Top10VPN är redaktionellt oberoende. Vi kan få provision om du köper VPN-tjänster via våra länkar.

Hur fungerar en VPN? Förklaring av VPN-kryptering och VPN-tunnlar

JP Jones är vår teknikchef. Han har över 25 års erfarenhet inom programvaruutveckling och nätverk och övervakar alla tekniska aspekter i vår testprocess för VPN-tjänster.

Faktagranskat av Simon Migliano

VPN-programvara skapar en krypterad virtuell tunnel mellan din enhet och en VPN-server på en annan plats. Detta skapar en säker anslutning mellan dig och offentligt internet, döljer din IP-adress och plats samt skyddar din webbaktivitet från extern övervakning.

Så här fungerar ett VPN (virtuellt privat nätverk)

VPN-programvaran ansluter din enhet till en fjärrserver genom en krypterad tunnel.

Ett virtuellt privat nätverk (VPN) är ett värdefullt verktyg för att skydda din integritet, säkerhet och frihet online.

I den här guiden förklarar vi hur VPN-programvara döljer din offentliga IP-adress och krypterar din internetanslutning.

Om du är mer intresserad av vad du kan göra med en VPN-tjänst kan du istället läsa vår guide om vad VPN-tjänster används till.

Kort sammanfattning: Så här fungerar VPN-tjänster

VPN-tjänster krypterar din anslutning och omdirigerar den via en VPN-server på en annan plats.

Det här händer med din webbtrafik när du använder en VPN-tjänst:

  1. Du laddar ned, installerar och slår på VPN-appen på din dator, smarttelefon eller tv.
  2. I din webbläsare skriver du in en webbplats du vill komma till (t.ex. exempel.se).
  3. VPN-programvaran på din enhet krypterar anslutningsbegäran. Detta gör platsen och innehållet i din begäran obegripliga för alla som tittar på den.
  4. Dina anslutningsdata skickas till din valda VPN-server, där de dekrypteras.
  5. VPN-servern ansluter till webbplatsen å dina vägnar, och webbplatsen skickar din begärda information tillbaka till VPN-servern.
  6. Informationen krypteras av VPN-servern och skickas vidare till din enhet.
  7. Din VPN-app dekrypterar informationen, och den begärda webbplatsen visas i din webbläsare.

Genom att följa processen ovan kan du med hjälp av en VPN-tjänst dölja din IP-adress från de webbplatser du besöker.

Med VPN-programvaran kan du också dölja din onlineaktivitet från internetleverantörer, wifiadministratörer, myndigheter och andra som övervakar din anslutning.

Även om alla VPN-programvaror är ganska lika gäller den här processen specifikt för VPN-tjänster som är personliga eller för ”konsumenter”.

Mer information om hur fjärråtkomst och VPN-tjänster från sida till sida fungerar finns i vår guide till VPN-typer.

Vad är en VPN-tunnel?

En ”VPN-tunnel” är ett vanligt sätt att beskriva vad som händer när du ställer in en VPN-anslutning. Med andra ord är det den krypterade kommunikationen mellan din enhet och VPN-servern.

Den här kommunikationen kallas en tunnel eftersom din ursprungliga trafik krypteras och omsluts av ett lager okrypterad trafik.

Det är som att ta ett kuvert med ett brev i och lägga det i ytterligare ett kuvert med en ny adress på. Ditt faktiska brev döljs helt och hållet från omvärlden, som om det vore i en tunnel.

Den här processen kallas inkapsling och utförs av särskilda tunnelprotokoll.

Läs mer om tunnelprotokoll i avsnittet VPN-kryptering nedan eller i vår specifika guide till VPN-protokoll.

Hur döljer en VPN-tjänst din IP-adress?

SUMMARY: VPN-tjänster fungerar som en mellanhand mellan din enhet och internet. När du använder internet med en VPN ser webbplatserna du besöker VPN-tjänstens IP-adress istället för din vanliga offentliga IP-adress.

När du surfar på webben utan en VPN-tjänst dirigeras anslutningen direkt från din enhet till värdservern för den webbplats eller tjänst du vill komma åt.

För att kunna skicka tillbaka relevant innehåll till dig måste den här webbservern känna till din IP-adress.

Din IP-adress är i grund och botten ditt pass på internet. Det är en unik identifierare som talar om för andra datorer var informationen ska skickas för att den ska nå dig.

Använd kontrollverktyget ”Vilken IP-adress har jag” för att ta reda på din offentliga IP-adress.

Din IP-adress är kopplad till mycket personlig information. Den avslöjar din geografiska plats och kan användas för att skapa en övergripande bild av din onlineaktivitet.

P.g.a. detta väljer många att dölja sin IP-adress med hjälp av en VPN-tjänst.

När du surfar på webben med hjälp av en VPN-tjänst omdirigeras din anslutning alltid via en VPN-server på en annan plats innan den når värdservern för webbplatsen eller tjänsten du vill komma åt.

När webbservern skickar tillbaka information till dig skickas den via VPN-servern som sedan skickar vidare den till dig. Det innebär att webbplatserna du besöker aldrig kommer i kontakt med din riktiga IP-adress.

diagram som visar hur en VPN-tjänst döljer din IP-adress från webbplatsen som du besöker

 

Webbplatserna som du besöker ser endast anslutningsbegäran som kommer från VPN-servern. De skickar sedan information tillbaka till den VPN-servern.

EXPERTTIPS: Bra VPN-tjänster har servrar på många platser. Du kan få webbplatser att tro att du befinner dig i ett annat land genom att ansluta till en VPN-server där. Det är så VPN-tjänster används för att ändra sin region på streamingtjänster som Netflix.

Hur krypterar och säkrar VPN-tjänster din data?

SUMMARY: VPN-tjänster använder krypteringsalgoritmer och anslutningsprotokoll för att konvertera din webbtrafik till oläslig kod. Detta förhindrar att din internetleverantör, staten eller andra tredjeparter kan se din aktivitetshistorik. En säker VPN-tjänst ska inte använda något svagare än AES-256 för att kryptera din data.

Kryptering är en process i vilken normal data i klartext omvandlas till en hemlig kod som endast kan förstås av någon som vet hur man dekrypterar den.

Syftet med kryptering är att hindra oönskade individer från att kunna läsa dina meddelanden.

I VPN-tjänster används kryptering för att dölja information om din surfaktivitet när den färdas mellan din enhet och VPN-servern.

När du använder en VPN-tjänst förhindrar du internetleverantörer, myndigheter, wifiadministratörer, hackare och eventuella tredje parter från att spionera på din anslutning.

Men hur fungerar det egentligen? Hur krypterar och säkrar en VPN-tjänst dina data?

I resten av det här avsnittet tar vi en närmare titt på de olika komponenter och processer som utgör VPN-kryptering. Låt oss börja med krypteringsalgoritmer.

Krypteringsalgoritm

Private Internet Access app som visar hur du kan anpassa krypteringsinställningarna för din VPN-tjänst.

För att konvertera din onlineaktivitet till en obegriplig kod måste VPN-tjänster använda krypteringsalgoritmer.

En krypteringsalgoritm är bara en algoritm (dvs. en uppsättning regler) som krypterar och dekrypterar data.

EXEMPEL: En mycket enkel krypteringsalgoritm kan kryptera din data med regeln ”byt ut varje bokstav i meddelandet med den föregående bokstaven i alfabetet”. Så exempelvis integritet blir hmsdfqhsds.

Krypteringsalgoritmer paras vanligtvis med en specifik nyckellängd. Generellt sett gäller att ju längre nyckellängd, desto säkrare kryptering. AES-256 anses t.ex. vara säkrare än AES-128.

De vanligaste krypteringsalgoritmerna i VPN-tjänster är:

1AES (Advanced Encryption Standard)

AES (Advanced Encryption Standard) är en av de säkraste krypteringsalgoritmerna som finns. Det är det bästa av krypteringsprotokollen online och används väldigt mycket i VPN-branschen.

AES skapades av US National Institute of Standards and Technology (NIST) 2001 och kallas ibland även Rijndaelalgoritmen. Den är utformad för att hantera större filer än andra krypteringsalgoritmer, t.ex. Blowfish, tack vare den utökade blockstorleken.

AES finns vanligtvis tillgänglig i nyckellängderna 128 bitar och 256 bitar. AES-128 anses fortfarande vara säkert, men vi vet att organisationer som NSA alltid försöker underminera krypteringsstandarder. Därför föredras AES-256 då du sannolikt får ett mycket bättre skydd.

När du läser om kryptering i ”militärklass” eller ”bankklass” på en VPN-tjänsts webbplats betyder det oftast att AES-256 används. Den amerikanska regeringen använder AES-256-kryptering för att säkra sina egna känsliga data, och det är något vi håller utkik efter när vi testar och granskar VPN-tjänster.

2Blowfish

Blowfish är en krypteringsalgoritm som utformades 1993 av den amerikanske kodexperten Bruce Schneier. Det brukade vara den krypteringsalgoritm som användes som standard i de flesta VPN-anslutningar, men har nu till stor del ersatts av AES-256.

Blowfish används vanligtvis med nyckellängden 128 bitar, dock finns allt ifrån 32 till 448 bitar.

Blowfish har vissa svagheter. Dess mest kända sårbarhet är för en kryptografisk attack som kallas en ”födelsedagsattack”. P.g.a. detta bör Blowfish endast användas om AES-256 inte finns tillgängligt.

3ChaCha20

ChaCha20 släpptes 2008 av Daniel Bernstein och är en ganska ny krypteringsalgoritm för VPN-tjänster. Trots detta blir den mer och mer populär eftersom det är den enda krypteringsalgoritmen som är kompatibel med det nya WireGuard-protokollet.

ChaCha20 använder precis som AES nyckellängden 256 bitar, som anses vara mycket säker. Rapporter tyder också på att ChaCha20 är upp till tre gånger snabbare än AES.

Det finns för närvarande inga kända sårbarheter hos ChaCha20, och det är ett välkommet alternativ till AES, då krypteringstekniker som möjligtvis kan används på kvantdatorer behövs i en inte alltför avlägsen framtid.

4Camellia

Camellia är en krypteringsalgoritm som liknar AES när det gäller säkerhet och hastighet. Även det kortare nyckellängdsalternativet (128 bitar) anses vara ogenomförbart att knäcka med en brute force-attack, baserat på dagens teknik. Det finns inga kända attacker som lyckats försvaga Camellia-krypteringsalgoritmen på ett effektivt sätt.

Den största skillnaden mellan Camellia och AES är att Camellia inte är certifierat av NIST, den amerikanska organisationen som skapade AES.

Även om det verkligen finns argument för att använda en krypteringsalgoritm som inte är kopplad till den amerikanska regeringen finns Camellia sällan tillgänglig i VPN-program. Den har inte heller testats lika grundligt som AES.

VPN-protokoll

VPN-protokoll innehåller de regler och processer som följs av din enhet för att upprätta en säker anslutning till VPN-servern.

Med andra ord avgör VPN-protokollet hur VPN-tunneln bildas, och krypteringsalgoritmen används för att kryptera den data som skickas genom tunneln.

Beroende på vilket protokoll som används kommer en VPN-tjänst att ha olika hastigheter, funktioner och sårbarheter. Hos de flesta tjänsterna kan du välja vilket protokoll du vill använda i appinställningarna.

Det finns många tillgängliga VPN-protokoll, men inte alla är säkra att använda. Här får du en snabb översikt över de vanligaste protokollen:

  • OpenVPN: Öppen källkod, ytterst säkert och kompatibelt med nästan alla VPN-kompatibla enheter.
  • WireGuard: Blixtsnabbt och mycket effektivt, men p.g.a. att det lanserades nyligen litar inte alla i VPN-branschen på det ännu.
  • IKEv2/IPsec: Ett protokoll med sluten källkod som fungerar utmärkt för mobila VPN-användare, dock kan det vara infiltrerat av NSA.
  • SoftEther: Många VPN-tjänster stöder inte protokollet, men det är snabbt, säkert och bra för att kringgå censur.
  • L2TP/IPsec: Ett långsammare protokoll som också kan ha hackats av NSA.
  • SSTP: Bra för att kringgå brandväggar, men kommer med sluten källkod och är potentiellt sårbart för MITM-attacker.
  • PPTP: Föråldrat, inte säkert och bör undvikas till varje pris.

TA REDA PÅ MER: Om du vill lära dig ännu mer om de olika typerna av VPN-protokoll och få reda på vilken som är bäst kan du läsa vår fullständiga guide till VPN-protokoll.

VPN-handskakning

Förutom protokoll och krypteringsalgoritmer använder VPN-tjänster också processer som kallas handskakning och hashautentisering för att ytterligare säkra och autentisera din anslutning.

Handskakning avser den första anslutningen mellan två datorer. Det är en hälsning där båda parter autentiserar varandra och reglerna för kommunikation fastställs.

Under en VPN-handskakning upprättar VPN-klienten (dvs. din enhet) en första anslutning till VPN-servern.

Den här anslutningen används sedan för att på ett säkert sätt dela en krypteringsnyckel mellan klient och server. Den här nyckeln används för att kryptera och dekryptera data i båda ändarna av VPN-tunneln under hela webbläsarsessionen.

diagram som visar processen för en VPN-handskakning mellan VPN-klient och VPN-server steg för steg

 

I VPN-handskakning används oftast RSA-algoritmen (Rivest-Shamir-Adleman). RSA har varit basen för internetsäkerhet under de senaste två decennierna.

Det finns ännu inte några konkreta bevis på att RSA-1024 har knäckts, men den anses rent generellt vara en säkerhetsrisk med tanke på den processorkraft som finns tillgänglig nuförtiden.

RSA-2048 är ett mycket säkrare alternativ och har relativt liten påverkan på beräkningshastigheten. P.g.a. detta har de flesta VPN-tjänster slutat använda RSA-1024.

Du bör endast lita på VPN-tjänster som använder RSA-2048 eller RSA-4096.

Även om handskakningsprocessen fungerar bra och genererar säker kryptering kan varje session som genereras dekrypteras med den privata nyckeln som används i RSA-handskakning. I detta avseende fungerar den som en ”huvudnyckel”.

Om huvudnyckeln någonsin skulle äventyras kan den användas för att dekryptera alla säkra sessioner på VPN-servern i fråga, både tidigare och nuvarande sessioner. En hackare kan hacka sig in på VPN-servern och komma åt alla data som skickas genom VPN-tunneln.

För att undvika det rekommenderar vi att du använder VPN-tjänster som har konfigurerats med perfekt framåtsekretess.

Perfekt framåtsekretess

 

bild på en VPN-klient och VPN-server i separata rum som båda genererar samma tillfälliga nyckel för att kryptera sessionen

Perfekt framåtsekretess är en protokollfunktion där en av algoritmerna för nyckelutbyte, Diffie-Hellman (DH) eller Elliptic Curve Diffie-Hellman (ECDH), används för att generera tillfälliga sessionsnycklar.

Perfekt framåtsekretess säkerställer att krypteringsnyckeln aldrig byts ut under anslutningen.

Istället genererar både VPN-servern och VPN-klienten nyckeln var för sig med hjälp av DH- eller ECDH-algoritmen.

Det är en matematiskt komplex process, men perfekt framåtsekretess tar i grund och botten bort risken med en enda privat nyckel som, om den äventyras, exponerar varje säker session som någonsin hanterats av servern.

Nycklarna är istället tillfälliga. Detta innebär att de aldrig kan avslöja mer än en specifik session.

Notera att du inte kan få perfekt framåtsekretess med endast RSA. DH eller ECDH måste ingå i RSA:s krypteringsalgoritmsvit för att den ska kunna implementeras.

ECDH kan faktiskt användas på egen hand – istället för RSA – för att generera en säker VPN-handskakning med perfekt framåtsekretess. Se dock upp för VPN-tjänster som endast använder DH, eftersom den lättare kan knäckas. Detta är inte ett problem när den används med RSA.

De två VPN-protokoll vi alltid rekommenderar till våra läsare – OpenVPN och WireGuard – stöder perfekt framåtsekretess.

Hashautentisering

Secure Hash Algorithms (SHA) används för att autentisera integriteten i överförda data och anslutningar mellan klient och server. De säkerställer att informationen inte har ändrats under tiden den färdades från källan till destinationen.

SHA:er redigerar källdata med hjälp av något som kallas hashfunktion. Det ursprungliga källmeddelandet körs genom en algoritm, vilket resulterar i en teckensträng med fast längd som inte alls ser ut som originalet. Detta kallas ”hashvärde”.

Funktionen kan endast köras åt ett håll – du kan inte köra en omvänd hashprocess för att få ut det ursprungliga meddelandet ur hashvärdet.

Hashing är användbart eftersom det helt och hållet ändrar hashvärdet som matas ut från hashfunktionen om källdata som matas in ändras med ett enda tecken.

En VPN-klient kör de data som tas emot från servern, tillsammans med den hemliga nyckeln, genom en hashfunktion som etablerats under VPN-handskakningen.

Om hashvärdet som klienten genererar inte är samma som hashvärdet i meddelandet tas all data bort eftersom det innebär att meddelandet har ändrats.

SHA:s hashautentisering förhindrar MITM-attacker, eftersom den kan upptäcka eventuella ändringar av ett giltigt certifikat.

Utan SHA kan en hackare imitera en legitim VPN-server och lura dig att ansluta till en osäker server, där din aktivitet kan övervakas.

Om du vill säkerställa att du har maximal säkerhet rekommenderar vi att du använder VPN-tjänster som använder SHA-2 eller högre. Det har upptäcks svagheter i SHA-1 som kan äventyra säkerheten.