Decentralizované VPN a multi-hop přenosy | Web3 soukromí

Rozklad tradičních modelů VPN

Máte někdy pocit, že vaše VPN je jen elegantní způsob, jak předat svá data jinému prostředníkovi? Většina lidí si myslí, že jsou online neviditelní, jakmile kliknou na tlačítko „připojit“. Pravdou však je, že staromódní model VPN je v podstatě centralizovaný domeček z karet, který čeká, až ho sfoukne první závan větru.

Tradiční poskytovatelé VPN obvykle vlastní nebo si pronajímají velké shluky serverů v datových centrech. To je sice skvělé pro rychlost, ale pro skutečné soukromí je to noční můra. Pokud chce vláda nějakou službu zablokovat, jednoduše pošle známé IP adresy těchto datových center do „černé díry“ (blackhole). Je to jako pokoušet se schovat mrakodrap; dříve nebo později si ho někdo všimne.

Pak je tu riziko takzvaného „honeypotu“ (lákadla). Když veškerý provoz spravuje jedna firma, jediný průnik do centrálního uzlu znamená, že data o relacích všech uživatelů jsou potenciálně volně k dispozici. Viděli jsme to v různých odvětvích, kde byly napadeny centralizované databáze a najednou se na dark webu objevily miliony záznamů. VPN sítě vůči tomu nejsou imunní.

A to ani nemluvím o zásadách „neuchovávání logů“ (no-log policies). V podstatě jen věříte čestnému slovu generálního ředitele. Bez open-source auditů nebo decentralizované architektury nemáte šanci reálně ověřit, co se s vašimi pakety děje, jakmile na jejich straně dorazí do rozhraní tun0 – což je virtuální tunelové rozhraní, kudy vaše data vstupují do softwaru VPN.

Přechod k decentralizovaným sítím (dVPN) není jen trend; je to nezbytnost pro přežití v éře moderní cenzury. Namísto spoléhání se na korporátní datové centrum se posouváme směrem k DePIN (Decentralizované sítě fyzické infrastruktury). To znamená, že „uzly“ (nodes) jsou ve skutečnosti rezidenční připojení – reální lidé, kteří sdílejí část své šířky pásma.

Podle výzkumu ekosystému MEV na platformě ethereum research (2024) pomáhá přechod k decentralizovaným mempoolům a veřejným aukcím eliminovat predátorské „sandwich útoky“ a centralizační tlaky. Stejná logika platí i pro váš internetový provoz. Distribucí zátěže mezi tisíce P2P uzlů zaniká existence jediného serveru, na který by se mohl firewall zaměřit.

Každopádně, tento posun k P2P je jen začátek. Dále se musíme podívat na to, jak tokenové pobídky vlastně udržují tyto uzly v chodu bez jakéhokoli nadřízeného „šéfa“.

Jak fungují víceúrovňové tokenizované uzly (multi-hop relays)

Napadlo vás někdy, proč vaše datové pakety putují přímo k VPN serveru, aby je hned na hranicích zastavil i ten nejjednodušší firewall? Je to proto, že jeden jediný skok (single hop) představuje kritický bod selhání – je to jako nosit neonový nápis v temné uličce.

Přechod na víceúrovňovou architekturu (multi-hop) mění pravidla hry. Namísto jednoho tunelu se vaše data odrážejí skrze řetězec nezávislých uzlů. V tokenizovaném ekosystému nejde jen o náhodné servery; jsou součástí decentralizovaného trhu s šířkou pásma, kde má každý zprostředkovatel (relay) svůj přímý ekonomický zájem na správném fungování sítě.

U standardního nastavení koncový uzel (exit node) přesně ví, kdo jste (vaši IP adresu) i kam směřujete. Pro soukromí je to katastrofa. Multi-hop – zejména pokud je postaven na principech cibulového směrování (onion routing) – zabalí vaše data do několika vrstev šifrování.

Každý uzel v řetězci zná pouze „skok“, který mu bezprostředně předchází, a ten, který následuje. Uzel A ví, že jste něco poslali, ale nezná konečný cíl. Uzel C (výstupní) zná cíl, ale domnívá se, že provoz pochází z uzlu B.

Tím se předchází takzvanému „odposlechu výstupního uzlu“ (exit node sniffing). I když někdo sleduje provoz opouštějící uzel C, nemůže jej díky zprostředkujícím vrstvám vystopovat až k vám. Vývojáři toto obvykle řeší pomocí specializovaných tunelovacích protokolů, jako je WireGuard, nebo vlastními implementacemi specifikací cibulového směrování.

Proč by ale náhodný uživatel v Berlíně nebo Tokiu nechal vaše šifrovaná data procházet svým domácím routerem? Dříve to bylo čistě na dobrovolnické bázi (jako u sítě Tor), což znamenalo nízkou rychlost. Dnes tu máme „těžbu šířky pásma“ (bandwidth mining).

Podle studie How to Remove the Relay od společnosti Paradigm (2024) může odstranění centralizovaných prostředníků výrazně snížit latenci a zabránit tomu, aby tok dat ovládal jeden „hlavní šéf“. Zatímco tato studie navrhuje odstranění uzlů pro zefektivnění provozu, dVPN (decentralizované VPN) volí mírně odlišnou cestu: nahrazují centralizovaný uzel několika decentralizovanými. Dosahují stejného cíle – odstranění prostředníka – ale zachovávají soukromí víceúrovňové trasy.

Je to fascinující ukázka teorie her v praxi. Vy zaplatíte pár tokenů za své soukromí a někdo s vysokorychlostním optickým připojením dostane zaplaceno za to, že po vás dokonale zamete stopy.

Dále se musíme podívat na samotnou matematiku – konkrétně na to, jak protokol „Proof of Bandwidth“ (důkaz šířky pásma) potvrzuje, že tyto uzly svou práci skutečně odvádějí a nepředstírají ji.

Technická páteř odolnosti vůči cenzuře

Už jsme si řekli, proč je starý model VPN v podstatě jako děravý kbelík. Teď se pojďme podívat na to, „jak“ se vlastně staví síť, kterou nemůže jen tak vypnout nějaký znuděný úředník s firewallem.

Tím nejzajímavějším technologickým prvkem, který se v této oblasti aktuálně objevuje, je tiché prahové šifrování (Silent Threshold Encryption). Běžně platí, že pokud chcete něco zašifrovat tak, aby to později mohla dešifrovat skupina lidí (například výbor uzlů), potřebujete masivní a komplikovanou fázi nastavení zvanou DKG (Distributed Key Generation). Pro vývojáře je to noční můra.

My však můžeme k tomuto účelu využít stávající klíčové páry BLS – ty samé, které validátoři už nyní používají k podepisování bloků. To znamená, že uživatel může zašifrovat směrovací instrukce (nikoliv samotný obsah, který zůstává šifrován metodou end-to-end) pro určitý „práh“ (threshold) uzlů.

Data o směrování zůstávají skrytá, dokud se například 70 % uzlů v daném řetězci skoků (hop-chain) neshodne na jejich předání. Žádný jednotlivý uzel nemá klíč k tomu, aby viděl celou trasu. Je to jako digitální verze bankovních trezorů, které k otevření vyžadují dva klíče – s tím rozdílem, že zde jsou klíče rozptýleny mezi tucet rezidenčních routerů v pěti různých zemích.

Většina firewallů vyhledává vzorce. Pokud vidí obrovský provoz směřující k jednomu „relé“ nebo „sekvenceru“, jednoduše spojení přeruší. Díky prahovému šifrování a seznamům zahrnutí (inclusion lists) odstraňujeme tento centrální „mozek“. Seznamy zahrnutí jsou v podstatě pravidla na úrovni protokolu, která říkají, že uzly musí zpracovat všechny čekající pakety bez ohledu na jejich obsah – nemohou si prostě vybírat, co budou cenzurovat.

Upřímně řečeno, toto je jediný způsob, jak si udržet náskok před hloubkovou inspekcí paketů (DPI) poháněnou umělou inteligencí. Pokud síť nemá žádné centrum, není na co zamířit cenzorské kladivo.

Dále se podíváme na „Proof of Bandwidth“ (důkaz šířky pásma) – tedy matematiku, která prokazuje, že tyto uzly jen neinkasují vaše tokeny, zatímco vaše pakety hází do koše.

Ekonomické modely tržišť s internetovou propustností

Pokud chcete vybudovat síť, která skutečně dokáže odolat firewallům na státní úrovni, nemůžete se spoléhat pouze na lidskou „dobrotu“. Potřebujete neúprosný a funkční ekonomický motor, který prokazuje vykonanou práci, aniž by na pokladnu dohlížela jakákoliv centrální banka.

V moderních dVPN (decentralizovaných VPN) využíváme protokol Proof of Bandwidth (PoB – důkaz o propustnosti). Nejde o pouhý slib, ale o kryptografický mechanismus typu výzva-odpověď. Uzel musí prokazatelně doložit, že pro uživatele skutečně přenesl daný objem dat (X), než chytrý kontrakt uvolní jakékoliv tokeny.

• Ověřování služeb: Uzly v pravidelných intervalech podepisují malé pakety, tzv. „heartbeaty“ (tep sítě). Pokud uzel deklaruje rychlost 1 Gb/s, ale dojde k nárůstu latence nebo výpadku paketů, konsenzuální vrstva mu okamžitě sníží skóre reputace (tzv. slashing).
• Automatizované odměny: Díky využití chytrých kontraktů nemusí nikdo čekat na proplacení faktury. Jakmile se datový okruh uzavře, tokeny se automaticky přesunou z vázaného účtu (escrow) uživatele přímo do peněženky poskytovatele.
• Odolnost vůči Sybil útokům: Abychom zabránili situaci, kdy někdo na jednom notebooku spustí 10 000 falešných uzlů (Sybil attack), obvykle vyžadujeme „staking“. Poskytovatel musí uzamknout určitý počet tokenů, čímž dokazuje, že je reálným účastníkem sítě, který má v případě nepoctivého jednání co ztratit.

Jak již bylo zmíněno v dřívějším výzkumu ekosystému MEV na platformě ethereum research (2024), tyto veřejné aukce a seznamy pro zahrnutí transakcí (inclusion lists) udržují systém transparentní a čestný. Pokud se uzel pokusí cenzurovat váš provoz, ztratí své místo v lukrativní frontě pro předávání dat (relay queue).

Upřímně řečeno, jde prostě o efektivnější způsob, jak provozovat ISP (poskytovatele internetového připojení). Proč stavět nákladné serverové farmy, když už v obývacích pokojích lidí po celém světě leží miliony nevyužitých optických linek?

Průmyslové využití: Proč na tom záleží

Předtím, než to uzavřeme, se pojďme podívat na to, jak tato technologie reálně mění situaci v různých sektorech. Rozhodně to není jen pro lidi, kteří se snaží sledovat Netflix z jiné země.

• Zdravotnictví: Kliniky mohou sdílet záznamy o pacientech mezi svými pobočkami bez nutnosti využívat jedinou centrální bránu, která by se mohla stát terčem ransomwaru. Výzkumníci sdílející citlivá genomická data využívají tokenizované uzly (relays), aby zajistili, že žádný poskytovatel internetového připojení (ISP) ani státní aktér nebude schopen mapovat datové toky mezi institucemi.
• Maloobchod: Malé obchody provozující P2P uzly mohou zpracovávat platby, i když dojde k výpadku hlavního ISP, protože jejich provoz je směrován přes mesh síť v sousedství. Globální značky mohou také ověřovat své lokalizované ceny, aniž by jim centralizované boty pro detekci proxy serverů podstrkovaly podvržená data.
• Finance: P2P obchodní platformy využívají víceúrovňové (multi-hop) uzly k maskování své IP adresy, čímž brání konkurentům v předbíhání jejich obchodů (front-running) na základě geografických metadat. Kryptoměnoví obchodníci mohou odesílat objednávky do mempoolu, aniž by je „sendvičovaly“ boty, protože aukce je veřejná a uzel pro přenos dat je plně decentralizovaný.

V další části se podíváme na to, jak si můžete sami nastavit vlastní uzel a začít s „těžbou“ (miningem) této šířky pásma.

Technický průvodce: Jak zprovoznit vlastní uzel

Pokud chcete přestat být pouhým spotřebitelem a stát se poskytovatelem (a začít tak těžit tokeny), zde je stručný návod, jak uvést váš uzel do provozu.

1. Hardware: Nepotřebujete žádný superpočítač. Nejlépe poslouží Raspberry Pi 4 nebo starší notebook s alespoň 4 GB RAM a stabilním optickým připojením k internetu.
2. Prostředí: Většina dVPN uzlů běží v Dockeru. Ujistěte se, že máte na svém linuxovém stroji nainstalovaný Docker a Docker Compose.
3. Konfigurace: Budete muset stáhnout image uzlu z repozitáře dané sítě. Vytvořte soubor .env, do kterého uložíte adresu své peněženky (kam budou chodit odměny v tokenech) a výši svého "staku" (zastavených prostředků).
4. Porty: Na svém routeru musíte otevřít konkrétní porty (obvykle UDP porty pro protokol WireGuard), aby se k vám ostatní uživatelé mohli skutečně připojit. Toto je fáze, kde se většina lidí zasekne, proto si pečlivě zkontrolujte nastavení "Port Forwarding" (přesměrování portů) ve svém routeru.
5. Spuštění: Spusťte příkaz docker-compose up -d. Pokud vše svítí zeleně, váš uzel začne do sítě odesílat stavové signály (tzv. heartbeat pings) a vy se objevíte na globální mapě poskytovatelů.

Jakmile budete online, můžete v ovládacím panelu sítě sledovat své statistiky "Proof of Bandwidth" (dokladu o poskytovaném pásmu) a kontrolovat, jak velký objem datového provozu aktuálně zprostředkováváte.

Budoucí výhled pro svobodu internetu ve světě Web3

Dostáváme se k části, na kterou se ptá úplně každý: „Bude to skutečně dostatečně rychlé pro každodenní používání?“ Je to legitimní otázka, protože nikdo nechce čekat deset sekund na načtení vtipného obrázku s kočkou jen proto, aby zůstal v anonymitě.

Dobrou zprávou je, že „daň za latenci“ u víceúrovňového směrování (multi-hop) rychle klesá. Díky využití geografické distribuce rezidenčních uzlů můžeme optimalizovat trasy tak, aby vaše data zbytečně neputovala dvakrát přes Atlantik.

Většina zpoždění u starých P2P sítí pramenila z neefektivního směrování a pomalých uzlů. Moderní dVPN protokoly jsou mnohem chytřejší v tom, jak vybírají další uzel v síti.

• Inteligentní výběr trasy: Namísto náhodného přeskakování využívá klient sondy vážené latencí k nalezení nejrychlejší cesty skrze mesh síť.
• Akcelerace na okraji sítě (Edge acceleration): Umístěním uzlů fyzicky blíže k populárním webovým službám zkracujeme zpoždění na „poslední míli“.
• Hardwarová akcelerace: Stále více lidí provozuje uzly na dedikovaných domácích serverech namísto starých notebooků, díky čemuž rychlost zpracování paketů dosahuje téměř limitů linky.

Tady nejde jen o skrývání stahování dat; jde o to vytvořit internet, který je nemožné vypnout. Když síť funguje jako živý, dýchající P2P trh, státní firewally mají problém, protože neexistuje žádný centrální vypínač, který by se dal přepnout.

Jak již bylo zmíněno, odstranění centrálního uzlu – podobně jako u posunu v mev-boost u etherea – je klíčem ke skutečně odolnému webu. Budujeme internet, kde soukromí není prémiovou funkcí, ale výchozím nastavením. Uvidíme se v síti.