Cách tiếp cận này đảm bảo cả mã hóa và xác thực, cung cấp một giải pháp an toàn và nhẹ nhàng. Có nghĩa là nó không chỉ bảo vệ dữ liệu của bạn mà còn đảm bảo rằng dữ liệu không bị giả mạo. ChaCha20 được đánh giá cao vì khả năng chống lại các cuộc tấn công mật mã. Được phát triển bởi Daniel J. Bernstein, một chuyên gia mật mã hàng đầu, ChaCha20-Poly1305 đã được chứng minh là an toàn về cả hiệu suất và ứng dụng thực tế.

BLAKE2 và BLAKE3: Băm nâng cao

Hàm băm đóng vai trò quan trọng trong việc bảo mật dữ liệu trực tuyến của bạn. Tại NymVPN, chúng tôi sử dụng một số hàm băm an toàn, bao gồm các thuật toán băm BLAKE2 và BLAKE3—những giải pháp tiên tiến được thiết kế để cung cấp băm nhanh chóng và an toàn trong khi giảm thiểu tải tính toán. Bằng cách tận dụng BLAKE2 và BLAKE3, dịch vụ của chúng tôi được trang bị một số thuật toán băm nhanh nhất và an toàn nhất hiện có.

Đối với việc tạo khóa, chúng tôi cũng sử dụng HKDF (Hàm Tạo Khóa Dựa Trên HMAC), hoạt động cùng với các hàm băm này để tạo ra các khóa phiên an toàn và duy nhất cho mỗi kết nối. HKDF đảm bảo các khóa phiên vẫn duy nhất và tách biệt cho mỗi kết nối, tăng cường bảo mật tổng thể và ngăn chặn việc tái sử dụng khóa.

3.Giao thức WireGuard và Mixnet ẩn danh của chúng tôi: Kết nối an toàn, Quyền riêng tư vô song

Khi bạn kích hoạt chế độ VPN, kết nối của bạn sẽ được hưởng lợi từ giao thức WireGuard mạnh mẽ — một giải pháp mã nguồn mở, nhẹ, được biết đến với tốc độ và hiệu suất vượt trội so với các giao thức VPN truyền thống. WireGuard sử dụng các công cụ mã hóa tiên tiến để thiết lập kết nối an toàn: Curve25519 đảm bảo các trao đổi khóa an toàn thông qua Elliptic-Curve Diffie-Hellman (ECDH), trong khi mã hóa ChaCha20 kết hợp với Poly1305 cung cấp khả năng bảo vệ đáng tin cậy cho dữ liệu của bạn trong quá trình truyền tải. Để tăng cường tính toàn vẹn, nó sử dụng BLAKE2b để băm hiệu quả và HKDF (Hàm phát sinh khóa dựa trên HMAC) để tạo ra các an toàn từ tài liệu khóa ban đầu.

Đối với những người tìm kiếm sự ẩn danh nâng cao, chế độ Mixnet ẩn danh tùy chỉnh của chúng tôi tăng cường khả năng bảo mật trước các phân tích lưu lượng tinh vi. Về khía cạnh các khối xây dựng, giao thức này cũng áp dụng Curve25519 để trao đổi khóa an toàn và sử dụng định dạng gói mã hóa Sphinx sáng tạo để bảo vệ dữ liệu của bạn. Với việc mã hóa tiêu đề bằng AES-CTR và mã hóa khối rộng Lioness (sử dụng ChaCha20 và BLAKE2) để mã hóa tải trọng, thông tin của bạn vẫn được bảo vệ. Ngoài ra, HKDF được sử dụng để lấy các khóa thiết yếu—bao gồm khóa tiêu đề, khóa làm mù, khóa toàn vẹn và khóa tải trọng—đảm bảo khả năng bảo vệ mạnh mẽ trong định dạng Sphinx. Hơn nữa, giao tiếp giữa máy khách và node nhập được củng cố bằng AES-GCM-SIV, thêm một lớp bảo mật và xác thực nữa.

Nhưng chế độ Mixnet Ẩn danh của chúng tôi không chỉ dừng lại ở việc mã hóa đơn giản để giải quyết phân tích lưu lượng nâng cao. Chế độ mixnet của chúng tôi sử dụng nhiều chiến lược khác nhau để che giấu lưu lượng truy cập của bạn và ngăn chặn các kỹ thuật phân tích tinh vi sử dụng AI khỏi việc kiểm tra các mẫu trong giao tiếp được mã hóa của bạn. Bằng cách duy trì kích thước gói dữ liệu không đổi và thay đổi mẫu dữ liệu—tạo ra lưu lượng che phủ ngẫu nhiên, cùng với việc sắp xếp lại các gói và làm mờ thời gian của chúng—chúng tôi bảo vệ hiệu quả giao tiếp của bạn trước cả những thuật toán phân tích lưu lượng tiên tiến nhất.

Với NymVPN, bạn có thể tận hưởng giao tiếp nhanh chóng, an toàn và thực sự ẩn danh mà không cần thỏa hiệp.

4.Chữ ký Pointcheval-Sanders, cam kết của Pedersen, và Zero-Knowledge (NIZK) proofs không tương tác: Các nền tảng mật mã phía sau zk-Nyms

zk-Nyms là bằng chứng về quyền truy cập, cho phép người dùng chứng minh rằng họ có quyền truy cập vào dịch vụ NymVPN mà không cần liên kết thông tin thanh toán của họ với hoạt động trực tuyến. Mục tiêu này đạt được thông qua một chương trình tiền điện tử ẩn danh tùy chỉnh với phát hành ngưỡng, cho phép người dùng xác minh quyền của họ mà không làm mất tính riêng tư. Chương trình này tận dụng ba khối xây dựng mật mã chính: Chữ ký Pointcheval-Sanders, Cam kết Pedersen, và các Zero-Knowledge Proof(NIZK) Không tương tác.

Chữ ký Pointcheval-Sanders

Những chữ ký bảo vệ quyền riêng tư này đảm bảo rằng người dùng có thể xác nhận quyền truy cập của họ mà không cần liên kết nó với thông tin có thể xác định được, trao quyền riêng tư hoàn toàn cho người dùng. Thêm vào đó, hiệu quả của chúng cho phép xác thực nhanh chóng, nâng cao trải nghiệm người dùng.

Cam kết của Pedersen

Cam kết Pedersen cung cấp tính bảo mật trong khi vẫn đảm bảo khả năng xác minh. Người dùng có thể "khóa" thông tin một cách an toàn để ngăn chặn việc tiết lộ trái phép trong khi vẫn cho phép xác minh, tạo ra các giao dịch đáng tin cậy giúp bảo vệ thông tin nhạy cảm. Điều này có nghĩa là quyền truy cập có thể được xác nhận mà không tiết lộ bất kỳ chi tiết nào có thể liên kết trở lại với người dùng, bảo vệ quyền riêng tư. Hiệu suất tính toán làm cho chúng trở nên lý tưởng cho các ứng dụng yêu cầu bảo mật mạnh mẽ mà không làm giảm hiệu suất.

Zero-Knowledge Proofs không tương tác (NIZK)

NIZK cung cấp một phương thức hiệu quả để chứng minh kiến thức về một bí mật mà không tiết lộ bất kỳ thông tin nào về bí mật đó. Thuộc tính zero-knowledge này đảm bảo rằng người dùng có thể xác thực các yêu cầu của họ trong khi vẫn duy trì tính bảo mật tuyệt đối. NIZK proof cũng được thiết kế để có hiệu suất cao, cho phép xác minh nhanh chóng mà không cần phải tương tác giữa các bên, khiến chúng lý tưởng cho các ứng dụng bảo mật và có thể mở rộng.

Cốt lõi của các kỹ thuật mã hóa này là đường cong elip BLS12-381, cung cấp tính bảo mật và hiệu quả cơ bản cần thiết cho zk-Nyms.