DARP a Web3 VPN: Decentralizované autonomní směrování

Úvod do protokolu DARP (Decentralized Autonomous Routing Protocol)

Napadlo vás někdy, proč vaše optické připojení působí pomalu jako vytáčené spojení, když se zrovna snažíte připojit k videohovoru? Většinou za to nemůže vaše šířka pásma, ale fakt, že BGP a další zastaralé směrovací protokoly v podstatě „směrují podle peněženky“ namísto reálného výkonu.

DARP je zkratka pro Distributed Autonomous Routing Protocol (distribuovaný autonomní směrovací protokol) a upřímně řečeno, představuje zásadní změnu v tom, jak nahlížíme na mesh sítě. Namísto toho, aby poskytovatel internetového připojení (ISP) rozhodoval o trase na základě nejlevnější dohody o peeringu, uzly DARP spolu neustále komunikují, aby našly cestu s absolutně nejnižší latencí.

Podle Williama B. Nortona funguje DARP tak, že uzly posílají „pulzní“ pakety každému dalšímu uzlu ve skupině, aby změřily jednosměrnou latenci (One-Way Latency – OWL). Tím vzniká latenční matice v plně propojené síti (full-mesh) – v podstatě tabulka nejrychlejších tras v reálném čase. Norton také naznačuje, že tato architektura by mohla časem vést k decentralizovaným IoT Exchange Pointům (IXP), kde by zařízení navazovala peering přímo, namísto využívání centrálních bodů.

• Pulzní pakety: Jedná se o drobné datové pakety odesílané (obvykle jednou za sekundu), které nesou naměřené latence odesílatele ke všem ostatním účastníkům.
• Full-Mesh matice: Každý uzel získá kopii měření všech ostatních, takže celá síť zná aktuální „objektivní pravdu“ o výkonu internetu.
• Šifrování: Protože DARP šíří veřejné klíče společně s údaji o latenci, dokáže okamžitě vytvářet zabezpečené tunely WireGuard.

Tradiční směrování, jako je OSPF nebo BGP, zastarává, protože ignoruje skutečný „zdravotní stav“ linky. Poskytovatelé internetu často nutí provoz procházet vzdálenými propojovacími body jen proto, aby udrželi své „peeringové poměry“ pod hranicí 2:1 a ušetřili náklady, i když to zhoršuje uživatelskou zkušenost v aplikacích pro obchodování nebo finance.

Přesunutím inteligence do koncových uzlů (edge nodes) v podstatě přistupujeme k veřejnému internetu jako k souboru surových segmentů. Pokud je cesta přes datové centrum v Londýně rychlejší než přímá linka do Paříže, DARP ji prostě využije. Je to jako komunitou řízený obchvat pro „obchodní rozhodnutí“, která zbytečně zpomalují naše pakety.

V další části se podíváme na matematiku, která stojí za tím, jak tyto uzly reálně vypočítávají trasy, aniž by přitom přetížily váš procesor.

Mechanika protokolu DARP v rámci P2P sítí

Zajímalo vás někdy, jak síť vlastně „ví“, že je konkrétní trasa nekvalitní, ještě než vám spadne hovor na Zoomu? Není to žádná magie, ale výsledek velkého množství drobných, koordinovaných signálů, kterým říkáme „pulzy“ (pulses).

Matematika výběru trasy

Aby nedocházelo k přetěžování procesoru, DARP neprovádí náročné globální výpočty. Místo toho využívá odlehčenou verzi Dijkstrova algoritmu na lokální matici latence. Protože každý uzel již disponuje „tabulkou“ hodnot OWL (jednosměrné latence) všech ostatních účastníků, jednoduše spustí algoritmus pro hledání nejkratší cesty, kde „nákladem“ (cost) je právě latence. Pro ještě vyšší efektivitu uzly přepočítávají trasu pouze tehdy, když pulz vykáže změnu latence o více než 5–10 %. Tento heuristický přístup zajišťuje, že uzel neustále neřeší zanedbatelné výkyvy v řádu milisekund, které nemají na kvalitu spojení vliv.

V síti typu DARP uzly nečekají pasivně na provoz; jsou součástí takzvané skupiny pulzů (pulseGroup). Představte si to jako skupinový chat, kde každý neustále hlásí svůj aktuální „zdravotní stav“. Každý uzel posílá jeden „pulzní“ paket všem ostatním členům a měří jednosměrnou latenci (OWL).

• Měření OWL: Měřením jednosměrné latence namísto doby odezvy tam a zpět (round-trip) dokáže DARP odhalit asymetrické směrování – tedy situace, kdy je cesta k serveru v pořádku, ale cesta zpět je přetížená.
• Výměna klíčů: Tyto pulzy nejsou jen obyčejné pingy. Přenášejí veřejné šifrovací klíče, což uzlům umožňuje okamžitě vytvořit WireGuard tunel, jakmile identifikují lepší trasu.

Samotná data však nestačí, pokud pouze reagujete na minulost. Proto některé implementace využívají algoritmus decentralizovaného směrování založený na predikci (PDR). Podle studie z roku 2009, kterou vypracovali Abutaleb Abdelmohdi Turky a Andreas Mitschele-Thiel, pomáhá dopředná neuronová síť (FFNN) předvídat vytížení linek dříve, než dosáhne svého vrcholu.

• Struktura FFNN: Tyto sítě mají obvykle vstupní vrstvu (sleduje posledních 16 vzorků provozu), skrytou vrstvu pro zpracování a výstup, který predikuje zátěž pro následující časové okno.
• Kompromis: Trénování těchto modelů vyžaduje výkon procesoru. Studie zjistila, že trénování trvalo na starším hardwaru přibližně 0,078 sekundy, zatímco samotná predikce je téměř okamžitá (0,006 s).
• Přesnost: Díky přetrénování po každé stovce vzorků zůstává umělá inteligence „v obraze“ i při náhlých výkyvech v internetovém provozu, jako jsou špičky v objemu finančních transakcí nebo DDoS útoky.

V další části se podíváme na to, jak tyto protokoly řeší samotné „potvrzení“ (proof) o poskytnuté šířce pásma, aby nikdo nemohl systém podvádět.

DARP a revoluce v DePIN

Co kdybyste mohli svou nevyužitou kapacitu proměnit v uzel globální mesh sítě a dostávat za to zaplaceno? Právě to je podstatou hnutí DePIN (Decentralizované sítě fyzické infrastruktury).

Jak ale zajistit, aby lidé své rychlosti jen nefingovali s cílem získat tokeny? Zde přichází na řadu Proof of Bandwidth (PoB), tedy důkaz o šířce pásma. Nejde o pouhé čestné slovo; PoB využívá statistický mechanismus výzvy a odpovědi. Sousední uzly v rámci skupiny pulseGroup posílají danému uzlu „výzvy“ – v podstatě šifrované datové balíčky. Uzel musí podepsat potvrzení a okamžitě ho odeslat zpět. Měřením času potřebného k podpisu a návratu (latence) v poměru k velikosti balíčku (propustnost) může síť kryptograficky ověřit, zda uzel skutečně disponuje takovou konektivitou, jakou deklaruje.

• Těžba šířky pásma (Bandwidth Mining): Na svém domácím serveru spustíte malého softwarového agenta. Ten přispívá do globálního poolu a vy vyděláváte tokeny na základě kvality a dostupnosti (uptime) vašeho uzlu.
• Motivace uzlů: Tokenizací sítě řešíme problém „studeného startu“ (bootstrapping). Lidé mají skutečný zájem hostovat uzly, protože za to získávají jasnou krypto odměnu.

Podívejme se, jak to funguje v praxi v oblasti s vysokými nároky, jako jsou finance. Představte si obchodní firmu v Londýně, která se snaží spojit se serverem v New Yorku. Standardní trasa poskytovatele internetu (ISP) může být přetížená. Síť DePIN využívající protokol darp zjistí, že skupina „rezidenčních“ uzlů v Grónsku a Kanadě nabízí v kombinaci rychlejší trasu. Provoz obchodní firmy je přesměrován přes tyto domácí uzly. Firma získá svou výhodu 10 ms a majitelé domů v Grónsku obdrží zlomkovou platbu v kryptoměně.

Dále se podíváme na bezpečnostní stránku věci – konkrétně na to, jak zajistit soukromí veškerého tohoto decentralizovaného provozu.

Soukromí a bezpečnost v decentralizovaném ekosystému

Pokud provozujete vlastní uzel (node), v podstatě necháváte přes svůj hardware procházet provoz cizích lidí. Na první pohled to může znít jako noční můra pro soukromí, že? Právě proto využíváme technologii tunelování.

• Odolnost vůči cenzuře: Jelikož jsou uzly v síti darp tvořeny běžnými internetovými uživateli, je pro firewally prakticky nemožné je všechny zablokovat.
• Integrace protokolu WireGuard: Jak zmínil William B. Norton, darp distribuuje veřejné klíče. To znamená, že uzly mohou okamžitě a dynamicky vytvářet šifrované tunely WireGuard.

Komunitní projekty jako squirrelvpn, které sledují efektivitu protokolů a pomáhají uživatelům najít nejlepší decentralizované uzly, jsou pro celý ekosystém klíčové. Poskytují totiž cenná data o tom, které protokoly aktuálně vítězí v neustálém boji proti hloubkové inspekci paketů (DPI).

V tradičním nastavení platí, že pokud je VPN server kompromitován, jsou v ohrožení všichni připojení uživatelé. V decentralizované síti (mesh) se však posouváme k modelu nulové důvěry (zero-trust). Nedůvěřujete konkrétnímu uzlu, důvěřujete matematice a kryptografii.

Tento přístup má obrovský význam například ve zdravotnictví. Pokud lékař v odlehlé oblasti využívá uzel sítě DePIN pro přístup k centrální nemocniční databázi, zero-trust povaha tunelu zaručuje, že záznamy pacientů nebudou vystaveny riziku – a to ani v případě, že místní poskytovatel internetu (ISP) má mizerné bezpečnostní standardy. Zprostředkovatelský uzel (člověk, který za sdílení konektivity získává tokeny) nikdy nevidí surová data. Jediné, co prochází jeho hardwarem, jsou šifrované pakety protokolu WireGuard.

Ambiciózní možnosti využití protokolu DARP

Největším problémem současného internetu věcí (IoT) je fakt, že většina zařízení je v podstatě „hloupá“ a komunikuje s centralizovanými cloudy vzdálenými tisíce kilometrů. Jak jsme již naznačili u Nortonových teorií, skutečnou přelomovou aplikací pro DARP by mohl být zabezpečený IoT Exchange Point (IXP) – tedy lokální uzel pro výměnu dat v rámci internetu věcí.

Představte si miliony zařízení v jednom městě – pouliční osvětlení, autonomní doručovací roboty a chytré elektroměry – jak se společně zapojují do lokální skupiny pulseGroup. Namísto toho, aby zařízení posílalo datový paket na server ve Virginii jen proto, aby rozsvítilo světlo v Londýně, využije DARP k nalezení nejrychlejší a nejbezpečnější lokální trasy.

• Efektivita komunikace Machine-to-Machine (M2M): Díky napodobení modelu IXP mohou IoT zařízení navazovat přímý peering (propojení) mezi sebou.
• Škálování 5G a Edge computingu: Autonomní roboti vyžadují latenci pod 10 ms. Robot s podporou protokolu DARP dokáže za běhu přepínat mezi lokálním Wi-Fi uzlem a 5G buňkou podle toho, který z nich má aktuálně lepší „puls“ (odezvu).

Nejde však jen o rychlost. Klíčovým faktorem je odolnost. Pokud dojde k přerušení hlavní optické linky, IoT mesh síť se jednoduše „zahojí“ tím, že provoz přesměruje přes rezidenční bránu v sousedství.

To vše zní sice skvěle, ale jak něco takového vybudovat v měřítku miliard uzlů? Právě zde narážíme na ty skutečné technické výzvy.

Výzvy a plány do budoucna

Budování decentralizovaného webu zní jako splněný sen, dokud si neuvědomíte, že internet je v podstatě jeden obrovský a náladový chaos. Pokud chceme nahradit současný stav něčím, jako je protokol darp, musíme si přiznat, že matematické výpočty na pozadí jsou nesmírně náročné.

Největším problémem, o kterém se příliš nemluví, jsou výpočetní náklady na to, aby byl uzel neustále v režimu „vždy zapnuto“. V tradičním nastavení se váš router prostě řídí statickou tabulkou, ale uzel darp se neustále dotazuje sítě a vysílá signály do okolí.

• Přetížení měřením: Pokud máte 1 000 uzlů, z nichž každý vysílá pulzy každou sekundu, vzniká obrovské množství „šumu v pozadí“, který musí malý domácí router zpracovat.
• Distribuce klíčů ve velkém měřítku: Sdílení veřejných klíčů mezi deseti lidmi je bezproblémové, ale správa globální sítě s miliony uzlů vyžaduje šílenou úroveň koordinace.

Harmonogram budoucího vývoje

Kam tedy směřujeme? Příštích pět let vývoje protokolu darp a decentralizovaného směrování se bude soustředit na tři hlavní milníky:

1. Standardizace (1.–2. rok): Potřebujeme společné rozhraní api, aby spolu mohly různé projekty v rámci DePIN (decentralizované fyzické infrastruktury) komunikovat. V současnosti je to trochu „divoký západ“, kde má každý projekt svůj vlastní formát pulzů.
2. Hardwarová integrace (2.–4. rok): Začínáme se setkávat s domácími routery, které jsou „DARP-ready“. Místo spouštění docker kontejneru na PC bude logika směrování integrována přímo v čipech vašich mesh wifi systémů.
3. Globální mesh síť (5. rok a dále): Toto je fáze „utopie“, kdy se darp stane neviditelnou vrstvou internetu. Ani nebudete vědět, že jej používáte; váš telefon si prostě automaticky vybere nejrychlejší cestu skrze kombinaci 5G, Starlinku a lokálních rezidenčních uzlů.

Nacházíme se v podstatě ve fázi „vytáčeného připojení“ decentralizovaného směrování. Je to zatím neohrabané, AI prediktory spotřebovávají hodně výkonu procesoru a tokenomika se stále ladí. Ale alternativa – tedy nechat hrstku poskytovatelů internetového připojení (ISP) rozhodovat o osudu našich dat – už prostě nepřipadá v úvahu.

Jak poznamenal William B. Norton, směřujeme k internetu, kde je ochrana soukromí výchozím standardem. Nestane se to přes noc, ale vize internetu, který skutečně vlastní lidé, kteří jej používají? To za ty extra CPU cykly stojí. Pokud jste vývojáři, začněte experimentovat s protokolem wireguard a podívejte se, jak fungují tyto matice pulzů. Příští roky budou jízda.