Whitepaper zu VPN von Google One

Alles Wichtige zu VPN von Google One

Hier bei Google ist es uns sehr wichtig, dass unsere Nutzer online sicher sind. Deshalb schützen wir ihre personenbezogenen Daten jederzeit so gut wie möglich. Bei der Entwicklung legen wir besonderes Augenmerk auf drei Grundsätze: umfassenden Datenschutz als Standardeinstellung, von Grund auf sichere Produkte und Eingriffsmöglichkeiten für Nutzer.

In Sachen Datenschutz und Sicherheit von Netzwerken fördern wir seit Langem den Einsatz von Transport Layer Security (TLS) und anderer Schutzmaßnahmen im gesamten Web und bei Apps. Leider verpflichten sich nicht alle Onlinedienstleister zur Umsetzung strenger Datenschutzstandards1. Dadurch entstehen Sicherheitslücken und Nutzer haben weniger Einflussmöglichkeiten darauf, wer Zugriff auf ihren Netzwerkverkehr hat. Und selbst mit richtig umgesetzten Schutzmaßnahmen kann es sein, dass andere sensible Daten wie deine IP-Adresse und die von dir besuchten Websites sehen können2.

Wenn ein VPN sicher eingerichtet ist, kann es zusätzlich schützen:

  • Deine Daten und Netzwerkaktivitäten werden bei der Übertragung verschlüsselt, sodass sie anderen Dienstanbietern, Netzwerkknoten, wie z. B. öffentlichen WLAN-Hotspots, und Hackern verborgen bleiben.
  • Deine IP-Adresse wird maskiert, also unkenntlich gemacht, damit Tracker, von dir besuchte Websites und verwendete Apps diese nicht erkennen und deinen Standort oder deine Netzwerkaktivitäten nicht ermitteln können.
how a VPN connection works

Abbildung 1: Funktionsweise einer VPN-Verbindung

Ein VPN verhindert zwar, dass deine Daten an Zwischenstationen auf dem Übertragungsweg ausgespäht werden können, der Anbieter des VPN ist allerdings potenziell in der Lage, auf deine sensiblen Daten zuzugreifen. Deshalb ist es wichtig, einen VPN-Anbieter auszuwählen, der verlässliche Datenschutz- und Sicherheitsmaßnahmen bietet. Leider haben sich nicht alle VPN-Anbieter als vertrauenswürdig erwiesen: Einige Dienste haben Sicherheitslücken3, andere verlangen unnötigen Zugriff auf die Daten von Nutzern oder verkaufen die Daten der Nutzer. Wieder andere zeichnen die Onlineaktivitäten ihrer Nutzer auf, obwohl sie versprochen haben, dies nicht zu tun4.

Angesichts der wachsenden Nachfrage nach VPNs5 und dem großen Angebot an unterschiedlichen Lösungen haben wir unser Wissen in den Bereichen Datenschutz, Kryptografie und Netzwerkinfrastruktur genutzt, um ein VPN auf Google-Niveau zu entwickeln. Mit VPN von Google One ist der Netzwerkverkehr für das VPN nicht identifizierbar und wird vom VPN nicht protokolliert. Wir nutzen die VPN-Verbindung niemals dazu, deine Onlineaktivitäten zu beobachten, zu protokollieren oder irgendwelche dabei erfassten Daten zu verkaufen.

Transparent und nachweislich vertraulich

Wir sind der Ansicht, dass ein VPN zuverlässig und transparent sein muss. Um zu demonstrieren, wie unser Konzept funktioniert, und um eine unabhängige Prüfung unserer Datenschutz- und Sicherheitsmaßnahmen zu ermöglichen, haben wir den Code unserer Client-APIs als Open Source zugänglich gemacht (siehe hier) und das System durch einen Drittanbieter auditieren lassen (siehe hier).

Zusätzlich zu dieser transparenten Maßnahme und der externen Verifizierung haben wir VPN von Google One so entwickelt, dass einige potenzielle Sicherheitslücken, die es in herkömmlichen Architekturen gibt, vermieden werden. Bei herkömmlichen VPNs können die sensiblen Daten von Nutzern gefährdet sein, weil diese durch eine Sitzungs-ID mit den Aktivitäten der Nutzer verknüpft werden. Über diese ID können VPN-Betreiber oder Angreifer Nutzer identifizieren und deren Netzaktivitäten ausspähen.

Diese Sicherheitslücke wollten wir schließen und haben daher die Nutzerauthentifizierung von der Servicenutzung getrennt. Durch eine in der Kryptografie als „blinde Signatur“ bezeichnete Signatur zwischen Nutzerauthentifizierung und VPN-Verbindung schützen wir die Netzwerkaktivitäten besser, da sie nicht so leicht zur Identität des Nutzers zurückverfolgt werden können.

VPN by Google One’s authentication with blind signatures image

Abbildung 2: Authentifizierung bei VPN von Google One mit einer blinden Signatur

Architecturally, we’ve split authentication from the data tunnel setup into two separate services:

  • Authentication service: This service validates users’ access to VPN by Google One. The client first generates an OAuth token and a blinded token (see below for definition). Then, the authentication service validates and exchanges the OAuth token for a signed blinded token.
  • Key Management Service: The client can then ‘unblind’ this signed blinded token using cryptographic blinding. When the client connects to the data tunnel server, it provides only this signed unblinded token to the data tunnel server. Thus, the only piece that links the authentication server to the data tunnel server is a single, public key, used to sign all blinded tokens presented during a limited period of time.

Der zum Verblinden (Verschlüsseln) verwendete Algorithmus wurde erstmals 1982 von Chaum beschrieben6 und der damit einhergehende Vorgang wird häufig als „RSA Blind Signing“ bezeichnet. Ziel ist es, im Authentifizierungsserver und im Key Management Service niemals dieselbe Kennung zu verwenden. Dazu generiert der Client ein Token und hasht es über einen Full Domain Hash. Anschließend wird es mit einem Zufallswert und dem öffentlichen Signierschlüssel des Servers kombiniert, um ein verschlüsseltes Token zu erzeugen. Dieses verschlüsselte Token wird dann von unserem Authentifizierungsserver signiert. Wenn der Client sich mit dem VPN verbinden möchte, kann er das verschlüsselte Token und dessen Signatur mit dem nur ihm bekannten Zufallswert entschlüsseln. Das entschlüsselte Token und die Signatur sind dann durch unseren Key Management Server überprüfbar.

Die Server sind räumlich voneinander getrennt und teilen nur eine kryptografische Root of Trust, um das signierte, entschlüsselte Token zu bestätigen. Ansonsten teilen sie grundsätzlich keine anderen Informationen. Durch diese sorgfältige Authentifizierungsarchitektur hätte ein Angreifer nicht genügend Zeit, nachdem er die kryptografischen Schutzmechanismen eines der Dienste überwunden hat, auch den zweiten Dienst zu knacken. Und nur wenn beide Dienste gehackt wurden, wäre es möglich, die Netzwerkaktivitäten mit einem Nutzer in Verbindung zu bringen. Wir haben errechnet, dass es Jahre dauern würde, beide Dienste zu knacken, selbst wenn man die gesamte Rechenkapazität von Google weltweit nutzen würde.

Protokollierung von VPN

The authentication step has already separated the user’s identity from the data tunnel that handles your network traffic. On top of that protection, the following data is never logged:

  • Network traffic, including DNS
  • IP addresses of the devices connecting to the VPN
  • Bandwidth utilized by an individual user
  • Connection timestamps by user

The VPN authentication and data plane services only record aggregate metrics —without any user identifiable information— for service reliability and performance optimization. These include aggregate throughput, uptime, latency, CPU/memory load and failure rates. Client applications running on the user's device may log additional metrics to understand product and feature adoption and engagement, prevent fraud, and to ensure VPN connection health. Client applications also provide the option to send feedback and errors to us, which include application and system logs, and are used for debugging purposes.

Using a VPN shouldn’t require that you completely turn over your trust to the VPN provider. A VPN provider should be able to transparently demonstrate how their service keeps your data private. Our VPN client-side code is open sourced so that users and privacy experts alike can verify how user data is handled, and we open up our implementation to rigorous external audits so you can be confident in our VPN’s privacy and security guarantees.

We believe an easy to use, highly private and performant VPN will significantly help improve user privacy online. So it should come as no surprise that we want to make VPN technology available to as many users as possible.

For more information about how VPN works, see: