Das Public VPN Projekt betreibt eine eigene Infrastruktur, wie sie im Internet auch vorhanden ist. Der gesamte Datenverkehr wird verschlüsselt. Mit diesen Voraussetzungen werden die Manipulationsmöglichkeiten von außen stark eingeschränkt oder sogar unmöglich gemacht. Die Infrastruktur besteht aus:

• Nameserver mit eigenen Top-Level Domains. Diese sind allerdings anders, als die der bekannten Root-Nameserver, damit diese auch weiter genutzt werden können.
• Eigene IP-Netze. Dabei werden RFC-1918 Netze genutzt, es handelt sich dabei um die IP-Netze

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

• Gateways, die die Schnittstelle zwischen dem Internet und dem Public VPN darstellen

Zugangsmöglichkeiten

Der Zugang zum Public VPN kann auf verschiedene Arten realisiert werden. Für den normalen Anwender ist OpenVPN am besten geeigenet, es kann auf allen wichtigen Plattformen installiert werden. Wer ein eigenes Netz betreiben will, für den ist eine GRE over IPsec Verbindung möglicherweise die beste Lösung. Es gibt auch keine Diskriminierung von bestimmten Betriebssystemen.

OpenVPN

Mit OpenVPN ist der Zugang für einzelne Clients besonders einfach zu lösen, auch in schwierigen Umfeldern, z.B. vorgeschalteter Zwangsproxy oder restriktive Firewall, ist der Betrieb möglich. Die Public VPN Gateway erwarten die Verbindungen von Clients auf Port 443/tcp, der normalerweise für https Webverbindungen genutzt wird.  Der Nachteil sind die etwas höheren Latenzzeiten, für Online Action Spiele ist das also weniger geeignet. Auch Internettelefonie (VoIP) kann hier Probleme machen.

GRE over IPsec

Mit dieser Technik sind die Gateway auch untereinander verbunden. IPsec gilt als besonders sicher, es wird bei Behörden und Banken zur Übermittlung von vertraulichen Daten benutzt.  Der Konfigurationsaufwand ist jedoch recht hoch, daher sollte diese Betriebsart nur bei besonderen Sicherheitsanforderungen benutzt werden.

Sicherheit

Die Sicherheit des Public VPN Projektes hängt praktisch nur von den Gateways und der Certification Authority ab. Hier wird auch ein entsprechend großer Aufwand betrieben, so dass unter keinen Umständen Nutzerdaten nach außen gelangen können oder ein Abhören der Datenströme möglich wird.

Certification Authority

Die  Certification Authority (CA) ist der Schlüsselmeister im Netz. Hier wurde ein mehrstufiges Netz aufgebaut, so eine Kompromitterung ausgeschlossen ist. Die Root CA wurde auf einem Notebook erstellt, das keine Internetanbindung hat. Dort wurde OpenBSD installiert, dazu OpenSSL. Der private Schlüssel befindet sich auf zwei USB Sticks und wurde nur verwendet, um die Sub-CA des Public VPN Projektes zu signieren. USB Sticks und das Passwort wurden in Schließfächern bei verschiedenen Banken hinterlegt. Um die Root CA zu benutzen sind ein USB Stick und das Passwort notwendig. Da die Schließfächer auf verschiedene Personen registriert sind, ist es auch nicht möglich, dass eine Person alleine diese CA benutzen kann. Diese CA wird auch nur benutzt, um die Sub-CA des Public VPNs im Falle eine Kompromittierung zu widerrufen, was hoffentlich nie passieren wird.

Alleine die Sub-CA wird für die  wird für die Verwaltung des Public VPN benutzt. Die Sub-CA befindet sich dazu auf einem Mini-PC, auf dem Linux läuft. Dieser ist über ein LAN mit einem Webserver verbunden. Der Webserver stellt einen NFS-Server zur Verfügung, der nur vom Mini-PC genutzt werden kann. Dort werden vom Webserver die Aufträge zur Schlüsselsignierung als Datei abgelegt. Die Software auf dem Mini-PC signiert den Schlüssel dann und der Webserver setzt seine Bearbeitung des Auftrags vor. Ein externer Zugang zum Mini-PC existiert nicht.

Das Filesystem des Mini-PC ist verschlüsselt, selbst bei physikalischem Zugriff auf diesen PC ist eine Manipulation praktisch nicht möglich.

Gateways

Auf den Gateways befinden sich nur OpenVPN bzw. StrongSwan oder OpenSwan als IPsec Lösungen. Weiterhin ist eine Routingsoftware (Quagga) installiert. Auch hier sind die Filesysteme verschlüsselt, so dass auch im Falle des Diebstahls das VPN nicht kompromittiert werden kann.

Die spezielle Anwendung und die minimale Installation des Systems machen es auch einem Hacker sehr schwer das System anzugreifen.