matomo

Verwenden Sie OVPN, wenn Ihnen Sicherheit wichtig ist

Ihre Privatsphäre und Sicherheit stehen im Mittelpunkt von OVPN. Aus diesem Grund haben wir ein mehrschichtiges Sicherheitsmodell implementiert.


Ebene 1: Physikalische Sicherheit auf den VPN-Servern

Sämtliche Hardware, die wir für die Bereitstellung unserer Dienstleistungen nutzen, befindet sich in unserem Besitz und ist in isolierten Racks untergebracht. Sämtliche Server arbeiten ohne Festplatten, da sich das Betriebssystem nur im RAM-Speicher befindet.

Beim Bootvorgang wird das korrekte Disk-Image unter Hinzunahme von iPXE von unseren verschlüsselten Boot-Servern eingespeist. Sobald das Disk-Image heruntergeladen worden ist, werden der Kernel verifiziert und eine Prüfung der initrd-Signatur durchgeführt, um sicherzustellen, dass in keiner Weise eine Manipulation stattgefunden hat.

Das Betriebssystem wird in den RAM-Speicher geladen; anschließend kann der Server-Bootvorgang erfolgen, sofern die Überprüfung erfolgreich gewesen ist. Schlägt die Überprüfung fehl, wird der Server neu gebootet; der Prozess wird solange erneut durchgeführt, bis die Verifizierungssignatur als gültig erkannt worden ist und der Server sicher gestartet werden kann.


Ebene 2: Software-Sicherheit auf den VPN-Servern

Wir verwenden ausschließlich eine abgespeckte Version von Alpine Linux als Betriebssystem.

OVPN protokolliert keinerlei Aktivitäten, solange es mit unserem VPN-Dienst verbunden ist. Daher entzieht es sich unserer Kenntnis, wer unsere Dienste nutzt, was diese Person tut bzw. zu welchem Zeitpunkt. Bitte werfen Sie einen Blick auf unsere Datenschutzrichtlinien.

Die OpenVPN-Prozesse verfügen über keinerlei Schreibrechte; die Syslog-Funktion wurde deaktiviert, um sicherzustellen, dass Protokolle nicht einmal temporär im RAM-Speicher erstellt werden können.

WireGuard, unser Key-Management-Daemon, trägt Sorge dafür, dass Peer-Netzwerkinformationen nicht unbegrenzt im Serverspeicher abgespeichert werden können.

Unsere VPN-Server unterstützen keinen physischen Zugriff über Konsolen-, Tastatur- oder USB-Anschlüsse. Kritische Sicherheitsupdates werden täglich installiert.

Ebene 3: Desktop-Client für Windows, MacOS und Ubuntu

Wir entwickeln aktiv einen Desktop-Client für: Windows, macOS und Ubuntu.

Der Client verfügt über eine Killswitch-Vorrichtung, die Datenleaks verhindert, falls die Verbindung zum OVPN abbricht. Dass der Killswitch einwandfrei funktioniert, kann problemlos geprüft werden.

Um ein DNS-Leak zu verhindern, geht der Client wie folgt vor:

  • Ändert die Einstellungen aller verfügbaren Netzwerkadapter auf Ihrem Gerät, um sicherzustellen, dass die DNS-Server von OVPN verwendet werden
  • Überprüft jede Sekunde die DNS-Einstellungen der Adapter, um sicherzustellen, dass keine installierte Software versucht, die verwendeten DNS-Server zu ändern
  • Unterstützt DNSCrypt, das DNS-Spoofing verhindert, indem kryptografische Signaturen verwendet werden, die überprüfen dass die Antworten von den DNS-Servern von OVPN stammen

Technische Details zu OpenVPN

Protokoll UDP und TCP
Ports 1194, 1195 & 443
Data channel cipher AES-256-GCM (OpenVPN 2.4+)
AES-256-CBC mit HMAC-SHA1 (Openvpn 2.3 und älter)
Control channel cipher TLSv1.3:
TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256

TLSv1.2 und älter:
TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256
TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256
Key exchange authentication Diffie-Hellman und Perfect Forward Secrecy (DHE) unter Verwendung eines RSA-Schlüssels mit einer Schlüssellänge von 4096 Bit, mit einem Re-Keying alle 45 bis 75 Minuten.
Extra auth key RSA mit einer Schlüsselgröße von 2048 Bit
Extra crypt key RSA mit einer Schlüsselgröße von 2048 Bit

Ebene 4: Browsererweiterung

Die Browsererweiterung ist für Chrome und Firefox erhältlich und existiert vor allem aus zwei Gründen.

  1. WebRTC blockieren: Ihre private IP-Adresse kann durch WebRTC offengelegt werden, selbst wenn Sie mit OVPN verbunden sind. Die Erweiterung schützt Sie vor solchen Leaks, ohne WebRTC vollständig zu deaktivieren, sodass Sie weiterhin von den Vorteilen von WebRTC profitieren können.
  2. Block-Tracker: Blockieren Sie Unternehmen, die Ihre Surfgewohnheiten ohne Ihre Zustimmung verfolgen und Profile erstellen. Die Erweiterung blockiert Analyse-Tracker, wodurch sichergestellt wird, dass Ihr Surfverhalten privat bleibt.

Ebene 5: Transparenz

Durch die Verwendung eines VPN-Dienstes übertragen Sie im Wesentlichen das Vertrauen von Ihrem ISP auf den VPN-Anbieter. Hier ist es von entscheidender Bedeutung, dass Sie einen VPN-Dienst verwenden, der vertrauenswürdig und transparent darüber informiert, wie das Unternehmen geführt wird und welche Verfahren zum Schutz Ihrer Privatsphäre und Integrität eingesetzt worden sind.

OVPN ist vertrauenswürdig, transparent und legt auf ausführliche Art und Weise dar, wie wir die Sicherheit unserer Kunden gewährleisten. Bitte lesen Sie unsere Datenschutzrichtlinien, unsere Nutzungsbedingungen und unsere Transparenzrichtlinien.

Ebene 6: Webseite

Bei der Erstellung eines Kontos ist keine E-Mail-Adresse erforderlich. Es ist möglich, Abonnements anonym zu bezahlen, indem Sie einen Umschlag mit Bargeld an unser Büro schicken oder mit Bitcoin bezahlen.

Wir gehen ausführlich darauf ein, welche Nutzerdaten genau in unserer Datenschutzrichtlinien gespeichert sind.

Ebene 7: Versicherung zur Deckung von Anwaltskosten

Konflikte sind kostspielig und kompliziert, vor allem beim Überschreiten von Ländergrenzen. Wir haben daher beschlossen, eine Versicherung abzuschließen, welche die Anwaltskosten als zusätzliche Sicherheitsebene abdeckt, was uns die finanziellen Möglichkeiten gibt, sämtliche Auskunftsersuche abzulehnen.

Im Falle von Dritten, die Informationen über unsere Kunden verlangen, sind wir bereit, vor Gericht zu gehen. Wir werden alles in unserer Macht Stehende tun, um zu verhindern, dass jemand Zugang zu Kundeninformationen erhält.

Technische Details für WireGuard

Protokoll UDP
Ports 9929
Authentifizierung Poly1305
Symmetrische Verschlüsselung ChaCha20
Elliptische Kurve Curve25519
Hashing BLAKE2s
Hashtable-Schlüssel SipHash24
Schlüsselableitung HKDF