見出し画像

“Onion over VPN”とは?Torの解説

Koko

Torはオンラインで多くのプライバシーを提供しますが、ネットワーク検閲に苦しんでいます。検閲に関しては、マルチホップや分散型VPNが役立つことがあります。

もしオンラインでプライバシーを保護する方法を探しているなら、Torネットワークについて聞いたことがあるでしょうし、おそらくはVirtual Private Network(VPN)をすでに使っているかもしれません。いくつかのVPNは「Onion over VPN」と呼ばれる高度な機能をユーザーに売り込もうとしますが、これは単にVPNを使ってからTorにアクセスするという意味です。この機能に特別な技術があるというのは単なる販売戦略で、VPNサービスがTorへの接続を拒否しない限り、どのVPNでもOnion over VPNの設定で使用できます。

TorやVPNに興味があるなら、オンラインでのプライバシー匿名性を求めていることでしょう。両者はオンラインプライバシーのツールですが、同じものではありません。Tor分散型のネットワークで、ユーザーのトラフィックを「オニオン」プロトコルを使って暗号化し、世界中の複数のボランティアサーバーを経由してルーティングする高度なプライバシーサービスを提供します。一方、VPNはユーザーのトラフィックを自社のサーバーを経由してからウェブにアクセスします(VPNが使用するサーバーの数はさまざまですが、伝統的なモデルでは1つです)。では、なぜこれらを組み合わせて使うのでしょうか?ユーザーにとってどんな効果があるのでしょうか?

Torの現在の大きな問題の1つは、そのネットワークが攻撃、ブラックリスト、検閲の対象となっていることです。これはTorが違法なトラフィックと一部結びつけられているためですが、ほとんどの場合、ユーザーの匿名性を確保する能力を阻止するために行われています。その結果、Torネットワークを介して公衆ウェブにアクセスすることは、必要なウェブサイトやサービスに接続できなくなる可能性があります。場合によっては、インターネットサービスプロバイダー(ISP)が国全体でTorアクセスを禁止することもあります。

ここでは、Onion over VPNがどのようにしてTorネットワークの使用に対するこれらの禁止を解決する方法の1つであるかを見ていきます。Torにアクセスする前にVPNに接続することで、Torの使用に関する制限をクライアント側で回避できますが、サーバー側でのTorブラックリストには影響しません。

新しい分散型VPN(dVPN)のプライバシー機能を考慮すると、この設定は現在は不要です。dVPNがどのようにユーザーのオンラインプライバシーを簡素化し、改善できるかを理解するためには、まずTorが何であるか、使用中に直面するかもしれないインターネットアクセスの制限、そして私たちが必要とするプライバシーのために最適なVPNアーキテクチャを選ぶ方法について理解する必要があります。

こちらでTorとその他のサービスについての詳細な比較が見つかります

Torネットワーク: Onionの解説

Torは2002年に立ち上げられた分散型ネットワークです。その名前(「The onion router」の略)は、ユーザーのトラフィックをボランティア運営のマルチホップネットワークサーバーやリレーを経由して暗号化・復号化する独自の方法から来ています。

What is “Onion over VPN”? - The Tor network

Onion Encryption

データ暗号化は、データパケットを暗号化して指定された送信者と受信者のみがその内容を閲覧できるようにする暗号技術のプロセスです。第三者がデータを傍受しても、転送中のデータを解読しようとすると、ほぼ読み取ることができません。

Torネットワークを通過する前に、ユーザーデータはユーザーのデバイス上で三重に暗号化され、まるで玉ねぎのように周りに異なる暗号化層が形成されます(ウェブ受信者によって提供される追加のエンドツーエンド暗号化は含まれていません)。各層には特定の鍵があり、それに対応する復号化鍵はTorネットワーク上の特定のTor node(またはサーバーリレー)が所持しています。タイトルの「玉ねぎ」の中心部にはユーザーデータがあり、これはTorネットワークを離れた後にすべての暗号化層が除去されることで、公開ウェブ上の意図された受信者に対してのみ明らかになります。

Multi-hop Routing

Torネットワークは、ユーザーのトラフィックを最終目的地に転送する前に、multi-hop routingアーキテクチャを使用します。これには三つのステップがあります:entry node、intermediary node、exit nodeがあり、exit nodeが公開ウェブと接続します。データが外側の暗号化層によって決定された特定のノードを通過すると、そのノードは指定された層を取り除き、データパケットを次に送信する場所だけを明らかにします。このプロセスは繰り返され、データはexit nodeを通過して公開ウェブ上の目的地に到達します。

Tor-diagram

Torサーバーは誰が運営しているのか?

Torは、ユーザーデータをネットワークを通じてルーティングするために、ボランティアが運営する独立したサーバーに依存しています。これにより、分散型ネットワークが確保されますが、いくつかの欠点もあります。ピアツーピア(P2P)ネットワークは似たようなアーキテクチャですが、Torは技術的にはP2Pではありません。

Torを使用する目的

Torネットワークを使用することで、ユーザーのトラフィックはよりプライベート追跡が困難になります。また、匿名のサービスプロバイダーにアクセスできるようになります。Torのプライバシーに関する利点をまとめると、以下のようになります:

  • レイヤー暗号(Layered-encryption): Onion encryptionは、データの転送中にコンテンツへのアクセスを試みる攻撃に対して大きなセキュリティを提供します。

  • 分散型ルーティング: Multi-hop routingにより、データの追跡が単一サーバーのVPNサービスよりも格段に困難になり、デフォルトの暗号化プロトコルを通じた公開ウェブへの直接アクセスよりもはるかに優れています。

  • Torサイトへのアクセス: Torは、Torネットワークを通じてのみアクセスできる独自の.onionサイトへのアクセスも提供します。これらのサイトは特定のサービス(リサーチ、メール、購入など)にプライバシーを提供し、Torネットワーク全体が公開ウェブ上でのクライアントプライバシーを保護します。

What is “Onion over VPN”? - Purposes of using Tor

Onion over VPNとは何か?

Onion over VPN」と呼ばれるものは、実際には二つの異なるツールの組み合わせです。これには、ユーザーデータを暗号化し、Tor(またはOnion)ネットワークにアクセスする前にルーティングするVPNサービスが含まれます。この設定の主な目的は、クライアント側でTorネットワークがブロックされている場合にTorネットワークにアクセスすることです。しかし、Torがサーバー側でブロックされている場合には効果がありません。これらがどのように連携するかを見てみましょう。

What is Onion over VPN combination

Virtual Private Networks (VPNs)

VPN(Virtual Private Network)は、ユーザートラフィックをサービスプロバイダーのサーバーを通じてルーティングするプライバシーツールです。Torと同様に、デバイス上でデータが暗号化されますが、従来のVPNでは一層の暗号化のみが使用されます。暗号化された後、トラフィックはVPNサーバーにトンネルされます。そこで、IPアドレスが会社の公開アドレスに置き換えられた後、トラフィックは最終的にウェブ上の目的地に送信されます。受信者がトラフィックの発信元を見ると、それはあなたではなくVPNからのものとして表示されます。

従来の単一サーバーVPNはオンラインでの匿名性を高めるのに役立ちますが、ユーザーデータをリスクにさらす構造的な脆弱性があります。しかし、現在ではVPNのさまざまなアーキテクチャが存在し、dVPN(分散型VPN)は従来の単一サーバーVPNよりもユーザーのプライバシーを大幅に向上させます。

Onion over VPN

Onion over VPN」とは、特別な種類のVPNを指すわけではなく、TorネットワークがVPNサービスであるわけでもありません。Onion over VPNは、Torネットワークにアクセスする前にVPNを使用することを意味します。つまり、すべてのトラフィックがまずプロキシサーバー(おそらくそのデータを集中管理している)を通過し、その後Torのマルチホップネットワークとオニオン暗号化手続きによってルーティングされます。「オニオン」システムは、元のVPN接続を「覆い隠す」と言えるでしょう。なぜなら、公開ウェブ上ではトラフィックがVPNではなくTorから来ているように見えるからです。

なぜOnion over VPNを使用するのか?

VPNを使用してTorにアクセスする主な理由は、Torアクセスをブロックまたはブラックリストに載せているISPや他のネットワークを回避するためです。あなたが住んでいる国がTorを通じてオンラインの匿名性を確保するのを阻止しようとしている場合、VPNを先に起動することで回避できます。しかし、Onion over VPNは、Torを使用している際にウェブサービスがアクセスを拒否するのを防ぐものではありません。なぜなら、ウェブサービスはトラフィックの出口ノードとしてTorの公開IPアドレスを見るからです。

もう一つの考え方は、Onion over VPN設定がTorが提供するプライバシー層の上に追加のプライバシー層を提供するというものです。技術的には、これは別のリンクできないホップと暗号化層を追加することになります。しかし、Torのプライバシーは既に非常に堅牢(3ホップ、3層の暗号化)です。そして、Onion over VPNはパフォーマンスに重大な問題を引き起こす可能性があることもあります。

Onion over VPNの利点と欠点

利点

  • Torネットワークのエントリカバー: Torに接続する際、最初のエントリノードはあなたのIPアドレスを見ることができます。Onion over VPNを使用すると、エントリノードはVPNのIPアドレスを見ることになります。

  • Tor制限の回避: Onion over VPNを使用すると、ISPはあなたがVPNを使用していることはわかりますが、Torを使用していることはわかりません。ISPがTorアクセスをブロックまたは検閲している場合、この制限を回避できる可能性があります。学校や職場などのローカルネットワークがTorをブロックしている場合、VPNがこれを回避するかもしれません。

  • VPN in the dark: VPNは最初のTorエントリノードとだけ接続されるため、VPNはあなたが訪問するサイトやそこでのアクティビティを知ることはありません。トラフィックは、公開ウェブにアクセスする前にTorネットワークの中間ノードと出口ノードを通過します。

  • ブラウザの選択肢: Onion over VPNを使用すると、Torブラウザでの敏感なトラフィックのプライバシーを高めながら、一般的な保護を維持したまま通常のブラウザに切り替えて非重要なタスクを行うことができます。

欠点

  • 速度: Onion over VPNは接続速度の顕著な低下を引き起こす可能性があります。Torトラフィックは既にレイヤー暗号化され、マルチホップが行われるため、追加の暗号化ステージとサーバー中継の追加がこの問題を大幅に悪化させる可能性があります。

  • Torのブロック: ウェブサイトやアプリは、あなたがTorネットワークを使用していることをまだ見ることができ、報告またはブロックされる可能性があります。これは、Tor出口ノードがデータが公開ウェブに到達する前の最終的で可視なサーバーであるためです。多くのサービスやウェブサイトは、公開されているTorのIPアドレスをブロックできます。

  • ほとんどのVPNがあなたのIPアドレスを知っている: VPNを使用しているという事実自体が、サービスがあなたのIPアドレスを把握し、それをTorネットワークとの接続と関連付けることを意味します。トラフィックがTorに移行した後はさらに不明瞭になりますが、中央集権型のログはネットワーク全体でユーザーのデータを追跡する主要な手段です。

ダブルVPNとOnion over VPNの比較

最近、ダブルVPNのアイデアについて説明しました(日本語未翻訳)
。これは基本的に、2ホップVPNサービスを使用するか、同時に2つの異なるVPNサービスを使用することを意味します。Onion over VPNと同様に、これもユーザーのプライバシーを強化し、速度が遅くなる可能性があります。

類似点

  • 遅延: ダブルVPNとOnion over VPNは、接続速度の大幅な低下を引き起こす可能性があります。

  • 暗号化: 両方の設定はウェブトラフィックを複数回暗号化します。

  • IPアドレスの隠蔽: Onion over VPNはTorエントリノードからあなたのIPアドレスを隠します。ダブルVPNは、VPNサーバー2からのあなたのIPアドレスと、TorエントリノードからのVPNサーバー1のIPアドレスの両方を隠します。

違い

  • ソフトウェア: Onion over VPNは2種類の匿名性ソフトウェアを利用します: VPNソフトウェアとTorネットワーク(Torブラウザでクライアントがアクセスできます)。ダブルVPNはVPNソフトウェアのみを使用し、リスクを集中させます。

  • 暗号化: Onion over VPNはデータを4回暗号化します(VPNで1回、Torで3回)。ダブルVPNは2回のみ暗号化します。

  • プロトコルの互換性: ダブルVPNはUDPとTCPの両方のプロトコルをサポートしますが、Onion over VPNはTCPプロトコルのみをサポートします。

  • Tor特有のアクセス: ダブルVPNだけでは.onionサイトにアクセスできません。Torネットワークに接続されていないためです。Onion over VPNは、VPNホップの後にTorにアクセスするため、これらのサイトにアクセスできます。

Onion over VPNの結論

「Onion over VPN」は、単に2つの異なるツール(VPNとTorネットワーク)を組み合わせたものであり、購入可能な特別なVPN製品ではありません。

Torは分散型オーバーレイネットワークであり、特定の製品ではありません。ほとんどの人にとって、TorブラウザやメールクライアントはTorネットワークへのアクセスツールです。Torブラウザは、Torネットワークにアクセスする際に、クッキーのクリアやデバイスフィンガープリンティングの回避など、追加の保護を提供します。いくつかのオペレーティングシステムでは、ユーザーのすべてのトラフィックをTor経由でルーティングするように設定することもできます。

従来のVPNサービスを使用することは、一般的に単一サーバールーティングアーキテクチャが原因でリスクがあります。すべてのデータが1つの地点を通過するためです。これは、オンラインでの活動のプライバシーに懸念を持つユーザーにとって、構造的な脆弱性となります。サイバー攻撃やデータ漏洩、政府のトラフィックログ要求があれば、クライアントの活動のメタデータが露見する可能性があります。

幸いなことに、分散型VPN技術の新しい進展により、オンラインデータを保護するための選択肢が提供されており、Onion over VPNという複雑な2部構成のセットアップを回避できます。

プライバシーのための分散型ミックスネット

Torによるマルチホップやオニオン暗号化に類似した強力なプライバシー保護を提供し、同じ制限に制約されないVPNサービスをお探しなら、NymVPNが適しています。NymVPNは、Torネットワークと組み合わせる必要がなく、その独自のミックスネットを通じてさらに強力なプライバシー保護を提供する分散型設計に基づいています。

NymVPNは、プライバシーのニーズに応じてカスタマイズでき、必要に応じて速度を最適化することも可能です:

  • 一般的なプライバシー保護には、WireGuardを使用した高速な2ホップdVPNが、他の伝統的なVPNやdVPNを超える強力な保護を提供します。

  • 特にセンシティブなトラフィック(通信や暗号取引など)には、比類のない5ホップミックスネットモードを選択できます。

オンラインプライバシーとセキュリティが気になる場合は、Nymと共に、これらのオプションを世界中のデフォルト選択肢にすることをお勧めします。

原文記事:


この記事が気に入ったらサポートをしてみませんか?