Merkeziyetsiz VPN ve geleneksel VPN: Aralarındaki fark nedir?

Geleneksel VPN nasıl çalışır?

Geleneksel bir VPN, internet trafiğinizi şifreler ve VPN sağlayıcısının kontrol ettiği bir sunucu üzerinden yönlendirir. Bu, ziyaret ettiğiniz sitelerden IP adresinizi gizler ancak etkinliğinizi VPN sağlayıcısının kendisinden gizlemez. Sağlayıcı her şeyi görebilir ve log tutmama iddialarını bağımsız olarak doğrulamanız mümkün değildir.

Geleneksel VPN’ler merkezidir: tüm sunucular tek bir şirket tarafından sahiplenilir veya kiralanır, tüm kod üzerinde kontrol sahibidir ve gizlilikle ilgili tüm kararları tek taraflı olarak alır. Piyasa da göründüğünden daha konsolide bir yapıdadır. Örneğin, Kape Technologies giderek büyüyen bir VPN listesinin sahibidir: ExpressVPN, CyberGhost ve Private Internet Access. Kullanıcılar bir uygulama mağazasında bunları farklı ürünler sanabilir, ancak gerçekte hepsi aynı şirketin mülkleridir.

Geleneksel bir VPN kullanmak için şunlara güvenmeniz gerekir:

• Sağlayıcının etkinliğinizi izlememesi
• Sağlayıcının verilerinizi üçüncü taraflara satmaması
• Şirketin ve yatırımcılarının hükümetler veya veri aracılarıyla herhangi bir bağlantısının olmaması
• Kod tabanının güvenli olduğu ve düzenli olarak bakımının yapıldığı

VPN sağlayıcılarının log tutmama politikaları vaadinde bulunup, yasal baskı altında kullanıcı verilerini teslim ettikleri birçok belgelenmiş vaka bulunmaktadır. IPVanish, kendisini “sıfır log” (zero log) hizmeti olarak pazarlarken, 2016 yılında FBI’a gerçek zamanlı bağlantı kayıtları sağlamıştır. PureVPN, “log tutmama” garantisine rağmen 2017 yılında federal yetkililerle iş birliği yapmıştır. CSIRO tarafından incelenen 283 VPN uygulamasıyla ilgili bir çalışma, %18’inin trafiği şifrelemediğini ve %38’inin kötü amaçlı yazılım veya izleme kodu enjekte ettiğini ortaya koymuştur.¹

Sonuç olarak, güven bir gizlilik mekanizması değildir. Mimari öyledir. Peki VPN mimariniz nedir?

Merkeziyetsiz VPN nedir?

Merkeziyetsiz bir VPN** (veya dVPN) şifrelenmiş trafiği tek bir şirket tarafından kontrol edilen sunucular yerine bağımsız olarak işletilen node'lar üzerinden yönlendirir. Hiçbir bireysel node, operatör veya kuruluş, trafiğin hem nereden geldiğini hem de nereye gittiğini göremez. Gizlilik, bir şirketin politikalarıyla değil, ağın yapısıyla sağlanır.

Merkeziyetsiz VPN (dVPN) tanımı: Trafiğin tek bir şirkete ait sunucular yerine birden fazla bağımsız sunucu üzerinden yönlendirildiği sanal özel ağ (VPN). Merkeziyetsizlik, merkezi VPN’lerin gerektirdiği tekil güven, arıza ve kayıt (loglama) noktasını ortadan kaldırır. Birçok dVPN, node operatörlerini ödüllendirmek için blockchain tabanlı teşvik sistemleri kullanır.

Varsayılan olarak çoklu atlamalı (multi-hop) yönlendirme

Geleneksel VPN’ler trafiği tek bir sunucu üzerinden yönlendirir; bu da sunucunun tüm oturumunuzu görmesi anlamına gelir. dVPN’ler ise trafiği varsayılan olarak birden fazla bağımsız node üzerinden yönlendirir, böylece hiçbir tekil node tam resmi göremez. NymVPN’in Hızlı modu iki atlama kullanırken, Anonim modu beş atlama kullanır.

Önemli: Bir dVPN’i gerçekten merkeziyetsiz yapan nedir?

Bir VPN’in gerçekten merkeziyetsiz olabilmesi için iki koşulu karşılaması gerekir:

1. Varsayılan olarak çoklu atlamalıdır ve en az iki bağımsız sunucu içerir.
2. Bu sunucular aynı kişi veya kuruluş tarafından sahiplenilmez ya da kontrol edilmez.

Bu yüzden, bir VPN şirketi double VPN gibi bir özellik sunsa bile, iki sunucu kullanılması tek başına gizliliği garanti etmez. Çünkü her iki sunucu da aynı şirkete aitse, şirket trafiğinizin tamamını görebilir.

Merkezi kayıt (log) yok

Node'lar bağımsız olarak çalıştırıldığı için, hiçbir merkezi otorite log toplayamaz veya bu kayıtları birine vermeye zorlanamaz. NymVPN sunucuları, dünya genelinde gizlilik meraklıları tarafından işletilir ve kullanıcılara iyi hizmet sağladıkları için $NYM token ödülleri alırlar. Kötü niyetli bir node operatörü trafiği kaydetmeye çalışsa bile, yalnızca şifrelenmiş küçük bir parça görür ve bunu anlamlandırması mümkün olmaz.

Açık kaynak ve denetlenebilir

Geleneksel VPN’ler WireGuard gibi açık kaynak protokolleri kullanabilir, ancak genel yazılım altyapıları genellikle kapalı kaynak (proprietary) olur. Kullanıcılar, kodun güvenli ve düzenli olarak güncellendiğine güvenmek zorundadır ve bunu bağımsız olarak doğrulama imkânı yoktur. dVPN’ler ise genellikle açık kaynaktır: herkes kodu inceleyebilir, denetleyebilir ve doğruluğunu sorgulayabilir. Ancak bu bir kural değildir; her zaman kendiniz de doğrulayın!

NymVPN’in kodu herkese açıktır ve bağımsız güvenlik incelemelerinden geçirilmiştir.

Güven gerektirmeyen ağ yönetimi

Geleneksel VPN’ler merkezi bir sunucu dizini kullanır: hangi sunucuların mevcut olduğuna tek bir şirket karar verir ve kullanıcılar bunun nasıl veya neden seçildiğini göremez. NymVPN’in ağ topolojisi ise Nyx blockchain üzerinden yönetilir. Hangi node'ların aktif olacağını tek bir otorite belirlemez. Node operatörleri, performansa bağlı olarak $NYM token ödülleri kazanır ve sistemin genelinde güvenilirliği korumak için ağ her saat yeniden dengelenir.

NymVPN diğer dVPN’lerden nasıl daha ileri gidiyor?

Çoğu merkeziyetsiz VPN yalnızca internet trafiğinizin içeriğini korur. NymVPN ise buna ek olarak meta verilerinizi de korur. Yapay zekâ destekli gözetim sistemlerinin giderek yaygınlaştığı bir dönemde, asıl kritik sorun artık çoğu zaman içerikten ziyade meta verilerin izlenmesidir.

Metaveri nedir?

Meta veri, mesajın kendisi dışında kalan her şeydir: kiminle iletişim kurduğunuz, ne zaman, ne kadar süreyle ve nereden. Mesajlarınız şifreli olsa bile iletişim desenleriniz görünür durumdaysa bu yeterli değildir. Bir gazetecinin kaynağı yalnızca iletişim sıklığından tespit edilebilir. Bir aktivistin ağı, tek bir mesaj bile okunmadan haritalanabilir. İstihbarat kurumları ve yapay zekâ destekli gözetim sistemleri özellikle meta verileri hedefler çünkü şifreleme bu verileri korumaz.

Mixnet, yapay zekâ gözetimine karşı koruma sağlar

NymVPN’in Anonim modu, 5 atlamalı (hop) bir Gürültü Üreten Mixnet üzerinden trafiği yönlendirir: bir giriş gateway'i, şifrelenmiş paketleri karıştırıp yeniden sıralayan üç ara mix node ve bir çıkış gateway'i. Trafik desenlerini gizlemek için ayrıca sahte trafik (cover traffic) eklenir. Bu yapı sayesinde hiçbir tekil node bir kullanıcıyı trafiğiyle ilişkilendiremez ve hatta yapay zekâ bile rotanızı yüksek kesinlikle yeniden oluşturmakta büyük zorluk yaşar.

Mixnet (veya mix ağı) tanımı: Şifrelenmiş paketlerin birden fazla node üzerinden karıştırılarak yönlendirildiği bir gizlilik ağıdır ve trafik analizini engellemek için sahte trafik (cover traffic) ekler. Basit çoklu atlama (multi-hop) yönlendirmeden farklı olarak mixnet’ler paketleri yeniden sıralar ve trafik desenlerinin yeniden oluşturulmasını hesaplama açısından pratikte imkânsız hale getiren zaman gecikmeleri ekler.

Sadece gizlilik değil, hız da önemli

Hız önceliği olan kullanıcılar için NymVPN’in Hızlı modu, WireGuard protokolünün bir çatallanması olan AmneziaWG üzerinden 2 atlamalı (2-hop) merkeziyetsiz yönlendirme sunar. Bu yapı, geleneksel VPN’lere kıyasla çok daha yüksek gizlilik sağlar ve bağlantı performansı standart seviyeye oldukça yakındır.

Peki, bir dVPN’e ihtiyacınız var mı?

Geleneksel VPN’ler gizlilik sorununu çözmek yerine yalnızca yer değiştirir. İnternet servis sağlayıcınıza güvenmek yerine bu kez bir şirkete güvenmek zorunda kalırsınız. Gazeteciler, aktivistler ve gözetim altında yaşayan insanlar için, yani gizliliğin bir tercih değil zorunluluk olduğu kişiler için bu fark son derece kritiktir.

Merkeziyetsiz VPN’ler tasarım gereği merkezi güven noktasını ortadan kaldırır. NymVPN ise hiçbir geleneksel VPN’in veya standart dVPN’in sunamayacağı meta veri koruması ekler. Bu sistem, yalnızca halihazırda veri toplayan tehditlere karşı değil, aynı zamanda gelecekte daha da gizli bir internet için geliştirilmiştir.

Kaynaklar

1. [CSIRO, ICSI, UC Berkeley](https://www.icsi.berkeley.edu/icsi/news/2017/02/android-vp