ProtonVPN - konečně dokonalá VPN?

10.8.2017 | Jindřich Zechmeister

VPN jsou populární a dostupné jako nikdy předtím. Není to bohužel kvůli bezpečnosti, ale zejména kvůli Netflixu a snaze překonat regionální omezení. Velká poptávka posledních let vyústila v desítky či možná stovky VPN služeb. Z nich je ozbláště zajímavá nová služba ProtonVPN od tvůrců Protonmailu. Je to konečně VPN, která se blíží dokonalosti?

Nepodléhejte pouze marketingu

Na internetu je možné najít mnoho "srovnávačů" VPN a jejich "kvality" či funkcí. Vždy se však jedná o srovnání deklarovaných vlastností a parametrů; vychází tedy čistě z marketingu daných firem. Je logické, že nikdo nebude psát o své síti jako o "pomalé" či "poměrně rychlé". Od uživatelů hledajících rychlé řešení se také neočekávají žádné požadavky na její bezpečnost. Některé produkty navíc ani šifrovaným tunelem ve skutečnosti nejsou a jen se za VPN vydávají. Příkladem za všechny budiž proxy v Opeře, kterou na základě své zvědavosti "usvědčil" český odborník Michal Špaček alias spazef0rze. Jakých překvapení bychom se asi dočkali, kdyby odborníci zauditovali všechny VPN služby...

Z článků srovnávajících VPN a jejich poskytovatele doporučuji pouze článek Which VPN Services Keep You Anonymous in 2017, který formou rozhovoru s poskytovateli srovnává jejich ochranu soukromí uživatelů. Dozvíte se, které VPN usměrňují P2P, kde jsou umístěny servery a sídlo provozovatele, které VPN logují provoz a jak jednotliví poskytovatelé řeší stížnosti na porušení autorských práv (stížnosti DMCA). Článek je však zaměřen na uživatele P2P sítí, kterým jde hlavně o anonymitu a ochranu před sledováním protipirátských společností.

Co od dnešní VPN očekávat

VPN služba v roce 2017 musí být jednoduchá, aby ji mohl používat každý. Musí být též rychlá, protože počítače i mobilní zařízení mají vysoké nároky na přenos dat (rychlost i množství). Množství poskytovatelů a konkurence stlačila cenu VPN na hodnotu zhruba 4-5 eur měsíčně a zcela zjednodušila její použití. Pro platbu můžete využít platební kartu nebo PayPal (platba tedy není anonymní). 

Jedná se o službu dostupnou všem uživatelům. Vzhledem k převaze mobilních zařízení nad běžnými PC musí být VPN snadno použitelná i na mobilu či tabletu. Tato snadnost použití závisí na čase, který je nutný ke zprovoznění sítě. V dnešní době existují v podstatě tři způsoby - použití proprietární aplikace provozovatele (zejména na mobilních zařízeních), nebo využití VPN klienta v systému (Windows i Linux umí VPN bez dalších dodatečných programů). Jako třetí varianta vždy stojí nezávislý a otevřený protokol OpenVPN se svými aplikacemi pro PC a mobilní zařízení.

Seznámení s ProtonVPN

Služba ProtonVPN pochází od známého a vysoce hodnoceného "bezpečného e-mailu" Protonmail. Ten od roku 2013 poskytuje e-mail s end-to-end šifrováním a aspiruje na nejbezpečnější službu tohoto typu na světě. Jeho autoři Dr. Andy Yen, Dr. Bart Butler, Jason Stockman a Wei Sun službu vytvořili ve švýcarském CERNu a provozovatel Proton Technologies AG zde též sídlí. To přináší další výhody, kterými jsou kromě vysoké akademické odbornosti a reputace autorů také švýcarská legislativa a lokalita, která slibuje lepší ochranu soukromí před špehováním, než je tomu v současnosti v anglosaských zemích. 

ProtonVPN běží na protokolu OpenVPN, protože autoři považují ostatní protokoly za kompromitované. V době psaní článku má celkem 122 serverů a nachází se ve 14 zemích a k dispozici je síťová kapacita 155 Gbps. Provozovatel slibuje nejsilnější šifrování, což znamená použití AES-256 pro šifrování síťového spojení, výměnu klíčů s 2048-bit RSA a HMAC s SHA256 pro autentizaci zpráv. Všechny použité šifry podporují Perfect Forward Secrecy, což znamená, že ani záznam komunikace nemůže být zpětně dešifrován. 

Poskytovatel neloguje žádná data o spojeních a švýcarská legislativa mu to ani neukládá. Datový přenos je pro všechny tarify neomezený a poskytovatel neomezuje P2P. DNS dotazy chrání využitím šifrovaného tunelu a nespoléhá se na DNS servery třetích stran. ProtonVPN aplikace podporuje tzv. kill switch, což je funkce, která přeruší veškeré síťové spojení ve chvíli, kdy je přerušeno spojení s VPN serverem. Na závěr výčtu funkcí zmíním podporu Tor a možnost využití Tor serverů poskytovatele pro surfování v této anonymní síti.

Jak na ProtonVPN

ProtonVPN je v době psaní článku stále nová služba a pro velký zájem není stále možné vyzkoušet bezplatný program. Velký zájem uživatelů je omezen kapacitou, avšak zvědaví (a zároveň šetřiví) zájemci se mohou zařadit "do fronty" a čekat na pozvánku. Osobně jsem to zkusil v červnu a stále se na mě nedostalo.

Ti, co to myslí s vyzkoušením služby vážně, zvolí jeden z placených tarifů. Službu je možné platit měsíčně a ročně (s 20% slevou); provozovatel slibuje vrácení peněz kdykoliv.

Tarify předplatného ProtonVPN. Klikněte pro zvětšení.

Po zaplacení služby a přihlášení (můžete využít stávající Protonmail účet, nebo udělat nový) se vám otevře administrace služby. V ní je to hlavní, co očekáváme - možnost stažení konfiguračních souborů pro různá zařízení. Myslím, že zde najdou všichni to, co potřebují.

Uživatelé mobilních telefonů a tabletů mohou použít nativní aplikaci ProtonVPN. Vždy mají možnost využít protokol OpenVPN (samostatné přihlašovací údaje jsou k dispozici) a VPN síť nastavit v tomto klientovi. Kromě mobilů, tabletů a počítačů je možné VPN použít i v routerech. Stačí k tomu podpora VPN klienta, kterou umí například ASUS RT-N18U (většinou se funkce VPN klienta v popisu funkcí i manuálu těžko hledá, ale tento model jsem osobně vyzkoušel).

Kompatibilita a možnosti použití

Jak jsem již zmínil, ProtonVPN umožňuje stáhnout konfigurační soubor VPN pro všechny možné typy zařízení. Na ty stačí konfigurační soubor naimportovat a připojit se. Jak se to dělá například s OpenVPN na iPhonu, který neumožňuje pracovat se soubory jako Android, se dozvíte v našem článku Jak zabezpečit telefon pomocí šifrovaného tunelu a OpenVPN.

Konfigurační soubory je možné stáhnout i pro OpenVPN, díky čemuž je kompatibilita absolutní. Poskytovatel nabízí profil dokonce i pro OpenWRT routery.

ProtonVPN podporuje tyto platformy, ke kterým nabízí podrobné návody:

  • Windows - samostatná aplikace
  • Mac - aplikace je ve vývoji, do té doby funguje Tunnelblick (OpenVPN klient)
  • Linux pomocí balíku OpenVPN
  • iOS - aplikace se vyvíjí, zatím pomocí OpenVPN Connect
  • Android - aplikace se vyvíjí, zatím pomocí OpenVPN klientů

Stažení konfiguračních souborů v ProtonVPN

Stažení konfiguračních souborů v ProtonVPN. Klikněte pro zvětšení.

Při připojení pomocí aplikace pro Windows uvidíte v pěkném rozhraní umístění VPN serveru, IP adresu, statistiku přenosu dat a ostatní VPN servery. Je to jistě zajímavější, než obvyklé připojení "jen" prostřednictvím OpenVPN klienta.

ProtonVPN klient pro Windows

ProtonVPN klient pro Windows nabízí zajímavé statistiky

Možnosti připojení a rychlost

Možnosti připojení jsou široké a uživatel si může vybrat servery v mnoha zemích. U každého z nich vidí procentuální vytíženost serveru. Kromě výběru konkrétního serveru (v zemích je jich vícero) je možné se připojit obecně do konkrétní země; ProtonVPN pak přidělí sám server, který je nejméně vytížen.

Rychlost spojení je odpovídající a těžko bude někoho omezovat. Na rychlostní limit je možné narazit snad jen při stahování velkých souborů nebo použití P2P, ale pro běžné surfování bude rychlost vyhovující. Na výběr je dostatek serverů a zatížení většiny z nich je pouze v řádu několika procent. Na obrázcích níže je vidět test rychlosti pro server NL#2; rychlost dostahovala limitu připojení 200Mb a pouze ping byl vyšší; při správném výběru serveru ani to není problém. Z několika ostatních serverů byla rychlost vždy nad 100Mb. Překvapením je vysoká rychlost zaoceánské US VPN.

Test rychlosti serverů na 200/20 Mb lince - NL#2, DE#2, FR#3, CH#7 a US#3.

ProtonVPN vyhrazuje některé servery pro zákazníky s vyššími tarify Plus a Visionary; druhý zmíněný kromě ProtonVPN zahrnuje i službu Protonmail. Vyšší tarify mohou využít funkci Secure Core, která má zajistit soukromí spojení i v případě, že je server ProtonVPN v nějaké zemi síťově monitorován. Data uživatele využívajícího Secure Core "tečou" přes několik VPN serverů, čímž se možnost identifikace jeho IP adresy a lokace výrazně sníží.

Pozor na domácí regionální omezení

ProtonVPN chybí v nabídce server s českou IP adresou, protože pouze zahraniční servery mohou být omezující. V úvodu jsem zmínil regionální omezení služeb jako Netflix, která pomáhá VPN obejít. Připojením na VPN server v určité zemi jste z pohledu internetu najednou rezidentem. Stejný problém však může nastat i z pohledu českých služeb, například české IPTV nebudou fungovat s IP adresou, která není česká (obsah nesmí do zahraničí). Stejný problém vás může potkat například v Internetbankingu vaší banky, která ze zahraničí omezí přístup. Je třeba počítat s tím, že takové problémy mohou nastat.

Zdroje a další informace:

  1. protonvpn.com: VPN Security Features 
  2. protonvpn.com: What is Secure Core VPN?
  3. Root.cz: ProtonVPN: vyzkoušeli jsme anonymní a rychlou VPN

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz