最近公司 质子技术 宣布开放源代码 客户程序 ProtonVPN 适用于Windows,macOS,Android和iOS(最初打开了Linux控制台客户端)。 该代码已在GPLv3许可下打开。 同时,发表了有关独立审计的报告 这些应用程序中,没有发现可能导致审核过程中VPN流量解密或特权增加的问题。
对于那些不知道的人 ProtonVPN 他们应该知道 是 虚拟专用网服务提供商(VPN)由ProtonMail电子邮件服务背后的瑞士公司Proton Technologies AG运营。
ProtonVPN 使用OpenVPN(UDP / TCP)和IKEv2协议,并采用AES-256加密。 该公司对用户连接数据实行严格的无日志记录政策,并且还防止DNS和Web-RTC泄漏泄露用户的真实IP地址。
ProtonVPN还包括Tor访问支持 并在VPN连接中断的情况下使用kill开关关闭Internet访问。
Proton Technologies由几名CERN研究人员创立 (欧洲核研究组织)并在瑞士注册,在隐私保护领域有严格的法规,不允许情报机构控制信息。
萨尔瓦多PROYECTO ProtonVPN为通信通道提供了高水平的保护 使用AES-256,密钥交换基于RSA 2048位密钥和HMAC,SHA-256用于身份验证,具有基于数据流相关性的防御攻击),拒绝保留记录而不是着眼于盈利,而是着眼于提高安全性 和网络上的隐私 (该项目由FONGIT基金资助,并得到了欧盟委员会的支持)。
ProtonVPN开源
解锁代码 通过ProtonVPN 作为确保项目透明度的倡议的一部分是开放的 这样,独立专家就可以验证代码是否符合既定规范并验证安全审核的正确性。
我们很高兴成为第一个在所有平台(Windows,macOS,Android和iOS)上开放源代码应用程序并经过独立安全审核的VPN提供商。 透明度,道德和安全性是我们要构建的Internet的核心,也是我们首先创建ProtonVPN的原因。
与Mozilla合作的一部分,它正在开发付费VPN服务, Mozilla工程师还可以访问其他ProtonVPN技术进行审核。 应当注意,下一步将是转移到开放应用程序和其他ProtonVPN应用程序类别。
在以前的ProtonVPN事件中, 可以在Windows应用程序中识别一个漏洞,该漏洞使用户可以将其系统特权提升给管理员(该漏洞是由未特权的GUI客户端与系统服务之间的错误交互导致的)。
Windows应用程序代码的审核 几天前结束 揭示了4个漏洞 (严重性为两个,严重性为两个):在会话令牌和凭据中存储在过程内存中,在配置文件中预定义的VPN服务器密钥(不用于身份验证),包括调试信息和在所有网络接口中接收连接。
macOS版本中没有漏洞。 在iOS版本中,发现了两个小漏洞 (未使用SSL证书绑定,并且在未阻止越狱后可以在设备上使用)。
在Android版本中发现了四个小问题 (启用调试消息,无法使用ADB实用程序锁定备份,使用预定义的密钥对设置进行加密,缺少SSL证书绑定)以及中等严重性漏洞(无法完成注销,允许令牌重用会话)。
数据来源: https://protonvpn.com