Hajautetut tunnelointiprotokollat ja P2P-sipulireititys

Siirtymä keskitetystä hajautettuun tunnelointiin

Oletko koskaan tuntenut pientä epäilystä hoksatessasi, että "yksityinen" VPN-palveluntarjoajasi on käytännössä vain hienostunut välikäsi, joka istuu valtavan lokiarkiston päällä? On suorastaan ironista, että olemme vaihtaneet operaattorin harjoittaman seurannan yhteen yrityskeskeiseen pullonkaulaan. Juuri tästä syystä siirtymä kohti hajautettua tunnelointia on vihdoin nousemassa valtavirtaan.

Perinteinen VPN-arkkitehtuuri on jäänne 2000-luvun alun asiakas-palvelin-ajattelusta. Yhdistät "turvalliseen" yhdyskäytävään, mutta kyseinen piste on samalla massiivinen kohde hakereille ja valtiollisille toimijoille. Jos tuo yksi palvelin kaatuu tai takavarikoidaan, koko yksityisyydensuojasi katoaa silmänräpäyksessä.

• Keskitetyt "hunajapurkit": Kun miljoonat käyttäjät reitittävät liikenteensä yhden yrityksen omistamien konesalien kautta, syntyy kriittinen piste (single point of failure), joka on vastustajille liian houkutteleva ohitettavaksi.
• Luottamusparadoksi: Luotat sokeasti siihen, ettei veroparatiisissa toimiva toimitusjohtaja kerää lokeja. Ilman taustajärjestelmien avoimen lähdekoodin auditointia operoit täysin pimeässä.
• Skaalautuvuuden pullonkaulat: Oletko huomannut nopeuksien hidastuvan perjantai-iltaisin? Keskitetyt solmut eivät kykene käsittelemään nykyaikaisen 4K-suoratoiston ja raskaiden kehitystyökuormien aiheuttamia käyttöpiikkejä.

Olemme siirtymässä kohti "Map & Encap" -logiikkaa, jossa verkko ei tukeudu keskitettyihin aivoihin. Yhden palveluntarjoajan sijaan hyödynnämme dVPN-solmuja (hajautettu VPN), joissa kuka tahansa voi jakaa kaistanleveyttään. Tämä arkkitehtuuri – erityisesti APT:n (A Practical Tunneling Architecture) kaltaiset ratkaisut – mahdollistaa internetin skaalautumisen erottamalla "reunaosoitteet" (edge) "siirtoytimestä" (transit core).

APT-viitekehyksessä käytämme sisääntulotunnelireitittimiä (ITR, Ingress Tunnel Router) ja ulostulotunnelireitittimiä (ETR, Egress Tunnel Router). ITR toimii "sisäänkäyntinä", joka ottaa normaalin datasi ja käärii sen erityiseen tunneliotsakkeeseen (kapselointi). ETR on "uloskäynti", joka purkaa kääreen määränpäässä. Oletuskartoittajat (DM, Default Mappers) toimivat kuin hakemistopalvelu, kertoen ITR:lle tarkalleen, mihin ETR:ään paketti on lähetettävä. Näin ydinreitittimien ei tarvitse muistaa jokaista maailman laitetta erikseen.

Ajatellaanpa vähittäiskauppaketjua, joka haluaa suojata maksupäätetiedot 500 toimipisteessä ilman valtavia MPLS-kustannuksia. Keskitetyn keskittimen sijaan he käyttävät solmupohjaista VPN-palvelua, jossa jokainen myymälä toimii pienenä hyppynä mesh-verkossa. Jos yhden myymälän yhteys pätkii, P2P-verkko reitittää tunnelin automaattisesti naapurisolmun kautta.

Kehittäjille tämä tarkoittaa työskentelyä esimerkiksi WireGuard-rajapintojen parissa, jotka eivät ole sidottuja staattiseen IP-osoitteeseen. Konfiguraatio kovetetussa Linux-solmussa voisi näyttää tältä:

[Interface]
PrivateKey = <SOLMUSI_AVAIN>
Address = 10.0.0.5/32
ListenPort = 51820

[Peer]
PublicKey = <ETÄ_DVPN_SOLMUN_AVAIN>
AllowedIPs = 0.0.0.0/0
Endpoint = 192.168.1.100:51820

PersistentKeepalive = 25

Tämä kokonaisuus on huomattavasti vikasietoisempi, koska tieto paketin määränpäästä on hajautettu koko verkkoon, eikä se ole tallennettuna jonkin suuryrityksen pääkonttorin tietokantaan. On korkea aika, että lopetamme luvan pyytämisen yksityisyyteen.

Seuraavaksi: Syväsukellus P2P-sipulireitityksen arkkitehtuuriin, jossa tarkastelemme, miten nämä paketit todellisuudessa selviävät hypystä toiseen.

Syväsukellus P2P-sipulireitityksen arkkitehtuuriin

Oletko koskaan miettinyt, miten datapaketti selviää kolmen eri VPN-tunnelin ja kahden protokollamuunnoksen läpi menettämättä "järkeään" tai metatietojaan? Kyseessä on käytännössä digitaalinen Inception, ja jos arkkitehtuuri ei ole kunnossa, koko paketti hajoaa kadonneiksi paketeiksi ja valtavaksi viiveeksi (latency).

P2P-pohjaisessa sipulireitityksessä (onion routing) kyse ei ole vain "kuuman perunan" eteenpäin välittämisestä. Jokainen solmu (node) päättää, miten data "kääritään". Kun puhumme tässä yhteydessä sipulikerroksista, käytössä on kaksi pääasiallista menetelmää:

• Kapselointi (encapsulation): Kokonainen IPv4-paketti otetaan ja sijoitetaan IPv6-otsikkeen (header) sisään (tai päinvastoin). Alkuperäisestä otsikkotiedosta tulee "dataa" ulommalle kerrokselle.
• Muunnos (conversion): Otsikkotiedon varsinainen uudelleenkirjoittaminen, kuten NAT-PT-tekniikassa. Tämä on "invasiivisempaa", mutta joskus välttämätöntä vanhemmille laitteistoille.

Web3-VPN-verkossa sisääntulosolmu (entry node) saattaa kapseloida liikenteesi WireGuard-tunneliin, minkä jälkeen välityssolmu (relay node) lisää vielä uuden salauskerroksen ennen kuin data saavuttaa ulosmenosolmun (exit node). Tämä tekee estämisestä huomattavasti vaikeampaa kuin perinteisessä Tor-verkossa, sillä "reitityskartta" ei sijaitse julkisessa listassa, vaan se löydetään dynaamisesti mesh-verkon kautta.

Perinteinen reititys hyödyntää etäisyysvektoria (distance-vector), eli kuinka monta hyppyä (hop) kohteeseen on. P2P-sipuliverkossa tämä ei kuitenkaan riitä. On tunnettava paketin tila. Jos käsissä on IPv4-paketti, sitä ei voi vain lähettää solmulle, joka tukee ainoastaan IPv6-liikennettä.

Kuten Lamali et al. (2019) tutkimuksessa todetaan, käytämme sen sijaan pino-vektoria (stack-vector). Tämä korvaa yksinkertaisen "etäisyyden" "protokollapinolla". Se kertoo solmulle: "Saadaksesi tämän paketin perille, tarvitset tämän nimenomaisen kapselointijärjestyksen." Tutkimus osoitti, että vaikka lyhyin polku olisi eksponentiaalisen pitkä, tarvittava protokollapinon enimmäiskorkeus on itse asiassa polynominen – tarkalleen ottaen korkeintaan λn², missä n on solmujen lukumäärä.

Tämä on valtava asia kehittäjille. Se tarkoittaa, ettemme tarvitse 5 000 rivin konfiguraatiotiedostoja sisäkkäisten tunnelien hallintaan. Solmut "oppivat" pinon itse. Esimerkiksi terveydenhuollon tarjoaja, joka yhdistää etäklinikan vanhan IPv4-laitteiston nykyaikaiseen IPv6-palvelinkeskukseen, voi antaa P2P-solmujen neuvotella tunnelin päätepisteet automaattisesti.

Jos vahvistat solmun tietoturvaa, tarkastelet todennäköisesti näitä pinoja rajapinnoissasi. Tässä on karkea esimerkki siitä, miten solmu saattaa käsitellä tietyn pinon välimuistiosumaa:

# Tämän komennon tuloste näyttää tarkan kapselointijärjestyksen 
# (esim. IPv4 käärittynä WireGuardiin, joka on kääritty IPv6:een), 
# jotta voit vianmäärittää reitin.
dvpn-cli route-lookup --dest 10.0.0.5 --current-stack "ipv4.wireguard.ipv6"

ip link add dev dvpn0 type wireguard
wg setconf dvpn0 /etc/wireguard/stack_config.conf

Tämän ratkaisun hienous piilee siinä, että mesh-verkko hoitaa virhetilanteet. Jos välityssolmu kaatuu, pino-vektorilogiikka etsii "lyhimmän toteutettavissa olevan polun" käyttämällä eri kapselointiyhdistelmää. Järjestelmä on itsekorjautuva. Rehellisesti sanottuna, kun tämän näkee toiminnassa, paluu staattisiin VPN-tunneleihin tuntuu samalta kuin lankapuhelimen käyttö 5G-maailmassa.

Seuraavaksi: Hajautetun internet-yhteyden tietoturvahaasteet, sillä tuntemattomiin solmuihin luottaminen on aivan oma taiteenlajinsa.

Hajautetun internetyhteyden tietoturvahaasteet

Jos luulet, että siirtyminen P2P-verkkoon ratkaisee taianomaisesti kaikki tietoturvaongelmasi, minulla on huonoja uutisia – vaihdat käytännössä yrityksen hallitseman keskitetyn palvelimen digitaaliseen villiin länteen. Siirtyminen keskitetystä VPN-palvelusta hajautettuun malliin (dVPN) on loistava askel yksityisyyden kannalta, mutta se tuo mukanaan täysin uudenlaisia haasteita.

Miten voit luottaa ensimmäiseen solmuun liityttyäsi verkkoon? Koska keskitettyä luetteloa ei ole, useimmat dVPN-verkot hyödyntävät siemensolmuja (Seed Nodes) tai hajautettua hajautustaulua (DHT Bootstrapping). Sovelluksesi ottaa yhteyden muutamaan kovakoodattuun ja tunnettuun "siemenosoitteeseen" saadakseen listan muista aktiivisista vertaisista, ja tästä eteenpäin se tutkii verkkoa itsenäisesti.

Kun olet päässyt sisään, käytämme luottamusverkko-mallia (Web of Trust), jossa solmut varmentavat naapurinsa.

• Naapurien välinen varmennus: Ennen kuin solmu saa lähettää reititystietoja, sen vertaiset varmentavat sen identiteetin vakiintuneiden yhteyksien kautta.
• Allekirjoitusten tulvutus (Signature Flooding): Kun riittävän moni luotettu naapuri on allekirjoittanut avaimen, se levitetään koko verkkoon.
• Vihollisten ja viallisten solmujen tunnistus: Jos solmu alkaa väittää voivansa reitittää liikennettä IP-alueelle, jota se ei todellisuudessa hallitse, oikea omistaja havaitsee ristiriitaisen viestin ja laukaisee hälytyksen.

Suurin sudenkuoppa P2P-kaistanleveyden jakamisessa on vaihtuvuus (churn). Toisin kuin konesalipalvelin, jonka käyttöaste on 99,99 %, kotikäyttöön perustuva dVPN-solmu saattaa kadota verkosta, koska jonkun kissa kompastui virtajohtoon. Tämän ratkaisemiseksi käytämme datapohjaista vikailmoitusjärjestelmää. Sen sijaan, että koko verkko yrittäisi ylläpitää "täydellistä" karttaa, vikatilanne käsitellään paikallisesti vasta silloin, kun paketin toimitus todella epäonnistuu.

Oletuskartoittaja (Default Mapper, DM) hoitaa raskaan työn valitsemalla uuden polun ja ohjeistamalla ITR-solmua päivittämään paikallisen välimuistinsa. Tämä perustuu aiemmin mainittuun λn²-tehokkuuteen, joka pitää uudelleenreitityksen nopeana.

Seuraavaksi: Pysy ajan tasalla yksityisyysvallankumouksessa, jossa tarkastelemme näiden solmujen teknistä ylläpitoa.

Pysy ajan tasalla yksityisyysvallankumouksesta

On suoraan sanottuna huikeaa, kuinka nopeasti yksityisyydensuoja ja siihen liittyvä teknologia muuttuvat juuri nyt. Ajan tasalla pysyminen ei ole vain blogien lueskelua; kyse on sen ymmärtämisestä, miten nämä uudet protokollat todellisuudessa käsittelevät datapakettejasi.

Hajautettujen VPN-ratkaisujen (dVPN) maailma on täynnä puhetta "kuuhun menemisestä", mutta todellinen arvo piilee teknisissä määrittelyissä. Mietitäänpä esimerkiksi, miten verkko hoitaa IPv6-vuotosuojauksen. Perinteisissä VPN-palveluissa IPv6-liikenne ohittaa usein tunnelin kokonaan, mikä paljastaa todellisen IP-osoitteesi. dVPN-ympäristössä hyödynnetään usein NAT64- tai 464XLAT-tekniikoita. Tämä pakottaa IPv6-liikenteen muuntumaan IPv4-muotoon (tai päinvastoin) solmupisteen tasolla, mikä varmistaa, että liikenne pysyy kryptatun "stack-vector"-polun sisällä eikä karkaa paikallisen yhdyskäytävän kautta.

• Seuraa committeja: Älä luota pelkkään verkkosivuun, vaan tarkista GitHub. Jos projekti ei ole päivittänyt WireGuard-toteutustaan tai solmujen tunnistuslogiikkaansa (node-discovery) puoleen vuoteen, se on todennäköisesti kuollut projekti.
• Auditointiraportit: Aidot yksityisyystyökalut panostavat ulkopuolisiin tietoturva-auditointeihin.
• Yhteisöfoorumit: Kehittäjien omat Discord-kanavat ovat paikkoja, joissa todellinen tekninen osaaminen ja "how-to"-tieto asuvat.

Jos suhtaudut tähän vakavasti, säädät todennäköisesti jo omia konfiguraatioitasi. Tässä on nopea tapa tarkistaa, noudattaako nykyinen tunnelisi todella hajautettua polkua:

ip route show dev dvpn0
traceroute -n -i dvpn0 1.1.1.1

Olen nähnyt lukuisia kokoonpanoja, joissa käyttäjät luulevat olevansa "piilossa", mutta yksikin väärin konfiguroitu API-kutsu vuotaa heidän todellisen IP-osoitteensa. Tämä on jatkuvaa kissa ja hiiri -leikkiä.

Seuraavaksi vuorossa: Kaistanleveysmarkkinapaikat ja DePIN-palkkiot, sillä jonkun on maksettava sähkölaskut.

Kaistanleveysmarkkinapaikka ja DePIN-palkkiot

Olemme nyt käyneet läpi, miten paketit liikkuvat verkossa, mutta ollaanpa rehellisiä – kukaan ei ylläpidä nopeaa poistumissolmua (exit node) pelkästään hyvää hyvyyttään ikuisesti. Tässä kohtaa kuvaan astuu "kaistanleveyden Airbnb" eli konsepti, jota kutsutaan nimellä DePIN (Decentralized Physical Infrastructure Networks, hajautetut fyysiset infrastruktuuriverkot).

• Kaistanleveyden louhinta (Bandwidth Mining): Ansaitset kryptopalkkioita pelkästään pitämällä solmun linjoilla ja välittämällä liikennettä.
• Tokenisoidut resurssit: Verkon natiivitokenin käyttö mahdollistaa mikromaksut jokaisesta siirretystä megatavusta.
• Kannustimien kohdistaminen: Palkkiot painotetaan käytettävyysajan (uptime) ja palvelun laadun (QoS) perusteella.

Suurin tekninen haaste on varmistaa, ettei solmu valehtele välittämänsä liikenteen määrästä. Tähän käytämme Proof of Bandwidth -protokollia (kaistanleveyden todentaminen). Käytännössä "haastajasolmu" lähettää salattua testidataa "todentajasolmulle" ja mittaa vasteen. Jos luvut eivät täsmää, älykäs sopimus ei vapauta maksua.

Jos palkkiomekanismia ei koodata oikein, solmut saattavat priorisoida vain parhaiten maksavaa liikennettä. Tämän estämiseksi monet verkot hyödyntävät "steikkausta" (staking). Solmun ylläpitäjän on asetettava tokeneita vakuudeksi. Jos tarjottu palvelu on huonolaatuista, vakuutena olevat tokenit voidaan menettää (slashing).

Seuraavaksi vuorossa: Käytännön toteutus ja Web3-aikakauden internet-vapauden tulevaisuus, eli miten kaikki palaset loksahtavat yhteen.

Web3-aikakauden internet-vapauden käytännön toteutus ja tulevaisuus

Web3-pohjaisen internet-vapauden tulevaisuus ei tapahdu yhdellä suurella "kytkimen painalluksella". Kyseessä on pikemminkin asteittainen ja monivaiheinen siirtymä, jossa hajautetut protokollat toimivat rinnakkain nykyisten valokuituyhteyksien kanssa.

Meidän ei tarvitse keksiä koko internetiä uudelleen. Tämän arkkitehtuurisen muutoksen hienous piilee siinä, että se on suunniteltu "yksipuoliseen käyttöönottoon". Yksittäinen palveluntarjoaja voi aloittaa näiden palveluiden tarjoamisen jo tänään. Käytämme Default Mapper (DM) -ratkaisuja siltaamaan näitä P2P-verkkojen "saarekkeita".

• Rinnakkaiselo perinteisten laitteiden kanssa: Kotireitittimesi ei tarvitse edes tietää keskustelevansa P2P-verkon kanssa. Paikallinen yhdyskäytävä (gateway) hoitaa "Map & Encap" -logiikan (kartoitus ja kapselointi).
• Aukkojen silloittaminen: Kun datapaketti on matkalla "tavalliselle" verkkosivustolle, poistumissolmu eli ETR (Egress Tunnel Router) huolehtii kapseloinnin purkamisesta.
• Käyttäjäystävällinen abstraktio: Tavalliselle käyttäjälle tämä näyttää yksinkertaiselta sovellukselta, vaikka taustalla hallitaan monimutkaista pino-vektori-reititystä (stack-vector routing).

Kehittäjän näkökulmasta tavoitteena on tehdä näistä tunneleista täysin automaattisia. Tässä on nopea esimerkki siitä, miten solmu saattaa tarkistaa "saarekkeen" kartoituksen:

dvpn-cli map-query --dest 192.168.50.1

[DEBUG] Välimuistivirhe. Kysellään DM anycast -osoitteesta...
[INFO] MapRec vastaanotettu: Kohde tavoitettavissa ETR:n 203.0.113.5 kautta

Lopullisena päämääränä on verkko, jota on käytännössä mahdotonta sulkea. Kun yhdistetään lohkoketjupohjainen VPN ja P2P-sipulireititys (onion routing), luodaan järjestelmä, josta puuttuu "off"-kytkin. Kuten aiemmin mainittiin, λn²-kompleksisuus mahdollistaa syvän, monikerroksisen yksityisyyden ilman verkon romahtamista.

Kaistanleveyden jakamisen tulevaisuudessa ei ole kyse vain muutaman euron säästämisestä; kyse on globaalista liitettävyydestä, joka ohittaa digitaaliset muurit. Toteutus on vielä hieman keskeneräistä ja komentorivikomennot voivat olla vaivalloisia, mutta perusta on jo valmiina. Internet on aina tarkoitettu hajautetuksi – me rakennamme vihdoin arkkitehtuuria, joka pitää sen sellaisena. Joka tapauksessa, on aika lopettaa puheet ja alkaa pystyttää solmuja. Pysykää turvassa siellä verkossa.