VP.NET ได้เปิดเผยซอร์สโค้ดสำหรับบริการ VPN ที่ใช้เทคโนโลยี Intel SGX เพื่อให้การรับรองความเป็นส่วนตัวที่สามารถตรวจสอบได้ แม้ว่าบริษัทจะสัญญาว่าผู้ใช้สามารถตรวจสอบแทนการเชื่อใจในการป้องกันความเป็นส่วนตัวของพวกเขา แต่ชุมชนเทคโนโลยีได้แสดงความกังวลอย่างมีนัยสำคัญเกี่ยวกับสมมติฐานความปลอดภัยพื้นฐาน
บริการนี้ทำงานภายใน Intel SGX enclaves ซึ่งเป็นคอนเทนเนอร์ที่รองรับด้วยฮาร์ดแวร์ที่ออกแบบมาเพื่อเก็บคีย์เข้ารหัสและข้อมูลแยกออกจากผู้ดำเนินการเซิร์ฟเวอร์ ผู้ใช้สามารถตรวจสอบได้ในทางทฤษฎีว่าเซิร์ฟเวอร์กำลังรันโค้ดที่เผยแพร่แล้วโดยการเปรียบเทียบลายนิ้วมือเข้ารหัส อย่างไรก็ตาม วิธีการนี้ได้จุดประกายการถกเถียงอย่างรุนแรงเกี่ยวกับว่าการตรวจสอบดังกล่าวให้ความปลอดภัยที่มีความหมายจริงหรือไม่
สถาปัตยกรรมทางเทคนิคของ VP.NET
- ใช้ Intel SGX enclaves สำหรับการแยกแยะที่รองรับด้วยฮาร์ดแวร์
- ให้ลายนิ้วมือเข้ารหัส (mrenclave) สำหรับการตรวจสอบโค้ด
- ใช้การปิดบังการรับส่งข้อมูลด้วยการกำหนดเส้นทางแบบสุ่ม การเพิ่มข้อมูลเสริม และการจัดกลุ่มตามเวลา
- คีย์ถูกเก็บไว้ในหน่วยความจำเท่านั้นและถูกลบอย่างชัดเจน
- ไม่มีการบันทึกถาวรของ IP หรือตัวระบุเซสชันในบิลด์การผลิต
ข้อกังวลเรื่องความไว้วางใจใน Intel SGX ครอบงำการอภิปราย
การวิพากษ์วิจารณ์ที่โดดเด่นที่สุดมุ่งเน้นไปที่ว่า Intel SGX สามารถไว้วางใจได้หรือไม่ในฐานะรากฐานสำหรับความเป็นส่วนตัว สมาชิกชุมชนชี้ให้เห็นว่า SGX ถูกบุกรุกหลายครั้งในอดีต และการไว้วางใจ Intel สร้างจุดล้มเหลวเดียว สำหรับผู้ใช้ที่กังวลเกี่ยวกับการสอดแนมของรัฐบาล ความจริงที่ว่า Intel อาจถูกบังคับให้บุกรุก SGX ทำให้วิธีการนี้มีปัญหา
เทคโนโลยีนี้ยังถูกยกเลิกจากโปรเซสเซอร์ Intel สำหรับผู้บริโภคเนื่องจากปัญหาความปลอดภัย แม้ว่าจะยังคงใช้ได้บนชิป Xeon ระดับเซิร์ฟเวอร์ นักวิจารณ์โต้แย้งว่า CPU ใดๆ ที่ถูกโจมตีสำเร็จด้วยเทคนิคเช่น voltage glitching ไม่สามารถไว้วางใจได้อีกต่อไป เนื่องจากคีย์ลับที่ฝังอยู่ในฮาร์ดแวร์กลายเป็นสิ่งที่ถูกบุกรุกอย่างถาวร
ข้อกังวลด้านความปลอดภัยของ SGX
- มีการบันทึกการถูกบุกรุกหลายครั้งในอดีตที่ sgx.fail
- ถูกยกเลิกจากโปรเซสเซอร์ Intel สำหรับผู้บริโภค (รุ่นที่ 11 และ 12 ของ Core)
- การโจมตีด้วยแรงดันไฟฟ้าสามารถทำลายรหัสลับของ CPU อย่างถาวร
- ยังคงมีให้ใช้งานในโปรเซสเซอร์ Intel Xeon สำหรับองค์กร
- ต้องการความไว้วางใจในโครงสร้างพื้นฐานการรับรองของ Intel
ข้อจำกัดการตรวจสอบทำให้เกิดคำถาม
ผู้เชี่ยวชาญด้านเทคนิคหลายคนได้ระบุช่องทางที่อาจใช้เพื่อหลีกเลี่ยงระบบการตรวจสอบ ข้อกังวลที่สำคัญประการหนึ่งคือผู้ดำเนินการที่มีเจตนาร้ายสามารถรัน SGX enclaves ที่ถูกต้องตามกฎหมายและระบบที่ถูกบุกรุกหลัง load balancer เมื่อผู้ใช้ขอการรับรองเพื่อตรวจสอบระบบ พวกเขาจะได้รับการตอบสนองจาก enclave ที่ถูกต้องตามกฎหมาย แต่การรับส่งข้อมูล VPN จริงของพวกเขาอาจถูกส่งผ่านฮาร์ดแวร์ที่ถูกบุกรุก
พวกเขาสามารถรัน secure enclave หนึ่งตัวที่รันโค้ดเวอร์ชันถูกต้องและฮาร์ดแวร์ที่ไม่ปลอดภัยหนึ่งตัวที่รันซอฟต์แวร์ที่ไม่ปลอดภัย จากนั้นพวกเขาใส่ load balancer ไว้หน้าทั้งสองตัว
การโจมตีประเภทนี้จะทำให้การตรวจสอบผ่านไปได้ในขณะที่ยังคงบุกรุกความเป็นส่วนตัวของผู้ใช้ ซึ่งเน้นย้ำถึงข้อจำกัดพื้นฐานในวิธีการ remote attestation
ความเป็นส่วนตัวในการชำระเงินยังคงเป็นปัญหา
แม้จะมุ่งเน้นไปที่การป้องกันความเป็นส่วนตัวทางเทคนิค ผู้ใช้ได้สังเกตว่า VP.NET ยังคงต้องการวิธีการชำระเงินแบบดั้งเดิมที่สร้างร่องรอยการระบุตัวตน แม้ว่าบริการจะรับการชำระเงินด้วยสกุลเงินดิจิทัล กระบวนการสมัครสมาชิกรายงานว่าต้องการที่อยู่อีเมลและข้อมูลระบุตัวตนอื่นๆ สำหรับผู้ใช้ที่เน้นความเป็นส่วนตัว สิ่งนี้แสดงถึงจุดอ่อนที่สำคัญเนื่องจากผู้ประมวลผลการชำระเงินเก็บรักษาบันทึกการทำธุรกรรมตามกฎหมายที่สามารถเชื่อมโยงตัวตนจริงกับการใช้งาน VPN
ผู้ใช้บางคนเรียกร้องให้สนับสนุน Monero โดยเฉพาะ เนื่องจากให้ความเป็นส่วนตัวในการทำธุรกรรมที่แข็งแกร่งกว่า Bitcoin หรือสกุลเงินดิจิทัลอื่นๆ ที่การทำธุรกรรมทั้งหมดถูกบันทึกอย่างถาวรบน blockchain สาธารณะ
การเปรียบเทียบกับคู่แข่ง
- Mullvad VPN : ราคาคงที่ 5 ดอลลาร์สหรัฐต่อเดือน รับชำระเงินด้วย Monero
- VP.NET : ช่วงราคาต่างกันอย่างมีนัยสำคัญระหว่างแผนรายเดือนและแผน 2 ปี
- VP.NET ต้องการอีเมลและข้อมูลระบุตัวตนสำหรับการชำระเงินด้วยคริปโตเคอร์เรนซี
- VPN แบบดั้งเดิมอาศัยโมเดลที่อิงความไว้วางใจโดยไม่มีการตรวจสอบโค้ด
บทสรุป
แม้ว่าวิธีการของ VP.NET จะแสดงถึงความพยายามที่น่าสนใจในการให้การรับรองความเป็นส่วนตัวที่สามารถตรวจสอบได้ การตอบสนองของชุมชนแสดงให้เห็นว่าสมมติฐานพื้นฐานเกี่ยวกับความน่าเชื่อถือของ Intel SGX อาจมองโลกในแง่ดีเกินไปสำหรับผู้ใช้ที่ใส่ใจความเป็นส่วนตัวอย่างแท้จริง ข้อจำกัดทางเทคนิคของ remote attestation ร่วมกับข้อกังวลเชิงปฏิบัติเกี่ยวกับความเป็นส่วนตัวในการชำระเงิน บ่งชี้ว่าผู้ให้บริการ VPN แบบดั้งเดิมที่อิงการไว้วางใจอาจยังคงให้การป้องกันความเป็นส่วนตัวที่เทียบเท่าหรือดีกว่าสำหรับผู้ใช้ส่วนใหญ่
โครงการนี้ช่วยพัฒนาการสนทนาเกี่ยวกับสถาปัตยกรรมความเป็นส่วนตัวที่สามารถตรวจสอบได้ แต่อุปสรรคทางเทคนิคและการปฏิบัติที่สำคัญยังคงอยู่ก่อนที่ระบบดังกล่าวจะสามารถให้การรับรองในระดับที่ผู้ใช้ที่เน้นความเป็นส่วนตัวต้องการจริงๆ
อ้างอิง: Don't Trust. Verify.