matomo

Bruk OVPN hvis sikkerhet er viktig

Ditt personvern og din sikkerhet er hovedfokus i OVPN. Derfor har vi implementert en flerlags sikkerhetsmodell.


Lag 1: Fysisk sikkerhet på VPN-serverne

All maskinvaren som brukes til å betjene tjenesten vår eies av oss og låses i isolerte stativer. Alle servere opererer uten harddisker, da operativsystemet bare er i RAM-minnet.

Når serverne våre starter, henter de riktig diskbilde av iPXE fra våre krypterte oppstartsservere. Så snart diskbildet er lastet ned, utføres en bekreftelse av kjernen og den tredje signaturen for å sikre at ingenting har blitt tuklet med.

Operativsystemet er lastet inn i RAM-minnet, og serveren kan endelig starte hvis bekreftelsen går. Hvis bekreftelsen mislykkes, vil serveren starte på nytt og prøve denne prosessen igjen til bekreftelsessignaturen er gyldig og det er trygt å starte opp.


Lag 2: Programvaresikkerhet på VPN-serverne

Vi bruker utelukkende en nedskalert verison av Alpine Linux som operativsystem.

OVPN logger ingen aktiviteter når du er koblet til VPN-tjenesten vår. Derfor vet vi ikke hvem som er koblet til tjenesten vår, hva de gjør eller når de gjør det. Vennligst les vår Personvernerklæring.

OpenVPN-prosessene har ingen skriveprivilegier, og syslogs er deaktivert for å sikre at logger ikke engang midlertidig kan opprettes i RAM-minnet.

For WireGuard, vår nøkkeladministrasjonsdemon, sørger for at fagfelleinformasjon ikke lagres på ubestemt tid i serverminnet. Alle peers som ikke har hatt et håndtrykk i løpet av de siste tre minuttene fjernes, for å sikre at vi beholder så lite informasjon som mulig.

VPN-serverne våre støtter ikke fysisk tilgang via konsoll-, tastatur- eller USB-porter. Kritiske sikkerhetsoppdateringer blir installert på daglig basis.

Lag 3: Desktop-klient for Windows, macOS og Ubuntu

Vi utvikler aktivt en stasjonær klient for Windows, macOS og Ubuntu.

Klienten har en killswitch, som forhindrer datalekkasjer i tilfelle tilkoblingen til OVPN faller ut. Det er enkelt å bekrefte om killswitch fungerer som den skal

For å forhindre DNS-lekkasjer, må klienten:

  • Endrer innstillingene for alle tilgjengelige nettverkskort på enheten din for å sikre at OVPNs DNS-servere blir brukt
  • Kontrollerer DNS-innstillingene på adapterne hvert sekund for å sikre at ingen installert programvare forsøker å endre de brukte DNS-serverne
  • texts.security.dns_3

Tekniske detaljer for OpenVPN

Protokollen UDP og TCP
Porter 1194, 1195 & 443
Data channel cipher AES-256-GCM (OpenVPN 2.4+)
AES-256-CBC med HMAC-SHA1 (Openvpn 2.3 og eldre)
Control channel cipher TLSv1.3:
TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256

TLSv1.2 og eldre:
TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256
TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256
Key exchange authentication Diffie-Hellman og Perfect Forward Secrecy (DHE) ved å bruke en RSA-tast med en 4096-bits nøkkelstørrelse, med ny krypteringsnøkkel hvert 45. til 75. minutt.
Extra auth key RSA med en nøkkelstørrelse på 2048 bit
Extra crypt key RSA med en nøkkelstørrelse på 2048 bit

Lag 4: Nettleserutvidelse

Nettleserutvidelsen er tilgjengelig for Chrome og Firefox, og eksisterer hovedsaklig av to årsaker.

  1. Blokker WebRTC: Din private IP-adresse kan lekke gjennom WebRTC selv når du er koblet til OVPN. Utvidelsen beskytter deg mot slike lekkasjer uten helt å deaktivere WebRTC, noe som betyr at du fremdeles kan høste fordelene av WebRTC.
  2. Blokker sporere: Blokker selskaper som sporer og profilerer surfevanene dine uten ditt samtykke. Utvidelsen blokkerer analysesporere og sikrer at surfingen din forblir privat.

Lag 5: Åpenhet

Ved å benytte deg av en VPN-tjeneste flytter du i grunn tilliten fra Internett-leverandøren din til VPN-leverandøren. Det er avgjørende at du bruker en VPN-tjeneste som er pålitelig og gjennomsiktig om hvordan virksomheten drives, og hvilke metoder de har benyttet for å beskytte ditt privatliv og din integritet.

OVPN er pålitelig, gjennomsiktig og beskriver grundig hvordan vi sikrer våre kunders sikkerhet. Les vår Personvernerklæring, vår tjenestevilkår og vår retningslinjer for åpenhet.

Lag 6: Nettsted

Det kreves ingen e-postadresse når du oppretter en konto. Det er mulig å betale for abonnement anonymt ved å sende en konvolutt med kontanter til vårt kontor eller ved å betale med bitcoin.

Vi går detaljert gjennom akkurat hvilken brukerinformasjon som lagrets i vår Personvernerklæring.

Lag 7: Forsikring som dekker advokatsalær

Konflikter er dyre og kompliserte, spesielt når du krysser landegrensene. Vi har besluttet å tegne en forsikring som dekker advokatutgifter, som et ekstra lag med sikkerhet. Det gir oss de økonomiske musklene til å avvise eventuelle forespørsler om informasjon.

Når det gjelder tredjepart som krever informasjon om kundene våre, er vi fullt forberedt på å gå til retten og vil gjøre alt som står i vår makt for å forhindre at noen får tilgang til kundeinformasjon.

Tekniske detaljer for WireGuard

Protokollen UDP
Porter 9929
Godkjenning Poly1305
Symmetrisk kryptering ChaCha20
Elliptisk kurve Curve25519
Nummerering (Hashing) BLAKE2s
Hashtable-nøkler SipHash24
Nøkkelhenting HKDF