ExpressVPN安全吗
回国之前,开始准备VPN,因为即使在中国的春节期间,也有很多的事务需要互联网的连接,如视频会议、云服务的访问以及社交媒体通讯。咨询朋友的意见,大多都建议我使用ExpressVPN,说它是在中国仅有的几个可以正常运行的独立VPN服务。而我除了能够在中国自由地访问互联网,还很在意个人隐私信息的保护。于是我专门花时间做了一番研究,看ExpressVPN是否能满足我的个人隐私安全的要求,下面是我收集和了解到的信息。
ExpressVPN是很安全的VPN,它是VPN行业中最注重个人隐私安全的供应商之一,并且以此而著名。ExpressVPN是第一家宣布不记录用户日志,并请第三方安全公司审计其无日志实践的公司。ExpressVPN在英属维京群岛注册,不需遵从14眼或任何其它政府的法律。ExpressVPN的VPN服务器是没有硬盘的,所有的应用均依赖内存运行,从物理上断绝了保存任何数据的可能性。同时,ExpressVPN采用的VPN隧道加密和用户身份验证加密也是目前业界里最先进的。此外,ExpressVPN还能隐藏你使用VPN的行为。
最为普通用户,我想大多数都与我一样,是信息技术文盲,所以根本无法自己去验证这些从媒体上收集到的,有关ExpressVPN如何安全,或如何保护用户隐私数据安全的特质或能力,如加密协议的算法,无硬盘服务器等等。所幸,因为ExpressVPN使用第三方的安全公司对其VPN服务的安全性进行审计,我们会得到大量丰富的,我们小白们可以理解的信息来帮助我们判断ExpressVPN是否是安全的。我把它们收集起来放在这里,等你读完本文,你就可以据此作出自己的判断。
ExpressVPN不记录用户的使用日志并经过第三方审计
当你使用VPN,所有你在上网时发生的通讯数据,都通过你连接的VPN服务器来传送,并替你发送请求到目的地,以及接受回答。因此,如果VPN服务器记录用户的活动日志的话,你上网的所有活动都会被一一记录在案。
让我们一起来看看用户活动日志包括什么数据:
- 你的IP地址;
- 你发送访问请求的时间;
- 访问请求的目的地;
- 会话持续的时间;
- 访问的页面以及时间;
- …
看到这些记录的,关于你上网活动的数据是不是让你感觉到汗毛都竖起来了?再想想长年积累的数据会是什么状况?这些数据是广告商和市场行销业者的金矿,也是独裁政权最感兴趣的资料;这也是为什么你不应该使用免费VPN的原因,以及不要使用中国的应用程序和设备的原因。
ExpressVPN是VPN行业中最先宣布不记录用户活动日志,并请值得信任的第三方安全公司审计其不记录用户日志实践的公司。并且,ExpressVPN通过了发生的意外事件对其不记录用户日志的检验(详细的信息在下面的专题中)。
在VPN的市场上,你会看到,现在很多公司都宣称他们不记录用户的活动日志。然后,你会在新闻中读到他们却在一些案例中提供了法庭要求的任何记录。当然,如果这些公司请第三方公司审计他们不记录用户活动日志的实践的话,肯定是通不过的。
ExpressVPN不记录用户日志的实践审计是由PricewaterhouseCoopers来做的,安全审计的范围包括不记录用户日志的政策实践、TrustedServer功能(不带硬盘的服务器)、以及所有相关的,保护隐私信息安全的日常操作是否是一致、持续的,并服务于同一个安全目标。
ExpressVPN的个人隐私保护实践不仅仅通过了第三方安全公司的审计,它还进一步扩展了其范围,将其浏览器插件的代码开源,并请著名的网络安全公司Cure53审计其代码的安全性。
ExpressVPN通过了意外事件的检验
这个意外事件就是枪杀俄罗斯驻土耳其大使的事件。在对该事件进行调查中,土耳其政府要求ExpressVPN提供其一个客户的信息,因为该客户使用ExpressVPN通过VPN的加密隧道进行有关通讯。但是,ExpressVPN发布了一个声明,说他们没有任何信息或数据提供给土耳其当局。
因为得不到ExpressVPN的合作,土耳其当局决定使用强力扣押ExpressVPN的服务器。于是,ExpressVPN在土耳其境内数据中心的服务器全部被扣押。但是,他们没有找到任何数据,因为ExpressVPN的服务器上没有任何用户的数据或信息。
ExpressVPN随后发布声明,进一步阐明所有的客户信息都是安全的,下面是我找到当时的声明以及翻译:
ExpressVPN的VPN服务器是没有硬盘的
ExpressVPN所有的服务器都是基于内存模式的,即没有硬盘来保存数据和信息。ExpressVPN称其为TrustedServer feature,从隐私信息保护和安全的角度看,这是一个非常重要的特征。
因为没有硬盘,从物理上讲,没有任何介质用来保存用户的上网活动日志。而在内存中的数据是更换非常快而频繁的,所以任何数据都很难在其中存在一段时间。同时,在断电之后,所有的数据都会消失。这种物理上的安全措施使记录用户活动日志变得不可能。
这也是ExpressVPN的VPN服务器保持高性能的原因之一,因为没有到硬盘访问的瓶颈,所以计算机的运行速度会非常快,一切都在内存中运行。另外,因为没有硬盘,服务器的安全性也非常高,而且便于维护。
ExpressVPN部署业界最先进的加密技术来保证安全
当你连接到ExpressVPN的一台VPN服务器,所有从你设备到服务器之间的通讯信息和数据都是加密的,没有解密的钥匙,任何人都不可能知道被加密的数据是什么。这也就是为什么你可以打破长城防火墙封锁的原因,因为它无法判断是否要拦截你。
ExpressVPN使用加密算法强度是目前行业中最先进的,也是美国政府和其它的安全机构使用来加密其机密信息的加密算法,AES-256-GCM。这意味着,如果你是骇客想解密的话,你需要一一去猜256字节长度的密码组合,这对最强的计算机来说也是不可能的。
在身份的认证方面,ExpressVPN使用的是SHA-512 hash函数来hash你的用户名和密码的组合,即使用随机的数据来对应你的用户名和密码组合,hash数据生存之后,保存在ExpressVPN的用户认证服务器上,在你连接VPN服务器进行身份认证时使用。如果你用户名和密码的组合,在经SHA-512 hash函数处理之后得到的hash数据,与ExpressVPN服务器上保存的匹配,就通过身份认证,然后建立到VPN的连接。
任何人,都不可能通过反向工程,使用hash数据得到你的实际上的用户名和密码。所以,即使ExpressVPN的身份认证服务器被骇客攻破,你的用户名和密码仍是安全的。
ExpressVPN使用的SHA-512是其它VPN采用的SHA-256的2倍强度,所以对于任何骇客来讲,想通过ExpressVPN得到你的身份数据是其它VPN服务商难度的2倍。
ExpressVPN注册在隐私可以得到充分保护的法律管辖地
ExpressVPN是注册在英属维京群岛的一家公司,因此它可以不必遵守任何国家或联盟的法律,比如14眼联盟要求的保存用户的有关信息的法律。从而使ExpressVPN可以专注并实践在其对用户的安全承诺上。
英属维京群岛是一个独立的、自治地方,它的法律对保护公司和个人的隐私权力非常的严格。
与英国不同,英属维京群岛没有强制的保留用户信息的法律,或是那种大范围的监控系统。有点像瑞士,英属维京群岛有着很强的隐私信息保护的法律。
这就意味着在英属维京群岛的ExpressVPN不会因为强制性的,保留用户数据的法律而记录用户的信息。除了它在历史上与英国有关联之外,作为一个国家,英属维京群岛是完全独立的,并不受任何国家法律的影响。
ExpressVPN提供Stealth Server来隐藏你连接到VPN的迹象
Stealth在英文中的意思是诡秘的行动,或是偷偷摸摸的。Stealth Server的作用是,在你和VPN的通讯数据中加入其它的数据,从而使这个加密的数据流看起来与其它通常的https加密数据流很像,而你的VPN加密数据流则隐藏在其中。
这样,在实施深度通讯包检查的国家,如中国,长城防火墙系统(注意,互联网服务提供商—电信、联通及移动是整个系统的一部分)就无法判断你是否使用了VPN。这对于在中国使用VPN会可能面临违法风险的用户来说也别有价值。因为ExpressVPN的Stealth Server使当局无法证明你使用了VPN。
有关ExpressVPN的Stealth Server的信息,很少在有关VPN的媒体上看到,我也是读到一篇文章才知道的。而且,在ExpressVPN的应用程序中,或使用中都没有有关Stealth Server的配置或设置。所以很难验证。为此我只能询问其客服,客服明确告知我确实存在Stealth Server,当ExpressVPN探测到深度通讯包检查之后,就会自动切换到Stealth Sever。不过客户说,这要在你将连接到VPN服务器的协议设置为Auto的情况下才行。
好了,这就是我收集到的所有有关ExpressVPN是否安全的信息,我对找到的这些有关ExpressVPN安全性的信息很满意,认为在安全方面现有的选择中,ExpressVPN使我的首选之一。