Çok Sıçramalı dVPN ile Sansüre Dayanıklı İnternet Erişimi

Geleneksel VPN Modellerinin Çöküşü

Hiç VPN kullanırken verilerinizi sadece başka bir aracıya teslim ediyormuşsunuz gibi hissettiniz mi? Çoğu kişi "bağlan" butonuna tıkladığında internette görünmez olduğunu sanıyor; ancak gerçek şu ki, eski nesil VPN modelleri aslında yıkılmayı bekleyen merkezi birer iskambil kulesinden ibaret.

Geleneksel VPN'ler genellikle veri merkezlerinde büyük sunucu kümelerine sahiptir veya bunları kiralar. Bu durum hız açısından avantajlı olsa da gerçek gizlilik için tam bir kabustur. Eğer bir hükümet bir servisi engellemek isterse, o veri merkezlerinin bilinen IP adreslerini kara listeye alması yeterlidir. Bu, devasa bir gökdeleni saklamaya çalışmaya benzer; eninde sonunda birileri onu fark edecektir.

Bir de "bal küpü" (honeypot) riski var. Tüm trafik tek bir şirket tarafından yönetildiğinde, ana merkezdeki tek bir güvenlik ihlali, her kullanıcının oturum verilerinin potansiyel olarak ele geçirilmesi anlamına gelir. Merkezi veri tabanlarının sızdırıldığı ve milyonlarca kaydın bir anda karanlık ağa düştüğü birçok sektöre şahit olduk. VPN'ler de bu riskten muaf değil.

"Kayıt tutmama" (no-log) politikalarına ise hiç girmeyelim. Burada aslında sadece bir CEO'nun sözüne güveniyorsunuz. Açık kaynaklı denetimler veya merkeziyetsiz bir mimari olmadan, verileriniz karşı taraftaki tun0 arayüzüne (verilerinizin VPN yazılımına girdiği sanal tünel arayüzü) ulaştıktan sonra paketlerinize tam olarak ne yapıldığını doğrulamanız imkansızdır.

Merkeziyetsiz ağlara (dVPN) geçiş sadece geçici bir trend değil; modern sansür mekanizmalarından kurtulmak için bir zorunluluktur. Kurumsal bir veri merkezine güvenmek yerine, artık DePIN (Merkeziyetsiz Fiziksel Altyapı Ağları) modeline yöneliyoruz. Bu modelde "düğümler" (node'lar) aslında konut bağlantılarıdır; yani bant genişliklerinin bir kısmını paylaşan gerçek kişilerdir.

Ethereum Research (2024) bünyesindeki MEV Ekosistemi üzerine yapılan araştırmalara göre, merkeziyetsiz bellek havuzlarına (mempool) ve halka açık açık artırmalara geçiş, istismarcı "sandviç saldırılarını" ve merkezileşme baskılarını ortadan kaldırmaya yardımcı oluyor. Aynı mantık internet trafiğiniz için de geçerli. Yükü binlerce P2P (eşten eşe) düğüme dağıtarak, bir güvenlik duvarının (firewall) hedef alabileceği tek bir sunucu bırakmamış oluyorsunuz.

Her ne kadar P2P'ye geçiş büyük bir adım olsa da bu sadece başlangıç. Bir sonraki aşamada, bu düğümlerin başında bir patron olmadan çalışmaya devam etmesini sağlayan token teşviklerinin nasıl işlediğine bakmamız gerekiyor.

Çok Sıçramalı (Multi-hop) Tokenize Aktarıcıları Anlamak

Paketlerinizin neden doğrudan bir VPN sunucusuna uçtuğunu, ancak sınırda basit bir güvenlik duvarı tarafından durdurulduğunu hiç merak ettiniz mi? Bunun sebebi, tek bir sıçramanın (single hop) tek bir başarısızlık noktası olmasıdır; bu, karanlık bir ara sokakta üzerinizde neon bir tabela ile yürümeye benzer.

Çok sıçramalı (multi-hop) bir yapıya geçmek, oyunun kurallarını tamamen değiştirir. Verileriniz tek bir tünel yerine, bağımsız düğümlerden (node) oluşan bir zincir üzerinden seker. Tokenize edilmiş bir ekosistemde bunlar rastgele sunucular değildir; her aktarıcının "elini taşın altına koyduğu" merkeziyetsiz bir bant genişliği pazarının parçalarıdır.

Standart bir kurulumda, çıkış düğümü (exit node) tam olarak kim olduğunuzu (IP adresinizi) ve nereye gittiğinizi bilir. Gizlilik açısından bu tam bir felakettir. Çok sıçramalı yapı —özellikle de "onion routing" (soğan yönlendirme) prensipleri üzerine inşa edildiğinde— verilerinizi katmanlı şifreleme ile sarmalar.

Zincirdeki her düğüm, yalnızca kendisinden hemen önceki ve sonraki "sıçramayı" bilir. A Düğümü bir şey gönderdiğinizi bilir ama nihai hedefi bilmez. C Düğümü (çıkış) hedefi bilir ama trafiğin B Düğümü'nden geldiğini sanır.

bu durum "çıkış düğümü koklama" (exit node sniffing) olayını engeller. Birisi trafiğin C Düğümü'nden çıkışını izliyor olsa bile, aradaki katmanlar sayesinde bu trafiği size kadar takip edemez. Geliştiriciler için bu süreç genellikle WireGuard gibi özel tünelleme protokolleri veya soğan yönlendirme spesifikasyonunun özel uygulamalarıyla yönetilir.

Peki, Berlin veya Tokyo'daki rastgele bir kişi neden sizin şifrelenmiş verilerinizin kendi ev yönlendiricisinden (router) geçmesine izin versin? Eskiden bu iş tamamen gönüllülük esasına dayalıydı (Tor gibi), bu da düşük hızlar anlamına geliyordu. Şimdi ise elimizde "bant genişliği madenciliği" (bandwidth mining) var.

Paradigm tarafından yayımlanan How to Remove the Relay (2024) makalesine göre, merkezi aracıları devreden çıkarmak gecikme süresini (latency) önemli ölçüde azaltabilir ve "tek bir patronun" akışı kontrol etmesini engelleyebilir. Söz konusu makale süreci kolaylaştırmak için aktarıcıları tamamen kaldırmayı önerse de, dVPN'ler (Merkeziyetsiz VPN) biraz farklı bir yol izler: Merkezi aktarıcıyı birden fazla merkeziyetsiz aktarıcıyla değiştirirler. Bu, aracıları ortadan kaldırma hedefine ulaşırken çok sıçramalı yolun sağladığı gizliliği de korur.

Bu, karmaşık ama bir o kadar da etkileyici bir oyun teorisidir. Siz gizliliğiniz için birkaç token ödersiniz, yüksek hızlı fiber bağlantısı olan biri de izinizi kaybettirmek için ödeme alır.

Sıradaki adımda, işin matematiksel kısmına, yani "Bant Genişliği Kanıtı" (Proof of Bandwidth) protokolünün bu düğümlerin işi gerçekten yapıp yapmadığını nasıl kanıtladığına bakacağız.

Sansür Direncinin Teknik Omurgası

Geleneksel VPN modellerinin neden aslında "delik bir kova" gibi sızdırdığından bahsettik. Şimdi, elinde güvenlik duvarı olan sıkılmış bir bürokrat tarafından kolayca kapatılamayacak bir ağın gerçekte "nasıl" inşa edildiğine odaklanalım.

Şu anda bu alandaki en heyecan verici teknolojik gelişme Sessiz Eşik Şifrelemesi (Silent Threshold Encryption). Normalde, bir veriyi bir grup düğümün (node) daha sonra deşifre edebileceği şekilde şifrelemek isterseniz, DKG adı verilen devasa ve karmaşık bir kurulum aşamasına ihtiyacınız olur. Bu durum geliştiriciler için tam bir baş ağrısıdır.

Ancak biz, doğrulayıcıların blokları imzalamak için halihazırda kullandığı mevcut BLS anahtar çiftlerini bu işlem için de kullanabiliyoruz. Bu sayede bir kullanıcı, yönlendirme talimatlarını (uçtan uca şifreli kalan asıl veriyi değil) belirli bir "eşik" sayıdaki düğüme şifreleyebilir.

Yönlendirme verileri, o aktarım zincirindeki düğümlerin (örneğin %70'i) paketi iletme konusunda fikir birliğine varana kadar gizli kalır. Hiçbir tekil düğüm, tüm rotayı görebilecek anahtara sahip değildir. Bu, açılması için iki anahtar gerektiren banka kasalarının dijital versiyonu gibidir; tek fark, burada anahtarların beş farklı ülkedeki bir düzine ev yönlendiricisine (router) dağıtılmış olmasıdır.

Çoğu güvenlik duvarı belirli kalıpları (pattern) izler. Eğer tek bir "aktarıcıya" (relay) veya "sıralayıcıya" (sequencer) giden yoğun bir trafik görürlerse, hattı anında keserler. Eşik şifrelemesi ve dahil etme listeleri (inclusion lists) kullanarak bu merkezi "beyni" ortadan kaldırıyoruz. Dahil etme listeleri temelde protokol düzeyinde bir kuraldır: Düğümler, içindeki veriye bakmaksızın bekleyen tüm paketleri işlemek zorundadır; yani neyi sansürleyeceklerini seçip ayıramazlar.

Dürüst olmak gerekirse, yapay zeka destekli derin paket incelemesinin (DPI) bir adım önünde kalmanın tek yolu budur. Eğer ağın bir merkezi yoksa, yasaklama çekicini vuracak bir hedef de yoktur.

Bir sonraki bölümde, bu düğümlerin sadece tokenlarınızı alıp paketlerinizi çöpe atmadığını kanıtlayan matematiksel yöntem olan "Bant Genişliği Kanıtı" (Proof of Bandwidth) konusuna değineceğiz.

Bant Genişliği Pazaryerlerinin Ekonomik Modelleri

Devlet düzeyindeki bir güvenlik duvarına (firewall) gerçekten dayanabilecek bir ağ inşa etmek istiyorsanız, sadece insanların "iyi niyetine" güvenemezsiniz. Kasanın başında merkezi bir banka olmadan, işin yapıldığını kanıtlayan sarsılmaz ve somut bir ekonomik motora ihtiyacınız vardır.

Modern bir dVPN (Merkeziyetsiz VPN) yapısında, Bant Genişliği Kanıtı (Proof of Bandwidth - PoB) mekanizmasını kullanıyoruz. Bu sadece basit bir söz verme süreci değil; kriptografik bir sorgu-yanıt (challenge-response) sistemidir. Bir düğümün (node), akıllı sözleşme tokenları serbest bırakmadan önce, kullanıcı için gerçekten X miktarında veriyi taşıdığını kanıtlaması gerekir.

• Hizmet Doğrulaması: Düğümler periyodik olarak küçük "kalp atışı" (heartbeat) paketlerini imzalar. Eğer bir düğüm 1 Gbps hız sunduğunu iddia ediyor ancak gecikme süreleri (latency) fırlıyor veya paket kayıpları yaşanıyorsa, mutabakat katmanı o düğümün itibar puanını düşürür (slashing).
• Otomatik Ödüller: Akıllı sözleşmelerin kullanılması, ödeme sırası beklemeye gerek kalmadığı anlamına gelir. Devre kapandığı anda tokenlar, kullanıcının emanet hesabından (escrow) doğrudan hizmet sağlayıcının cüzdanına aktarılır.
• Sybil Saldırısı Direnci: Birinin tek bir dizüstü bilgisayarda 10.000 sahte düğüm oluşturmasını (Sybil saldırısı) engellemek için genellikle "stake etme" (pay kilitleme) şartı koşarız. Gerçek bir sağlayıcı olduğunuzu ve kaybedecek bir şeyiniz olduğunu kanıtlamak için belirli miktarda tokenı kilitlemeniz gerekir.

Ethereum Research (2024) kapsamındaki MEV Ekosistemi araştırmasında da belirtildiği gibi, bu tür halka açık açık artırmalar ve dahil etme listeleri sistemin dürüst kalmasını sağlar. Eğer bir düğüm trafiğinizi sansürlemeye çalışırsa, kârlı aktarım kuyruğundaki yerini kaybeder.

Açıkçası bu, bir internet servis sağlayıcısı (ISP) işletmenin çok daha verimli bir yoludur. İnsanların oturma odalarında halihazırda milyonlarca boşta duran fiber hattı varken, neden devasa sunucu çiftlikleri kurasınız ki?

Sektörel Uygulamalar: Neden Önemli?

Konuyu toparlamadan önce, bu teknolojinin farklı sektörlerde neleri değiştirdiğine yakından bakalım. Bu sistem, sadece yurt dışındaki dijital içerik platformlarına erişmeye çalışan bireysel kullanıcılar için değil, çok daha geniş bir etki alanına sahip.

• Sağlık Hizmetleri: Klinikler, hasta kayıtlarını farklı şubeler arasında, fidye yazılımı (ransomware) saldırılarının hedefi olabilecek tek bir merkezi ağ geçidine ihtiyaç duymadan paylaşabilir. Hassas genomik veriler üzerinde çalışan araştırmacılar, kurumlar arasındaki veri akışının hiçbir internet servis sağlayıcısı veya devlet aktörü tarafından haritalandırılamamasını sağlamak için tokenize edilmiş aktarıcılar (relays) kullanır.
• Perakende: Eşler arası (P2P) düğümler (nodes) çalıştıran küçük işletmeler, ana internet servis sağlayıcılarında bir kesinti yaşansa bile ödemeleri işlemeye devam edebilir; çünkü trafikleri bir komşunun örgüsel ağı (mesh network) üzerinden yönlendirilir. Ayrıca küresel markalar, merkezi proxy algılama botları tarafından sunulan "yanıltıcı" verilere maruz kalmadan yerel fiyatlandırmalarını dünya genelinde doğrulayabilirler.
• Finans: Bir P2P alım-satım masası, IP adresini maskelemek için çok aşamalı aktarıcılar (multi-hop relays) kullanır. Bu sayede rakiplerin, coğrafi üst verileri (metadata) kullanarak işlemlerin önüne geçmesini (front-running) engeller. Kripto varlık yatırımcıları ise, açık artırma şeffaf ve aktarım mekanizması merkeziyetsiz olduğu için botlar tarafından "sandviç saldırısına" uğramadan emirlerini işlem havuzuna (mempool) iletebilirler.

Bir sonraki bölümde, kendi düğümünüzü (node) nasıl kurabileceğinizi ve bu bant genişliğini bizzat "madencilik" yaparak nasıl kazanca dönüştüreceğinizi inceleyeceğiz.

Teknik Rehber: Düğümünüzü (Node) Kurma

Sadece bir tüketici olmaktan çıkıp bir sağlayıcı olmaya (ve token kazanmaya) başlamak istiyorsanız, bir düğümü canlıya almanın en hızlı ve pratik yolu aşağıdadır.

1. Donanım: Bir süper bilgisayara ihtiyacınız yok. En az 4 GB RAM'e sahip bir Raspberry Pi 4 veya eski bir dizüstü bilgisayar ile istikrarlı bir fiber internet bağlantısı en iyi sonucu verir.
2. Ortam: Çoğu dVPN düğümü Docker üzerinde çalışır. Linux makinenizde Docker ve Docker Compose'un kurulu olduğundan emin olun.
3. Yapılandırma: Ağın deposundan (repository) düğüm imajını çekmeniz gerekecektir. Kazandığınız tokenların gönderileceği cüzdan adresinizi ve "stake" (teminat) miktarınızı kaydetmek için bir .env dosyası oluşturun.
4. Portlar: Diğer kullanıcıların size gerçekten bağlanabilmesi için yönlendiricinizde (router) belirli portları (genellikle WireGuard için UDP portları) açmanız gerekir. Burası çoğu kullanıcının takıldığı noktadır, bu nedenle yönlendiricinizin "Port Yönlendirme" (Port Forwarding) ayarlarını kontrol edin.
5. Başlatma: docker-compose up -d komutunu çalıştırın. Her şey yolundaysa, düğümünüz ağa "heartbeat" (nabız) sinyalleri göndermeye başlayacak ve küresel haritada görünür hale geleceksiniz.

Düğümünüz aktif hale geldikten sonra, ne kadar trafik aktardığınızı görmek için ağ paneli üzerinden "Bant Genişliği Kanıtı" (Proof of Bandwidth) istatistiklerinizi takip edebilirsiniz.

Web3 İnternet Özgürlüğünün Geleceği

Şimdi herkesin aklındaki o kritik soruya geliyoruz: "Bu sistem günlük kullanım için gerçekten yeterince hızlı olacak mı?" Bu oldukça yerinde bir soru; çünkü kimse sırf gizliliğini korumak adına bir kedi caps'inin yüklenmesi için on saniye beklemek istemez.

İyi haber şu ki; çok sekmeli (multi-hop) bağlantıların beraberinde getirdiği "gecikme maliyeti" hızla düşüyor. Konut tipi düğümlerin (residential nodes) coğrafi dağılımından yararlanarak veri yollarını optimize edebiliyoruz; böylece verileriniz Atlas Okyanusu'nu gereksiz yere iki kez geçmek zorunda kalmıyor.

Eski eşler arası (P2P) ağlardaki yavaşlığın temel sebebi, verimsiz yönlendirme ve yavaş çalışan düğümlerdi. Modern dVPN protokolleri, bir sonraki sekmenin (hop) nasıl seçileceği konusunda artık çok daha akıllıca kararlar veriyor:

• Akıllı Yol Seçimi: Rastgele sıçramalar yapmak yerine, istemci ağ üzerindeki en hızlı rotayı bulmak için gecikme ağırlıklı sondajlar (latency-weighted probes) kullanıyor.
• Uç Nokta Hızlandırması (Edge Acceleration): Düğümleri popüler web servislerine fiziksel olarak daha yakın konumlandırarak "son kilometre" gecikmesini minimuma indiriyoruz.
• Donanım Tabanlı Yük Devri: Düğümlerin eski dizüstü bilgisayarlar yerine özel ev sunucularında çalıştırılmasıyla birlikte, paket işleme hızları hat kapasitesine (line rate) yakın seviyelere ulaşıyor.

Bu sadece indirdiğiniz dosyaları gizlemekle ilgili değil; interneti "kapatılamaz" hale getirmekle ilgili. Ağ, yaşayan ve nefes alan bir P2P pazaryerine dönüştüğünde, devlet düzeyindeki güvenlik duvarları çaresiz kalıyor; çünkü basılabilecek tek bir "kapatma düğmesi" bulunmuyor.

Daha önce de belirttiğimiz gibi, merkezi aktarıcıları (relay) ortadan kaldırmak —tıpkı Ethereum'daki mev-boost dönüşümünde olduğu gibi— gerçek anlamda dirençli bir webin anahtarıdır. Gizliliğin ücretli bir ayrıcalık değil, varsayılan ayar olduğu bir internet inşa ediyoruz. Ağda (mesh) görüşmek üzere.