ExpressVPN 安全吗？安全性、隐私和审计分析

ExpressVPN 安全吗？安全深度解析

ExpressVPN 基于经过验证的无日志审计、AES-256 加密和遍布 105 个国家的纯 RAM 服务器获得 85/100 的信任评分。它在英属维尔京群岛司法管辖区运营，不在 14 眼监视联盟之外。KPMG 和 Cure53 进行的多项独立审计证实其无日志声明在严格审查下站得住脚。

司法管辖区：为什么英属维尔京群岛很重要

ExpressVPN 在英属维尔京群岛注册，该群岛是英国的自治海外领土。英属维尔京群岛对 VPN 提供商没有强制性数据保留法。这个事实决定了 ExpressVPN 如何应对政府数据请求。

英属维尔京群岛不在 5 眼、9 眼和 14 眼情报共享联盟之内。外国政府请求必须通过英属维尔京群岛高等法院才能到达 ExpressVPN。英属维尔京群岛没有法律义务直接尊重外国传票或监视令。

这一司法管辖区优势在 2017 年得到证实。土耳其当局在政治调查中查获了一台 ExpressVPN 服务器。该服务器不包含任何用户数据，证实了无日志政策在实际政府压力下有效。

独立审计历史

ExpressVPN 完成的第三方安全审计比大多数竞争对手都多。每次审计都检查了该服务隐私和安全声明的不同方面。

KPMG 无日志审计

KPMG 在 2022 年和 2024 年对 ExpressVPN 的无日志政策进行了审计。两次审计都确认 ExpressVPN 的 TrustedServer 技术不存储活动日志、连接日志或 IP 地址。KPMG 测试了生产服务器和内部系统，以独立验证这些声明。

Cure53 安全审计

Cure53 是一家受尊敬的德国网络安全公司，已多次对 ExpressVPN 进行审计。2019 年，Cure53 检查了浏览器扩展程序，发现没有关键漏洞。他们在 2021 年对 Lightway 协议进行了审计，并确认其密码学实现是完善的。2022 年的审计审查了 TrustedServer 基础设施，评分很高。

PwC 审计

普华永道在 2019 年进行了较早的无日志审计。PwC 验证了 ExpressVPN 的服务器配置与其公开隐私政策相符。这标志着 ExpressVPN 委托的首次重大审计之一。

ExpressVPN 在其网站上发布所有审计结果的摘要。完整的 Cure53 报告向公众公开，这显示了 VPN 行业的平均以上透明度。

日志政策：存储什么和不存储什么

ExpressVPN 的隐私政策清楚地说明了它收集哪些数据。了解具体细节比营销宣传更重要。

ExpressVPN 不存储的数据

ExpressVPN 不记录您的浏览历史、流量目的地、DNS 查询或 IP 地址。它不记录连接时间戳、会话时长或分配的 VPN IP 地址。您的任何通讯内容都不会通过任何日志系统。

ExpressVPN 收集的数据

ExpressVPN 收集汇总连接数据：您使用哪个应用版本、您选择的服务器位置（不是特定服务器）以及每天消费的总带宽。此数据无法识别个人用户或将活动与特定账户相关联。它使用此信息来维护其 3,000+ 服务器网络的服务器容量。

您的账户电子邮件、支付信息和支持票证历史记录出于计费目的而被存储。想要最大匿名性的用户可以用比特币支付或使用一次性电子邮件地址。

加密标准和协议

ExpressVPN 使用 AES-256-GCM 加密作为其默认标准。这与美国政府用于机密信息的加密级别相同。破解 AES-256 需要目前不存在的计算能力。

可用协议

ExpressVPN 在其应用中提供 4 种 VPN 协议。Lightway 是其专有协议，基于 wolfSSL，使用 ChaCha20 或 AES-256 加密。OpenVPN 在 UDP 和 TCP 上运行，均使用 AES-256-GCM。IKEv2/IPSec 在特定平台上可用，以实现快速移动连接。

Lightway 值得特别关注。其代码库包含大约 2,000 行代码，相比之下 OpenVPN 有 70,000+ 行。代码行数更少意味着潜在漏洞更少，连接时间在 1 秒以内更快。Cure53 审计了 Lightway 的源代码，ExpressVPN 在 GitHub 上将其发布为开源。

完全前向保密

ExpressVPN 为每个连接会话协商一个新的加密密钥。如果攻击者以某种方式破坏了一个会话密钥，过去和未来的会话仍然受到保护。此功能可防止对捕获流量的大规模追溯解密。

杀死开关和 DNS 泄漏保护

ExpressVPN 将其杀死开关称为”Network Lock”。它在 Windows、Mac、Linux 和路由器上默认激活。Network Lock 在 VPN 连接意外断开时阻止所有互联网流量。

Network Lock 在防火墙级别运行，而不是应用程序级别。这种方法可防止应用程序级杀死开关经常遗漏的简短重新连接窗口期间的泄漏。它只允许通过 VPN 隧道和 ExpressVPN 的 DNS 服务器的流量。

ExpressVPN 在每台服务器上运行自己的私有加密 DNS。您的 DNS 查询永远不会触及谷歌或 Cloudflare 等第三方 DNS 提供商。这在基础设施级别消除了 DNS 泄漏风险，而不是依赖软件补丁。

独立测试工具在 ExpressVPN 的主要应用中持续显示零 DNS 泄漏、零 WebRTC 泄漏和零 IPv6 泄漏。路由器固件将这种保护扩展到网络上的每台设备。

过去的安全事件

没有不受审查的安全产品。ExpressVPN 面临过两起值得审视的著名事件。

土耳其服务器查获事件 (2017)

土耳其当局调查了俄罗斯大使安德烈·卡洛夫遇刺事件。他们查获了一台 ExpressVPN 服务器，以寻求可疑通讯。该服务器不包含任何可用数据，验证了在真实执法压力下无日志基础设施的有效性。

Kape Technologies 收购 (2021)

Kape Technologies 在 2021 年 9 月以约 9.36 亿美元的价格收购了 ExpressVPN。Kape 之前以 Crossrider 身份运营，这是一家与广告软件分发相关的公司，后来重新更名。这一收购引起了隐私倡导者的合理担忧。

ExpressVPN 通过保持独立运营和英属维尔京群岛司法管辖区来应对。收购后的 KPMG 审计在 2022 年和 2024 年确认无日志政策保持完整。该公司保留了其领导团队并继续透明地发布审计结果。用户应监控未来的审计，以验证持续的独立性。

独特的安全功能

ExpressVPN 提供几个与具有类似加密标准的竞争对手不同的安全功能。

TrustedServer 技术

每台 ExpressVPN 服务器完全在易失性 RAM 上运行，而不是硬驱动器。服务器在每次启动时加载只读镜像。所有数据在每次服务器重启时完全擦除。这种架构使 VPN 服务器上的持久数据存储在物理上不可能。

威胁管理器

威胁管理器阻止应用和网站与已知追踪器和恶意服务器通信。它在所有连接设备上的 DNS 级别运行。ExpressVPN 定期基于威胁情报数据更新其块列表。

Express Keys (密码管理器)

ExpressVPN 将一个称为 Keys 的内置密码管理器与所有订阅捆绑在一起。Keys 使用零知识加密，意味着 ExpressVPN 无法访问您存储的密码。这一集成在 VPN 隧道本身之外增加了实际的安全价值。

后量子保护

ExpressVPN 在其 Lightway 协议中实现了后量子加密支持。此功能可防止将来可能破坏当前加密标准的量子计算攻击。到目前的测试为止，很少有 VPN 提供商实现了这种保护。

常见问题

ExpressVPN 是否保留日志？

ExpressVPN 不保留活动日志、连接日志、IP 地址或浏览历史。它收集最少的汇总数据，如应用版本和服务器位置选择，用于网络维护。KPMG 和 PwC 审计已在多年间独立验证了这些无日志声明。

ExpressVPN 是否被黑客入侵过？

ExpressVPN 没有遭受确认的数据泄露影响用户信息。2017 年土耳其服务器查获证明了无日志系统有效，因为当局恢复了零用户数据。其 TrustedServer 纯 RAM 架构限制了任何潜在物理服务器泄露的影响。

ExpressVPN 值得信赖吗？

ExpressVPN 通过 5+ 项独立审计、开源协议代码和经过验证的无日志事件展示了值得信赖性。Kape Technologies 所有权引起了用户应单独权衡的有效问题。其 30 天退款保证让用户能够以最少的财务风险测试该服务。

ExpressVPN 能看到我的数据吗？

由于 VPN 隧道内的 AES-256 端到端加密，ExpressVPN 无法看到您的浏览数据。TrustedServer 基础设施防止数据被写入任何服务器上的磁盘。即使受法院命令强制，ExpressVPN 也没有存储的用户活动数据可交出。