VPN kép là gì? Giải thích về quyền riêng tư đa bước nhảy

Hạn chế quan trọng nhất là quyền sở hữu. Cả hai máy chủ đều thuộc cùng một công ty. Một nhà cung cấp duy nhất kiểm soát toàn bộ chuỗi – bao gồm mọi nhật ký mà họ lưu giữ, bất kỳ sự xâm phạm nào nhắm vào cơ sở hạ tầng của họ và bất kỳ yêu cầu nào của chính phủ mà họ có thể nhận được.

Đây không phải là kiến ​​trúc VPN tốt cho quyền riêng tư.

Mã hóa VPN kép hoạt động như thế nào?

VPN kép áp dụng mã hóa ở mỗi bước chuyển tiếp máy chủ. Dữ liệu được mã hóa trên thiết bị của người dùng, chuyển đến máy chủ đầu tiên, sau đó được mã hóa lại trước khi chuyển tiếp đến máy chủ thứ hai. Quá trình này bao bọc dữ liệu trong hai lớp mã hóa độc lập trước khi được đưa ra mạng internet công cộng.

Định tuyến đa chặng Một kỹ thuật bảo mật trong đó lưu lượng truy cập internet đi qua hai hoặc nhiều máy chủ trung gian trước khi đến đích. Mỗi bước nhảy bổ sung thêm mã hóa và thay đổi địa chỉ IP hiển thị. Trong các mạng VPN phi tập trung, mỗi chặng được vận hành bởi một node độc lập – khác với các mạng VPN kép, nơi một công ty kiểm soát tất cả các chặng.

→ Hướng dẫn an ninh mạng của Nym: Tìm hiểu thêm về cách thức hoạt động của mã hóa dữ liệu và định tuyến lưu lượng với các loại VPN khác nhau.

Mô hình mã hóa kép sử dụng các giao thức tiêu chuẩn như OpenVPN hoặc WireGuard, mã hóa dữ liệu bằng AES-256 – một tiêu chuẩn mã hóa được NIST khuyến nghị cho thông tin mật.¹ Mỗi máy chủ chỉ có thể xử lý lớp dữ liệu của riêng nó; nó không thể thấy nội dung dành cho đích đến cuối cùng cho đến khi lớp dữ liệu đó được loại bỏ.

Tuy nhiên, khi cả hai máy chủ đều do cùng một nhà cung cấp vận hành, thì sự phân tách kiến ​​trúc tạo nên ý nghĩa của kết nối đa chặng sẽ không còn nữa: một thực thể duy nhất vẫn nắm giữ toàn bộ thông tin.

Cấu hình VPN-over-VPN là gì?

Cấu hình VPN-over-VPN kết nối đồng thời hai dịch vụ VPN khác nhau:

1. VPN 1 xử lý mã hóa và định tuyến ban đầu
2. VPN 2 nhận lưu lượng truy cập đó và định tuyến tiếp đến internet công cộng.

Địa chỉ IP đầu ra hiển thị trên web thuộc về VPN 2, chỉ thấy địa chỉ IP của VPN 1, chứ không phải địa chỉ thực của bạn. Kỹ thuật này chia nhỏ thông tin về danh tính của bạn cho hai công ty độc lập thay vì tập trung vào một công ty.

Thiết lập VPN-over-VPN bao gồm việc chạy đồng thời hai ứng dụng hoặc máy khách – thường là một ứng dụng ở cấp độ bộ định tuyến và một ứng dụng khác trên thiết bị. Trên thực tế, thiết lập này gây ra các vấn đề tương thích giữa các giao thức mã hóa khác nhau và làm tăng độ trễ của hai bước nhảy riêng biệt, với chi phí bổ sung vì cả hai dịch vụ đều yêu cầu đăng ký riêng.

Đối với hầu hết người dùng, một VPN phi tập trung hoạt động trên các node độc lập theo mặc định cung cấp khả năng phân tách độ tin cậy tương đương mà không thêm sự phức tạp, chi phí và rắc rối.

Mạng riêng ảo phi tập trung (dVPN) là gì? Là mạng riêng ảo trong đó lưu lượng truy cập được định tuyến qua các máy chủ hoạt động độc lập thay vì các máy chủ thuộc sở hữu của một công ty duy nhất. Phi tập trung hóa loại bỏ điểm tập trung về lòng tin, lỗi và ghi nhật ký. NymVPN bổ sung công nghệ mixnet giúp xáo trộn các gói dữ liệu với lưu lượng truy cập giả mạo để đánh lừa phân tích lưu lượng.

Tại sao VPN kép lại sử dụng nhiều máy chủ?

Việc định tuyến qua nhiều máy chủ làm gián đoạn sự liên kết giữa danh tính của bạn và hoạt động của bạn. Với VPN một chặng, một nhà cung cấp duy nhất nhìn thấy cả hai đầu của mọi yêu cầu. Khi chia nhỏ qua hai chặng, sự liên kết đó bị gián đoạn:

1. Máy chủ đầu tiên biết bạn là ai nhưng không biết bạn đang đi đến đâu.
2. Máy chủ thứ hai biết đích đến nhưng không biết ai đã gửi lưu lượng truy cập.

Điểm yếu nằm ở quyền sở hữu. Khi một công ty kiểm soát cả hai máy chủ, chỉ cần một lệnh của tòa án hoặc một vụ rò rỉ dữ liệu là có thể khôi phục cả hai phần của chuỗi cùng một lúc. Lợi ích về quyền riêng tư của định tuyến đa bước nhảy chỉ thực sự có hiệu quả khi mỗi chặng được vận hành bởi một bên không có mối quan hệ nào với các chặng khác: nói cách khác, nếu VPN được phi tập trung.

Ưu điểm và nhược điểm của việc sử dụng VPN kép là gì?

Hai lớp mã hóa và một địa chỉ IP bổ sung là những cải tiến thực sự so với VPN một chặng. Nhưng bảng dưới đây cho thấy lợi ích dừng lại ở đâu: cả hai chặng vẫn thuộc cùng một nhà cung cấp. Số chặng tăng đồng nghĩa với độ phân bổ độ tin cậy cũng vậy.

Cuối cùng, kiến ​​trúc của nhà cung cấp VPN quan trọng hơn số lượng máy chủ mà họ kiểm soát. Nhiều dịch vụ VPN miễn phí không mã hóa lưu lượng truy cập và một số còn chèn phần mềm độc hại hoặc thư viện theo dõi vào dữ liệu người dùng.²

So sánh việc sử dụng VPN kép với Onion qua VPN thì như thế nào?

Onion over VPN là gì? Onion over VPN định tuyến lưu lượng truy cập thông qua VPN và sau đó qua mạng Tor phi tập trung, sử dụng ba node do tình nguyện viên vận hành trước khi đến được mạng internet công cộng.

Cả VPN kép và Onion over VPN đều có nhiều lớp định tuyến để tăng cường bảo mật, nhưng chúng hoạt động khác nhau. VPN kép truyền lưu lượng truy cập qua hai máy chủ – cả hai đều do cùng một nhà cung cấp vận hành. Onion over VPN cung cấp khả năng ẩn danh mạnh mẽ hơn vì các máy chủ độc lập và phi tập trung. Tuy nhiên, VPN kép có thể cung cấp tốc độ nhanh hơn và ổn định hơn.

Mạng lưới tình nguyện viên phân tán của Tor khiến việc xác định nguồn gốc trở nên cực kỳ khó khăn nhưng lại làm giảm đáng kể tốc độ và độ ổn định của kết nối. VPN kép nhanh hơn Onion qua VPN nhưng cung cấp khả năng bảo mật yếu hơn, đặc biệt là đối với nhà cung cấp ghi nhật ký lưu lượng truy cập.

Mạng mixnet 5 bước nhảy của NymVPN nằm giữa các phương pháp này: năm bước nhảy qua các node hoạt động độc lập với lưu lượng bao phủ và trộn gói, nhanh hơn Tor đồng thời cung cấp khả năng bảo vệ siêu dữ liệu mạnh mẽ hơn bất kỳ VPN kép nào.

Kết luận của Nym: Hãy chọn dVPN thay vì VPN kép

Lý do ban đầu để sử dụng VPN kép là hợp lý: ai cũng cần khả năng che giấu địa chỉ IP tốt hơn so với hầu hết các VPN thông thường. Nhưng việc trả tiền cho các tính năng cao cấp của một thiết kế VPN dễ bị tấn công lại không phải là lựa chọn đúng đắn. Để bảo vệ quyền riêng tư hàng ngày, một VPN phi tập trung là lựa chọn thiết thực hơn.

NymVPN được thiết kế dành riêng cho những trường hợp này:

• Có hai chế độ VPN để lựa chọn, tùy thuộc vào nhu cầu bảo mật của bạn.
• Định tuyến hoàn toàn phi tập trung với tối thiểu 2 máy chủ
• Các biện pháp bảo vệ quyền riêng tư nâng cao mà không một VPN hay mạng ẩn danh nào khác cung cấp, bao gồm che giấu lưu lượng truy cập, làm mờ thời gian và trộn gói dữ liệu

Sử dụng VPN kép có đáng thử không?

Không, có những lựa chọn tốt hơn!

Nhiều bước nhảy hơn có thể đồng nghĩa với tính riêng tư cao hơn, nhưng chỉ khi các máy chủ phi tập trung. Vấn đề nằm ở khâu thực thi. Việc thêm một máy chủ thứ hai từ cùng một công ty không làm thay đổi kiến ​​trúc cơ bản: nó chỉ đơn giản là mở rộng một hệ thống tập trung chứ không phải thay thế. Quyền riêng tư phụ thuộc vào việc một công ty giữ lời hứa, cho dù những lời hứa đó trải rộng trên một máy chủ hay hai máy chủ, vẫn là quyền riêng tư có điều kiện.

NymVPN được thiết kế để đảm bảo mức độ bảo mật phù hợp với rủi ro thực tế của lưu lượng truy cập. Chế độ Nhanh 2 bước đáp ứng nhu cầu duyệt web và email hàng ngày. Chế độ Ẩn Danh 5 bước nhảy – với lưu lượng truy cập che giấu, trộn gói tin và làm mờ thời gian – dành cho những trường hợp mà hoạt động trực tuyến của bạn có thể bị lợi dụng để chống lại bạn. Cả hai chế độ đều chạy trên các node được vận hành độc lập: không có công ty nào kiểm soát toàn bộ chuỗi.

VPN kép là một nỗ lực giải quyết vấn đề thực tế bằng công cụ sai lầm. VPN phi tập trung giải quyết vấn đề đó về mặt kiến ​​trúc: đa bước nhảy mặc định, trải rộng trên các node không thuộc sở hữu của bất kỳ thực thể nào, không cần mở khóa thêm tầng bảo mật và không có điểm yếu nào để xâm nhập.

Bạn muốn tìm hiểu thêm về lý do tại sao NymVPN không chỉ là một VPN?

Tài liệu tham khảo

1. NIST – Khuyến nghị về các chế độ hoạt động của thuật toán mã hóa khối
2. CSIRO/ICSI, UC Berkeley: Phân tích về mức độ rủi ro bảo mật và riêng tư của các ứng dụng VPN trên Android (2017)
3. CNET: NSA có quyền truy cập trái phép vào cơ sở dữ liệu của các công ty internet (2013)