Per quanto ne so, la connessione iniziale a un servizio VPN commerciale è la più vulnerabile.
Diciamo che ho un attaccante persistente sulla mia coda.
Il mio modem router domestico dall'ISP è probabilmente compromesso.
Telecomunicazioni locali inaffidabili.
C'è un modo per registrarsi in sicurezza e connettersi a un servizio VPN commerciale senza che le mie chiavi vengano intercettate?
As far as I know, the initial connection to a commercial VPN service is the most vulnerable. ... Is there a way to securely sign up and connect to a commercial VPN service without my keys being intercepted?
Supponendo di iniziare con un sistema pulito e non compromesso, la connessione iniziale è solo un problema se ci si affida alla cieca fiducia nella connessione, ovvero non utilizzare una connessione TLS, ignorare eventuali avvisi di certificato o semplicemente connettersi a un sistema che suona come se fosse un affidabile fornitore di VPN ma non lo è.
Se il TLS viene già intercettato attivamente e si nota che è necessario affidarsi a diversi modi per stabilire un contatto con il provider VPN affidabile. Questo può essere ad esempio la posta ordinaria per il contatto iniziale e quindi ottenere un sistema o un software preconfigurato per connettersi alla VPN. Oppure può essere l'uso di una connessione internet più affidabile di qualche amico. Nota inoltre che se il tuo upstream è così invasivo, allora potrebbe semplicemente bloccare la connessione VPN.
... but I’ve repeatedly seen news about TLS coming under attack (FREAK, DROWN, etc.), so wouldn’t it be possible for the TLS implementation of a commercial VPN to be vulnerable? Also, with recent revelations about perfect forward secrecy weaknesses (Diffie-Hellman), wouldn’t this make my concerns more valid?
Stai intensificando i problemi che hai sentito da qualche parte senza capire cosa significano realmente e dove si applicano. Mentre erano bug in implementazioni specifiche e casi d'uso TLS da solo non è rotto. Inoltre, i problemi che citi possono attualmente essere sfruttati da un utente malintenzionato con molte risorse.
Ma gli attaccanti di solito non sprecano denaro su tali attacchi se possono essere fatti nel modo più economico. Se affronti un tale aggressore, dovresti smettere di fidarti non solo dell'ISP, ma anche del fornitore dell'hardware del tuo computer, del tuo sistema operativo, di tutti i programmi che hai installato (da dove li hai presi? Scaricati da qualche parte da Internet?). Dovresti anche domandarti se la VPN commerciale che vuoi usare può essere davvero attendibile, cioè se ha un'infrastruttura sicura e non collaborerà con i tuoi nemici dato abbastanza soldi, che di solito è ancora più economico rispetto alla rottura di TLS.
Inoltre, assicurati che nessuno possa entrare nella tua casa per attaccarti fisicamente o semplicemente manipolare il tuo computer per installare software che ti permetta di essere tracciato anche se usi una VPN.
Leggi altre domande sui tag vpn man-in-the-middle