TorとVPNの比較と「Onion over VPN」の考察
もしオンラインでプライバシーを保護する方法を探しているなら、Torネットワークについて聞いたことがあるでしょうし、おそらくはVirtual Private Network(VPN)をすでに使っているかもしれません。いくつかのVPNは「Onion over VPN」と呼ばれる高度な機能をユーザーに売り込もうとしますが、これは単にVPNを使ってからTorにアクセスするという意味です。この機能に特別な技術があるというのは単なる販売戦略で、VPNサービスがTorへの接続を拒否しない限り、どのVPNでもOnion over VPNの設定で使用できます。
TorやVPNに興味があるなら、オンラインでのプライバシーと匿名性を求めていることでしょう。両者はオンラインプライバシーのツールですが、同じものではありません。Torは分散型のネットワークで、ユーザーのトラフィックを「オニオン」プロトコルを使って暗号化し、世界中の複数のボランティアサーバーを経由してルーティングする高度なプライバシーサービスを提供します。一方、VPNはユーザーのトラフィックを自社のサーバーを経由してからウェブにアクセスします(VPNが使用するサーバーの数はさまざまですが、伝統的なモデルでは1つです)。では、なぜこれらを組み合わせて使うのでしょうか?ユーザーにとってどんな効果があるのでしょうか?
Torの現在の大きな問題の1つは、そのネットワークが攻撃、ブラックリスト、検閲の対象となっていることです。これはTorが違法なトラフィックと一部結びつけられているためですが、ほとんどの場合、ユーザーの匿名性を確保する能力を阻止するために行われています。その結果、Torネットワークを介して公衆ウェブにアクセスすることは、必要なウェブサイトやサービスに接続できなくなる可能性があります。場合によっては、インターネットサービスプロバイダー(ISP)が国全体でTorアクセスを禁止することもあります。
ここでは、Onion over VPNがどのようにしてTorネットワークの使用に対するこれらの禁止を解決する方法の1つであるかを見ていきます。Torにアクセスする前にVPNに接続することで、Torの使用に関する制限をクライアント側で回避できますが、サーバー側でのTorブラックリストには影響しません。
新しい分散型VPN(dVPN)のプライバシー機能を考慮すると、この設定は現在は不要です。dVPNがどのようにユーザーのオンラインプライバシーを簡素化し、改善できるかを理解するためには、まずTorが何であるか、使用中に直面するかもしれないインターネットアクセスの制限、そして私たちが必要とするプライバシーのために最適なVPNアーキテクチャを選ぶ方法について理解する必要があります。
Torネットワークの概要
Torは2002年に立ち上げられた分散型ネットワークで、ユーザーのトラフィックを「オニオン」プロトコルを使って暗号化し、複数のボランティアサーバーを経由してルーティングします。以下はTorの主な機能です。
Onion Encryption
データ暗号化は、データパケットを暗号化して指定された送信者と受信者のみがその内容を閲覧できるようにする暗号技術のプロセスです。第三者がデータを傍受しても、転送中のデータを解読しようとすると、ほぼ読み取ることができません。
Torネットワークを通過する前に、ユーザーデータはユーザーのデバイス上で三重に暗号化され、まるで玉ねぎのように周りに異なる暗号化層が形成されます(ウェブ受信者によって提供される追加のエンドツーエンド暗号化は含まれていません)。各層には特定の鍵があり、それに対応する復号化鍵はTorネットワーク上の特定のTor node(またはサーバーリレー)が所持しています。タイトルの「玉ねぎ」の中心部にはユーザーデータがあり、これはTorネットワークを離れた後にすべての暗号化層が除去されることで、公開ウェブ上の意図された受信者に対してのみ明らかになります。
Multi-hop Routing
Torネットワークは、ユーザーのトラフィックを最終目的地に転送する前に、multi-hop routingアーキテクチャを使用します。これには三つのステップがあります:entry node、intermediary node、exit nodeがあり、exit nodeが公開ウェブと接続します。データが外側の暗号化層によって決定された特定のノードを通過すると、そのノードは指定された層を取り除き、データパケットを次に送信する場所だけを明らかにします。このプロセスは繰り返され、データはexit nodeを通過して公開ウェブ上の目的地に到達します。
Torサーバーの運営
Torはボランティアが運営する独立したサーバーに依存しており、分散型ネットワークが確保されています。ピアツーピア(P2P)ネットワークは似たようなアーキテクチャですが、Torは技術的にはP2Pではありません。
Torを使用する目的
Torネットワークを使用することで、ユーザーのトラフィックはよりプライベートで追跡が困難になります。また、匿名のサービスプロバイダーにアクセスできるようになります。Torのプライバシーに関する利点をまとめると、以下のようになります:
- レイヤー暗号(Layered-encryption): データの転送中に攻撃から保護します。
- 分散型ルーティング: Multi-hop routingにより、データの追跡が単一サーバーのVPNサービスよりも格段に困難になり、デフォルトの暗号化プロトコルを通じた公開ウェブへの直接アクセスよりもはるかに優れています。
- Torサイトへのアクセス: .onionサイトにアクセスできます。
Onion over VPNとは
「Onion over VPN」は、ユーザーのデータをVPNを通じて暗号化した後、Torネットワークに接続する設定です。の設定の主な目的は、クライアント側でTorネットワークがブロックされている場合にTorネットワークにアクセスすることです。しかし、Torがサーバー側でブロックされている場合には効果がありません。これらがどのように連携するかを見てみましょう。
Virtual Private Networks (VPNs)
VPN(Virtual Private Network)は、ユーザートラフィックをサービスプロバイダーのサーバーを通じてルーティングするプライバシーツールです。Torと同様に、デバイス上でデータが暗号化されますが、従来のVPNでは一層の暗号化のみが使用されます。暗号化された後、トラフィックはVPNサーバーにトンネルされます。そこで、IPアドレスが会社の公開アドレスに置き換えられた後、トラフィックは最終的にウェブ上の目的地に送信されます。受信者がトラフィックの発信元を見ると、それはあなたではなくVPNからのものとして表示されます。
従来の単一サーバーVPNはオンラインでの匿名性を高めるのに役立ちますが、ユーザーデータをリスクにさらす構造的な脆弱性があります。しかし、現在ではVPNのさまざまなアーキテクチャが存在し、dVPN(分散型VPN)は従来の単一サーバーVPNよりもユーザーのプライバシーを大幅に向上させます。
Onion over VPN
「Onion over VPN」とは、特別な種類のVPNを指すわけではなく、TorネットワークがVPNサービスであるわけでもありません。Onion over VPNは、Torネットワークにアクセスする前にVPNを使用することを意味します。つまり、すべてのトラフィックがまずプロキシサーバー(おそらくそのデータを集中管理している)を通過し、その後Torのマルチホップネットワークとオニオン暗号化手続きによってルーティングされます。「オニオン」システムは、元のVPN接続を「覆い隠す」と言えるでしょう。なぜなら、公開ウェブ上ではトラフィックがVPNではなくTorから来ているように見えるからです。
なぜOnion over VPNを使用するのか?
VPNを使用してTorにアクセスする主な理由は、Torアクセスをブロックまたはブラックリストに載せているISPや他のネットワークを回避するためです。あなたが住んでいる国がTorを通じてオンラインの匿名性を確保するのを阻止しようとしている場合、VPNを先に起動することで回避できます。しかし、Onion over VPNは、Torを使用している際にウェブサービスがアクセスを拒否するのを防ぐものではありません。なぜなら、ウェブサービスはトラフィックの出口ノードとしてTorの公開IPアドレスを見るからです。
もう一つの考え方は、Onion over VPN設定がTorが提供するプライバシー層の上に追加のプライバシー層を提供するというものです。技術的には、これは別のリンクできないホップと暗号化層を追加することになります。しかし、Torのプライバシーは既に非常に堅牢(3ホップ、3層の暗号化)です。そして、Onion over VPNはパフォーマンスに重大な問題を引き起こす可能性があることもあります。
Onion over VPNの利点と欠点
利点
- Torネットワークのエントリカバー: エントリノードがVPNのIPアドレスを見ることで、Torの使用が隠れます。
- Tor制限の回避: ISPがTorを検閲している場合でも、VPNがこれを回避する可能性があります。
- VPN in the dark: VPNが最初のTorエントリノードとだけ接続されるため、あなたのブラウジングアクティビティを知ることはありません。
- ブラウザの選択肢: Onion over VPNを使用すると、Torブラウザでの敏感なトラフィックのプライバシーを高めながら、一般的な保護を維持したまま通常のブラウザに切り替えて非重要なタスクを行うことができます。
欠点
- 速度: Torトラフィックは既にレイヤー暗号化され、マルチホップが行われるため、追加の暗号化ステージとサーバー中継の追加がこの問題を大幅に悪化させる可能性があります。
- Torのブロック: サイトやアプリがTorネットワークを検出し、ブロックする可能性があります。
- ほとんどのVPNがIPアドレスを知っている: VPNを使用しているという事実自体が、サービスがあなたのIPアドレスを把握し、それをTorネットワークとの接続と関連付けることを意味します。トラフィックがTorに移行した後はさらに不明瞭になりますが、中央集権型のログはネットワーク全体でユーザーのデータを追跡する主要な手段です。
ダブルVPNとOnion over VPNの比較
ダブルVPNは2つのVPNサービスを使用する方法で、Onion over VPNと比較されます。共通点と違いを以下に示します。
類似点
- 遅延: 両方の設定は接続速度の低下を引き起こす可能性があります。
- 暗号化: 両方の設定でウェブトラフィックが複数回暗号化されます。
- IPアドレスの隠蔽: Onion over VPNはTorエントリノードからIPアドレスを隠します。ダブルVPNは両方のVPNサーバーからのIPアドレスを隠します。
違い
- ソフトウェア: Onion over VPNはVPNとTorネットワークを使用しますが、ダブルVPNはVPNのみを使用します。
- 暗号化: Onion over VPNはデータを4回暗号化しますが、ダブルVPNは2回のみです。
- プロトコルの互換性: ダブルVPNはUDPとTCPの両方をサポートしますが、Onion over VPNはTCPのみです。
- Tor特有のアクセス: Onion over VPNは.onionサイトにアクセスできますが、ダブルVPNではアクセスできません。
Onion over VPNの結論
「Onion over VPN」は、単にVPNとTorネットワークを組み合わせたもので、特別なVPN製品ではありません。Torは分散型オーバーレイネットワークで、特定の製品ではなく、TorブラウザやメールクライアントはTorネットワークへのアクセスツールです。従来のVPNサービスにはリスクがあり、分散型VPN(dVPN)の新しい進展が選択肢を提供しています。
分散型VPNの選択肢
分散型VPN(dVPN)は、TorやOnion over VPNの複雑な設定なしで強力なプライバシー保護を提供します。NymVPNは、その独自のミックスネットを通じて、プライバシー保護を強化する分散型設計に基づいています。
- 一般的なプライバシー保護: WireGuardを使用した高速な2ホップdVPNが提供します。
- 特にセンシティブなトラフィック: 比類のない5ホップミックスネットモードを選択できます。
NymVPNを使うことで、オンラインプライバシーとセキュリティを強化できます。
参考リンク
- Nym公式サイト
- Nymのミキシングネットワーク - Wikipedia
- Nymホワイトペーパー
- 分散型VPN と中央集権型VPN:違いの全て
- ミックスネットとは何か? VPNによる比類なきオンラインプライバシー
- Sphinx暗号-Nymを支える匿名データフォーマット
- ココナッツ認証(Coconut Credentials)とは?- プライバシーを保護するゼロ知識証明技術