VP.NET telah mengeluarkan kod sumber untuk perkhidmatan VPN yang menggunakan teknologi Intel SGX untuk menyediakan tuntutan privasi yang boleh disahkan. Walaupun syarikat berjanji pengguna boleh menyemak dan bukannya mempercayai perlindungan privasi mereka, komuniti teknologi telah membangkitkan kebimbangan yang ketara mengenai andaian keselamatan asas.
Perkhidmatan ini beroperasi dalam enklave Intel SGX , iaitu bekas yang disokong perkakasan yang direka untuk memastikan kunci penyulitan dan data diasingkan daripada pengendali pelayan. Pengguna secara teorinya boleh mengesahkan bahawa pelayan menjalankan kod yang diterbitkan dengan tepat dengan membandingkan cap jari kriptografi. Walau bagaimanapun, pendekatan ini telah mencetuskan perdebatan sengit tentang sama ada pengesahan sedemikian sebenarnya memberikan keselamatan yang bermakna.
Seni Bina Teknikal VP.NET
- Menggunakan enklave Intel SGX untuk pengasingan yang disokong perkakasan
- Menyediakan cap jari kriptografi (mrenclave) untuk pengesahan kod
- Melaksanakan pengaburan trafik dengan penghalaan rawak, padding, dan pengelompokan bermasa
- Kunci disimpan hanya dalam memori dan dihapuskan secara eksplisit
- Tiada log berterusan IP atau pengecam sesi dalam binaan pengeluaran
Kebimbangan Kepercayaan Intel SGX Mendominasi Perbincangan
Kritikan yang paling menonjol tertumpu pada sama ada Intel SGX boleh dipercayai sebagai asas untuk privasi. Ahli komuniti menunjukkan bahawa SGX telah dikompromi beberapa kali pada masa lalu, dan mempercayai Intel mewujudkan satu titik kegagalan. Bagi pengguna yang bimbang tentang pengawasan kerajaan, hakikat bahawa Intel berpotensi boleh dipaksa untuk mengkompromi SGX menjadikan pendekatan ini bermasalah.
Teknologi ini juga telah ditamatkan daripada pemproses Intel pengguna disebabkan isu keselamatan, walaupun ia masih tersedia pada cip Xeon gred pelayan. Pengkritik berhujah bahawa mana-mana CPU yang telah berjaya diserang dengan teknik seperti voltage glitching tidak boleh dipercayai lagi, kerana kunci rahsia yang terbakar ke dalam perkakasan menjadi terkompromi secara kekal.
Kebimbangan Keselamatan SGX
- Pelbagai kompromi bersejarah didokumenkan di sgx.fail
- Dihentikan daripada pemproses Intel pengguna (Core generasi ke-11 dan ke-12)
- Serangan voltage glitching boleh menjejaskan benih rahsia CPU secara kekal
- Masih tersedia pada pemproses Intel Xeon untuk kegunaan perusahaan
- Memerlukan kepercayaan terhadap infrastruktur pengesahan Intel
Had Pengesahan Menimbulkan Persoalan
Beberapa pakar teknikal telah mengenal pasti kemungkinan penyelesaian yang boleh melemahkan sistem pengesahan. Satu kebimbangan ketara ialah pengendali berniat jahat boleh menjalankan kedua-dua enklave SGX yang sah dan sistem yang terkompromi di belakang pengimbang beban. Apabila pengguna meminta pengesahan untuk mengesahkan sistem, mereka akan menerima respons daripada enklave yang sah, tetapi trafik VPN sebenar mereka boleh dialihkan melalui perkakasan yang terkompromi.
Mereka boleh menjalankan satu enklave selamat yang menjalankan versi kod yang sah dan satu perkakasan tidak selamat yang menjalankan perisian tidak selamat. Kemudian mereka meletakkan pengimbang beban di hadapan kedua-duanya.
Jenis serangan ini akan membenarkan pengesahan lulus sambil masih mengkompromi privasi pengguna, menonjolkan had asas dalam pendekatan pengesahan jauh.
Privasi Pembayaran Kekal Bermasalah
Walaupun tumpuan pada perlindungan privasi teknikal, pengguna telah menyatakan bahawa VP.NET masih memerlukan kaedah pembayaran tradisional yang mewujudkan jejak identiti. Walaupun perkhidmatan menerima pembayaran mata wang kripto, proses pendaftaran dilaporkan memerlukan alamat e-mel dan maklumat pengenalan lain. Bagi pengguna yang mengutamakan privasi, ini mewakili kelemahan yang ketara kerana pemproses pembayaran secara sah memelihara rekod transaksi yang boleh menghubungkan identiti sebenar dengan penggunaan VPN.
Sesetengah pengguna telah menyeru sokongan Monero secara khusus, kerana ia menyediakan privasi transaksi yang lebih kuat daripada Bitcoin atau mata wang kripto lain di mana semua transaksi direkodkan secara kekal pada blockchain awam.
Perbandingan dengan Pesaing
- Mullvad VPN : Harga tetap $5 USD/bulan, menerima pembayaran Monero
- VP.NET : Jurang harga yang ketara antara pelan bulanan dan 2 tahun
- VP.NET memerlukan e-mel dan maklumat pengenalan untuk pembayaran kripto
- VPN tradisional bergantung pada model berasaskan kepercayaan tanpa pengesahan kod
Kesimpulan
Walaupun pendekatan VP.NET mewakili percubaan menarik untuk menyediakan tuntutan privasi yang boleh disahkan, respons komuniti menunjukkan bahawa andaian asas tentang kepercayaan Intel SGX mungkin terlalu optimistik untuk pengguna yang benar-benar prihatin tentang privasi. Had teknikal pengesahan jauh, digabungkan dengan kebimbangan praktikal tentang privasi pembayaran, menunjukkan bahawa penyedia VPN berasaskan kepercayaan tradisional mungkin masih menawarkan perlindungan privasi yang setara atau lebih baik untuk kebanyakan pengguna.
Projek ini memajukan perbualan tentang seni bina privasi yang boleh disahkan, tetapi halangan teknikal dan praktikal yang ketara masih wujud sebelum sistem sedemikian dapat memberikan tahap jaminan yang sebenarnya diperlukan oleh pengguna yang mengutamakan privasi.
Rujukan: Don't Trust. Verify.