Layer 2 -skaalaus ja reaaliaikaiset mikromaksut dVPN-verkossa

Perinteisten VPN-mallien murtuminen

Tuntuuko sinustakin joskus siltä, että VPN on vain hienostunut tapa siirtää tietosi yhdeltä välikädeltä toiselle? Useimmat käyttäjät kuvittelevat olevansa näkymättömiä verkossa heti "yhdistä"-painiketta painettuaan, mutta totuus on, että vanhanaikainen VPN-malli on käytännössä keskitetty korttitalo, joka odottaa vain sopivaa tuulenvirettä kaatuakseen.

Perinteiset VPN-palveluntarjoajat yleensä omistavat tai vuokraavat suuria palvelinkeskittymiä konesaleista. Tämä on nopeuden kannalta tehokasta, mutta todellisen yksityisyyden kannalta painajainen. Jos valtio haluaa estää palvelun käytön, se voi yksinkertaisesti asettaa konesalien tunnetut IP-osoitteet mustalle listalle. Se on kuin yrittäisi piilottaa pilvenpiirtäjää; ennemmin tai myöhemmin joku huomaa sen.

Lisäksi on olemassa niin kutsuttu "hunajapurkkiriski" (honeypot). Kun yksi yritys hallinnoi kaikkea liikennettä, yksittäinen tietomurto keskitetyssä hallinnassa tarkoittaa, että jokaisen käyttäjän istuntotiedot ovat mahdollisesti vapaata riistaa. Olemme nähneet tämän useilla toimialoilla, joilla keskitetyt tietokannat on murrettu ja miljoonat tietueet ovat päätyneet pimeään verkkoon. VPN-palvelut eivät ole tälle immuuneja.

Puhumattakaan "no-log"-käytännöistä, jotka kieltävät lokitietojen tallentamisen. Käytännössä luotat tällöin vain yrityksen toimitusjohtajan sanaan. Ilman avoimen lähdekoodin tarkastuksia tai hajautettua arkkitehtuuria on mahdotonta varmistaa, mitä datapaketeillesi tapahtuu, kun ne saavuttavat palveluntarjoajan pään tun0-rajapinnan (virtuaalinen tunneliliitäntä, jonka kautta data siirtyy VPN-ohjelmistoon).

Siirtyminen kohti hajautettuja verkkoja (dVPN) ei ole vain trendi, vaan välttämättömyys nykyaikaisesta sensuurista selviytymiseksi. Yritysten konesaleihin luottamisen sijaan olemme siirtymässä kohti DePIN-malleja (Decentralized Physical Infrastructure Networks eli hajautetut fyysiset infrastruktuuriverkot). Tässä mallissa "solmut" (nodes) ovat todellisuudessa kotitalouksien verkkoyhteyksiä – oikeita ihmisiä, jotka jakavat osan kaistanleveydestään.

Ethereum Researchin (2024) MEV-ekosysteemiä koskevan tutkimuksen mukaan siirtyminen kohti hajautettuja mempooleja ja julkisia huutokauppoja auttaa poistamaan haitalliset "sandwich-hyökkäykset" ja keskittävät voimat. Sama logiikka pätee internet-liikenteeseesi. Kun kuorma jaetaan tuhansien P2P-solmujen (vertaisverkko) välille, palomuurilla ei ole enää yhtä selkeää palvelinta, johon hyökätä.

Tämä siirtymä P2P-malliin on kuitenkin vasta alkua. Seuraavaksi on tarkasteltava, miten token-pohjaiset kannustimet (token incentives) pitävät nämä solmut toiminnassa ilman keskitettyä johtoa.

Monihyppyisten tokenisoitujen välityspalvelinten ymmärtäminen

Oletko koskaan miettinyt, miksi datapakettisi lentävät suoraan VPN-palvelimelle vain tullakseen pysäytetyiksi perinteisessä palomuurissa heti rajalla? Tämä johtuu siitä, että yksittäinen välityspalvelin (single hop) on kriittinen vikapiste – se on kuin kantaisi neonvalokylttiä pimeällä kujalla.

Siirtyminen monihyppyiseen (multi-hop) arkkitehtuuriin muuttaa pelin säännöt täysin. Yhden tunnelin sijaan datasi pomppii itsenäisten solmujen ketjun läpi. Tokenisoidussa ekosysteemissä nämä eivät ole vain satunnaisia palvelimia, vaan osa hajautettua kaistanleveysmarkkinapaikkaa, jossa jokaisella välityspalvelimella on oma lehmä ojassa eli taloudellinen kannustin toimia oikein.

Vakiomuotoisessa VPN-yhteydessä päätepiste (exit node) tietää tarkalleen kuka olet (IP-osoitteesi) ja minne olet menossa. Yksityisyyden kannalta tämä on huono asia. Monihyppyinen yhteys – erityisesti sipulireitityksen (onion routing) periaatteille rakennettuna – käärii datasi useisiin salauskerroksiin.

Ketjun jokainen solmu tietää vain sitä välittömästi edeltävän ja seuraavan "hypyn". Solmu A tietää, että lähetit jotain, mutta ei tiedä lopullista määränpäätä. Solmu C (päätepiste) tietää määränpään, mutta luulee liikenteen olevan peräisin solmulta B.

Tämä estää päätepisteen liikenteen nuuskimisen (exit node sniffing). Vaikka joku tarkkailisi solmulta C lähtevää liikennettä, hän ei pysty jäljittämään sitä takaisin sinuun välissä olevien kerrosten vuoksi. Kehittäjille tämä toteutetaan usein erikoistuneilla tunnelointiprotokollilla, kuten WireGuardilla, tai sipulireititysmääritysten mukaisilla räätälöidyillä toteutuksilla.

Miksi kukaan Berliinissä tai Tokiossa antaisi sinun salatun datasi kulkea kotireitittimensä läpi? Ennen vanhaan tämä perustui puhtaasti vapaaehtoisuuteen (kuten Tor-verkossa), mikä tarkoitti usein hitaita nopeuksia. Nyt meillä on käytössämme "kaistanleveyslouhinta" (bandwidth mining).

Paradigm-julkaisun How to Remove the Relay (2024) mukaan keskitettyjen välikäsien poistaminen voi merkittävästi vähentää viivettä ja estää "yksittäistä hallitsijaa" kontrolloimasta tietovirtaa. Vaikka kyseinen artikkeli ehdottaa välityspalvelinten poistamista prosessien suoraviivaistamiseksi, dVPN-ratkaisut (hajautetut VPN-verkot) valitsevat hieman toisenlaisen polun: ne korvaavat keskitetyn välittäjän useilla hajautetuilla toimijoilla. Näin saavutetaan sama tavoite välikäsien poistamisesta, mutta säilytetään monihyppyisen polun tarjoama yksityisyys.

Se on monimutkaista mutta kaunista peliteoriaa. Maksat muutaman tokenin yksityisyydestäsi, ja joku nopean kuituyhteyden omistaja saa palkkion siitä, että hän pitää jälkesi kylminä.

Seuraavaksi meidän on tarkasteltava varsinaista matematiikkaa – erityisesti sitä, miten "Proof of Bandwidth" -protokolla varmistaa, etteivät nämä solmut vain teeskentele tekevänsä työtä.

Sensuurinkeston tekninen selkäranka

Olemme jo käyneet läpi, miksi perinteinen VPN-malli on kuin vuotava ämpäri. Nyt pureudumme siihen, miten rakennetaan verkko, jota yksikään palomuurin takana istuva byrokraatti ei pysty noin vain sammuttamaan.

Yksi tämän hetken mielenkiintoisimmista teknologioista tällä saralla on Silent Threshold Encryption (hiljainen kynnyssalaus). Yleensä, jos haluat salata jotain niin, että ryhmä toimijoita (kuten solmujen komitea) voi purkaa sen myöhemmin, tarvitaan massiivinen ja monimutkainen alustusvaihe, jota kutsutaan nimellä DKG (Distributed Key Generation). Kehittäjille se on usein varsinainen päänsärky.

Voimme kuitenkin hyödyntää olemassa olevia BLS-avainpareja – samoja, joita validaattorit käyttävät jo lohkoketjun allekirjoituksiin – tämän prosessin hoitamiseen. Tämä tarkoittaa, että käyttäjä voi salata reititysohjeet (ei itse sisältöä, joka pysyy päästä päähän salattuna) tietylle solmujen "kynnykselle" (threshold).

Reititystiedot pysyvät pimeinä, kunnes esimerkiksi 70 % kyseisen reititysketjun solmuista suostuu välittämään ne eteenpäin. Yhdelläkään yksittäisellä solmulla ei ole avainta koko polun näkemiseen. Kyseessä on kuin digitaalinen versio pankkiholvista, jonka avaamiseen tarvitaan useita avaimia – paitsi että tässä tapauksessa avaimet on hajautettu kymmenen eri kotireitittimen välille viidessä eri maassa.

Useimmat palomuurit etsivät säännönmukaisuuksia. Jos ne havaitsevat valtavan määrän liikennettä matkalla yhteen tiettyyn välityspalvelimeen tai sekvensoijaan, ne yksinkertaisesti katkaisevat yhteyden. Käyttämällä kynnyssalausta ja osallistamislistoja (inclusion lists), poistamme verkosta keskitetyt "aivot". Osallistamislistat ovat protokollatason sääntöjä, jotka velvoittavat solmut käsittelemään kaikki odottavat paketit niiden sisällöstä riippumatta – solmut eivät siis voi valikoida, mitä ne sensuroivat.

Suoraan sanottuna tämä on ainoa tapa pysyä tekoälypohjaisen syväpakettitarkastuksen (DPI) edellä. Jos verkolla ei ole keskuspistettä, sensuurivasaralla ei ole kohdetta, mihin lyödä.

Seuraavaksi tarkastelemme "Proof of Bandwidth" -konseptia – eli sitä matematiikkaa, jolla todistetaan, etteivät solmut vain kerää tokeneitasi ja heitä pakettejasi roskakoriin.

Kaistanleveysmarkkinoiden talousmallit

Jos tavoitteena on rakentaa verkko, joka todella kestää valtiotason palomuurit, pelkkään ihmisten hyväntahtoisuuteen ei voida luottaa. Tarvitaan tinkimätön taloudellinen moottori, joka todentaa tehdyn työn ilman keskuspankin valvontaa.

Nykyaikaisissa hajautetuissa VPN-palveluissa (dVPN) hyödynnetään kaistanleveystodistetta (Proof of Bandwidth, PoB). Kyseessä ei ole pelkkä lupaus, vaan kryptografinen haaste-vastaus-mekanismi. Solmun on todistettava siirtäneensä määritetyn määrän dataa käyttäjän puolesta, ennen kuin älysopimus vapauttaa palkkiotokenit.

• Palvelun todentaminen: Solmut allekirjoittavat säännöllisesti pieniä "heartbeat"-paketteja. Jos solmu väittää tarjoavansa 1 Gbps nopeuden, mutta viive kasvaa tai paketteja katoaa, konsensuskerros laskee solmun mainepisteitä (slashing).
• Automatisoidut palkkiot: Älysopimusten käyttö poistaa maksuviiveet. Heti kun yhteys sulkeutuu, tokenit siirtyvät käyttäjän sulkutililtä (escrow) palveluntarjoajan lompakkoon.
• Sybil-hyökkäysten esto: Jotta kukaan ei voisi luoda 10 000 valesolmua yhdellä kannettavalla tietokoneella (Sybil-hyökkäys), vaadimme yleensä steikkausta (staking). Palveluntarjoajan on lukittava tokeneita osoittaakseen olevansa aito toimija, jolla on omaa pääomaa pelissä.

Kuten aiemmin mainittiin ethereum researchin (2024) MEV-ekosysteemiä koskevassa tutkimuksessa, julkiset huutokaupat ja osallistumislistat (inclusion lists) pitävät järjestelmän rehellisenä. Jos solmu yrittää sensuroida liikennettäsi, se menettää paikkansa tuottavassa välitysjonoissa.

Suoraan sanottuna tämä on vain tehokkaampi tapa pyörittää internet-palveluntarjoajaa (ISP). Miksi rakentaa massiivisia palvelinfarmeja, kun ihmisten olohuoneissa on jo miljoonia käyttämättömiä kuituliittymiä?

Toimialakohtaiset sovellukset: Miksi tällä on merkitystä

Ennen kuin päätämme tämän osion, tarkastellaan, miten tämä teknologia käytännössä muuttaa eri toimialoja. Kyse ei ole vain Netflixin katselusta toisessa maassa, vaan jostain paljon suuremmasta.

• Terveydenhuolto: Klinikat voivat jakaa potilastietoja eri toimipisteiden välillä ilman keskitettyä yhdyskäytävää, joka voisi joutua kiristyshaittaohjelmien kohteeksi. Arvokasta genomitietoa käsittelevät tutkijat hyödyntävät tokenisoituja välityspalvelimia (relays) varmistaakseen, ettei yksittäinen internet-palveluntarjoaja tai valtiollinen toimija kykene kartoittamaan instituutioiden välistä tietoliikennettä.
• Vähittäiskauppa: P2P-solmuja (nodes) ylläpitävät pienet liikkeet voivat käsitellä maksuja, vaikka suuri internet-palveluntarjoaja kaatuisi, sillä niiden liikenne reitittyy naapuruston mesh-verkon kautta. Globaalit brändit voivat puolestaan varmistaa paikallisen hinnoittelunsa ilman, että keskitetyt välityspalvelinten tunnistusbotit syöttävät niille vääristeltyä dataa.
• Finanssiala: Vertaisverkkoon (P2P) perustuva kaupankäyntiyksikkö käyttää monihyppyreititystä (multi-hop) piilottaakseen IP-osoitteensa. Tämä estää kilpailijoita hyödyntämistä maantieteellistä metadataa ja tekemästä "front-running"-kauppoja heidän edellään. Kryptovaluuttasijoittajat voivat lähettää toimeksiantoja mempooliin ilman pelkoa bottien tekemistä "sandwich"-hyökkäyksistä, koska huutokauppa on julkinen ja välitys on täysin hajautettu.

Seuraavaksi syvennymme siihen, miten voit itse pystyttää oman solmusi ja aloittaa kaistanleveyden "louhinnan" (bandwidth mining).

Tekninen opas: Näin pystytät oman solmusi

Jos haluat siirtyä pelkästä kuluttajasta palveluntarjoajaksi ja alkaa ansaita tokeneita, tässä on tiivistetty ohje solmun (node) käyttöönottamiseksi.

1. Laitteisto: Et tarvitse supertietokonetta. Raspberry Pi 4 tai vanha kannettava tietokone, jossa on vähintään 4 Gt RAM-muistia ja vakaa kuituyhteys, toimii parhaiten.
2. Ympäristö: Useimmat dVPN-solmut hyödyntävät Dockeria. Varmista, että Linux-laitteellesi on asennettu Docker ja Docker Compose.
3. Konfigurointi: Sinun tulee noutaa (pull) solmun levykuva verkon virallisesta arkistosta. Luo .env-tiedosto, johon tallennat lompakko-osoitteesi (jonne palkkiot maksetaan) sekä "stake"-määrän eli panttina käytettävien tokeneiden summan.
4. Portit: Sinun on avattava reitittimestäsi tietyt portit (yleensä WireGuard-protokollan käyttämät UDP-portit), jotta muut käyttäjät voivat muodostaa yhteyden solmuusi. Tämä on vaihe, johon useimmat tyssäävät, joten tarkista reitittimesi "Port Forwarding" (porttiohjaus) -asetukset.
5. Käynnistys: Aja komento docker-compose up -d. Jos kaikki näyttää vihreää, solmusi alkaa lähettää "heartbeat"-signaaleja verkkoon, ja nimesi ilmestyy globaalille kartalle.

Kun solmusi on toiminnassa, voit seurata "Proof of Bandwidth" -tilastojasi verkon hallintapaneelista nähdäksesi, kuinka paljon liikennettä välität ja paljonko ansaitset.

Web3-pohjaisen internetin vapauden tulevaisuuden näkymät

Olemme päässeet vaiheeseen, jossa kaikki kysyvät: "onko tämä oikeasti riittävän nopeaa päivittäiseen käyttöön?" Se on täysin aiheellinen kysymys, sillä kukaan ei halua odottaa kymmentä sekuntia kissavideon latautumista vain varjellakseen yksityisyyttään.

Hyvä uutinen on, että monihyppyisen (multi-hop) reitityksen aiheuttama viive eli "latenssivero" pienenee vauhdilla. Hyödyntämällä kotitaloussolmujen (residential nodes) laajaa maantieteellistä jakautumista, voimme optimoida reitit niin, ettei datasi joudu tarpeettomasti vaeltamaan Atlantin yli kahdesti.

Suurin osa vanhojen P2P-verkkojen hitaudesta johtui tehottomasta reitityksestä ja hitaista solmuista. Nykyaikaiset dVPN-protokollat ovat huomattavasti älykkäämpiä valitessaan seuraavaa hyppyä.

• Älykäs polunvalinta: Satunnaisten hyppyjen sijaan asiakasohjelma käyttää latenssipainotettuja mittauksia löytääkseen nopeimman reitin verkon läpi.
• Reunakiihdytys (Edge acceleration): Sijoittamalla solmuja fyysisesti lähemmäs suosittuja verkkopalveluita, lyhennämme "viimeisen mailin" viivettä.
• Laitteistopohjainen kiihdytys: Kun yhä useammat pyörittävät solmuja dedikoiduilla kotipalvelimilla vanhojen kannettavien sijaan, pakettien käsittelynopeus saavuttaa lähes linjanopeuden.

Tässä ei ole kyse vain torrent-latausten piilottamisesta; kyse on internetistä, jota on mahdotonta sammuttaa. Kun verkko toimii elävänä P2P-markkinapaikkana, valtiotason palomuurit ovat vaikeuksissa, koska ei ole olemassa yhtä "off"-kytkintä, jota kääntää.

Kuten aiemmin mainittiin, keskitetyn välityspalvelimen poistaminen – samalla tavalla kuin Ethereumin MEV-boost-siirtymässä – on avain todella joustavaan ja kestävään verkkoon. Rakennamme internetiä, jossa yksityisyys ei ole maksullinen lisäominaisuus, vaan oletusasetus. Törmätään verkossa.