我們支援兩種 VPN 通道通訊協定，OpenVPN 和 WireGuard：

• 我們將 OpenVPN 限制為 TLS 1.3 (用於控制通道) 和 AES-256-GCM (用於資料通道)。 這已在 OpenSSL 中實作。
• 對於 WireGuard，我們主要採取了標準 Linux 核心實作。 其他情況使用 wireguard-go。

應用程式使用了以 Rustls* 實作的 TLS 1.2 或 1.3，將與 API 的通訊加密。 這提供了兩項功能：

• 連線使用憑證鎖定，以防止中間人攻擊。
• 為了規避 DNS 詐欺，應用程式不使用 DNS 取得 API 的 IP。

應用程式與系統防火牆整合 (Windows 上的 WFP、Linux 上的 nftables 和 macOS 上的 PF)，防止外洩並啟用終止開關功能。 在我們 GitHub 頁面瞭解更多資訊

為了限制以特權使用者身份執行的代碼量，應用程式分為兩部分：

• 非特權前端 (含 CLI))
• 在後台執行並監督通道和裝置安全性的特權系統服務。

我們在所有伺服器中都指定了加密的預設組態和優先順序，為各個通道通訊協定提供最有力的加密。

OpenVPN 伺服器

我們 OpenVPN 伺服器具有下列特性：

• 使用 4096 位元 RSA 憑證 (經 SHA512 加密)，進行伺服器驗證。
• 使用 4096 位元的迪菲赫爾曼 (Diffie-Hellman) 參數，進行金鑰交換
• 使用了 DHE 來確保轉送的隱密性.
• 控制通道的最低 TLS 版本為 1.2，TLS 1.3 可用。

• 對於最新 OpenVPN 客戶端版本，我們提供以下密碼，按指定順序使用 (除非使用者套用不同的配置)：

  • 控制通道密碼: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
  • 資料通道密碼: CHACHA20-POLY1305, AES-256-GCM.
• 金鑰每 60 分鐘更新一次。

WireGuard 伺服器

WireGuard 具有約制性，僅提供一組加密原語。 如需詳細資訊，請參見 WireGuard 網站。

橋接伺服器

我們的橋接有助於在存取遭封鎖時，連線到我們網站、API、OpenVPN 和 WireGuard 伺服器。 我們的組態使未加密的內容很難或不可能獲得存取，因此使用的加密類型並不重要。

為了保護我們自己、我們的客戶和我們的服務品質，我們保留封鎖任何 IP 位址或連接埠的權利。 我們始終封鎖對以下連接埠的出站流量：

• 連接埠 25 – 防止垃圾郵件
• 連接埠 137、138、139、445 – 保護客戶免受 Microsoft SMB/CIFS 安全問題影響
• 連接埠 1900 和 2869 – 保護客戶免於惡意 UPnP 組態。