Что такое двойной VPN? Объяснение многоступенчатой приватности

Критическое ограничение заключается в праве собственности. Оба сервера принадлежат одной компании. Один провайдер контролирует всю цепочку — и любые логи, которые он хранит, и любую утечку в его инфраструктуре, и любой запрос от властей.

Это не очень хорошая архитектура VPN с точки зрения приватности.

Как работает двойное шифрование VPN?

Двойной VPN применяет шифрование на каждом звене цепи. Данные шифруются на устройстве пользователя, передаются на первый сервер, затем повторно шифруются перед отправкой на второй сервер. Это создает два независимых слоя шифрования вокруг данных перед их выходом в публичный интернет.

Многоступенчатая маршрутизация Это метод обеспечения приватности, при котором интернет-трафик проходит через два или более промежуточных сервера перед достижением конечного пункта назначения. Каждая ступень добавляет шифрование и изменяет видимый IP-адрес. В децентрализованных VPN каждая ступень управляется независимой нодой — в отличие от двойных VPN, где одна компания контролирует все ступени.

→ Руководство по кибербезопасности Nym: Узнайте больше о том, как работают шифрование данных и маршрутизация трафика с различными типами VPN.

Модель двойного шифрования использует стандартные протоколы, такие как OpenVPN или WireGuard, которые шифруют данные с помощью AES-256 — стандарта шифрования, рекомендованного NIST для секретной информации.¹ Каждый сервер может обработать только свой собственный слой; он не может видеть содержимое, предназначенное для конечного пункта назначения, пока этот слой не будет снят.

Но когда оба сервера принадлежат одному провайдеру, архитектурного разделения, которое делает многоступенчатость полезной, не существует: одна компания всё равно видит всё.

Что такое схема «VPN поверх VPN»?

Схема «VPN поверх VPN» объединяет два разных VPN-сервиса одновременно:

1. VPN 1 выполняет начальное шифрование и маршрутизацию
2. VPN 2 получает этот трафик и направляет его дальше в публичный интернет.

Видимый в интернете исходящий IP-адрес принадлежит серверу VPN 2, который видит только IP-адрес сервера VPN 1, но не ваш реальный адрес. Это разделяет знание о вашей личности между двумя независимыми компаниями, а не концентрирует его в одной.

Настройка схемы «VPN поверх VPN» включает одновременный запуск двух клиентов или приложений — обычно одного на уровне роутера и второго на устройстве. На практике это создаёт проблемы совместимости между различными протоколами шифрования и увеличивает задержку двух отдельных звеньев, а также дополнительные расходы, поскольку оба сервиса требуют отдельных подписок.

Для большинства пользователей децентрализованный VPN, который по умолчанию работает через независимые ноды, обеспечивает аналогичное разделение доверия без дополнительной сложности, затрат и хлопот.

Что такое децентрализованный VPN (dVPN)? Это виртуальная частная сеть, где трафик направляется через независимо управляемые ноды, а не через серверы, принадлежащие одной компании. Децентрализация устраняет единую точку доверия, отказа и логирования. NymVPN добавляет технологию микснета, которая перемешивает пакеты с прикрывающим трафиком для противодействия анализу трафика.

Почему двойные VPN используют несколько серверов?

Маршрутизация через несколько серверов разрывает прямую видимость между вашей личностью и вашей активностью. В одноступенчатом VPN один провайдер видит оба конца каждого запроса. При разделении на две ступени этот обзор нарушается:

1. Первый сервер знает, кто вы, но не знает, куда вы направляетесь.
2. Второй знает пункт назначения, но не знает, кто отправил трафик.

Слабость в собственности. Когда одна компания контролирует оба сервера, один судебный ордер или утечка данных раскрывают обе части цепочки одновременно. Преимущество многоступенчатой маршрутизации для приватности становится реальным только тогда, когда каждая ступень управляется стороной, не связанной с другими: другими словами, если VPN децентрализован.

Каковы плюсы и минусы двойного VPN?

Два уровня шифрования и дополнительный IP-адрес являются реальными улучшениями по сравнению с одноступенчатым VPN. Но таблица ниже показывает, где заканчиваются выгоды: оба звена всё ещё принадлежат одному провайдеру. Количество ступеней — это не то же самое, что распределение доверия.

В конечном счёте, архитектура VPN-провайдера важнее, чем количество серверов, которые он контролирует. Многие бесплатные VPN-сервисы вообще не шифруют трафик, а некоторые внедряют вредоносное ПО или отслеживающие библиотеки в пользовательские данные.²

Чем отличается двойной VPN от схемы Onion over VPN?

Что такое Onion over VPN? Onion over VPN направляет трафик через VPN, а затем через децентрализованную сеть Tor, которая использует три добровольческих узла перед выходом в публичный интернет.

И двойные VPN, и схема Onion over VPN используют многоуровневую маршрутизацию для дополнительной приватности, но работают по-разному. Двойной VPN пропускает трафик через два сервера, оба из которых управляются одним провайдером. Onion over VPN обеспечивает более высокую анонимность, потому что серверы независимы и децентрализованы. Однако двойной VPN может обеспечивать более высокую и предсказуемую скорость.

Распределённая добровольческая сеть Tor делает связывание с источником чрезвычайно сложным, но значительно снижает скорость и надёжность соединения. Двойной VPN работает быстрее Onion over VPN, но хуже защищает анонимность — особенно если провайдер ведёт логи.

5-ступенчатый микснет NymVPN находится где-то посередине: пять ступеней через независимо управляемые ноды с прикрывающим трафиком и перемешиванием пакетов. Он быстрее Tor и при этом обеспечивает лучшую защиту метаданных, чем любой двойной VPN.

Вердикт Nym: выбирайте dVPN

Интуиция, стоящая за желанием получить двойной VPN, верна: каждому нужна дополнительная маскировка IP-адреса, выходящая за рамки возможностей большинства VPN. Но платить за премиум-функции уязвимой архитектуры VPN — неправильный путь. Для постоянной повседневной приватности децентрализованный VPN — более практичный выбор.

NymVPN создан именно для таких случаев:

• Два режима VPN на выбор в зависимости от ваших потребностей в приватности
• Полностью децентрализованная маршрутизация как минимум с двумя серверами
• Продвинутые механизмы защиты приватности, которых нет ни у одного другого VPN или анонимизирующей сети, включая маскирующий трафик, обфускацию времени и смешивание пакетов

Стоит ли двойной VPN того?

No, there are better options available!

Больше ступеней может означать больше приватности, но только если серверы децентрализованы. Проблема — в реализации. Добавление второго сервера от той же компании не меняет фундаментальную архитектуру: это лишь расширяет централизованную систему, а не заменяет её. Приватность, которая зависит от того, выполняет ли одна компания свои обещания — независимо от того, касается ли это одного сервера или двух — остаётся условной приватностью.

NymVPN построен так, чтобы уровень приватности соответствовал реальному уровню риска трафика. Быстрый двухступенчатый режим охватывает повседневный веб-сёрфинг и электронную почту. Анонимный режим с 5 ступенями — с прикрывающим трафиком, перемешиванием пакетов и временной обфускацией — предназначен для тех моментов, когда то, что вы делаете в интернете, может быть использовано против вас. Оба режима работают через независимо управляемые ноды: ни одна компания не контролирует всю цепочку.

Двойной VPN был попыткой решить реальную проблему неподходящим инструментом. Децентрализованные VPN решают её архитектурно: многоступенчатость по умолчанию, через ноды, которые не принадлежат одной организации, без дополнительного уровня для разблокировки и без единой точки для взлома.

Хотите узнать больше о том, почему NymVPN — это больше, чем просто VPN?

Ссылки

1. NIST – Рекомендации по режимам работы блочных шифров
2. CSIRO/ICSI, UC Berkeley: Анализ уязвимостей приватности и безопасности Android VPN-приложений (2017)
3. CNET: У АНБ есть бэкдор-доступ к базам данных интернет-компаний (2013)