Bei Perfect Privacy haben Sie die Möglichkeit, Ihren Internet-Verkehr über bis zu vier Hops zu verschlüsseln – mit Einbindung von Proxy-Servern und SSH-Tunneln sogar noch mehr!
Eine solche Kaskadierung über mehrere verschlüsselte VPN-Tunnel geht aber auf Kosten der Geschwindigkeit: Zwar sollte sich die Bandbreite nicht verringern aber die Latenzzeit wird sich je nach Anzahl der Hops vergrößern. Dafür bietet es aber zwei wesentliche Vorteile:
Zum einen kann man die Ein- und Ausgangsserver separat und unabhängig voneinander festlegen. Das ist nützlich, wenn man sich in Ländern befindet, die nur eingeschränkte Verbindungen zu ausländischen IP-Adressen zulassen. Nachdem man eine Verbindung zu einem Server innerhalb des Landes aufbaut, kann der Traffic dann über eine kaskadierte Verbindung zu einem Server im Ausland weitergeleitet werden. Auf diese Weise kann man landesweite Zensurmaßnahmen (die z.B. in China üblich sind) mit VPN umgehen.
Der zweite Vorteil besteht darin, dass eine Kaskade vor einigen anspruchsvolleren Angriffen schützt und damit die Sicherheit und Anonymität des Nutzers erhöht.
Eine kaskadierte Verbindung erschwert generell Traffic-Korrelation: Wenn man nur einen einzelnen VPN-Server benutzt, so kann der Internet Provider (ISP) (oder ein lauschender Angreifer) sehen, zu welchem Server man verbindet. Wenn ein Lauscher nun auch Zugang zum Rechenzentrum mit dem VPN-Server hat und sich den ausgehenden Traffic ansieht, kann er versuchen, den eingehenden und den ausgehenden Traffic zu korrelieren um so den Nutzer zu identifizieren. Natürlich wird dieser Angriff umso schwieriger, je mehr Nutzer mit dem VPN-Server verbunden sind.
Mit einer kaskadierten Verbindung wird ein solcher Angriff enorm erschwert. Zwar kann man beim ISP immer noch sehen, zu welchem VPN-Server verbunden wird, aber eben nicht, wo der Traffic wieder raus kommt. Dazu wäre es nötig, den Traffic an allen VPN-Servern zu überwachen. Das macht es praktisch nahezu unmöglich, Nutzer über Traffic-Korrelation zu identifizieren.
Auch ist es theoretisch denkbar, dass ein Angreifer physikalischen Zugang zum VPN-Server hat. In diesem Fall kann er womöglich einen Deanonymisierungs-Angriff auf VPN-Nutzer durchführen. Eine kaskadierte Verbindung schützt selbst vor diesem Angriffsvektor: Denn für jeden Hop in der Kaskade wird der Traffic in einer zusätzlichen verschlüsselten Schicht eingekapselt. Dadurch kann der Traffic weder gelesen, noch kann der ausgehende Verkehr mit dem eingehenden korreliert werden.
Der Angreifer würde zwar immer noch sehen, dass der Verkehr zu einem weiteren VPN-Server geschickt wird, aber er kann nicht ermitteln, ob es sich dabei um einen Middle- oder Exit-Node handelt. Um den Traffic erfolgreich abzufangen und entschlüsseln, müsste der Angreifer auf alle VPN-Server in der Kaskade gleichzeitig physikalischen Zugang haben. Das ist praktisch nahezu unmöglich, wenn sich die Server in unterschiedlichen Ländern befinden.
Übrigens: Nicht jeder VPN-Provider, der Kaskaden oder Multi-Hop-Verbindungen bewirbt, liefert auch wirklich eine in mehreren Schichten verschlüsselte Verbindung: Einige Provider leiten einfach den Traffic an einen anderen VPN-Server weiter, ohne diesen nochmal zu verschlüsseln. Das schützt nicht vor den angesprochenen Angriffen, da der Traffic immer noch auf dem Eingangs-Server abgehört werden kann. Im Zweifel sollte man bei seinem VPN-Provider nachfragen, wie genau kaskadierte Verbindungen implementiert sind.
Sie bauen eine VPN-Verbindung zu einem beliebigen Server auf, zum Beispiel zu saopaulo.perfect-privacy.com. Anschließend stellen Sie eine zweite Verbindung her, beispielsweise zu montreal.perfect-privacy.com. Auf die gleiche Weise fügen Sie weitere Hops hinzu, in unserem Beispiel bucharest.perfect-privacy.com und singapore.perfect-privacy.com. Wenn die in der Kaskade verwendeten Server IPv6 unterstützen, so haben Sie damit auch gleichzeitig eine Dual-Stack IPv4/IPv6-Anbindung.
Ihr Internet Provider würde dann sehen, dass Sie eine Verbindung mit einem Server in Brasilien haben, aber Ihr Netzwerkverkehr kommt tatsächlich in Singapur raus, da alle Pakete verschlüsselt von Brasilien über Kanada und Rumänien nach Singapur weitergeleitet werden.