Глупый вопрос, я знаю, но не видел, чтобы его задавали. Если я использую Nord VPN, Nord теоретически может расшифровать мой трафик и увидеть его. Когда я использую AWS для создания VPN через сеть Open VPN, кто может расшифровать мои данные? Amazon?
Если это Amazon, то это кажется мне подозрительным, что одна из крупнейших компаний, от которой вы хотите скрыть свою информацию, обладает ключом.
В любом случае, спасибо за объяснение.
Если я использую Nord VPN, Nord теоретически может расшифровать мой трафик и увидеть его.
Почему ты в это веришь? Если твой трафик идет через SSL/TLS, твой VPN не имеет волшебным образом закрытого ключа конечного сервера и способности расшифровывать его.
Звучит так, будто ты не совсем понимаешь, как работают VPN или шифрование в сети.
Все зависит от того, какой сертификат ты используешь для шифрования трафика…
Ты можешь воспользоваться ACM, к которому теоретически AWS будет иметь доступ, но любой служащий AWS, который получит доступ к закрытым сертификатам в твоем аккаунте, будет катастрофическим для их бизнес-модели…
Ты все еще можешь воспользоваться ACM и просто использовать его для хранения своего собственного сертификата, который несет те же риски, или ты можешь получить сертификат из другого места, которым ты управляешь – если тебя так волнует этот вопрос, это будет более идеальным решением…
Если ты не рискуешь каким-то шпионажем или чем-то невероятно незаконным, ты зашел слишком далеко…
Давайте освежим в памяти, как работают VPN.
VPN-соединение направляет весь ваш интернет-трафик через сервер VPN и шифрует только трафик между вашим клиентским компьютером и самой службой VPN. Таким образом, провайдер VPN ДОЛЖЕН расшифровать ваш трафик, чтобы это работало. Он также маскирует ваш IP-адрес за IP-адресом службы VPN.
С точки зрения конфиденциальности это делает так, что вы будто бы просматриваете веб (или делаете что-либо еще) непосредственно в сети провайдера VPN. Поэтому это делает невозможным для кого-либо между вами и провайдером VPN (например, вашего интернет-провайдера) видеть, что вы делаете, и это означает, что веб-сайты, которые вы посещаете, видят провайдера VPN вместо вашей домашней сети в качестве источника трафика. Но провайдер VPN имеет прямую видимость всего, что вы делаете через их сеть, если они решат посмотреть.
Что касается того, лучше ли использовать Nord VPN или самостийный сервер на AWS: Обе компании имеют явный интерес в том, чтобы не шпионить за вами, поскольку это подорвет их бизнес-модель, а также некоторые другие причины, по которым они могут этого хотеть…
Тем не менее, надевая свою параноидальную шляпу, я бы доверял AWS больше, чем любому специализированному провайдеру VPN по двум причинам:
Если я использую AWS для создания VPN через сеть Open VPN, кто может расшифровать мои данные? Amazon?
В какой-то момент ваши данные становятся расшифрованными и будут проходить через сеть AWS. Либо внутри VPC, либо через выход. Они увидят ваш трафик с ключом или без него. Вопрос в том, заботятся ли они об этом? Никто в AWS не сидит и не читает каждый пакет, который вы отправляете. Но они ищут аномальное поведение, поскольку им нужно защитить свою сеть, чтобы защитить себя и других клиентов. Посмотрите “модель общих обязательств”
Если это Amazon, то это кажется мне подозрительным, что одна из крупнейших компаний, от которой вы хотите скрыть свою информацию, обладает ключом.
Никто с стороны Amazon не имеет никакого понимания или доступа к тому, что происходит в AWS VPC клиента. И почему вам все равно, есть ли у Amazon ваша информация или нет?
Нет, не совсем. Но мне казалось, что VPN может теоретически расшифровать ваш трафик, если они захотят. Это неверно?
Нет, ничего подобного. Просто неправильно понял, как работает VPN.
Это замечательный пост. Спасибо. Ты точно оценил мой уровень неведения по этому вопросу и довел меня до той точки, где я чувствую себя достаточно информированным, чтобы решить, как действовать дальше. Я бы проголосовал за тебя еще больше, если бы мог. 
Спасибо. Что касается того, почему мне важно, есть ли у Amazon моя информация, то мне кажется довольно разумным запрашивать такую степень конфиденциальности, как отсутствие личных привычек в руках крупных корпораций. Лол, может ли человек хотеть, чтобы его «приватная вкладка» оставалась разумно частной без необходимости дальнейшего обоснования?
Я уверен, что мы все помним, как реклама детских товаров таргетировалась на беременную подростка, прежде чем об этом узнал папа. Я думаю, что бывает трудно понять, что ты хочешь сохранить в тайне, или почему, или от кого, пока эта информация не будет использована так, как ты не ожидал.
#/u/spez можешь почесать мои яички
Вопрос в том, что именно ты хочешь скрыть. Если ты подключаешься через https (как и должен), тогда поставщик услуг не может видеть данные, которые ты передаешь, независимо от того, используешь ты VPN или нет. В этом и заключается весь смысл SSL.
Тем не менее, поставщик услуг может видеть, куда ты подключился - т.е. если бы это касалось телефонных звонков: они видят, когда ты сделал звонок и какой номер ты набрал, но не знают, о чем ты говорил.
Теперь, если ты используешь VPN для подключения к сети Amazon, тогда ты заканчиваешь шифрование там и устанавливаешь обычное соединение с внешним миром - тогда Amazon действительно сможет увидеть, к чему ты подключился. Но пока ты используешь https, они не будут знать, что ты передал.
Да, вы не правы. Есть больше нюансов, которые стоит исследовать, но для целей вашего вопроса провайдер VPN не может расшифровать зашифрованный трафик.
Когда ты отправляешь веб-трафик, есть данные и заголовки (пакеты, которые содержат данные), заголовки расшифровываются, иначе они не будут знать, в каком направлении отправлять твой трафик. Твои данные, тем не менее, остаются зашифрованными в передаче и расшифровываются, когда достигают веб-сервера.
Таргетирование рекламы и т.д. связано с поиском ключевых слов Google, сторонними рекламами на веб-страницах, DNS и отслеживанием… масса всего. Это пугающая часть, и она происходит в твоем браузере, а не в дата-центрах AWS, расшифровывающих твои данные, чтобы увидеть, что ты просматриваешь (это слишком затратное по мощности и не в реальном времени).
Например, если ты посещаешь Salesforce Platform for Application Development | Salesforce US (http открыт, но https зашифрован*)
Сторонние лица в сети могут увидеть, что ты зашел на site.com. Только твой браузер и конечный сервер знают, что ты посетил /me/about.html
Очевидно, я говорю о нормальной настройке, где у тебя нет проверки SSL или проксируемого трафика.
Надеюсь, это поможет.
похоже, что ты не знаешь, как работают VPN и получаешь свои новости о технологиях из MSNBC.
VPN дает тебе возможность получить доступ к частной сети или изменить местоположение (ты также можешь добавить брандмауер, если хочешь)…
Что касается твоих ожиданий, то конфиденциальность почти невозможна, учитывая, что все используют куки, трекеры и т. д., чтобы отслеживать тебя и показывать соответствующие рекламы и т. д…
Что именно будут делать эти ящики NSA?
Я уверен, что если бы NSA хотела шпионить, у них были бы свои шпионские программы, установленные на программном обеспечении управления, которое используют сотрудники AWS, либо прямой доступ к программному обеспечению - знает это AWS или нет, это кажется более логичным, чем (в лучшем случае) проходить через петабайты законного трафика, чтобы найти то, что они ищут.
HTTPS все еще позволяет проводить много анализа трафика, например, расшифрованные запросы DNS, куда и сколько трафика идет на сервер.
Итак, если все, что я хочу сделать, это скачать новый фильм “Форсаж”, например, и я использую свой AWS VPN, а сайт, на котором я нахожусь, это https, тогда мой интернет-провайдер не будет знать, что я скачал, Amazon тоже не может или не захочет смотреть, а веб-сайт будет видеть только IP-адрес, который не мой, верно?
В HTTPS (HTTP через TLS) заголовки HTTP находятся в зашифрованной части пакетов TLS. Если наблюдатель не взломает ключ сессии, он не сможет видеть заголовки.
SNI (Server Name Indication) - это другое. Во время рукопожатия TLS имя домена, к которому вы подключаете, передается в открытом виде. Таким образом, наблюдатель сможет узнать, что ты посетил thepiratebay DOT com или другой домен, посещение которого раскрывает больше, чем тебе хотелось бы.