分散型アーキテクチャのマルチホップオニオンルーティング | dVPNガイド | VPNガイド、プライバシーのヒントとオンラインセキュリティ

TL;DR

この記事では、dVPNやDePINネットワークのような新しい分散型アーキテクチャにおけるマルチホップオニオンルーティングの仕組みを解説します。レイヤー化された暗号化が、異なるノードを通過する際にデータをどのように保護するか、そしてそれが従来のVPN設定よりもインターネットの自由にとってなぜ優れているのかを説明します。帯域幅マイニングと、P2Pネットワークがどのようにプライバシーの状況を変えているかについても学びます。

P2P環境におけるオニオンルーティングの基礎

「プライベート」を謳うVPNが、まるで丸見えのガラスの家のように感じたことはありませんか？もしあなたが単一のサーバーしか使用していない場合、そのプロバイダーはあなたのすべての行動を把握しています。これは、巨大な単一障害点と言えるでしょう。マルチホップルーティングは、あなたのデータを複数のノードを経由させることで、この問題を解決します。これにより、誰も全体像を把握できなくなるのです。

基本的に、あなたのトラフィックは直線ではなく、ジグザグの経路を辿ります。これは、単一ノードの範囲を超えるカバレッジが必要なメッシュネットワークでよく見られる手法です。

階層化された暗号化: 各ノード（またはホップ）は、「オニオン」の層を1つずつ剥がすだけで、パケットの送信元と次の宛先のみを把握します。
中央集権的な信頼の排除: P2P設定では、単一の企業データセンターに依存するのではなく、分散されたノードのウェブを利用します。
エネルギー効率: これはステルス性のためだけではありません。場合によっては、遠くのタワーに信号を送信するよりも、より近い無線ノード間をジャンプする方が、電力効率が高いことがあります。

Diagram 1

私は、ネストされたコンテナを使ってこれをDIYしようとする人々を見てきましたが、分散型アーキテクチャはそれをネイティブに実現します。経路が常に変化する場合、誰かがあなたを追跡することははるかに困難になります。ここで、DePIN（Decentralized Physical Infrastructure Networks：分散型物理インフラネットワーク）が登場します。これは基本的に、人々がハードウェアを共有して現実世界のネットワークを構築するものです。

次に、暗号資産（仮想通貨）の側面を見ていきましょう。

多層暗号化と分散型VPN

多層暗号化は、ロシアの入れ子人形（マトリョーシカ）のように、データパケットを何層にも包むイメージです。誰にも依存せずにこれを実現するために、非対称暗号化ハンドシェイク（通常は楕円曲線Diffie-Hellman（ECDH）交換など）が使用されます。データが転送される前に、クライアントは各ノードの公開鍵を使用して、ホップごとに一意の「セッションキー」をネゴシエートします。これにより、データは自宅から出る前に3層の暗号化で包まれます。最初のノードは、外側の層を解いて次の送信先を確認することしかできず、実際のメッセージや最終的な宛先を見ることはできません。

ホップ固有のキー: クライアントは各リレーと個別のキーをネゴシエートします。エントリノードは、出口ノードが何をしているかを知ることができません。
匿名性セット: トラフィックを他の何千ものユーザーのトラフィックと混合することで、個々のストリームを区別することが不可能になります。
ノードの多様性: これらは1つの企業によって所有されているわけではないため、履歴を記録する「マスタースイッチ」は存在しません。

私は通常、速度を重視してWireGuardを使用するように勧めていますが、WireGuardはポイントツーポイントのトンネルプロトコルであることを覚えておくことが重要です。Torのように、それ自体でマルチホップを行うことはできません。真の匿名性を実現するには、開発者はオニオンルーティングロジックを処理するカスタムフレームワーク内にWireGuardを組み込む必要があります。Linuxボックスでノードを実行している場合、暗号化されたblobが通過しているのを確認できますが、内部がどうなっているかはまったくわかりません。

この分野は動きが速く、特にブロックチェーンベースの帯域幅市場ではそうです。私は通常、セキュリティ監査をオープンソース化しているプロジェクトに注目しています。正直なところ、ソースコードを読めなければ、プライバシーに関する主張を信用することはできません。

次に、これらのノードがどのようにして報酬を得ているのかを詳しく見ていきましょう...

トークン化された帯域幅によるネットワークのインセンティブ付与

なぜ、他人のトラフィックをルーティングするためだけに、一晩中PCを起動させておく必要があるのでしょうか？昔は「大義のため」に行っていたかもしれませんが、現在ではトークン化された帯域幅を利用して、それに見合う価値を生み出しています。これは基本的に、インターネット回線版のAirbnbモデルです。

帯域幅マイニング: ノードを稼働させると、ネットワークはあなたが正常に中継したデータ量に基づいて暗号通貨で報酬を支払います。
帯域幅証明: プロトコルは、あなたが速度を偽っていないことを証明するために暗号化されたチャレンジを使用します。これは、1人の人物がネットワークを制御するために1,000個の偽のノードを作成しようとするシビル攻撃を阻止するために非常に重要です。「ステーク」またはプルーフ・オブ・ワークを要求することで、ハッカーが多数のIDを偽装することが非常に高価になります。
動的価格設定: 分散型取引所では、検閲の厳しい地域にあるノードがオフラインになると、新しいノードに対する報酬が急上昇します。

Diagram 2

私は、小売業や金融業の人が、ブロックされることなくデータをスクレイピングするためにこれを使用するのを見てきました。次に、トレードオフと実際のアプリケーションを見ていきましょう。

DePINネットワークにおけるトレードオフと応用

確かに、マルチホップは魔法の弾丸ではありません。もしあなたが地球の裏側の3つのノードを経由してトラフィックをルーティングしているなら、ping値は悪化するでしょう。これは、生の速度を犠牲にして、真のデジタル主権を手に入れるという古典的なトレードオフです。

追加の「ホップ」ごとに、暗号化のオーバーヘッドと物理的な距離のために、ミリ秒単位の遅延が発生します。WireGuardは高速ですが、元々はオニオンルーティングのために構築されたものではありません。この問題を解決するために、次世代のDePINプロジェクトでは、近接性に基づいてノード選択を最適化したり、Sphinxのようなプロトコルを使用してパケットサイズを均一に保ち、タイミングから内部を推測されないようにしています。