Informe sobre la VPN de Google One

Todo sobre la VPN de Google One

Para Google, mantener la seguridad online de nuestros usuarios significa proteger continuamente la privacidad y seguridad de su información personal. Nos centramos en tres principios fundamentales: proteger la seguridad de los datos de forma predeterminada, diseñar productos pensando en la privacidad y darle el control a nuestros usuarios.

En cuanto a la privacidad y seguridad de las redes, llevamos tiempo fomentando el uso de la Seguridad en la capa de transporte (TLS), así como el uso de otras medidas de protección en los ecosistemas de aplicaciones y en la Web en general. Lamentablemente, no todos los proveedores de servicios online se comprometen a implementar normas rigurosas de protección de datos1, lo que crea lagunas en cuanto al nivel de protección de los clientes y al control que tienen sobre quién puede acceder a los datos de su tráfico de red. Además, incluso si se implementan correctamente medidas de protección de la seguridad, los datos sensibles, como tu dirección IP y los sitios que visitas, pueden verlos otras personas2.

Al implementar una VPN de forma segura, se refuerza la protección de estas dos maneras:

  • Se cifra el tránsito, lo que permite ocultar tus datos y la actividad en la red a todos los hackers y los nodos de la red, como los puntos de acceso Wi‐Fi públicos u otros proveedores de servicios
  • Se enmascara tu dirección IP para protegerla contra los rastreadores de los sitios y aplicaciones a los que accedes, ya que podrían usarla para rastrear tu ubicación o tu actividad en la red
how a VPN connection works

Figura 1: Funcionamiento de una conexión VPN

Aunque una VPN impide que los intermediarios puedan fisgonear en tu tráfico, el proveedor de la VPN queda en una posición privilegiada para poder acceder a tus datos sensibles. Por lo tanto, es importante elegir un proveedor de VPN que proporcione sólidas garantías de privacidad y seguridad. Lamentablemente, no todos los proveedores han demostrado ser de fiar: algunos servicios son vulnerables3, otros solicitan accesos innecesarios u obtienen ingresos de los datos de red de sus usuarios, mientras que otros no cumplen su promesa de no registrar la actividad online de sus usuarios4.

Con la creciente demanda de VPNs5 y la variada oferta de soluciones disponibles, hemos aprovechado nuestra experiencia en privacidad, criptografía e infraestructura de redes para crear una VPN a la altura de Google. Gracias a la VPN de Google One, la VPN no puede identificar ni registrar el tráfico de red de los usuarios. Nunca usaremos la conexión VPN para rastrear, registrar ni vender tu actividad online.

Transparencia y privacidad verificable

Creemos que una VPN debe ser sólida y transparente. Para mostrar cómo funciona nuestro diseño y ofrecer garantías independientes con respecto a nuestras prácticas relativas a los datos y la seguridad, hemos publicado nuestras APIs de cliente como software libre (aquí) y hemos sometido nuestro sistema a auditorías externas (aquí).

Aparte de aportar esta transparencia y las verificaciones externas, hemos creado la VPN de Google One para solucionar algunas de las posibles vulnerabilidades de las arquitecturas convencionales. Una VPN convencional podría poner en riesgo los datos sensibles de un usuario vinculando su identidad a su tráfico de red mediante un ID de sesión. Con este ID, los operadores de la VPN, o los atacantes que vulneren su infraestructura, podrían "espiar" e identificar a los usuarios y su actividad en la red.

Para eliminar esa vulnerabilidad, necesitábamos separar la autenticación del usuario del uso que este hace del servicio. Al incluir un paso de inicio de sesión con cegado criptográfico entre la autenticación del usuario y la conexión a la VPN, ofrecemos a los usuarios una mayor garantía de que no se podrá relacionar su actividad en la red con su identidad.

VPN by Google One’s authentication with blind signatures image

Figura 2: Autenticación de la VPN de Google One con firmas digitales ciegas

Architecturally, we’ve split authentication from the data tunnel setup into two separate services:

  • Authentication service: This service validates users’ access to VPN by Google One. The client first generates an OAuth token and a blinded token (see below for definition). Then, the authentication service validates and exchanges the OAuth token for a signed blinded token.
  • Key Management Service: The client can then ‘unblind’ this signed blinded token using cryptographic blinding. When the client connects to the data tunnel server, it provides only this signed unblinded token to the data tunnel server. Thus, the only piece that links the authentication server to the data tunnel server is a single, public key, used to sign all blinded tokens presented during a limited period of time.

El algoritmo de ocultación empleado lo describió por primera vez Chaum en 19826, y suele conocerse como "firma digital ciega RSA". Tiene como objetivo no usar nunca el mismo identificador en el servidor de autenticación y el servicio de gestión de claves. Para conseguirlo, el cliente genera un token, lo convierte en hash mediante el esquema Full Domain Hash, y lo combina con un valor aleatorio y con la clave de firma pública del servidor para generar un token oculto. Después, nuestro servidor de autenticación firma ese token oculto. Cuando el cliente quiere conectarse a la VPN, puede descegar el token oculto y su firma utilizando el valor aleatorio que solo él conoce. A continuación, nuestro servidor de gestión de claves puede verificar el token descegado y la firma.

Los servidores son físicamente distintos, y la única información que comparten es una raíz de confianza criptográfica para validar el token descegado y firmado. No comparten ninguna otra información. Gracias a esta minuciosa arquitectura de autenticación, sería inviable que un atacante tuviera tiempo suficiente para vulnerar las medidas criptográficas de protección de uno de los servicios y las del segundo para poder asociar un usuario a su actividad en la red. Según nuestros cálculos, un atacante tardaría años en vulnerar ambos servicios, incluso si utilizara el equivalente a aproximadamente toda la capacidad computacional mundial de Google.

Prácticas de registro de datos en una VPN

The authentication step has already separated the user’s identity from the data tunnel that handles your network traffic. On top of that protection, the following data is never logged:

  • Network traffic, including DNS
  • IP addresses of the devices connecting to the VPN
  • Bandwidth utilized by an individual user
  • Connection timestamps by user

The VPN authentication and data plane services only record aggregate metrics —without any user identifiable information— for service reliability and performance optimization. These include aggregate throughput, uptime, latency, CPU/memory load and failure rates. Client applications running on the user's device may log additional metrics to understand product and feature adoption and engagement, prevent fraud, and to ensure VPN connection health. Client applications also provide the option to send feedback and errors to us, which include application and system logs, and are used for debugging purposes.

Using a VPN shouldn’t require that you completely turn over your trust to the VPN provider. A VPN provider should be able to transparently demonstrate how their service keeps your data private. Our VPN client-side code is open sourced so that users and privacy experts alike can verify how user data is handled, and we open up our implementation to rigorous external audits so you can be confident in our VPN’s privacy and security guarantees.

We believe an easy to use, highly private and performant VPN will significantly help improve user privacy online. So it should come as no surprise that we want to make VPN technology available to as many users as possible.

For more information about how VPN works, see: